b)
COMPONENTES DEL CONTROL INTERNO
Dentro del marco integrado se identifican cinco elementos de control interno que se relacionan entre sí
y son inherentes al estilo de gestión de la empresa. Los mismos son:
1. Ambiente de Control.
2. Evaluación de Riesgos.
3. Actividades de Control.
4. Información y Comunicación.
5. Supervisión o Monitoreo.
6. Ambiente de Control.
Entorno de control: El entorno de control marca la pauta del funcionamiento de una empresa e influye
en la concienciación de sus empleados respecto al control. Es la base de todos los demás componentes
del control interno, aportando disciplina y estructura. Los factores del entorno de control incluyen la
integridad, los valores éticos y la capacidad de los empleados de la empresa, la filosofía de dirección y el
estilo de gestión, la manera en que la dirección asigna autoridad y las responsabilidades y organiza y
desarrolla profesionalmente a sus empleados y la atención y orientación que proporciona al consejo de
administración.
"El núcleo de un negocio es su personal (sus atributos individuales, incluyendo la integridad, los valores
éticos y la profesionalidad) y el entorno en que trabaja, los empleados son el motor que impulsa la
entidad y los cimientos sobre los que descansa todo".
El Entorno de control propicia la estructura en la que se deben cumplir los objetivos y la preparación del
hombre que hará que se cumplan.
Evaluación de los riesgos: Las organizaciones, cualquiera sea su tamaño, se enfrentan a diversos riesgos
de origen externos e internos que tienen que ser evaluados. Una condición previa a la evaluación del
riesgo es la identificación de los objetivos a los distintos niveles, vinculados entre sí e internamente
coherentes. La evaluación de los riesgos consiste en la identificación y el análisis de los riesgos
relevantes para la consecución de los objetivos, y sirve de base para determinar cómo han de ser
gestionados los riesgos. Debido a que las condiciones económicas, industriales, legislativas y operativas
continuarán cambiando continuamente, es necesario disponer de mecanismos para identificar y
afrontar los riesgos asociados con el cambio.
"La entidad debe conocer y abordar los riesgos con que se enfrenta, estableciendo mecanismos para
identificar, analizar y tratar los riesgos correspondientes en las distintas áreas".
Aunque para crecer es necesario asumir riesgos prudentes, la dirección debe identificar y analizar
riesgos, cuantificarlos, y prever la probabilidad de que ocurran, así como las posibles consecuencias.
La evaluación del riesgo no es una tarea a cumplir de una vez para siempre. Debe ser un proceso
continuo, una actividad básica de la organización, como la evaluación continua de la utilización de los
sistemas de información o la mejora continua de los procesos.
�Los procesos de evaluación del riesgo deben estar orientados al futuro, permitiendo a la dirección
anticipar los nuevos riesgos y adoptar las medidas oportunas para minimizar y/o eliminar el impacto de
los mismos en el logro de los resultados esperados. La evaluación del riesgo tiene un carácter preventivo
y se debe convertir en parte natural del proceso de planificación de la empresa.
Actividades de control: Las actividades de control son las políticas y los procedimientos que ayudan a
asegurar que se lleven a cabo las instrucciones de la dirección de la empresa. Ayudan a asegurar que se
tomen las medidas necesarias para controlar los riesgos relacionados con la consecución de los objetivos
de la empresa. Hay actividades de control en toda la organización, a todos los niveles y en todas las
funciones.
"Deben establecerse y ajustarse políticas y procedimientos que ayuden a conseguir una seguridad
razonable de que se llevan a cabo en forma eficaz las acciones consideradas necesarias para afrontar los
riesgos que existen respecto a la consecución de los objetivos de la unidad".
Las actividades de control existen a través de toda la organización y se dan en toda la organización, a
todos los niveles y en todas las funciones, e incluyen cosas tales como; aprobaciones, autorizaciones,
verificaciones, conciliaciones, análisis de la eficacia operativa, seguridad de los activos, y segregación de
funciones.
En algunos entornos, las actividades de control se clasifican en; controles preventivos, controles de
detección, controles correctivos, controles manuales o de usuario, controles informáticos o de
tecnología de información, y controles de la dirección. Independientemente de la clasificación que se
adopte, las actividades de control deben ser adecuadas para los riesgos.
Hay muchas posibilidades diferentes en lo relativo a actividades concretas de control, lo importante es
que se combinen para formar una estructura coherente de control global.
Las empresas pueden llegar a padecer un exceso de controles hasta el punto que las actividades de
control les impidan operar de manera eficiente, lo que disminuye la calidad del sistema de control. Por
ejemplo, un proceso de aprobación que requiera firmas diferentes puede no ser tan eficaz como un
proceso que requiera una o dos firmas autorizadas de funcionarios componentes que realmente
verifiquen lo que están aprobando antes de estampar su firma. Un gran número de actividades de
control o de personas que participan en ellas no asegura necesariamente la calidad del sistema de
control.
Información y comunicación: Se debe identificar, recopilar y comunicar información pertinente en
forma y plazo que permitan cumplir a cada empleado con sus responsabilidades. Los sistemas
informáticos producen informes que contienen información operativa, financiera y datos sobre el
cumplimiento de las normas que permite dirigir y controlar el negocio de forma adecuada.
Dichos sistemas no sólo manejan datos generados internamente, sino también información sobre
acontecimientos internos, actividades y condiciones relevantes para la toma de decisiones de gestión,
así como para la presentación de información a terceros. También debe haber una comunicación eficaz
en un sentido más amplio, que fluya en todas las direcciones a través de todos los ámbitos de la
organización, de arriba hacia abajo y a la inversa.
�El mensaje por parte de la alta dirección a todo el personal ha de ser claro; las responsabilidades del
control han de tomarse en serio. Los empleados tienen que comprender cual es el papel en el sistema
de control interno y como las actividades individuales estén relacionadas con el trabajo de los demás.
Por otra parte, han de tener medios para comunicar la información significativa a los niveles superiores.
Asimismo, tiene que haber una comunicación eficaz con terceros, como clientes, proveedores,
organismos de control y accionistas.
En la actualidad nadie concibe la gestión de una empresa sin sistemas de información. La tecnología de
información se ha convertido en algo tan corriente que se da por descontada. En muchas organizaciones
los directores se quejan de que los voluminosos informes que reciben les exigen revisar demasiados
datos para extraer la información pertinente.
En tales casos puede haber comunicación, pero la información está presentada de manera que el
individuo no la puede utilizar o no la utiliza real y efectivamente. Para ser verdaderamente efectiva la TI
debe estar integrada en las operaciones de manera que soporte estrategias proactivas en lugar de
reactivas.
Todo el personal, especialmente el que cumple importantes funciones operativas o financieras, debe
recibir y entender el mensaje de la alta dirección, de que las obligaciones en materia de control deben
tomare en serio. Asimismo, debe conocer su propio papel en el sistema de control interno, así como la
forma en que sus actividades individuales se relacionan con el trabajo de los demás.
Si no se conoce el sistema de control, los cometidos específicos y las obligaciones en el sistema, es
probable que surjan problemas. Los empleados también deben conocer cómo sus actividades se
relacionan con el trabajo de los demás.
Debe existir una comunicación efectiva a través de toda la organización.
El libre flujo de ideas y el intercambio de información son vitales. La comunicación en sentido
ascendente es con frecuencia la más difícil, especialmente en las organizaciones grandes. Sin embargo,
es evidente la importancia que tiene.
Los empleados que trabajan en la primera línea cumpliendo delicadas funciones operativas e
interactúan directamente con el público y las autoridades, son a menudo los mejor situados para
reconocer y comunicar los problemas a medida que surgen.
El fomentar un ambiente adecuado para promover una comunicación abierta y efectiva está fuera del
alcance de los manuales de políticas y procedimientos. Depende del ambiente que reina en la
organización y del tono que da la alta dirección.
Los empleados deben saber que sus superiores desean enterarse de los problemas, y que no se
limitarán a apoyar la idea y después adoptarán medidas contra los empleados que saquen a luz cosas
negativas. En empresas o departamentos mal gestionados se busca la correspondiente información pero
no se adoptan medidas y la persona que proporciona la información puede sufrir las consecuencias.
Además de la comunicación interna debe existir una comunicación efectiva con entidades externas tales
como accionistas, autoridades, proveedores y clientes. Ello contribuye a que las entidades
correspondientes comprendan lo que ocurre dentro de la organización y se mantengan bien informadas.
�Por otra parte, la información comunicada por entidades externas a menudo contiene datos
importantes sobre el sistema de control interno.
Supervisión o monitoreo: Los sistemas de control interno requieren supervisión, es decir, un proceso
que comprueba que se mantiene el adecuado funcionamiento del sistema a lo largo del tiempo. Esto se
consigue mediante actividades de supervisión continuada, evaluaciones periódicas o una combinación
de ambas cosas. La supervisión continuada se da en el transcurso de las operaciones. Incluye tanto las
actividades normales de dirección y supervisión, como otras actividades llevadas a cabo por el personal
en la realización de sus funciones. El alcance y la frecuencia de las evaluaciones periódicas dependerán
esencialmente de una evaluación de los riesgos y de la eficacia de los procesos de supervisión
continuada. Las deficiencias detectadas en el control interno deberán ser notificadas a niveles
superiores, mientras que la alta dirección y el consejo de administración deberán ser informados de los
aspectos significativos observados.
"Todo el proceso debe ser supervisado, introduciéndose las modificaciones pertinentes cuando se estime
necesario. De esta forma el sistema puede reaccionar ágilmente y cambiar de acuerdo a las
circunstancias".
Es preciso supervisar continuamente los controles internos para asegurarse de que el proceso funciona
según lo previsto. Esto es muy importante porque a medida que cambian los factores internos y
externos, controles que una vez resultaron idóneos y efectivos pueden dejar de ser adecuados y de dar a
la dirección la razonable seguridad que ofrecían antes.
El alcance y frecuencia de las actividades de supervisión dependen de los riesgos a controlar y del grado
de confianza que inspira a la dirección el proceso de control. La supervisión de los controles internos
puede realizarse mediante actividades continúas incorporadas a los procesos empresariales y mediante
evaluaciones separadas por parte de la dirección, de la función de auditoría interna o de personas
independientes. Las actividades de supervisión continúan destinadas a comprobar la eficacia de los
controles internos incluyen las actividades periódicas de dirección y supervisión, comparaciones,
conciliaciones, y otras acciones de rutina.
c) MÉTODOS DE EVALUACIÓN DEL SISTEMA DE CONTROL INTERNO
CLASIFICACIÓN DE MÉTODOS DE EVALUCACIÓN DEL SISTEMA DE CONTROL INTERNO
1. Método descriptivo
2. Método de cuestionario
3. Método de flujogramas
Método descriptivo: Consiste como su nombre lo indica en describir o narrar las diferentes actividades
de los departamentos, funcionarios y empleados, y los registros que intervienen en el sistema. Sin
embargo, no debe incurrirse en el error de describir las actividades de los departamentos o de los
empleados de manera aislada u objetiva. Debe hacerse la descripción siguiendo el curso de las
operaciones a través de su manejo en los departamentos citados. Por lo general se describe
procedimientos, registros, formularios, archivos, departamentos que intervienen en el sistema de
�control. Este método presenta el inconveniente que muchas personas no tienen habilidad para expresar
sus ideas por escrito en forma clara, precisa y sintética, lo que trae como consecuencia que algunas
debilidades de control no queden expresadas en la descripción.
Método de cuestionario: Consiste en usar como instrumento para la investigación, cuestionarios
previamente formulados que incluyen preguntas acerca de la forma en que se manejan las
transacciones u operaciones de las personas que intervienen en su manejo, la forma en que fluyen las
operaciones a través de los puestos o lugares donde se define o se determinan los procedimientos de
control para la conducción de las operaciones. El método de cuestionario es utilizado extensamente por
los auditores independientes como los auditores internos, consiste en una encuesta sistemática
presentada bajo la forma de preguntas referidas a aspectos básicos del sistema, y ante una respuesta
negativa evidencia una ausencia de control. Los cuestionarios se pueden organizar clasificando las
preguntas de acuerdo con los objetivos de control y cada pregunta referirse a la presencia de las
medidas de control para lograr el objetivo de que se trate. El objetivo del cuestionario de control interno
es reunir información, para descubrir hechos, evidencias, opiniones, con el fin de reunir datos o
información cuantitativa. La información obtenida debe ser tabulado, depurado y servir juntos con otros
agentes como soporte del informe de auditoría basado en los papeles de trabajo. Los cuestionarios
abordan cuestiones que los participantes deberán considerar, centrando su reflexión en los factores
internos y externos que han dado, o pueden dar lugar, a eventos negativos. Las preguntas pueden ser
abiertas o cerradas, según sea el objetivo de la encuesta. Pueden dirigirse a un individuo o a varios, o
bien pueden emplearse en conexión con una encuesta de base más amplia, ya sea dentro de una
Organización o dirigida a clientes, proveedores o terceros.
Método de flujogramas:(Diagrama de Flujo): Consiste en que se expone por medio de cuadros o
gráficos. Si el auditor diseña un flujograma de control interno, será preciso que visualice el flujo de la
información y los documentos que se procesan. El flujograma debe elaborarse, usando símbolos
estándar, de manera que quienes conozcan los símbolos puedan extraer información útil relativa al
sistema. Si el auditor usa un flujograma elaborado por la entidad, debe ser capaz de leerlo, interpretar
sus símbolos y sacar conclusiones útiles respecto al sistema representado por el flujograma. En algunos
casos tal vez sea aplicado el método de gráficos, en otros puede ser conveniente usar el método de
cuestionarios, y en otros puede ser más fácil o puede ser de mejor interpretación el método descriptivo
narrativo. Este método simplifica la tarea de descripción de los procedimientos y técnicas mediante el
uso de gráficos de movimiento de transacciones, también llamadas diagramas de flujo o flow charts.
Este diagrama proporciona al lector una imagen clara del sistema, mostrando la naturaleza y secuencia
de los procedimientos, división de responsabilidades, fuentes, distribución de documentos y situación
de los registros de contabilidad.
