Informe COSO - Control Interno en Organizaciones

Les dejo este material de un trabajo que presentamos con unos compañeros en la Facu, acerca de COSO.

Espero les sirva. Saludos.


C.O.S.O.


Resúmen ejecutivo
C.O.S.O. es un comité (Comité de Organizaciones Patrocinadoras de la Comisión Treadway) que redactó un informe que orienta a las organizaciones y gobiernos sobre control interno, gestión del riesgo, fraudes, ética empresarial, entre otras. Dicho documento es conocido como “Informe C.O.S.O.” y ha establecido un modelo común de control interno con el cual las organizaciones pueden evaluar sus sistemas de control.
Se mencionará una breve reseña histórica sobre el Informe C.O.S.O. y se describirán sus partes, a saber: los objetivos primarios y componentes esenciales del sistema de control interno de acuerdo a este modelo.
Se explicará la razón por la cual es necesario tener un sistema de control interno y quiénes son los principales responsables de asegurarlo.
Luego de describir y explicar estos aspectos introductorios, nos abocaremos a describir las normas generales de control interno indicadas en este informe. Entre estas explicaremos la consideración de la integridad y valores éticos del personal responsable, la necesidad de contar con un adecuado clima laboral, personal competente y responsable que asegure la sustentabilidad de los controles internos.
Por último haremos una conclusión final sobre la importancia de la implementación de los principios descriptos en el Informe C.O.S.O.

1. DEFINICIÓN DE C.O.S.O.
Debido al mundo económico integrado que existe hoy en día se ha creado la necesidad de integrar metodologías y conceptos en todos los niveles de las diversas áreas administrativas y operativas con el fin de ser competitivos y responder a las nuevas exigencias empresariales. Surge así una nueva perspectiva sobre el control interno donde se brinda una estructura común que es documentada en el denominado “Informe C.O.S.O.”.
El Comité de Organizaciones Patrocinadoras de la Comisión Treadway (C.O.S.O.) es una organización voluntaria del sector privado, establecida en los Estados Unidos y dedicada a proporcionar orientación al ámbito privado y gubernamental sobre aspectos críticos de gestión de la organización, control interno de la empresa, gestión del riesgo, el fraude y la presentación de informes financieros.
El “Informe C.O.S.O.” es un documento que especifica un modelo común de control interno con el cual las organizaciones pueden implantar, gestionar y evaluar sus sistemas de control interno para asegurar que éstos se mantengan funcionales, eficaces y eficientes.


2. BREVE HISTORIA
Si tuviésemos que caracterizar el entorno económico en el que se mueve la empresa en la actualidad, lo podríamos hacer con una sola palabra: dinamismo. La nueva situación a la que deben enfrentarse las empresas las obliga a desarrollar mecanismos de adaptación y buscar nuevas maneras de operación que les permitan sobrevivir.
Los problemas y las soluciones de una empresa tienden a cambiar en la medida en que se incrementa el número de empleados, las cifras de ventas y la complejidad de las operaciones.
Hasta ese momento el control interno se limitaba al ámbito financiero-contable, de manera de proporcionar seguridad razonable en las operaciones.
La implantación de un sistema de control interno ha adquirido especial importancia y ha ido ampliando sus ámbitos de aplicación debido a que, a medida que la empresa crece, los propietarios se alejan del control rutinario de las operaciones frecuentes.
La estructura organizativa de la empresa se caracterizaba porque propiedad y dirección coincidían en la misma persona. Sin embargo, en tiempos más recientes, la internacionalización y el crecimiento de muchas empresas ha provocado una dispersión de la propiedad y la separación entre propiedad y dirección.
Estos hechos generaron como consecuencia una mayor complejidad en las operaciones por lo que se requirió adaptar el proceso administrativo para hacerles frente. Esto significa que se debieron adaptar las 4 etapas de este proceso, a saber: planificación, organización, dirección y control. Se comenzó a requerir personal altamente capacitado para implementar y mantener las normas de control interno también en el ámbito de la gestión para asegurar el cumplimiento de los objetivos de la organización. Esto se logra implementando mecanismos que permitan detectar los desvíos para luego poder aplicar acciones correctivas.


3. MOTIVOS PARA EL DESARROLLO DEL INFORME C.O.S.O.
Como se mencionó anteriormente, y conforme fue transcurriendo el tiempo, las empresas fueron implementando sus propias políticas para implementar el control interno. Esto generó una gran diversidad de conceptos y conllevó a una falta de uniformidad en las prácticas de control interno.
Comprendiendo la situación arriba mencionada se hace evidente que es necesario contar con un marco conceptual que estandarice las mejores prácticas con respecto al control interno. Disponer de dicho marco facilitará la comprensión e implementación de nuevos sistemas de control interno que se adecuen a la realidad actual y brinden una referencia conceptual común sobre éste.
• Establecer una definición común de control interno que contemple las mejores prácticas en la materia.
• Facilitar un modelo en base al cual las organizaciones, cualquiera sea su tamaño y naturaleza, puedan evaluar sus sistema de control interno.
• Lograr que el control interno forme parte de la operatoria habitual de la organización y que no sea concebido como un mero formalismo o cuestión burocrática. Esta finalidad se refiere al aspecto organizacional.
• Disponer de una referencia conceptual común para los distintos interlocutores que participan en el control interno que sirva de referencia tanto para auditores como para auditados. Sin este marco de referencia resultaba ser una tarea compleja, dada la multiplicidad de definiciones y conceptos divergentes. Esta finalidad se refiere al aspecto regulatorio o normativo.


4. CONTROL INTERNO
El Informe C.O.S.O. define al control interno como el proceso de evaluar las operaciones de la organización que llevan a cabo el consejo de administración, directivos y personal en general para asegurar y mantener:
• Efectividad y eficiencia en las operaciones: Que permiten lograr los objetivos empresariales básicos de la organización (rendimiento, rentabilidad y protección de los activos).
• Confiabilidad de la información financiera: control de la elaboración y publicación de estados contables confiables, incluyendo estados intermedios y abreviados, así como la información financiera extraída de estos estados.
• Cumplimiento de políticas, leyes y normas
El control interno no es un fin en sí mismo, sino un medio para lograr ciertos objetivos.
Los controles internos no deben ser añadidos como una carga inevitable sino embeberlos en la infraestructura de una organización de manera que no la entorpezcan sino que favorezcan el logro de sus objetivos.
Para llevar a cabo el control interno, no es suficiente poseer manuales de políticas. Son las personas de cada nivel de la organización las que tienen la responsabilidad de realizarlo.
El control interno sólo puede aportar un grado razonable de seguridad, no la seguridad total a la dirección de una empresa, ya que existen limitaciones que son propias de todos los sistemas de control interno y la efectividad de la herramienta depende de la habilidad de las personas que lo ejecutan. Dichas limitaciones se deben a que las opiniones sobre las que se basan las decisiones de control pueden ser erróneas. El personal encargado de establecer controles tiene que analizar su relación costo/beneficio. Tal vez un control pueda ser muy eficaz pero el costo de aplicarlo es mayor que el beneficio que reporta y por lo tanto no se justifica implementarlo. Dicho en otras palabras el control interno no es perfecto pero sí útil para reducir los posibles problemas de la organización.


5. ELEMENTOS PRINCIPALES DE CONTROL INTERNO
El Informe C.O.S.O. destaca cinco componentes esenciales de un sistema de control interno eficaz que pueden ser implementados en todas las compañías de acuerdo a las características administrativas, operacionales y de tamaño específicas de cada una. Estos componentes son: ambiente de control, valoración de riesgos, actividades de control, información y comunicación y finalmente monitoreo o supervisión.
Estos componentes representan las categorías que se necesitan considerar para lograr los objetivos citados anteriormente. Existe una interrelación directa entre estos objetivos y estos componentes.
(1) ambiente o entorno de control: establece el fundamento para un sistema de control interno proporcionando la estructura y disciplina fundamentales.
(2) evaluacion del riesgo: implica la identificación y análisis por parte de la conducción —y no del auditor interno— de los riesgos relevantes para lograr los objetivos predeterminados.
(3) actividades de control: o las políticas, procedimientos y prácticas que aseguran el logro de los objetivos de la conducción y que se cumple con las estrategias para mitigar los riesgos.
(4) informacion y comunicación: sustenta todos los otros componentes del control comunicando las responsabilidades de control a los empleados y brindándoles información en tiempo y forma que les permita cumplir con sus funciones.
(5) supervisión: cubre los descuidos externos de los controles internos por parte de la conducción o terceros externos al proceso, o la aplicación de metodologías independientes. La supervisión corresponde al control que se realiza sobre el propio control, por lo que conceptualmente se puede entender como un meta control.
Los citados componentes serán descriptos y desarrollados con más detalle en secciones posteriores.
En síntesis, el control interno es necesario para ayudar a que una organización:
• Consiga sus objetivos de rentabilidad y rendimiento
• Pueda prevenir pérdidas de recursos
• Obtenga información contable confiable
• Refuerce la confianza al cumplir las leyes y normas aplicables


5.1. AMBIENTE DE CONTROL
Está compuesto por el comportamiento que se mantiene dentro de la organización. Algunos de estos aspectos son la integridad y valores éticos de los recursos humanos, la atmósfera de confianza mutua, la filosofía y estilo de dirección, la estructura y plan organizacional, reglamentos y manuales de procedimiento y políticas en materia de recursos humanos.

5.1.1 Integridad y valores éticos
La Comisión Treadway estableció:
“Un clima ético vigoroso dentro de la empresa y en todos los niveles de la misma, es esencial para el bienestar de la organización, de todos los componentes y del público en general. Un clima así contribuye en forma significativa a la eficacia de las políticas y los sistemas de control de las empresas y permite influir sobre los comportamientos que no están sujetos ni a los sistemas de control más elaborados”.
La dificultad en establecer valores éticos radica en la frecuente necesidad de atender intereses de las distintas partes que pueden ser contrapuestos. Es una tarea fundamental lograr equilibrio entre los intereses de la dirección, los de la empresa, sus empleados, proveedores, clientes, competidores y el público.
Algunas veces, una determinación incompetente de las metas y objetivos en la misma organización dificulta lograr conductas éticas incitando a los individuos que en ella trabajan a cometer actos fraudulentos, ilegales o poco éticos. Un ejemplo es poner énfasis en lograr o mostrar resultados a corto plazo. Esta premisa en principio inocente fomenta una condición que el personal debe cumplir y de no hacerlo pagará un costo. Por ello, para defender sus propios intereses, se ve tentado a hacerlo.

5.1.2 Competencia profesional
Es muy importante contar con personal competente que tenga una formación adecuada de acuerdo al cargo que ocupa y responsabilidades que tenga. La aptitud se refiere a los conocimientos y habilidades de cada persona.

5.1.3 Filosofía y estilo de la Dirección
Los estilos gerenciales marcan el nivel de riesgo empresarial y pueden afectar al control interno. Un planteo empresarial orientado excesivamente al riesgo o no tomar en cuenta los aspectos de control al emprender negocios son indicativos de riesgos en el control interno. Desde otro punto de vista, una gerencia que sin dejar de afrontar riesgos toma en cuenta todos los elementos necesarios para su seguimiento pero evitando riesgos inadecuados crea un ambiente propicio para control interno en la organización.

5.1.4 Estructura y plan organizacional
Todo organismo debe desarrollar una estructura organizativa que atienda el cumplimiento de su misión y objetivos, la que deberá estar plasmada en un algún tipo de herramienta gráfica.
La estructura organizativa, formalizada en un organigrama, constituye el marco formal de autoridad y responsabilidad. En ella se definen los puestos de trabajo, así como también las actividades a desempeñar a los fines de alcanzar los objetivos definidos por la alta gerencia de la organización, clasificando dichas activades como de planificación, de gestión o de control.
El nivel de formalidad que alcanza la estructura organizativa definida es directamente proporcional al tamaño de la organización. Conforme las organizaciónes crecen, las mismas demandan una mayor especialización en los cargos, lo que conlleva a los niveles de formalidad requeridos.
Existe una nueva tendencia de derivar autoridad hacia los niveles inferiores, de manera que las decisiones queden en manos de quienes están más cerca de la operación a modo de auto gestionarse. Esto se ve posibilitado debido a que los sistemas de control internos han mejorado sustancialmente debido al surgimiento de programas de aplicación cuya finalidad es registrar los datos transaccionales facilitando así el control.
Toda delegación de tareas conlleva la necesidad de que los jefes examinen y aprueben, cuando corresponda, el trabajo de sus subordinados, y que ambos cumplan con la debida rendición de cuentas de sus responsabilidades y tareas tanto en tiempo como en forma. También requiere que todo el personal conozca, responda y entienda cómo su accionar repercute en los objetivos generales.


5.1.5 Políticas y prácticas de los RRHH
El personal es el recurso más valioso que posee cualquier organismo. Por ende, debe ser tratado y conducido de forma tal que se consiga su máximo rendimiento. Debe procurarse su satisfacción y realización personal en el trabajo que realiza, tendiendo a que éste se enriquezca. Para lograr este objetivo, la dirección debe realizar diferentes actividades al momento de selección, capacitación, rotación y promoción del personal así como también cuando se aplican sanciones disciplinarias.

5.1.6 Comité de Administración o Comité de Auditoría
Dichos comités se encuentran con mayor frecuencia en organizaciones de mayor tamaño.
Su objetivo general es la vigilancia del adecuado funcionamiento del sistema de control interno como así también procura el mejoramiento continuo del mismo.
Para su efectivo desempeño debe integrarse adecuadamente, es decir, con miembros de capacidad y trayectoria que exhiban además un grado elevado de conocimiento y experiencia que les permita apoyar objetivamente a la Dirección mediante su guía y supervisión.


5.2 VALORACIÓN DE RIESGO
El riesgo es otro de los elementos que constituyen el control interno. Los riesgos son hechos o acontecimientos cuya probabilidad de ocurrencia es incierta pero no nula. La importancia de cada riesgo en el control interno se basa en su probabilidad de manifestación y en el impacto que puede causar en la organización.
El riesgo puede ser tanto interno como externo y comprende situaciones que imponen a la organización barreras para su crecimiento o inclusive para su supervivencia.
Eliminar completamente el riesgo es una situación hipotética porque los factores a considerar son demasiados en un entorno donde el dinamismo es una constante. Sin embargo, existen muchas opciones para reducir el riesgo de que la organización sea afectada por amenazas. Una de ellas es precisamente un adecuado control interno que tiene el objetivo, en lo que respecta al riesgo, de mantener en observación las principales variables que comprenden los riesgos más importantes.
El principal responsable de considerar y tomar acciones contra los riesgos involucrados en el actuar de la organización es la alta dirección. Sin embargo, a partir de sus observaciones y determinaciones, la responsabilidad de mantener control interno sobre los riesgos se propaga hacia el resto de la organización, tanto en dimensión vertical como horizontal. De esta manera se mantienen responsabilidades bien definidas en toda la organización pero manteniendo una estructura jerárquica en éstas.
En este apartado, la auditoría tiene la responsabilidad de supervisar que el control interno cumple sus objetivos de minimizar los riesgos y en el caso de existir puntos débiles en el control, identificarlos.
Podemos citar algunos de los riesgos más frecuentes que puede sufrir una organización tipo:
Algunos riesgos externos:
• desarrollos tecnológicos que en caso de no adoptarse, provocarían obsolescencia organizacional
• cambios en las necesidades y expectativas de la demanda
• condiciones macroeconómicas (tanto a nivel internacional como nacional)
• condiciones microeconómicas
• competencia elevada con otras organizaciones
• dificultad para obtener crédito o costos elevados del mismo
• complejidad y elevado dinamismo del entorno de la organización
• reglamentos y legislación que afecten negativamente a la organización
Algunos riesgos internos:
• riesgos referentes a la información financiera
• sistemas de información defectuosos
• pocos o cuestinables valores éticos del personal
• problemas con las aptitudes y actitudes (comportamiento) del personal
Los riesgos internos son abarcados por el control interno.

5.2.1 Identificación de riesgos
Para identificar los riesgos más importantes es necesario realizar un mapeo de estos, que incluya la especificación de los dominios o puntos clave de la organización, las interacciones significativas entre la organización y los terceros, la identificación de los objetivos generales y particulares, y las amenazas y riesgos que se pueden tener que afrontar.
La dirección tendrá la responsabilidad de identificar riesgos, siendo también importante que se analicen con la misma profundidad los factores que pueden contribuir a aumentarlos.

5.2.2 Objetivos de control de riesgos
En este apartado en particular nos referimos a los objetivos de control del riesgo.
Los procesos mediante los que se establecen objetivos en una organización pueden ser muy estructurados o formales o, por el contrario, informales. Asímismo, los objetivos pueden encontrarse claramente identificados o bien ser implícitos (por ej., intentar mantener el mismo nivel de costos fijos que el período anterior).
Sin embargo, para permitir un control interno bien determinado es preciso que estén cuantificados de alguna manera ya que de no estarlo se hace difícil la comparación de valores categóricos. De existir indicadores cualitativos (sin cuantía explícita) es necesario asignarles una ponderación cuantitativa de acuerdo a las necesidades de la organización.
Los objetivos relativos al riesgo deben considerar controles que aseguren detectarlo para posteriormente tomar medidas correctivas para reducirlo. Por ello los parámetros consisten en valores adecuados que de alguna manera aseguren que el control interno es eficiente y efectivo.

5.2.3 Condiciones previas para la evaluación del riesgo
El establecimiento de los objetivos de la empresa, es una condición previa a la evaluación de los riesgos. La dirección debe fijar primero los objetivos, y luego determinar cuáles serán los riesgos más importantes que pueden afectar su logro para poder tomar las medidas necesarias. De no seguir este orden no se pueden determinar cuantificaciones correctas para los riesgos y sus impactos.
Establecer objetivos es un requisito previo para un control interno eficaz. Los mismos deben estar parametrizados para ser mensurables. Sin embargo, aún cuando debería existir una seguridad razonable de que estos objetivos puedan cumplirse, no siempre existe la seguridad que todos lo hagan.
Esta actividad es una fase clave de los procesos de gestión, y si bien no constituye estrictamente un componente del control interno, es un requisito que permite garantizar el funcionamiento del mismo.

5.2.4 Medición y evaluación de riesgos
Se debe estimar la frecuencia con que se presentarán los riesgos identificados,así como también se debe cuantificar la probable pérdida que ellos pueden ocasionar. Una vez identificados los riegos a nivel de organismo y de programa/actividad, debe procederse a su análisis. Los métodos utilizados para determinar la importancia relativa de los riesgos pueden ser diversos e incluirán como mínimouna estimación de su importancia, la evaluación de su probabilidad de ocurrencia y la valoración de la pérdida que podría provocar en caso de materializarse. Para determinar el orden de importancia general de los riesgos es necesario considerar su frecuencia y el impacto que pueden provocar en la organización. Con estas consideraciones podemos contruir una “matriz de riesgos” que permitirá identificar los riesgos prioritarios.

5.2.5 Cuantificación de riesgos
Se describe un método sencillo (entre los varios que existen) que es útil para la valoración de riesgos y que permitirá disponer de un “índice de importancia”. Este índice considera la frecuencia de ocurrencia de cada riesgo y el impacto que provoca en la organización en caso de hacerse realidad. El impacto está referido a pérdida de activos, pérdida de tiempo, disminución de la eficiencia y eficacia de las operaciones o el control, efectos negativos en los recursos humanos, y alteración en la correctitud de la información de la organización, entre otras. En este modelo los impactos deben estar expresados en una única unidad, que bien puede ser monetaria.
Este método consiste en asignar una frecuencia “F” (según un intervalo de tiempo igual para todos los riesgos, que puede ser anual), y el impacto “I” que genera (en el mismo intervalo de tiempo considerado para la frecuencia) medido en dinero. Luego se obtiene un índice de exposición de acuerdo a la fórmula:
E = F x I

Una vez obtenidos estos índices se procede a su ordenamiento para determinar la prioridad de atención que se le debe otorgar. Un requisito importante es que todos los valores deben estar sincronizados. Esto significa que deben estar referidos a un mismo período de tiempo y una misma unidad de impacto.

5.3 ACTIVIDADES DE CONTROL
Las actividades de control son las normas, reglas – de qué debe hacerse - y procedimientos de control que se realizan en el entorno de las organizaciones con el fin de asegurar que se cumplen todas las operaciones y tareas que establece la Dirección superior dispuestas de tal forma que tiendan a la prevención y neutralización de los riesgos.

5.3.1 Importancia de las actividades de control
Las actividades de control conforman el elemento fundamental de los elementos de control interno. Estas actividades están orientadas a minimizar los riesgos que dificulten la realización de los objetivos generales de la organización.
Cada control que se realice dentro de la organización debe estar de acuerdo con el riesgo que previene, teniendo en cuenta que demasiados controles son tan peligrosos como lo es tomar riesgos excesivos, ya que las tareas engorrosas reducen la productividad del personal.

5.3.2 Quiénes deben llevar a cabo las actividades de control
Las actividades de control se deben realizar en todos los niveles de la organización y en cada una de las etapas de gestión de la misma. Comenzando con un análisis de riesgos a fin de disponer los controles destinados a:
• Prevenir la ocurrencia de riesgos innecesarios.
• Minimizar el impacto de las consecuencias de los mismos.
• Restablecer el sistema en el menor tiempo posible.

5.3.3 Categorías
Los controles se pueden agrupar en tres categorías dependiendo del objetivo de la entidad con la que se relacionen.
• las operaciones.
• la confiabilidad de la información financiera.
• el cumplimiento de las leyes y reglamentos.
Algunos controles se relacionan solamente con un área específica dentro de una organización, pero frecuentemente las tareas de control definidas para un objetivo específico pueden utilizarse para lograr el cumplimiento de otros objetivos.
En cada uno de estos tres grandes grupos se pueden distinguir otros tipos de control:
• Preventivos / de detección / correctivos.
• Manuales / automatizados o informatizados.
• Gerenciales / operativos.
Como podemos deducir de lo anterior, en todos los niveles de la organización existen responsabilidades en las actividades de control. Debido a esto, es necesario que cada individuo dentro la organización sepa cuales son las tareas de control que debe ejecutar. Para lograr esto se debe explicitar claramente cuales son las funciones de control que les compete a cada uno.

5.3.4 Mecanismos de control
Seguidamente se explicará en forma sintética algunos de los mecanismos de control más conocidos, los cuales no son los únicos mecanismos posibles de implementar dentro de una organización.

5.3.4.1 Segregación de funciones
Este es uno de los controles internos mas importantes y efectivos.
Todas las responsabilidades de autorizar, ejecutar, registrar y comprobar una transacción deben ser, dentro de lo posible, claramente segregadas y diferenciadas.

5.3.4.2 Análisis realizados por la Dirección
Una correcta toma de decisiones viene dada por la obtención de la información apropiada en el momento en que se necesita. Para lograr esto es necesario verificar la confiabilidad de dicha información. Algunas de las herramientas utilizadas para obtener esa confiabilidad son:
• Comparación de los datos con los históricos referidos a los mismos períodos.
• Análisis de la información real contra la información pronosticada.
• Cruzamiento de fuentes de información.
• Seguimientos de campañas comerciales, programas de mejora de productos, etc.

5.3.4.3 Documentación
Todas las transacciones, los hechos significativos y la estructura de control interno deben estar correctamente documentados de forma completa y exacta, y ésta documentación debe estar disponible para su verificación.
La información de control interno debe estar asentada en las políticas de la organización y en los manuales de procedimientos. Debe incluir los datos sobre los objetivos, la estructura y los procedimientos de control.

5.3.4.4 Definición de niveles de autorización
Las transacciones y tareas más relevantes para la organización sólo deben ser autorizados y ejecutados por personal al que le fue asignada la responsabilidad dentro de sus competencias.
La autorización es la forma más conocida de asegurar que sólo se llevan adelante tareas y transacciones que tienen el apoyo de la dirección de la organización, la cual presta su conformidad para ajustarse claramente a la misión, la estrategia, los planes, programas y presupuestos de la organización en su totalidad.
Las autorizaciones deben documentarse y comunicarse debidamente a las personas o áreas autorizadas, las que deberán ejecutar las tareas asignadas de acuerdo con las indicaciones que se les explicitó y dentro del ámbito de las competencias establecidas por la normativa de la organización.

5.3.4.5 Registro oportuno y adecuado de las transacciones y hechos
Se debe registrar y clasificar debidamente los hechos y transacciones relevantes que afectan el funcionamiento de la organización. Esta registración debe realizarse en el momento de la ocurrencia del hecho para garantizar su relevancia y utilidad para la toma de decisiones, por lo mismo que se deben clasificar debidamente para ser presentados en informes y/o estados financieros contables a los directivos y gerentes.

5.3.4.6 Acceso restringido a los recursos, activos y registros
El acceso a todo recurso, activo, registro y comprobante debe estar protegido por mecanismos de seguridad y limitado a las personas autorizadas, las cuales tienen la responsabilidad sobre los mismos y están obligados a rendir cuenta de su custodia y utilización.
Todo activo de valor para la organización debe asignarsele a un responsable para su custodia y además debe contar con las protecciones adecuadas, como ser: seguros, almacenaje, sistemas de alarma, etc. Deben estar debidamente registrados y periódicamente se deben verificar las existencias físicas con los registros contables para controlar su coincidencia
Todos estos mecanismos de protección cuestan tiempo y dinero, por lo que se debe analizar cuidadosamente los riesgos que pueden afectar los activos de la organización (por ejemplo, robo, mal uso, destrucción, etc.) y realizar una comparativa con los costos del control que se quiera implementar.

5.3.4.7 Rotación del personal en las tareas claves
La idea fundamental es que ningún empleado tenga la posibilidad de cometer algún tipo de irregularidad por un tiempo prolongado al realizar su tarea. Los empleados que realizan tales tareas deben rotar periódicamente con otros empleados que realizan otras funciones dentro de la organización.
Este es un mecanismo de probada eficacia que muchas veces no se utiliza debido al concepto erróneo del “empleado imprescindible”.

5.3.4.8 Control del sistema de información
Para garantizar el correcto funcionamiento y asegurar la confiabilidad del procesamiento de transacciones, el sistema de información debe ser controlado debidamente.
Los sistemas de información tienen que contar con mecanismos de seguridad que alcancen a las entradas, procesos, almacenamiento y salidas del mismo. Además debe ser flexible para permitir cambios o modificaciones rápidas ante los requerimientos de la Dirección de la organización tanto en las operaciones como en la presentación de informes gerenciales. El sistema debe dar apoyo y controlar todas las actividades de la organización (como ser registrar y supervisar las transacciones y eventos que ocurran) además de mantener registros financieros.

5.3.4.9 Controles físicos
Se deben realizar periódicamente recuentos físicos de los elementos de naturaleza tangible. Estos controles son muy efectivos al contrastarlos con los datos correspondientes a los registros contables de los mismos.

5.3.4.10 Indicadores de desempeño
Los métodos de medición del desempeño de indicadores para su respectiva supervisión y evaluación deben estar presentes en toda organización. El resultado de la evaluación de estos indicadores se utiliza para tomar, en caso de haber desvíos, medidas correctivas en las actividades y de esta manera mejorar el rendimiento.
Si bien este mecanismo contribuye al sustento de las decisiones, los indicadores de rendimiento no deben ser muy numerosos como para que se hagan engorrosos e ininteligibles, ni tampoco deben ser tan escasos que no permitan ver cuestiones claves de las actividades relevantes dentro de la organización. Esto se logra analizando el sistema de indicadores que se ajuste a sus características, como ser en tamaño, producción, nivel de competencia de los empleados y otros elementos que diferencien a la organización.
El sistema debe tener tanto indicadores cuantitativos (por ejemplo montos presupuestarios), como cualitativos (por ejemplo nivel de satisfacción de los usuarios).

5.3.4.11 Función de auditoría interna independiente
La función de auditoría interna en las organizaciones debe depender de sus autoridades superiores y las funciones y actividades que se realizan en dichas auditorías deben ser independientes de las operaciones que se analizan.
Es una forma certera y efectiva para la gerencia de estar informada sobre el funcionamiento y confiabilidad de los sistemas de control interno que posee la organización.
La auditoría interna, al ser independiente de los sectores que analiza, puede realizar su cometido con total libertad realizando inspecciones, verificaciones y pruebas que considere necesario, ya que las actividades que realiza están desligadas de las operaciones que analiza. Dicho con otras palabras, no controla lo que realiza sino lo que realizan las áreas de la organización.
La auditoría interna hace las veces de un representante de la autoridad superior en cuanto a “vigilar” el adecuado funcionamiento del sistema, informando en forma oportuna de las ocurrencias de cualquier situación indeseada.

5.3.5 Control sobre los sistemas de procesamiento electrónico de datos
Los sistemas de información realizan un papel primordial en el desempeño de la gestión de una organización, no sólo por el tamaño de la misma o la naturaleza de la información que se procese, sino porque es la estructura que sostiene uno de los activos más celosamente protegidos y valorados de toda organización: los datos y la información. Por esta razón dichos sistemas necesariamente deben estar controlados.
Las actividades de control de los sistemas de información pueden agruparse en dos categorías: Controles generales y controles de aplicación.

5.3.5.1 Controles generales
Este tipo de actividad de control de la tecnología de información se aplica a todo el sistema de información, desde los equipos de procesamiento, almacenamiento y redes de datos hasta la gestión realizada por el usuario final.
Incluyen también las medidas y procedimientos manuales que permiten garantizar el funcionamiento continuo y correcto del sistema de información.

5.3.5.2 Controles sobre las operaciones del centro de procesamiento de datos
Este tipo de control está relacionado con la estructura organizativa del centro de procesamiento de datos: responsable del sector, separación de funciones, niveles de autorización, etc. En efecto son las mismas reglas de organización que se aplican a cualquier otro sector dentro de la organización.
Las normas COBIT, complementarias de las C.O.S.O. en materia bancaria, aconsejan la existencia de un Comité de Sistemas, como así también la existencia de controles gerenciales sobre el área de procesamiento de datos.
La ubicación del área de sistemas dentro del organigrama general de una organización moderna está definida como sector autónomo que no supervisa ni es supervisado por ninguna de las áreas usuarias.

5.3.5.3 Normativas y procedimientos
Son las pautas o instrucciones básicas que se refieren a las “buenas prácticas” que son deseables dentro del ambiente de sistemas. Estas normas y procedimientos, se refieren a:
1. Desarrollo y mantenimiento de programas.
2. Pruebas de programas.
3. Pasajes de programas a producción.
4. Documentación de sistemas.

5.3.5.4 Normas sobre continuidad del procesamiento
La importancia de este tipo de control radica en su objetivo principal que es el de preservar el funcionamiento de la organización ante un posible colapso del sistema de información. Estos controles están dirigidos a los siguientes aspectos:
1. Análisis de criticidad de los procesos.
2. Biblioteca de operaciones.
3. Back-up de archivos.
4. Plan de contingencias.
5. Creación y mantenimiento.
6. Capacitación y entrenamiento.
7. Pruebas.

5.3.5.5 Proveedores externos
Se deben implementar en la organización los mecanismos necesarios para el control de las aplicaciones que pudieran llegar a adquirirse a proveedores externos. Los puntos centrales de atención cuando se adquiere software de esta manera son:
• Contrataciones formales.
• Disposición de programas fuentes.
• Documentación de desarrollo del sistema
• Acceso irrestricto a: sistemas, datos y documentación


5.3.5.6 Controles sobre la seguridad física
La forma mas idónea de proteger la integridad de los datos y programas se realiza a través de la utilización de restricciones a la utilización del sistema a personas no autorizadas, como así también mediante la creación y mantenimiento de condiciones ambientales adecuadas que ayuden al funcionamiento de los medios en que se procesa la información. Se deben tener en cuenta en este tipo de control los siguientes puntos:
• Acceso restringido al área de procesamiento de datos central.
• Instalaciones adecuadas.
• Energía ininterrumpible.
• Medios de detección y extinción de incendios.
• Aire acondicionado.

5.3.5.7 Controles sobre la seguridad lógica
Este tipo de control está relacionado con las redes de telecomunicaciones, y debido al crecimiento de estas últimas, cobra cada mayor importancia. Estos controles se realizan tendientes a proteger al sistema contra el acceso y uso no autorizados, hasta podrían prevenir la piratería informática.
Las actividades de control aplicables a este tipo de actividades son:
• Identificación o loggin.
• Autenticación.
• Autorización (matriz de autorizaciones).
• Registración.
La identificación o autenticación se sustentan:
• Algo conocido (contraseña).
• Algo poseído (tarjeta, llave).
• Algo personal (reconocimiento, firma, huellas dactilares, etc).
Todos estos controles forman parte de los controles generales que se pueden realizar a los centros de procesamiento de datos de cualquier organización.

5.3.6 Controles sobre las aplicaciones
Estos controles permiten asegurar la completitud y exactitud en el procesamiento de las transacciones, su autorización y su validez. Están diseñados principalmente para evitar que se ingresen en el sistema datos erróneos, es decir que son controles preventivos. También pueden ser eficaces para detectar y corregir errores que fueron ingresados al sistema con anterioridad. Están dirigidos básicamente a:
• Registro de transacciones.
• Actualización de datos aceptados y seguimiento de los rechazados.
• Actualización de archivos.
• Controles de acceso a los registros.
• Documentación técnica y del usuario actualizada.
• Resguardo de los archivos.
• Administración del sistema.
• Interfaces con otros sistemas.

5.3.7 Autoevaluación de controles basada en los modelos
Es una metodología desarrollada por la auditoría interna del Banco de Canadá, también es conocida como “Autoevaluación de control o Evaluación Dinámica de Control” (Dynamic Control Assessment). Se basa y está implícito en las teorías modernas de control. En la estructura de los modelos C.O.S.O. y C.O.C.O. se definen los componentes que estructuran el marco integrado de control y están involucrados en sus tareas el personal de todos los niveles jerárquicos de la organización y de todas las actividades del negocio para evaluar los controles que apoyan el logro de los objetivos predefinidos.
Esta es una metodología que si se aplica correctamente produce una mejora sustancial en el rendimiento y la eficiencia de la organización proporcionando mayores resultados con menos recursos, además de establecer los mecanismos para el análisis de los controles formales e informales.

5.3.7.1 Evaluación de los controles informales
Para aplicar esta metodología es necesario identificar los controles informales dentro del componente “ambiente de control” y los controles formales en los cuatro componentes restantes del marco integrado del control interno (evaluación de riesgo, actividades de control, información y comunicación, y supervisión).
Esta metodología consiste en que profesionales en auditoría interna realicen talleres con el grupo de personal operativo, sin la participación del nivel gerencial de la organización, tratando temas sobre unidades de trabajo o funciones específicas. La gerencia responsable tiene que definir los objetivos de trabajo más importantes, así como los controles necesarios para apoyar a su realización. A través del análisis realizado en los talleres se evalúan las fortalezas y debilidades de los procesos de trabajo y se comenta cómo afectan a la consecución de los objetivos propuestos por la gerencia.
Para organizar las discusiones que se realizan en los talleres se utilizan plantillas para evaluación de riesgo de auditoría y fijación de prioridades, previstas en el modelo C.O.S.O..
En estos talleres se evalúan los controles formales e informales, utilizando el mismo criterio en cada taller para facilitar la acumulación y comparaciones en el ámbito de toda la organización.
Los participantes votan para definir la importancia de cada aspecto y para evaluar la eficacia.
Este procedimiento se automatiza proporcionando de esta manera los resultados de los talleres que son presentados en forma adecuada para su posterior análisis.

5.3.7.2 Evaluación de controles formales
Este método analiza las actividades de control que se relacionan con los objetivos específicos de los trabajos que se realizan en cada área de la organización.
En una reunión se definen los controles específicos a la vez que se identifican y agrupan en cuatro componentes de control, a saber:
• Evaluación de riesgos.
• Actividades de control.
• Información y comunicación.
• Monitoreo o supervisión.
Además, en esta reunión se logra consenso con la gerencia sobre la importancia y la eficacia de los controles propuestos a fin de que ayuden a concretar los objetivos y con la información obtenida se elaboran las plantillas para la discusión y votación que se utilizan en los talleres realizados con los empleados afectados a dichas tareas.
En los talleres la discusión se realiza en relación a las actividades de control dentro de los componentes y la votación se realiza para definir la importancia y eficacia de dichas actividades.

5.3.7.3 Informe de resultados
Los reportes sobre las calificaciones y evaluaciones realizadas basándose en los resultados de los talleres constituyen la base para el análisis que realiza la gerencia junto con el departamento de auditoría interna cuyo resultado incluye las tareas o acciones a tomar que consideren necesarias para mejorar la gestión.
Las gerencias de cada departamento evaluado reciben un informe detallado de la Autoevaluación de control (el cual brinda una visión general de los controles formales e informales) y también reciben un reporte del Perfil de Confianza, el cual contrasta la evaluación de los controles de cada componente con el nivel general de la totalidad de la organización.
Con la participación del departamento de auditoría interna en el proceso de Autoevaluación de Control se obtiene información valiosa respecto a controles potenciales a implementar.
La auditoría adquiere un conocimiento integral de las operaciones y para efectos de revisiones posteriores ayuda a identificar las prioridades en el proceso de planeación de las actividades que se requieran.


5.4 INFORMACIÓN Y COMUNICACIÓN
En la actualidad, las organizaciones tienen acceso a un gran volumen de datos. Esto es debido a las herramientas que, en la actualidad, permitieron una mayor disponibilidad de los mismos. Estas herramientas son llamadas sistemas de información.
Dentro de los mencionados datos existen algunos que son relevantes para la consecución de los objetivos propuestos por la organización. Además de ser claros, deben ser obtenidos en tiempo y forma.

5.4.1 Información
La información incluye los datos del sector, los datos económicos de la organización y de los mecanismos de control. Estos pueden ser obtenidos de fuentes internas o externas a la organización, así como también de fuentes formales e informales.
Dado que las empresas se mueven en un entorno cada vez más cambiante, resulta importante que los sistemas de información puedan adaptarse en forma oportuna y ágil a las condiciones del entorno, es por ello que la flexibilidad de los mismos resulta fundamental.
La misma puede presentarse y ser adquirida de diversas maneras sin perder así la cualidad de información.
5.4.1.1 Según la presentación:
Fuentes Formales: Por ejemplo la información obtenida en seminarios, congresos o eventos.
Fuentes Informales: Por ejemplo aquella que surge de conversaciones con los clientes o proveedores.
5.4.1.2 Según el origen de donde provenga:
Fuentes Internas: la información recabada del personal perteneciente a la organización. Puede ser tanto formal (reportes) como informal (conversaciones).
Fuente Externas: la información recogida de personas ajenas a la organización. También puede ser formal como informal.
5.4.1.3 Según el contenido:
Información financiera: es información que refleja cualquier actividad relacionada con el origen o el manejo de fondos.
Información de control interno: Se identifica y captura información utilizada para poner en marcha otros componentes de control. También se distribuye en un formato predefinido y de manera oportuna para permitir al personal llevar a cabo, si correspondiere, las acciones correctivas.
5.4.1.4 Según la calidad de la información: El grado de calidad de la información condiciona fuertemente la toma de decisiones de los individuos de la organización y pueden llegar a determinar si las decisiones son acertadas o no. Es necesario que los informes ofrezcan los suficientes datos relevantes para posibilitar un control eficaz. La calidad de la información dependerá de los siguientes factores:
• Contenido: Está toda la información necesaria.
• Oportunidad: Tiempo de obtención adecuado.
• Actualidad: Información reciente.
• Exactitud: Contiene datos correctos y precisos.
• Accesibilidad: Fácil obtención por las personas autorizadas y denegación de acceso a las no autorizadas.
No es un dato menor que si no se cumple algunos de los factores anteriores, la información pierde parte de su utilidad dado que debe servir para que el personal pueda cumplir con sus responsabilidades operacionales, de información financiera o de control.

5.4.2 Comunicación
Anteriormente se habló de la obtención y depuración de los datos para transformarlos en información. Se hizo foco en que el resultado debía ser claro, conciso, exacto y oportuno. También se indicó que los sistemas de información debían proporcionar información que debe ser accesible sólo para las personas adecuadas.
Por lo expuesto, se puede determinar que la comunicación forma parte de los sistemas de información. Los canales por los que se envía la misma deben ser adecuados y debe estar presente en todos los niveles de la organización. Desde el punto de vista jerárquico, debe producirse de arriba hacia abajo, de abajo hacia arriba y hacia ambos lados.
Así como la información, la comunicación puede producirse de manera interna o externa.

5.4.2.1 Comunicación interna
Cada miembro de la organización debe entender la importancia del sistema de control interno y saber cuales son sus derechos, obligaciones y responsabilidades dentro de este sistema. tomar Para tomar las medidas correctivas adecuadas, también debe conocer cómo sus acciones se relacionan con el trabajo de los demás, y cómo afecta cualquier desvío de sus actividades en el resto. Esto aumenta las posibilidades de obtener el máximo rendimiento de cada RRHH.
También es importante que los canales de comunicación estén abiertos hacia los niveles superiores, que el personal cuente con mecanismos para enviar y registrar información y que la alta gerencia esté dispuesta a escuchar para que así los empleados puedan enviar sus inquietudes, preocupaciones y, si correspondiere, denuncias teniendo como premisa la mejoría del ambiente de control.
De no ser así es muy probable la consecución de problemas y violaciones a los controles establecidos, ya sea por desconocimiento o por mala intención.

5.4.2.2 Comunicación externa
Es la que se realiza con las personas ajenas a la organización. Es muy importante debido a que se puede obtener información de las preferencias y exigencias de los clientes de fuentes muy confiables. Un ejemplo remarcable de este tipo de comunicación son los estudios de mercado tanto para iniciar un negocio como para mejorar la calidad de uno en marcha.
Las comunicaciones recibidas de terceros a veces brindan información importante sobre el funcionamiento del sistema de control interno. Un ejemplo sencillo serían los reclamos por envíos defectuosos que revelan problemas de tipo operativos o denuncias de proveedores.

5.5 MONITOREO Y SUPERVISIÓN
Los sistemas de control interno requieren supervisión, es decir, un proceso que compruebe que se mantiene el adecuado funcionamiento del sistema a lo largo del tiempo. Para lograr ésto se llevan a cabo actividades de supervisión continua, evaluaciones periódicas o una combinación de ambas cosas.
La supervisión continua se da en el transcurso de las operaciones. Incluye tanto las actividades normales de dirección y control, como otras actividades llevadas a cabo por el personal en la realización de sus funciones.
El alcance y frecuencia de las evaluaciones dependerá de la evaluación de riesgos y de la eficiencia de los procesos de supervisión.
Los sistemas de control interno evolucionan con el tiempo, por lo que procedimientos que eran eficaces en un momento dado, pueden perder su eficacia o dejar de aplicarse. Es decir que es necesario actualizar dichos procedimientos hasta hacerlos acordes a las variaciones que va sufriendo la organización a lo largo de su ciclo de vida.
Asímismo, las circunstancias sobre las que se configuró el sistema de control interno en un principio también pueden cambiar, reduciendo su capacidad de advertir los nuevos riesgos originados por las nuevas circunstancias. En consecuencia, la dirección tendrá que determinar si el sistema de control interno es en todo momento adecuado y si se mantiene la capacidad de asimilar nuevos riesgos.

5.5.1 Supervisión continua
Existe una gran variedad de actividades que permiten efectuar un seguimiento de la eficacia del control interno, como comparaciones, conciliaciones, actividades corrientes de gestión y supervisión así como otras actividades rutinarias.
Debe existir un proceso que compruebe que el sistema de control interno se mantiene en funcionamiento a través del tiempo.
La supervisión continua tiene tareas permanentes y revisiones periódicas. La frecuencia de estas últimas dependerán de la importancia de los riesgos en juego.
Las deficiencias detectadas deben ser oportunamente comunicadas.

6. LIMITACIONES DEL CONTROL INTERNO
A pesar de ser un proceso muy útil para la organización que permite su supervivencia, puede existir el caso de que este mismo no permita el crecimiento. De hecho, el fin del control interno no siempre es lograr crecimiento, sino asegurar que las actividades se realicen de la manera prevista (que no necesariamente puede conducir al crecimiento).
Todo procedimiento de control interno comienza con la definición de los criterios y parámetros sobre los cuales deben funcionar las operaciones. Éstos son definidos por el Consejo de Administración, la Dirección o Alta Gerencia pero no permite asegurar la efectividad de las operaciones si los estándares de funcionamiento fueron mal definidos.
Los estándares definidos deben contemplar a la normativa y legislación vigente, no sólo los lineamientos de la Dirección.
Tampoco toma decisiones finales sino que brinda las herramientas para que éstas sean tomadas por las personas correspondientes.


7. RESPONSABLES DEL CONTROL INTERNO
Entre los principales responsables del control interno destacamos la alta gerencia, los auditores y el personal, estando sobre todos estos el Consejo de Administración, el que fija las pautas y la visión global de la organización.
La Alta Gerencia es la responsable última del correcto funcionamiento del sistema de control. La integridad y la ética deben ser elementos que aporten ejemplo a los demás empleados. Debe dirigir a los gerentes que a su vez son los responsables en sus respectivas áreas.
La Auditoría Interna debe desempeñar un papel de supervisión sobre la eficiencia y permanencia de los sistemas de control. Para ello debe contar con una ubicación jerárquica adecuada (contar con permisos de acceso, autoridad para solicitar y obtener información, etc.).
Los empleados tienen la responsabilidad de participar en el esfuerzo de aplicar el control interno, cuyos detalles deben ser incorporados a la descripción de los puestos de trabajo. Ellos deben comunicar al nivel superior los desvíos que detecten con respecto a los códigos de conducta, a las políticas establecidas o a la legalidad de las acciones realizadas.
El Consejo de Administración fija las pautas y la visión global del negocio. Debe asegurarse de contar con vías de comunicación efectivas con la Alta Dirección y las áreas financieras, legales y de auditoría interna para garantizar que dichos sectores comprendan los lineamientos.


8. CONCLUSIONES
En la actualidad, la Información es uno de los recursos más preciados en cualquier organización. El contar con información íntegra, accesible, consistente, confiable y oportuna, es fundamental para que dicha organización pueda subsistir, desarrollarse y tomar decisiones correctas en el dinámico mundo actual.
Por todo esto, es que las organizaciones buscaron diversas formas de formalizar procesos de elaboración y control de la información. Cada una de ellas fue implementando metodologías de control ad-hoc, ergo, coexistían múltiples maneras de controlar lo mismo.
A razón de esto surge el Informe COSO, el cual es un compendio de definiciones, reglas y buenas prácticas acerca del control interno en una organización. Si bien todas las organizaciones necesitan llevar a cabo prácticas de control, este informe está especialmente orientado a aquellas en las que por su envergadura, requieren y están en condiciones de aplicar mecanismos formales y preestablecidos de control para evitar o reducir los fraudes, riesgos y conductas inadecuadas que puedan surgir, tanto por parte del personal, como de clientes y proveedores.
Al implementar las práctica sugeridas en el Informe C.O.S.O., las organizaciones consiguen controlar más eficiente, eficaz y transparentemente su operatoria. Una de las grandes ventajas de C.O.S.O. reside en que al parametrizar y formalizar las técnicas de medición, el control resulta simple y efectivo. Otra ventaja importante es su dinamismo para ser revisado y actualizado según los cambios que va experimentando la organización.
En síntesis, las prácticas C.O.S.O. son una herramienta altamente recomendable en materia de control interno para grandes organizaciones.


Autores: Ramiro Gómez, Miguel Guitar, Mariano Mainez y Carlos Vilche.

Fuentes de Información - Informe COSO - Control Interno en Organizaciones

Dar puntos
101 Puntos
Votos: 14 - T!score: 7.5/10
  • 1 Seguidores
  • 56.640 Visitas
  • 8 Favoritos

7 comentarios - Informe COSO - Control Interno en Organizaciones

@Awoodstock Hace más de 3 años
muy bueno, andaba necesitando. Igual estaria bueno que pongas una version del documento para bajar en PDF
@C1sc0 Hace más de 3 años
Awoodstock dijo:muy bueno, andaba necesitando. Igual estaria bueno que pongas una version del documento para bajar en PDF

Fijate que existe esta página. No es LA página, pero me ha sido muy útil: http://www.web2pdfconvert.com/
También podés agregar un marcador en la barra de marcadores dinámicos para hacer la conversión en forma más ágil.

Con respecto al artículo, me va a venir bien para la facu. Gracias!
@RoxyLB Hace más de 3 años
Lo tenía muy resumido, y andaba buscandolo más completo. Muchas gracias
@fed_360 Hace más de 2 años
Muchas gracias Bro !!!! Buena info para un trabajo que tengo que hacer !!! Si me sale bueno te van buenos puntos !!!!
@rincondeluke Hace más de 2 años
gracias!, me sirve para auditoria.. +10
@darksoulblackhea Hace más de 6 meses
muchisisisisisisiiiimas gracias...!!** me sirvió de mucho en mi tarea de la uni
@turock02 Hace más de 2 meses
Excelente resumen grax por el aporte