Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
UNIVERSIDAD DE COSTA RICA FACULTAD DE CIENCIAS ECONÓMICAS ESCUELA DE ADMINISTRACIÓN DE NEGOCIOS Propuesta de fortalecimiento del sistema de control interno y gestión de riesgos en el Departamento Financiero Contable del Colegio de Farmacéuticos de Costa Rica Jorge BermúdezFernández970501 Heiner CorderoRamírezA21575 Vivian Jiménez Capuano A32637 Marlon Padilla Chacón A23711 Alejandro RuizSongA03765 Seminario de graduación para optar el grado de Licenciatura en Contaduría Pública San José, Costa Rica Ciudad Universitaria Rodrigo Facio Diciembre de 2014 UNIVERSIDAD DE COSTA RICA FACULTAD DE CIENCIAS ECONÓMICAS Acta066·14 Acta de la Sesión 066·14 del Comité Evaluador de la Escuela de ,\dmlnlslrackín de !ieéOdM, celebrada el 09 de diciembre del 2014 con el fin de proceder a la Defensa Públíca del Trabajo Final de Graduación de 'fü1an Jlménez rapuano, carné # A32637, Jortt Btrmúdez femández, carné # 970501, Belntr COrdml Ramirtl. carné# A21575, llarlon Padllla macón, carné# A23711, i\leJarnlro Rulz Sllllf!, carné# A03765, quienes optaron por la modalidad de Seminario de Graduación. Presentes: Máster. Kaoolo CórdOba Pérci. quien presidió, Lic. JOl'!t !lonroya llamiret como tutor, MBA carios \'aritm varl!as como lector #1. Máster. llllltt Guerrero corrales como lector #2. MBA IOn!t Grallíltlos i\raya, quien actuó como secretario de la sesión Articulo 1 El Presidente informa que los expedientes de los estudiantes postulantes contienen todos los documentos que el Reglamento exige. Declara que los estudiantes Vhlan Jllllenez fa¡mano, Jol'l!e llennúdez Fernállllez, lleltter Cordero Bamirei y AleJmldro Rult S&lllt han cumplido con todos los requisitos del Programa de la Carrera de Ucettrlalura en Conlalluría l'IÍ!lllta y declara que el estudiante Hurlon Padilla O!acón ha cumplido con todos los requisitos del Programa de la Carrera de Ucenciafllra en Dlretclón de Empresas.Articulo 2 Los estudiantes hicieron la exposición del Trabajo Final lítulado "Propuesta de lnr1ateclmlen10 del Slslema ae ronrro11meroo y l!esllón de riesgo en el depar1ame11111 11nanc1ero oonlílllle del coreglo de Farmacéullcos lle Costa Rita". Artículo 3 Terminada la disertación, los miembros del Comité Evaluador, interrogaron a los postulantes el tiempo reglamentario. Las respuestas fueron s p. /,- ..r i q, .:.h r.'o. .r en opinión del Comité ~ ¡ (Satisfactorias/ Insatisfactorias) Articulo 4 Concluido el interrogatorio, el Tribunal procedió a deliberar. Articulo 5 Efectuada la votación. el Comité Evaluador consideró el Trabaío Final de Graduación Só/;· a. - rSr - ylodeclaró - ro/,o.cf.,., (Satisfactorio/ Insatisfactorio) (Aprobado 1 no aprobado) Artículo 6 El presidente del Comité Evaluador comunicó en público a los postulantes, el resultado de la deliberación y declaró a Jos estudiantes Vivían Jlménez Capuano. Jorge Bermúdez Femández. Heiner Cordero Ramírez y Alejandro Ruiz Song Urern:tadot en Contaduría Púllllca y al estudiante: Marlon Padilla Chacón Licenciado en Dlretdón lle lmPresm. Se les indicó Ja obligación de presentarse al Acto Público de Juramentación. Luego se dio lectura al acta que firmaron los miembros del Comité a las / 9: Jo Horas. Comité evaluador: 1 ' Máster. 11a6010 Cónloba Pém. Dlfector de la Escuela o represen!< L~ ~:lm. n1~3 Estudiantes: ----,/Í\ i 1, \_ ¡¡_,_./¡ ' .. ,, f. \'hlan 11méne1 ca11uano i\32637 --~ Jorge Bermúaez Femanae1 9711501 //J:J Helncr ~ Ramíre1 i\21575 ~ti Miltl~n Paatna macón i\23711 Ale~ i\03765 Según lo establecido en el Reglamento de Trabajos Finales de Graduación, articulo 39 ",,. [n caso de trabajos sobresalientes; si así lo acuerdan por lo menos cuatro de los cinco miembros del Comité, se po.ira conceder una aprobación con distinción" Original: Estudiantes. cop-a: Oficina de Asuntos Estudiantiles iii DERECHOS DE PROPIEDAD INTELECTUAL Este trabajo está protegido por los derechos de autor que le confiere la Ley. Cualquier reproducción de este documento, ya sea parcial o total, debe contar con la respectiva autorización escrita de los autores. iv DEDICATORIAS v A Dios, por brindarme la oportunidad de finalizar este proceso. Los tiempos de Dios son perfectos, y este logro es un ejemplo vivo de esa frase. A mis padres y hermanos, por ser los ejemplos a seguir en mi vida y por apoyarme desde el inicio. A mi esposa y mis dos hijos, por acompañarme en esta parte final y por su paciencia para que pudiera alcanzar este objetivo. Jorge vi A Dios, por todas las bendiciones que me ha concedido para finalizar con éxito esta tesis y por no permitir que me rindiera. A mis padres, por todo su esfuerzo para que pudiera estudiar, por haberme apoyado y guiado en todo momento y por estar a mi lado siempre que los he necesitado. A mi hijo, Elías, por ser la motivación más grande en mi vida. A mis compañeros y compañera de tesis, por todo el trabajo realizado para poder alcanzar nuestro objetivo en común. Al tutor y a los lectores, por toda la ayuda brindada y sus observaciones para mejorar nuestra tesis. Heiner vii A Dios, por todas las enseñanzas y experiencias durante mis años de estudio, por darme fortaleza para culminar mi carrera, por todas las bendiciones y por ser mi guía y soporte. A mis padres, por el esfuerzo realizado durante su vida para proporcionarme una formación académica, por creer en mí, por su comprensión y paciencia, por ayudarme a alcanzar mi meta. A ustedes por siempre mi corazón y agradecimiento infinito. A Luisco, por su amor, paciencia y palabras de ánimo en momentos difíciles, por hacer suyos mis planes y metas y por vivir este logro con tanta emoción como yo. Para mis familiares, que me han acompañado durante este camino y comparten este nuevo logro. Vivian viii A Dios, por darme vida, amor, fidelidad, gracia y misericordia, por iluminarme en mi desarrollo personal y profesional y por darme oportunidades de crecimiento. A mis padres, por los sacrificios realizados durante mi crecimiento y formación, en especial a mi mamá, por estar siempre a mi lado, educarme, enseñarme a estudiar y por su amor de madre. A mi abuelo Mario, por su ayuda incondicional, por enseñarme valores y el temor a Dios; y a mi abuela Margarita, por su cariño y ayuda durante mi crianza. A mi futura esposa, por su comprensión y apoyo, por darme fuerzas, por estar siempre a mi lado. A mis hermanos, por su cariño y por compartir conmigo sus vidas. Dedico este trabajo a todos ustedes, que han servido de inspiración para ser una mejor persona y superarme integralmente. Marlon ix A mi esposa Meysel Benavides Ulloa, por acompañarme todos estos años de estudio y sacrificio, luchando a mi lado por todas mis metas y ambiciones. A mi padre, John Ruiz Segura, por ser mi apoyo y guía en todos los logros de mi vida. A mi madre, María Nidya Song Carrillo, por su formación ética y humanista, valores base de integridad que han regido mi vida académica. A mis hermanos y demás familiares, que de una u otra forma me han acompañado en mi formación académica. Alejandro x AGRADECIMIENTOS Agradecemos a Dios, por permitirnos finalizar este proyecto de forma exitosa. Expresamos nuestro mayor agradecimiento a los profesores miembros de nuestro Comité Asesor por su ayuda,tiempo dedicado y, sobre todo, por brindarnos sus conocimientos. De manera especial, agradecemos a la Sra. Lorena Quirós, directora del Colegio de Farmacéuticos de Costa Rica, por la oportunidad brindada para realizar esta investigación, por su valioso tiempo y comprensión desde un inicio de este proyecto. A los colaboradores del Departamento Financiero-Contable del Colegio de Farmacéuticos, por su tiempo y el apoyo ofrecido. xi RESUMEN EJECUTIVO El Colegio de Farmacéuticos de Costa Rica, fundado en el año 1902, logró desde ese instante el control social sobre la farmacia, así como ser un símbolo de identidad y lucha entre los gremios para los farmacéuticos. Su visión se centra en ser una corporación líder, tanto nacional como internacional, que auto regula y desarrolla la profesión para garantizar la prestación de los servicios farmacéuticos de calidad. Dados sus principios, valores, compromiso ético, solidario y eficiente para garantizar el bienestar de sus agremiados, el correcto ejercicio y desarrollo de la profesión farmacéutica para contribuir a la salud y calidad de vida de la población, surgió el interés de la Dirección Ejecutiva del Colegio de mejorar sus actividades de control interno y riesgo, específicamente para el Departamento Financiero-Contable. Esta situación constituyó el pilar en el cual se fundamentó el presente análisis. En el presente trabajo, se describieron los antecedentes sobre la institucionalización de la farmacia en Costa Rica. Se abordó la normativa técnica aplicable relevante en temas de control interno y gestión de riesgos, como marco de referencia de este estudio. Se efectuó un diagnóstico de las condiciones y características en las que opera el Colegio, el cual involucró el entendimiento del entorno operativo y de los procesos de control interno y ciclos del Departamento Financiero-Contable. Se analizó la estructura de control interno y gestión de riesgos del Colegio en general y también de los ciclos transaccionales del Departamento Financiero- Contable, a fin de establecer criterios de evaluación de riesgos y plasmar las situaciones encontradas. Se detallaron los controles ejecutados por el Colegio y se analizó si están mitigando los riesgos identificados. xii Como parte de la propuesta de este estudio, se plantearon diversas medidas orientadas a mejorar y fortalecer la estructura de control interno, en especial del Departamento Financiero-Contable. Por último, se efectuó un proceso de evaluación puntual de los riesgos existentes. Con base en ese análisis, se presentaron varias propuestas y recomendaciones, cuya implementación quedará sujeta al criterio de la Administración del Colegio. xiii CONTENIDO INTRODUCCIÓN __________________________________________________________ XVI JUSTIFICACIÓN ___________________________________________________________ XIX OBJETIVOS ______________________________________________________________ XXI ALCANCES ______________________________________________________________ XXII LIMITACIONES ___________________________________________________________ XXIII CAPÍTULO I….………………ASPECTOS GENERALES Y PERSPECTIVAS TEÓRICAS. ___ 24 1.1 Antecedentes y la situación actual del sector farmacéutico en Costa Rica _______ 24 1.1.1 Antecedentes del sector farmacéutico en Costa Rica. ________________________ 24 1.1.2 Situación actual del sector farmacéutico en Costa Rica. ______________________ 27 1.2 Perspectivas teóricas relevantes en el tema de control interno y gestión de riesgos 32 1.2.1 Concepto de control y sus clasificaciones. _________________________________ 32 1.2.2 Atributos de un buen control. ___________________________________________ 34 1.2.3 Objetivos de procesamiento de información. _______________________________ 37 1.2.4 Afirmaciones de las cuentas de los estados financieros ______________________ 38 1.2.5 Debilidades de control interno. __________________________________________ 41 1.2.6 Concepto de riesgo y tipos de riesgo. ____________________________________ 44 1.2.7 Gestión de riesgos ___________________________________________________ 48 1.2.8 Concepto de control interno. ___________________________________________ 53 1.2.9 Componentes de control interno. ________________________________________ 55 1.2.9.1 Ambiente de control. _____________________________________________ 56 1.2.9.2 Valoración de riesgos. ____________________________________________ 64 1.2.9.3 Información y comunicación. _______________________________________ 67 1.2.9.4 Monitoreo de controles. ___________________________________________ 70 1.2.9.5 Actividades de control ____________________________________________ 72 1.2.10 Herramientas para comprender el control interno y gestión de riesgos. ________ 75 1.2.11 Herramientas de evaluación del control interno y gestión de riesgos. __________ 79 CAPÍTULO II….………………COMPRENSIÓN DE LA ESTRUCTURA ACTUAL DE CONTROL INTERNO. _________________________________________________________________ 81 2.1 Antecedentes y la situación actual del Colegio de Farmacéuticos de Costa Rica. __ 81 2.1.1 Antecedentes del Colegio de Farmacéuticos de Costa Rica. ____________________ 81 2.1.2 Situación actual del Colegio de Farmacéuticos de Costa Rica. __________________ 84 2.1.3 Misión, visión y valores del Colegio. ______________________________________ 86 2.1.4 Estructura organizacional del Colegio ____________________________________ 87 2.1.5 Descripción de las operaciones del Colegio. _______________________________ 91 xiv 2.2. Entendimiento de la estructura de control interno y su sistema de gestión de riesgos. ___________________________________________________________________ 92 2.2.1 Entendimiento de la estructura de control interno en la entidad. _________________ 92 2.2.1.1 Ambiente de control. _______________________________________________ 92 2.2.1.1.1. Identificación de controles. _______________________________________ 93 2.2.1.1.2. Identificación de riesgos. ________________________________________ 95 2.2.1.2. Evaluación de riesgos ___________________________________________ 101 2.2.1.2.1. Identificación de controles ______________________________________ 101 2.2.1.2.2. Identificación de riesgos ________________________________________ 102 2.2.1.3. Información y comunicación _______________________________________ 103 2.2.1.3.1. Identificación de controles ______________________________________ 103 2.2.1.3.2. Identificación de riesgos ________________________________________ 103 2.2.1.4. Monitoreo de controles ___________________________________________ 105 2.2.1.4.1. Identificación de controles ______________________________________ 105 2.2.1.4.2. Identificación de riesgos ________________________________________ 108 2.2.1.5. Actividades de control ___________________________________________ 109 2.2.1.5.1. Identificación de controles ______________________________________ 110 2.2.1.5.2. Identificación de riesgos ________________________________________ 111 2.2.2 Entendimiento de la estructura de control interno en los principales ciclos, procesos y subprocesos del Departamento Financiero-Contable. _____________________________ 115 2.2.2.1 Ciclo de ingresos, cuentas por cobrar, efectivo _________________________ 115 2.2.2.2 Ciclo de compras, cuentas por pagar. ________________________________ 131 2.2.2.3 Ciclo de nómina __________________________________________________ 137 2.2.2.4 Ciclo de cierre contable. ___________________________________________ 141 2.2.2.5 Sistema de información contable. ____________________________________ 146 CAPÍTULO III….………………DIAGNÓSTICO DEL SISTEMA DE CONTROL INTERNO Y GESTIÓN DE RIESGOS CON BASE EN LOS NORMATIVA APLICABLE PARA ANALIZAR LAS IMPLICACIONES DE LOS CONTROLES O DEBILIDADES IDENTIFICADAS. ______ 151 3.1 Diagnóstico de la estructura de control internoy gestión de riesgos del Colegio _ 151 3.1.1 Ambiente de control. ________________________________________________ 151 3.1.2 Evaluación de Riesgos. ______________________________________________ 160 3.1.3 Información y comunicación. __________________________________________ 161 3.1.4 Monitoreo de controles. ______________________________________________ 164 3.1.5 Actividades de control. _______________________________________________ 165 3.2 Diagnóstico de la estructura de control interno y gestión de riesgos a nivel de ciclos transaccionales del Departamento Financiero-Contable. _________________________ 169 3.2.1 Ciclo de ingresos, cuentas por cobrar, efectivo. ___________________________ 169 3.2.2 Ciclo de compras, cuentas por pagar. ___________________________________ 177 3.2.3 Ciclo de planilla. ____________________________________________________ 182 3.2.4 Ciclo de cierre contable. ______________________________________________ 184 3.2.5 Sistema de información contable. ______________________________________ 187 CAPÍTULO IV….……………… PROPUESTA DE MEJORA SOBRE EL CONTROL INTERNO _________________________________________________________________________ 203 4.1 Estructura de control interno a nivel de entidad _____________________________ 203 4.1.1. Código de ética para colaboradores del Colegio. ___________________________ 203 xv 4.1.2. Manual de políticas y procedimientos. ____________________________________ 212 4.1.3. Matriz de evaluación de riesgos del Colegio._______________________________ 215 4.1.4. Matriz de controles del Colegio. _________________________________________ 219 4.2 Procedimientos de los ciclos del departamento financiero contable. ___________ 227 4.2.1 Ciclo de ingresos, cuentas por cobrar, efectivo. ___________________________ 227 4.2.2 Ciclo de compras, cuentas por pagar. ___________________________________ 255 4.2.3 Caja Chica. ________________________________________________________ 264 4.2.4 Ciclo de planilla. ____________________________________________________ 271 4.3 Propuesta al sistema de información contable. ______________________________ 287 CAPÍTULO V….……………… CONCLUSIONES Y RECOMENDACIONES _____________ 291 5.1 Conclusiones _________________________________________________________ 291 5.2 Recomendaciones _____________________________________________________ 293 ANEXOS _________________________________________________________________ 299 BIBLIOGRAFÍA ____________________________________________________________ 323 xvi INTRODUCCIÓN Toda organización posee un conjunto de controles que conforma su sistema de control interno, el cual permite a la Administración y demás partes interesadas tener una seguridad razonable sobre la efectividad y eficiencia de sus operaciones, confiabilidad de la información financiera y cumplimiento de leyes y regulaciones aplicables. Sin embargo, los sistemas de control interno operan en diferentes niveles de efectividad. Estos dependen de cuánto ayuda el control interno de una entidad a conseguir sus metas de desempeño y rentabilidad, al prevenir pérdida de recursos, asegurar información financiera confiable, así como el cumplimiento de leyes y regulaciones. De esta forma, se evitan o disminuyen los niveles de riesgo. El Colegio de Farmacéuticos de Costa Rica se fundó mediante el decreto número 74 del 12 de agosto de 1902, lo cual significó la institucionalización de la práctica de la farmacia y su consolidación gremial. Desde esta fecha, el Colegio ha colaborado con el Estado en la lucha por mejorar las condiciones de salubridad del país y regularizar el ejercicio de la profesión farmacéutica en Costa Rica. El Colegio ha crecido durante sus años de existencia y ha ampliado los servicios que brinda a los colegiados. A pesar de este desarrollo, se ha identificado que su sistema de control interno no ha evolucionado de la misma forma y existen áreas de mejora. Dado lo anterior, para el Colegio surge la necesidad de implementar procesos y controles dirigidos a fortalecer su estructura de control interno, proporcionar un control adecuado y eficiente en sus principales áreas y ciclos relevantes. Estos controles le posibilitarán cumplir sus metas y objetivos, además de disminuir los niveles de riesgo asociados con las diversas áreas mencionadas. xvii Por medio de la presente propuesta, en la cual se aplicarán los conocimientos adquiridos durante la carrera universitaria, se pretende comprender y evaluar el sistema de control interno del Colegio. Se utilizará como marco de referencia principal la Ley General de Control Interno de Costa Rica (n.° 8292), por ser una entidad semipública, y otras fuentes complementarias, como el Informe COSO y las Normas Internacionales de Auditoría. A partir de la investigación y los resultados obtenidos, se diseñarán los controles aplicables y necesarios para fortalecer su sistema de control interno. De esta manera, para el presente trabajo obtendremos un entendimiento acerca del sector farmacéutico en Costa Rica, el Colegio de Farmacéuticos de Costa Rica y su control interno, a fin de evaluar su control interno y sus riesgos financieros, para diseñar una propuesta de fortalecimiento de su control interno y gestión de riesgos. Con ese propósito, el estudio se estructuró en cinco capítulos. El primero comprende los antecedentes sobre la institucionalización de la farmacia en Costa Rica, así como la normativa técnica relevante sobre control interno y gestión de riesgos; este último tema constituye el marco de referencia para el desarrollo de los siguientes capítulos. El segundo capítulo corresponde a un diagnóstico de las condiciones y características en que opera en la actualidad el Colegio de Farmacéuticos de Costa Rica. Involucra el entendimiento del entorno operativo y de los procesos de control interno y ciclos del Departamento Financiero-Contable. En el capítulo III, se analiza la estructura de control interno y gestión de riesgos del Colegio en general y de los ciclos transaccionales del Departamento Financiero- Contable. Se establecen los criterios de evaluación de riesgos y se describen las situaciones encontradas y los controles ejecutados por el Colegio. Se analiza si estos controles mitigan los riesgos identificados. xviii El cuarto capítulo plantea una serie de medidas orientadas a mejorar y fortalecer la estructura de control interno del Colegio, en especial del Departamento Financiero- Contable. Se realizó un proceso de evaluación puntual de los riesgos existentes y, con base en ese análisis, se presentaron varias propuestas. Por último, en el capítulo V se exponen las conclusiones derivadas del presente estudio y se plantean recomendaciones a la Administración del Colegio de Farmacéuticos de Costa Rica. xix JUSTIFICACIÓN El Colegio de Farmacéuticos de Costa Rica presenta la problemática de que su sistema de control interno y gestión de riesgos no ha evolucionado en la misma proporción que sus diversas operaciones a través de los años. Por lo tanto, existe una oportunidad de mejora, tanto en sus procesos manuales como en los automatizados. En estos últimos, el sistema de información representaría una herramienta útil para fortalecer el control interno del Colegio si se efectúan acciones para parametrizar adecuadamente actividades de control. El Departamento Financiero Contable es el que menos avances presenta en este campo y, según declara la directora del Colegio, es urgente solventar esa necesidad. En el presente trabajo, se obtendrá un entendimiento acerca del sector farmacéutico en Costa Rica, el Colegio de Farmacéuticos de Costa Rica y su control interno y riesgos en el Departamento Financiero-Contable, con el fin de diseñar una propuesta para fortalecer su control interno y su gestión de riesgos. Se considera necesariorealizar este trabajo porque, según consultas efectuadas en las bases de datos de la Universidad de Costa Rica, no se han llevado a cabo estudios para colegios profesionales y entidades semipúblicas en general, en cuanto al tema de sistema de control interno y evaluación de riesgos. Algunos trabajos finales de graduación han abordado temas relacionados, como el Establecimiento del sistema de control Interno en la Municipalidad de La Unión, específicamente en el sistema de autoevaluación de control interno y sistema específico de valoración de riesgo institucional (2010) y Diseño de un sistema de valoración del riesgo en Setena (2011), por mencionar dos ejemplos recientes, pero no para las instituciones indicadas anteriormente. xx La realización de la presente propuesta permitirá aplicar los conocimientos adquiridos durante la carrera y ponerlos al servicio del Colegio de Farmacéuticos de Costa Rica y, en general, para el resto de colegios de profesionales del país, a los cuales les servirá de guía para evaluar sus riesgos y fortalecer su sistema de control interno. Esta propuesta viene a agregar valor a la sociedad costarricense, específicamente a las personas incorporadas a un colegio profesional, pues identificará los riesgos del Departamento Financiero-Contable y propondrá un fortalecimiento del sistema de control interno utilizando como marco de referencia principal la Ley General de Control Interno y otras fuentes complementarias, como el Informe COSO. xxi OBJETIVOS Objetivo general: Diseñar una propuesta de fortalecimiento del sistema de control interno y gestión de riesgos en el Departamento Financiero Contable del Colegio de Farmacéuticos de Costa Rica, mediante el análisis de la información obtenida del área financiera contable orientada a los ciclos transaccionales, que permita a la administración tomar decisiones estratégicas entorno a su actividad. Objetivos específicos: 1. Conocer los antecedentes y la situación actual del sector farmacéutico en Costa Rica, así como los marcos o reglamentos relevantes en cuanto al tema de control interno y gestión de riesgos. 2. Comprender la historia del Colegio de Farmacéuticos de Costa Rica, y su coyuntura actual en cuanto a su sistema de control interno y gestión de riesgos. 3. Diagnosticar el sistema control interno actual en el Departamento Financiero Contable del Colegio contrastando la coyuntura actual con los marcos o reglamentos relevantes en control interno y gestión de riesgos, y así analizar las implicaciones de los controles o debilidades identificadas. 4. Elaborar una propuesta de fortalecimiento del control interno y gestión de riesgos del Colegio que mitiguen y/o controlen los riesgos derivados de las debilidades identificadas. 5. Elaborar conclusiones y recomendaciones para la correcta implementación de la propuesta de fortalecimiento del sistema de control interno y gestión de riesgos. xxii ALCANCES Si bien el sistema de control interno de una organización comprende una serie de aristas en diversas áreas además del área financiero-contable, como la legal, medioambiental, gestión humana, sistemas de información, entre otras, el presente trabajo se enfoca en el área financiero-contable, por ser el área en la cual hemos adquirido un mayor conocimiento durante nuestra formación académica, y en la que, según ha manifestado la Administración del Colegio, más apremia una mejora del control interno. De esta manera, se evaluarán los riesgos de implicaciones financieras, es decir, la posibilidad de que una falla de control ocasione un error en los registros contables. Se analizarán aspectos del control interno de la entidad que indirectamente representen un riesgo contable, así como de los ciclos transaccionales relevantes del Colegio que impactan de modo directo las cifras contables. Para ello, se aplicarán entrevistas y observación. Los riesgos identificados y, por consiguiente, los controles requeridos en la entidad se abordarán en los componentes de ambiente de control, evaluación de riesgos, monitoreo de controles, e información y comunicación. En este último, se evaluarán aspectos generales del sistema de información del Colegio como seguridad general y controles de acceso. Como parte del componente de actividades de control, se analizarán los riesgos y controles necesarios en cada ciclo transaccional relevante del Colegio, donde se considere que el sistema de información contable del Colegio cumple una función importante y puede aportar más para fortalecer el control interno del Colegio, a través de controles en los datos maestros de las aplicaciones y segregación de funciones, entre otros. xxiii LIMITACIONES Para efectos de la presente propuesta, se tiene como limitante la confiabilidad de los sistemas de información financiero-contable, por cuanto no somos expertos en sistemas informáticos. Por esa razón, realizaremos pruebas básicas para efectos de obtener una seguridad razonable de esos sistemas, enfocados particularmente en la seguridad física de la información financiero-contable. Asimismo, debido a la estructura jurídica del Colegio de Farmacéuticos, la aceptación de la propuesta e implementación estaría sujeta a la aprobación de la autoridad competente, pues no nos corresponde demandar el cumplimiento de fechas o aspectos contemplados en la propuesta de implementación. Esta propuesta no está diseñada para identificar todas las debilidades significativas en el sistema de control interno del Colegio. Sin embargo, si identificáramos cualquier debilidad significativa en el control interno, fuera del área financiero-contable, de la cual tengamos conocimiento en el curso de nuestro trabajo, plantearemos recomendaciones para solventarla. 24 Capítulo I….………………Aspectos generales y perspectivas teóricas. 1.1 Antecedentes y la situación actual del sector farmacéutico en Costa Rica 1.1.1 Antecedentes del sector farmacéutico en Costa Rica. Los orígenes de la profesión de farmacia en Costa Rica son relativamente recientes, puesa partir del siglo XIX es cuando, según farmacéuticos e historiadores, se observan varios hechos que pueden considerarse como los inicios de la institucionalización de la farmacia en nuestro país. Anteriormente, como lo indica el Dr. Carlos Alberto Serrano, durante la época colonial y hasta los primeros años del siglo XIX el país vivió privado del servicio de farmacéuticos y de farmacias, y el oficio era ejercido principalmente por frailes curanderos por medio de la confección y aplicación de remedios caseros. (Viales; p11). De igual manera, piensan otros historiadores respecto a los orígenes de la profesionalización de la Farmacia durante el siglo XIX, entre ellos Carlos Hernández, quien afirma que: … el desarrollo de la disciplina farmacéutica propiamente dicha lidió por mucho tiempo, con obstáculos[…] En el periodo colonial, no encontramos mayores indicios de esa actividad, sino que, por el contrario, el cuadro que parece haber prevalecido es el de curanderos, brujos y milagreros, típico de otros contextos.(p.39) Esta situación es evidenciada por el Decreto n.° XIV, del 24 de setiembre de 1841, emitido por el jefe de Estado, Braulio Carrillo: 25 Artículo 1°… a los Médicos y Cirujanos por el término de dos años, para que [pudieran]…tener botica y despachar en ella, con tal que cada uno [enseñara]…a su costa, la farmacia a un joven, bajo la inspección de la autoridad política legal. Artículo 2° Las personas que en este arte tuvieren conocimientos, aunque no [estuvieran]…aprobados, [podían]…también poner botica y despachar, pagando mensualmente un derecho, que no [bajara]…de ocho reales, ni [excediera]…de veinte. Los Jefes Políticos [concederían]estas licencias por el término fijado en el artículo anterior, aplicando el impuesto a los fondos municipales de su respectivo Departamento. De este decreto se infiere la necesidad imperante en la época, por la escasez de farmacéuticos. Esto lleva a los gobernantes a actuar de manera flexible temporalmente, pero a la vez, a realizar un primer esfuerzo por profesionalizar y regularizar la práctica de la farmacia que, como se mencionó, era efectuada por personas empíricas. De este modo, se buscar centralizar el expendio de medicamentos en boticas, para controlar la mala práctica que podía perjudicar la salud de la población. Desde el 17 de enero de 1849 se imparten en Costa Rica estudios formales en farmacia por medio de la creación de una Cátedra de Farmacia en la Universidad de Santo Tomás. Sin embargo, en 1888 se clausura esta universidad, y con ella la cátedra, sin haber graduado estudiantes. El 28 de octubre de 1857, mediante el Decreto XXXVI, se establece el Protomedicato de la República, con la intención de institucionalizar el ejercicio de la medicina (incluyendo la práctica de farmacia) en Costa Rica: Considerando que para favorecer los progresos de la ciencia médica en Costa Rica y para proteger la salud pública, es de absoluta necesidad que todos los profesores a quienes está encomendado el ejercicio de la medicina reconozcan una autoridad y un centro de asociación para el desempeño de todas las consultas que se le dirijan por el Supremo Gobierno. 26 Este Protomedicato desaparece al crearse la Facultad de Medicina, Cirugía y Farmacia, con el Decreto n.° 3, del 3 de abril de 1895, la cual absorbió y amplió las funciones del Protomedicato. El 29 de agosto de 1895 se promulgó la Ley Orgánica de la Facultad, y el 1 de febrero de 1897 se aprobó el Reglamento de Medicina, Cirugía y Farmacia de la República de Costa Rica. El artículo 38 de la Ley Orgánica de la Facultad decretaba: Mientras no… [hubiese] en las diferentes poblaciones del país un número suficiente de farmacéuticos, en proporción de uno por cada cuatro mil habitantes, queda[rían]… los médicos autorizados a abrir boticas o botiquines. Este artículo es comentado por Viales (2003) de la siguiente forma: Así, los “botiquines de pueblo” eran administrados por una persona de confianza de la Facultad y expedían drogas de consumo masivo en los pueblos, previamente autorizadas por aquella. Las “boticas u oficinas de farmacia” despachaban recetas y expedían drogas o medicinas al por mayor o al detalle, y los “botiquines privados” tenían médicos en sus despachos para preparar las recetas, pero en ellos era prohibido vender drogas o medicinas. A partir de ese momento, era obligatorio exhibir en las boticas y en los botiquines, en la parte más visible, el nombre del médico o farmacéutico que tenía a su cargo el establecimiento. (p.52) Viales también explica que, según el artículo 44 del Reglamento, ningún médico o farmacéutico podía regentar más de una botica, con lo cual se estableció una legislación antimonopolio, al menos en teoría. (p.52) En 1897, la carrera de farmacia (cerrada en 1888 con la clausura de la Universidad de Santo Tomás) es reabierta, dependiente de la Facultad de Medicina, 27 Cirugía y Farmacia, con el acuerdo n.° 754 del 8 de febrero de 1897,emitido durante la administración de Rafael Iglesias. El plan de estudios constaba de dieciocho materias, distribuidas en cuatro años, y un período de práctica farmacéutica, con lo cual se establecía un equilibrio entre los estudios y la práctica. 1.1.2 Situación actual del sector farmacéutico en Costa Rica. Desde 1841, cuando el jefe de Estado, Braulio Carrillo, buscaba regular la actividad farmacéutica, el Gobierno de Costa Rica ha efectuado varias acciones para institucionalizar y profesionalizar la farmacia, tal como se indicó en el apartado anterior, debido a que la práctica de la farmacia tiene una relación directa con la salud de los costarricenses. Según Proexport Colombia (2004), esto ha permitido que Costa Rica goce de uno de los más avanzados sistemas de salud en Latinoamérica (p. 11), lo cual amplía en el siguiente párrafo: Es debido a estas características (sistema avanzado de salud y trayectoria) que la demanda de medicamentos y productos farmacéuticos es alta. Siendo la CCSS el principal importador y consumidor de medicamentos y productos farmacéuticos del país con una participación de 75%, mientras que las restantes empresas privadas en todo el país, unas 500 farmacias, consumen el restante 25%. (p. 11) Estos grandes cambios en la actividad farmacéutica en Costa Rica se evidencian al contrastar sus inicios, en los cuales la labor era efectuada de una manera más artesanal, mediante un boticario encargado de alistar los medicamentos para la 28 población, e incluso con escasez de profesionales farmacéuticos —tal como se apuntó antes—, con la situación actual, descrita así por Proexport Colombia (2004): El mercado de productos farmacéuticos en Costa Rica es altamente competitivo y disperso,… además de presentar una baja diferenciación de precios(p. 21). El periodista César Brenes Quirós (2011) coincide en que el mercado costarricense se ha trasformado en un mercado altamente competitivo. Comenta que los empresarios todavía no vislumbran niveles de crecimientos como los obtenidos antes del 2009.Algunos de los principales actores del mercado farmacéutico entrevistados por Brenes concuerdan respecto a esta situación del mercado: Rodrigo Salas, director del distribuidor Grupo Farmanova Intermed, afirma en este reportaje que esto ha provocado que las utilidades de las ventas de la industria bajaran de un 23% a un 13%, o en un 15% en cinco años. Según Arnoldo Madrigal, gerente general de Corporación Nacional de Farmacias (Condefa),las empresas del sector han tenido que ajustarse a nuevas formas de negociación que han provocado agresividad en todos los niveles. Muestra de esto fue el cierre de la distribuidora Technofarma en marzo de 2011, después de operar dieciséis años en el mercado costarricense, al romper contractualmente con su mejor proveedor, GlaxoSmithKline (GSK). Dicha casa farmacéutica abastecía casi el 60% de las ventas de Technofarma. 29 Alejandro Esquivel Gerli, gerente general de Technofarma, explicó que la ruptura se dio después de que Technofarma solicitara en diciembre un plazo extra para cancelar un pedido de ¢181 millones ($362 mil) (http://www.centralamericadata.com/es/article/home/Distribuidora_farmaceutica_cierra_ operaciones_en_Costa_Rica) Brenes (2011) asevera que esa empresa finalizó operaciones después de registrar pérdidas de ¢755 millones. De acuerdo con este autor, los participantes del mercado farmacéutico no esperan un repunte en los precios, sino que ven la posibilidad de que continúe la baja en precios, en detrimento de sus márgenes de utilidad: En cuanto a los precios, la predicción de los entrevistados apunta hacia la estabilidad e, incluso, hacia una baja si sigue la tendencia de lucha. Esto, a pesar de que, según Salas, los costos de importación crecieron un 8% durante el año pasado. La dinámica se explica precisamente porque la competencia basada en precios bajos ha sido subsidiada por el deterioro de los márgenes de rentabilidad de los distribuidores y las farmacias. Esta situación podría incluso agravarse ante la entrada de un nuevo competidor: la firma chilena Socofar, que en abril de 2011 anunció la compra de la mitad de las acciones de la Corporación Cefa. El periodista del periódico La Nación, Juan Pablo Arias, se refirió a Socofar de la siguiente manera: Socofar –especialista en producción de medicamentos genéricos– tratará de aprovechar su presencia local para participar en las licitaciones públicas de la 30 Caja Costarricensedel Seguro Social, así como introducir este tipo de productos en el mercado minorista nicaragüense. (http://www.nacion.com/2011-04- 29/economia/notassecundarias/economia2761373.aspx) Pocos meses después de la adquisición de Cefa por Socofar, en enero de 2012, la Compañía Farmacéutica S.A. (Cofasa) planteó una denuncia contra Cefa/Fischel ante la Comisión Nacional de la Competencia (ente adscrito al Ministerio de Economía) argumentando que Cefa ha concentrado en una misma empresa la fabricación, importación, compra a fabricantes nacionales, distribución mayorista y venta al consumidor de medicamentos. (http://www.nacion.com/2012-06-05/Economia/Comision-de-la-Competencia- analizara-denuncia-de-Cofasa-contra-Cefa/Fischel.aspx) Douglas Alvarado, abogado de Cofasa y especialista en defensa comercial e inversión, afirmó a Sergio Arce del periódico La Nación: Desde el momento cuando Cefa adquirió la cadena de farmacias Fischel (en el 2007) se transformó en una enorme empresa con poder de dominio en el mercado de medicamentos. Luego, este grupo fue adquirido parcialmente por la transnacional chilena Socofar (en abril del 2011) y sus prácticas comerciales se tornaron más profundas y violentas y ha generado un desplazamiento de sus competidores. (http://www.nacion.com/2012-06-05/Economia/Comision-de-la-Competencia- analizara-denuncia-de-Cofasa-contra-Cefa/Fischel.aspx) La investigación por los supuestos actos monopólicos continúa en trámite. (http://www.nacion.com/economia/Comision-Competencia-cautelar-Cofasa- CEFA_0_1342065957.html 31 Arce comenta que Alvarado augura la pronta desaparición de Cofasa y de las farmacias independientes que, indicó, deben comprarle a Cefa productos a precios por encima de los que esta firma vende en sus propias farmacias. Asimismo, el Doctor Luis Carlos Monge Bogantes (2013) afirma que las condiciones del mercado farmacéutico han cambiado en los últimos 20 años: hoy el componente comercial ha superado –muchas veces- a los intereses profesionales. Además en la actualidad el cliente tiene más acceso a información y puede conseguir medicamentos de “venta libre” fuera de los establecimientos farmacéuticos (sin la debida supervisión del profesional e incluso sin la prescripción de un médico, fomentándose la automedicación), productos macrobióticos y naturales sin controles de calidad y sin que se le garantice, en muchos casos, el uso seguro (p.6). Al entorno actual, el Doctor Monge propone como meta evaluar objetivos cumpliendo con la legislación aplicable, sin olvidar la promoción de la salud pública, la atención farmacéutica, uso racional de medicamentos y la gestión de un sistema de distribución de fármacos, todos componentes esenciales de un sistema de salud accesible, sostenible y equitativo, que garantice la eficacia, seguridad y calidad de los medicamentos(p. 7). Del análisis de la situación actual del sector farmacéutico en Costa Rica podemos concluir que el Colegio de Farmacéuticos de Costa Rica se encuentra en un entorno muy dinámico que exige al Colegio su constante adaptación y evaluación de sus objetivos a corto y largo plazo para responder a las necesidades de los Colegiados y seguir cumpliendo satisfactoriamente con su deber fiscalizador. 32 1.2 Perspectivas teóricas relevantes en el tema de control interno y gestión de riesgos 1.2.1 Concepto de control y sus clasificaciones. Gitman y Mc Daniel (2001) catalogan el control como la cuarta función clave que desempeñan los administradores (luego de planear, organizar y dirigir), la cual consiste en evaluar el avance de una empresa para la consecución de sus metas. Incluye supervisar la aplicación de un plan y corregir posibles desviaciones (p. 203). Henry Fayol (1994) define el control como la acción de verificar si todo se realiza conforme al programa adoptado, a las órdenes impartidas y a los principios admitidos. Agrega que el objetivo de esta verificación es señalar las faltas y los errores, a fin de que se pueda repararlos y evitar su repetición (p.121). Idalberto Chiavenato (2000) plantea que el proceso de control es cíclico y repetitivo, y sirve para ajustar las operaciones a los estándares preestablecidos(p. 622). En su criterio, el control se debe considerar como un proceso administrativo donde se mide y se evalúa el desempeño y se toma la acción correctiva cuando se necesita, por lo cual esencialmente es un proceso regulador. Al evaluar el control interno de la entidad, se toma en cuenta tanto el diseño del control como su implementación. 33 El diseño de un control se refiere a cómo está estructurado o planeado el control para ayudar al logro del objetivo por el cual existe. Además de un adecuado diseño, es necesario ejecutar el control para alcanzar el objetivo. De ahí la importancia de evaluar la implementación de un control, definida como la ejecución del control por parte del personal de la entidad. Ruiz (1999) indica la siguiente clasificación de los controles según el momento de su aplicación: Controles preventivos Están diseñados para evitar un evento o resultado no deseado, errores o hechos fraudulentos, y así prevenir el daño que puedan ocasionar a la organización. Ayudan a disminuir la frecuencia con que puedan ocurrir las desviaciones y a minimizar los costos de corrección o reprocesos. Controles detectivos Corresponden a los controles diseñados para descubrir, a posteriori, un evento o resultado no deseado, errores o fraudes que no han sido posibles evitar con controles preventivos. También, permiten evaluar la eficiencia de los controles preventivos, e incluyen revisiones y comparaciones. Controles correctivos Tratan de asegurar que se enmienden todos los errores identificados mediante los controles detectivos, analizando las causas del riesgo e implantando los controles 34 detectivos. De estos se genera documentación y reportes que se entregan a la gerencia. 1.2.2 Atributos de un buen control. El diseño de un control es la actividad clave y más importante de un sistema de control interno. Por esta razón, Mantilla y Cante (2005) aseguran que: …si el diseño es bueno contribuye en gran medida al funcionamiento eficaz del sistema de control interno y ahorra cantidades importantes de recursos. Por eso, si bien es importante que participen todos los involucrados en la organización, el rol principal relacionado con el diseño corresponde a los emisores de los criterios y estándares, y a la alta gerencia en cuanto ésta directamente, o a través de asociaciones gremiales, participa en la emisión de tales criterios y estándares (p. 46). Al evaluar si el diseño de un control es adecuado, lo más importante es entender la razón de ser del control, o el objetivo por el cual se diseñó. Con base en esto se considera si, de acuerdo con su diseño, el control es capaz de alcanzar su objetivo, ya sea prevenir o detectar y corregir efectivamente los errores. Por ejemplo, si el objetivo de un control fuera restringir el acceso al sistema de información de una entidad por medio del uso de claves, habría entonces que valorar si este control es capaz de impedir el acceso a personas no autorizadas. Si se determinara que existen claves o accesos pero estos son altamente predecibles, o divulgados a personal que no debería tener este acceso, entonces dicho control tendría una deficiencia en su diseño, por cuanto no se está logrando el objetivo por el cual se creó, aunque esté implementado de tal manera que los empleados deban ingresar su clave o contraseña de acceso. 35 La efectividad del diseño de un control en cualquier organización depende de varios factores, y se requiere de juicio profesional. Los atributos que se consideran al valorar si un control está adecuadamente diseñado son: Su nivel de desagregación: serefiere al nivel de precisión que posee el control para detectar errores. Por ejemplo, un control de revisión de desempeño de negocio ejecutado por la alta gerencia con base en su experiencia del negocio, como revisión de variaciones en la ejecución presupuestal o análisis de razones financieras, puede proporcionar cierta seguridad en varias afirmaciones de los estados financieros; sin embargo, controles más detallados de transacciones o de procesamiento de información pueden proporcionar mayor seguridad sobre afirmaciones concretas. Puntualidad u oportunidad del control: esto afectará si el control puede detectar o prevenir el riesgo identificado en el momento oportuno. En algunos casos, un control de detección puede ser suficiente, pero en otros, la entidad debe implementar controles adecuados de prevención. Consistencia: los controles realizados de forma rutinaria y consistente suelen ser más precisos que los efectuados esporádicamente. El conocimiento y la experiencia de las personas involucradas en la realización de los controles: en el caso de los controles manuales, ejecutados por personal de la entidad y no por un sistema informático, resulta importante el conocimiento y la experiencia de quien ejecuta el control, pues esto influirá en el grado de efectividad del control. Por 36 ejemplo, una persona inexperta podría obviar o ignorar una deficiencia de control importante, por no conocer las posibles implicaciones. Separación de las funciones relacionadas con el proceso que se controla: si la misma persona que ejecuta la transacción debe revisársela, podría existir un conflicto de interés y llevar a que el control no se ejecute ni exista un seguimiento de las deficiencias o excepciones. Seguimiento de las medidas adoptadas por la entidad: para que un control sea eficaz, se requiere un seguimiento adecuado y oportuno de las medidas adoptadas y excepciones identificadas. Si existiera un umbral o margen de tolerancia de excepciones, cuanto mayor sea este umbral, menor será el grado de precisión del control y mayor será el riesgo de que el control no pueda detectar o prevenir errores importantes. La fiabilidad de la información utilizada en el rendimiento del control: si el control depende de un reporte generado por el sistema de información, el grado de confiabilidad de la información en este reporte impactará en el grado de efectividad del control. La implementación del control es responsabilidad de la alta gerencia y consiste en poner a funcionar, en un plazo establecido, el diseño establecido. Por lo general se inicia capacitando a los niveles más altos de la organización, con el personal clave con respecto al criterio de control seleccionado, las razones y su metodología. 37 Seguidamente se debe realizar un plan piloto en un área clave de la organización y, por último, consolidare integrar un control único y coherente. El control debe estar en un mejoramiento continuo, ya que no existe ningún sistema de control exento de errores. Por esto, debe analizarse el control una vez implementado y determinar si existe algún ajuste que deba realizarse. 1.2.3 Objetivos de procesamiento de información. Los objetivos de procesamiento de la información proporcionan un marco útil al evaluar la efectividad del diseño de los controles en el nivel de transacciones dentro de un proceso de negocio o subproceso, con el fin de comprender la entrada, el procesamiento y la grabación de datos. En cada proceso de negocio y flujos relacionados con la transacción, es importante que las actividades de control estén diseñadas e implementadas para verificar que las transacciones autorizadas se registran de manera completa y precisa y que una vez registradas, están protegidas contra la modificación no autorizada. Estos objetivos de procesamiento de la información se exponen seguidamente: Totalidad: tal como lo expone Cepeda (1997), el objetivo de totalidad se refiere a que todas las operaciones efectuadas queden incluidas en los registros contables(p. 29). Además, implica que todas las transacciones producidas se registran y autorizan a trámite una sola vez y en el plazo adecuado. Por ejemplo, las entradas duplicadas se identifican y se rechazan, y todas las excepciones o rechazos se investigan y se resuelven. 38 Exactitud: según el mismo autor, este objetivo consiste en que las operaciones se registren por su importe correcto, en la cuenta correspondiente y oportunamente(p. 29). Validez: se registran solo las operaciones autorizadas, que realmente ocurrieron y están relacionadas con la organización. Acceso restringido: Cepeda llama a este objetivo seguridad física, y se trata de que el acceso a los activos y a los documentos que controlan su movimiento esté restringido al personal autorizado(p. 29). El acceso restringido a los datos confidenciales y los activos físicos también comprende que los datos estén protegidos contra modificaciones no autorizadas. Puede ser difícil alcanzar los otros tres objetivos de procesamiento de información (integridad, exactitud y validez) cuando no se cumple el objetivo de acceso restringido. 1.2.4 Afirmaciones de las cuentas de los estados financieros Las afirmaciones de las cuentas de los estados financieros son enunciaciones hechas por la administración en cuanto a la presentación razonable de los estados financieros y saldos de cuentas. Estas son clasificadas por la Norma Internacional de Auditoría 315 en afirmaciones sobre clases de transacciones y eventos, afirmaciones sobre saldos de las cuentas, y afirmaciones sobre presentación y revelación. A continuación se explica cada una de estas afirmaciones: 39 1. Afirmaciones sobre clases de transacciones y eventos: Ocurrencia: las transacciones y eventos registrados han ocurrido y corresponden a la entidad. Integridad: todas las transacciones y eventos que debieran haberse registrado se han registrado. Exactitud: las cantidades y otros datos relativos a transacciones registradas y eventos se han registrado adecuadamente. Corte: las transacciones y eventos se han registrado en el período contable correcto. Clasificación: las transacciones y eventos se han registrado en las cuentas apropiadas. 2. Afirmaciones sobre saldos de las cuentas al final del ejercicio: Existencia: los activos, pasivos y patrimonio existen. Derechos y obligaciones: la entidad posee o controla los derechos a los activos; y los pasivos son las obligaciones de la entidad. Totalidad: todos los activos, pasivos y patrimonio que debieran haberse registrado se han registrado. Asignación y valoración: los activos, pasivos y patrimonio son incluidos en los estados financieros por las cantidades apropiadas, y cualquier valoración resultante o los ajustes de asignación se registran adecuadamente. 40 3. Afirmaciones sobre presentación y revelación: Ocurrencia y derechos y obligaciones: eventos divulgados, transacciones y otros asuntos han ocurrido y corresponden a la entidad. Totalidad: todas las revelaciones que se deberían haber incluido en los estados financieros se han incluido. Clasificación y comprensibilidad: la información financiera está debidamente presentada y descrita, y las revelaciones se expresan con claridad. Exactitud y valuación: información financiera y otro tipo de información se dan a conocer de manera justa y en montos apropiados. El siguiente cuadro relaciona los objetivos de procesamiento de información con las afirmaciones de las cuentas de los estados financieros. También, ejemplifica cómo las actividades de control, al estar diseñadas y operando eficazmente, pueden lograr el cumplimiento de los objetivos de procesamiento de información en cada transacción y, de esta forma, promover que la administraciónpueda confiar y afirmar en cuanto a la presentación razonable de los estados financieros: Cuadro 1: Relación de objetivos de procesamiento de información con afirmaciones de los estados financieros Objetivo de procesamiento de información Afirmación de los estados financieros Totalidad Totalidad, corte, existencia, ocurrencia, derechos y obligaciones Exactitud Exactitud, valuación Validez Existencia, ocurrencia, derechos y obligaciones Acceso restringido La mayoría, excepto derechos y obligaciones 41 Fuente: Elaboración propia. 1.2.5 Debilidades de control interno. Posterior a la evaluación del control interno, se emite un juicio sobre su efectividad. En este punto, se concluye si el control es efectivo o deficiente. El informe COSO define deficiencia como una falta percibida, potencial o real, o una oportunidad para fortalecer el sistema de control interno a fin de proporcionar una mayor probabilidad de que se pueden conseguir los objetivos de la entidad. En caso de determinar una deficiencia (en el diseño o implementación) en un control o la ausencia de este, se puede afirmar que la entidad posee un riesgo inherente sin mitigar o subsanar. Para aclarar qué son debilidades de control, Mantilla proporciona algunos ejemplos de debilidades significativas en el control interno: Controles débiles del ambiente de control (a nivel de entidad), tales como supervisión inefectiva, actitud pobre frente al control interno, o casos que se encuentren de fraude o de que la administración eluda los controles. Debilidades en los controles generales de TI. Riesgos de negocio significantes que no hayan sido abordados mediante políticas, procedimientos o controles internos. Políticas y procedimientos inadecuados que están en operación para: o Valorar y aplicar de manera apropiada los principios de contabilidad; o Determinar los estimados de contabilidad y valorar su razonabilidad: o Preparar los estados financieros y las revelaciones requeridas; y o Salvaguardar los activos. Actividades de control o controles de aplicación, significantes, que no operan como fueron diseñados, no son aplicados consistentemente por las personas apropiadas (p.223). 42 Si un objetivo de procesamiento de la información en una etapa particular del proceso de negocio o subproceso no se logra, los datos generados en esta etapa y en etapas posteriores de procesamiento, así como la información derivada de los datos, puede no ser fiable. Esto puede deberse a que los datos transaccionales se procesan incompletos (totalidad), se registran o se procesan incorrectamente (exactitud), reflejan transacciones o sucesos no ocurridos o no autorizados (validez), o no protegidos en todo el proceso contra modificaciones no autorizadas (acceso restringido). Estas situaciones pueden generar errores en las afirmaciones o afirmaciones de la gerencia respecto a los estados financieros, como las siguientes: Ocurrencia: las transacciones y eventos registrados no han ocurrido y no pertenecen a la entidad. Totalidad: todas las transacciones y eventos que se deben haber registrado no se han registrado. Exactitud: los montos y otros datos relacionados con las transacciones y eventos registrados no se han registrado apropiadamente. Corte: las transacciones y eventos no se han registrado en el período contable correcto. 43 Clasificación: las transacciones y eventos no se han registrado en las cuentas apropiadas. Existencia: los activos, pasivos e intereses en capital no existen. Derechos y obligaciones: la entidad no mantiene o no controla los derechos sobre los activos, y los pasivos no son las obligaciones de la entidad. Totalidad: todos los activos, pasivos e intereses en capital que se deben haber registrado no se han registrado. Presentación y revelación Valuación y asignación: los activos, pasivos e intereses en capital no están incluidos en los estados financieros en montos apropiados, y cualquier ajuste resultante de valuación o distribución no están registrados apropiadamente. Ocurrencia, y derechos y obligaciones: los eventos, transacciones y otros asuntos revelados no han ocurrido y no pertenecen a la entidad. Totalidad: todas las revelaciones que se deben haber incluido en los estados financieros no se han incluido. Clasificación y comprensibilidad: la información financiera no se presenta y no describe apropiadamente, y las revelaciones no están claramente expresadas. 44 Exactitud y valuación: la información financiera y otra información no se revela razonablemente y en montos apropiados. 1.2.6 Concepto de riesgo y tipos de riesgo. Hay una gran variedad de ámbitos en la vida en donde el riesgo está presente. Para cada uno de esos ámbitos, la definición de la palabra riesgo se adecúa al contexto. Para una definición general de esta palabra, se pueden establecer como referencia varias fuentes. De acuerdo con la Real Academia Española, el riesgo es una contingencia o proximidad de un daño. El Petit Robert lo define como un peligro eventual más o menos previsible. Estas definiciones implican, para cualquier persona o empresa, que diversas situaciones puntuales en la vida diaria los exponen a un riesgo, haya o no un conocimiento implícito sobre dicho riesgo. Este riesgo se evidencia, en mayor o menor grado, dependiendo de la actividad que realice esa persona o el giro económico de la empresa. En diferentes áreas de aplicación técnica, se pueden encontrar categorizaciones de riesgo que ayudan a identificar nuevas amenazas. El Instituto Nacional de Tecnologías de Información (INTECO en España) indica: Los riesgos se pueden clasificar según sus fuentes, es decir, según las causas que los provocan. 45 Concretamente, se mencionan las fuentes de riesgos internos y las fuentes de riesgos externos. Como su nombre lo indica, las fuentes de riesgos internos se crean y desarrollan dentro de una empresa. Por este motivo, la empresa puede tener mayor control sobre estos (empleados, procesos de compras, facturación son algunos ejemplos). En cambio, las fuentes de riesgos externos pueden implicarle a la empresa un mayor esfuerzo para lograr controlarlos (tasas de interés, inflación, leyes son algunos ejemplos). Deloitte (2007) conceptúa el riesgo como la pérdida potencial causada por un evento (o serie de eventos) que puede afectar adversamente al logro de los objetivos de la compañía.Hay actividades de control que las empresas pueden considerar innecesarias o una pérdida de tiempo. Sin embargo, pueden ser actividades que le permitan disminuir su exposición a un riesgo en su gestión y alcanzar los objetivos planteados por la empresa en el corto o largo plazo. Por ejemplo, si una empresa no considera necesario asignar un número o código a sus activos (equipo de cómputo, herramientas especializadas), puede exponerse a un riesgo de pérdida o robo, con la agravante de no poseer la información requerida para determinar a quién había asignado estos equipos, su estado, ubicación y el uso que se le estaba dando. Igualmente sucede si, dentro del proceso de pagos a proveedores, no incluye una actividad de revisión por parte de un empleado con las competencias pertinentes 46 para efectuar dicha revisión antes de girar los pagos (vía cheque o transferencia electrónica). De la misma forma, la empresa puede ver afectada su actividad económica si no realiza conteos aleatorios y periódicos de su inventario. Otro caso con una connotación de moda más evidente es cuando una empresa considera que puede lograr un mejor acercamiento con su cliente dándose a conocer por medio de las redes sociales, con información sobre sus productos, promociones, prácticas con responsabilidad social. Sin embargo, se expone a un riesgoimportante que puede no cuantificar. Un cliente disconforme tiene la herramienta idónea para que su disconformidad sea conocida por la empresa, pero, además, esa disconformidad es conocida de inmediato por quienes tienen acceso a esas redes sociales. Si la empresa no toma acciones correctivas inmediatas en los casos expuestos, ese riesgo al que se expuso le ocasionará un efecto negativo en el estado de resultados. Este panorama da una idea de la definición de riesgo financiero como la probabilidad de ocurrencia de uno o varios eventos que pueden incidir negativamente en los resultados de la empresa. Entre los tipos de riesgo financiero más relevantes están: - Riesgo de mercado: tiene relación con el cambio, en los precios de mercado, de los activos y pasivos financieros. 47 - Riesgo crediticio: se presenta por la falta de cumplimiento de las obligaciones contractuales. - Riesgo de liquidez: ocurre cuando se enfrenta una necesidad de recursos por encima del capital disponible. - Riesgo operacional: se refiere a las eventuales pérdidas provocadas por prácticas administrativas inadecuadas, falta de controles o su mala aplicación, errores humanos o dolo, sistemas contables ineficientes. - Riesgo legal: está presente en todas las actividades de una empresa y se puede materializar en el tanto dichas actividades no cumplan el respectivo marco regulatorio. También existen los riesgos transaccionales, los de traducción de estados financieros y los de riesgo económico. Al considerar el alcance del presente trabajo, es necesario enfatizar en el riesgo operacional dentro del marco de riesgo financiero. Para una empresa, debe ser importante centrar sus esfuerzos en disminuir la exposición al riesgo en las actividades diarias. Aunque este trabajo no se desarrolla en una entidad financiera y por lo tanto no le aplican regulaciones financieras y de supervisión, sí le aplica la definición de riesgo operativo efectuada por el Grupo de Gestión de Riesgo adscrito al Comité de Basilea (2001), según el cual el riesgo operativo es la probabilidad de pérdida resultado de 48 fallas o insuficiencias en la actuación de recursos humanos, sistemas informáticos, o procesos internos fallidos o eventos externos. (p.2) De esta definición se infieren ciertas características especiales para este riesgo: - Está directamente relacionado con la participación de personas, sistemas informáticos y procesos dentro de una empresa. - Independientemente de su origen, este riesgo es por naturaleza complejo, debido a la cantidad actividades que lo generan. - Está presente en cualquier empresa, independientemente de su giro de negocio. - La mala gestión para su control provoca pérdidas económicas. Si una empresa pretende continuar a través del tiempo con su operación, debe encontrar la forma de gestionar los riesgos a los cuales se expone. 1.2.7 Gestión de riesgos Como lo expresa Porras (2004), ante la necesidad de una empresa de enfrentar los riesgos a los que se expone, puede optar por eliminarlos, reducirlos, retenerlos o transferirlos a terceros. Estas opciones dan la guía hacia el término de gestión o administración de riesgos. La Norma Internacional de Auditoría n.° 200 (NIA 200) menciona que para la gestión del riesgo, se pueden clasificar los riesgos en: 49 Riesgos inherentes: “ciertos factores de la entidad y de su entorno, relacionados con varios o con tipos de transacciones, saldos contables o información a revelar” son relevantes para la identificación de riesgos inherentes a la empresa. Por ejemplo, la dependencia a los sistemas tecnológicos implica un riesgo inherente de la entidad. Riesgos de control: este riesgo está relacionado a la “eficacia del diseño, implementación y mantenimiento del control interno por parte de la dirección” de la empresa que puedan obstruir el logro de los objetivos planteados en el corto, mediano y largo plazo. Vera y Flores (1981) definen la administración de riesgos como el proceso de planear, organizar, dirigir y controlar las actividades relacionadas con la identificación, análisis y valuación de los riesgos a que está sujeta una organización. Igualmente, INTECO plantea que el propósito de la gestión de riesgos es minimizar la probabilidad y consecuencias de los riesgos negativos (o amenazas) y maximizar la probabilidad y consecuencias de los riesgos positivos (u oportunidades) identificados. La gestión de riesgo es un proceso que involucra a todos los niveles de una empresa. Trata de establecer mecanismos eficientes y eficaces dirigidos a identificar posibles situaciones o eventos que puedan afectar a la empresa. Una vez identificados estos eventos, la empresa debe aplicar estrategias que le aseguren una correcta administración de los riesgos asociados a su giro de negocio, de tal manera que su efecto sea mínimo o cero. 50 Para esto, se establecen rangos que indican la disposición de una organización a los efectos de uno o varios riesgos. El objetivo principal de este proceso es proporcionar un ambiente de control adecuado que lleve a la empresa al logro de los objetivos planteados (en el corto, mediano y largo plazo). Cuando la empresa ha definido qué desea realizar para gestionar los riesgos detectados, debe tomar en cuenta varias definiciones: - Evaluación de riesgo: determinar la magnitud del riesgo. - Riesgo aceptable: riesgo que se asume por considerarse irrelevante o imposible la aplicación de mecanismos para su gestión. - Riesgo tolerable: magnitud de riesgo que la administración ha conseguido administrar y se considera razonable, a pesar de las implicaciones económicas que le pueda generar. La Ley General de Control Interno, en su capítulo III, da un marco de referencia de quiénes deben participar de las actividades para la administración del riesgo y, además, de cuáles serán esas actividades. Al respecto, esta ley señala: …, serán deberes del jerarca y los titulares subordinados, entre otros, los siguientes: a) Identificar y analizar los riesgos relevantes asociados al logro de los objetivos y las metas institucionales, definidos tanto en los planes anuales operativos como en los planes de mediano y de largo plazos. b) Analizar el efecto posible de los riesgos identificados, su importancia y la probabilidad de que ocurran, y decidir las acciones que se tomarán para administrarlos. c) Adoptar las medidas necesarias para el funcionamiento adecuado del sistema de valoración del riesgo y para ubicarse por lo menos en un nivel de riesgo organizacional aceptable. d) Establecer los mecanismos operativos que minimicen el riesgo en las acciones por ejecutar. 51 Las empresas deben adoptar los mecanismos necesarios para lograr que estas actividades se ejecuten y monitoreen oportunamente, en aras de alcanzar los objetivos planteados. Debe identificar las herramientas que le permitan: - Establecer los parámetros sobre los cuales se admitirá un riesgo. - Identificar las áreas de exposición al riesgo dentro de las actividades diarias de la empresa. - Establecer los límites máximos aceptables de exposición al riesgo. - Con base en el punto anterior, proponer el nivel de pérdida esperada que se puede aceptar. - Monitorear la totalidad de riesgos identificados por la empresa. Las matrices de riesgo son esos mecanismos dinámicos que posibilitan obtener evidencia, realizar un análisis y dar seguimiento a los riesgos detectados en una empresa, con el objetivo de administrarlos de manera eficiente. Por ello, estas matrices deben contener todos los riesgos detectados y asociados a las actividades diarias de la empresa. Además, por ese motivo se insiste en la participación activa de la totalidad de las áreas, unidades de negocios, departamentos de una empresa. Así se asegura el accesoa toda la información necesaria y confiable, que permite un proceso fluido de toma de decisiones. Un ejemplo sencillo de una matriz de riesgo, aplicable a cualquier ámbito laboral, económico, social, se elabora tomando en cuenta: 52 La probabilidad de que ocurra un tipo de riesgo: puede estar valorada en una escala definida por la empresa. Algunas matrices establecen la escala de 1 a 3 o de 1 a 5, donde 1 es una probabilidad muy baja y 5 una probabilidad muy alta. El impacto de la ocurrencia de un tipo de riesgo: puede medirse tomando como referencia un costo económico (de 1 a 5, donde 1 puede tener un costo de $1,000 y 5 un costo mayor de $1,000,000) o un atributo cualitativo (de 1 a 5, donde 1 es muy bajo y 5 muy alto). El esquema de la matriz sería como sigue: 3 2 1 1 2 3 El color verde denota que el riesgo necesita monitoreo y deben aplicarse planes detectivos. El riesgo puede tener altas probabilidades de ocurrencia, pero su impacto económico sobre la empresa es muy bajo. Del otro extremo, puede tener un impacto económico alto, pero la probabilidad de ocurrencia es muy baja. El color amarillo indica que el riesgo necesita de actividades de investigación y deben ejecutarse planes de carácter preventivo. El riesgo puede tener altas probabilidades de ocurrencia, y su impacto económico puede ser medio. Por otro lado, 53 el riesgo puede tener un alto impacto económico y una probabilidad media de ocurrencia. Por último, el color rojo significa que el riesgo precisa de planes de mitigación o de actuación correctiva, por cuanto tiene altas probabilidades de ocurrencia y porque su impacto económico en la empresa también es alto. 1.2.8 Concepto de control interno. La Ley General de Control Interno de Costa Rica, n.° 8292, en su capítulo II, artículo 8°, define el sistema de control interno como: …la serie de acciones ejecutadas por la administración activa, diseñadas para proporcionar seguridad en la consecución de los siguientes objetivos: a) Proteger y conservar el patrimonio público contra cualquier pérdida, despilfarro, uso indebido, irregularidad o acto ilegal. b) Exigir confiabilidad y oportunidad de la información. c) Garantizar eficiencia y eficacia de las operaciones. d) Cumplir con el ordenamiento jurídico y técnico. (p. 3) El Committee of Sponsoring Organizations of the Treadway Commission fue creado en 1985 por Treadway Commission, para definir un nuevo marco conceptual del control interno, integrando las diversas definiciones y conceptos que venían utilizándose al respecto. En 1992 publica el informe COSO, donde define el control interno como: …un proceso, ejecutado por el consejo de directores, la administración y otro personal de una entidad, diseñado para proporcionar seguridad razonable con miras a la consecución de objetivos en las siguientes categorías: • Efectividad y eficiencia de las operaciones, es decir, el uso eficiente y eficaz de sus recursos para lograr los objetivos del negocio • Confiabilidad en la información financiera, para uso interno y/o externo • Cumplimiento de las leyes y regulaciones aplicables. (p. 14) 54 En el año 2007, De Lara conceptúa el control interno en los siguientes términos: El control interno se define como el plan de organización y el conjunto de métodos y procedimientos que aseguren que los activos están debidamente protegidos, que los registros contables son fidedignos y que la actividad de la entidad se desarrolla eficazmente y se cumplen según las directrices marcadas por la dirección. (p.54) Según Fonseca (2011), el control interno abarca un plan de organización, métodos e implementaciones que posee una empresa o negocio, estructurados por tres objetivos fundamentales: - La obtención de información financiera y segura, - La salvaguarda de los activos y - La eficiencia de las operaciones. También apunta que el control interno varía mucho entre cada organización, de acuerdo con sus objetivos, sus operaciones y su tamaño. Por su parte, Perdomo expone sobre este tema: El control interno es un proceso[…] efectuado por la junta directiva de la entidad, por la administración y por otro personal[…] diseñado para proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos en la efectividad y eficiencia de las operaciones, confiabilidad de la información financiera y cumplimiento de las leyes y ordenamientos. El control interno es: El corazón de una organización. La cultura, las normas sociales y ambientales que gobiernan a la misma. Los procesos del negocio, los mecanismos por medio de los cuales una organización proporciona bienes y servicios de valor agregado. La infraestructura, entendiendo dentro de los sistemas, la tecnología de información, las facilidades, las políticas y los procedimientos. (p. 234) 55 Asimismo, Estupiñan (2006) plantea: Control interno es un proceso, ejecutado por la junta directiva o consejo de administración de una entidad, por su grupo directivo (gerencial) y por el resto del personal, diseñado específicamente para proporcionarles seguridad razonable de conseguir en la empresa las tres siguientes categorías de objetivos: - Efectividad y eficiencia de las operaciones. - Suficiencia y confiabilidad de la información financiera. - Cumplimiento de las leyes y regulaciones aplicables. (p. 25) El concepto de control interno está relacionado intrínsecamente con el concepto de control. Incluso, este concepto se puede resumir como una serie de controles aplicados en una entidad para mitigar riesgos que impidan alcanzar sus objetivos. De esta manera se infiere que, si un control es deficiente, el riesgo de que los objetivos no se alcancen está latente. 1.2.9 Componentes de control interno. Tanto en la Ley n.° 8292 como en el informe COSO y en la Norma Internacional de Auditoría n.° 315 (NIA 315), se clasifica la estructura de control interno en cinco componentes interrelacionados, que se pueden aplicar a cualquier nivel de la organización (por ej., al nivel de la entidad, unidad de manejo, y/o proceso de negocio). Estos componentes son: - El ambiente de control - La evaluación de riesgos - Los sistemas de información y comunicación 56 - El monitoreo de controles - Las actividades de control Los primeros cuatro componentes son conocidos como los componentes suaves de COSO, porque pueden tener menos elementos tangibles o estar más sujetos a juicio. Sin embargo, no deben considerarse como menos importantes que las actividades de control. 1.2.9.1 Ambiente de control. El ambiente de control refleja el ámbito ético presente en una entidad respecto del comportamiento de los agentes, la responsabilidad con que encaran sus actividades y la importancia que asignan al control interno. Constituye la base o fundamento de los demás componentes de control interno, por cuanto influye en la conciencia de control de las personas que forman parte de la organización y, por ende, en la actitud hacia el cumplimiento de los controles. Además, en ese ambiente se evalúan los riesgos y se definen las actividades de control tendientes a contrarrestarlos. Paralelamente, se capta la información relevante y se realizan las comunicaciones oportunas, dentro de un proceso supervisado y corregido de acuerdo con las circunstancias que se presentan. El ambiente de control cubre los siguientes factores: - Integridad y valores éticos http://www.monografias.com/trabajos16/comportamiento-humano/comportamiento-humano.shtml http://www.monografias.com/trabajos/lacomunica/lacomunica.shtml 57 - Incentivos y tentaciones - Proporcionando y comunicando orientación moral - Compromisos para la competencia - Consejo de directores o comité de auditoría - Filosofía y estilo de operación de la administración
Compartir