Por: CP Felipe Alberto Pérez Hernández. Colaborador de Auditool
¿Qué es un Sistema de Control Interno?
Según COSO (Committee of Sponsoring Organizations of the Tradeway Commission) un sistema de control interno abarca las políticas, procesos, tareas, comportamientos y otros aspectos de una organización que, en conjunto:
- Facilita su operación eficaz y eficiente al permitirle responder adecuadamente a los riesgos comerciales, operativos, financieros, de cumplimiento y otros riesgos significativos para lograr los objetivos. Esto incluye salvaguardar los activos del uso inapropiado o de pérdidas y fraudes, así como garantizar que se identifiquen y gestionen los pasivos.
- Ayuda a garantizar la calidad de los informes internos y externos: esto requiere el mantenimiento de registros y procesos adecuados que generen un flujo de información oportuna, relevante y confiable desde dentro y fuera de la organización.
- Ayuda a garantizar el cumplimiento de las leyes y reglamentos aplicables, y también de las políticas internas con respecto a la conducción de los negocios.
Un sistema de control interno no se trata solo de políticas y procedimientos: es utilizado por personas y requiere el uso del juicio. Los cinco componentes y los diecisiete principios de un sistema de control interno basado en el marco de control interno de COSO se enumeran a continuación:
Ambiente de Control
1. La entidad demuestra un compromiso con la integridad y los valores éticos.
2. El órgano de vigilancia supervisa el sistema de control interno de la entidad.
3. La dirección establece una estructura organizativa, asigna responsabilidades y delega autoridad para lograr los objetivos de la entidad.
4. La gerencia demuestra un compromiso para reclutar, desarrollar y retener a personas competentes.
5. La gerencia evalúa el desempeño y responsabiliza a las personas por sus responsabilidades de control interno.
Evaluación de riesgos
6. La gerencia especifica los objetivos con suficiente claridad para permitir la identificación y evaluación del riesgo relacionado con los objetivos.
7. La gerencia identifica los riesgos para el logro de los objetivos en toda la entidad y analiza los riesgos como base para determinar cómo se debe responder a los riesgos.
8. La gerencia considera el potencial de fraude al evaluar los riesgos para el logro de los objetivos.
9. La administración identifica y evalúa los cambios que podrían impactar significativamente el sistema de control interno.
Actividades de control
10. La entidad selecciona y desarrolla actividades de control que contribuyen al logro de los objetivos y responden a los riesgos.
11. La entidad selecciona y desarrolla actividades de control general sobre la tecnología para apoyar el logro de los objetivos.
12. La entidad despliega actividades de control a través de políticas que establecen lo que se espera y procedimientos que ponen en acción las políticas.
Información y comunicación
13. La entidad obtiene, genera o utiliza información relevante y de calidad para apoyar el funcionamiento del control interno.
14. La entidad comunica internamente la información (que incluya objetivos y responsabilidades) necesaria para respaldar el funcionamiento del control interno.
15. La entidad se comunica con partes externas sobre asuntos que afectan el funcionamiento del control interno.
Supervisión
16. La entidad selecciona, desarrolla y realiza evaluaciones continuas o separadas para verificar si los componentes de control interno están presentes y en funcionamiento.
17. La entidad evalúa y comunica las deficiencias de control interno de manera oportuna a las partes responsables de tomar medidas correctivas, incluida la alta dirección o el directorio, según corresponda.
Es responsabilidad de la administración establecer y mantener un sistema adecuado de control interno y, en general, es función del comité de auditoría supervisar ese sistema de control interno.
Sistema adecuado de control interno
Un sistema apropiado de control interno es aquel que está diseñado para promover el logro de los objetivos y garantizar que los riesgos se mantengan dentro de los niveles de tolerancia de la organización, teniendo en cuenta las consideraciones de costo/beneficio. Es capaz de adaptarse a los cambios en las prioridades y el entorno operativo de la organización.
Los auditores internos pueden evaluar si un sistema de control interno es apropiado mapeando sus componentes contra el modelo COSO.
¿Cómo se evalúa la eficacia del sistema de control?
Un sistema de control interno es un proceso para ayudar a garantizar que una organización logre sus objetivos y, como cualquier proceso, requiere revisión para garantizar que siga siendo adecuado con su propósito.
La eficacia del sistema de control interno puede evaluarse a través de un seguimiento continuo o evaluaciones separadas. El ‘Modelo de las Tres Líneas’ del Instituto de Auditores Internos (IIA) se puede utilizar para definir estos roles. Veamos:
Al realizar evaluaciones separadas, los auditores internos pueden aprovechar el trabajo de la Línea 1 y la Línea 2. Los auditores internos solo deben confiar en otros proveedores de aseguramiento después de realizar una evaluación de su competencia, objetividad e independencia.
Para evaluar un sistema de control interno, se deben evaluar los cinco componentes y los 17 principios. Para que el sistema general sea efectivo, todos los principios y componentes deben ser efectivos y operar de manera integrada.
Para profundizar, operar de manera integrada se refiere a la determinación de que los cinco componentes respondan colectivamente a los riesgos asociados con un objetivo para garantizar que estos riesgos permanezcan dentro de la tolerancia, por lo tanto, los cinco componentes deben operar juntos.
Es importante señalar que estas evaluaciones son subjetivas e implican la aplicación del juicio profesional del auditor interno. Por lo tanto, los procesos de aseguramiento de la calidad de la auditoría interna son esenciales. Además, como explica COSO, si bien un sistema eficaz de control interno brinda seguridad en el logro de los objetivos, existen limitaciones inherentes. Pueden ocurrir fallas, incluso en un sistema eficaz.
Texto basado en https://www.iia.org.au/sf_docs/default-source/technical-resources/2018-whitepapers/iia-whitepaper_the-system-of-internal-control.pdf