Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE COMERCIO Y ADMINISTRACIÓN UNIDAD TEPEPAN SEMINARIO: LA AUDITORÍA INTERNA COMO INSTRUMENTO PARA LA TOMA DE DECISIONES GERENCIALES. TEMA: IMPLEMENTACIÓN DEL CONTROL INTERNO EN “GRUPO NUEVOS EMPRESARIOS XACUR, S.A. DE C.V. INFORME FINAL QUE PARA OBTENER EL TITULO DE: CONTADOR PÚBLICO. PRESENTAN: NADIA ARIAS AVILES CESAR ARTURO FAJARDO PEREZ NANCY LILIA FLORES GORIBAR DULCE LIZETTE HERNANDEZ FLORES ALMA DELIA HILARIO MONTES CONDUCTOR DEL SEMINARIO: CARLOS MARTINEZ ESTRELLA. México, D. F. Agosto de 2005. 2 AGRADECIMIENTOS AL INSTITUTO POLITECNICO NACIONAL. A una de las Instituciones más importantes y reconocidas de nuestro país como formadora de profesionistas a la cual nos enaltece pertenecer. Agradecemos todo el apoyo otorgado para la culminación de nuestros estudios. A LA ESCUELA SUPERIOR DE COMERCIO Y ADMINISTRACIÓN. Sabiendo que jamás existirá alguna forma de retribuir su apoyo y esfuerzo brindado a través de sus aulas y de la enseñanza que recibimos, adquiriendo las armas necesarias para desempeñar nuestra profesión de una forma competente, de calidad y con miras a la superación personal y profesional. A LOS PROFESORES. Por el esfuerzo y dedicación para transmitir sus conocimientos, haciendo con esto una enseñanza de calidad fortaleciendo nuestra educación, preparándonos para enfrentar las adversidades que la profesión requiere. 3 ÍNDICE GENERAL. Agradecimientos. 2 Planteamiento del problema. 8 Justificación. 8 Objetivo. 8 Introducción. 9 CAPITULO I. CONTROL INTERNO. 1.1 ¿Qué es el Control Interno? 11 1.2 Definición de Control Interno. 12 1.3 Objetivos del Control Interno. 13 1.4 Clases de Control Interno. 18 1.5 Estructura del Control Interno. 26 1.6 Ventajas y Desventajas del Control Interno. 36 1.7 Técnicas de Evaluación del Control Interno. 38 1.8 El Control Interno y los Resultados Económicos. 59 1.9 Control Interno Informático. 62 1.10 Tableros de Control. 63 1.11 Procedimientos Administrativos. 66 CAPITULO II. CICLO DE TRANSACCIONES. 2.1 Información y Comunicación. 73 2.2 Valor del Sistema de Control Interno. 80 2.3 Pruebas de Cumplimiento y las Sustantivas. 80 2.4 Ciclo de Transacciones. 83 2.5 Clasificación de las Transacciones. 84 2.5.1. Ciclo de Tesorería. 94 2.5.2. Ciclo de Ventas y Cuentas por Cobrar. 99 2.5.3. Ciclo de Compras y Cuentas por Pagar. 104 2.5.4. Ciclo de Sueldos y Prestaciones a Empleados. 109 2.5.5. Ciclo de Producción. 113 2.5.6. Ciclo de Informes Financieros. 119 CAPITULO III. LA AUDITORIA INTERNA Y EL CONTROL INTERNO. 4 3.1.1 La Auditoría Interna. 127 3.1.1 Antecedentes. 127 3.1.2 Concepto. 128 3.1.3 Definición. 128 3.1.4 Objetivo. 129 3.1.5 Finalidad. 129 3.1.6 Posición Organizacional. 130 3.2 Ventajas de la Auditoría Interna. 131 3.3 Lineamientos del Trabajo de la Auditoría Interna. 135 3.4 Alcance de la Auditoría Interna. 135 3.5 Auditoría Informática. 139 3.5.1. Antecedentes. 139 3.5.2. El papel del Auditor en el Análisis de Sistemas. 141 3.5.3. Función de la Auditoría Informática. 148 CAPITULO IV. INFORME COSO Y OTROS SISTEMAS DE CONTROL. 4.1 Informe COSO. 152 4.1.1. Antecedentes. 152 4.1.2. Definición del Informe COSO. 153 4.1.3. Definición de COSO de Control Interno. 153 4.1.4. Conceptos Claves del Control Interno. 153 4.1.5. Aseveraciones. 154 4.1.6. Componentes. 154 4.1.6.1. Ambiente de Control. 155 4.1.6.2. Evaluación de Riesgos. 155 4.1.6.3. Actividades de Control. 156 4.1.6.4. Información y Comunicación. 157 4.1.6.5. Supervisión. 159 4.2 Informe COCOA. 160 4.2.1. Antecedentes. 160 4.2.2. Fundamento Legal. 161 4.2.3. Integración del Cómite. 162 4.2.4. Objetivo del Cómite. 164 4.2.5. Políticas de Operación del Cómite. 165 4.2.6. Atribuciones del Cómite. 170 4.2.7. Atribuciones de los Integrantes del Cómite. 173 5 4.2.8. Informes y Reportes. 175 4.3 Informe COBIT. 178 4.3.1. Antecedentes. 179 4.3.2. Misión, Alcance y Objetivos. 180 4.3.3. Características y Usurarios. 180 4.3.4. Principios (requerimientos de la información, recursos de TI y procesos de TI). 181 4.3.5. Estructura COBIT. 184 4.3.6. Modelo de Metodología COBIT para la Implementación de la Auditoría. 184 4.4 Informe SAC. 186 4.4.1. Antecedentes y Definición. 186 4.4.2. Componentes y Clasificación. 187 4.4.3. Objetivos de Control y Riesgos y el Rol del Auditor Interno. 188 4.4.4. Aseguramiento de Calidad. 189 4.4.5. ISO 9000. 191 4.4.5.1. ¿Qué es ISO? 192 4.4.5.2. ¿Quién desarrolló la serie de estándares ISO 9000? 192 4.4.5.3. ¿Qué son las serie de estándares ISO 9000? 193 4.4.5.4. ¿Cómo trabajan las Series ISO 9000? 193 4.4.5.5. ¿Cuáles son los documentos que forman la serie ISO 9000? 193 4.4.5.6. ¿Quién las esta utilizando? 194 4.4.5.7. ¿Son realmente comprensibles los estándares? 194 4.5 Comparación entre Controles Internos: COBIT, SAC, COSO. 196 4.5.1. Tabla Comparativa de Atributos de Control Interno. 197 4.5.2. Comparación de COBIT, SAC y COSO. 198 4.5.3. Componentes de los Informes SAC, COBIT y COSO. 199 4.5.4. Problemas de Control Interno que Reportan los Informes. 202 4.5.5. Periodo de Tiempo Contra un Momento Dado. 203 4.5.6. Herramientas. 203 4.6 Normas Oficiales Mexicanas. 204 4.7 Dirección General de Normas. 204 4.8 Comisión Nacional de Normalización. 205 4.9 Requisitos para la Certificación de las Normas Oficiales Mexicanas. 207 CAPITULO V. GRUPO NUEVOS EMPRESARIOS XACUR, S. A. DE C. V. 5.1 Breve Descripción de los Plásticos. 207 5.2 Marco Histórico. 211 6 5.3 Orígenes del Negocio. 215 5.3.1 Plano de Ubicación. 216 5.3.2 Mapa de las Instalaciones de la Empresa. 217 5.4 Visión. 218 5.5 Misión. 218 5.6 Valores Empresariales. 219 5.7 Propósitos. 219 5.8 Recursos Humanos. 219 5.9 Recursos Materiales. 220 5.10 Recursos Técnicos. 220 5.11 Recursos Financieros. 220 5.12 Principales Clientes. 220 5.13 Productos. 221 5.14 Funciones de Cada Departamento. 221 5.14.1. Gerencia Administrativa. 221 5.14.2. Contabilidad. 221 5.14.3. Producción. 221 5.14.4 Almacén. 222 VI CASO PRÁCTICO. 6.1 Justificación de Auditoria Interna. 225 6.2 Carta de Presentación del Proyecto de Auditoria Interna. 228 6.3 Designación del Personal que Realiza la Auditoria. 231 6.4 Programa de Auditoria del Departamento de de Ventas. 233 6.5 Solicitud de Documentos de la Empresa. 236 6.5.1 Proceso de Fabricación de las Bolsas de Basura. 238 6.5.2 Estructura Organizacional. 240 6.5.3 Descripción de puestos. 240 6.5.4 Manuales de procedimientos. 244 6.6 Papeles de Trabajo del Auditor Interno. 258 6.6.1 Cuestionario para el Perfil de la Empresa. 259 6.6.2 Cuestionario por Departamento. 260 6.6.3 Estudio de Premisas. 262 6.6.4 Cuestionario de Operaciones del Departamento de Ventas. 268 6.6.5 Cedulas de Análisis de Ventas. 290 7 6.6.6 Cedulas de Hallazgos. 293 6.6.7 Organigrama de la Empresa Propuesto por Auditoria. 295 6.6.8 Nuevo Manual de Procedimientos. 296 6.6.9 Flujo grama de Control de Pedidos. 302 6.6.10 Flujo grama de Facturación. 303 6.6.11Flujo grama de Cuentas por Cobrar. 304 6.7 Informe. 306 CONCLUSIONES. 310 BIBLIOGRAFIA. 312 8 PLANTEMIENTO DEL PROBLEMA Es fundamental para que una empresa sea competitiva y líder en el mercado, contar con un control interno bien definido, donde se especifique cada una de las actividades que deben seguirse para evitar los malos manejos, fraudes, perdidas, e incluso accidentes que pueden ser perjudiciales para que la organización siga en el mercado. Es poreso la importancia del control, por que sin ello, las organizaciones pueden tener demasiados contratiempos para que sus productos o servicios sigan en el mercado, pues si no se tienen delineadas las políticas y procedimientos a seguir, no puede haber avance dentro de la organización. JUSTIFICACIÓN Consideramos que una empresa que tenga un Control Interno bien cimentado, tiene las bases para permanecer y competir en un entorno globalizado, ya que permite conocer las debilidades transformándolas en fortalezas y asimismo las amenazas para convertirlas en oportunidades. OBJETIVO Adquirir el conocimiento teórico y practico del control interno y ser capaz de comprender el plan de organización en todos los procedimientos coordinados de manera coherente a las necesidades de la organización, para proteger y resguardar sus activos, verificar su exactitud y confiabilidad de los datos contables, así como también llevar la eficiencia, productividad y custodia en las operaciones para estimular la adhesión a las exigencias ordenadas por la gerencia. 9 INTRODUCCIÓN La importancia de tener un buen sistema de control interno en las organizaciones, se ha incrementado en los últimos años, esto debido a lo práctico que resulta al medir la eficiencia y la productividad al momento de implantarlos; en especial si se centra en las actividades básicas que ellas realizan, pues de ello dependen para mantenerse en el mercado. La empresa que aplique controles internos en sus operaciones, conducirá a conocer la situación real de la misma, es por eso, la importancia de tener una planificación que sea capaz de verificar que los controles se cumplan para darle una mejor visión sobre su gestión. Todos los departamentos que conforman una empresa son importantes, pero, existen dependencias que siempre van a estar en constantes cambios, con la finalidad de afinar su funcionamiento dentro de la organización. Resulta claro, que dichos cambios se pueden lograr implementando y adecuando controles internos, los cuales sean capaces de salvaguardar y preservar los bienes de un departamento o de la empresa. Podemos afirmar que un departamento que no aplique controles internos adecuados, puede correr el riesgo de tener desviaciones en sus operaciones, y por supuesto las decisiones tomadas no serán las más adecuadas para su gestión e incluso podría llevar al mismo a una crisis operativa. Dichos controles se deben establecer con el objeto de reducir el riesgo de pérdidas y en sus defectos prever las mismas. Sea cual sea la aplicación del control que se quiere implementar para la mejora organizativa, existe la posibilidad del surgimiento de situaciones inesperadas. Por lo tanto es necesario aplicar un control preventivo, siendo estos los que se encargaran de ejecutar los controles antes del inicio de un proceso o gestión administrativa. Adicionalmente, se cuentan con controles de detección de los cuales se ejecutan durante o después de un proceso, la eficacia de este tipo de control dependerá principalmente del intervalo de tiempo transcurrido entre la ejecución del proceso y la ejecución del control. En el capítulo I mencionamos los conceptos básicos del control interno así como sus clases, estructura, ventajas, desventajas, técnicas y los procedimientos administrativos con el objeto de saber como aplicar el control interno dentro la una organización. En el capítulo II se analizan las pruebas de cumplimiento sustantivas; así como los ciclos de transacciones y su clasificación de cada uno de estos. 10 En el capítulo III tratamos de los conceptos básicos de la auditoría interna relacionandola con el control interno. En el capítulo IV mostramos cada uno de los diferentes informes y otros sistemas de control, para hacer efectivo el control interno dentro de una empresa. En el capítulo V damos una breve descripción de su origen, visión, misión, valores empresariales, propósitos, los recursos con los que cuenta y las funciones que cada departamento tiene dentro de lo que es “GRUPO NUEVOS EMPRESARIOS XACUR, S. A. DE C. V.” En el capítulo VI culminamos con un caso práctico el cual contiene los sistemas y procedimientos para la implementación del departamento de Auditoría Interna tomando en cuenta los objetivos de desarrollo. Para ello se realizara una revisión detallada de los pasos a seguir en la fabricación de sus productos para detectar posibles deficiencias que pudieran determinar la óptima calidad de sus productos. 11 CAPITULO I. CONTROL INTERNO. 1.1 ¿Qué es el Control Interno? “El control interno es un proceso que lleva a cabo la Alta Dirección de una organización y que debe estar diseñado para dar una seguridad razonable, en relación con el logro de los objetivos previamente establecidos en los siguientes aspectos básicos: Efectividad y eficiencia de las operaciones; confiabilidad de los reportes financieros y cumplimiento de leyes, normas y regulaciones, que enmarcan la actuación administrativa.” 1 De este concepto se extraen cinco elementos fundamentales: q El control interno es un proceso. Es un medio para conseguir un fin, no un fin en sí mismo. q El control interno lo llevan a cabo las personas en cada nivel de la organización. q El control interno solo puede aportar un grado de seguridad razonable, no la seguridad total, ya sea a la administración o a la dirección. q El control interno piensa facilitar la consecución de los objetivos en una o más de las diferentes categorías. Los elementos fundamentales de esta definición se describen a continuación. Proceso: constituye una serie de acciones que se extienden por todas las actividades de una entidad. Los procesos de negocios, que se llevan a cabo dentro de las unidades y funciones de la organización, se coordinan en función de los procesos de gestión básicos de planificación, ejecución y supervisión. Las Per sonas: el control interno lo autoriza el consejo de administración, la dirección y los demás miembros de la entidad. Lo realizan los miembros de una organización, mediante sus acciones y palabras. Son las personas quienes establecen los objetivos de la entidad e implantan los mecanismos de control. Los empleados deben conocer sus responsabilidades y los límites de su autoridad. Segur idad Razonable: el control interno solo puede entregar un grado de seguridad razonable a la dirección y al consejo de administración a cerca de conseguir los objetivos de la organización. Las 1 www.gestiopolis.com/dirgp/fin/auditoria.htm tomado de la página de Internet el 05 Abril 2005. http://www.gestiopolis.com/dirgp/fin/auditoria.htm 12 posibilidades de conseguirlo se ven afectadas por las limitaciones que son inherentes a todos los sistemas de control interno. En ella incluye, las opiniones dadas en la toma de decisiones pueden ser erróneas, los encargados de analizar los costos y beneficios, pueden tener problemas en el funcionamiento del sistema como consecuencia de falla humana, tan simple como un error o equivocación. Objetivos: pueden establecerse para la organización como conjunto o dirigirse a determinadas actividades dentro de la misma. Aunque muchos objetivos son específicos de una sola entidad, otros son ampliamente compartidos. Los objetivos pueden clasificarse en tres categorías: q Operacionales: referente a la utilización eficaz y eficiente de los recursos de la entidad. q Información financiera: referente a la preparación y publicación de estados financieros fiables. q Cumplimiento: referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables. La consecuciónde dichos objetivos, basados en gran medida en las normas impuestas por terceros ajenos a la entidad, solo depende de cómo se llevan a cabo las actividades desarrolladas bajo el control de la entidad 2 . “El control interno comprende el plan de organización en todos los procedimientos coordinados de manera coherente a las necesidades del negocio, para proteger y resguardar sus activos, verificar su exactitud y confiabilidad de los datos contables, así como también llevar la eficiencia, productividad y custodia en las operaciones para estimular la adhesión a las exigencias ordenadas por la gerencia.” 3 1.2 Definición del Control Interno. El control interno no tiene el mismo significado para todas las personas, lo cual causa confusión entre empresarios y profesionales, legisladores, reguladores, etc. En consecuencia, se originan problemas de comunicación y diversidad de expectativas, lo cual da origen a problemas dentro de las empresas. “La definición de control interno se entiende como el proceso que ejecuta la administración con el fin de evaluar operaciones especificas con seguridad razonable en tres principales categorías: Efectividad y 1 http://html.rincondelvago.com/controlinternodeoperaciones.html tomado de la página de Internet el 26 Abril 2005. 2 www.monografias.com/trabajos10/coni.shtml tomado de la página de Internet el 06 Abril 2005. http://html.rincondelvago.com/control-interno-de-operaciones.html http://www.monografias.com/trabajos10/coni.shtml 13 eficiencia operacional, confiabilidad de la información financiera y cumplimiento de políticas, leyes y normas.” 4 “El control interno comprende el plan de organización y todos los métodos y procedimientos que en forma coordinada se adoptan en una entidad para salvaguardar sus activos, verificar la razonabilidad y confiabilidad de su información financiera, promover la eficiencia operacional y provoca adherencia a las políticas preescritas por la administración”. 5 “El control interno consiste en un plan coordinado entre la contabilidad, las funciones de los empleados y los procedimientos establecidos, mediante el cual la contabilidad controla, hasta donde sea posible, las operaciones principales del negocio, y el trabajo de los empleados se complementa en tal forma que ninguno tenga el control absoluto sobre alguna operación importante, de modo que no puedan existir fraudes ni errores a menos que se confabulen dos o más empleados para realizarlo.” 6 “El control interno comprende el plan de organización y todos los métodos coordinados y medidas adoptadas dentro de una empresa, para salvaguardia de sus activos, controlar la exactitud y confiabilidad de sus datos contables, promover la eficiencia operativa y alentar la adhesión y las políticas gerenciales establecidas.” 7 Por lo tanto se define al control interno como los métodos y lineamientos que sigue la administración para que la empresa funcione adecuadamente en todos sus procedimientos y operaciones para lograr el mayor éxito y sea una empresa competitiva en el mercado. 1.3 Objetivos del Control Interno. El objetivo es definir los elementos de la estructura del control interno y establecer los procedimientos normativos aplicables a su estudio y evaluación, como un aspecto fundamental al establecer la estrategia de auditoria así como señalar los lineamientos que deben seguirse al informar sobre debilidades o desviaciones al control interno. 8 De manera más detallada los objetivos que persigue el control interno son: 4 www.gpaniaguas.com/archivos/internalcontrol.doc tomado de la página de Internet el 06 Abril 2005. 5 5 www.geocities.com/geh48/Aacint.html tomado de la página de Internet el 06 Abril 2005. 6 Sistema de Control Interno, Finanzas y Contabilidad, Luis V. Manrara Galan, México, 1944. 7 Comité de Procedimientos de Auditoría, Instituto Americano de Contadores Públicos Diplomados, 1948. 8 http://www.universidadabierta.edu.mx/Biblio/C/CorreaCONTROL%20INTERNO.html tomado de la página de Internet el 4 de Abril 2005. http://www.gpaniaguas.com/archivos/internalcontrol.doc http://www.geocities.com/geh48/Aacint.html http://www.universidadabierta.edu.mx/Biblio/C/Correa-CONTROL%20INTERNO.html 14 a. Proteger los activos de la organización evitando pérdidas por fraudes o negligencias. b. Asegurar la exactitud y veracidad de los datos contables y extracontables, los cuales son utilizados por la dirección para la toma de decisiones. c. Promover la eficiencia de la explotación del negocio. d. Estimular el seguimiento de las prácticas ordenadas por la alta dirección. e. Promover y evaluar la seguridad, la calidad y la mejora continua. f. Que la ejecución de las operaciones se adhiera a las políticas establecidas por la administración de la empresa. Debido a que el Control Interno es un proceso integrado a los procesos, y no un conjunto de pesados mecanismos burocráticos añadidos a los mismos, efectuado por el consejo de la administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar una garantía razonable para el logro de objetivos incluidos en las siguientes categorías: q Eficacia y eficiencia de las operaciones. q Confiabilidad de la información financiera. q Cumplimiento de las leyes, reglamentos y políticas. q Completan la definición algunos conceptos fundamentales: q El control interno es un proceso, es decir un medio para alcanzar un fin y no un fin en sí mismo. q Lo llevan a cabo las personas que actúan en todos los niveles, no se trata solamente de manuales de organización y procedimientos. q Sólo puede aportar un grado de seguridad razonable, no la seguridad total, a la conducción. q Está pensado para facilitar la consecución de objetivos en una o más de las categorías señaladas las que, al mismo tiempo, suelen tener puntos en común. Al hablarse del control interno como un proceso, se hace referencia a una cadena de acciones extendida a todas las actividades, inherentes a la gestión e integrados a los demás procesos básicos de la misma: planificación, ejecución y supervisión. Tales acciones se hallan incorporadas (no añadidas) a la infraestructura de la entidad, para influir en el cumplimiento de sus objetivos y apoyar sus iniciativas de calidad. Según la Comisión de Normas de Control Interno de la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI), el control interno puede ser definido como el plan de organización, y el conjunto de planes, métodos, procedimientos y otras medidas de una institución, tendientes a ofrecer una garantía razonable de que se cumplan los siguientes objetivos principales: q Promover operaciones metódicas, económicas, eficientes y eficaces, así como productos y servicios de la calidad esperada. 15 q Preservar al patrimonio de pérdidas por despilfarro, abuso, mala gestión, errores, fraudes o irregularidades. q Respetar las leyes y reglamentaciones, como también las directivas y estimular al mismo tiempo la adhesión de los integrantes de la organización a las políticas y objetivos de la misma. q Obtener datos financieros y de gestión completos y confiables y presentados a través de informes oportunos. Para la alta dirección es primordial lograr los mejores resultados con economía de esfuerzos y recursos, es decir al menor costo posible. Para ello debe controlarse que sus decisiones se cumplan adecuadamente, en el sentido que las acciones ejecutadas se correspondan con aquéllas, dentro de un esquema básico que permita la iniciativa y contemple las circunstancias vigentes en cada momento. Por consiguiente, siguiendo los lineamientosde INTOSAI, incumbe a la autoridad superior la responsabilidad en cuanto al establecimiento de una estructura de control interno idónea y eficiente, así como su revisión y actualización periódica. Ambas definiciones (COSO e INTOSAI) se complementan y conforman una versión amplia del control interno: la primera enfatizando respecto a su carácter de proceso constituido por una cadena de acciones integradas a la gestión, y la segunda atendiendo fundamentalmente a sus objetivos. 9 Otra clasificación básica del control interno. Los objetivos básicos del control interno son: q La protección de los activos de la empresa. q La obtención de información financiera veraz, confiable y oportuna. q La promoción de eficiencia en la operación del negocio. q Que la ejecución de las operaciones se adhiera a las políticas establecidas por la administración de la empresa. 10 Los primeros dos objetivos cubren el aspecto de controles internos contables y los dos últimos se refieren a controles internos administrativos. Los objetivos generales del control interno contable son: 9 http://www.gpaniaguasc.com/archivos/internalcontrol.doc tomado de la página de Internet del 21 Abril 2005. 10 Manual de Control Interno, Rubén Oscar Rusenas, Ediciones Macchi, 1999, Pág. 26 http://www.gpaniaguasc.com/archivos/internalcontrol.doc 16 q Objetivos de autorización. Todas las operaciones deben realizarse de acuerdo con autorizaciones generales o especificaciones de la administración. q Objetivos de procesamiento y clasificación de transacciones. Todas las operaciones deben registrarse para permitir la preparación de estados financieros de conformidad con las Normas de Información Financiera o de cualquier otro criterio aplicable a dichos estados y para mantener en archivos apropiados datos relativos a los activos sujetos a custodia. q Objetivos de salvaguarda física. El acceso a los activos solo debe permitirse de acuerdo con autorizaciones de la administración. q Objetivos de verificación y evaluación. Los datos registrados relativos y los activos sujetos a custodia deben compararse con los activos existentes a intervalos razonablemente y tomar las medidas apropiadas respecto a las diferencias que existan. Así mismo deben existir controles relativos a la verificación y evaluación periódica de los saldos que se informan en los estados financieros, ya que este objetivo complementa en forma importante a los mencionados anteriormente. Cuando hablamos de los objetivos de los controles contables internos podemos identificar dos niveles: q Objetivos generales de control interno aplicables a todos los sistemas. q Objetivos de control interno aplicables a ciclos de transacciones. Los objetivos generales de control aplicables a todos los sistemas, se desarrollan a partir de los objetivos básicos del control interno, siendo más específicos para facilitar su aplicación. Los objetivos de control de ciclos, se desarrollan a partir de los objetivos generales de control de sistemas, para que se apliquen a las diferentes clases de transacciones agrupadas en un ciclo. Los objetivos generales de control interno de sistemas pueden, a su vez, analizarse para precisar objetivos específicos, de la manera siguiente: Objetivos de autorización. q Las autorizaciones deben estar de acuerdo con criterios establecidos por el nivel apropiado de administración. q Las transacciones deben ser validas para conocerse y someterse a su aceptación oportunamente. 17 q Las transacciones que reúnan los requisitos establecidos por la administración, deben reconocerse como tales y procesarse oportunamente. Los resultados de procesamiento de transacciones deben informarse oportunamente están respaldados por archivos adecuados. Objetivos de procesamiento y clasificación de transacciones. Las transacciones deben clasificarse en forma tal que permitan la preparación de los estados financieros de conformidad con principios de contabilidad generalmente aceptados y el criterio de la administración. Las transacciones deben quedar registradas en el mismo periodo contable cuidando específicamente que lo sean aquellas que afectan más de un ciclo. La agrupación de transacciones en ciclos de actividades, tiene por objeto facilitar el estudio y evaluación del control interno pero no deja de ser convencional. De hecho, se pueden identificar tantos ciclos como resulte práctico. Lo importante es que cuando existan enlaces entre los diferentes ciclos éstos se identifiquen claramente para verificar que se han hecho cortes de operación adecuados. Objetivos de salvaguarda física. El acceso a los activos debe permitirse únicamente de acuerdo con autorización de la administración. Objetivos de verificación y evaluación. El contenido de los informes y de las bases de datos y archivos debe verificarse y evaluarse periódicamente. Estos objetivos de control interno de sistemas son aplicables a todos los ciclos. No se trata de que se usen directamente para evaluar las técnicas de control interno de una empresa, únicamente representan una base para desarrollar objetivos específicos de control interno por ciclos de transacciones que sean aplicables a una empresa individual. 18 1.4 Clases de Control Interno. 1) Atendiendo al momento en que se actúa: 1. Controles preventivos: establecen las condiciones necesarias para que el error no se produzca. Como ejemplos de controles preventivos tenemos la segregación de funciones, la estandarización de procedimientos, las autorizaciones, los passwords, o los formularios prenumerados. 2. Controles detectivos: Identifican el error pero no lo evitan, actuando como alarmas que permiten registrar el problema y sus causas. Sirven como verificación del funcionamiento de los procesos y de sus controles preventivos. Como ejemplos tenemos la validación de los datos de entrada, cuando se realiza con posterioridad al procesamiento de dichos datos, los totales de control, los controles cruzados, o los controles de supervisión, estos últimos se componen de cuatro tipos de controles: 1. Controles de aplicaciones. 2. Controles de Tecnologías de la Información. 3. Controles de usuario. 3. Controles cor rectivos: Permiten investigar y rectificar los errores y sus causas, están destinados a procurar que las acciones necesarias para su solventación sean tomadas. Como ejemplos tenemos los listados de errores, las evidencias de auditoría o las estadísticas de causas de errores. Los controles de supervisión: Son procedimientos utilizados para la dirección para poder alcanzar los objetivos del negocio y así controlarlo. Este tipo de controles proporcionan a la dirección (y por lo tanto, a los auditores) seguridad en cuanto a la fiabilidad de la información financiera. Dichos controles pueden estar incluidos, de un modo intrínseco, en las actividades recurrentes de una entidad o consistir en una evaluación periódica independiente, llevada a cabo normalmente por la dirección. La frecuencia de estas evaluaciones depende del juicio de la dirección. Mediante estos controles podremos detectar errores significativos y realizar un control continuo de la fiabilidad y de la eficacia de los procesos informáticos. 1. Controles de Supervisión: Controle de las Aplicaciones. Son un conjunto de procedimientos programados y manuales diseñados especialmente para cada aplicación con el fin de cumplir con objetivos específicos de control utilizando una o más técnicas. Los podemos clasificar en: 19 q Controles sobre captura de datos: sobre altas demovimientos, modificaciones de movimientos, consultas de movimientos, mantenimiento de los ficheros. q Controles de proceso de datos: normalmente se incluyen en los programas. Se diseñan para detectar o prevenir los siguientes tipos de errores (entrada de datos repetidos, procesamiento y actualización de ficheros o ficheros equivocados, entrada de datos ilógicos, pérdida o distorsión de datos durante el proceso). q Controles de salida y distr ibución: Los controles de salida se diseñan para asegurarse de que el resultado del proceso es exacto y que los informes y demás salidas los reciben solo las personas que estén autorizadas. Para solucionar deficiencias de control de una aplicación será necesario retroceder a las etapas iniciales teniendo en cuenta que: q Los controles deben contemplar la secuencia de los procesos (manuales y programados) de una aplicación. Muchos controles de aplicación serán efectuados por personas, pero dependerán del ordenador, siendo una combinación de procedimientos de control programados y controles de los usuarios. Dado que muchos controles de aplicación dependen de procedimientos contables y/o de controles programados y el correspondiente procesamiento informático, la eficacia de los controles de las aplicaciones, y, en consecuencia, el logro de los objetivos de control de las mismas, casi siempre dependerán de los controles informáticos. q Las técnicas aplicadas se diseñan para cubrir toda la vida de una transacción o documento, desde su inicio hasta su destino final en el ordenador. q La extensión y rigidez de los controles pueden ser diferentes dependiendo de que los datos sean permanentes o transitorios. q Prestar especial consideración al objetivo verdadero de cada control, evaluando el coste de operación del control y las pérdidas que podría generar su omisión. Totalidad de las entr adas. Las técnicas de control utilizadas para asegurar la totalidad de las entradas son: q Conciliación de totales. Un ejemplo de conciliación de totales sería comprobar que el auxiliar de proveedores coincide con el saldo de proveedores en el sistema central. Otro ejemplo sería comprobar que el saldo con el banco según extracto bancario coincide con el saldo según contabilidad, y si no es así buscar las partidas conciliatorias. q Ver ificación de la secuencia numér ica. Comprobar que los documentos siguen la secuencia numérica de manera establecida de manera que no falte ningún documento. q Confrontación de ficheros. 20 q Comprobación uno por uno. Exactitud de la entr ada. Las técnicas de control utilizadas para asegurar la exactitud de las entradas son: q Conciliación de totales. q Confrontación de ficheros. q Comprobación uno por uno. q Controles de validación o edición. Prueba de existencia: ¿la información introducida concuerda con información similar existente en un fichero maestro (como ejemplo de documento maestro de una empresa tenemos el fichero con los datos de todos nuestros clientes) o de referencia? Prueba de pantalla: los detalles correspondientes a un código o a un número de partida se visualizan en pantalla para que el usuario pueda comprobar dichos detalles. Prueba de dependencia: ¿tienen sentido los datos introducidos? El ordenador puede comprobar una relación predeterminada entre los datos. Prueba de sintaxis o de formato: se comprueba que ‘únicamente se introduzcan datos numéricos cuando el campo sea numérico o datos alfanuméricos, cuando el campo sea alfanumérico. Prueba de razonabilidad: consiste en verificar si el valor de un dato está comprendido entre los límites lógicos previamente definidos. Autor ización de las entr adas. Las técnicas de control utilizadas para asegurar la autorización de las entradas son: q Momento de la autorización. q Confrontación programada. q Autorización manual. q Autorización en línea. Los controles sobre las entradas de datos deben contemplar procedimientos de actuación con las transacciones erróneas que son rechazadas por los controles preventivos. 21 En sistemas de autorización en línea los errores se detectan en el momento de su entrada, las medidas correctivas se pueden iniciar inmediatamente. Existen, sin embargo, ocasiones en que determinados errores pueden ser detectados en una fase posterior del proceso. Estos errores deben ser comunicados, tomándose las medidas correctivas correspondientes. Con una combinación de procedimientos programados y manuales se debe garantizar la investigación inmediata de las causas de los rechazos, la corrección adecuada de los errores, el registro y seguimiento de las transacciones pendientes de corregir y la existencia de una nueva autorización de las correcciones hechas a los datos claves o sensibles. Con todos estos controles conseguiremos que todos los rechazos vuelvan a entrar en el ordenador de forma exacta y autorizada. Totalidad y exactitud de la actualización. Las técnicas de control utilizadas para asegurar la totalidad y exactitud de las actualizaciones son principalmente: q Controles de totalidad y exactitud de las entradas. q Conciliación manual de los totales. q Controles de proceso a proceso que incluyen: totales de los ficheros, listados de detalle y transacciones generadas por la aplicación. q Listados de detalle. q Transacciones generadas por la aplicación. En cuanto a este último tipo de controles, en toda aplicación informática los datos contenidos en los ficheros deben ser tratados por ciertos procesos antes de la emisión de la información de salida. Los más comunes son: q Cálculo: Generación de información utilizando datos de uno o más ficheros en base a rutinas predeterminadas. q Resumen: Acumulación de los valores de las transacciones de un fichero para generar totales. q Clasificación: Acumulación de totales de un fichero en base al análisis de cuentas, códigos o campos de las transacciones. Para este tipo de procesos, la aplicación debe tener controles que permitan asegurar: 1) El funcionamiento adecuado y continuo de los programas que efectúan los procesos. 2) El proceso de la totalidad de las transacciones. 22 3) La integridad (totalidad y exactitud) de los ficheros utilizados en los procesos. 4) Que la generación o versión de los ficheros procesados ha sido la correcta. 5) La comprobación manual de la corrección de la información generada por los procesos. q Segregación de funciones El objetivo principal de la segregación de funciones es imposibilitar el fraude por parte de los empleados, de tal manera que un empleado que tenga la oportunidad de hurtar activos no pueda ocultar el fraude mediante la manipulación contable. 2. Controles de Supervisión: Controles de la Tecnología de la Información. Son el conjunto de normas y procedimientos que deben existir en todo Centro de Proceso de Datos para asegurar la confidencialidad, integridad y disponibilidad de los datos informatizados. Aseguran que los procedimientos programados dentro de un sistema informático se diseñen, implanten, mantengan y operen de forma adecuada y que solo se introduzcan cambios autorizados en los programas y en los datos. Dentro de los controles de las TI nos encontraremos con distintos tipos de controles: q Controles de Desarrollo e implantación de aplicaciones. q Controles de mantenimiento: destinados a asegurar que las modificaciones de los procedimientos programados están adecuadamente diseñadas, probadas, aprobadas e implantadas. q Controles de Desarrollo e implantaciónde aplicaciones. q Controles de Explotación. q Controles de Seguridad de Programas: destinados a garantizar que no se puedan efectuar cambios no autorizados en los procedimientos programados. q Controles de Seguridad de Ficheros de datos: destinados a asegurar que no se puedan efectuar modificaciones no autorizadas en los archivos de datos. q Controles de la Operación Informática: destinados a garantizar que los procedimientos programados autorizados se aplican de manera uniforme y se utilizan versiones correctas de los ficheros de datos. q Controles de Conversión de ficheros: destinados a garantizar una completa y exacta conversión de los datos de un sistema antiguo a uno nuevo. q Controles de Software Sistema: destinados a asegurar que se implante un software de sistema apropiado y que se encuentre protegido contra modificaciones no autorizadas. q Controles de implantación: destinados a asegurar que los procedimientos programados para los nuevos sistemas son adecuados y están efectivamente implantados, y que el sistema está diseñado para satisfacer las necesidades del usuario. 23 Si los sistemas informáticos de la sociedad estuviesen funcionando inadecuadamente y esta situación pudiese influir en la fiabilidad de los datos o poner en peligro otros objetivos de control, ¿tendrían conocimiento de ello la alta dirección? A diferencia de los controles de supervisión de las aplicaciones, los controles de supervisión informáticos están relacionados con entornos informáticos que generalmente cubren varias aplicaciones. Por ejemplo, los controles utilizados para supervisar la seguridad de los sistemas generalmente serán los mismos para el ciclo de ventas y para el ciclo de compras. Los controles de supervisión informáticos se consideran en términos de categorías más que de ciclos (a diferencia de los controles de supervisión de aplicaciones). A continuación hablaremos más ampliamente sobre algunos de los controles enumerados anteriormente: q Controles de mantenimiento: Las solicitudes para introducir modificaciones en los programas deben tramitarse de forma adecuada, además de someterse a pruebas. La documentación técnica debe estar actualizada con el fin de reflejar las modificaciones de los programas. Este tipo de controles van a limitar los riesgos que comportan las modificaciones de las aplicaciones. Algunos de los riegos con los que nos podemos encontrar son: la pérdida de solicitudes de cambio, que haya cambios duplicados, cambios que no se ajusten a los requerimientos del usuario, perder demasiado tiempo en la resolución de problemas debido a la falta de documentación técnica o la existencia de cambios no autorizados en las aplicaciones que afecten negativamente a las operaciones y/o a la integridad de la información. q Controles de desarrollo e implantación de aplicaciones: La dirección del proyecto debe garantizar que el control del diseño, desarrollo e implantación de las nuevas aplicaciones es adecuado. Es por eso que las aplicaciones deben diseñarse de forma adecuada para alcanzar las exigencias de control de las aplicaciones y del negocio. Y en caso de que implantemos un paquete informático adaptado nos aseguraremos que cumple con dichas exigencias. En caso de no existir estos controles nos podemos encontrar con varios problemas: que los costes estén por encima de los presupuestados por lo que se podría producir un retraso en la entrega del proyecto, que los proyectos no se ajusten a los requerimientos del usuario, que haya errores en las aplicaciones, que conviertan de forma errónea los datos o que las aplicaciones se infrautilicen o se utilicen incorrectamente debido a la ausencia de documentación técnico y de formación. q Controles de seguridad informática: 24 La dirección debe asegurar la implantación de políticas de control de acceso basadas en el nivel de riesgo que se derivaría del acceso a los programas y a los datos. El acceso a funciones concretas dentro de las aplicaciones debe estar adecuadamente restringido para asegurar la segregación de funciones relevantes y evitar actividades no autorizadas además de estar restringido el acceso físico a los ordenadores. Este tipo de controles evitarán el riesgo de fraude o de que información confidencial o sensible llegue a personas no autorizada dentro o fuera de la sociedad. Otro riesgo que evitaríamos con la seguridad física sería el posible daño o destrucción de las instalaciones informáticas como resultado de incendios, inundaciones o sabotajes que podrían interrumpir la ejecución de los procesos. q Controles de operaciones informáticas: Los procedimientos de operaciones que cubren procesos diferidos o por lotes que se realizan en momentos específicos deben estar documentados, programados y mantenidos de forma adecuada. Las copias de seguridad de los programas y de los datos deben estar siempre disponibles para casos de emergencia. Las instalaciones informáticas de los usuarios finales deben ser apropiadas para las necesidades del negocio y controladas para maximizar la compatibilidad y apoyar eficazmente al usuario. Con todos estos controles podremos evitar fallos en los equipos y en el software o como mínimo tendremos capacidad para recuperarnos de ellos (ya que la continuidad del negocio puede estar en juego) o sacar poco rendimiento de los sistemas informáticos. 2. Controles de Supervisión: Controles de los Usuar ios. Son los procedimientos manuales tradicionales que se deben ejecutar sobre los documentos y transacciones antes y después de su proceso en el ordenador para comprobar el adecuado y continuo funcionamiento de los controles de las aplicaciones 11 . El control interno también se divide en: q Control Administrativo, donde se debe observar y aplicar en todas las fases o etapas del proceso administrativo. q Control FinancieroContable, orientado fundamentalmente haci9a el control de las actividades financieras y contables de una entidad. 11 http://campus.uab.es/~2082564/Control.html tomado de la página de Internet el 19 Abril 2005. http://campus.uab.es/~2082564/Control.html 25 A la conjunción de estos dos elementos deriva en el Sistema Integral de Control Interno. Control interno financiero o contable Control interno administrativo PASOS GENERALES PASOS GENERALES Planeación Planeación Valoración Control Ejecución Supervisión Monitoreo Promoción Ejemplo de área Ejemplo de área PLAN DE ORGANIZACIÓN PLAN DE ORGANIZACIÓN 1. Método y procedimientos relacionales 1, Método y procedimientos relacionales 1,1, Protección de activos 1,1, Con eficiencia de operación 1,2, Confiabilidad de los registros contables 1,2, Adhesión a políticas 2, Controles 2, Controles 2,1, Sistemas de autorización 2,1, Análisis estadísticos 2,2, Sistemas de aprobación 2,2, Estudio de tiempos y movimientos 2,3, Segregación de tareas 2,3, Informes de actuación 2,4, Controles físicos 2,4, Programas de selección 2,5, Programas de adiestramiento 2,6, Programas de capacitación 2,7, Control de calidad 3, Aseguran 3, Aseguran 26 3,1 Todas las transacciones de acuerdo a la autorización específica 3,1, Eficiencia, Eficacia y Efectividad de operaciones 3,2, Registro de transacciones 3,3, Estados financieros con PCGA 3,4, Acceso activos con autorización 1.5 Estructura del Control Interno. La estructura de control interno de una entidad consiste en las políticas y procedimientos establecidos para proporcionar una seguridad razonable de poder lograr los objetivos, específicos de la entidad. Dicha estructura consiste en lossiguientes elementos: q El ambiente de control. q La evaluación de riesgos. q Los sistemas de información y comunicación. q Los procedimientos de control. q La vigilancia. El ambiente de control. El ambiente de control representa la combinación de factores que afectan las políticas y procedimientos de una entidad, fortaleciendo o debilitando sus controles. Estos factores son los siguientes: a) Actitud de la Administración hacia los controles internos establecidos. El hecho de que una entidad tenga un ambiente de control satisfactorio depende fundamentalmente de la actitud y las medidas de acción que tome la administración que de cualquier otra cosa. Si el compromiso para ejercer un buen control interno es deficiente, seguramente el ambiente de control será deficiente. La efectividad del control interno depende en gran medida de la integridad y de los valores éticos del personal que diseña, administra y vigila el control interno de la entidad. b) Estructura de organización de la entidad. 27 Si el tamaño de la estructura de la organización no es apropiado para las actividades de la entidad, o el conocimiento y la experiencia de los gerentes y personal clave no es la adecuada, puede existir un mayor riesgo en el debilitamiento de los controles. c) Funcionamiento del consejo de administración y sus comités. Las actividades del consejo de administración y otros comités pueden ser importantes para fortalecer los controles siempre y cuando éstos sean participativos y sean independientes de la Dirección. d) Métodos para asignar autoridad y responsabilidad. Es importante que la asignación de autoridad y responsabilidad esté acorde con los objetivos y metas organizacionales, y que éstos se hagan a un nivel adecuado, sobre todo las organizaciones para cambios en políticas o prácticas. e) Métodos de control administrativo para supervisar y dar seguimiento al cumplimiento de las políticas y procedimientos, incluyendo la función de auditoría interna. El grado de supervisión continua sobre la operación que lleva a cabo la Administración, da una evidencia importante de si el sistema de control interno está funcionando adecuadamente y de si las medidas correctivas se realizan en forma oportuna. f) Políticas y prácticas de personal. La existencia de políticas y procedimientos para contratar, entrenar, promover y compensar a los empleados, así como la existencia de códigos de conducta u otros lineamientos de comportamiento, fortalecen el ambiente de control. g) Influencias externas que afectan las operaciones y prácticas de la entidad. La existencia de canales de comunicación con clientes proveedores y otros entes externos que permitan informar o recibir información sobre las normas éticas de la entidad o sobre cualquier cambio en las necesidades de la misma, así como el seguimiento a dichas comunicaciones, fortalecen los controles de una entidad. La calidad del ambiente de control es una clara indicación de la importancia que la Administración de la entidad le da a los controles establecidos. 28 La forma en que el ambiente de control es implementado en una entidad pequeña, es lógicamente diferente al de una entidad grande, ya que, en la primera, difícilmente se tendrá un consejo de administración formal en donde intervengan consejeros externos o una estructura organizacional que evite conflictos en la segregación de funciones; sin embargo, deben existir elementos que permitan evaluar en forma razonable que el ambiente de control es efectivo. Por ejemplo, las entidades pequeñas probablemente no tienen un código de conducta escrito; sin embargo, la administración ha desarrollado una cultura, enfatizando la importancia de la integridad y el comportamiento ético a través de comunicaciones orales constantes y el ejemplo. La Evaluación de Riesgos. El Riesgo de Auditoria esta integrado por el efecto combinado de los tres diferentes Riesgos que a continuación se mencionan: q Riesgo Inherente. Representa el riesgo de que ocurran errores importantes en un rubro especifico de los estados financieros o en un tipo especifico del negocio, en función de las características o particularidades de dicho rubro (Cuenta, Saldo o Grupo de Transacciones) o negocios, sin considerar el efecto de los procedimientos de control interno que pudiera existir. q Riesgo de Control. Representa el riesgo de que los errores importantes (que excedan a la importancia relativa a l agregarse a otros errores) que pueden existir en un rubro especifico de los estados financieros, no sean provenidos o detectados oportunamente por el sistema de control interno contable en vigor. q Riesgo de Detección. Representa el riesgo de que los procedimientos aplicados por el auditor no detecten los posibles errores importantes que hayan escapado a los procedimientos de control interno. Análisis de Riesgos. El Riesgo inherente toma en cuenta el hecho de que la probabilidad de que ocurran es mayor en algunos tipos de negocios o en algunas cuentas o grupos de transacciones. El riesgo de Control disminuye en la medida en que aumenta la efectividad con el que el sistema de control interno alcanza los objetivos, tanto generales como específicos. El Riesgo de detección disminuye en la medida en que aumenta la efectividad de los procedimientos de auditoria aplicados por el auditor (el Muestreó en Auditoria). 29 El riesgo inherente y de control existen en forma independiente de la auditoria, la función del auditor consiste simplemente en evaluarlos adecuadamente. En el caso de riesgo de control el auditor debe aplicar las pruebas de cumplimiento necesarias para probar los controles en que se baso su evaluación. Por el contrario el riesgo de detección de lo establece el auditor al determinar la naturaleza alcancé y oportunidad de sus pruebas sustantivas. Las cuales pueden ser aplicadas en forma selectiva o a los elementos que integran los saldos o transacciones, o bien pueden consistir en procedimientos de revisión analítica. El riesgo de detección se debe establecer en relación inversa a los riesgos inherentes y de control. A menor riesgo inherente y de control, mayor puede se el riesgo de detección que acepte el auditor. Las pruebas de cumplimiento tienen por objeto que los controles en que se basa la evaluación de Riesgo de control estén operando efectivamente, Por otra parte las pruebas sustantivas con que establecemos el Riesgo de detección tienen por objeto detectar errores en las cuentas o grupos de transacciones. El Riesgo de Auditoria en sus tres componentes se puede también concretar en un porcentaje o en términos de Rango. Riesgo de Control Alto Medio Bajo Riesgo Inherente Riesgo de Control Alto Bajo Bajo Medio Medio Bajo Medio Alto Bajo Medio Alto Alto Como se puede observar en la tabla, si el auditor evalúa los riesgos inherentes y de control como altos, están obligados a establecer un grado de detección bajo para que el riesgo de total de auditoria siga siendo aceptable. El Riesgo de Auditoria en la etapa de planeación es el momento en que, el auditor evalúa el riesgo general con base en su conocimiento de la empresa giro del negocio y ambiente de control, Este ultimo se forma por aspectos tales como la estructura organizacional, la calidad de la administración el funcionamiento del consejo de administración, las políticas del personal, el funcionamiento de auditoria interna, vigilancia de los organismos externos. Riesgos relevantes a la información entregada por la empresa, incluyen eventos o circunstancias externas e internas que pueden ocurrir y afectar la habilidad de la entidaden el registro, procesamiento, agrupación o reporte de información, consistente con las aseveraciones de la Administración en los estados 30 financieros. Estos riesgos podrán surgir o cambiar, derivado de circunstancias como las que se mencionan a continuación: q Cambios en el ambiente operativo: cambios en reglas o en la forma de realizar las operaciones pueden resultar en diferentes presiones competitivas y, por lo tanto, en riesgos diferentes. q Nuevo personal: el nuevo personal puede tener un enfoque diferente con relación al control interno. q Sistemas de información nuevos o rediseñados: cambios significativos y rápidos en los sistemas de información pueden cambiar el riesgo relativo al control interno. q Crecimientos acelerados: un crecimiento acelerado en las operaciones puede forzar demasiado a los controles y crear el riesgo relativo al control interno. q Nuevas tecnologías: la incorporación de nuevas tecnologías de los procesos productivos o los sistemas de información pueden cambiar los riesgos asociados con el control interno. q Nuevas líneas, productos o actividades: el incorporarse en negocios o transacciones en donde la entidad tienen poca experiencia, puede crear nuevos riesgos asociados con el control interno. q Reestructuraciones corporativas: las reestructuraciones pueden estar acompañadas de reducción de personal y cambios en la supervisión y segregación de funciones, que pueden traer cambios en los riesgos asociados con el control interno. q Cambios en procedimientos contables: la adopción de un nuevo pronunciamiento contable o un cambio en los ya existentes, pueden afectar los riesgos relacionados con la preparación de los estados financieros. q Personal con mucha antigüedad en el puesto: una persona con mucha antigüedad en el puesto puede ignorar los controles por exceso de confianza, inercia o vicios adquiridos. q Operaciones en le extranjero: la expansión o adquisición de actividades en el extranjero, crean nuevos riegos que pueden impactar el control interno. Los sistemas de información y comunicación. Los sistemas de información contable consisten en las políticas, métodos y registros establecidos para identificar, reunir, analizar, y clasificar, registrar y producir información cuantitativa de las operaciones que realiza una entidad económica. Los sistemas de comunicación se refieren a los medios y formas de que se sirve la administración para comunicar a las distintas áreas que integran a la entidad, sus funciones y responsabilidades relativas al control interno. El auditor deberá obtener un conocimiento general del sistema contable y de los medios y formas que utiliza la administración para comunicar a las distintas áreas de la organización las funciones y responsabilidades de cada una de ellas, relacionadas con la operación del sistema de control interno. Ese conocimiento le permitirá al auditor identificar los riesgos específicos asociados con el control interno y 31 desarrollar un plan de auditoria adecuado. El auditor también deberá obtener un adecuado conocimiento de los registros y procedimientos establecidos en la entidad para identificar, reunir, analizar, clasificar, registrar, procesar, resumir e informar las transacciones importantes y distinguir entre estas y aquellas que se procesar sistemáticamente y las que no. La información necesaria puede obtenerse, como parte del proceso de plantación, de pláticas con las gerencias de finanzas y procesamiento de datos, con la asesoría de un especialista en computación, cuando así se requiera. El uso de computados es un elemento importante en el proceso de la información contable, independientemente del tamaño de la entidad. Para determinar la naturaleza y el grado de conocimientos que se requiera sobre el uso de computadoras, y la necesidad de ayuda de un especialista, el auditor deberá determinar el grado de utilización que hace al cliente de esos equipos y documentar sus conclusiones sobre el efecto del PED en sus pruebas de auditoria. Los lineamientos para llevar a cabo esta revisión se establecen en el boletín 5080, efectos del procesamiento electrónico de datos (PED) en el examen del control interno. Para evaluar el uso de las computadoras por la entidad el auditor debe obtener conocimientos sobre: a) El grado en que se utiliza. b) La complejidad del entorno, considerando el grado de transformación de la información y el volumen de operaciones que se procesan en el PED. c) La importancia de los sistemas de computación para la entidad. En entidades en las que se consideren que la computación es dominante, el auditor debe obtener un adecuado reconocimiento de los sistemas contables que son procesados en PED, el entorno, la estructura de los controles y las comunicaciones que se realizan mediante computadora. En aquellas entidades en que el uso de la computadora no es intenso, deberá obtenerse por el auditor un conocimiento general de los sistemas contables, incluyendo los sistemas operados manualmente. El punto de partida para conocer el sistema contable, es el mayor general y las principales aplicaciones (subsistemas que son procesados tanto en computadora como manualmente) que lo alimentan y tienen un efecto importante en el. Estas aplicaciones incluirán típicamente lo siguiente: q Ordenes de compra y recepción. q Contabilización de inventarios y costos. 32 q Cuentas por pagar y pagos de estas. q Pedidos, embarque y facturación. q Cuentas por cobrar y cobros de estas. q Contabilización de gastos. q Contabilización de activos fijos y depreciación. q Nominas. El auditor deberá preparar una lista de las aplicaciones contables más importantes (por ejemplo, ventas/cuentas por cobrar, inventarios/costo de ventas, etc.) y de las cuentas de los estados financieros con las que se relacionan; posteriormente, por cada aplicación deberá: a) Elaborar una breve descripción general que incluya el propósito de la aplicación (incluyendo su importancia relativa en las operaciones del negocio); el enfoque para el control del sistema (controles del usuario y programados); función en el inicio de las transacciones, control de movimientos e historia de los errores de proceso. b) Describir el perfil de la aplicación mediante la determinación de los volúmenes aproximados de las transacciones; señalar si el programa de cómputo es de desarrollo interno o comprado y en que lenguaje se formulo; indicar la naturaleza del procesamiento (en línea o por lote) y describir el nivel de complejidad del procesamiento. c) Definir las funciones clave del procesamiento del sistema y la frecuencia de su uso (por ejemplo, diariamente, semanalmente, mensualmente, etc.). Tales funciones pueden ser: q Preparación de facturas, ordenes de compra, etc. q Actualización de archivos maestros. q Emisión de informes para la administración. d) Identificar y documentar el flujo de las operaciones a través del sistema que incluye lo siguiente: q Entradas clave (fuentes de entrada). q Salidas clave (reportes, archivos y los usos de cada uno). q Bases de datos y archivos maestros importantes. q Conexiones con otros sistemas. e) Verificar la historia del sistema señalando las fechas o periodos en que se adquirió la instalación y en las que se hicieron en su caso modificaciones importantes al mismo. 33 Cuando existe un entorno dominante de computadoras o se trata de una entidad con múltiples ambientes de procesamiento se deberá efectuar un análisis mas profundo a efecto de evaluar mejor su impacto en el procesamiento contable. Al evaluarcada sistema, se deben considerar típicamente aspectos como: a) La importancia de las transacciones procesadas y los saldos de las cuentas relacionadas. b) La posibilidad de aumento en el riesgo de errores por ejemplo: q Si el sistema procesa transacciones complejas o controla el movimiento de activo. q Cambios significativos en el sistema o en el personal clave que lo opera. q Historia de errores observados en el proceso, especialmente aquellos que originan cifras monetarias. q Si el sistema inicia y ejecuta transacciones (por ejemplo, prepara cheques o hace transferencias electrónicas de fondos) o solamente realiza funciones simples de acumulación o suma. Adicionalmente a los sistemas de información el auditor deberá evaluar los sistemas de comunicación que la entidad tiene establecidos. No es útil que se establezca controles y procedimientos si estos no son comunicados en forma clara y oportuna al personal correspondiente. Como parte de su evaluación el auditor debe verificar la forma en la que los asuntos relevantes son comunicados (memorandos, manuales, etc.) la frecuencia y los canales de comunicación implementados (juntas periódicas, pizarrones, boletines, etc.). Los procedimientos de control. Los procedimientos y políticas que establece la Administración y que proporcionan una seguridad razonable de que se van a lograr en forma eficaz y eficientemente los objetivos específicos de la entidad, constituyen los procedimientos de control. El hecho de que existan formalmente políticas y procedimientos de control, no necesariamente significa que éstos estén operando efectivamente. Los procedimientos de control persiguen diferentes objetivos y se aplican en distintos niveles de la organización y del procesamiento de transacciones. También pueden estar integrados por componentes específicos del ambiente de control, de la evaluación de riesgos y de los sistemas de información y comunicación. Atendiendo a su naturaleza, estos procedimientos pueden de carácter preventivo o detectivo. Los procedimientos de control están dirigidos a cumplir con los siguientes objetivos: 34 a) Debida autorización de transacciones así como de actividades. b) Ademada segregación de funciones y, a la par, de responsabilidades. c) Diseño y uso de documentos y registros apropiados que aseguren el correcto registro de las operaciones. d) Establecimiento de dispositivos de seguridad que protejan sus activos. e) Verificaciones independientes de la actualización de otros y adecuada valuación de las operaciones registradas. Los procedimientos de control en las pequeñas entidades son muy parecidos a los que se establecen en entidades grandes, sin embargo, como en los otros elementos, la formalidad de los mismos varía. Para las entidades pequeñas ciertos procedimientos de control no son importantes debido a que son sustituidos por controles ejercidos por el director general u otra persona con un nivel jerárquico importante. Por ejemplo, la aprobación del director general en los créditos a los clientes o en compras significativas proporcionan una evidencia de control fuerte en esas actividades. La adecuada segregación de funciones en estas entidades a menudo presenta dificultades, sin embargo, aún en las entidades pequeñas, con un número reducido de empleados, se pueden asignar las responsabilidades, de tal forma, que exista una apropiada segregación. Si esto no es posible debe existir una supervisión muy estrecha de la administración sobre la persona que realiza funciones incompatibles. La vigilancia. Una importante responsabilidad de la Administración es la de establecer y mantener los controles internos, así como el vigilarlos, con objeto de identificar si éstos están operando efectivamente y si deben ser modificados cuando existen cambios importantes. La vigilancia es un proceso que asegura la eficiencia del control interno a través del tiempo, e incluye la evaluación del diseño y operación de procedimientos de control en forma oportuna, así como el aplicar medidas correctivas cuando sea necesario. Este proceso de lleva a cabo a través de actividades en marcha, evaluaciones separadas o por la combinación de ambas. Este proceso de incluir el uso de información o comunicaciones pertenecientes a entidades externas como pueden ser cartas donde los clientes se quejan o un registro de comentarios, los cuales pueden indicar problemas o subrayar áreas donde se necesita mejorar. Los factores específicos del ambiente de control, la evaluación de riesgos, los sistemas de información y comunicación, los procedimientos de control y la vigilancia deben considerar los siguientes aspectos: q Tamaño de la entidad. q Características de la actividad económica en la que opera. 35 q Organización de la entidad. q Naturaleza del sistema de contabilidad y de las técnicas de control establecidas. q Problemas específicos del negocio. q Requisitos legales aplicables. Por ejemplo, una estructura de organización con una delegación formal de autoridad, podrá influir favorablemente de modo importante en el ambiente de control de una entidad grande. Sin embargo, una entidad pequeña, con participación efectiva del dueñogerente, normalmente no requiere de procedimientos contables extensos ni de registros contables sofisticados o procedimientos de control formales, tales como políticas escritas, seguridad de la información o procedimientos para obtener cotizaciones competitivas. Un establecimiento y mantenimiento de una estructura de control interno representa una importante responsabilidad de la Administración, para proporcionar una seguridad razonable de que se logran los objetivos de una entidad. La gerencia deberá vigilar de modo constante la estructura de control interno, para determinar si ésta opera debidamente y si se modifica oportunamente, de acuerdo con los cambios en las condiciones existentes. La vigilancia sobre las operaciones en marcha en una entidad pequeña es típicamente desarrollada como parte de la participación que la administración tiene en la operación diaria. Por ejemplo, la administración fácilmente puede identificar una variación significativa en los estados financieros, si lo mostrado en los mismos, es diferente a lo que esperaba. Algunas personas consideran que los elementos principales del Control Interno son: q El humano. q El técnico. q La contabilidad. q Los presupuestos. q Las estadísticas. q Los equipos mecánicos y electrónicos. q La informática. El humano, es el medio más importante donde giran todas las actividades pensantes constituyéndose en la piedra angular y fundamental en la organización de las empresas, es él quién influirá poderosamente para que los métodos y procedimientos se realicen eficientemente, de ahí la importancia de establecer cuestionarios cuidadosos antes de una contratación definitiva, cuidando la moralidad, hábitos fuera y dentro de las labores, situación económica, antecedentes penales, experiencias laborales, estudios cursados, que otros 36 empleos o trabajos a ejercido, exigencias y perspectivas que desean, y el porque desean laborar en la empresa. Así la elección del personal es un paso muy importante y ya elegido, prepararlo y capacitarlo constantemente, dándole a conocer sus derechos y obligaciones, los reglamentos a cumplir y los métodos y procedimientos establecidos, así como el control interno al cual se sujetarán. El técnico, toda empresa tiene como finalidad lograr que la producción operacional y los objetivos planeados sirvan para acrecentar su patrimonio,obtener las utilidades deseadas, ya que a través de la técnica se establece el cimiento de un control efectivo importante para asegurar buenos resultados. La contabilidad, es de gran importancia ya que los técnicos, directores, gerentes y administrativos, se auxilian en los registros contables, estados financieros, para cimentar el control efectivo y cuya finalidad es la de asegurar una correcta toma de decisiones que lleven a lograr el éxito deseado. Los presupuestos, son un elemento importante para el futuro económico y financiero de todas las empresas o negocios, que parece ser exclusivo de profetas o adivinos, esto sin embargo no se trata de profetizar o adivinar lo que sucederá en lo futuro, es simplemente proyectar, planificar y prevenir los trabajos y resultados apoyados por las experiencias vividas en el pasado. Las estadísticas, citamos que el futuro socioeconómico de las empresas es muy importante, así de importante es guardar el pasado ya que en los negocios o empresas el pasado estadístico son un instrumento valioso de control ya que son una relación directa con las reformas a aplicar en lo futuro, con el uso de cuadros estadísticos que orientarán de forma segura la marcha de las actividades de las empresas. Los equipos mecánicos y electrónicos, su utilidad e importancia, su aplicación y utilización de estos equipos en las labores técnicas y administrativas conllevan a un ahorro de mano de obra, tiempo y esfuerzo, obedeciendo a una reglamentación instruida por medio del control interno. La informática, en la actualidad se a convertido en un elemento del control interno indispensable, ya que su efectividad es comprobada, ya que nos da una seguridad en acciones técnicas, financieras y administrativas, con exactitud y ahorro de tiempo para conocer medios operacionales, de mantenimiento, contables y administrativos, que viene a contribuir de gran ayuda para la empresa 12 . 1.6 Ventajas y desventajas del Control Interno. Ventajas 1. El control interno se enfoca al cumplimiento de los objetivos institucionales o del negocio. 12 http://www.universidadabierta.edu.mx/Biblio/B/BarretoAUDITORIA%20INTERNA.html tomado de la página de Internet el 21 Abril 2005. http://www.universidadabierta.edu.mx/Biblio/B/Barreto-AUDITORIA%20INTERNA.html 37 2. Decidido respaldo del nivel superior de la institución. 3. Parte de los requerimientos del negocio, se estructura en dominios, procesos, actividades y tareas lo cual permite estructurar controles más adecuados. 4. El control interno en T.I. se lleva a cabo visualizando la información necesaria para dar soporte a los procesos del negocio. 5. COBIT establece tres criterios de requerimientos de información: calidad, fiduciarios (COSO) y de seguridad. Garantiza la entrega de productos acordes a las necesidades de la institución. 6. Establece 4 grandes dominios: planeación y organización, adquisición e implementación, entrega y soporte y monitoreo. Estos dominios permiten visualizar las áreas de una empresa de manera organizada. 5. COBIT define por cada dominio los procesos generales que han de ejecutarse, por lo cual Los mecanismos de control interno hacen parte de los procesos de la misma organización. 6. COBIT define un estándar de controles y auditoría de tecnología informática que garantizaría la disponibilidad de la información para la toma de decisiones que le permitan a esta institución pública, el cumplimiento de sus objetivos sectoriales y nacionales. Desventajas 1. Generalmente una institución pública no tiene claramente definidos sus objetivos institucionales, o sí están definidos, quienes están al frente tienen otros objetivos. 2. En el sector público no se tiene seguridad en la asignación de los recursos que garanticen la ejecución de un plan estratégico de TI. 3. En una institución pública es muy poco probable que el nivel superior tenga interés en promover el control interno, ya que este está constituido por personas “de paso” que procuran mostrar resultados en corto tiempo. 4. No existe la cultura ni la disciplina al cumplimiento de normas y procedimientos; el control interno se “ve” como la forma de investigar a alguien. Este estándar es considerado “rígido” en el ámbito público. Conclusión: Se podría intentar la implementación del control interno informático de tal manera que se vayan mostrando resultados por fases al nivel superior que convenzan sobre la necesidad de jalonar de manera decidida el control interno. Lo anterior implica seguramente la adaptación de los estándares. 13 13 http://auditi.com/aport3lms.doc tomada de la página de Internet el 10 de Mayo de 2005. http://auditi.com/aport3-lms.doc 38 1.7 Técnicas de evaluación del Control Interno. En esta etapa el auditor interno debe evaluar el riesgo que trae consigo en el trabajo que va a realizar, con objeto de considerarlo en el diseño de sus programas de trabajo de auditoria y para identificar gradualmente las actividades y características específicas de la entidad. Aun cuando en esta etapa no se han probado los controles internos, el auditor deberá principalmente: Comprender el ambiente de control establecido por la administración para detectar errores potenciales. Describir y verificar su comprensión de los procedimientos de control de l administración. Evaluar el diseño de los sistemas de control, para determinar si es probable que sean eficaces para prevenir o detectar y corregir los errores potenciales identificables. Formar un juicio sobre la confianza que podrá depositarse en el control que será probado. Una vez que el auditor ha adquirido un conocimiento general de la estructura de control interno, estará capacitado para decidir el grado de confianza que depositara en los controles existentes, para la prevención y detección de errores potenciales importantes o bien si directamente los objetivos de auditoria se pueden alcanzar de manera más eficiente y efectiva a través de la aplicación de pruebas sustantivas. Evaluación del Procedimiento Electrónico de Datos (PED) Los objetivos de la evaluación del procedimiento electrónico de datos son: Desarrollar una interpretación global de la estructura de la organización. Determinar en que forma puede influir el PED sobre la naturaleza, oportunidad o amplitud de los procedimientos de auditoria que se han de realizar. Determinar si se han de revisar posteriormente los controles contables del proceso de datos. Impor tancia del PED. Debido a la importancia que han adquirido los sistemas de PED en la información contable, así como el volumen de operaciones procesada en ellos, la perdida de huellas visibles y concentración de funciones contables que frecuentemente se dan en un ambiente de este tipo, el auditor debe conocer, evaluar y en su 39 caso, probar el sistema de PED, como parte fundamental del estudio de valuación del control interno y documentar adecuadamente sus conclusiones sobre su efecto en la información financiera y el grado de confianza que depositara en los controles. Procedimientos de la Revisión Preliminar del PED. Los procedimientos de la revisión del proceso de datos que realiza el auditor suelen incluir los siguientes asuntos: Obtener y preparar un organigrama actualizado del departamento o funciones del proceso electrónico de dato. Entrevistar al personal competente del proceso electrónico de datos y obtener información y descripciones del procesador central, periféricos, software de aplicación y cambios previstos en el hardware del departamento. Obtener copias de los informes de las revisiones realizadas por terceros si se dispone de ellos, si el cliente utiliza los servicios de un centro de cálculo. Formarse
Compartir