BIBLIOTECA VIRTUAL de Derecho, Economía y Ciencias Sociales

METODOLOGÍA PARA LA EVALUACIÓN DEL SISTEMA DE CONTROL INTERNO (SCI) EN EL ISMMM

Daynelis García Batista




Esta página muestra parte del texto pero sin formato.

Puede bajarse el libro completo en PDF comprimido ZIP (76 páginas, 190 kb) pulsando aquí

 


Componente 3: ACTIVIDADES DE CONTROL

Después de identificados y evaluados los riesgos podrán establecerse las actividades de control con el objetivo de minimizar la probabilidad de ocurrencia y el efecto negativo que, para los objetivos de la organización, tendrían si ocurrieran.

Cada actividad de control debe ser monitoreada con instrumentos de supervisión eficaces (observaciones, cuestionarios, revisiones sorpresivas, etc.) realizados de forma permanente por los directivos y los auditores internos si existieran, con el objetivo de poder asegurar que el Control Interno funcione de forma adecuada y detectar oportunamente cuánto es de efectiva la actividad de control para, de lo contrario, ser sustituida por otra.

Es en este momento cuando se observa con mayor claridad la naturaleza del Control Interno con sus enfoques de prevención y autocontrol, donde la organización será capaz de identificar sus puntos vulnerables y erradicarlos con oportunidad.

La actividad de monitoreo puede ser efectuada por terceros (auditores externos, organismo superior, etc.,) pero siempre será menos efectiva para los intereses de la entidad.

Las actividades de control están relacionadas solamente con un área específica, con frecuencia afectan a diversas áreas, ya que una determinada actividad de control puede ayudar a alcanzar objetivos de la entidad que corresponden a otras áreas. De este modo, las actividades de control en el área de operaciones también contribuyen al logro de una información financiera oportuna y con calidad, los controles sobre la fiabilidad de la información financiera pueden contribuir al cumplimiento de la legislación aplicable, y así el sistema propicia un desempeño integrado.

En muchos casos, las actividades de control pensadas para un objetivo suelen ayudar también a otros; los operacionales pueden contribuir a los relacionados con la confiabilidad de la información financiera, éstas al cumplimiento normativo, y así sucesivamente.

Para cada categoría existen diversos tipos de control:

- Preventivo y correctivos

- Manuales/Automatizados o Informáticos

- Gerenciales o directivos.

En todos los niveles de la organización existen responsabilidades de control y es preciso que los agentes conozcan individualmente cuáles son las que les competen, debiéndose para ello explicitar claramente tales funciones.

Las cuestiones que se exponen a continuación muestran la amplitud abarcadora de las actividades de control, aunque no constituyen la totalidad de ellas.

- Análisis efectuados por la dirección.

- Seguimiento y revisión por parte de los responsables de las diversas funciones o actividades.

- Comprobación de las transacciones en cuanto a su exactitud, totalidad, autorización pertinente: aprobaciones, revisiones, cotejos, recálculos, análisis de consistencia, prenumeraciones.

- Controles físicos patrimoniales: arqueos, conciliaciones, recuentos.

- Dispositivos de seguridad para restringir el acceso a los activos y registros.

- Segregación de funciones.

- Aplicación de indicadores de rendimiento.

En este componente deben incluirse todas las normativas vigentes en el país referidas a Control Interno. Estas normas Además, deben estar recogidas, como mínimo, en manuales que contengan los procedimientos referidos a: Control Interno, Contabilidad General y Contabilidad de Costo; los que en cada caso deben estar elaborados por la entidad (Ver Anexo 1 “Matriz de Control Interno Componentes y sus Normas”).

Indicadores para Evaluar el Componente

Primera Norma: Separación de tareas y responsabilidades.

La dirección debe velar porque exista un equilibrio conveniente de autoridad y responsabilidad a partir de la estructura organizativa diseñada y para cada ciclo de operaciones. En la medida que se evite que todas las cuestiones de una transacción u operación queden concentradas en una persona o área, se reduce el riesgo de errores, despilfarro o actos ilícitos y aumenta la probabilidad que, de ocurrir, sean detectados.

Los manuales de procedimientos han de tener detalladas las tareas y responsabilidades relativas

al tratamiento, autorización, registro y revisión de las transacciones y hechos, las que deben ser asignadas a personas diferentes.

Es necesario velar porque en cada caso exista una delimitación de funciones y responsabilidad directa de cada uno de los trabajadores, así como de los funcionarios de la entidad.

Ejemplo de actividades que tributan a la segregación de funciones:

TIPO EXPLICACIÓN

Separación entre operaciones y Contabilidad Contabilidad La función contable total debe estar completamente separada de las áreas de operación, como la producción y las ventas, para que puedan llevarse registros confiables. Por ejemplo, los inspectores de turnos productivos, -no los operadores de maquinarias-, deben contar las unidades producidas en un proceso de fabricación. Los contadores,- no los vendedores-, deben llevar los registros de inventario.

Separación entre custodia de activos y la contabilidad Se puede reducir el riesgo de tentación y fraude, si el contador no maneja efectivo y si el cajero no tiene acceso a los registros contables. Si un trabajador tiene acceso tanto a la caja como a los registros contables, esa persona puede robar efectivo y conciliar el robo, haciendo un asiento falso en los libros.

Los trabajadores del almacén que manejan los inventarios no deben tener acceso a los registros contables.

En un sistema contable soportado sobre tecnologías de la información, una persona que tiene la custodia de activos no debería tener acceso a los programas de la computadora.

De manera similar, el programador no debería tener acceso a los denominados activos tentadores, como el efectivo.

Separación entre la autorización y la custodia de activos correspondientes

Las personas que autorizan las operaciones no deberían manejar el activo correspondiente. Por ejemplo, la misma persona no debe autorizar el pago de una factura de un proveedor y firmar también el cheque para pagar la cuenta.

Con ambas funciones, el trabajador puede autorizarse los pagos a sí mismo y firmar luego los cheques. Cuando esta función está separada, sólo se pagan las cuentas reales.

Un trabajador que maneja los ingresos no debe tener autoridad de cancelar las cuentas por cobrar.

Separación de funciones dentro de la actividad contable

La realización por varios trabajadores de diversas fases del proceso contable ayuda a minimizar errores y oportunidades de cometer fraude. Por ejemplo, diferentes trabajadores del área contable deben ser responsables de registrar los ingresos de efectivo y los desembolsos de efectivo.

Los trabajadores que procesan las cuentas por pagar y las solicitudes de cheques no deberían tener nada que ver con el proceso de aprobación.

En entidades pequeñas y con poco personal debe evaluarse la conveniencia de establecer separaciones de tareas sin descuidar lo que nos costaría dividir funciones; en este caso para lograr minimizar los riesgos expresados anteriormente deben reforzarse las actividades de supervisión y monitoreo.

Para comprobar y/o diagnosticar la situación en que se encuentra ésta norma, analizar las siguientes preguntas y/o aspectos:

• Están debidamente segregadas y diferenciadas (en la medida de lo racionalmente posible) la responsabilidad de autorizar, ejecutar, registrar y comprobar una transacción, teniendo en cuenta la necesaria coordinación entre las distintas áreas de responsabilidad definidas en la entidad.

Segunda norma: Coordinación entre áreas.

Lograrse el trabajo de todas las áreas de la organización en virtud de alcanzar los objetivos propuestos y para que el resultado sea efectivo, mejorando la integración y la responsabilidad y limitando la autonomía.

Los directivos y trabajadores deben considerar las implicaciones y las repercusiones que tendrán sus acciones en relación con la entidad, por ello, debe establecerse una cultura de consultas con otras entidades e internamente con las áreas de la organización.

Cada área o sub-área de la entidad debe operar en coordinación con las restantes, no sólo para evitar la duplicidad de funciones, sino para lograr la integración adecuada entre ellas.

En una entidad, las decisiones y acciones de cada una de las áreas que la integran requieren coordinación. Para que el resultado sea efectivo, no es suficiente que las unidades que lo componen alcancen sus propios objetivos; sino que deben trabajar mancomunadamente para que se alcancen, en primer lugar, los de la entidad.

La Resolución 297/03 en su Anexo plantea:

“La coordinación mejora la integración, la consistencia y la responsabilidad, y limita la autonomía. En ocasiones una unidad debe sacrificar en alguna medida su eficacia para contribuir a la de la entidad como un todo”.

• Para comprobar y/o diagnosticar la situación en que se encuentra ésta norma, analizar las siguientes preguntas y/o aspectos:

• Existen las políticas y los procedimientos apropiados y necesarios en relación con cada una de las actividades de la entidad definidas para cada área.

• Se han establecido las debidas coordinaciones entre las áreas que propicien la integración, la consistencia y la responsabilidad con carácter colectivo.

• Los funcionarios y trabajadores consideran las implicaciones y repercusiones de sus acciones en relación con la entidad, lo que supone consultas dentro y entre las entidades.

Tercera Norma: Documentación.

La entidad debe poseer la documentación referida al sistema de Control Interno y la relacionada con transacciones y hechos significativos; todo debe estar documentado en los manuales que se elaboren. Estos manuales pueden aparecer en cualquier tipo de soporte y la documentación debe estar disponible de forma tal que permita verificar si los controles descritos en los manuales de procedimientos son aplicados realmente y de la forma debida.

Para comprobar y/o diagnosticar la situación en que se encuentra ésta norma, analizar las siguientes preguntas y/o aspectos:

• La estructura de Control Interno y todas las transacciones y hechos significativos, están claramente documentados, y la documentación está disponible para su verificación.

Cuarta Norma: Niveles definidos de autorización.

La máxima dirección debe tener identificadas las personas facultadas a autorizar o autorizadas a realizar determinadas actividades dentro del ámbito de su competencia. La autorización quedará plasmada en un documento y será comunicada explícitamente a las personas o áreas autorizadas, quienes quedarán responsabilizados de ejecutar las tareas de acuerdo a lo regulado en el documento.

Quinta Norma: Registro oportuno y adecuado de las transacciones y hechos.

Las transacciones y los hechos que afectan a una entidad deben registrarse inmediatamente y ser debidamente clasificados.

Las transacciones o hechos deben registrarse en el momento de su ocurrencia, o lo más inmediato posible, para garantizar su relevancia y utilidad. Esto es válido para todo el proceso o ciclo de la transacción o hecho, desde su inicio hasta su conclusión.

Asimismo, deberán clasificarse adecuadamente para que, una vez procesados, puedan ser presentados en informes y estados financieros con saldos razonables, facilitando a directivos y terceros la toma de decisiones.

Para comprobar y/o diagnosticar la situación en que se encuentra ésta norma, analizar las siguientes preguntas y/o aspectos:

• Se registran y clasifican de manera oportuna las transacciones y hechos importantes, tendiendo a la importancia, relevancia y utilidad que ello tiene para la presentación razonable de los saldos en los estados financieros.

• Se realizan conteos físicos, periódicos, de los activos y se concilian con los registros contables.

Sexta Norma: Acceso restringido a los recursos, activos y registros.

El acceso a los recursos, activos, registros y comprobantes, debe estar protegido por mecanismos de seguridad y limitado a las personas autorizadas.

Todo activo de valor debe ser asignado a un responsable de su custodia y contar con adecuadas protecciones, a través de seguros, almacenaje, sistemas de alarma, pase para acceso, etc.

Además, deben estar debidamente registrados y periódicamente se cotejarán las existencias físicas con los registros contables para verificar su coincidencia. La frecuencia de la comparación depende del nivel de vulnerabilidad del activo, pudiendo ser ocasional, semanal, quincenal o mensual.

Se deben crear controles sobre la seguridad informática, con el cambio frecuente de los códigos de acceso u otras medidas. Todo el mecanismo de seguridad estará en correspondencia con la necesidad que exista del mismo, siempre observando la relación costo/beneficio.

Para comprobar y/o diagnosticar la situación en que se encuentra ésta norma, analizar las siguientes preguntas y/o aspectos:

• Existen dispositivos de seguridad para restringir el acceso a los activos y registros.

• Revisar que el plan de prevención elaborado ha tenido en cuenta el diagnóstico de los riesgos internos o peligros potenciales, el análisis de las causas que lo provocan o propician y las propuestas de medidas para prevenir o contrarrestar su ocurrencia.

• Comprobar que el plan de prevención, en cada una de las acciones, define el tiempo o los momentos de ejecución, los ejecutantes y los responsables de su control.

Séptima Norma: Rotación del personal en las tareas claves.

La dirección, en el proceso de identificación de riesgos, determina aquellas tareas o actividades con una mayor probabilidad de que se cometan irregularidades, errores o fraudes.

Los trabajadores a cargo de estas actividades, periódicamente, deben emplearse en otras funciones.

Con esta rotación se elimina el concepto de “hombre imprescindible” y, aunque se confíe en la solidez ética de todos los trabajadores, se adopta una estrategia de prevención ante hechos que puedan propiciar actos adversos.

La rotación de empleados propicia, además, que el trabajador alcance un conocimiento integral de las actividades que se realizan en cada puesto de trabajo del área donde se desenvuelve y conozca cómo el resto de los puestos de trabajo contribuyen al control de su labor y viceversa.

Ahora bien, es importante destacar que la eficacia de esta actividad de control está en la correcta identificación de los riesgos en la entidad, ya que poner a rotar al personal de tareas no claves conlleva un costo que pudiera afectar la eficiencia del trabajo.

Para comprobar y/o diagnosticar la situación en que se encuentra ésta norma, analizar las siguientes preguntas y/o aspectos:

• Se cumplen los planes de rotación en el desempeño en las tareas claves del personal involucrado y se desarrollan con calidad

Verificar que la dirección efectúe análisis periódicos y sistemáticos, de los resultados obtenidos, comparándolos con períodos anteriores, con los presupuestos y planes aprobados y otros niveles de análisis que les sean útiles.

Octava norma: Control del sistema de información.

El sistema de información debe ser controlado con el objetivo de garantizar su correcto funcionamiento y asegurar el control del proceso de los diversos tipos de transacciones y operaciones generales de la entidad.

La toma de decisiones en la entidad debe estar sustentada en la base del sistema de información, mediante la aplicación de índices e indicadores de rendimientos y análisis económicos- financieros.

El sistema deberá contar con mecanismos de seguridad que alcancen a las entradas, procesos, almacenamiento y salidas.

El sistema de información debe ser flexible y susceptible de modificaciones rápidas que permitan hacer frente a necesidades cambiantes de la dirección en un entorno dinámico de operaciones y presentación de informes.

El sistema ha de demostrar en su funcionamiento que ayuda a controlar todas las actividades de la entidad, a registrar y supervisar transacciones y eventos a medida que ocurren, y a mantener datos financieros.

Las actividades de control de los sistemas de aplicación están diseñadas para controlar el procesamiento de las transacciones dentro de los programas de aplicación e incluyen los procedimientos manuales asociados.

Para comprobar y/o diagnosticar la situación en que se encuentra ésta norma, analizar las siguientes preguntas y/o aspectos:

• El sistema de información es flexible y susceptible de modificaciones rápidas que permitan hacer frente a necesidades cambiantes de la dirección, en un entorno dinámico de operaciones y presentación de informes.

El sistema ayuda a controlar todas las actividades de la entidad, a registrar y supervisar transacciones y eventos a medida que ocurren, y a mantener datos financieros.

Novena Norma: Control de la tecnología de información.

Los recursos de la tecnología de información deben ser controlados con el objetivo de garantizar el cumplimiento de los requisitos del sistema de información que la entidad necesita para el logro de su misión.

La información que necesitan las actividades de la entidad es provista mediante el uso de recursos de tecnología de información. Estos abarcan: datos, sistemas de aplicación, tecnología asociada, instalaciones y personal.

La administración de estos recursos debe llevarse a cabo mediante procesos de tecnología de información agrupados naturalmente, a fin de proporcionar la información necesaria que permita a cada trabajador cumplir con sus responsabilidades y supervisar el cumplimiento de las políticas.

La seguridad del sistema de información es la estructura de control para proteger la integridad, confidencialidad y disponibilidad de datos y recursos de tecnología de información.

Las actividades de control general de la tecnología de información se aplican a todo sistema de información, incluyendo la totalidad de sus componentes, desde la arquitectura de procesamiento de grandes computadoras, microcomputadoras y redes, hasta la gestión de procesamiento por el usuario final. También abarcan las medidas y procedimientos manuales que permiten garantizar la operación continua y correcta del sistema de información.

Ejemplo de tecnología de información:

Objetivos Riesgos Puntos donde centrar las acciones

Utilizar tecnología informática para

llevar a cabo los

planes estratégicos de la entidad Interrelación insuficiente en gestión financiera y operativa para el desarrollo de planes estratégicos.

Desarrollar un plan estratégico que optimice la

Inversión de la entidad considerada en su conjunto y su utilización, y garantizar que las iniciativas den apoyo a los planes a largo plazo de la entidad.

Hacer participar a los usuarios en el desarrollo y

Mantenimiento del plan estratégico.

Obtener, procesar y

mantener la información

de manera

completa y exacta y

entregársela a las

personas correspondientes

para

permitir cumplir

con sus responsabilidades

Sistemas no diseñados con arreglo a las necesidades del

usuario o no adecuadamente

Implementados.

Crear una fase de desarrollo de sistemas que incluya

los siguientes aspectos o fases claves:

- Petición de diseños de sistemas.

- Estudio de viabilidad.

- Diseño de sistema general.

Décima Norma: Indicadores de desempeño

La máxima dirección y los directivos a todos los niveles deben diseñar un sistema de indicadores que les permitan evaluar el comportamiento de su gestión. Estos indicadores pueden ser cuantitativos y cualitativos; los indicadores cuantitativos se expresan de manera que permitan su aplicación objetiva y razonable.

La información obtenida se utilizará para la corrección de los cursos y acción y el mejoramiento del rendimiento.

La dirección de una entidad, programa, proyecto o actividad, debe conocer cómo marcha hacia los objetivos fijados para mantener el dominio del rumbo, es decir, ejercer el control. Cada entidad debe preparar un sistema de indicadores ajustado a sus características; es decir, tamaño, proceso productivo, bienes y servicios que entrega, nivel de competencia de sus dirigentes y demás elementos que lo distingan.

Para comprobar y/o diagnosticar la situación en que se encuentra ésta norma, analizar las siguientes preguntas y/o aspectos:

• Existe un sistema de indicadores de rendimiento implementado en la entidad para la puesta en marcha de acciones correctivas que disminuyan o eliminen las desviaciones importantes.

Oncena Norma: Función de Auditoria Interna independiente.

Las unidades de auditoria interna (o auditores internos) deben brindar sus servicios a toda la organización constituyendo un “mecanismo de seguridad” con el que cuenta la dirección para estar informada, con razonable certeza, sobre la confiabilidad del diseño y funcionamiento de su sistema de Control Interno.

La unidad de auditoria interna, debe estar subordinada al primer nivel de dirección, puede practicar los análisis, inspecciones, verificaciones y pruebas que considere necesarios en las distintas áreas o ciclos de operaciones.

La auditoria interna debe vigilar, en representación de la dirección, el adecuado funcionamiento del sistema, informando oportunamente a aquella sobre su situación. Por su parte, los mecanismos y procedimientos del Sistema de Control Interno protegen aspectos específicos de la operatoria, para brindar una razonable seguridad del éxito en el esfuerzo por alcanzar los objetivos de la organización.

Algunas tareas de la Auditoria Interna, que tributan a su función preventiva, son:

• Comprobar el cumplimiento del sistema de Control Interno y sus adecuaciones autorizadas, determinando su calidad, eficiencia y fiabilidad, así como la observancia de los componentes en que se fundamenta.

• Verificar el cumplimiento de las normas de contabilidad y de las adecuaciones que, para la entidad, hayan sido establecidas.

• Comprobar la calidad y oportunidad del flujo informativo y observar el cumplimiento de las funciones, autoridad y responsabilidad en cada ciclo de operaciones.

• Verificar la calidad, fiabilidad y oportunidad de la información que rinde la entidad, realizando los análisis correspondientes de los indicadores de desempeño.

• Comprobar el cumplimiento de la legislación económico-financiera vigente.

• Comprobar el cumplimiento de normas de todo tipo, resoluciones, circulares, instrucciones, etc. emitidas tanto internamente, como por los niveles superiores de la economía y el Estado.

• Verificar la calidad, eficiencia y confiabilidad de los sistemas de procesamiento electrónico de la información, con énfasis en el aseguramiento de la calidad de su Control Interno y validación.

Para comprobar y/o diagnosticar la situación en que se encuentra ésta norma, analizar las siguientes preguntas y/o aspectos:

• Se ha desarrollado un plan de Auditoría Interna, de existir auditores internos, y se ha puesto en funcionamiento, utilizándose y respetándose los resultados de la Auditoria Interna.


Grupo EUMEDNET de la Universidad de Málaga Mensajes cristianos

Venta, Reparación y Liberación de Teléfonos Móviles