Componentes del Control Interno COSO: Claves para la Gestión Empresarial

Administración de empresas y gestión de la innovación, , , , , , ,

Componentes del Control Interno (COSO)

Son 5 los componentes del control interno según el marco COSO, los cuales están relacionados entre sí:

  • Ambiente de Control
  • Evaluación de Riesgos
  • Actividades de Control
  • Información y Comunicación
  • Monitoreo

Ambiente de Control

El ambiente de control se podría definir como el clima o la cultura de la empresa respecto al control interno y las buenas prácticas. Refleja cómo sienten y asimilan las personas dentro de una organización dicho clima. Podemos identificar los siguientes factores dentro del ambiente de control:

  • Filosofía de Dirección: La actitud y enfoque de la alta dirección hacia el control interno.
  • Integridad y valores éticos: Los principios morales y éticos que guían el comportamiento en la organización.
  • Administración Estratégica: Es el proceso de manejo del cambio a través del mayor aprovechamiento de los recursos existentes en las organizaciones.
  • Estructura organizacional: La forma en que se organiza la entidad para llevar a cabo sus actividades.
  • Administración de los recursos humanos: Políticas y prácticas relacionadas con la contratación, capacitación, evaluación y compensación del personal.
  • La competencia profesional: El nivel de habilidad y conocimiento requerido para los puestos de trabajo.
  • Asignación de autoridad y responsabilidad: Una organización definirá las tareas de las unidades orgánicas y de sus colaboradores, de manera que exista independencia y separación de funciones entre aquellas que resulten incompatibles.
  • Órgano de Control Institucional: Refiere a las funciones del órgano de apoyo, es decir, auditoría interna, quien velará por el cumplimiento de los parámetros establecidos por la empresa y porque se hagan cumplir las normas y procedimientos, al mismo tiempo que valida que la información proporcionada por la empresa sea confiable para su grupo de interés.

Evaluación de Riesgos

La evaluación de riesgos se considera el primer paso, que consiste en identificar y analizar los posibles riesgos asociados a ciertas acciones o procedimientos para determinar cómo deben ser gestionados. Si lo vemos de forma sistémica, podemos identificar 3 etapas dentro de la evaluación de riesgos:

  • Planeamiento de gestión de riesgos: Esta etapa es sumamente importante para luego establecer objetivos. Para diseñar el planeamiento, se hace necesario tener claros ciertos conceptos dentro de la empresa, tales como la misión, visión y objetivos, esto con el fin de que toda la organización se interiorice con la administración del riesgo. Se detallarán los beneficios del plan de gestión de riesgos, además se debe definir quiénes participarán en esta etapa.

    Además de lo anterior, se debe definir la periodicidad con que se realizará el proceso de gestión y los criterios de evaluación de riesgos. Los riesgos identificados se deben clasificar de tal manera que se prioricen según sus posibles implicaciones para lograr los objetivos de la organización.

  • Identificación de los riesgos: Tendrá que ser permanente, interactiva e integrada con el proceso de planeamiento y deberá partir de la claridad de los objetivos estratégicos de la entidad para la obtención de resultados. Existen diferentes técnicas para identificar riesgos, tales como: Tormenta de ideas, Cuestionarios, Entrevistas, FODA, etc.

Clasificación de los riesgos

Los riesgos pueden ser clasificados como:

  • Riesgo estratégico: Se asocia con la forma en que se administra la organización, se enfoca en asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos.
  • Riesgo operativo: Comprende los riesgos relacionados tanto con la parte operativa como técnica de la organización. Incluye riesgos provenientes de deficiencias en los sistemas de información, en la definición de los procesos, en la estructura organizacional, en la desarticulación entre dependencias, lo cual conduce a ineficiencias, oportunidades de corrupción e incumplimiento de los compromisos institucionales.
  • Riesgo financiero: Incluye la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes. De la eficiencia y transparencia en el manejo de los recursos, así como su interacción con las demás áreas, dependerá en gran parte el éxito o fracaso de toda organización.
  • Riesgo de cumplimiento: Capacidad de la entidad para cumplir con los requisitos legales, contractuales y, en general, con su compromiso ante la sociedad.
  • Riesgos de tecnología: Capacidad de la organización para que la tecnología disponible satisfaga sus necesidades actuales y futuras y soporte el cumplimiento de su misión.

Escalas que pueden implementarse para analizar los riesgos

Se conocen actualmente dos tipos de escala de análisis y son las siguientes:

  • El análisis cualitativo: Constituye la utilización de escalas descriptivas para demostrar la magnitud de consecuencias potenciales y su posibilidad de ocurrencia. Estas escalas se pueden modificar o ajustar a las circunstancias de ocurrencia y a las necesidades de cada organización.
  • Análisis cuantitativo: Representa los valores numéricos para la elaboración de tablas de registro de riesgos. La calidad del análisis depende de la precisión y completitud de las cifras utilizadas. La forma en la cual la probabilidad y el impacto son expresados y las formas por las cuales ellos se combinan para proveer el nivel de riesgo, puede variar de acuerdo al tipo de riesgo.

Respuesta al riesgo

Evaluados los riesgos, la dirección determinará cómo responder a ellos, por lo que las respuestas pueden ser las de evitar, reducir, compartir y aceptar el riesgo. Al considerar su respuesta, la dirección evalúa su efecto sobre la probabilidad e impacto del riesgo, así como los costos y beneficios, y selecciona aquella que sitúe el riesgo residual dentro de las tolerancias al riesgo establecidas.

Actividades de Control

Son las políticas y procedimientos que se efectúan para mitigar los riesgos anteriormente definidos. Estos procedimientos pueden ser:

  • Procedimientos de autorización y aprobación: Establecimiento de niveles de autoridad para aprobar transacciones.
  • Segregación de funciones: Esto quiere decir que ningún colaborador tendrá control sobre dos o más fases incompatibles de un mismo proceso.
  • Evaluación costo-beneficio: Este punto se refiere a si los controles efectuados tienen un mayor beneficio que costo para la empresa.
  • Controles sobre el acceso a los recursos o archivos: Medidas para proteger los activos y la información.
  • Verificaciones y Conciliaciones: Comparaciones para asegurar la exactitud de los registros.
  • Evaluación del desempeño: Medición del rendimiento contra objetivos y estándares.
  • Rendición de cuentas: Responsabilidad por los recursos asignados por la empresa, como también por el logro de resultados.
  • Documentación de procesos, actividades y tareas: Mantener registros claros de cómo se realizan las operaciones.
  • Revisión de procesos, actividades y tareas: Deben ser periódicamente revisados para asegurar que cumplen con los reglamentos, políticas, procedimientos vigentes y demás requisitos. Este tipo de revisión en una organización debe estar claramente distinguido del seguimiento del control.
  • Controles para las Tecnologías de la Información y Comunicaciones (TIC): Medidas específicas para los sistemas informáticos.

Información y Comunicación

Refiere a los métodos, procesos, canales, medios y acciones que aseguren el flujo de información pertinente y de calidad, permitiendo a las organizaciones cumplir sus metas, objetivos, misión y visión. Para ello, se basa en los siguientes factores:

  • Funciones y características de la información: Esto quiere decir que la información debe ser acorde a la utilidad que se le va a dar o a quién va dirigida. Por ejemplo, un informe gerencial será mucho más resumido y en un formato que le permita tomar una decisión concreta; en cambio, para un trabajador de la línea operacional, la información será más técnica y detallada.
  • Información y responsabilidad: Los datos deben ser captados, identificados, seleccionados, registrados, estructurados en información y comunicados en tiempo y forma oportuna.
    Tipos de Comunicación:
    • Comunicación Descendente: Es la que va de la dirección, en sus distintos niveles, a los subordinados. Ejemplo: Reuniones cortas de trabajo, donde se pretende dar instrucciones a grupos, informar del desarrollo de objetivos, entre otras acciones.
    • Comunicación Ascendente: Es la que parte de los empleados y se dirige a los directivos. Incluye la comunicación a los superiores de: opiniones, sugerencias, ideas, propuestas, quejas y problemas de los empleados. Ejemplo: Reuniones periódicas con las distintas unidades orgánicas de la entidad donde se comenta la evolución de los objetivos, situación del mercado, clientes, procesos de trabajo.
    • Comunicación Horizontal: Es la que se produce entre empleados o trabajadores del mismo nivel o de categorías directa e íntimamente relacionadas. Es en este tipo de comunicación donde es más factible que aparezca la comunicación informal. Ejemplo: Reuniones de trabajo entre unidades orgánicas, donde se busca rapidez en las decisiones y en los métodos de trabajo. La información se comparte y luego cada responsable la transmite a su equipo.
  • Calidad y suficiencia de la información: La información procesada debe tener un alto grado de calidad. También debe contener el detalle adecuado según las necesidades de los distintos niveles organizacionales, poseer valor para la toma de decisiones, así como ser oportuna, actual y fácilmente accesible para las personas que la requieran.
  • Controles de acceso: Es recomendable que las organizaciones establezcan normas para la asignación de cuentas de acceso, incluyendo las medidas de seguridad aplicables tales como: claves secretas (contraseñas), controles de acceso a los servidores y sistemas para auditar su uso, la integridad y la seguridad de los datos y comunicaciones que se envían.

Monitoreo

El monitoreo (o supervisión) constituye un proceso sistemático y permanente de revisión de los procesos y operaciones que lleva a cabo la entidad, sean de gestión, operativas o de control.

Resulta conveniente vigilar y evaluar sobre la marcha, es decir, conforme transcurre la gestión de la entidad, para la adopción de las acciones preventivas o correctivas que oportunamente correspondan.

  • Actividades de prevención y monitoreo: La prevención implica desarrollar y mantener una actividad permanente de cautela e interés por anticipar, contrarrestar, mitigar y evitar errores, deficiencias, desviaciones y demás situaciones adversas para la organización.
  • Monitoreo oportuno del control interno: Las medidas establecidas se encontrarán sujetas a monitoreo oportuno con el fin de determinar su vigencia, consistencia y calidad, así como para formular modificaciones que se consideren pertinentes, orientadas a obtener una seguridad razonable respecto al logro de los objetivos previstos.
  • Seguimiento de Resultados: Debe incluir políticas y procedimientos que busquen asegurar que las oportunidades de mejora que sean resultado de las actividades de supervisión, así como las deficiencias u observaciones detectadas, sean adecuada y oportunamente resueltas.
  • Reporte de deficiencias: Las deficiencias encontradas deben ser registradas y comunicadas de manera oportuna, a través de reportes, con la finalidad de que se tomen acciones correctivas. Las debilidades y deficiencias detectadas como resultado del proceso de monitoreo deben ser registradas y puestas a disposición de los responsables con el fin de que tomen las acciones necesarias para su corrección.
  • Implantación y seguimiento de medidas correctivas: Se debe contar con un registro general de las recomendaciones y mejoras a efectuar, motivando a las diversas unidades orgánicas a mantener actualizados dichos registros, siendo éstos a su vez supervisados.
  • Compromiso de mejoramiento: Fomentar una cultura de mejora continua en relación con el control interno.
  • Autoevaluación: Procesos mediante los cuales la propia organización evalúa la efectividad de sus controles.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *