Es de carácter técnico, la denominación de control interno ‘basado-en-principios’. Su principal sinónimo es ‘estructura conceptual’ (framework) y de hecho corresponde a un entendimiento del control interno en términos de sistemas (elementos, relaciones, procesos, objetivos). Pero a partir de esto nace una importante pregunta ¿Cuáles son, entonces, los principios rectores del control interno?
Dar respuesta a esta pregunta no es tan sencillo, un análisis de los distintos criterios y estructuras conceptuales más importantes permite señalar los siguientes siete componentes:
1. Segregación de funciones,
2. Autocontrol,
3. De arriba hacia abajo,
4. Costo menor que beneficio,
5. Eficacia,
6. Confiabilidad, y
7. Documentación.
A continuación se hace un breve resumen de los anteriores componentes:
1. Segregación de funciones
El entendimiento más antiguo de la segregación de funciones señala que ninguna persona debe tener control sobre una transacción desde el comienzo hasta el final. De manera ideal y particularmente en las organizaciones grandes, complejas, ninguna persona debe ser capaz de registrar, autorizar y conciliar una transacción. Ello, como mecanismo de protección para esas mismas personas (ya se trate de empleados o de administradores) y de la misma organización (máxime si esta es de interés público).
Este componente cuenta con una general aceptación, aun cuando su entendimiento tenga distintos matices, los cuales en la medida que ha ido evolucionando el control interno este ha cambiado. Esto implica, entonces, la no simple segregación de funciones entre quien maneja los dineros y quien elabora y custodia los registros contables.
Actualmente se tienen dos connotaciones particularmente importantes que son la segregación de funciones;
a. Relacionadas con los distintos roles vinculados con el control interno: diseño, implementación, mejoramiento, evaluación y auditoría.
O dicho de otra manera: los papeles que desempeñan directivos (administradores) principales, personal de apoyo (incluye directores de auditoría / control interno) y auditores (especialmente independientes), y
b. Por niveles. Conlleva diferenciar las funciones de control interno según el nivel organizacional (estratégico, táctico, operativo y específico).
O mejor aún, diferenciar entre controles contables y administrativos, sistema de control interno, comités de auditoría, gobierno corporativo y control interno a las transacciones con partes relacionadas (grupos económicos, combinaciones de negocios).
2. Autocontrol.
La dirección, gestión, supervisión y evaluación/valoración del control interno son resorte de la administración principal (alta gerencia). No hay controles internos que sean externos. El sistema, a través del subsistema (o mejor: el proceso) de control interno, se controla a sí mismo.
El mejor de todos los controles internos es que los procesos sean desempeñados por gente capaz apoyada con tecnología.
Es importante notar que la auditoría del control interno sí tiene que ser externa: el auditor ha de ser independiente. En dos formas diferentes: el auditor interno tiene que ser externo a la administración, y el auditor externo (de estados financieros) tiene que ser externo a toda la organización.
En lo expresado anteriormente surge una dificultad, la cual se deriva de los enfoques participativos de auto-valoración del control, que han sido interpretados de manera equivocada, como el supuesto de que cada quien es capaz de controlarse a sí mismo y puede actuar de acuerdo con su propio criterio. Ello corresponde a lo menos parecido al control dado que éste, entendido como poder, requiere que todos los componentes del sistema se orienten hacia el logro eficaz de los objetivos compartidos.
Es importante hacer una precisión: la diferenciación que existe entre ‘autocontrol’ (tal y como es explicado arriba) y ‘auto-valoración del control,’ un conjunto de herramientas de trabajo a través de las cuales se facilita que el personal de una organización haga su propia valoración del control y la traduzca en informes y acciones relacionadas con el funcionamiento de la organización.[1]
3. De arriba hacia abajo.
De arriba hacia abajo, significa que el control interno es una forma de “presión” o “influencia” ejercida por los máximos niveles administrativos (alta gerencia) de la organización, esto técnicamente es denominado “el tono desde lo alto”. Siendo así, implica que ningún control interno puede funcionar de abajo hacia arriba, esto es, un empleado de nivel bajo u operativo no puede “controlar” a los directivos principales.
Una de las formas mas primitivas como se dio a conocer este componente fue la ‘autorización’, donde las transacciones deben ser autorizadas y ejecutadas por personas que actúan dentro del rango jerárquico de autoridad.
Pero actualmente, y a partir de enfoques de procesos y con uso intensivo de tecnologías de la información, las autorizaciones se convierten en simples ‘password’ (autorizaciones de acceso).
En una perspectiva estratégica, tiene una marcada influencia en la forma como son estructuradas las organizaciones, lo que conlleva a que esta forma de presión sea originada desde los niveles mas altos de las mismas, adicionalmente se señala diversos aspectos entre los cuales se resaltan:
- Los procesos de mayor nivel (macro-procesos) abarcan los procesos de menor nivel (sub-procesos, tareas, actividades);
- El direccionamiento proviene de la alta gerencia (visión, misión) y se traslada a la acción por mecanismos operativos que es preciso alinear; y
- El tono desde lo alto, es fundamentalmente de carácter ético (de negocios) que se convierte en algo de forzoso cumplimiento vía estrategias, planes, o en últimas, por mecanismos de carácter legal.
En la estructura conceptual integrada que ofrece COSO sobre el control interno depende en gran medida de esto y para ello emplea la denominación ‘tono desde lo alto.’
Para esta estructura, al final es el mas importante, lo refuerza con la estructura organizacional, con los controles informales y los valores éticos de la organización; con sus distintas políticas y el nivel competitivo de sus integrantes. En la medida en que se consolide el carácter ético, permitirá el paso a un control interno eficaz.
4. Costo menor que beneficio.
Este componente afianza el hecho sobre el cual el control interno genera valor a la organización, lo que implica de salida que los controles internos no pueden ser más costosos que las actividades que controla ni que los beneficios que proveen. Si el control interno genera sobre-costos o duplicidades, es mejor eliminarlo.
Lo anterior va de mano con que el control interno exige un sacrificio o costo, que aun cuando su costo ha de ser menor que los beneficios, no es gratis. Lo cual ha de estar presente y es clave al momento de tomarse la decisión de la implementación de un sistema de control interno, y mucho más aún cuando se va a evaluar (valorar) o auditar.
O dicho de otra forma, para que aporte valor, el beneficio que genera tiene que ser sustancialmente mayor que el costo que conlleva.
Este lleva implícito entender que el control interno es un proceso (Cfr. COSO) y no tanto un sistema (Cfr. CoCo). Como proceso, se inserta dentro del sistema organizacional y hace parte de la cadena de valor del negocio. En otras palabras, hace parte del ciclo financiero de agregación de valor para el cliente y de generación de valor para el accionista.
Lo que sí definitivamente no se admite es que el control interno sea gasto. Si es gasto, no tiene poder de recuperación de la inversión que conlleva y es mejor eliminarlo.
5. Eficacia.
Aquí se tiene una gran connotación, y es que si el control interno no asegura el logro de los objetivos organizacionales, sencillamente no sirve. De ahí que la evaluación básica del control interno sea siempre una evaluación (valoración) de su eficacia. Y esta, es sustancialmente diferente del control de gestión y resultados.
Una de las grandes fortalezas de COSO es precisamente el entendimiento de este principio. Puesto que la eficacia del control interno depende directamente de asegurar el logro de los objetivos de negocio que tiene el sistema y que son: eficacia y eficiencia de las operaciones, confiabilidad del proceso de presentación de reportes financieros, cumplimiento de normas y obligaciones, salvaguarda de activos, direccionamiento estratégico.
Donde se le ha dado mayor importancia a este principio es en
En resumen, el control interno depende de los resultados que es capaz de ofrecer.
6. Confiabilidad.
Se entiende como la relación que existe entre la efectividad del diseño y operación del sistema de control interno y la extensión de la documentación, conciencia y monitoreo del control interno.
Una forma de expresarlo mejor es como una fórmula matemática, así:
Ed * Eo
Confiabilidad del CI = -----------------------
ed * ec * em
Donde:
Ed = Efectividad del diseño del control interno
Eo = Efectividad de la operación del control interno
ed = Extensión de la documentación
ec = Extensión de la conciencia
em = Extensión del monitoreo
El asunto empieza a conocerse dado que es fruto de
La siguiente gráfica muestra las cuatro etapas que debe recorrer normalmente el control interno en su desarrollo: no-confiable, insuficiente, confiable, y óptimo.
7. Documentación.
Aquí se presentan dos entendimientos tradicionales sobre el particular que han sido superados. El primero, hace referencia a que las transacciones deben estar clara y completamente documentadas y disponibles para revisión. El segundo, tiene que ver con los papeles de trabajo.
Hoy se entiende que lo que implica documentación es mucho más amplio y hace referencia a toda la información sobre el control interno, incluidos el criterio de control, el diseño seleccionado y las acciones emprendidas. Abarca no solo a la administración sino también a los auditores. Y, por efecto de
Toda la información relacionada con el control interno debe estar debidamente documentada, de manera tal que pueda ser analizada por cualquier stakeholder interesado, ya se trate de la administración (para efectos de su propia valoración), de los auditores (para efectos de su evaluación o de su dictamen), o de los reguladores (para efectos derivados de las acciones de supervisión, inspección, vigilancia y control).
Esto se sintetiza en, la necesidad e importancia de la formalización y respectiva documentación respecto del control interno, lo que significa que una organización así soporta todos sus métodos y procedimientos empleados, lo cual le permite la fácil identificación de criterios y demás acciones.
Como resumen, se pude afirmar que estos principios conllevan un mejor entendimiento del control interno y le dan su caracterización. Los cuales son desarrollados, en mayor o menor extensión, por los diferentes criterios de control.
El Basle Committee on Banking Supervision , emite la estructura conceptual para los sistemas de control interno en las organizaciones bancarias y se consolida como uno de los documentos que con mayor claridad aplica el enfoque basado-en-principios.
En línea con la estructura conceptual de COSO (definición, objetivos, componentes/elementos), expresa un conjunto de trece principios que combina en un momento con la valoración de los sistemas de control interno y en otro con los elementos de los mismos.
Los trece principios, combinados con los cinco elementos del control interno, son:
Supervisión por parte de la administración y cultura de control
Principio 1:
La junta de directores debe tener la responsabilidad por aprobar y revisar periódicamente las estrategias generales de negocio y las políticas significantes del banco; entender los principales riesgos en que incurre el banco, establecer niveles aceptables para esos riesgos y asegurar que la administración principal da los pasos necesarios para identificar, medir, monitorear y controlar esos riesgos; aprobar la estructura organizacional; y asegurar que la administración principal está monitoreando la efectividad del sistema de control interno. La junta de directores es el responsable último por asegurar que se establece y mantiene un sistema adecuado y efectivo de controles internos.
Principio 2:
La administración principal debe tener la responsabilidad por implementar las estrategias y las políticas aprobadas por la junta; desarrollar procesos que identifiquen, midan, monitoreen y controles los riesgos en los cuales incurre el banco; mantener una estructura organizacional que de manera clara signe responsabilidad, autoridad y relaciones de presentación de reportes; asegurar que de manera efectiva se llevan a cabo las responsabilidades delegadas; establecer políticas apropiadas de control interno; y monitorear lo adecuado y la efectividad del sistema de control interno.
Principio 3:
La junta de directores y la administración principal son responsables por promover altos estándares éticos y de integridad, y por establecer al interior de la organización una cultura que enfatice y demuestre a todos los niveles del personal la importancia de los controles internos. Todo el personal de una organización bancaria requiere entender su rol en el proceso de los controles internos y estar plenamente comprometido en el proceso.
Reconocimiento y valoración de riesgos
Principio 4:
Un efectivo sistema de control interno requiere que los riesgos materiales que podrían afectar de manera adversa las metas del banco estén siendo reconocidos y valorados de manera continua. Esta valoración debe cubrir todos los riesgos que enfrenta el banco y la organización bancaria consolidada (esto es, riesgo de crédito, riesgo país y de transferencia, riesgo de mercado, riesgo de tasa de interés, riesgo de liquidez, riesgo operacional, riesgo legal y riesgo reputacional). Los controles internos pueden requerir ser revisados para direccionar de manera apropiada cualesquiera riesgos nuevos o no-controlados de manera previa.
Actividades de control y segregación de obligaciones
Principio 5:
Las actividades de control deben ser parte integral de las actividades diarias de un banco. Un efectivo sistema de control interno requiere que se establezca una estructura apropiada de control, con actividades de control definidas en cada nivel de negocios. Estas deben incluir: revisiones de alto nivel; controles de actividad apropiados para los diferentes departamentos o divisiones; controles físicos; verificación del cumplimiento con los límites de exposición y seguimiento al no-cumplimiento; un sistema de aprobaciones y autorización; y un sistema de verificación y conciliación.
Principio 6:
Un efectivo sistema de control interno requiere que exista una apropiada segregación de obligaciones y que el personal no tenga asignadas responsabilidades en conflicto. Las áreas de potenciales conflictos de interés deben ser identificadas, minimizadas, y sujetas a monitoreo cuidadoso e independiente.
Información y comunicación
Principio 7:
Un efectivo sistema de control interno requiere que existan datos internos, adecuados y comprensivos, de carácter financiero, operacional y de cumplimiento, así como información de mercados externos sobre los eventos y las condiciones que son relevantes para la toma de decisiones. La información debe ser confiable, oportuna, accesible, y provista en un formato consistente.
Principio 8:
Un efectivo sistema de control interno requiere que estén en funcionamiento sistemas de información confiables que cubran todas las actividades significantes del banco. Esos sistemas, incluyendo aquellos que mantienen y usan datos en un formato electrónico, tienen que ser seguros, monitoreados de manera independiente y soportada por acuerdos de contingencia que sean adecuados.
Principio 9:
Un efectivo sistema de control interno requiere efectivos canales de comunicación que estén en funcionamiento para asegurar que todo el personal entiende plenamente y se adhiere a las políticas y a los procedimientos que afectan sus obligaciones y responsabilidades y que se adquiere del personal apropiado toda la otra información relevante.
Actividades de monitoreo y corrección de deficiencias
Principio 10:
La efectividad general de los controles internos del banco debe ser monitoreada sobre una base ongoing. El monitoreo de los riesgos clave debe ser parte de las actividades diarias del banco, lo mismo que evaluaciones periódicas por parte de las líneas de negocio y de la auditoria interna.
Principio 11:
Debe existir una auditoría interna, efectiva y comprensiva, del sistema de control interno, llevada a cabo por personal operacionalmente independiente, apropiadamente entrenado, y competente. La función de auditoría interna, como parte del monitoreo del sistema de controles internos, debe reportar directamente a la junta de directores o a su comité de auditoría, y a la administración principal.
Principio 12:
Las deficiencias de control interno, ya sean identificadas por las líneas de negocio, de auditoría interna u otro personal de control, deben ser reportadas de una manera oportuna al nivel administrativo apropiado y direccionadas prontamente. Las deficiencias materiales de control interno deben ser reportadas a la administración principal y a la junta de directores.
Evaluación de los sistemas de control interno por las autoridades de supervisión
Principio 13:
Los supervisores deben requerir que todos los bancos, independiente del tamaño, tengan un efectivo sistema de controles internos que sea consistente con la naturaleza, complejidad, y riesgo inherente de sus actividades dentro y fuera de balance y que responda a los cambios en el entorno y las condiciones del banco. En aquellos casos en los que los supervisores determinen que el sistema de control interno de un banco no es adecuado o efectivo para el perfil específico de riesgos de ese banco (por ejemplo, no cubre todos los principios contenidos en este documento), debe tomar la acción apropiada.
No hay comentarios:
Publicar un comentario