Grupo 13, Coso I, COSO II, COSO III Y GUIA DE IMPLEMENTACION

 

[AUDITORIA I

MARCO INTEGRADO COSO DE GESTIÓN DE RIESGOS LOS INFORMES COSO I Y II I.

ANTECEDENTES 

1947 - Declaración tentativa de las Normas de Auditoría, su alcance y su



aceptación general. 1948 - omisión para estudiar el ontrol !nterno como doctrina importante.



198"- #e rea la Comisión Treadway.



199$ - #e constituye como un %enómeno mundial de gran aceptación en los sectores de negocios.

COSO - &ommittee o% #ponsoring 'rgani(ations o% t)e *read+ay ommission s una omisión voluntaria, ue %ue constituida por representantes de cinco organi(aciones del sector privado en // &198", ue son0     

 AAA - a Aso Asociación ciación Ame Americana ricana de onta2ilidad.  A!3A - l !nstituto Americano de ontadores 32licos erti%icados. 5! - 6ecutivos de 5inan(as !nternacional. !!A - l !nstituto de Auditores !nternos.  AN! - a Asociación Asociación Nacional de ontadores &a)ora el !!nstituto nstituto de ontadores  Administrativos 

on la %inalidad de proporcionar lidera(go intelectual %rente a tres temas interrelacionados0 1.- a gestión del riesgo empresarial & $.- l control interno, y .- a disuasión del %raude '#' estudia los %actores ue pueden dar lugar a in%ormación %inanciera %raudulenta y ela2ora te:tos y recomendaciones para todo tipo de organi(aciones y entidades reguladoras como el # &Agencia 5ederal de #upervisión de ercados 5inancieros y otros.

COSO I, COSO II Y COSO III GUIA PARA LA IMPLEMENTACION DEL SISTEMA DE CONTROL INTERNO DE LAS ENTIDADES PÚBLICAS 1

 

[AUDITORIA I

II. II.

INFO INFORM RME EC COS OSO O I C CON ONTR TROL OL IN INTE TERN RNO O A.

ANTECEDENTES! n 199$ la comisión pu2licó el primer in%orme “Internal Control - Integrated Framework”  denominado  denominado '#' !, con el o26eto de ayudar a las entidades a evaluar y me6orar sus sistemas de control interno, %acilitando un modelo en 2ase al cual pudieran valorar sus sistemas de control interno y generando una de%inición comn de ;control internos del emprendimiento, dise@ado para identi%icar los eventuales potenciales ue pueden a%ectar la entidad, y para administrar los riesgos ue se encuentran dentro de su apetito por el riesgo a %in de proveer seguridad ra(ona2le en relación con el logro de los o26etivos de la entidad. l '#' !! pretende ser una )erramienta para la administración de riesgos empresariales al desarrollar principios integrales, terminología comn y una guía pr?ctica de implementación, ue soporte los programas en las entidades, para desarrollar el proceso de la administración de riesgos.

C.

O"#ETI$OS

 

O,5ei2os esra60i/os. #e trata de los o26etivos esta2lecidos al m?s alto nivel, y relacionados con el esta2lecimiento de la misión y visión de la compa@ía.

28  

[AUDITORIA I

 

 

 

D.

O,5ei2os o3erai2os. #e trata de auellos relacionados directamente con la e%icacia y e%iciencia de las operaciones, incluyendo por supuesto o26etivos relacionados con el desempe@o y la renta2ilidad. O,5ei2os rea/ionados /on a in7orma/ión s4minisrada a er/eros.  #e trata de auellos o26etivos ue a%ectan a la e%ectividad del reporting de la in%ormación suministrada &interna y e:terna y va m?s all? de la in%ormación estrictamente %inanciera. O,5ei2os rea/ionados /on e /4m3imieno re04aorio re04aorio.. #e trata de auellos o26etivos relacionados con el cumplimiento por parte de la compa@ía con todas auellas leyes y regulaciones ue le son aplicación

"ENEFICIOS

 

 

 

 

 

 

 

 

Cono/imieno m?s e:)austivo de los riesgos ue a%ectan a la organi(ación, desde diversos puntos de vista &riesgos estrat>gicos, de reputación, operativos, regulatorios, de reporting, %inancieros, P Gesión m?s e%ica( del control so2re los riesgos, ya ue permite estar prevenido y anticiparse a los mismos. Ideni7i/a/ión 3roa/i2a y aprovec)amiento de oportunidades de di%erenciación %rente a competidores. Res34esa m?s r?pida y me6or a los cam2ios en el entorno a los mercados y a las e:pectativas de los grupos de inter>s. Ay4da en el cumplimiento con las e:igencias del regulador en materia de gestión y control de los riesgos del negocio. Asi0na/ión me6or y m?s e%iciente de recursos para la gestión de riesgos y oportunidades. Toma de de/isiones ;m?s seguras.

 

Me5ora de a re34a/ión corporativa de la compa@ía.

 

Mayor 3ro,a,iidad de >:ito de la implantación de la estrategia.

COM&ONENTES D DE EL COSO IIII  A di%erencia di%erencia del '#' !, este '#' se compone de 8 elementos0

'.  Am2iente de control (. sta2lecimiento de o26etivos ). !denti%icación de eventos Faloración oración de riesgos *. Fal

+. espuesta al riesgo .  Actividades de control . !n%ormación y comunicación H. onitoreo

30  

[AUDITORIA I

'. Am Am,i ,ien ene e de /on /onro ro! ! onstituye la 2ase de todos de los componentes de gestión de riesgos. 3roporciona disciplina y estructura e in%luye en la %orma como de2en ser esta2lecidas las estrategias y o26etivos organi(acionales, como se de2en estructurar las actividades empresariales y la %orma como los riesgos se de2en identi%icar, evaluar y tratar.  Asimismo, determina el dise@o dise@o y %uncionamiento de las actividades de control, control, los sistemas de in%ormación y las actividades de monitoreo. l am2iente interno determina la %orma como las personas en las organi(aciones de2en perci2ir y a a%rontar el control y el riesgo. sta2lece como 2ase %undamental de la empresa a las personas &integridad, los valores >ticos y la competencia y el entorno en el ue actan. l am2iente interno incluye0 la %iloso%ía de la gestión de riesgos, el apetito de riesgo, la integridad y los valores >ticos, el compromiso por la competencia, estructura organi(acional, asignación de autoridad y responsa2ilidad, y normas para recursos )umanos.

(. Es Esa, a,e/i e/imi mien eno o de o, o,5e 5ei2o i2os! s!  os o26etivos en la compa@ía de2en ser de%inidos antes de ue se determinen los riesgos ue puedan a%ectar el logro de los mismos. os o26etivos se de%inen a escala estrat>gica, de%iniendo con ellos una 2ase para los o26etivos operativos, de in%ormación y de cumplimiento. as organi(aciones se en%rentan a riesgos internos y e:ternos una condición %undamental para la identi%icación, evaluación y respuesta )acia los riesgos, es %i6ar los o26etivos ue de2en estar alineados con el riesgo aceptado por la compa@ía. a gestión de riesgos empresariales asegura ue la dirección )a de%inido un proceso para %i6ar o26etivos, ue los o26etivos seleccionados apoyan la misión de la entidad y se alinean con ella, y ue se es consistente con el riesgo aceptado. os o26etivos se dividen en cuatro categorías0 •

O,5ei2os esra60i/os! se relacionan con las metas de alto nivel, alineados con y apoyando la misión.

31  

[AUDITORIA I

•

•

•

O,5ei2os o3era/ionaes! relacionados con la e%ectividad y e%iciencia de las operaciones de la compa@ía. !ncluyen metas de desempe@o y de renta2ilidad. O,5ei2os de in7orma/ión 3resena/ión de re3ores%! relacionados con la e%ectividad de la presentación de reportes de la organi(ación. !ncluyen reporte interno y e:terno e in%ormación %inanciera y no %inanciera. O,5ei2os de /4m3imieno /4m3imieno!! relacionadas con el cumplimiento de leyes y regulaciones aplica2les.

). Ide Ideni ni7i/ 7i/a/i a/ión ón de Ries0o Ries0os! s! a administración identi%ica eventos potenciales, ue en caso de materiali(arse, a%ecten la compa@ía, y determina si representan oportunidades o si pueden a%ectar negativamente la capacidad de la empresa para llevar a ca2o su estrategia y lograr los o26etivos. as oportunidades se redireccionan )acia la estrategia o )acia los procesos para %i6ar o26etivos os %actores internos y e:ternos ue pueden generar riesgos a la organi(ación, incluyen0 -5actores e:ternos0 económicos, medioam2ientales, políticos, sociales, y tecnológicos. 5actores internos0 in%raestructura, personal, procesos, tecnología. Algunas t>cnicas para la identi%icación de riesgos son0 inventarios de riesgos &comunes a empresas de un determinado sector, o a un proceso o actividad especí%ica, an?lisis interno &mediante reuniones con el personal, dispositivos de escala o um2ral &dispositivos ue alertan a la dirección respecto a ?reas con pro2lemas comparando transacciones o eventos actuales con criterios prede%inidos, talleres de tra2a6o o entrevistas, an?lisis de %lu6o del proceso, indicadores de eventos importantes y metodología para datos de eventos con p>rdidas ®istro de eventos

*. $a $aor ora/i a/ión ón o E2a E2a4a 4a/ió /ión n de ries0o ries0os! s! a evaluación de riesgos %acilita a la administración el entendimiento de la %orma como los riesgos potenciales podrían impactar la consecución de los o26etivos. os riesgos se evalan desde una do2ley perspectiva mediante la com2inación de m>todos cualitativos cuantitativos.&pro2a2ilidad os riesgos eseimpacto, evalan en un do2le en%oue0 riesgo in)erente &auel ue una entidad en%rente en ausencia de controles para mitigar su pro2a2ilidad o impacto y riesgo residual &es el riesgo ue permanece despu>s de ue la administración )a implementado medidas de control.as t>cnicas cualitativas para la evaluación de riesgos, generalmente se utili(an cuando los riesgos no %acilitan su cuanti%icación o cuando no )ay disponi2le datos su%icientes y con%ia2les para una evaluación cuantitativa o la o2tención y an?lisis de ellos no resulte e%ica( por su alto costo.

+. Re Res3 s34e 4es saa aa rrie ies0 s0o! o! as t>cnicas cuantitativas otorgan m?s precisión y se usan en actividades comple6as, para complementar las t>cnicas cualitativas. Algunos e6emplos de t>cnicas cuantitativas de evaluación de riesgos son0

32  

[AUDITORIA I Henc)marMing0 proceso comparativo entre entidades, ue en%oca eventos o procesos concretos y compara medidas y resultados odelos pro2a2ilísticos0 se evala la pro2a2ilidad e impacto a partir de datos )istóricos o resultados simulados ue re%le6an )ipótesis de comportamiento %uturo odelos no pro2a2ilísticos0 aplican )ipótesis su26etivas para estimar el impacto

 



de eventos una pro2a2ilidad asociada cuanti%icada. as categorías desin respuesta al riesgo son0

E2iaro! #e toman acciones de modo de descontinuar las actividades ue generan riesgo Red4/iro! #e toman acciones de modo de reducir el impacto, la pro2a2ilidad de ocurrencia del riesgo o am2os. Com3ariro! #e toman acciones de modo de reducir el impacto o la pro2a2ilidad de ocurrencia al trans%erir o compartir una porción del riesgo. A/e3aro! No se toman acciones ue a%ecten el impacto y pro2a2ilidad de ocurrencia del riesgo.  Al seleccionar la respuesta al riesgo, se de2e anali(ar el e%ecto so2re la pro2a2ilidad y so2re el impacto, así como los costos y 2ene%icios y, %%inalmente, inalmente, se de2e seleccionar  

 

 

 

auella respuesta ue site el riesgo residual dentro de la tolerancia )acia el riesgo de%inida porallariesgo empresa.

. A/ A/i2 i2id idad ades es d dee /o /on nro ro! ! #on las políticas y procedimientos ue ayudan a asegurar ue se lleven a ca2o las medidas seleccionadas en respuesta a los riesgos identi%icados. as actividades de control se desarrollan en todos los niveles y en todas las %unciones. !ncluye actividades como0 apro2aciones, autori(aciones, veri%icaciones, conciliaciones, segregación de %unciones, seguridad de los activos y revisiones de %uncionamiento operativo.

. In7or In7orma/ ma/ión ión y //om4 om4ni/ ni/a/i a/ión! ón! as organi(aciones de2en identi%icar, captar y comunicar in%ormación relevante, en un modo y pla(o tal, ue las personas puedan llevar a ca2o sus responsa2ilidades. a in%ormación es necesaria en todos los niveles, para poder identi%icar, evaluar y responder a los riesgos. *odos *odos los %uncionarios de la organ organi(ación i(ación de2en reci2ir un mensa6e claro de la dirección, de considerar de %orma seria las responsa2ilidades de gestión de los riesgos organi(acionales, con el %in de ue puedan entender su papel en dic)a gestión y cómo las actividades individuales se relacionan con las actividades de los dem?s. De2e e:istir en las organi(aciones, medios e%icaces para comunicar )acia arri2a la in%ormación signi%icativa así como medios ue permitan un comunicación adecuada con terceros &clientes, proveedores, reguladores y accionistas.

H. Monioreo! a gestión dey riesgos empresariales de2e monitorear, condel el %in de determinar la presencia %uncionamiento de susse componentes a trav>s tiempo, mediante actividades permanentes de supervisión, evaluaciones independientes o una

33  

[AUDITORIA I com2inación de am2as. l alcance y %recuencia de las evaluaciones, depender? de la evaluación de riesgos y la e%icacia de los procedimientos de supervisión permanente.

F.

LIMIT IMITA ACIO ION NES DEL COS OSO O IIII

as in)erentes al sistema de control interno, son las mismas ue limitaciones tienen los sistemas de administración de riesgos0 

Juicios )umanos en la toma de decisiones.



esue2ra6amientos0 5allas )umanas &errores y euivocaciones



olusión de dos o m?s personas.



Des2ordamiento &violación del sistema de control interno por parte de la administración.

 

 An?lisis costo 2ene%icio de los controles. controles. ventos e:ternos ue a%ecten negativamente el negocio.

RELACION ENTRE COSO I Y COSO II

34  

[AUDITORIA I

COSO III '.- ACT>ALIDAD n mayo del $C1 se )a pu2licado la tercera vversión ersión '#' !!!. as novedades novedades ue introducir? este arco !ntegrado de estión de iesgos son0  e6ora de la agilidad de los sistemas de gestión de riesgos para adaptarse a los entornos  ayor con%ian(a en la eliminación de riesgos y consecución de o26etivos  ayor claridad en cuanto a la in%ormación y comunicación.  l pasado 14 de mayo se pu2licó la actuali(ación de '#' !.  a es o%icial, el ommitte o% #ponsoring'rgani(ations #p onsoring'rgani(ations o% t)e*read+ayommission t)e*read+ay ommission aca2a de pu2licar la esperada actuali(ación del arco so2re ontrol !nterno editado en 199$.

(.- ETA&AS No puede decirse ue )aya sido una la2or 2reve, pues como en la propia po+erpoint ue )a sido di%undida por el citado ommitte las etapas para conseguirlo )an sido0 $C1C. valuación y encuestas a las partes interesadas. $C11.. Dise@o y estructura marco actuali(ado $C11 $C1$. :posición p2lica, evaluación y me6oras $C1. 5inali(ación.

).- CAM"IOS

35  

[AUDITORIA I l camino recorrido en la actuali(ación )a permitido ue se )aya podido seguir con detalle la evolución de los cam2ios ue %inalmente se )an materiali(ado, por lo ue la primera conclusión es ue esta nueva edición no aporta sorpresas, pues sus previsi2les modi%icaciones la )emos podido conocer a lo largo del proceso, %undamentalmente desde la e:posición p2lica del 2orrador sometido a consulta.  Aunue a continuación podamos con algn detalle, podemos uedelos " componentes de ontrol !nternoverlo no varían con respecto al arco decir original 199$. No o2stante, los principios y puntos de en%oue sí ue )an introducido cam2ios claves todos ello con el o26etivo de me6orar y %acilitar la implantación y mantenimiento de #istema de ontrol !nterno.  A continuación continuación enumeramos dic)os cam2ios0       

#e aplica un en%oue 2asado en 17 principios.  Aclara la necesidad de esta2lecer los o26etivos o26etivos estrat>gicos como condición previa a la %i6ación de los o26etivos de ontrol !nterno. e%le6a la relevancia incrementada de la *e *ecnología cnología de la !n%ormación 5ortalece los conceptos de o2ierno orporativo.  Amplía el o26etivo del reporte %inanciero, pasando pasando a ser reporte en general. 5ortalece la consideración de las e:pectativas contra el %raude. onsidera los di%erentes modelos de negocio neg ocio y estructuras organi(acionales.

*.- &RINCI&IOS  A continuación detallamos estos diecisiete principios con los ue implementar un adecuado ontrol !nterno, relacion?ndolos con sus correspondientes elementos0

 Enorno de Conro  1.- a 'rgani(ación )a de demostrar su compromiso con la integridad y los valores >ticos. $.- e6ercer l onse6o de Administración de2e demostrar en la gestión y la supervisión del desarrollo y e6ecuciónindependencia del control interno. .- a alta dirección de2e esta2lecer, con la supervisión del onse6o de  Administración0 la estructura, líneas de reporting, autoridad y responsa2ilidad en la consecución de o26etivos. 4.- n sin%onía con los o26etivos, la 'rgani(ación de2e demostrar su compromiso para atraer, desarrollar, y retener personas competentes. ".- n la consecución de los o26etivos, la 'rgani(ación de2e disponer de personas responsa2les para atender sus responsa2ilidades de ontrol !nterno.  E2a4a/ión de Ries0os  Q.- a 'rgani(ación )a de especi%icar los o26etivos con su%iciente claridad para la identi%icación y evaluación de lossus riesgos relacionados. 7.- permitir a 'rgani(ación de2e identi%icar y evaluar riesgos. 8.- a 'rgani(ación gestionar? el riesgo de %raude.

36  

[AUDITORIA I 9.- a 'rgani(ación de2e identi%icar y evaluar los cam2ios importantes ue podrían impactar en el sistema de control interno.

 A/i2idades de Conro  1C.- a 'rgani(ación )a de seleccionar y desarrollar actividades de control ue contri2uyan a la mitigación de ylos riesgos para el logro enerales de sus o26etivos. 11.11.- a 'rgani(ación seleccionar? desarrollar? ontroles so2re *ecnología *ecnología de la !n%ormación 1$.- a 'rgani(ación implementa sus actividades de control a trav>s de políticas y procedimientos adecuados  In7orma/ión y Com4ni/a/ión  1.- a 'rgani(ación )a de generar la in%ormación relevante para respaldar el %uncionamiento de los otros componentes de ontrol !nterno. 14.- a 'rgani(ación compartir? internamente la in%ormación, incluyendo los o26etivos y responsa2ilidades para el control interno, necesaria para respaldar el %uncionamiento de los otros componentes de ontrol !nterno. 1".- a 'rgani(ación comunicar? e:ternamente las materias ue a%ecten al %uncionamiento de los otros componentes de ontrol !nterno.

 A/i2idades de Moniori9a/ión  1Q.- a 'rgani(ación llevar? a ca2o evaluaciones continuas e individuales, con el %in de compro2ar si los componentes del control interno est?n presentes y est?n %uncionando. 17.- a 'rgani(ación evala y comunica las de%iciencias de control interno. 3rincipios ue lógicamente introducen ciertos cam2ios en los componentes del ontrol !nterno, de los ue destacaríamos el correspondiente a la evaluación de los riesgos ue, a partir uede a)ora, )an decomo incluircriterios los conceptos de velocidad y persistencia los riesgos para evaluar la criticidad de los mismos.

La 2eo/idad de ries0o se re%iere a la rapide( con la ue impacta un riesgo en la organi(ación una ve( este se )a materiali(ado, es decir, )ace re%erencia al ritmo con el ue se espera ue la entidad e:perimente el impacto.  La 3ersisen/ia de un riesgo )ace re%erencia a la duración del impacto despu>s de ue le riesgo se )aya materiali(ado.  Adicionalmente a la actuali(ación de los " componentes de ontrol !nterno, tam2i>n se )a modi%icado la in%ormación acerca de los oles y esponsa2ilidades de los distintos participantes en el proceso, tales como0  as responsa2ilidades del ' y 5' para ue %ormalmente asuman la e%ectividad del control interno en ciertas 6urisdicciones.  a actividad a desarrollar por los distintos tipos de omit>s y su campo de actuación. 

37  

[AUDITORIA I





#e insiste en la necesidad de incorporar, aparte de los auditores e:ternos, a otros proveedores de aseguramiento evaluadores con los ue completar los di%erentes tipos de revisión ue puede reali(ar una entidad so2re su control interno &riesgos medioam2ientales, pr?cticas de comercio 6usto o seguridad la2oral, entre otros. #e recogen las e:igencias reguladoras y legislativas, como por e6emplo

#ar2anes-':ley o elso2re #istema de ontrol !nterno de laa !n%ormación 5inanciero espa@ol, la in%ormación distri2uida los mercados, por la ue la erencia de las compa@ías de2en certi%icar la e%icacia del control interno de su compa@ía so2re el reporte %inanciero.  #e incluye una sección especí%ica para los proveedores e:ternos de servicios, se@alando ue la Dirección no puede olvidar su responsa2ilidad en la gestión de los riesgos de los procesos e:ternali(ados. De2iendo implantar un programa para evaluar dic)as actividades reali(adas por otros en su nom2re, y evaluar la e%icacia del sistema de control interno so2re las actividades reali(adas por los proveedores e:ternos de servicios.  omo vemos los cam2ios no son complicados de entender, ya ue son consecuencia de la evolución acontecida a lo largo de los $C a@os de e:istencia de este protocolo. n concreto, y en opinión de los e:pertos ue )an opinado so2re el tema, de2ido %undamentalmente por0  a variación de los modelos de negocio como consecuencia de la glo2ali(ación.  /na mayor necesidad de in%ormación a nivel interno, %ruto de los cam2ios cada ve( m?s r?pidos en el entorno.  l incremento del nmero y comple6idad de las normativas aplica2les al mundo empresarial a nivel internacional.  as nuevas e:pectativas so2re la responsa2ilidad y competencias de los gestores de las organi(aciones.  l incremento de las e:pectativas de determinados grupos de inter>s &inversores, los reguladores, etc. so2re la prevención y detección del %raude.  l uso de las nuevas tecnologías y su constante desarrollo. 

as nuevas delalos reguladores y otros grupos de inter>s en relación a lae:igencias %ia2ilidad de in%ormación reportada.

 otivos por lo ue, el nuevo '#' no nos o2ligar? a introducir cam2ios inesperados en los procedimientos de ontrol !nterno aplica2les en las 'rgani(aciones, pues lo ue esta nueva edición representa la materiali(ación %ormal de los cam2ios ue evolutivamente se )a2ían o2servado necesarios introducir con los ue e%iciencia el ontrol !nterno de nuestras empresas, sin olvidar la inter-relación ue e:iste entre el denominado '#' !! & y el '#' !, ue a)ora se ve e:plícitamente reconocida.

38  

[AUDITORIA I

G48a 3ara a Im3emena/ión de Sisema de Conro Inerno de as enidades de Esado RESOL>CIÓN DE CONTRALORJA NK *+H-(H-CG

ene lineamientos, )erramientas y m>todos y, e:pone con mayor amplitud los conceptos utili(ados en las Normas de ontrol !nterno con la %inalidad de orientar su e%ectiva y adecuada implementación, y para coadyuvar a la me6ora de la gestión p2lica y al logro de los o26etivos y metas institucionales. NORMAS DE CONTROL INTERNO Y G>JA DE IM&LEMENTACIÓN

39  

[AUDITORIA I

Se conforma el comité de Control Interno que   A/a de Com3romiso 3ara a Im3emena/ión Implementará, mantendrá  CRCQR$CC9 de Conro Inerno en e INICTEL->NI  perfeccionará  perfeccion ará el !i!tema de control interno "SCI#

Ley (H' Ley de Conro Inerno

Reso4/ión de Conraor8a Genera N )((-CG

$e de Control Interno de la! entidade! del e!tado Contralor %eneral "e# aprue&a

18RC4R$CCQ

CR11R$CCQ

'orma! de Control  Interno.

Fe de Erraas RC-)(-(

 

Reso4/ión de Conraor8a Genera NK *+H(H-CG

1QR11R$CCQ Contralor %eneral autori(a apro&ar la “%u)a para la Implementaci*n CR1CR$CC8 del Si!tema de Control Interno de la! entidade! del +!tado” 

RES>MEN! a uía para la !mplementación del #istema de ontrol !nterno de las entidades del stado tiene como o26etivo principal proveer de lineamientos, )erramientas y m>todos a las entidades del stado para la implementación de los componentes ue con%orman el #istema de ontrol !nterno &#! esta2lecido en las Normas de ontrol !nterno &N!. Así tam2i>n se pueden se@alar los o26etivos siguientes0  

#ervir de re%erencia para la implementación o adecuación del #istema de ontrol !nterno, y 3romover la aplicación de una estructura de control interno uni%orme ue se adapte a cada entidad

40  

[AUDITORIA I

a ontraloría eneral de la ep2lica & )a ela2orado la presente guía con la %inalidad ue este constituya un documento ue permita una adecuada implementación del #istema de ontrol !nterno &#!, así como dar orientación so2re )erramientas de gestión ue se podrían implementar de acuerdo con la naturale(a y recursos de las entidades. on la %inalidad de %ortalecer la organi(ación y contri2uir al logro de sus o26etivos, la guía considera tres %ases para el proceso de implementación del #istema de ontrol !nterno &#!0 a primera %ase es la &ani7i/a/ión, la cual tiene como o26etivo la %ormulación de un 3lan de *ra2a6o ue incluya los procedimientos orientados a implementar adecuadamente el #!, en 2ase a un diagnóstico previamente ela2orado. #on aspectos in)erentes a esta %ase asegurar el compromiso de la Alta Dirección y la con%ormación de un comit> de ontrol !nterno a segunda %ase es la E5e/4/ión, en la ue se implantar? el #! en sus procesos, actividades, recursos, operaciones y actos institucionales, para lo cual la entidad procede al desarrollo del 3lan 3la n de *ra2a6o para la implantación del #! a tercera %ase es la E2a4a/ión, en la ue se evalan los avances logrados y las limitaciones encontradas en el proceso de implementación como parte de la autoevaluación mencionada en el componente de #upervisión.

'. &L &LA ANIFI NIFICA CACI CIÓN ÓN n esta %ase se considera la importancia de esta2lecer el compromiso de todos los niveles organi(acionales de la entidad y se plantea la %ormali(ación de dic)o compromiso mediante documentos ue re%le6en las acciones a seguir para la implementación. ntre las acciones sugeridas en esta %ase, est?n la %ormulación de un Diagnóstico de la situación actual del #! de la entidad, lo ue %acilitar? la posterior ela2oración de un 3lan de *ra2a6o. ste comprende las acciones apropiadas ue de2en seguirse para la implementación del #! ue asegure ra(ona2lemente su e%ectivo %uncionamiento. 3ara ello se plantean como condiciones previas la necesidad de contar con el ompromiso %ormal y por escrito de la Alta Dirección con el proceso de implementación y la constitución de un omit> de ontrol !nterno responsa2le del mismo.

'.'. COM& COM&ROM ROMISO ISO DE LA ALT ALTA A DI DIRECCI RECCIÓN ÓN s importante ue el *itular y la Alta Dirección se comprometan %ormalmente en la implementación del #!, así como velar por su e%ica( %uncionamiento. 3ara ello se sugiere ue las entidades cuenten con un documento ue evidencie dic)o compromiso en relación con el proceso de implementación, para lo cual se sugiere ela2orar un Acta de ompromiso u otro documento similar, así como la designación %ormal de los responsa2les. n tal sentido el comit> constituye una instancia a trav>s de la cual se monitorea el proceso de implementación del #!. 1.1. 1.1.1. 1. Acta Acta de comp compro romi miso so

41  

[AUDITORIA I a Alta Dirección de2er? suscri2ir y di%undir en toda la entidad el Acta de ompromiso, la ue pone de mani%iesto la necesidad e importancia de implementar un #! e%ica(. n dic)o documento se de2er? invocar a todos los servidores y %uncionarios, ue con%orman la entidad, para ue participen activamente en la implementación del #!. l Acta de2er? incluir la con%ormación de un comit> encargado de dirigir la adecuada implementación del #!. 1.1.2. 1.1 .2. Consti Constituc tución ión del Comité Comité

/n paso importante para implementar un #! e%ica( es la constitución de un omit> de ontrol !nterno encargado de poner en marc)a las acciones necesarias para la adecuada implementación del #! y su e%ica( %uncionamiento, a trav>s de la me6ora continua.

'. '.(. (. DIAG DIAGNÓ NÓST STIC ICO O l Diagnóstico se presenta como un medio de an?lisis para determinar el estado situacional actual del #!, con respecto a lo esta2lecido por las N! apro2adas por la . =a2i>ndose esta2lecido los compromisos de la Alta Dirección para el proceso de implementación del #!, el omit> de ontrol !nterno tendr? a su cargo la reali(ación de un Diagnóstico ue, mediante la recopilación, estudio y an?lisis del de l sistema de control interno e:istente en la entidad, permitir? tomar conocimiento de su situación actual y de su grado de desarrollo. l Diagnóstico ue constituye una etapa previa al proceso de implementación del #! en todos los niveles de la organi(ación, de2e ser reali(ado 2a6o el en%oue conocido como top do+n &descendente, de lo general )acia lo particular, esto uiere decir ue se empie(a con un diagnóstico de los controles ue est?n a un nivel general de la entidad, para luego pasar de manera progresiva a los controles ue est?n a nivel de procesos o actividades. os resultados del Diagnóstico de2en permitir a la entidad conocer las acciones necesarias a seguir para dar inicio a la etapa de implementación del #!. 3ara ello, como parte del diagnóstico, se de2er? evaluar, entre otros aspectos0 &i &i &ii &i i &ii &iii i &iv &i v &v &v &vi &vi &vi &vii i &viii &viii

el nive nivell de de d des esar arro rolllo y o org rgan ani( i(ac ació ión nd del el # #! ! los los el elem emen ento toss d de e co cont ntro roll  ue ue ccon on%o %orm rman an e ell ssis iste tema ma e: e:is iste tent nte e las de% de%ici icienc encias ias,, vvací acíos os y opo oportu rtunida nidades des de m me6o e6ora ra  ue ue pres present enta a el sis sistem tema a los los a6 a6us uste tess o m mod odi%i%ic icac acio ione ness u ue e de de2e 2en n de desa sarro rrollllar arse se los los co comp mpone onent ntes es y norm normas as d de e co cont ntro roll u ue e de de2e 2en n se serr iimpl mplem emen enta tado dos s las p prio riorid ridade adess en la im implem plement entaci ación ón &id &ident enti%i i%icac cación ión de llos os pr princ incipa ipales les p proc roceso esoss crí crític ticos os una es estim timaci ación ón de lo loss rec recurs ursos os ec económ onómico icos, s, ma mater terial iales es y de pe perso rsonal nal re reue uerid ridos os para para la implementación, los lineam lineamiento ientoss a consi considerar derar por e ell e euipo uipo insti institucio tucional nal p para ara ssu u pla plan n de tra2a6o. tra2a6o.

os resultados de2en ser plasmados en un in%orme ue ser? presentado a la Alta Dirección de la entidad, el mismo ue contendr? conclusiones y recomendaciones, producto del an?lisis reali(ado. *al *al in%ormación constituir? la 2ase para la %ormulación del 3lan de *ra2a6o para la implementación del #!. 1.2.1. 1.2 .1. Progra Programa ma de traba trabao o

42  

[AUDITORIA I 3ara dar inicio al proceso de diagnóstico, ser? necesario ue el omit> ela2ore y aprue2e un programa de tra2a6o, el cual contendr? las actividades a desarrollar y su cronograma. l programa contemplar?, entre otros, lo siguiente0  '26etivos del diagnóstico   Alcance del diagnóstico0 ontroles a nivel entidad o general 2a6o el marco de las N! N! 

Descripción actividades a desarrollar ronogramade delas tra2a6o &con %ec)as programadas de inicio y t>rmino esponsa2le de cada actividad.

 

1.2.2. 1.2 .2. Recopi Recopilac lación ión de infor informac mación ión

#e de2er? identi%icar, clasi%icar y seleccionar la in%ormación interna de tipo documental ue regule o contenga in%ormación relacionada con los controles esta2lecidos en la entidad, así como so2re sus procesos. Algunos de los documentos m?s comunes a consultar son0  'rganigrama  anuales &de organi(ación y %unciones, de procedimientos, entre otros  3olíticas institucionales   Acuerdos, o%icios, circulares y lineamientos internos     

3rincipales metas y o26etivos eportes estadísticos e indicadores !n%ormación %inanciera y presupuestal valuaciones, diagnósticos, in%ormes situacionales, entre otros '2servaciones, y recomendaciones de auditoría interna y e:terna.

 Asimismo, e:isten t>cnicas t>cnicas &ver2ales, oculares, document documentales ales y escritas ue permitir?n o2tener mayor in%ormación.

'. $er,aes! onsisten en o2tener in%ormación oral mediante averiguaciones o indagaciones dentro o %uera de la entidad, so2re posi2les de2ilidades en la aplicación de los procedimientos, pr?cticas de control interno u otrasser0 situaciones ue el evaluador considere relevantes. Algunas t>cnicas ver2ales pueden

a% Inda0a/ión! consiste en la averiguación mediante la aplicación de entrevistas directas al personal de la entidad o a terceros. ,% En/4esas cuestionarios o listas de veri%icación0 es la aplicación de preguntas, relacionadas con las acciones reali(adas por la entidad, para conocer la verdad de los )ec)os, situaciones u operaciones. (. O/4ares! onsisten en veri%icar en %orma directa y paralela, la manera cómo los responsa2les desarrollan y documentan los procesos o procedimientos, mediante los cuales la entidad e6ecuta sus actividades. Algunas t>cnicas oculares pueden ser0 a% O,ser2a/ión! consiste en la contemplación a simple vista, ue reali(a el euipo de tra2a6o durante la e6ecución de una actividad o proceso.

43  

[AUDITORIA I

,% Com3ara/ión o /on7rona/ión! es cuando se %i6a la atención en las operaciones reali(adas por la entidad y se contrastan con los lineamientos normativos de control esta2lecidos para ello, pudiendo descu2rir sus relaciones e identi%icar sus di%erencias. /% Re2isión see/i2a! radica en el e:amen de ciertas características importantes ue de2e cumplir una actividad, in%ormes o documentos, seleccion?ndose así parte de las operaciones ue ser?n evaluadas o veri%icadas. ). Do Do/4 /4me men na aes es!! onsisten en o2tener in%ormación escrita para soportar las a%irmaciones, an?lisis o estudios reali(ados por el evaluador. stas pueden ser0 a% Com3ro,a/ión! Com3ro,a/ión! consiste en veri%icar la evidencia ue apoya o sustenta las operaciones evaluadas, con el %in de corro2orar su autoridad, legalidad, integridad, propiedad, veracidad. ,% Re2isión ana8i/a! consiste en el an?lisis de índices, indicadores, tendencias y la investigación de las %luctuaciones, variaciones y relaciones ue resulten inconsistentes o se desvíen de las operaciones pronosticadas. *. Es/rias! onsisten en re%le6ar in%ormación importante para el tra2a6o del evaluador, tal como las ue se se@alan a continuación0 a% An;isis! consiste en la separación de los elementos o partes ue con%orman una operación, actividad, o proceso, con el propósito de esta2lecer sus propiedades y con%ormidad con los criterios de orden normativo y t>cnico permite identi%icar y clasi%icar  para su posterior an?lisis, todos los aspectos de mayor signi%icación y ue en un momento dado pueden a%ectar la operatividad de la entidad por e6emplo, el an?lisis de las N! versus las políticas normativas internas esta2lecidas por la entidad ,% Con7irma/ión Con7irma/ión!! radica en corro2orar la verdad, certe(a o pro2a2ilidad de )ec)os, situaciones, sucesos u operaciones, mediante datos o in%ormación o2tenidos de manera directa y por escrito de los %uncionarios o terceros ue participan o e6ecutan las operaciones por e6emplo, se puede con%irmar a trav>s de encuestas ue el personal de la entidad desconoce el accionar del control interno en las operaciones ue reali(a /% Ta,4a/ión! se reali(a mediante la agrupación de los resultados importantes o2tenidos en las ?reas y elementos anali(ados para arri2ar o sustentar las conclusiones por e6emplo, las encuestas reali(adas al personal de la entidad pueden ser ta2uladas con la %inalidad de cuanti%icar los resultados.

1.2.!. 1.2 .!. An"lis An"lisis is de de infor informac mación ión

l omit> de ontrol interno e%ectuar? el an?lisis a la in%ormación o2tenida como resultado de la aplicación del programa de tra2a6o, con el %in de identi%icar las de2ilidades de control ue presente el #! de la entidad, en relación con las N!. 3ara ello se recomiendan algunas )erramientas ue van a %acilitar el an?lisis de la in%ormación, las cuales podr?n ser utili(adas en %orma individual o com2inada, tales como las ue se se@alan a continuación.

'. &r4e &r4e,a ,ass se see e/ /i2 i2as as.. 3ermiten simpli%icar la la2or total de evaluación mediante la selección de muestras ue a 6uicio del evaluador sean representativas del alcance total de la revisión.

44  

[AUDITORIA I s %acti2le tam2i>n ue se puedan aplicar t>cnicas de muestreo con la %inalidad de o2tener una selección adecuada. A la muestra seleccionada se le aplicar?n prue2as con la %inalidad de identi%icar las de2ilidades de control respectivas. 3or e6emplo, de todos los procesos ue tiene la entidad se de2er?n seleccionar algunos. De e:istir de2ilidades en >stos, se podr? concluir so2re el resto del universo.

(. a En nre re22is isa ass es una de las %uentes primarias de in%ormación para la o2tención de entrevista in%ormación so2re políticas de control ue podrían estar pendientes de implementación. as entrevistas podr?n ser desarrolladas a nivel personal o grupal. ). En/4esas as encuestas son tiles para o2tener in%ormación estadística so2re una muestra representativa de las unidades de in%ormación seleccionadas &personal, 6e%es, gerentes, directores, entre otros ue componen el universo de evaluación. a in%ormación ue se o2tenga como resultado de su aplicación podr? ser organi(ada de %orma cuantitativa y cualitativa. l an?lisis de esta in%ormación permitir? o2tener de2ilidades de control interno ue no se )ayan podido identi%icar mediante prue2as o revisiones selectivas. 3or e6emplo, se puede desarrollar encuestas de percepción al personal de la entidad so2re el %uncionamiento del #! en lade entidad loscontroles mismos ue podrían 2rindar in%ormación so2re el de%iciente %uncionamiento algunos esta2lecidos por la entidad.

*. C4 C4es esion ionari arios os y is isas as de 2e 2eri7 ri7i/a i/a/ió /ión n l desarrollo de cuestionarios y listas de veri%icación ser? con 2ase en criterios, normas de control, 2uenas pr?cticas y otros aspectos adicionales ue el evaluador considere ue la entidad de2a cumplir. a in%ormación ue se o2tenga como resultado de la aplicación de estas )erramientas podr? ser0 S Falidada a trav>s de prue2as de veri%icación, S Anali(ada a trav>s de t>cnicas cualitativas y cuantitativas. os cuestionarios y listas de veri%icación de2er?n ser desarrollados con apoyo de todas las unidades, gerencias y 6e%aturas de la entidad.

1.2. 1.2.#. #. An"l An"lis isis is $orma $ormati ti%o %o

omo parte del diagnóstico se reali(ar? un an?lisis de la normativa interna ue e:iste con respecto de las N!. Tste consistir? en ela2orar una concordancia del marco normativo interno de la entidad &resoluciones, directivas, reglamentos entre otros con las N!. a normativa interna viene dada por auellos procedimientos, actividades, tareas y controles ue regulan las operaciones de la entidad para el logro de los o26etivos institucionales. l an?lisis de la normativa interna de2er? ser reali(ado considerando los o26etivos de cada uno de los componentes de las N!.  A continuación continuación se presenta en el uadro 1 un modelo de oncordancia oncordancia Normativa del #!.

45  

[AUDITORIA I

1.2.&.. 'dentifica 1.2.& 'dentificación ción de Debili Debilidade dades s ( Fortal Fortale)as e)as

5inalmente, tomando en consideración el an?lisis e%ectuando a la entidad con respecto a las N!, se podr? mostrar los resultados de %orma agrupada, por cada componente, identi%icando las de2ilidades &con sus causas causas y las %o %ortale(as rtale(as del #!.

Com3onenes

De,iidades

Forae9as

Ca4sas

 Am2iente de ontrol valuación de iesgos  Actividades de ontrol !n%ormación y #upervisión Ula2oración0 omisión omisión de ela2oración de la uía para la implementación del #!. 1.2.*. 1.2 .*. 'nform 'nforme e Diagn Diagnóst óstico ico

s el documento ue contiene los resultados del diagnóstico al #!, el cual se presentar? al titular o a uien )aga sus veces. #u o26etivo es proporcionar in%ormación a la Dirección para su toma de decisiones en lo ue respecta a la adecuada implementación y me6ora del #!. 3revio a su presentación, de2e )a2er sido discutido por el euipo de tra2a6o responsa2le del diagnóstico y puesto a consideración de la Dirección de la entidad para su validación. ntre otros aspectos, el !n%orme de Diagnóstico permitir? esta2lecer0 S l nivel de desarrollo, organi(ación y vigencia del #! actual S os elementos de control ue con%orman el #! e:istente S as de%iciencias, vacíos y oportunidades de me6ora ue presenta el #! en operación S os a6ustes o modi%icaciones ue de2en e%ectuarse S os componentes y normas de control ue de2en ser implementados, y su priori(ación S !denti%icación de los principales procesos y ?reas críticas S as normas internas pendientes a implementar o actuali(ar  S /na estimación de los recursos económicos, materiales y de personal reueridos para la implementación S os lineamientos a considerar por el omit> de ontrol !nterno para su plan de tra2a6o.

ESTR>CT>RA DE INFORME DE DIAGNOSTICO

46  

[AUDITORIA I

'.).

&LAN DE TRA"A#O

l 3lan de *ra2a6o es el documento por el cual se de%inir? el curso de acción a seguir para la implementación del #!. omo insumo principal para la ela2oración del 3lan de *ra2a6o, se considerar?n los resultados proporcionados del !n%orme de Diagnóstico conducentes a la implementación de las N!. as acciones consideradas en el 3lan de *ra2a6o de2en guardar correlación con los planes operativos de la entidad, con el %in de asegurar los recursos necesarios y la sosteni2ilidad del mismo.

47  

[AUDITORIA I

#e de2e considerar dos &$ %ases en la ela2oración del 3lan de *ra2a6o0  

Descripción de actividades y cronograma. Desarrollo del 3lan de *ra2a6o.

Des/ri3/ión De A/i2idades Y Crono0rama #e de2er? identi%icar las acciones conducentes a implementar del #!. n ese sentido, los pasos a seguir ser?n0 &a !denti%icar y designar a las personas responsa2les para el dise@o del plan, uienes a su ve( de2er?n de%inir las )erramientas o medios necesarios ue les permitan alcan(ar los o26etivos a tra(ar en el plan &2 Determinar los tiempos y pla(os a considerar &c la2orar un cronograma de e6ecución de las actividades incluyendo la %ec)a de culminación. s necesariode se@alar ue adicionalmente al 3lan de *ra2a6o, se de2erían considerar otros documentos coordinación tales como0 un cronograma general, la estructura organi(ativa, los roles y responsa2ilidades y el plan de comunicación.

Desarroo de &an de Tr Tra,a5o a,a5o 3ara su desarrollo de considerar?n los siguientes aspectos0 &a str structura uctura organi organi(ativ (ativa a sta2lecer los niveles de autoridad y responsa2ilidad para el desarrollo y e6ecución del plan de tra2a6o en concordancia con la planeación. Dic)as responsa2ilidades y autoridades se de2en claramente. A modo de e6emplo, se puede asumir la estructura mostrada en el uadrode%inir siguiente.

48  

[AUDITORIA I

&2 la2or la2oración ación d del el cron cronograma ograma general Documento por el cual se organi(a de manera resumida el 3lan de *ra2a6o *ra2a6o en sus diversas etapas y en los tiempos programados para su e6ecución. Dic)a in%ormación, adicional al conocimiento del desarrollo de la implementación de las N!, 2rindar? un mecanismo de control con respecto del cumplimiento de los tiempos y grados de avance. &c la2oración detallada del 3lan 3 lan de *ra2a6o. 3resentación de las diversas %ases ue componen las etapas del plan de tra2a6o, en la cual se descri2en las actividades a desarrollarse para la consecución del o26etivo de implementar  el #!. l 3lan de *ra2a6o de2e contemplar aspectos de%inidos por la Alta Dirección y de2e contener  2?sicamente0 Reglamento de Funciones

#e ela2ora y %ormali(a sus o26etivos y las %unciones de sus integrantes, esta2leciendo la metodología y documentación a emplear, así como el lugar, periodicidad y )orario de sus reuniones de tra2a6o. Pro%isión de recursos

l euipo de tra2a6o de2e determinar o26etivamente para cada una de las actividades programadas los recursos ue reuerir? para su e6ecución. Al respecto, considerar? ue el costo de los insumos, actividades e implementación en general de2e ser lo mínimo posi2le y no mayor a los resultados o 2ene%icios previstos.

Capacitación

l euipo de tra2a6o de2e de%inir las necesidades de capacitación para dar cumplimiento a los o26etivos y actividades del 3lan. a capacitación a2ordar? los conceptos, características

49  

[AUDITORIA I y dem?s aspectos necesarios para el adecuado dise@o, implementación y evaluación de la estructura de control interno.

(. E#EC>CIÓN n esta etapa se se@alaran pautas y 2uenas pr?cticas para la implementación o adecuación de #! de acuerdo a lo l o se@alado por la normativa vigente. Auí se desarrollan detalladamente cada uno de los componentes se@alados en las N! y se proponen )erramientas ue pueden ayudar a la gestión de las entidades del stado su implementación. l omit> o euipo encargado de la implementación o adecuación del #! empe(ar?  tomando en cuenta el 3lan de *ra2a6o ela2orado en la etapa de plani%icación. a implementación se desarrollar? de manera progresiva tomando en cuenta las  siguientes %ases0 1. !mplementación a nivel entidad $. !mplementación a nivel de proceso.

(.'. IM&LEMENTACIÓN A NI$EL DE ENTIDAD n esta %ase se iniciar? con el dise@o e implementación de auellos controles ue est?n a nivel entidad o general, estos a%ectan al mismo tiempo a toda la entidad es decir a todos los procesos, actividades y unidades de la organi(ación. n esta %ase del proceso de implementación, se esta2lecer? las políticas y normativas de control necesarias para la salvaguarda de los o26etivos institucionales, 2a6o el marco de las N!. Asimismo, Asimismo, esta %ase ser? previa a la implementación a nivel de procesos o actividades, ya ue si no se dise@an e implementan los controles adecuados ue a%ectan al %uncionamiento organi(acional de la entidad no tendr? sentido uerer esta2lecer o dise@ar controles ue a%ecten a las actividades de los procesos ya ue los mismos no garanti(ar?n el cumplimiento de los o26etivos institucionales por e6emplo0 #i no se cuenta con un adecuado plan estrat>gico ue de%ina claramente los o26etivos institucionales en cumplimiento de la misión, no se podr?n esta2lecer procesos y actividades e%icaces ue produ(can logros y metas l no esta2lecer políticas ue %omenten y controlen los actos >tica e integridad en el personal, no se podr? garanti(ar la disminución actos de corrupción en las operaciones No se podr? esta2lecer y dise@ar controles en las actividades y tareas si previamente no se tiene identi%icado y documentados los procesos de la institución. De esta manera el an?lisis propuesto comien(a con implementar primero el #! a nivel entidad para luego descender a implementar los controles ue regulan a los procesos y actividades.

50  

[AUDITORIA I De otro lado los resultados o2tenidos en la etapa de plani%icación ser?n de utilidad para de%inir las políticas y disposiciones de control necesarias a implementar, tomando en cuenta los lineamientos esta2lecidos en las N!. omponentes se@alados en las N!0 

Im3emena/ión de /om3onene am,iene de /onro De acuerdo con las N!, la importancia de este componente radica en el esta2lecimiento de una cultura de control interno mediante el e6ercicio de lineamientos y conductas apropiadas. l am2iente de control es la 2ase ue sostiene a los dem?s componentes del control interno. #in un sólido am2iente de control el adecuado esta2lecimiento de los dem?s componentes resulta ine%ica(, tal como en toda 2uena construcción es %undamental colocar 2uenos cimientos, ya ue sin ellos sería imposi2le ue una construcción sea esta2le y duradera. s preciso se@alar ue los controles ue se esta2lecer?n en este componente son auellos ue a%ectar?n a toda la organi(ación &nivel de entidad.

 

Im3emena/ión de /om3onene e2a4a/ión de ries0os 3ara implementar el presente componente se dise@ar? y aplicar? una metodología para la administración de riesgos, identi%icando, anali(ando, valorando y dando dan do respuesta a los riesgos ue est? e:puesta la institución, optimi(ando los recursos disponi2les a trav>s de la minimi(ación de las p>rdidas ue pudieran presentarse como por la no consecución de sus o26etivos. s preciso se@alar ue el presente componente permitir? la identi%icación de riesgos a nivel de entidad y a nivel de procesos, para el primer caso estar?n en %unción a los o26etivos institucionales de car?cter general y el segundo en %unción de los o26etivos de cada proceso.

 

Im3emena/ión de /om3onene a/i2idades de /onro 0eren/ia a implementación del componente actividades de control gerencial estar? relacionada con el anterior componente de evaluación de riesgos y de2er? ser aplicada de manera con6unta y en %orma continua. Asimismo, las actividades de control gerencial ue se presentan en la N! podr?n ser implementados tanto a nivel de entidad como a nivel de procesos.

 

Im3emena/ión de /om3onene de in7orma/ión y /om4ni/a/ión l presente componente 2usca implementar los mecanismos y soportes de la in%ormación y comunicación dentro de una entidad.

 

Im3emena/ión de /om3onene s43er2isión

51  

[AUDITORIA I l presente componente permitir? cerrar el proceso de control interno dentro de una entidad 2uscando garanti(ar la adecuada implantación de los controles y su %uncionamiento.

(.( IM&LEMENTACIÓN A NI$EL DE &ROCESOS a adecuación a una gestión por procesos por parte de la entidad, ser? %undamental para el desarrollo de una implementación o me6oramiento de controles a este nivel. l tener identi%icados los procesos contri2uye a ue la entidad pueda identi%icar de2ilidades y aportar en la e%iciencia de las operaciones. l )ec)o de contri2uir a me6oras en la entidad, constituye el me6oramiento continuo a trav>s del cual se logra ser m?s productivo pr oductivo y competitivo. Dado ue un proceso tiene la capacidad de cru(ar )ori(ontal y verticalmente a toda la entidad nos va a permitir conocer a toda la entidad y %ocali(arnos en0 • Identifcar los puntos críticos de riesgo operativo del proceso

• Evaluar las tres “E” (efciencia efcacia ! econo"ía# de la entidad so$re la $ase $ase de o$ o$ etivos etivos est estrat rat& & icos icos instit instituci uciona onales les

• Identifcar ! proponer acciones preventivas de la ocurrencia de eventos no deseados (riesgos# ! 'ue sean preponderantes so$re los correctivos

• ro"over la adopci)n de "e%oras evitando su proli*eraci)n

• ro"over la adopci)n de "e%oras evitando su proli*eraci)n

• Aplicar las +,I para evitar la discrecionalidad en el e%ercicio de *acultades o en la aplicaci)n de recursos

• roponer "ecanis"os de autocontrol ! autoevaluaci)n-

52  

[AUDITORIA I

ara la i"ple"entaci)n del .,I a nivel de procesos se re'uiere 'ue al "enos la entidad reali/a los siguientes pasos0

a+ ,a entidad debe tener pleno conocimiento de las condiciones -ue identifican un  proceso •

De2e descri2ir las entradas y salidas

•

l proceso cru(a uno varios límites l ímites organi(ativos %uncionales

•

/na característica de los procesos es ue son capaces de cru(ar vertical y )ori(ontalmente toda la organi(ación

•

/n proceso responde a la pregunta del Ku>L y no al KcómoL

•

De2e ser %?cilmente comprendido por cualuier persona de la entidad

•

l nom2re asignado a cada proceso de2e estar relacionado con los conceptos y actividades ue se reali(an.

b+ 'dentificación de los procesos

#e de2e contar con una lista de los procedimientos, actividades y tareas ue reali(a la empresa, tomando en consideración0 l nom2re asignado al proceso de2e ser representativo de lo ue conceptualmente representa la totalidad de las actividades ue desarrolla la empresa de2en estar incluidas en alguno de los procesos listados la %orma m?s sencilla de identi%icar procesos propios es tomar como re%erencia otras listas a%ines al sector en el cual se mueven y tra2a6an so2re la misma aportando las particularidades de cada uno. s conveniente ue el euipo de tra2a6o a cargo identi%iue en el mismo proceso los ciclos de 3lani%icar-=acer-Feri%icar-Actuar 3lani%icar-=acer-Feri%icar-Actuar &iclo de me6ora continua. c+ Diagrama de Fluo

De acuerdo a las actividades identi%icadas en el proceso, est?s de2er?n representarse a trav>s de un diagrama, en el ue se puedan identi%icar con claridad los su2procesos y %lu6os de in%ormación. os diagramas validarsegr?%ica por parte los responsa2les proceso. l diagrama de %lu6o esde2er?n una descripción delde proceso, ue puede de serdic)os entendida por todos los niveles de la entidad se de2e cuidar ue re%le6en %ielmente las

53  

[AUDITORIA I actividades, nivel de personal responsa2le, tiempos de e6ecución tipo de actividad, %ormato de la in%ormación y controles e:istentes, entre otros aspectos.

d+ Priori)ación de procesos

/na ve( esta2lecido la lista de los procesos de la entidad por el euipo de tra2a6o se de2er? identi%icar los procesos críticos. 3ara la determinación de los procesos críticos, el euipo de tra2a6o de2e calcular el impacto del proceso, para cada proceso a revisar, se de2e determinar una valoración de la importancia del proceso tomando en cuenta cuan involucrados se encuentran con los o26etivos estrat>gicos y las metas institucionales. 1a entidad i"ple"entar2 esta *ase progresiva"ente co"en/ando con sus procesos críticos para luego seguir con los restantes para esto e sto el co"it& o e'uipo encargado de i"ple"entar reali/ara lo siguiente0



%ectuar? el seguimiento al proceso seleccionado, identi%icando primero, los o26etivos ue est?n involucrados en todo el proceso.



#eguidamente se identi%icar? y evaluar? los riesgos o eventos negativos ue di%iculten el logro de los o26etivos del proceso. l an?lisis de los riesgos consiste en la identi%icación y an?lisis de los puntos críticos ue podrían a%ectar la consecución de las metas y o26etivos de los procesos, se reali(ar? so2re in%ormación registrada en el diagrama de %lu6o, adem?s de la o2tenida por o2servación directa. Asimismo, los elementos de control y los riesgos ue se identi%iuen, ser?n se@alados en los diagramas de %lu6o.

l desempe@o de una entidad puede verse amena(ado tanto por %actores internos como e:ternos dic)os %actores, a su ve(, pueden incidir en las metas y o26etivos. a evaluación de riesgos de una entidad de2e tener en cuenta eventos adversos ue puedan surgir, siendo esencial ue los riesgos m?s relevantes sean identi%icados. Despu>s de ue se )ayan identi%icado los riesgos del proceso de2en llevarse a ca2o un an?lisis y administración de los mismos a trav>s de matrices y mapas de riesgos. 

/na ve( clasi%icados y cuanti%icados los riesgos se de2en identi%icar los controles ue permitirían mitigar los riesgos, para esto se de2e e%ectuar una evaluación a la su%iciencia de estos mediante prue2as de cumplimiento, lo cual permitir? implementar, dise@ar y esta2lecer los controles necesarios. Asimismo, se de2er? tener en cuenta las

54  

[AUDITORIA I características y el cumplimiento de cada actividad de control con los o26etivos de control interno. 

l euipo o comit> de implementación de2er? determinar criterios y par?metros para medir el nivel del control en cuanto a criterios de e%iciencia, e%icacia y economía. A continuación se presenta un e6emplo de matri( para la evaluación, dise@o y determinación de los controles necesarios.

e+ Diagnóstico al proceso

s el resultado de la evaluación de los controles actuales y de los riesgos del proceso, los mismos ue de2en descri2irse en %orma precisa y clara. l diagnóstico descri2e los aspectos especí%icos de la pro2lem?tica detectada, las de2ilidades del sistema de control interno, así como los riesgos ue pudieran a%ectar el cumplimiento de las metas y o26etivos esta2lecidos para el proceso evaluado. omo punto %inal del diagnóstico es la incorporación de las acciones de me6oras a 6uicio del euipo acorde la normativa correspondiente, sean m?s convenientes prevenirdeo tra2a6o dar solución dearaí( a la pro2lem?tica y minimi(ar loslas riesgos detectados. para

). E$AL>ACIÓN DEL &ROCESO DE IM&LEMENTACIÓN #iguiendo el proceso de implementación del #!, la %ase de evaluación se presenta de %orma alternada y posterior a la evolución de las %ases de plani%icación y e6ecución. ste proceso de evaluación de2er? ser e%ectuado en concordancia con las necesidades y consideraciones ue la entidad esta2le(ca como pertinentes, las cuales tendr?n como o26etivo principal determinar con certe(a ue los procedimientos y mecanismos esta2lecidos se desarrollen de %orma adecuada. n los casos ue como producto de esta evaluación se detecten desviaciones o incumplimientos sustanciales, se de2er? tomar las medidas ue modi%iuen los procedimientos para reorientar el cumplimiento del o26etivo programado. l resultado de esta evaluación 2usca o2tener in%ormación ue aporte a la retroalimentación en el proceso de implementación del #!. 3ara ello se sugiere ue el in%orme contenga como mínimo lo siguiente0 1. /beti%os #e identi%icar?n auellos o26etivos ue se uiere lograr en la presente

valuación 2. Alcance0 star? determinado por el periodo de evaluación !. Cumplimiento del plan de trabao #e evaluar? la utilidad ue se le )a dado, y cómo se

)an desarrollado las actividades en el proceso de implementación, así mismo, se e:aminar? si es conveniente cam2iar, agregar o retirar alguna actividad ue no sea indispensa2le.

55  

[AUDITORIA I *a *am2i>n m2i>n se podr? se@alar so2re las di%icultades o inconvenientes ocasionados durante la e6ecución de las actividades y dem?s situaciones ue de2an ser mencionadas #. Cronograma de acti%idades s necesario revisar los pla(os de e6ecución de las

actividades ue %ueron programadas, si estas %ueron reali(adas acorde al cronograma y si el tiempo %ue su%iciente para llevarlas a ca2o &. Recursos necesarios s importante determinar si los recursos &)umanos, logísticos y

de in%ormación )an sido su%icientes *. Desempe0o de los e-uipos de trabao ( participantes #e evaluar? el tra2a6o de los

euipos designados o participantes en el desarrollo de las di%erentes actividades se tendr? en cuenta si se reuiere de una mayor participación de la organi(ación, con la %inalidad de apoyar la2ores especí%icas e6ecución de . ,imitaciones o debilidades Auellas ue )ayan sido detectadas durante la e6ecución la implementación . Conclusiones ( recomendaciones #e incluir?n auellas acciones correctivas ue es

necesario implementar para la me6ora del proceso de implementación. Asimismo, en %orma resumida se determinar? el nivel de implementación alcan(ado.

56  

[AUDITORIA I

CONCL>SIONES

De2emos anali(ar y re%le:ionar detenidamente so2re el cam2io ue vivimos, para poder  evaluar sus tendencias y prever sus e%ectos, a %in de determinar lo ue a partir de )oy de2emos reali(ar para ayudar a las organi(aciones a de%inir nuevos )ori(ontes ue ma:imicen oportunidades.

Despu>s de la reali(ación del presente tra2a6o, )emos llegado a las siguientes conclusiones0 n el marco de control postulado a trav>s del !n%orme '#', la interrelación de los cinco componentes &Am2iente de control, valuación de riesgos, Actividades Actividades de control, !n%ormación y comunicación, y #upervisión genera una sinergia con%ormando un sistema integrado ue responde din?micamente a los cam2ios del entorno. Atendiendo a necesidades gerenciales fundamentales, los controles se entrela(an a las actividades operativas como un sistema cuya e%ectividad se acrecienta al incorporarse a la in%raestructura y %ormar parte de la esencia de la institución. #in em2argo por una serie de esc?ndalos, e irregularidades ue provocaron p>rdidas importante a inversionistas, empleadoso%y otros grupos de inter>s, nuevamente o% #ponsoring 'rgani(ations t)e *read+ay ommission, se vio en el la ommittee necesidad de emitir el arco de ontrol denominado '#' !! ue segn su propio te:to no contradice al '#' !, siendo am2os marcos conceptualmente compati2les. l modelo coso !! complementa una metodología de gran relevancia para toda auella organi(ación ue desee estar a la vanguardia en cuanto a la me6ora continua de sus procesos. l )ec)o de poder identi%icar eventos ue puedan a%ectar a las organi(aciones de manera adelantada es un paso delante, una %orma de actuar proactiva ue redunda en 2ene%icios para las organi(aciones si se toman las medidas de corrección necesarias en el tiempo adecuado. n virtud de lo cual, como podemos ver en el modelo coso !!, la respuesta a los riesgos es un componente necesario ya ue no es su%iciente con detectarlos y medirlos sino tam2i>n se de2en anali(ar las diversas %ormas de a%rontarlos.

57  

[AUDITORIA I

De2emos anali(ar y re%le:ionar detenidamente so2re el cam2io ue vivimos, para poder  evaluar sus tendencias y prever sus e%ectos. s nuestro propósito actuar como agentes del cam2io y, por tanto, es nuestra responsa2ilidad estar a la vanguardia vanguard ia del cam2io.

"I"LIOGRAFJA Li,ros! &

Mania #amuel. &$CCC. ontrol !nterno structura onceptual !ntegrada. #egunda edición. coe diciones.

&;0inas we,! &

adino, nriue.