Quipukamayoc  Segundo Semestre 2002, pp. 85-100

 

EL CONTROL INTERNO  PROCESOS DE AUTOEVALUACIÓN DE CONTROLES


Oscar Espinoza Wong*


. RESUMEN
. EL ROL DEL AUDITOR INTERNO
. LA IMPORTANCIA DEL CONTROL
. LOS MODELOS DE CONTROLES ACTUALES
. CONTROL INTERNO - (Estructura Integrada Informe COSO - USA).
. CRITERIOS DE CONTROL(Modelo CoCo-Canadá)
. LA IMPORTANCIA DE LA EVALUACIÓN DE RIESGOS
. USO DE LAS MEJORES PRÁCTICAS
.
CONCLUSIONES

RESUMEN

Con el discurrir del tiempo los problemas de control interno en las empresas, ha centrado la preocupación de la gerencia moderna, así como de los profesionales responsables en implementar nuevas formas de mejorar y perfeccionar dichos controles, esto es muy importante por cuanto el control interno es fundamental para que una empresa logre alcanzar a través de una evaluación de su misión y visión el logro de sus objetivos y metas trazadas, pues de lo contrario seria imposible que se puedan definir las medidas que se deben adoptar para alcanzarlos: y evaluar el grado, de cumplimiento.

Con la finalidad de obtener las mejoras necesarias para el desarrollo de la profesión, es que se efectúan los congresos internacionales de contabilidad, y justamente en la, XXIV CONFERENCIA INTERAMERICANA DE CONTABILIDAD, realizada en Montevideo, Uruguay, es que entre otros temas se expone el de "El Control Interno. Los Procesos de Autoevaluación de Controles AEC", tema que se desarrolla a continuación tratando de dar un aporte que permita conocer sus bondades ya que este sistema de control no es aplicado en nuestro país, a pesar de la importancia que reviste su utilización.

 

EL ROL DEL AUDITOR INTERNO


Cuando se habla del rol del Auditor Interno en los procesos de Autoevaluación de controles, se parte de la premisa que en las organizaciones ya existe determinada cultura administrativa, mediante la cual sus integrantes tienen claramente entendido lo que es el proceso de control, la importancia y beneficio de un buen sistema de control, así como de su propia responsabilidad sobre la eficiencia y eficacia del funcionamiento del proceso respectivo.

Esto igualmente implica que la administración debió haber adoptado un Modelo de Control, adecuado a las características de la organización, cuya implantación fue apoyada por una amplia difusión y un programa de capacitación para todos los involucrados en el proceso de control, a fin de propiciar un cambio en la manera de pensar o actuar del personal, haciéndoles asumir el papel de "propietarios" del Control Interno, y proporcionándoles apoyo y orientación en el cumplimiento de sus metas y objetivos.

Lo anterior adicionalmente requiere que la actividad de Auditoría Interna haya logrado el suficiente grado de reconocimiento en la organización, que le permita impulsar y liderar los procesos de Autoevaluación de riesgos y de Autoevaluación de Control (AEC).

Dicho reconocimiento se puede alcanzar, cuando la participación de Auditoría Interna aporta de manera tangible un valor agregado, mediante su apoyo a la mejora de las operaciones y de los resultados, así como al fortalecimiento de los procesos de administración de riesgos, control y gobierno corporativo.

Sin embargo, considerando, que el enfoque de Autoevaluación no es hasta la fecha una práctica suficientemente difundida, ni aplicada en nuestro país, el presente trabajo describe el rol del Auditor Interno en el proceso, que abarca la promoción para la definición y adopción de un Modelo de Control, el involucramiento y capacitación del personal de la organización, la facilitación en el desarrollo de la Autoevaluación para la identificación, análisis y acotamiento de los riesgos, y la determinación de acciones de mejora para el Proceso de Control.

El contenido de esta presentación tiene su base en la literatura vigente, las mejores prácticas divulgadas y en las experiencias recabadas de la aplicación del proceso de Autoevaluación del Control en empresas mexicanas.

Para la documentación de este tema se ha tomado como base los conceptos vertidos en la XXIV CONFERENCIA INTERAMERICANA DE CONTABILIDAD-  Uruguay 2001- Auditoría Interna, Tema 8.2, Págs. 750 y ss.

LA IMPORTANCIA DEL CONTROL

¿Qué es el Control Interno?

El control interno es definido en forma amplia como un proceso, efectuado por la Gerencia de una empresa diseñado para proporcionar una razonable seguridad con miras a la realización de objetivos en las siguientes categorías:

Efectividad y eficiencia de las operaciones.

Confiabilidad de la información financiera.

Acatamiento de las leyes y regulaciones aplicables.

La primera categoría apunta a los objetivos básicos de la empresa, incluyendo metas de desempeño rentabilidad y salvaguarda de recursos.

La segunda está relacionada con la preparación y publicación de estados financieros dignos de confianza, incluyendo estados financieros intermedios y resumidos e información financiera derivada de dichos estados tales como ganancias por distribuir, reportadas públicamente.

La tercera se ocupa del cumplimiento de las leyes y regulaciones a que la empresa está sujeta. (Normas y Procedimientos de la Auditoría Integral -Yanel Blanco Luna- Colombia 1998 Pág. 14)

El control interno comprende el plan de organización y todos los métodos y medidas coordinadas adoptadas dentro de una empresa para salvaguardar sus bienes, comprobar la exactitud y veracidad de los datos contables, promover la eficiencia operante y estimular la adhesión a los métodos prescritos por la gerencia.

(Auditoría Principios y Procedimientos -Arthur W. Holmes, México - Pág. 3)

La Importancia del Control

A partir de la publicación del informe COSO (Control Interno- Estructura Integrada) en septiembre de 1992 y en cuyo desarrollo participaron representantes de organizaciones profesionales de contadores, de ejecutivos de finanzas y de Auditores Internos, ha resurgido en forma impresionante la atención hacia el mejoramiento del control interno y un mejor gobierno corporativo, lo, cual fue derivado de la presión pública para un mejor manejo de los recursos públicos o privados en cualquier tipo de organización, esto ante los numerosos escándalos, crisis financieras, o fraudes, durante los últimos decenios. Al respecto, es importante resaltar el concepto de la "responsabilidad" (accountability), como uno de los factores clave para el gobierno o dirección corporativa de las organizaciones: en este sentido, conviene recordar que un eficiente sistema de control puede proporcionar un importante factor de tranquilidad, en relación a la responsabilidad de los directivos, los propietarios, los accionistas y los terceros interesados.

En términos generales, y de manera introductoria, conviene apuntar que la importancia de un eficiente sistema de control radica en que su principal propósito es detectar con oportunidad, cualquier desviación significativa en el cumplimiento de las metas y objetivos establecidos; asimismo, es importante, porque el Control Interno promueve la eficiencia de las operaciones, ayuda a reducir los riesgos a que pudieran estar expuestos los recursos, aporta mayor confiablidad a la información financiera y operacional y proporciona mayor seguridad respecto al cumplimiento efectivo de las leyes, normas y políticas aplicables.

El Modelo COSO, tanto con la definición de Control que propone, como con la estructura de Control que describe, impulsa una nueva cultura administrativa en todo tipo de organizaciones, y ha servido de plataforma para diversas definiciones y modelos de Control a nivel internacional. En esencia, todos los modelos hasta ahora conocidos, persiguen los mismos propósitos y las diferentes definiciones, aunque no son idénticas, muestran mucha similitud.

Por lo anterior y por ser el modelo mayoritariamente adoptado a la fecha, es que para fines del presente trabajo tomamos como referencia la definición que establece el informe COSO, la cual señala:

"Control Interno en sentido amplio, se define como un proceso efectuado por el Consejo de Administración, la Dirección y el resto del personal de una Entidad, diseñado para proporcionar una razonable seguridad respecto al logro de objetivos, dentro de las siguientes categorías: Eficacia y eficiencia de las operaciones, Confiabilidad de la Información financiera y Cumplimiento con las leyes y normas aplicables". (XXIV CONFERENCIA INTERAMERICANA DE CONTABILIDAD).

LOS MODELOS DE CONTROLES ACTUALES

Como se mencionó, a partir de la divulgación del informe COSO se han publicado diversos modelos de Control, así como numerosos lineamientos para un mejor gobierno corporativo; los más conocidos, además del COSO (USA), son los siguientes: CoCo (Canadá), Cadbury (Reino Unido), Vienot (Francia), Peters (Holanda) y King (Sudáfrica). Los modelos COSO y CoCo en nuestro continente son los mayormente adoptados; por ello a continuaci6n se hace como referencia una muy breve descripción del enfoque y estructura que cada uno plantea.

Ambiente de Control
Competencia, Comité de Auditoría, Filosofía Administrativa y Estilo de Dirección, Estructura Organizacional, Asignación de Autoridad y Responsabilidad, Integridad y Valores Éticos, Política de Recursos Humanos.
Evaluación de Riesgos
Objetivos institucionales, Objetivos específicos, Operativos, Información financiera, Cumplimiento, Análisis de riesgos, Organización (extemos/internos) Actividad, Análisis (trascendencia/probabilidad/ control), Manejo de Cambios (reorganización/políticas/sistemas y procedimientos).
Actividades de control sobre:
Las operaciones, la información financiera, el acatamiento.

Comunicación e Información
Supervisión y seguimiento; supervisión concurrente, evaluaciones independientes, alcance y frecuencia ¿Quiénes evalúan?



(XXIV CONFERENCIA INTERAMERICANA DE CONTABILIDAD)

El control interno, consta de cinco componentes interrelacionados. Éstos se derivan de formas de dirección y manejo de negocios que se integran con los procesos de administración.

Aunque estos componentes se aplican a todas las entidades, las empresas pequeñas y medianas, los implementan de manera diferente a las grandes empresas. Sus controles pueden ser menos formales y menos estructurados, aunque una pequeña empresa puede sin embargo tener un efectivo control interno.

Los componentes son:

  • Ambiente de Control. El ambiente de control establece el tono de una organización, influenciando en la gente la conciencia o conocimiento sentido del control. Esta es la fundamentación para todos los otros componentes del control interno, suministrando disciplina y estructura. El ambiente de control incluye factores de integridad, valores éticos y competencia del personal de la entidad.

  • Evaluación de Riesgos. Cada entidad afronta una variedad de riesgos de origen interno y externo que deben ser valorados.

  • La precondición para la evaluación del riesgo es el establecimiento de objetivos, articulados a diferentes niveles e internamente consistentes. La evaluación de riesgos es la identificación y análisis de riesgos relevantes a la ejecución de los objetivos, formando una base para determinar como deben ser manejados. Porque le economía, la industria, las regulaciones y las condiciones de operación continuaran cambiando, son necesarios mecanismos que identifiquen y se ocupen de los riesgos especiales asociados con el cambio.

  • Actividades de Control. Son las políticas y procedimientos que ayudan a garantizar que se lleve a cabo la administración. Ello contribuye a garantizar que las acciones necesarias sean tomadas para direccionar el riesgo y ejecución de los objetivos de la entidad. Las actividades de control ocurren por toda la organización, a todos los niveles y en todas las funciones. Ello incluye un rango de actividades tan diversas como aprobaciones, autorizaciones, verificaciones, reconciliaciones, revisiones de desempeño de operaciones, seguridad de activos y segregación de funciones.

  • Información y Comunicación. La información pertinente debe ser identificada, capturada y comunicada en forma y estructuras de tiempo que faciliten a la gente cumplir sus responsabilidades. Los sistemas de información producen información operacional financiera y suplementaria que hacen posible controlar y manejar los negocios.

    Todo el personal debe recibir un claro, mensaje de la alta dirección en el sentido de que las responsabilidades del control deben ser tomadas muy seriamente. Ellos deben entender claramente el significativo comunicativo de la inmediatez de la información. También es necesario tener una comunicación útil con el exterior como clientes, proveedores, entidades gubernamentales y accionistas.

  • Supervisión. Un sistema de control interno necesita ser supervisado, o sea implementar un proceso de evaluación de la calidad del desempeño del sistema simultáneo a su actuación. Esto es, actividades de supervisión que se desarrollan adecuadamente con evaluación separada o una combinación de las dos. Los aspectos de supervisión ocurren en el transcurso de las operaciones.

    (Normas y Procedimientos de la Auditoría Integral - Yanel Blanco Luna)

 

CONTROL INTERNO - (Estructura Integrada Informe COSO - USA).


Para el debido entendimiento del modelo COSO, es necesario tener claridad sobre los elementos que contiene la definición que anteriormente se reprodujo; lo más importante radica en el señalamiento de que el control es un proceso efectuado por el personal y diseñado para garantizar razonablemente el cumplimiento de los objetivos.

La concepción del Control como un proceso implica que no es un evento o circunstancia, sino una serie de acciones que permean en las actividades de toda la organización; adicionalmente, siendo un proceso, constituye un medio para alcanzar un fin y por lo tanto, el control no es un fin en sí mismo. Forma parte de los procesos básicos de la administración (planeación, ejecución y supervisión) y para que funcione en forma eficiente y con mayor efectividad, requiere ser construido "dentro" de la infraestructura de la organización, es decir los controles deben ser incorporados en los sistemas que operan los procesos y no añadidos o superpuestos a tales sistemas.

Adicionalmente, se establece como premisa que todo el personal dentro de su ámbito de actuación en una organización, tiene participación y responsabilidad en el proceso de Control. En atención a que los sistemas de Control son diseñados, establecidos y operados por el personal e igualmente son personas quienes los modifican y finalmente los evalúan, este Modelo de Control asigna una gran importancia a los aspectos de competencia, honorabilidad y actitud del factor humano.

El señalamiento de propósito del Control en cuanto a asegurar razonablemente el cumplimiento de objetivos de tipo operacional, financiero y normativo, se comprende mejor cuando se analizan los cinco componentes del modelo COSO y sus 17 factores que en conjunto forman una estructura integrada de control, ya que existe una relación directa entre los objetivos que la organización persigue y los citados componentes, puesto que estos representan lo necesario para la consecución de tales objetivos.

Los componentes y factores se presentan en mayor o menor grado en cualquier área, proceso o división de toda organización y se reconoce que los componentes con mayor influencia e importancia son los dos primeros: el Ambiente de Control y la Evaluación de Riesgos.

CRITERIOS DE CONTROL(Modelo CoCo-Canadá)


El Modelo CoCo es producto de una profunda revisión del Comité de Criterios de Control de Canadá sobre el reporte Coso y cuyo propósito fue hacer el planteamiento de un Modelo más sencillo y comprensible, ante las dificultades que en la aplicación del COSO enfrentaron inicialmente algunas organizaciones. El resultado es un modelo conciso y dinámico encaminado a mejorar el Control, el cual describe y define al Control en forma casi idéntica a como lo hace el Modelo COSO.

El cambio importante que plantea el Modelo Canadiense consiste que en lugar de conceptualizar al proceso de Control como una pirámide de componentes y elementos interrelacionados, proporciona un marco de referencia a través de 20 criterios generales, que el personal en toda la organización puede usar para diseñar, desarrollar, modificar o evaluar el Control.

El llamado ciclo de entendimiento básico del Control, como se representa en el Modelo, consta de cuatro etapas que contienen los 20 criterios generales, conformando un ciclo lógico de acciones a ejecutar para asegurar el cumplimiento de los objetivos de la organización.

Un Auditor acostumbrado a la tradicional evaluación del Control Interno, enfrenta un gran desafío al tener que realizar de acuerdo a dichos Modelos, un trabajo más complejo y de mayor alcance a través de la evaluación de los cinco
componentes o los 20 criterios.

Esto debido a que diversos factores o criterios según el caso, corresponden a aspectos intangibles o "informales" desde el punto de vista de su documentación, percepción o funcionamiento, tales como integridad y valores éticos, filosofía de la organización, estilo de mando, medición de los riesgos, etc.; asi como el tener que evaluar las tres categorías de objetivos (y no solamente el financiero) para opinar sobre la suficiencia y efectividad del sistema de Control.

Es evidente que los Auditores Internos requerimos de nuevas y diferentes técnicas y habilidades de evaluación, pero principalmente necesitamos de un cambio en nuestra conceptualización del proceso de control y en nuestra actitud mental para lograr ser más útiles a nuestras organizaciones.

LA IMPORTANCIA DE LA EVALUACIÓN DE RIESGOS


Es un axioma común el aceptar que se deben tomar ciertos riesgos para tener éxito en los negocios y aún para permanecer en el medio.

Los riesgos son situaciones que eventualmente al concretarse pudieran evitar o dificultar que alguno o varios de los objetivos se lograrán en la forma y con la oportunidad con que fueron planeados. En este sentido, la administración es la responsable de identificar los riesgos e implantar los controles apropiados que permitan su adecuado manejo.

Un aspecto fundamental en la evaluación de los riesgos estriba en que no solo es importante conocerlos sino administrarlos de manera eficiente, esto significa, determinar cuales eliminar, cuales transferir o reducir y cuales aceptar. Siempre hay que tener presente la relación de costo beneficio, ya que resulta incosteable tratar de obtener una seguridad total o absoluta, es decir cero riesgos.

Las personas que procesan las operaciones y tienen la responsabilidad de cumplir las metas y objetivos, son las que mejor conocen los riesgos que pudieran dificultar el cumplimiento del objetivo correspondiente, por lo que también son los más capacitados para definir sus causas. Adicionalmente, son quienes pueden precisar las mejores acciones para administrar dichos riesgos, puesto que también conocen las condiciones del entorno, los recursos que se podrían asignar al efecto y desde luego, la oportunidad con que se deben aplicar las respectivas acciones de mejora. Consecuentemente se puede acordar que los objetivos y riesgos inherentes sean el punto central en los talleres de la AEC, lo cual puede ser una estrategia extraordinaria para convencer a la administración de la utilidad de establecer la Autoevaluación de los procesos de Control.

Existen riesgos que pueden ser comunes a varios tipos de organizaciones, sin embargo el Auditor Interno contribuye con su experiencia y conocimiento a la definición específica de los riesgos en la organización a la que sirve.


ESTRATEGIA DE APLICACIÓN


La ejecución de proyectos de Autoevaluación de Control (AEC) debe realizarse de acuerdo con un método sistemático y estructurado, que asegure en todo tiempo que los esfuerzos llevados a cabo por los distintos participantes, se realicen en un orden y consecuencia apropiados al fin que se persigue.

Un método bien diseñado permite, entre otras cosas, precisar cuales son los diferentes ámbitos de participación, asegurar una ejecución eficaz y eficiente del proceso y que los resultados posean las características de calidad que cumplan con las expectativas de la administración, del personal responsable de las operaciones y de los Auditores Internos.

Los elementos constituidos de la estrategia pueden ser establecidos de acuerdo con las etapas que a continuación se proponen:

  • Proceso de Involucramiento y Preparación de la AEC

  • Selección y Aplicación de la Metodología

  • Desarrollo de la AEC

  • Determinación de Acciones de Mejora

  • Comunicación de Resultados

Con el fin de ilustrar la manera en que el proceso opera, a continuación se describe cada una de las etapas antes mencionadas.

Proceso de Involucramiento y la Preparación de la AEC

La naturaleza del proceso, como ya se ha mencionado, requiere de la participación de los diferentes niveles de la organización, lo que asegura que los esfuerzos se traduzcan en resultados tangibles. Muy importantes en este sentido, es la actitud entusiasta y propositiva del Auditor Interno.

Alta Administración.- Al inicio del proceso, es necesario que el Auditor Interno tenga un acercamiento con el director general de la organización con el fin de inducirlo al debido entendimiento del objetivo, enfoque, alcance y metodología de la AEC y de cómo este proceso puede favorecer el mejoramiento de los controles que dan apoyo a su responsabilidad principal, que es el cumplimiento de los objetivos de la organización. Con ello se busca lograr un apoyo amplio, de su parte, con el fin de que las acciones derivadas del proceso sean aplicadas oportunamente por todos los responsables de lograr los objetivos. Este mismo proceso debe llevarse a cabo con los mandos directivos dependientes de la dirección general.

Para lograr éxito en la implementación de estos procesos, se requiere que el director general y otros miembros prominentes de la alta administración muestren en los hechos una actitud de respaldo a los objetivos, premisas y técnicas de la AEC, adoptándola como una herramienta integrada al proceso administrativo. Esta actitud debe apoyar la filosofía que persigue este proceso, asi como también a los principios en los que se sustentan las distintas etapas. También implica el reconocimiento y respeto al trabajo del Auditor Interno dentro de la organización. Los más altos directivos deben dar una señal clara y contundente a todos los demás niveles sobre la importancia y beneficios que aporta la AEC al cumplimiento de los objetivos fundamentales de la organización. También deben resaltar en su mensaje la importancia de la participación constructiva de quienes específicamente habrán de involucrarse en el proceso.

Mandos Directivos. Como consecuencia del respaldo otorgado por la Alta Administración, los mandos directivos responsables de cada una de las funciones y procesos básicos del negocio, deben comprometerse con el proceso, durante su involucramiento en sus distintas etapas, así como también favoreciendo el cumplimiento oportuno, de las acciones de mejora resultantes de la AEC. Los miembros de este nivel organizacional deben mostrar respeto a las opiniones vertidas por el personal participante, sin importar el nivel que posean, de forma tal que todos los puntos de vista converjan hacia la identificación de áreas de oportunidad para el mejoramiento de los controles. Por su parte el Auditor Interno debe lograr ser visto como un aliado en el mejoramiento del Sistema de Control.

Personal responsable de los Procesos. El involucramiento de este personal se basa en el hecho ya mencionado, de que ellos operan la mayor parte de los controles que ayudan a lograr los objetivos específicos del área a la que pertenecen. Este personal conoce con claridad cuáles Controles son eficaces y eficientes y cuáles otros no lo son, ya sea por su mal diseño o falta de actualización a los cambios que las operaciones tienen al transcurso del tiempo. Sus opiniones son aportaciones importantes acerca de cómo mejorar el Control y por lo tanto la posibilidad de que los objetivos se alcancen conforme lo planeado. No es necesario considerar a todo el personal, sino más bien identificar solo a aquellos que en una actitud abierta y constructiva pueden realizar las mejores aportaciones.

Facilitadores. La tarea principal de este personal es conducir ordenada y metodológicamente el proceso, asegurar que las premisas se están cumpliendo y en su caso, también aclarar cualquier duda a los participantes de la AEC. Los facilitadores tienen la tarea importante de documentar cada una de las etapas del proceso, que servirá de base para focalizar adecuadamente los resultados del mismo.

Los facilitadores generalmente son los Auditores Internos, aunque también puede ser personal especialista contratado para estos propósitos; sin embargo, los Auditores Internos son quienes naturalmente pueden llevar a cabo esta tarea, dado que conocen con claridad cuales son los objetivos de la organización, los objetivos de cada área además cuentan con el conocimiento de los sistemas de control establecidos y una idea muy aproximada a nivel de eficiencia y eficacia con que operan.

Preparación de la AEC. En esta etapa debe llevarse a cabo una presentación en la cual se precise detalladamente el objetivo del proceso en los ámbitos de competencia particulares, se acuerde el programa de trabajo correspondiente, se identifique los participantes idóneos por parte del responsable del área a evaluar con la orientación del Auditor Interno, y se obtenga la información relativa de los objetivos y funciones, que es el punto de partida de la AEC.

Una vez obtenida la información relativa a los objetivos y funciones, es analizada por los Facilitadores para llevar a cabo el proceso "alineación de objetivos", que tienen como propósito asegurar que todo el personal conoce y entiende la manera en que sus actividades y resultados, sumados a otros, ayudan a cumplir el objetivo del área y ésta a su vez contribuye al objetivo general de la organización. Si entre el personal de una misma área no comparten la misma visión y orientación de los objetivos, es de esperar que sus esfuerzos no se estén canalizando adecuadamente y que los objetivos no sean logrados de forma eficiente y eficaz.

Las herramientas básicas para el levantamiento y análisis de la formación, son generalmente las siguientes: matrices de Riesgo/ Control y Encuestas. Parte de la información que se debe incluir en las matrices y/o encuestas se deriva del análisis realizado a la información relativa de los objetivos y funciones.

Paralelamente a todo lo, anterior, se realizan las actividades necesarias para la implementación de la etapa del taller de AEC, como son: la selección de un salón adecuado para las reuniones y el aprovisionamiento del equipo y material necesario (pantalla P.C., retroproyector, datashow, acetatos, etc.)

Selección y Aplicación de la Metodología

Para la implementación del proceso de Autoevaluación en los 5 componentes del Modelo de Control COSO, es importante determinar las herramientas que se van a utilizar para la evaluación de cada uno de ellos, es decir, cuales de los componentes conviene sean autoevaluados por la vía de los talleres de Autoevaluación del Control (TAQ y cuales mediante la aplicación de encuestas. Las Mejores Prácticas relativas a la implantación del proceso de AEC, sugieren que por lo menos el componente evaluación de riesgos sea autoevaluado a través de la realización del TAC, en tanto que los otros cuatro componentes se puedan autoevaluar a través de encuestas. Lo anterior depende de la forma, cultura y tamaño de la organización según se trate; dependerá también de si se está en una etapa de aplicación inicial o si se ha alcanzado cierta madurez por parte de la organización, así como de los Auditores Internos; la metodología aplicable en nuestro caso, se llevó a cabo de acuerdo a lo siguiente:

En el caso particular se aprecia que los componentes Evaluación de Riesgos y Actividades de Control fueron evaluados a través de los talleres, en tanto que los otros tres componentes (Ambiente de Control, Comunicación e Información y Supervisión) fueron evaluados a través de las encuestas. Sin embargo, es probable que en posteriores autoevaluaciones se utilicen Talleres para todos los componentes e inclusive se complementen con encuestas; cabe la posibilidad de utilizar en alguno o varios talleres los criterios de Control que componen el Modelo, Canadiense.

Otro elemento importante correspondiente al enfoque, lo constituye la capacitación e inducción al personal que participa en la A/C en todo lo concerniente al control, su aplicación a las funciones y actividades a su cargo y la responsabilidad que implica su actualización y mantenimiento. Esencialmente se busca lograr la aceptación de que los controles son "propiedad" y responsabilidad de quienes los ejecutan para lograr los objetivos deseados.

Desarrollo de la AEC

El proceso tiene como eje principal la evaluación de la. efectividad de los sistemas de control, analiza la forma en que los objetivos particulares están alineados con los objetivos básicos del negocio, las fortalezas y debilidades de los procesos operativos, la identificación de riesgos que pueden afectar los objetivos principales del área, así como los controles para identificarlos, atenuarlos y administrarlos. La realización de los talleres es la esencia del proceso, ya que de ellos se deriva la identificación de las acciones de fortalecimiento para elevar directamente la probabilidad de que los objetivos sean alcanzados.

Talleres

  • Los talleres de Autoevaluación de Control, tienen entre otros propósitos los siguientes:

  • Fortalecer la propiedad del Control y promover un cambio de parte de los responsables de establecerlos. 

  • Identificar los riesgos que pueden afectar el logro de los objetivos. 

  • Promover la discusión sobre la suficiencia y eficacia sobre los Controles que son aplicados para cumplir con los objetivos.

  • Apoyar la efectividad del Control Interno de cada área.

  • Incrementar el interés y la confianza a todos los niveles, en el sentido de que los 
    Controles son efectivos y funcionan adecuadamente.

Por otro lado los principios que guían el TAC son los siguientes:

  • Libertad para expresar las opiniones sin presiones de ningún tipo.

  • Comunicación franca y abierta entre todos los participantes.

  • Aportación de ideas y propues tas a todos los participantes.

  • Aprovechamiento de la experiencia del personal que realiza las tareas.

  • Los comentarios del grupo son compartidos por todos.

  • A las opiniones se les asigna la misma importancia, independientemente de quienes las expresen.

Encuesta

Por lo que respecta a las encuestas, su diseño y aplicación debe considerar lo, siguiente:

  • Diseño específico para el área a autoevaluar.

  • Las preguntas se deben plantear de manera abierta y propositiva.

  • Solicitar información en forma ordenada y estructurada.

  • Cuidar que no se emita algún punto importante a fin de asegurar una amplia cobertura del área objeto de la autoevaluación.

  • Permitir la obtención de la información detallada.

  • Permitir se pueda incluir información que el personal considere pertinente.

Cada uno de las participantes debe documentarlas de manera individual, sin que se requiera de que el personal esté reunido en un solo evento.

El énfasis predominante para la implementación del proceso en los términos descritos, en que los participantes son más importantes que los sistemas, políticas y procedimientos, debido a que son ellos los que hacen que los sistemas funcionen a pesar de que su diseño pudiera ser deficiente y de igual forma que los buenos sistemas de control fallen, no obstante tener el diseño idóneo. Es el personal involucrado el que conoce con precisión la forma de operar los controles y son ellos la diferencia para implementar un cambio favorable para el cumplimiento y metas organizacionales.

La esencia de los talleres se base en el análisis detallado de los procesos básicos, con el fin de lograr entender las áreas de riesgo e identificar los Controles establecidos para mitigarlos o transferirlos, evaluar la forma en que éstos previenen y actúan ante la ocurrencia de eventos no deseados y en su caso, identificar aquella parte del riesgo que no está apropiadamente cubierto por falta o debilidad de Controles.

La discusión relativa a los procesos de negocio y la forma en que éstos son operados, culmina cuando los operativos (y los Facilitadores) consideran que el sistema de Control asegura razonablemente que los objetivos serán logrados o que una falla en el Control Interno existe y debe subsanarse. Para ello, se acuerdan las acciones de mejora respectivas, el compromiso de los responsables de los procesos para implantación de las mismas, así como las fechas de cumplimiento, lo que conllevará a elevar la efectividad del Control Intemo.

Los talleres de Autoevaluación buscan que todas las áreas sean responsables del establecimiento y mejoramiento de sus propios sistemas de Control, instrumentados para lograr objetivos particulares de su área, los que a su vez están concatenados a los objetivos primarios.

Por su naturaleza la AEC favorece la cobertura amplia en la revisión de objetivos y áreas relevantes.

Determinación de las Acciones de Mejora

De acuerdo a lo anteriormente anunciado, se entiende que los objetivos básicos de los talleres son recabar información acerca de los objetivos del área sujeta a evaluación, su congruencia con los objetivos de la institución, los riesgos inherentes para los logros de esos objetivos y los Controles establecidos al efecto para administrar dichos riesgos.

La Autoevaluación implica un análisis de la información mencionada; el examen es realizado por el personal del área participantes en los talleres y encuestas, los que determinan en principio si los objetivos del área están orientados en el mismo sentido que los de la empresa y si es que son una parte de los mismos; es decir, determinan en que proporción y forma contribuyen al objetivo general de la empresa.

Posteriormente, de acuerdo a su conocimiento del entorno y características de operación, determinan cuales son los riesgos que eventualmente pudieran afectar el logro de los objetivos del área, en la forma y tiempo que fueron planeados. El siguiente paso es confrontar dichos riesgos, con las políticas y procedimientos establecidos en el área; de esta comparación se precisan controles excesivos y riesgos no cubiertos o partes de riesgos contra los cuales no se está suficientemente protegido.

No necesariamente se debe tener cobertura del 100% contra todos los riesgos, por lo tanto, se les debe otorgar prioridad a los más significativos. Para evitar subjetividad al asignar importancia a los riesgos no cubiertos, éstos deben ser cuantificados, determinando en términos monetarios cual pudiera ser su efecto si llegaran a concretarse y en su caso, cuantas veces se podrían presentar en un ejercicio.

Asignada la prioridad a los riesgos no cubiertos y de acuerdo a los recursos y necesidades del área, los participantes precisan las correspondientes acciones de mejora, señalan a los responsables de su implementación, así como la fecha límite para su aplicación.

Esta etapa de la AEC propicia que el talento y experiencia del Auditor Interno, se sume a la del personal participante para lograr acciones relevantes para el mejoramiento de los Sistemas de Control.

Comunicación de Resultados

Un diseño adecuado de encuestas y talleres exitosos originan mucha y diversa información; por lo tanto, una función importante del equipo de Auditores Facilitadores, es recopilar y ordenar los datos que no quedaron plasmados en los matices de Riesgo y Control.

El Auditor Facilitador para integrar el informe debe considerar diversas fuentes de datos como son:

Matrices de Riesgo/Control analizadas en los talleres, puesto que son los documentos que precisan los riesgos no cubiertos.

Encuestas en las que se detallan los comentarios sobre los diversos factores integrantes de los componentes evaluados.

Registros (minutas, memorias o resumenes) de los talleres.

Aparentemente el informe de los resultados en su forma pudiera guardar cierta semejanza con los informes de Auditoría, pero en realidad es totalmente diferente, ya que en el fondo el informe contiene la esencia de las discusiones efectuadas en el taller. El reporte realmente está integrado con los comentarios de los participantes, el Auditor Facilitador únicamente recopila selecciona y ordena la información y finalmente, redacta de manera legible, comprensible y clara las opiniones del personal.

En este proceso el auditor debe procurar no emitir su opinión, sino integrar objetivamente los resultados de la AEC; esta particularidad, es lo que verdaderamente marca la diferencia con un informe de auditoria.

Una diferencia adicional a la anterior, es que una copia del informe se entrega a cada uno de los participantes, como constancia de lo acordado y de los compromisos y responsables establecidos, pero sobre todo, como una evidencia de que los resultados fueron vertidos abierta y positivamente y con total apego a las opiniones emitidas.

USO DE LAS MEJORES PRÁCTICAS

Aún no es posible hablar del "estado del arte" con respecto a la implementación de modelos de Control y particularmente a la Autoevaluación de Control (A/C) ya que se encuentra en una etapa de reconocimiento alrededor del mundo y en una etapa incipiente en lo que respecta a Latinoamérica. Paulatinamente las grandes organizaciones están reconociendo las ventajas y demás implicaciones de la AEC, pero lo que es un hecho es que el número de prácticas implementadas total o parcialmente, está aumentando.

Entre los aspectos que dejan ver las prácticas divulgadas, es que la percepción que la gerencia tiene del Auditor Interno está cambiando dramáticamente, al considerarlo cada día más como consultor que la apoya para que ésta cumpla de mejor manera con sus objetivos, sin detrimento de su rol como auditor. El conocimiento y adecuada comprensión de las mejores prácticas, sin lugar a dudas proporciona elementos esenciales para dar comienzo a un proceso de este tipo, sobre bases que han probado su efectividad; aunque esto solo es el principio, ya que las organizaciones donde han surgido estas mejores prácticas son distintas a aquéllas donde se pretenden aprovechar las experiencias. Es claro que las organizaciones difieren unas de otras con respecto a sus fines, cultura, magnitud y estilo de dirección, por lo que es necesario además llevar a cabo una reflexión seria, profunda y bien articulada para logra que los beneficios de las mejores prácticas, enriquezcan a aquellas organizaciones que están dando pasos hacia la modernización de la empresa.

Con respecto a los Auditores Internos, las Mejores Prácticas dejan ver que en la mayoría de los casos los procesos de AEC han sido promovidos y dirigidos por ellos y solamente en un número reducido por miembros de la gerencia o por especialistas externos. El mayor reto para los Auditores Internos radica posean no solamente habilidad relacionada con la auditoría interna tradicional, sino también que posea atributos relativos al conocimiento de los procesos básicos de los negocios, los riesgos inherentes a sus actividades, estilos de dirección y capacidad para establecer relaciones con los miembros de la gerencia, en un contexto de comunicación franca y abierta.

De la investigación de las Mejores Prácticas, se desprende que si bien las experiencias varían de una organización a otra, también es posible identificar temas que son comunes a las organizaciones y que por lo tanto cobran relevancia. Entre los temas que de acuerdo a la investigación de las Mejores Prácticas fueron sobresalientes, se comentan lo siguientes:

  1. Impulsar durante todo el proceso un cambio de cultura en la organización, resaltando la importancia que tiene el hecho de que todos los miembros de la organización se vean asimismo como propietarios del control y que lo perciban como parte inherente de sus responsabilidades primarias.

  2. Implementar programas de capacitación en temas relacionados con el control, naturaleza, importancia, objetivos que persigue, manera en que se diseñan y evalúan, etc. Con lo anterior se busca fomentar condiciones propicias para el fortalecimiento del Sistema integral de Control.

  3. Evaluar los 5 componentes y los 3 objetivos del COSO, así como enfocarse a los controles "informales " o suaves.

  4. Implementar la evaluación del sistema integral de Control, dando énfasis especial a la evaluación de riesgo como elemento crítico para elevar las posibilidades y que los objetivos de la organización sean logrados.

  5. Considerar en la evaluación del sistema integral de Control, la aplicación del enfoque de la AEC.

  6. La descripción de las Mejores Prácticas incluye un número importante de herramientas y programas que son útiles para lograr éxito en un periodo de tiempo razonable.

En resumen, las Mejores Prácticas muestran las contribuciones más relevantes al campo de la implementación de modelos de Control y particularmente de la AEC.

CONCLUSIONES


El auditor interno asume un nuevo papel, sumando una actividad adicional a las tantas que desarrolla en el desempeño de sus funciones profesionales, el rol que cumple en el proceso de Autoevaluación de Controles (AEC), le va exigir prepararse adecuadamente, captando nuevos conocimientos y habilidades que le ayuden a desempeñarse correctamente en este nuevo papel y que le permitan emitir disposiciones y normas que le aseguren una supervisión adecuada, aportando además un valor agregado en busca del mejoramiento de las operaciones con el fin de conseguir la eficiencia, eficacia y efectividad de los procesos administrativos con el fin de lograr las metas y los objetivos de la empresa.

Cuando el Auditor Interno cumple con la supervisión de la Autoevaluación de Controles (AEC), tiene la posibilidad de ampliar su conocimiento de la empresa, por ende conocer a cabalidad el Sistema de Control, permitiéndole buscar el mejoramiento de la eficacia de los procesos de auditoría.

Siendo la gerencia de la empresa la responsable del diseño e implementación de los sistemas de control, va a adoptar una mayor responsabilidad con la finalidad de lograr mejores acciones, en forma mas oportuna, lo que le permitird obtener mejores beneficios de control en todos los niveles de la empresa, al identificar desde su origen las fortalezas y debilidades de control (FODA)

La participación adecuada y oportuna del Auditor Interno como supervisor, le da mayor seguridad al sistema ya que permite que las personas involucradas puedan recurrir al auditor, efectuando las consultas necesarias ya que él, aportará su experiencia y conocimiento de la evaluación de los controles.

Los métodos que se usan en la Autoevaluación de Controles (AEC) deben reportar continuamente la información que identifique los riesgos existentes y por lo tanto la constante exigencia de solución, aportando las recomendaciones necesarias que permitan adoptar las medidas de aseguramiento de cumplimiento.

Bibliografía

 


* Maestrista de la Unidad de Postgrado de la Facultad de Ciencias Contables


back.gif (71 bytes) Contenido Volúmenes anteriores
Listado de Titulos