Para describir los componentes del Control Interno se sigue el marco de control ofrecido por el Informe COSO, reiterando que hay muy pocas diferencias con el Informe COCO y que ellas radican, básicamente, en un ordenamiento diferente de sus componentes. Al final de la unidad se expone, sintéticamente, la estructura de control ofrecida por el Informe COCO para que el lector pueda apreciar las similitudes.
El Control Interno consta de cinco componentes relacionados entre sí, integrados en el proceso de gestión, y que son: Ambiente de Control, Evaluación de los Riesgos, Actividades de Control, Información y Comunicación y Supervisión (Monitoreo).
1. Ambiente de Control.
El ambiente de control aporta el clima en el que las personas desarrollan sus actividades y cumplen con sus responsabilidades de control, marca las pautas de comportamiento en una organización.
El ambiente de control debe interpretarse en sentido amplio, comprende tanto las personas (sus atributos individuales, integridad, valores éticos y competencias), la estructura y el entorno.
2. Evaluación de los Riesgos.
La identificación y el análisis de los riesgos es un proceso interactivo continuo y constituye un componente fundamental de un Sistema de Control Interno eficaz.
La dirección debe examinar detalladamente los riesgos existentes a todos los niveles de la empresa y tomar las medidas oportunas para administrarlos (mantenerlos dentro de los límites que se consideran aceptables). El Control Interno incluye, por lo tanto, la identificación y la reducción de los riesgos.
Toda organización fija objetivos (de producción, comercialización, finanzas,...) consistentes para que la organización funcione de forma coordinada y debe establecer mecanismos para identificar, analizar y tratar los riesgos con los que se enfrenta para poder cumplir esos objetivos.
El esfuerzo debe centrase en identificar los factores de riesgo más significativos y alta probabilidad de materialización a nivel de empresa y para cada actividad de la empresa (ventas, producción, investigación y desarrollo,...), establecer en la medida de lo posible vínculos entre los factores de riesgo y las actividades y luegoconsiderar los controles que se implementarán para administrar los riesgos identificados (acciones que pueden tomarse para reducir la importancia o la probabilidad de que se materialicen). Esto evita implementar controles sobre aspectos que no ofrecen un riesgo significativo y que se dilapiden esfuerzos y recursos.
Deben existir sistemas de información y mecanismos adecuados , formales o no formales (empresas pequeñas) para identificar los cambios significativos ante los cuales la empresa deba reaccionar (cambios en las preferencias de los clientes, en los factores que afectan la demanda de productos o servicios de la empresa, cambios surgidos en al competencia o en la normativa legal,...). Cuanto más rápida sea la detección de los cambios que conllevan riesgos u oportunidades, mayor será la probabilidad de que puedan tomarse medidas para abordarlos eficazmente.
3. Actividades de Control.
La organización debe establecer y ejecutar políticas y procedimientos que ayuden a conseguir una seguridad razonable de que se llevan acabo de forma eficaz las acciones consideradas necesarias para afrontar los riesgos que existen respecto al logro de los objetivos.
Las actividades de control consisten en las políticas que determinan lo que debería hacerse (constituyen la base de los procedimientos) y los procedimientos necesarios para llevar a cabo las políticas que tienden a asegurar que se cumplen las directrices establecidas por la dirección y que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro el logro de los objetivos de la organización
Las políticas, comunicadas a toda la organización y traducidas en prácticas específicas, brindan directivas sobre los límites de un acción aceptable.
Los procedimientos son rutinas establecidas (pasos necesarios para realizar una actividad) para brindar seguridad de que los procesos operan como fueron diseñados y cumplen con los requerimientos de las políticas de la organización.
Siguiendo la definición de Control Interno, las actividades de control pueden dividirse en tres categorías, según el tipo de objetivo con el que están relacionadas, actividades de control sobre las operaciones, sobre la confiabilidad de la información o el cumplimiento de la normas legales.
Las actividades de control y las políticas y los procedimientos inherentes pueden ser comunicados informalmente (porque son bien entendidas, relativamente simples o involucran a muy poca gente) o documentados formalmente en manuales.
Naturalmente que las decisiones de agregar actividades de control deben considerar los costos, beneficios y cuáles son los riegos residuales aceptables.
4. Información y Comunicación.
Otro componente importante del control es la evaluación de la adecuación de los sistemas de información y comunicación a las necesidades de la empresa.
Toda empresa necesita identificar, recoger y comunicar la información interna y externa relevante en forma y en un plazo tal que posibilite la dirección y el control (información sobre un determinado mercado o industria, sobre la evolución de las preferencias de los clientes, el desarrollo de productos por la competencia,...).
La calidad de la información generada por el sistema afecta la capacidad de la dirección de tomar decisiones adecuadas al gestionar y controlar las actividades. La calidad de la información se refiere a su contenido (datos necesarios), oportunidad (tiempo adecuado), actualidad (la más reciente), exactitud (correspondencia con la realidad) y accesibilidad (puede ser obtenida por las personas adecuadas).
Además, se debe establecer una comunicación eficaz, lo cual implica una circulación multidireccional de la información requerida, es decir, ascendente, descendente y transversal, para que el personal pueda desarrollar, gestionar y controlar sus operaciones.
5. Supervisión.
Todo el sistema de control interno debe ser supervisado, introduciéndose las modificaciones pertinentes cuando se estime oportuno, para que el sistema pueda reaccionar ágilmente y cambiar de acuerdo a las circunstancias.
Los sistemas de control interno y la forma en que se aplican los controles evolucionan con el tiempo y deben adecuarse a los cambios operados en la organización, por lo que procedimientos eficaces en un momento dado pueden perder eficacia o dejar de aplicarse. Por ello, mediante actividades de supervisión continuadas y evaluaciones periódicas se debe asegurar que el control interno continúa funcionando adecuadamente para que la dirección tenga una seguridad razonable de la eficacia del Sistema de Control Interno.
El Control Interno consta de cinco componentes relacionados entre sí, integrados en el proceso de gestión, y que son: Ambiente de Control, Evaluación de los Riesgos, Actividades de Control, Información y Comunicación y Supervisión (Monitoreo).
1. Ambiente de Control.
El ambiente de control aporta el clima en el que las personas desarrollan sus actividades y cumplen con sus responsabilidades de control, marca las pautas de comportamiento en una organización.
El ambiente de control debe interpretarse en sentido amplio, comprende tanto las personas (sus atributos individuales, integridad, valores éticos y competencias), la estructura y el entorno.
2. Evaluación de los Riesgos.
La identificación y el análisis de los riesgos es un proceso interactivo continuo y constituye un componente fundamental de un Sistema de Control Interno eficaz.
La dirección debe examinar detalladamente los riesgos existentes a todos los niveles de la empresa y tomar las medidas oportunas para administrarlos (mantenerlos dentro de los límites que se consideran aceptables). El Control Interno incluye, por lo tanto, la identificación y la reducción de los riesgos.
Toda organización fija objetivos (de producción, comercialización, finanzas,...) consistentes para que la organización funcione de forma coordinada y debe establecer mecanismos para identificar, analizar y tratar los riesgos con los que se enfrenta para poder cumplir esos objetivos.
El esfuerzo debe centrase en identificar los factores de riesgo más significativos y alta probabilidad de materialización a nivel de empresa y para cada actividad de la empresa (ventas, producción, investigación y desarrollo,...), establecer en la medida de lo posible vínculos entre los factores de riesgo y las actividades y luegoconsiderar los controles que se implementarán para administrar los riesgos identificados (acciones que pueden tomarse para reducir la importancia o la probabilidad de que se materialicen). Esto evita implementar controles sobre aspectos que no ofrecen un riesgo significativo y que se dilapiden esfuerzos y recursos.
Deben existir sistemas de información y mecanismos adecuados , formales o no formales (empresas pequeñas) para identificar los cambios significativos ante los cuales la empresa deba reaccionar (cambios en las preferencias de los clientes, en los factores que afectan la demanda de productos o servicios de la empresa, cambios surgidos en al competencia o en la normativa legal,...). Cuanto más rápida sea la detección de los cambios que conllevan riesgos u oportunidades, mayor será la probabilidad de que puedan tomarse medidas para abordarlos eficazmente.
3. Actividades de Control.
La organización debe establecer y ejecutar políticas y procedimientos que ayuden a conseguir una seguridad razonable de que se llevan acabo de forma eficaz las acciones consideradas necesarias para afrontar los riesgos que existen respecto al logro de los objetivos.
Las actividades de control consisten en las políticas que determinan lo que debería hacerse (constituyen la base de los procedimientos) y los procedimientos necesarios para llevar a cabo las políticas que tienden a asegurar que se cumplen las directrices establecidas por la dirección y que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro el logro de los objetivos de la organización
Las políticas, comunicadas a toda la organización y traducidas en prácticas específicas, brindan directivas sobre los límites de un acción aceptable.
Los procedimientos son rutinas establecidas (pasos necesarios para realizar una actividad) para brindar seguridad de que los procesos operan como fueron diseñados y cumplen con los requerimientos de las políticas de la organización.
Siguiendo la definición de Control Interno, las actividades de control pueden dividirse en tres categorías, según el tipo de objetivo con el que están relacionadas, actividades de control sobre las operaciones, sobre la confiabilidad de la información o el cumplimiento de la normas legales.
Las actividades de control y las políticas y los procedimientos inherentes pueden ser comunicados informalmente (porque son bien entendidas, relativamente simples o involucran a muy poca gente) o documentados formalmente en manuales.
Naturalmente que las decisiones de agregar actividades de control deben considerar los costos, beneficios y cuáles son los riegos residuales aceptables.
4. Información y Comunicación.
Otro componente importante del control es la evaluación de la adecuación de los sistemas de información y comunicación a las necesidades de la empresa.
Toda empresa necesita identificar, recoger y comunicar la información interna y externa relevante en forma y en un plazo tal que posibilite la dirección y el control (información sobre un determinado mercado o industria, sobre la evolución de las preferencias de los clientes, el desarrollo de productos por la competencia,...).
La calidad de la información generada por el sistema afecta la capacidad de la dirección de tomar decisiones adecuadas al gestionar y controlar las actividades. La calidad de la información se refiere a su contenido (datos necesarios), oportunidad (tiempo adecuado), actualidad (la más reciente), exactitud (correspondencia con la realidad) y accesibilidad (puede ser obtenida por las personas adecuadas).
Además, se debe establecer una comunicación eficaz, lo cual implica una circulación multidireccional de la información requerida, es decir, ascendente, descendente y transversal, para que el personal pueda desarrollar, gestionar y controlar sus operaciones.
5. Supervisión.
Todo el sistema de control interno debe ser supervisado, introduciéndose las modificaciones pertinentes cuando se estime oportuno, para que el sistema pueda reaccionar ágilmente y cambiar de acuerdo a las circunstancias.
Los sistemas de control interno y la forma en que se aplican los controles evolucionan con el tiempo y deben adecuarse a los cambios operados en la organización, por lo que procedimientos eficaces en un momento dado pueden perder eficacia o dejar de aplicarse. Por ello, mediante actividades de supervisión continuadas y evaluaciones periódicas se debe asegurar que el control interno continúa funcionando adecuadamente para que la dirección tenga una seguridad razonable de la eficacia del Sistema de Control Interno.