El adoptar sistemas más avanzados y rigurosos, asimilables por la economía de las entidades, influirá también en el estilo de dirección, teniendo en cuenta que nuestras entidades no se supeditan a un único propietario o a un pequeño grupo de ellos y que, por ende se obliga a una necesaria retroalimentación de los sistemas de control interno y de las disposiciones y regulaciones establecidas por los órganos y organismos del Estado competentes.
Los elementos del control son:
· Ambiente de Control.
· Evaluación de Riesgos.
· Actividades de Control.
· Información y Comunicación.
· Supervisión.
Estas definiciones de los componentes del Control Interno, con un enfoque estratégico en el desarrollo de las entidades, deben incluir normas o procedimientos de carácter general para ser considerados en el diseño de los Sistemas de Control Interno en cada entidad, acompañados de criterios de control y de evaluación en algunas áreas de la organización.
Ambiente de Control
El ambiente o entorno de control constituye el punto fundamental para el desarrollo de las acciones y refleja la actitud asumida por la alta dirección en relación con la importancia del control interno y su incidencia sobre las actividades de la entidad y resultados, por lo que debe tener presente todas las disposiciones, políticas y regulaciones que se consideren necesarias para su implantación y desarrollo exitoso.
El Ambiente de Control fija el tono de la organización al influir en la conciencia del personal. Este puede considerarse como la base de los demás componentes del control interno.
La dirección de la entidad y el auditor interno, son los encargados de crear un ambiente adecuado mediante una estructura organizativa efectiva, de sanas políticas de administración y así se logra que las leyes y políticas sean asimiladas de mejor forma por el trabajador.
El Ambiente de Control es, la base para el desarrollo del resto de los elementos, sus fundamentos claves son:
· La integridad, los valores éticos, la competencia profesional y el compromiso de todos los componentes de la organización, así como su adhesión a las políticas y objetivos establecidos.
· La filosofía y estilo de dirección.
· La estructura, el plan de organización, los reglamentos y los manuales de procedimientos.
· Las formas de asignación de responsabilidades y de administración y desarrollo del personal.
· El grado de documentación de políticas y decisiones, y de formulación de programas que contengan metas, objetivos e indicadores de rendimiento.
· En las organizaciones que lo justifiquen, la existencia de Unidades de Auditoría Interna con suficiente grado de independencia y calificación profesional.
Normas para el Ambiente de Control
§ Integridad y valores éticos
La máxima autoridad del organismo debe procurar, difundir y vigilar la observancia de valores éticos y el Reglamento de los Cuadros del Estado y del Gobierno aceptados, que constituyan un sólido fundamento moral para su conducción y operación.
Los valores éticos son esenciales para el Ambiente de Control. El Sistema de Control Interno se sustenta en los valores éticos, que definen la conducta de quienes lo operan. Estos valores éticos pertenecen a una dimensión moral y, es por ello que van más allá del mero cumplimiento de las Leyes, Decretos, Reglamentos y otras disposiciones legales.
El comportamiento y la integridad moral encuentran su sustento en la cultura del organismo, lo que determina, cómo se hacen las cosas, qué normas y reglas se observan y si estas se eluden. La dirección superior de la entidad, en la creación de una cultura apropiada a estos fines desempeña un papel principal la dirección superior de la entidad, ya que con su ejemplo contribuirá a desarrollar o destruir diariamente este requisito de control interno.
§ Competencia profesional
Los dirigentes, funcionarios y demás trabajadores deben caracterizarse por poseer un nivel de competencia que les permita comprender la importancia del desarrollo, implantación y mantenimiento de controles internos apropiados, o sea que deben contar con un nivel de competencia profesional en relación con sus responsabilidades, comprender, suficientemente, la importancia, objetivos y procedimientos del control interno, así como asegurar la calificación y competencia de todos los dirigentes y demás trabajadores.
La dirección debe especificar el nivel de competencia requerido para las distintas tareas y traducirlo en requerimientos de conocimientos y habilidades. Los métodos de contratación de personal deben asegurar que el candidato posea el nivel de preparación y experiencia, ajustados a los requisitos del cargo. Una vez incorporado, a la entidad debe recibir la orientación, capacitación y adiestramiento necesario en forma práctica y metódica.
§ Atmósfera de confianza mutua
Para el control resulta esencial un nivel de confianza mutua entre las personas, la cual coadyuva el flujo de información que las personas necesitan para tomar decisiones y entrar en acción. Propicia, además, la cooperación y la delegación que se requieren para un desempeño eficaz tendente al logro de los objetivos de la entidad. La confianza está basada en la seguridad respecto a la integridad y competencia de la otra persona o grupo.
La comunicación abierta crea y depende de la confianza dentro de la entidad. Un alto nivel de confianza estimula para que se asegure que cualquier tema de importancia sea de conocimiento de más de una persona. El compartir tal información fortalece el control, reduciendo la dependencia del juicio, la capacidad y la presencia de una única persona.
§ Organigrama
Toda entidad debe desarrollar una estructura organizativa que atienda al cumplimiento de la misión y objetivos, la que deberá ser formalizada en un organigrama. La estructura organizativa, formalizada en un organigrama, constituye el marco formal de autoridad y responsabilidad en el cual las actividades que se desarrollan en cumplimiento de los objetivos del organismo, son planeadas, efectuadas y controladas.
Lo importante es que su diseño se ajuste a sus necesidades, proporcionando el marco de organización adecuado para llevar a cabo la estrategia diseñada para alcanzar los objetivos fijados. Lo apropiado de la estructura organizativa podrá depender, por ejemplo, del tamaño de la entidad Estructuras altamente formales que se ajustan a las necesidades de una entidad de gran tamaño, pueden no ser aconsejables en una entidad pequeña.
§ Asignación de autoridad y responsabilidad
Toda entidad debe complementar su organigrama, con un manual de organización y funciones, en el cual se debe asignar la responsabilidad, las acciones y los cargos, a la par de establecer las diferentes relaciones jerárquicas y funcionales para cada uno de estos.
El Ambiente de Control se fortalece en la medida en que los miembros de una entidad conocen claramente sus deberes y responsabilidades. Ello impulsa a usar la iniciativa para enfrentar y solucionar los problemas, actuando siempre dentro de los límites de su competencia.
Existe una nueva tendencia de derivar autoridad hacia los niveles inferiores, de manera que las decisiones queden en manos de quienes están más cerca de la operación. Una cuestión crítica de esta corriente es el límite de la delegación: hay que delegar tanto cuanto sea necesario, pero solamente para mejorar la probabilidad de alcanzar los objetivos.
Toda delegación de la autoridad contribuye a la necesidad de que los jefes examinen y aprueben, cuando proceda, el trabajo de sus subordinados y que ambos cumplan con la debida rendición de cuentas de sus responsabilidades y tareas.
También requiere que todo el personal conozca y responda a los objetivos de la entidad. Es esencial que cada integrante de ella conozca como su acción se interrelaciona y contribuye a alcanzar los objetivos generales.
Para que sea eficaz un aumento en la delegación de autoridad se requiere de un elevado nivel de competencia en los delegatarios, así como un alto grado de responsabilidad personal. Además, se deben aplicar procesos efectivos de supervisión de la acción y los resultados por parte de la dirección.
§ Políticas y prácticas en personal
La conducción y tratamiento del personal de la entidad debe ser justa y equitativa, comunicando claramente los niveles esperados en materia de integridad, comportamiento ético y competencia.
Los procedimientos de contratación, inducción, capacitación y adiestramiento, calificación, promoción y disciplina, deben corresponderse con los propósitos enunciados en la política.
El personal es el activo más valioso que posee cualquier entidad y se debe tratar y conducir de forma tal que se obtenga su más elevado rendimiento. Debe procurarse su satisfacción personal en el trabajo que realiza, propendiendo a que en este se consolide como persona y se enriquezca humana y técnicamente.
La dirección asume su responsabilidad en tal sentido, en diferentes momentos; selección, al establecer requisitos adecuados de conocimiento, experiencia e integridad para las incorporaciones a la entidad; inducción, al preocuparse para que los nuevos empleados sean metódicamente familiarizados con las costumbres y procedimientos del organismo; capacitación, al insistir en que sean capacitados convenientemente para el correcto desempeño de sus responsabilidades; rotación y promoción, al procurar que funcione una movilidad de organización que signifique el reconocimiento y promoción de los más capaces e innovadores; sanción, al aplicar, cuando corresponda, las medidas disciplinarias que transmitan con rigurosidad que no se tolerarán desvíos del camino trazado.
§ Comité de Control
En cada entidad debe constituirse un comité de control integrado, al menos, por un dirigente del máximo nivel y el auditor interno titular, siempre que las condiciones lo permitan. Su objetivo general es la vigilancia del adecuado funcionamiento del Sistema de Control Interno y su mejoramiento continuo.
La existencia de un Comité con tal objetivo, refuerza el Sistema de Control Interno y contribuye positivamente al Ambiente de Control. Para su efectivo desempeño debe integrarse adecuadamente con miembros que generen respeto por su capacidad y trayectoria integral, que exhiban un apropiado grado de conocimientos y experiencia que les permita apoyar a la dirección de la entidad mediante su guía y supervisión.
Evaluación del Ambiente de control
Conocimiento y aceptación consciente de las normas escritas (Códigos de Conducta) y de Ética establecidos en la entidad, que deben incluir cuestiones referidas a las prácticas empresariales de general aceptación, los conflictos de intereses y los niveles esperados de comportamiento ético.
Comprobar que las respuestas sean eficientes y contundentes en los casos de actuaciones no conformes con las reglas establecidas, sobre la base de lo establecido en la legislación vigente. Verificar que se comunican las medidas correctivas para que sean conocidas por toda la entidad.
Cumplimiento de los procedimientos de selección, capacitación, formación, evaluación y promoción de los recursos humanos necesarios en la entidad, así como que estén definidos, de forma clara y explícita, los contenidos de cada puesto de trabajo y actividades que se le vinculan.
Evaluar si la estructura organizativa es adecuada al tamaño de la entidad, tipo de actividad y objetivos aprobados, si se definen las líneas de responsabilidad y autoridad, así como los canales por los que fluye la información.
Valorar la utilización de estilos de dirección correctos en cualquiera de los niveles jerárquicos de la entidad, en lo referente al respeto por los procedimientos de control interno implantados. Verificar que el comité de control funcione adecuadamente y contribuya al mejoramiento continuo del Sistema de Control Interno implantado.
Evaluación de Riesgos
El control interno ha sido pensado esencialmente para limitar los riesgos que afectan las actividades de las entidades. A través de la investigación y análisis de los riesgos relevantes y el punto hasta el cual el control vigente los neutraliza, se evalúa la vulnerabilidad del sistema. Para ello debe adquirirse un conocimiento práctico de la entidad y sus componentes como manera de identificar los puntos débiles, enfocando los riesgos tanto de la entidad (internos y externos) como de la actividad.
Cabe recordar que los objetivos de control deben ser específicos, así como adecuados, completos, razonables e integrados a las globales de la institución.
Una vez identificados los riesgos, su análisis debe incluir:
· Una estimación de su importancia y trascendencia.
· Una evaluación de la probabilidad y frecuencia.
· Una definición del modo en que habrán de manejarse.
· Cambios en el entorno
· Redefinición de la política institucional.
· Reorganizaciones o reestructuraciones internas.
· Ingreso de empleados nuevos o rotación de los existentes.
· Nuevos sistemas, procedimientos y tecnologías.
· Aceleración del crecimiento.
· Nuevos productos, actividades o funciones.
Normas para la evaluación de los riesgos
§ Identificación del riesgo
Se deben identificar los riesgos relevantes que enfrenta una entidad en el logro de sus objetivos, ya sean de origen interno, es decir, provocados por la entidad teniendo en cuenta la actividad específica o sus características internas en el funcionamiento, como externos que son los elementos fuera de la organización que afectan, en alguna medida, el cumplimiento de sus objetivos.
La identificación del riesgo es un proceso interactivo, y generalmente integrado a la estrategia y planificación. En este proceso es conveniente "partir de cero", esto es, no basarse en el esquema de riesgos identificados en estudios anteriores.
Su desarrollo debe comprender la realización de un análisis del riesgo, que incluya la especificación de los dominios o puntos claves del organismo, la identificación de los objetivos generales y particulares y las amenazas y riesgos que se pueden afrontar.
Un dominio o punto clave de la entidad puede ser:
· Un proceso que es crítico para su supervivencia.
· Una o varias actividades que sean responsables de parte de prestaciones importantes de servicios a la ciudadanía.
· Un área que está sujeta a leyes, decretos o reglamentos de estricto cumplimiento, con amenazas de severas penas por incumplimiento.
· Un área de vital importancia estratégica para el Gobierno (Ejemplo: defensa, investigaciones tecnológicas de avanzada).
Al determinar estas actividades o procesos claves, fuertemente ligados a los objetivos de la entidad, debe tenerse en cuenta que pueden existir algunos de estos que no están formalmente expresados, lo cual no debe ser impedimento para su consideración. El análisis se relaciona con lo crítico del proceso o actividad y con la importancia del objetivo, más allá que este sea explícito o implícito.
Existen muchas fuentes de riesgos, tanto internas como externas. A título puramente ilustrativo se pueden mencionar, entre las externas:
· Desarrollos tecnológicos que en caso de no adoptarse, provocarían obsolescencia de la organización.
· Cambios en las necesidades y expectativas de la población;
· Modificaciones en la legislación y normas que conduzcan a cambios forzosos en la estrategia y procedimientos;
· Alteraciones en el escenario económico financiero que impacten en el presupuesto de la entidad, sus fuentes de financiamiento y su posibilidad de expansión.
Entre las internas, podemos citar:
· La estructura de organización adoptada, dada la existencia de riesgos inherentes típicos, tanto en un modelo centralizado como en uno descentralizado;
· La calidad del personal incorporado, así como los métodos para su instrucción y motivación.
· La propia naturaleza de las actividades de la entidad.
Una vez identificados los riesgos a nivel de la entidad, deberá practicarse similar proceso al nivel de programa y actividad. Se considerará, en consecuencia, un campo más limitado, enfocado a los componentes de las áreas y objetivos claves identificados en el análisis global de la entidad
§ Estimación del riesgo
Se debe estimar la frecuencia con que se presentarán los riesgos identificados, así como cuantificar la probable pérdida que ellos pueden ocasionar.
Una vez identificados los riesgos a nivel de institución y de programa o actividad, debe procederse a su análisis. Los métodos utilizados para determinar la importancia relativa de los riesgos pueden ser diversos, e incluirán como mínimo:
· Una estimación de su frecuencia, o sea, la probabilidad de ocurrencia.
· Una valoración de la pérdida que podría resultar.
En general, aquellos riesgos cuya concreción esté estimada como de baja frecuencia, no justifican preocupaciones mayores, por el contrario, los que se estiman de alta frecuencia deben merecer preferente atención. Entre estos extremos se encuentran casos que deben ser analizados cuidadosamente, aplicando elevadas dosis de buen juicio y sentido común.
Existen muchos riesgos difíciles de cuantificar que, como máximo, se prestan a calificaciones de "grande", "moderado" o "pequeño"; pero no debe cederse a la difundida inclinación de conceptuarlos rápidamente como "no medidos". En muchos casos, con un esfuerzo razonable, puede conseguirse una medición satisfactoria.
Esto se puede expresar matemáticamente en la llamada Ecuación de la Exposición:
PE = F x V
donde:
PE = Pérdida Esperada o Exposición, expresada en pesos y en forma anual.
F = Frecuencia, veces probables en que el riesgo se concrete en el año.
V = Pérdida estimada para cada caso en que el riesgo se concrete, expresada en pesos
§ Determinación de los objetivos de control
Luego de identificar, estimar y cuantificar los riesgos, la máxima dirección y los responsables de otras áreas deben determinar los objetivos específicos de control y, en relación con ellos, establecer los procedimientos de control más convenientes.
Una vez que la máxima dirección y los responsables de otras áreas han identificado y estimado el nivel de riesgo, deben adoptarse las medidas para enfrentarlo de la manera más eficaz y económica posible.
Se deberán establecer los objetivos específicos de control de la entidad, que estarán adecuadamente articulados con sus propios objetivos globales y sectoriales. En función de los objetivos de control determinados, se seleccionarán las medidas o salvaguardas que se estimen más efectivas al menor costo, para minimizar la exposición.
§ Detección del cambio
Toda entidad debe disponer de procedimientos capaces de captar e informar oportunamente los cambios registrados o inminentes en el ambiente interno y externo, que puedan conspirar contra la posibilidad de alcanzar sus objetivos en las condiciones deseadas.
Una etapa fundamental del proceso de Evaluación del Riesgo, es la identificación de los cambios en las condiciones del medio ambiente en que la entidad desarrolla su acción. Un sistema de control puede dejar de ser efectivo al cambiar las condiciones en las cuales opera.
Se requiere un sistema de información apto para captar, procesar y transmitir información relativa a los hechos, eventos, actividades y condiciones que originan cambios ante los cuales la entidad debe reaccionar.
A título de ejemplo se consignan algunas condiciones que deben merecer particular atención:
· Cambios en el contexto externo: legislación, reglamentos, programas de ajuste, tecnología, cambios de autoridades, etc.
· Crecimiento acelerado: una entidad que crece a un ritmo demasiado rápido está sujeta a muchas tensiones internas y a presiones externas.
· Nuevas líneas de productos o servicios: la inversión en la producción de nuevos bienes o servicios generalmente ocasionan desajustes en el Sistema de Control Interno, el que debe ser revisado.
· Reorganizaciones: generalmente significan reducciones de personal que ocasionan, si no son racionalmente practicadas, alteraciones en la separación de funciones y en el nivel de supervisión.
· Creación del sistema de información o su reorganización: puede llegar a generar un período de exceso o defecto en la información emitida, ocasionando en ambos casos la probabilidad de la adopción de decisiones incorrectas.
Evaluación de Riesgos
Comprobar la existencia de procedimientos idóneos para anticipar los riesgos, identificarlos, estimar su importancia, evaluar su probabilidad o frecuencia y reaccionar ante los acontecimientos o cambios (rutinarios o no) que influyen en el logro de los objetivos previstos, tanto de fuentes internas como externas, así como a nivel de empresa y de las unidades o funciones más importantes (ventas, producción, finanzas, re
