¿Cómo evaluar el control interno de una organización?
Por: CP Alexander Camargo M. CEO de C&G Auditores y Consultores Ltda. Colaborador de Auditool
Las Estructuras de la Empresa
Una de las principales herramientas con la que cuentan las empresas para el logro de sus objetivos, es el control interno “CI”. Anualmente, todas las empresas realizan una evaluación y corte de cuentas de su información financiera. Sin embargo, no todas realizan una evaluación de la manera como logra los objetivos financieros, de eficacia y de eficiencia de las operaciones, y de cumplimiento.
En situaciones normales o en ambientes cambiantes como el actual, es necesario que las empresas aseguren lo adecuado de su futuro evaluando la calidad del sistema de control interno, para lo que es apropiado contar con metodologías que permitan la medición del grado de madurez de éste sistema.
¿Qué es el control interno?
Para responder esta pregunta tomaremos la siguiente definición:
“El control interno es definido como un proceso integrado y dinámico llevado a cabo por la administración, la dirección y demás personal de una entidad, diseñado con el propósito de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos relacionados con las operaciones, la información y el cumplimiento”. (Marco Integral de Control Interno 2013, emitido por Commitee of Sponsoring Organizations of the Treadway Commision)
¿Cómo desarrollar la evaluación?
Para determinar el grado de madurez del sistema, es necesario:
- Obtener el apoyo de la alta dirección, mediante el entendimiento de sus responsabilidades en el funcionamiento adecuado del control interno.
- Identificar el marco de referencia sobre el cual se evaluará la entidad, así como los soportes en donde la entidad ha documentado su sistema de control interno (códigos, manuales, políticas, procedimientos, mapas de procesos y riesgos, etc.).
- Establecer el equipo de trabajo requerido para realizar las evaluaciones, preferiblemente un equipo multidisciplinario que cuente con conocimientos de auditoría de procesos y que sea independiente.
- Realizar el lanzamiento del proyecto.
- Realizar un cronograma de actividades que incluya los tiempos y recursos necesarios.
- Identificar y coordinar las personas que serán entrevistadas para así lleva a cabo el levantamiento de la información.
- Realizar las pruebas de recorrido, e identificar los riesgos significativos de los procesos y los controles claves.
- Desarrollar pruebas de diseño y eficacia operativa de los controles claves.
- Documentar y evaluar los indicadores de madurez y eficacia.
- Establecer las brechas del sistema con las mejores prácticas.
- Proyectar las acciones de mejora.
- Seguimiento a planes de acción y cierre del proyecto.
Escala de la Madurez del SCI
Nivel | Grado | Criterio |
No confiable | 1 | Las condiciones del elemento de control no están diseñadas o no han sido implementadas |
Informal | 2 | Las condiciones del elemento de control están diseñadas e implementadas. Sin embargo, no están documentadas y autorizadas adecuadamente |
Satisfactorio | 3 | Las condiciones del control están operando. De igual forma se encuentran adecuadamente diseñadas e implementadas. Existe evidencia de que están funcionando de acuerdo con su diseño |
Monitoreado | 4 | Los controles están estandarizados y periódicamente se evalúa la efectividad de su diseño e implementación y dichas evaluaciones son reportadas a la Junta Directiva. |
Optimizado | 5 | Control interno integrado con monitoreo de la gerencia y mejoramiento continuo |
Estas escalas de madurez se aplican en forma específica a cada uno de los elementos de control y sus principios, para evaluar que están presentes y funcionando. Este tipo de evaluaciones permite entonces la identificación de hallazgos que pueden ser:
- Oportunidades de mejora
- Deficiencias de control.
Las cuales pueden ser clasificadas a nivel de semáforos para facilitar la visualización de los asuntos principales de la siguiente manera:
Oportunidades de mejora
Corresponde a aquellos hallazgos que, no siendo una deficiencia, están relacionados con actividades de ajuste que buscan fortalecer los procesos y por tanto, conllevan acciones de adopción potestativa por parte de la Compañía.
Deficiencias de control
Las deficiencias, se presentan cuando el control que está evaluando el auditor interno, no está adecuadamente diseñado, no fue implementado o no opera de acuerdo como fue diseñado. Es decir, las deficiencias de control se refieren a la eficacia de éste.
Los factores críticos de éxito
Estos proyectos alcanzan sus mejores logros, cuando cuentan con los siguientes factores de éxito:
- Compromiso de la Alta Dirección.
- Acceso a los documentos que soportan el sistema de control interno.
- Disponibilidad de información oportuna y relevante.
- Comunicación permanente.
- Auditores independientes y especializados.
CP Alexander Camargo M
Contador Público, CFCS “Especialista Certificado en delitos financieros”, Especialista en Control Interno de la Universidad Militar Nueva Granada, con Maestría en Gestión Integral del Riesgo de la Universidad Externado de Colombia (Pendiente Tesis). Con más de 25 años de experiencia en procesos de aseguramiento y consulta en empresas de diferentes sectores de la economía, adquirida en firmas internacionales de auditoría, KPMG y CROWE. Actualmente CEO de C&G Auditores y Consultores Ltda.
Comentarios