Actividades de Control
Las actividades de control son procedimientos que ayudan a asegurarse que las políticas de la dirección se llevan a cabo, y deben estar relacionadas con los riesgos que ha determinado y asume la dirección.
Las actividades de control se ejecutan en todos los niveles de la organización y en cada una de las etapas de la gestión, partiendo de la elaboración de un mapa de riesgos, conociendo los riesgos, se disponen los controles destinados a evitarlos o minimizarlos.
En muchos casos, las actividades de control pensadas para un objetivo suelen ayudar también a otros: los operacionales pueden contribuir a los relacionados con la confiabilidad de la información financiera, estas al cumplimiento normativo y así sucesivamente.
A su vez en cada categoría existen diversos tipos de control:
· Preventivo y correctivos.
· Manuales automatizados o informáticos.
· Gerenciales o directivos.
En todos los niveles de la entidad existen responsabilidades de control y es preciso que los agentes conozcan individualmente cuáles son las que les competen, para ello se les debe explicar claramente tales funciones.
Las cuestiones que se exponen a continuación muestran la amplitud abarcadora de las actividades de control, viéndolas en su sentido más general, aunque no constituyen la totalidad de ellas.
· Análisis efectuados por la dirección.
· Seguimiento y revisión por parte de los responsables de las diversas funciones o actividades.
· Comprobación de las transacciones en cuanto a su exactitud, totalidad, autorización pertinente: aprobaciones, revisiones, cotejos, recálculos, análisis de consistencia, prenumeraciones.
· Controles físicos patrimoniales: arqueos, conciliaciones, recuentos.
· Dispositivos de seguridad para restringir el acceso a los activos y registros.
· Segregación de funciones.
· Aplicación de indicadores de rendimiento.
Consideramos que en este componente deben incluirse todas las normativas vigentes en el país referidas a los Subsistemas de Control Interno. A continuación mostramos un conjunto de actividades mínimas a incluir en un Manual de procedimientos de Control Interno a elaborar en las entidades, respetando la regla general de que debe tenerse en cuenta las características específicas de la entidad.
Normas de Actividades de control
§ Separación de tareas y responsabilidades
Las tareas y responsabilidades, esenciales, relativas al tratamiento, autorización, registro y revisión de las transacciones y hechos, deben ser asignadas a personas diferentes.
El propósito de esta norma es procurar un equilibrio conveniente de autoridad y responsabilidad dentro de la estructura de organización.
Al evitar que las cuestiones fundamentales de una transacción u operación queden concentradas en una misma persona o sector, se reduce notoriamente el riesgo de errores, despilfarros o actos ilícitos y aumenta la probabilidad que, de producirse, sean detectados.
En las entidades pequeñas es necesario establecer un balance entre esta separación de tareas y responsabilidades y el beneficio que se puede obtener de ellas, sin descuidar lo que nos costaría dividir funciones, por lo que habría que reforzar la actividad de supervisión y monitoreo.
§ Coordinación entre áreas
Cada área o subárea de la entidad debe operar coordinada e interrelacionadamente con las restantes áreas o subáreas. En una entidad, las decisiones y acciones de cada una de las áreas que la integran, requieren coordinación. Para que el resultado sea efectivo, no es suficiente que las unidades que lo componen alcancen sus propios objetivos; sino que deben trabajar mancomunadamente para que se alcancen, en primer lugar, los de la entidad.
La coordinación mejora la integración, la consistencia y la responsabilidad y limita la autonomía. En ocasiones una unidad debe sacrificar en alguna medida su eficacia para contribuir a la de la entidad como un todo.
Es esencial, en consecuencia, que funcionarios y empleados consideren las implicaciones y repercusiones de sus acciones en relación con la entidad. Esto supone consultas dentro y entre las entidades.
§ Documentación
La estructura de control interno y todas las transacciones y hechos significativos, deben estar claramente documentados, y la documentación debe estar disponible para su verificación.
Toda entidad debe contar con la documentación referente a su Sistema de Control Interno y a las cuestiones pertinentes de las transacciones y hechos significativos.
La información sobre el Sistema de Control Interno puede figurar en su formulación de políticas y, básicamente, en el referido manual, incluirá datos sobre objetivos, estructura y procedimientos de control.
§ Niveles definidos de autorización
Los actos y transacciones relevantes sólo pueden ser autorizados y ejecutados por dirigentes, funcionarios y demás trabajadores que actúen dentro del ámbito de sus competencias.
La autorización es la forma idónea de asegurar que sólo se realizan actos y transacciones que cuentan con la conformidad de la dirección. Esta conformidad supone su ajuste a la misión, la estrategia, los planes, programas y presupuestos.
La autorización debe documentarse y comunicarse explícitamente a las personas o sectores autorizados. Estos deberán ejecutar las tareas que se les han asignado, de acuerdo con las directrices, y dentro del ámbito de competencia establecido por las normas.
§ Registro oportuno y adecuado de las transacciones y hechos
Las transacciones y los hechos que afectan a una entidad deben registrarse inmediatamente y ser debidamente clasificados.
Las transacciones o hechos deben registrarse, en el momento de su materialización o lo más inmediato posible, para garantizar su relevancia y utilidad. Esto es válido para todo el proceso o ciclo de la transacción o hecho, desde su inicio hasta su conclusión.
Asimismo, deberán clasificarse adecuadamente para que, una vez procesados, puedan ser presentados en informes y estados financieros con saldos razonables, facilitando a directivos y gerentes la adopción de decisiones
§ Acceso restringido a los recursos, activos y registros
El acceso a los recursos, activos, registros y comprobantes, debe estar protegido por mecanismos de seguridad y limitado a las personas autorizadas, quienes están obligadas a firmar las Actas de Responsabilidad a rendir cuenta de su custodia y utilización.
Todo activo de valor debe ser asignado a un responsable de su custodia y contar con adecuadas protecciones, a través de seguros, almacenaje, sistemas de alarma, pases para acceso, etc.
Además, deben estar debidamente registrados, y periódicamente, se cotejarán las existencias físicas con los registros contables para verificar su coincidencia. La frecuencia de la comparación depende del nivel de vulnerabilidad del activo.
Estos mecanismos de protección cuestan tiempo y dinero, por lo que, en la determinación del nivel de seguridad pretendido, deberán ponderarse los riesgos emergentes, entre otros del robo, despilfarro, mal uso, destrucción, contra los costos que puedan derivarse del control.
§ Rotación del personal en las tareas claves
Ningún empleado debe tener a su cargo, durante un tiempo prolongado, las tareas que presenten una mayor probabilidad de comisión de irregularidades. Los empleados a cargo de dichas tareas deben, periódicamente, emplearse en otras funciones.
Si bien el Sistema de Control Interno debe operar en un ambiente de solidez ética, es necesario adoptar ciertas protecciones para evitar hechos que puedan propiciar actos reñidos con el código de conducta del organismo.
En tal sentido, la rotación en el desempeño de tareas claves para la seguridad y el control es un mecanismo de probada eficacia y muchas veces no utilizado por el equivocado concepto del "hombre imprescindible".
§ Control del sistema de información
El sistema de información debe ser controlado con el objetivo de garantizar su correcto funcionamiento y asegurar el control del proceso de los diversos tipos de transacciones.
La calidad del proceso de toma de decisiones en una entidad, descansa fuertemente en sus sistemas de información. Un sistema de información abarca información cuantitativa, por ejemplo, los informes de desempeño que utilizan indicadores, y cualitativa, lo concerniente a opiniones y comentarios. El sistema deberá contar con mecanismos de seguridad que alcancen a las entradas, procesos, almacenamiento y salidas.
El sistema de información debe ser flexible y susceptible de modificaciones rápidas que permitan hacer frente a necesidades cambiantes de la dirección, en un entorno dinámico de operaciones y presentación de informes. El sistema ayuda a controlar todas las actividades de la entidad, a registrar y supervisar transacciones y eventos a medida que ocurren, y a mantener datos financieros.
Las actividades de control de los sistemas de aplicación están diseñadas para controlar el procesamiento de las transacciones dentro de los programas de aplicación e incluyen los procedimientos manuales asociados.
§ Control de la tecnología de información
Los recursos de la tecnología de información deben ser controlados con el objetivo de garantizar el cumplimiento de los requisitos del sistema de información que la entidad necesita para el logro de su misión.
La información que necesitan las actividades de la entidad, es provista mediante el uso de recursos de tecnología de información, los que abarcan: datos, sistemas de aplicación, tecnología asociada, instalaciones y personal.
La administración de estos recursos debe llevarse a cabo mediante procesos de tecnología de información agrupados naturalmente, a fin de proporcionar la información necesaria que permita a cada trabajador cumplir con sus responsabilidades y supervisar el cumplimiento de las políticas. A fin de asegurar el cumplimiento de los requisitos del sistema de información, es preciso definir actividades de control apropiadas, así como implementarlas, supervisarlas y evaluarlas.
La seguridad del sistema de información es la estructura de control para proteger la integridad, confidencialidad y disponibilidad de datos y recursos de la tecnología de información.
Las actividades de control general de la tecnología de información se aplican a todo el sistema de información, incluida la totalidad de sus componentes, desde la arquitectura de procesamiento de grandes computadoras, mini computadoras y redes, hasta la gestión de procesamiento por el usuario final. También abarcan las medidas y procedimientos manuales que permiten garantizar la operación continua y correcta del sistema de información.
§ Indicadores de desempeño
Toda entidad debe contar con métodos de medición de desempeño que permitan la preparación de indicadores para su supervisión y evaluación.
La información obtenida se utilizará para la corrección de los cursos de acción y el mejoramiento del rendimiento.
La dirección de una entidad, programa, proyecto o actividad, debe conocer cómo marcha hacia los objetivos fijados para mantener el dominio del rumbo, es decir, ejercer el control.
Un sistema de indicadores elaborados desde los datos emergentes de un mecanismo de medición del desempeño, contribuirá al sustento de las decisiones.
Los indicadores no deben ser tan numerosos que se tornen ininteligibles o confusos, ni tan escasos que no permitan revelar las cuestiones claves y el perfil de la situación examinada.
Cada entidad debe preparar un sistema de indicadores ajustado a sus características, es decir, tamaño, proceso productivo, bienes y servicios que entrega, nivel de competencia de sus dirigentes y demás elementos que lo distingan. El sistema puede estar constituido por una combinación de indicadores cuantitativos, tales como los montos presupuestados y cualitativos, como el nivel de satisfacción de los usuarios.
Los indicadores cualitativos deben ser expresados de una manera que permita su aplicación objetiva y razonable. Por ejemplo: una medición indirecta del grado de satisfacción del usuario puede obtenerse por el número de reclamos.
§ Función de Auditoría Interna independiente
La unidad de auditoría interna de las entidades debe depender de la máxima autoridad de estas y sus funciones y actividades deben mantenerse desligadas de las operaciones sujetas a su examen.
Las unidades de auditoría interna deben brindar sus servicios a toda la entidad. Constituyen un "mecanismo de seguridad" con el que cuenta la autoridad superior para estar informada, con razonable certeza, sobre la confiabilidad del diseño y funcionamiento de su sistema de control interno.
Esta unidad de auditoría interna, al depender de la autoridad superior, puede practicar los análisis, inspecciones, verificaciones y pruebas que considere necesarios en los distintos sectores de la entidad con independencia de estos, ya que sus funciones y actividades deben mantenerse desligadas de las operaciones sujetas a su examen.
Así, la auditoría interna vigila, en representación de la autoridad superior, el adecuado funcionamiento del sistema, informando oportunamente a aquella sobre su situación. Por su parte, los mecanismos y procedimientos del Sistema de Control Interno protegen cuestiones específicas de la operatoria para brindar una razonable seguridad de éxito en el esfuerzo por alcanzar los objetivos de organización.
Evaluación del componente Actividades de Control
Comprobar que está debidamente segregada y diferenciada (en la medida de lo racionalmente posible) la responsabilidad de autorizar, ejecutar, registrar y comprobar una transacción, teniendo en cuenta la necesaria coordinación entre las distintas áreas de responsabilidad definidas en la entidad.
Verificar el registro y clasificación oportuna de las transacciones y hechos importantes, atendiendo a la importancia, relevancia y utilidad que ello tiene para la presentación razonable de los saldos en los estados financieros.
Comprobar la realización de conteos físicos, periódicos, de los activos y su conciliación con los registros contables.
Evaluar la calidad y cumplimiento de los planes de rotación en el desempeño en las tareas claves del personal involucrado.
Verificar que la dirección efectúe análisis, periódicos y sistemáticos, de los resultados obtenidos, comparándolos con períodos anteriores, con los presupuestos y planes aprobados y otros niveles de análisis que les sean útiles.
Evaluar la utilización del sistema de indicadores de rendimiento implementado en la entidad para la puesta en marcha de acciones correctivas que disminuyan o eliminen las desviaciones importantes.
Valorar el funcionamiento, utilización y respeto a los resultados de la Auditoría Interna.
Comprobar el cumplimiento de los controles de la tecnología de información referidos a:
· Seguridad física de los equipos de información.
· Controles de acceso.
· Controles sobre software.
· Controles de las operaciones de proceso de datos.
· Controles sobre el desarrollo y mantenimiento de las aplicaciones.
· Controles de las aplicaciones.
Revisar que el plan de prevención elaborado ha tenido en cuenta el diagnóstico de los riesgos internos o peligros potenciales, el análisis de las causas que lo provocan o propician y las propuestas de medidas para prevenir o contrarrestar su ocurrencia.
Comprobar que el plan de prevención, en cada una de las acciones, define el tiempo o los momentos de ejecución, los ejecutantes y los responsables de su control.
Información y comunicación
La información relevante debe ser captada, procesada y transmitida de tal modo que llegue oportunamente a todos los sectores y permita asumir las responsabilidades individuales.
La comunicación es inherente a los sistemas de información. Las personas deben conocer, en tiempo, las cuestiones relativas a su responsabilidad de gestión y control. Cada función debe especificarse con claridad, entendiendo como tal las cuestiones relativas a la responsabilidad de los individuos dentro del Sistema de Control Interno.
Los informes deben transmitirse adecuadamente a través de una comunicación eficaz, incluyendo una circulación multidireccional de la información: ascendente, descendente y transversal. La existencia de líneas abiertas de comunicación y una clara voluntad de escuchar, por parte de los dirigentes, resultan vitales.
Además de una buena comunicación interna, es importante una eficaz comunicación externa que favorezca el flujo de toda la información necesaria y, en ambos casos, importa contar con medios eficaces, como los manuales de políticas, memorias, difusión institucional, canales formales e informales, la actitud que asume la dirección en el trato con sus subordinados. Una entidad con una historia basada en la integridad y una sólida cultura de control no tendrá dificultades de comunicación. Una acción vale más que mil palabras.
Normas de Información y Comunicación
§ Información y responsabilidad
La información debe permitir a los funcionarios y empleados cumplir sus obligaciones y responsabilidades. Los datos pertinentes deben ser identificados, captados, registrados, estructurados en información y comunicados, en tiempo y forma.
Una entidad debe disponer de una corriente fluida y oportuna información relativa a los acontecimientos internos y externos. Por ejemplo, necesita tomar conocimiento con prontitud de los requerimientos de los usuarios para proporcionar respuestas oportunas o de los cambios en la legislación y reglamentaciones que le afectan. De igual manera, debe tener conocimiento constante de la situación de sus procesos internos.
Los riesgos que afronta una entidad se reducen en la medida que la adopción de las decisiones se fundamente en información relevante, confiable y oportuna. La información es relevante para un usuario, en la medida que se refiera a cuestiones comprendidas dentro de su responsabilidad y que él cuente con la capacidad suficiente para apreciar su significación.
La supervisión del desempeño de la entidad y sus partes componentes, opera mediante procesos de información y de exigencia de responsabilidades de tipos formales e informales. La cultura, el tamaño y la estructura de organización influyen, significativamente, en el tipo y la confiabilidad de estos procesos.
§ Contenido y flujo de la información
La información debe ser clara y con un grado de detalle ajustado al nivel de la toma de decisiones. Se debe referir tanto a situaciones externas como internas, a cuestiones financieras como operacionales.
Para el caso de los niveles directivo y gerencial, los informes deben relacionar el desempeño con los objetivos y metas fijados. El flujo informativo debe circular en todos los sentidos: ascendente, descendente, horizontal y transversal.
Es fundamental para la conducción y control de la entidad disponer de la información satisfactoria, en tiempo y en el lugar necesario, y por ende, el diseño del flujo informativo y su posterior funcionamiento adecuado, deben constituir preocupaciones centrales para los responsables de la entidad, para la toma de decisiones, si no de nada serviría.
§ Calidad de la información
La información disponible en la entidad debe cumplir con los atributos de: contenido apropiado, oportunidad, actualización, exactitud y accesibilidad. Esta norma plantea las cuestiones a considerar con vistas a formar juicios sobre la calidad de la información que utiliza una entidad y hace imprescindible su confiabilidad.
Es deber de la autoridad superior, responsable del control interno, esforzarse por obtener un grado adecuado de cumplimiento de cada uno de los atributos mencionados.
§ Flexibilidad al cambio
El sistema de información debe ser revisado y de corresponder, rediseñado cuando se detecten deficiencias en su funcionamiento y productos. Cuando la entidad cambie su estrategia, misión, política, objetivos, programa de trabajo, etc, se debe contemplar el impacto en el sistema de información y actuar en consecuencia.
Si el sistema de información se diseña orientado en una estrategia y un programa de trabajo, es natural que al cambiar estos, tenga que adaptarse, atendiendo a que la información que dejó de ser relevante siga fluyendo en detrimento de otra que sí pasó a serlo, cuidando porque el sistema no se sobrecargue artificialmente, situación que se genera cuando se adiciona la información, ahora necesaria, sin eliminar la que perdió importancia.
§ El sistema de información
El sistema de información debe diseñarse atendiendo a la estrategia y programa de operaciones de la entidad.
La calificación de sistema de información se aplica, tanto al que cubre la información financiera de una entidad como al destinado a registrar otros procesos y operaciones internas. Aquí se explica en un sentido más amplio por alcanzar también al tratamiento de acontecimientos y hechos externos a la entidad, refiriéndose a la captación y procesamiento oportuno de situaciones referentes a: cambios en la normativa, legal o reglamentaria, que alcance a la entidad, conocer la opinión de los usuarios sobre el servicio que se le proporciona, sus reclamos, inquietudes y sus necesidades emergentes.
Tal sistema de información, deberá ser diseñado para apoyar la estrategia, misión, política y objetivos de la entidad.
La entidad necesita información que le permita alcanzar todas las categorías de objetivos: operacionales, financieros y de cumplimiento. Cada dato en particular puede ayudar a lograr una o todas estas categorías de objetivos.
§ Compromiso de la dirección
El interés y el compromiso de la dirección de la entidad con los sistemas de información se deben explicitar mediante una asignación de recursos suficientes para su funcionamiento eficaz.
