-MARCO INTEGRADOCONTROL DE LOS RECURSOS Y LOS RIESGOS - ECUADOR(CORRE)

PROYECTO ANTICORRUPCIN

-MARCO INTEGRADOCONTROL DE LOS RECURSOS Y LOS RIESGOS - ECUADOR(CORRE) CONTENIDO I. ANTECEDENTES II. MARCO CONCEPTUAL III. COMPONENTES DEL CONTROL DE LOS RECURSOS Y LOS RIESGOS-ECUADOR- (CORRE) IV. AMBIENTE INTERNO DE CONTROL 1. Integridad y Valores ticos 2. Filosofa y Estilo de la Alta Direccin 3. Consejo de Administracin y Comits 4. Estructura Organizativa 5. Autoridad Asignada y Responsabilidad Asumida 6. Gestin del Capital Humano 7. Respondabilidad 1 y Transparencia V. ESTABLECIMIENTO DE OBJETIVOS 1. Objetivos Estratgicos 2. Objetivos Especficos 3. Relacin entre Objetivos y Componentes del CORRE 4. Consecucin de Objetivos 5. Riesgo Aceptado y Niveles de Tolerancia VI. IDENTIFICACIN DE EVENTOS 1. Factores Externos e Internos 2. Identificacin de Eventos 3. Categoras de Eventos VII. EVALUACIN DE LOS RIESGOS 1. Estimacin de Probabilidad e Impacto 2. Evaluacin de Riesgos 3. Riesgos Originados por los Cambios VIII. RESPUESTA A LOS RIESGOS 1. Categora de Respuestas 2. Decisin de Respuestas PAG 11 14 17 19

31

40

47

52

1. Neologismo que traduce la expresin Accountability que significa la obligacin de los funcionarios pblicos o privados de: responder, reportar, explicar o justificar ante una autoridad superior, por recursos recibidos y administrados y/o por los deberes y funciones asignados y aceptados. El uso de este trmino fue recomendado en las Conferencias Interamericanas de Contabilidad llevadas a cabo en AsuncinParaguay en 1989 y, en San Juan-Puerto Rico en 1999. En Amrica Latina con frecuencia se utiliza como sinnimo de Rendicin de Cuentas.
9

IX. ACTIVIDADES DE CONTROL 1. Integracin con las Decisiones sobre Riesgos 2. Principales Actividades de Control 3. Control sobre los Sistemas de Informacin X. INFORMACIN Y COMUNICACIN 1. Cultura de Informacin en todos los Niveles 2. Herramienta para la Supervisin 3. Sistemas Estratgicos e Integrados 4. Confiabilidad de la Informacin 5. Comunicacin Interna 6. Comunicacin Externa XI. SUPERVISIN Y MONITOREO 1. Supervisin Permanente 2. Evaluacin Interna 3. Evaluacin Externa

55

61

69

10

I.

ANTECEDENTES

Este trabajo tiene como referencia conceptual las siguientes tres investigaciones realizadas por organizaciones profesionales de Amrica, que tuvieron como objetivos principales: impulsar el uso racional de estrategias; promover la eficiencia en las operaciones; lograr los objetivos institucionales y empresariales; identificar y administrar los riesgos; cumplir con las normativas aplicables; y, contar con una herramienta apropiada para prevenir errores o irregularidades; stos son: (1) Informe del Committee of Sponsoring Organizations (COSO) (Comit de Organismos Patrocinadores); (2) Marco Integrado de Control Interno Latinoamericano (MICIL); y, (3) Gestin de Riesgos Corporativos-Marco Integrado (COSO II para fines de este trabajo). 1. Informe del Committee of Sponsoring Organizations (COSO). El informe elaborado por el COMMITTEE OF SPONSORING ORGANIZATIONS, (Informe de Organismos Patrocinadores) conocido como informe COSO, por sus siglas en ingls, fue publicado en los Estados Unidos en 1992. Este Comit surgi como una respuesta a las inquietudes que planteaban la diversidad de conceptos, definiciones e interpretaciones existentes en torno a la temtica referida al control interno y, como una herramienta para promover la responsabilidad, transparencia y la honestidad de la gestin de los administradores de los recursos pblicos y privados. Con este informe culmina una tarea realizada durante ms de cinco aos por el grupo de trabajo que la TREADWAY COMMISSION a cargo del COSO. El grupo estaba constituido por representantes de las siguientes organizaciones: American Accounting Association (AAA) American Institute of Certified Public Accountants (AICPA) Financial Executives Institute (FEI) Institute of Internal Auditors (IIA) Institute of Management Accountants (IMA) Otros organismos profesionales de los pases industrializados han definido su enfoque sobre el control interno, basados en los criterios definidos en el Informe COSO, como los siguientes: Criteria of Control (CoCo), del Instituto Canadiense de Contadores Certificados (CICA por las siglas del ingls); Comisin Cadbury del Instituto de Contadores del Reino Unido; Comisin King del Instituto de Contadores de Australia, entre los ms difundidos. 2. Marco Integrado de Control Interno Latinoamericano MICIL La Conferencia Interamericana de Contabilidad de San Juan, Puerto Rico en 1999 se recomend un marco latinoamericano de control interno similar al COSO en espaol en base de las realidades de la regin. Se nombr una comisin especial de representantes de la Asociacin Interamericana de Contabilidad (AIC) y la Federacin Latinoamericana de Auditores Internos (FLAI) para iniciar el desarrollo de tal marco.

11

El Marco Integrado de Control Interno para Latinoamrica (MICIL), que se emite en el ao 2004 es un modelo basado en estndares de control interno para las pequeas, medianas y grandes empresas desarrollado en el informe COSO. En la preparacin del MICIL, expertos de varias organizaciones profesionales trabajaron conjuntamente para promover mejores prcticas de respondabilidad1 y transparencia. Particular mencin merece la Federacin Latinoamericana de Auditores Internos (FLAI) y la Asociacin Interamericana de Contabilidad (AIC), a travs de su Comisin Interamericana de Auditora Interna. El Informe COSO y el MICIL recomiendan que el control interno, como un modelo integrado a la gestin de las organizaciones, sea considerado como una asignatura obligatoria para todas las profesiones de nivel universitario. Consider, adems, que esta condicin debe ser acogida por los organismos de profesionales y la sociedad civil, ya que parte importante del control interno se fundamenta en los valores y en un cdigo de conducta tica, para sensibilizar a las personas de su responsabilidad por el cumplimiento de los deberes, con la entidad, los usuarios de los servicios y la sociedad en general. 3. Gestin de Riesgos Corporativos-Marco Integrado (COSO II). Siempre con el afn de promover la adopcin de estrategias que permitan el logro de los objetivos institucionales y de todos los niveles de la organizacin en un ambiente de transparencia y honestidad, la COMMITTEE OF SPONSORING ORGANIZATIONS (COSO), con el apoyo de las agrupaciones profesionales citados en el punto uno de este captulo, en el ao 2004 emitieron un segundo Informe COSO, con el nombre de Gestin de Riesgos Empresariales-Marco Integrado que para fines de este estudio se denominar COSO II. Los aspectos ms relevantes de esta nueva propuesta tcnica frente al informe COSO y al MICIL, radica en los siguientes aspectos: a. Incorpora objetivos ESTRATGICOS como una nueva categora de objetivos institucionales, pero mantiene las tres restantes categoras de objetivos que contiene el informe COSO; esto es: OPERATIVOS; DE INFORMACIN; y, DE CUMPLIMIENTO. b. Incrementa a ocho el nmero de componentes mediante la incorporacin de los tres siguientes: ESTABLECIMIENTO DE OBJETIVOS; IDENTIFICACIN DE EVENTOS; y, RESPUESTA A LOS RIESGOS. c. Pone especial nfasis en el establecimiento de estrategias y en la administracin de los riesgos con la participacin permanente de todos los miembros de la organizacin, mediante el uso de herramientas que permitan evitarlos, disminuirlos, compartirlos o aceptarlos. En todo caso, la gestin de los riesgos debe permitir al menos: alinear el riesgo aceptado y las estrategias; mejorar las decisiones en respuesta a los riesgos; aprovechar las oportunidades: disminuir sorpresas y prdidas operativas; facilitar la adopcin de respuestas integrales a mltiples riesgos cuyos impactos se interrelacionan.

12

A continuacin se presenta una comparacin de los componentes del sistema de control y gestin de riesgos, segn COSO II, COSO y MICIL: COSO II Ambiente Interno COSO MICIL Entorno o Ambiente de Ambiente de Control y Control Trabajo Establecimiento de ObjetiNinguno Ninguno vos Identificacin de Eventos Ninguno Ninguno Evaluacin de Riesgos Respuesta a los Riesgos Actividades de Control Igual Evaluacin de Riesgos Actividades de Control Igual Evaluacin de Riesgos Actividades de Control

Informacin y Comunica- Informacin y Comunica- Informacin y Comunicacin cin cin Supervisin Supervisin Supervisin

El CORRE toma como base los tres informes enunciados; sin embargo, su presentacin se fundamente en COSO II, porque incluye a los dos anteriores COSO Y MICIL. Adems, procura que su adaptacin a la realidad ecuatoriana y la simplificacin de los contenidos, facilite su comprensin y aplicacin.

CO SO II

CO SO M ICIL

M ICIRE CO RRE M ICIL CO SO

CO SO II

13

II.

MARCO CONCEPTUAL

Con pequeas modificaciones al concepto general de COSO, al control interno se define como: Un proceso, efectuado por el consejo de administracin, la direccin y el resto de personal de una entidad, diseado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecucin de objetivos dentro de las siguientes categoras: Honestidad y respondabilidad, Eficacia y eficiencia en las operaciones, Fiabilidad de la informacin, Salvaguarda de los recursos; y, Cumplimiento de las leyes y normas.

A continuacin algunas reflexiones para facilitar la comprensin de la definicin: 1. El Control Interno como un Proceso El control interno es un proceso aplicado en la ejecucin de las operaciones de toda la organizacin, es una herramienta y un medio utilizado para apoyar la consecucin de los objetivos institucionales. 2. El Control interno ejecutado por personas El control interno es ejecutado por personas. La principal responsabilidad del diseo y aplicacin del control interno asumen las mximas autoridades. Su ejemplo impulsar el ambiente de control en todos los empleados que laboran en las organizaciones. Los auditores internos, como parte de la organizacin, son responsables de evaluar la calidad y cabal aplicacin de los controles internos establecidos que incluye la gestin de los riesgos corporativos. 3. Aportar un grado de seguridad razonable El control interno aporta seguridad razonable a la direccin superior de la organizacin, respecto del cumplimiento de los objetivos y la existencia de errores o irregularidades en las operaciones. No aporta seguridad total o absoluta. 4. Promover la honestidad y la respondabilidad El control interno diseado y aplicado adecuadamente es el mejor antdoto contra las irregularidades, el fraude y la corrupcin en sus diferentes manifestaciones, porque establece la obligacin de asumir conducta tica en todos los niveles de organizacin, como base para su funcionamiento. Adems, la respondabilidad se entiende como la obliga-

14

cin de los funcionarios pblicos o privados de: responder, reportar, explicar o justificar ante una autoridad superior, por recursos recibidos y administrados y/o por los deberes y funciones asignados y aceptados. 5. Facilitar la consecucin de los objetivos de la organizacin El control interno facilita la consecucin de los objetivos de la organizacin, con eficiencia, economa, tica, transparencia, proteccin de los recursos, fiabilidad de la informacin y, cumplimiento de las leyes y otras normativas. Para alcanzar sus objetivos estratgicos, la entidad establece estrategias y objetivos conexos que desea alcanzar, que fluyen en cascada hacia gerencias, departamentos, unidades operativas y procesos. 6. Aplicado en toda la Organizacin El control interno, debe ser adoptado de manera integral por toda la entidad. Esto requiere que quienes dirijan la organizacin en todos los niveles, tengan la autoridad necesaria para asumir sus responsabilidades de alcanzar los objetivos

15

EN RESUMEN:

El Control Interno se define como un proceso, efectuado por el consejo de administracin, la direccin y el resto de personal de una entidad, diseado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecucin de objetivos dentro de las siguientes categoras:

Honestidad y respondabilidad

Eficacia y eficiencia en las i

Fiabilidad de la informacin

Salvaguardar los

Recursos

Cumplimiento de las leyes y normas

16

III.

COMPONENTES DEL CONTROL DE LOS RECURSOS Y LOS RIESGOS-ECUADOR (CORRE).

Para el desarrollo del CORRE, tomamos la estructura del Informe COSO II y sus componentes, agrupados en el siguiente orden: 1. 2. 3. 4. 5. 6. 7. 8. Ambiente Interno de Control Establecimiento de Objetivos Identificacin de Eventos Evaluacin de Riesgos Respuesta a los Riesgos Actividades de Control Informacin y Comunicacin Supervisin y Monitoreo

Todos los componentes del CORRE, tienen como base el ambiente interno de control y, dentro de ste, la integridad y los valores ticos. Por su importancia, este elemento se presenta en la parte ms amplia de la pirmide, sobre la que se soportan todos los dems elementos. Se lograr eficiencia y eficacia en el CORRE, si los ocho componentes funcionan de manera integrada en toda la organizacin, bajo el liderazgo del consejo de administracin o de la mxima autoridad, como principal responsable de su diseo, aplicacin y actualizacin, en las instituciones pblicas y privadas.

17

Por sus caractersticas, el componente informacin y comunicacin, permite una amplia relacin entre la base y la cima de la pirmide, constituyndose en el elemento integrador del sistema. Los supervisores de todos los niveles de la organizacin, principalmente los ms altos, estn en condiciones de adoptar las decisiones, sobre la base de los resultados de las actividades de control establecidos para disminuir los riesgos en todas sus categoras. En los siguientes captulos se estudiar en detalle cada uno de los ocho componentes.

18

IV.

AMBIENTE INTERNO DE CONTROL

El ambiente interno de control (o entorno de control como lo denomina el informe COSO), se explica de la siguiente forma: El entorno de control marca las pautas de comportamiento de una organizacin y tiene una influencia directa en el nivel de compromiso del personal respecto al control. Constituye la base de todos los dems elementos del control interno, aportando disciplina y estructura. Entre los factores que constituyen el entorno de control se encuentran la honradez, los valores ticos y la capacidad del personal; la filosofa de la direccin y su forma de actuar; la manera en que la direccin distribuye la autoridad y la responsabilidad y organiza y desarrolla profesionalmente a sus empleados, as como la atencin y orientacin que proporciona el consejo de administracin.. La base del CORRE est en los valores, la conducta tica, la integridad y la competencia del personal. Este es un elemento que debe ser cuidado en forma permanente, dentro y fuera de la organizacin, principalmente con el ejemplo de las ms altas autoridades. No es suficiente la emisin de un cdigo de tica y los valores institucionales. Es indispensable que el personal de la entidad, los clientes y terceras personas relacionadas los conozcan y se identifiquen con ellos, para que se logren los objetivos basados en los principios antes sealados. Los valores ticos se complementan con la filosofa y el liderazgo, el establecimiento de objetivos, estrategias, polticas y procedimientos para las operaciones de la organizacin, con especial nfasis en el capital humano. El compromiso hacia el control por parte del consejo de administracin o la mxima autoridad de la organizacin, que algunos lo denominan como EL CLIMA EN LA CIMA para referirse al control y la gestin de los riesgos- es fundamental para un buen ambiente interno de control e influye de modo significativo en sus otros factores. Los siguientes factores integran el componente Ambiente Interno de Control, cuyo estudio detallado se realiza en este captulo:

1. 2. 3. 4. 5. 6. 7.

Integridad y Valores ticos Filosofa y Estilo de la Alta Direccin Consejo de Administracin y Comits Estructura Organizativa Autoridad Asignada y Responsabilidad Asumida Gestin del Capital Humano Respondabilidad y Transparencia.

19

AMBIENTE INTERNO DE CONTROL

1.

Integridad y Valores ticos a. Fundamentos

Los directivos de organizaciones exitosas aceptan cada vez ms la idea de que la tica es rentable y que una conducta ntegra es un buen negocio. La integridad de la direccin es un requisito para la conducta tica en todas las actividades de una organizacin, cualquiera sea su finalidad. Los mensajes trasmitidos por las acciones de la direccin se incorporan rpidamente a la cultura corporativa. Los valores de la direccin deben equilibrar los intereses de la organizacin, sus empleados, proveedores, clientes y competidores y del pblico en general. La reputacin de las instituciones pblicas y privadas es muy valiosa y las normas de comportamiento deben ir ms all del cumplimiento de las disposiciones legales. El pblico usuario de los servicios o el inversionista espera algo ms que la adhesin a las disposiciones legales y reglamentarias, requiere de evidencias claras sobre el acceso a la informacin oportuna e importante relacionada con sus principales actividades. La integridad y valores ticos son elementos esenciales del ambiente interno de control de una organizacin y afectan al diseo, administracin y seguimiento de los otros componentes del CORRE.

20

Los valores ticos no solo deben ser comunicados, sino tambin acompaados por una orientacin explcita de lo que est bien y mal. Los cdigos formales de conducta corporativa son importantes y sirven de base para un programa eficaz de tica, conflicto de inters, pagos ilegales o inadecuados y acuerdos contra la libre competencia. Los ejemplos recientes de Enron, Worldcom, Tyco, Vivendi, Xerox, Parmalat, entre otras, son evidencias claras de la ausencia de valores y el incumplimiento de los principios ticos por parte de la direccin superior de las organizaciones. En nuestro pas, esta situacin se evidenci en la crisis del sistema financiero de 1999, que sacudi todos los sectores, sin que se haya dado ejemplar castigo a los culpables, tanto del sector privado como pblico. Las personas pueden implicarse en actos deshonestos, ilegales o no ticos, simplemente porque la entidad y el entorno les proporcionan importantes incentivos o tentaciones para hacerlo. Un nfasis indebido sobre los resultados, particularmente a corto plazo y las ambiciones personales, pueden fomentar un ambiente interno de control inadecuado. Centrarse en los resultados sin responsabilidad social corporativa y, en los intereses personales, a menudo generan ilcitos y actos que perjudican a la sociedad en su conjunto. La existencia de un cdigo escrito de conducta, de documentacin donde conste que los empleados lo han recibido y entendido y un adecuado canal de comunicaciones no aseguran por s mismos que el cdigo se est cumpliendo. Para su cumplimiento es necesario que se contemplen sanciones resultantes para directivos y empleados que violen el cdigo, acompaado de los mecanismos que animen denunciar presuntas violaciones y las acciones disciplinarias contra quienes conscientemente no denuncien las infracciones. b. Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad con que se disearon y operan los elementos de este componente, se deben considerar como mnimo los siguientes puntos: La existencia e implantacin de cdigos de conducta u otras polticas relacionadas con las prcticas profesionales aceptables, incompatibilidades o pautas esperadas de comportamiento tico y moral. El grado de compromiso de la alta direccin para cumplir los cdigos de conducta, mediante el ejemplo y el liderazgo para su aplicacin. La difusin dada a los cdigos de conducta tanto interno como externo y, el uso en los procesos de induccin del personal. La incorporacin de los cdigos de conducta en los procesos y en las evaluaciones de desempeo. Las facilidades brindadas para que los funcionarios y empleados presenten denuncias sin temor a represalias. La forma en que se llevan a cabo las negociaciones con empleados, proveedores, clientes, inversores, acreedores, aseguradores, competidores, usuarios de los servicios y auditores (por ejemplo, si la direccin lleva a cabo sus actividades con un alto nivel tico e insiste que los dems hagan lo mismo, o presta poca atencin a los temas ticos).

21

La presin para alcanzar objetivos de rendimiento poco realistas, sobre todo en cuanto a los resultados a corto plazo y en qu medida la remuneracin est basada en la consecucin de dichos objetivos. 2. Filosofa y Estilo de la Alta Direccin a. Fundamentos

La filosofa y estilo de la alta direccin refleja los valores de la entidad, influye en su cultura y estilo operativo y afecta la aplicacin de todos los componentes del CORRE, incluyendo la identificacin de riesgos, los tipos de riesgos aceptados y cmo son gestionados. Los directivos de algunas unidades pueden estar preparados para asumir un mayor riesgo, mientras que otros pueden ser ms conservadores, de acuerdo con su filosofa y estilo de direccin. Una organizacin que ha logrado el xito a partir de asumir riesgos importantes, puede tener una perspectiva diferente sobre el CORRE, en comparacin a una administracin que haya pasado situaciones adversas. Dos ejemplos pueden explicar mejor este tema: asumir riesgos otorgando crditos con dbiles garantas o, registrando gastos recurrentes como activos diferidos para mantener condiciones financieras aceptables de operacin. La filosofa y estilo de la alta direccin se reflejan; entre otros, en los siguientes aspectos: la forma en que establece las polticas, objetivos, estrategias, su difusin y la responsabilidad de informar sobre su cumplimiento; el compromiso hacia el cumplimiento de leyes, normas y otras regulaciones aplicables; los niveles de riesgos que acepta; presentacin amplia de la informacin financiera y de gestin; la seleccin de alternativas en cuanto a la aplicacin de los Principios de Contabilidad Generalmente Aceptados o las Normas Internacionales de Informacin Financiera (NIIF); la prudencia utilizada en la determinacin de las estimaciones; y, la comunicacin amplia con el personal de la organizacin y con terceros relacionados. Esta filosofa se refleja en casi todo el quehacer de la direccin para gestionar la entidad. Lo crticamente importante es que desde ella se potencia la filosofa, no slo con palabras sino con acciones diarias. b. Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos: La naturaleza de los riesgos empresariales aceptados, por ejemplo, si participa la direccin a menudo en operaciones de alto riesgo o es extremadamente prudente a la hora de aceptar riesgos. La forma en que la alta direccin incentiva a su personal para el cumplimiento de las leyes y otras normativas. El cuidado que tiene la gerencia para cuidar la imagen institucional mediante el respeto a los contratos o acuerdos alcanzados.

22

La frecuencia con que se llevan a cabo los contactos entre la alta direccin y las direcciones operativas, sobre todo cuando estn ubicadas en zonas geogrficas diferentes. Las actitudes y actuaciones de la direccin respecto a la presentacin de informacin financiera, incluyendo las discusiones acerca de la aplicacin de los tratamientos contables (por ejemplo, eleccin de polticas contables prudentes o arriesgadas, si las polticas contables han sido incorrectamente aplicadas o se ha excluido informacin financiera importante, o si los registros han sido manipulados o falsificados). 3. Consejo de Administracin y Comits a. Fundamentos

El consejo de administracin (junta directiva, directorio u otras denominaciones) de una entidad es una parte crtica del mbito interno e influye de modo significativo en sus componentes. Su independencia frente a la direccin, la experiencia y reputacin de sus miembros, su grado de implicacin y supervisin de las actividades y la adecuacin de sus acciones, juegan un papel muy importante para el diseo y funcionamiento del CORRE de una organizacin. El alcance con que se plantean y persiguen, junto con la direccin, cuestiones difciles relativas a estrategias, planes y rendimientos y su interaccin o la del comit de auditora con los auditores internos y externos, es clave para un adecuado funcionamiento del CORRE. Dado que el consejo tiene que estar preparado para cuestionar y evaluar las actividades de la direccin, presentar enfoques alternativos y actuar frente a prctica ilcitas, contar con consejeros externos, es una prctica corporativa a considerarla en nuestro pas. La funcin de auditora interna ha tomado un papel relevante, con el apoyo del consejo directivo, del Comit de Auditora y la colaboracin de la direccin ejecutiva de la organizacin. El funcionamiento de los comits de adquisiciones, administracin del capital humano y tecnologas de informacin, apoyan el compromiso adquirido por el Consejo de Administracin frente a los controles y la gestin de riesgos. El Comit de Auditora es uno de los que ms se ha desarrollado en los ltimos tiempos, principalmente para cumplir con lo que dispone la Ley General de Instituciones del Sistema Financiero del Ecuador. Su eficacia debe ser evaluada a travs de la calidad del CORRE institucional, el adecuado funcionamiento de las unidades de auditora interna, la independencia y profesionalismo de los auditores externos, la confiabilidad de la informacin financiera, el grado de cumplimiento de los planes de trabajo de los auditores internos y externos, el cumplimiento de las observaciones y recomendaciones formuladas y, la gestin de los riesgos por parte de la administracin superior. Los Comits de Auditora han sido integrados de diferente forma en las organizaciones. Sin embargo, la independencia y profesionalismo, es el factor comn que debe ser aplicado a todas. Es conveniente que el Comit de Auditora est integrado por miembros del directorio, junta directiva o cuerpo colegiado del ms alto nivel dentro de la organizacin, que no asuman funciones administrativas, operativas o de negocio. Esto protege la independencia y posibles conflictos de intereses. A estos miembros internos de la or-

23

ganizacin se debe integrar a miembros externos, con altas calificaciones profesionales en finanzas, auditora y con probada capacidad de anlisis. Los auditores internos y, eventualmente los auditores externos, pueden integrarse al Comit, con voz pero sin voto. Su participacin puede limitarse a asesorar en algunos aspectos especficos. Frente a este criterio, existen pronunciamientos en el sentido de que el Comit de Auditora est integrado, totalmente, por miembros externos de la organizacin. En todo caso, los factores que ms importan son: la independencia y la posibilidad de tener acceso directo a la mxima autoridad de la organizacin. El Comit de Auditora es el nexo profesional en materia de control entre auditores internos y externos y el directorio. De esta manera se asegura un tratamiento equitativo de los resultados de las auditoras y la posibilidad de tener el respaldo apropiado y el cumplimiento de observaciones y recomendaciones formuladas. Con este mecanismo la posibilidad de fortalecer los controles internos, la gestin de los riesgos corporativos, los valores instituciones y de alcanzar objetivos y metas, se ampla de manera considerable. b. Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos: La independencia de los miembros de los que integran el Consejo de Administracin y de los comits. La reputacin, mritos profesionales de los miembros del Consejo de Administracin y los comits. La atencin que brindan las autoridades a novedades importantes y a los informes de posibles violaciones a los cdigos de conducta. La frecuencia y oportunidad de las reuniones con el director financiero y/o contable, auditores internos y externos. La suficiencia y oportunidad en que se facilita informacin a los miembros del consejo o comit de auditora que permita supervisar los objetivos y las estrategias, la situacin financiera, as como los resultados alcanzados por la entidad. La suficiencia y oportunidad con que se comunica al Consejo o Comit de Auditora la informacin confidencial, los datos sobre investigaciones realizadas y las actuaciones incorrectas (por ejemplo, gastos de viaje de altos directivos, litigios significativos, investigaciones por parte de las autoridades competentes, desfalcos, uso indebido de fondos o uso incorrecto de los activos de la sociedad, abusos de informacin privilegiada, pagos a polticos, pagos ilegales, etc.). 4. Estructura Organizativa a. Fundamentos

La adecuacin de la estructura organizativa de una institucin en gran medida depende de la naturaleza de sus actividades, el tamao de sus operaciones y su independencia. La estructura organizativa de una entidad proporciona el marco para planificar, ejecutar, controlar y supervisar sus actividades. Una estructura organizativa incluye la definicin

24

de reas claves de autoridad y responsabilidad y el establecimiento de lneas adecuadas de informacin y comunicacin para facilitar la coordinacin. Sobre la base de la estructura orgnica se deben establecer los manuales de funciones y de procesos para darle operatividad. Cada gerencia, divisin o unidad debe tener finalidades, objetivos, funciones, niveles a los que reporta y de quien recibe informacin. Para asegurar la calidad de los productos o servicios, se debe contar con el diseo de los procesos que deben incorporar los controles necesarios para disminuir los riesgos en trminos razonables. Con base en los procesos se realizarn los controles de calidad de acuerdo con los estndares seleccionados. Una entidad desarrolla una estructura organizativa ajustada a sus necesidades. Algunas son centralizadas y otras descentralizadas. Unas presentan relaciones directas de dependencia, mientras que otras tienen una organizacin de tipo matricial. Ciertas entidades estn organizadas por sector de actividad o lnea de producto, por ubicacin geogrfica, por un modo concreto de distribucin o por una determinada red comercial. Otras entidades, incluyendo muchos organismos gubernamentales, estatales o locales, y entidades sin fines de lucro, estn organizadas por funciones. La actualizacin de las estructuras, funciones y procesos es responsabilidad de quienes dirigen los diferentes niveles de la organizacin con el apoyo interno o externo que sea necesario a fin de que respondan a las exigencias presentes de la institucin. b. Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos: La existencia e idoneidad de la estructura orgnica y funcional. La existencia de manuales de procesos para actividades sustantivas y adjetivas. El grado de actualizacin de los documentos citados y las facilidades de acceso. La idoneidad de la estructura organizativa de la entidad para proporcionar el flujo de informacin necesario para gestionar sus actividades. La claridad con la que se identifican los niveles de autoridad y responsabilidad. La facilidad que brindan para la coordinacin institucional y la supervisin que se debe ejercer. El grado de comunicacin y divulgacin interna y externa por los medios disponibles. 5. Autoridad Asignada y Responsabilidad Asumida a. Fundamentos

La responsabilidad que asume un funcionario o empleado de la organizacin siempre estar relacionada con la autoridad asignada. A mayor grado de autoridad mayor ser el grado de responsabilidad de los funcionarios y empleados.

25

La alineacin de la autoridad y la responsabilidad a menudo se efecta para animar las iniciativas individuales dentro de lmites. La delegacin de autoridad significa traspasar el control central de algunas decisiones hacia niveles inferiores, es decir, a los individuos que estn ms cerca de las transacciones empresariales cotidianas. Un reto crtico ser delegar la autoridad slo en la cuanta requerida para alcanzar objetivos, lo que implica asegurar que la toma de decisiones se basa en prcticas slidas de control que respondan de manera eficaz a los riesgos aceptados. La asignacin de mayor responsabilidad puede fomentar la creatividad, la toma de iniciativas y la reduccin de los tiempos de respuesta, dando como resultado la competitividad y la satisfaccin del cliente, usuarios y otros terceros vinculados. Tambin exige procedimientos efectivos para que la direccin controle los resultados. b. Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos: La asignacin de responsabilidad y delegacin de autoridad para hacer frente a los objetivos, funciones operativas y requisitos reguladores, incluyendo la responsabilidad en cuanto a los sistemas de informacin y la autorizacin de cambios. La suficiencia de las normas y procedimientos relacionados con el control, incluyendo las descripciones de puestos de trabajo. El adecuado nmero de personas, sobre todo en relacin con las funciones de procesamiento de datos y contabilidad, respecto al nivel necesario, teniendo en cuenta el tamao de la entidad as como la naturaleza y complejidad de sus actividades y sistemas. 6. Gestin del Capital Humano a. Fundamentos

El recurso ms importante en cualquier organizacin pblica o privada, es el personal que la conforma. El ambiente de control estar totalmente fortalecido si la organizacin administra de manera eficiente y eficaz este recurso. El proceso tcnico definido para la administracin del recurso humano parte de la integridad, el comportamiento tico y la competencia profesional, aspectos a ser demostrados con relacin a las funciones que deben ejecutar y los productos a generar. La definicin de normas de operacin y su aplicacin en la administracin del recurso humano estn relacionadas de manera primaria con las acciones de clasificacin, valoracin, reclutamiento, seleccin, contratacin, formacin, evaluacin, remuneracin y estmulos del personal. En la definicin del perfil profesional para desempear las posiciones funcionales de una organizacin, se debe considerar la naturaleza y el grado de juicio profesional aplicables

26

a un trabajo especfico. Adems, se debe buscar el equilibrio entre la capacidad exigida al profesional y el nivel de supervisin a ser aplicado. Los traslados y promociones originados por evaluaciones objetivas peridicas demuestran el compromiso de la organizacin en el progreso del personal calificado. El funcionamiento de un Comit de Recursos Humanos es importante para promover el manejo justo y equitativo de las contrataciones y los resultados del desempeo. En este mismo sentido, las sanciones disciplinarias transmiten el mensaje de que no sern toleradas las violaciones de la conducta esperada. Es esencial que los empleados estn preparados para enfrentarse a nuevos retos a medida que los temas y riesgos cambian en la entidad y se hacen ms complejos. No es suficiente la contratacin de personas competentes a las que se les proporciona solo formacin en el momento inicial. El proceso formativo debe ser continuo, las polticas de formacin pueden potenciar los niveles esperados de rendimiento y conducta mediante la comunicacin de los papeles y responsabilidades futuras. La competencia profesional y la evaluacin del desempeo individual de los funcionarios y empleados de la organizacin contribuyen ampliamente para que el ambiente de control se constituya en una garanta de mayor grado para la obtencin de los objetivos de la organizacin. b. Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos: La existencia de un sistema de gestin del recurso humano. La existencia de descripciones de puestos de trabajos formales u otras formas de definir las tareas que componen trabajos especficos. El anlisis de los conocimientos, la experiencia y las habilidades necesarias para llevar a cabo el trabajo adecuadamente. La medida en que estn actualizadas y son aplicadas las polticas y procedimientos adecuados para la contratacin, formacin, promocin y remuneracin de los empleados. La suficiencia de las acciones disciplinarias tomadas como respuesta a las desviaciones de las polticas y procedimientos aprobados. La existencia del comit de recursos humanos y la forma en que opera. La idoneidad de la revisin de los expedientes de los candidatos a puestos de trabajo, sobre todo en relacin con acciones o actividades no admitidas en el seno de la entidad. La idoneidad de los criterios para retener y promocionar a los empleados y de las tcnicas de obtencin de datos sobre el personal (por ejemplo, las evaluaciones del rendimiento) y su relacin con el cdigo de conducta y otras pautas de comportamiento. El grado de difusin y comunicacin de las polticas, sistemas, procedimientos para la gestin del capital humano.

27

7.

Respondabilidad y Transparencia a. Fundamentos

Respondabilidad significa la obligacin de los funcionarios pblicos o privados de: responder, reportar, explicar o justificar ante una autoridad superior, por recursos recibidos y administrados y/o por los deberes y funciones asignados y aceptadas. Para fines de este estudio se utiliz respondabilidad para mantener el alcance original de su significado, que supera la tradicional rendicin de cuantas entendida como la responsabilidad de informar lo que se ha realizado. La respondabilidad es un proceso continuo y no un resultado en s mismo. Se logra a travs del proceso administrativo: con la planificacin participativa que establece objetivos generales y especficos, con los indicadores de rendimientos o de gestin y los medios de verificacin. Contina con la asignacin de recursos y el establecimiento de autoridad y responsabilidad para cada uno de los niveles de la organizacin. Para la ejecucin de los planes y proyectos se disean y ponen en prctica polticas, sistemas y procedimientos que procesan las operaciones administrativas, financieras y operativas para generar informacin interna y externa con la desagregacin que corresponda, para ser comunicado con oportunidad y transparencia. En todos estos procesos est inmerso el CORRE que ser objeto de evaluaciones y revisiones internas y externas. Uno de los medios para cumplir con la respondabilidad es presentar informes peridicos dirigidos a la autoridad que tenga la facultad de recibir esa informacin y de tomar decisiones. Esos informes deben comparar la relacin que existe entre lo planificado y lo ejecutado; la explicacin de variaciones significativas con el sealamiento de las causas de responsabilidades por errores o irregularidades. En el sector pblico, el principal destinatario del proceso de respondabilidad es la ciudadana por su condicin de principal accionista de la empresa llamada Estado. La ciudadana tiene derecho a estar informada de la forma en que sus mandatarios han cumplido con la autoridad otorgada y la responsabilidad asumida. En este sentido, todo servidor pblico, empezando por las ms altas autoridades, estn obligados a responder, reportar, explicar o justificar su gestin. Para transparentar su gestin, deben cumplir con las leyes y otras regulaciones que establecen la calidad, cantidad y periodicidad de informacin que deben poner en conocimiento de sus mandantes y otros usuarios internos y externos. Para su cabal aplicacin, el control de la ciudadana organizada y con representacin suficiente, es fundamental y complementa la que deben ejecutar organismos pblicos encargados de vigilar que haya respondabilidad en todos los niveles. La respondabilidad aplica a todos los sectores y todo tipo de organizacin, sin importar su complejidad y volumen de recursos que administra. Lo que puede variar es la tecnologa utilizada y los niveles en los que se aplica. En el sector privado la respondabilidad se aplica por parte del consejo de administracin para con los accionistas; la direccin o gerencia para con el consejo de administracin y, desde todos los niveles inferiores, hacia la direccin. Las empresas, por su parte, debern informar a instituciones pblicas reguladoras o de control sobre los asuntos que les corresponda.

28

La auditora interna y externa constituye otro elemento de la respondabilidad de la organizacin, para evaluar la calidad del CORRE establecido y la eficiencia y eficacia de la gestin de los administradores. La siguiente informacin debe estar disponible para los niveles de la organizacin que corresponda: Informar sobre el cumplimiento de objetivos as como la explicacin de variaciones entre lo planificado y ejecutado y la responsabilidad que cada nivel de la organizacin asume. Los estados y otros informes financieros publicados deben ser comparativos con los de igual perodo y con criterio, como los presupuestos. Las notas aclaratorias a los estados financieros son obligatorias y deben incluir la informacin mnima establecida en las Normas Internacionales de Informacin Financiera, (NIIF). El dictamen de los auditores externos respecto a la presentacin de los estados financieros y sobre el funcionamiento del CORRE en una institucin. Los informes de auditora interna y del Comit de Auditora, por cada revisin o un resumen consolidado de stos. El informe de gestin sobre los resultados operativos, emitidos por la direccin para conocimiento del consejo de administracin. En el sector pblico, la mxima autoridad debe propiciar que todos los niveles de la organizacin pongan a disposicin de la ciudadana y otros usuarios internos y externos, la informacin que manda la Ley Orgnica de Transparencia y Acceso a la Informacin Pblica.

b.

Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos: La cultura institucional dirigida a la respondabilidad. Establecimiento de objetivos con indicadores de rendimiento y medios de verificacin objetiva. Establecimiento de polticas de respondabilidad en todos los niveles de la organizacin y verificacin permanente de su cumplimiento. Incluir en todos los procesos mecanismos de respondabilidad. La produccin de informes comparativos entre lo planificado y lo ejecutado. La disposicin de alta direccin y de otros niveles de la organizacin, para analizar las variaciones y otras novedades relativas al cumplimiento de los objetivos y la aplicacin del CORRE establecido.

29

Facilidades de acceso a la informacin y estilo de comunicacin. La calidad y periodicidad de las revisiones internas y externas a los informes financieros y de gestin.

30

V.

ESTABLECIMIENTO DE OBJETIVOS

Los objetivos deben establecerse antes que la direccin pueda identificar potenciales eventos que afecten a su consecucin. El consejo de administracin debe asegurarse que la direccin ha establecido un proceso para fijar objetivos y que los objetivos seleccionados estn en lnea con la misin/visin de la entidad, adems de ser consecuentes con el riesgo aceptado. Es a partir de los objetivos que se facilita la gestin de los riesgos empresariales mediante la identificacin de los eventos externos e internos; la evaluacin de los riesgos; la respuesta a los riesgos; y, el diseo de actividades de control.
ESTABLECIMIENTO DE OBJETIVOS

IDENTIFICACIN DE EVENTOS

EVALUACIN DE RIESGOS

RESPUESTA A LOS RIESGOS

ACTIVIDADES DE CONTROL

Los siguientes factores integran este componente:

1. 2. 3. 4. 5.

Objetivos Estratgicos Objetivos Especficos Relacin entre Objetivos y Componentes del CORRE Consecucin de Objetivos Riesgo Aceptado y Niveles de Tolerancia

31

ESTABLECIMIENTO DE OBJETIVOS

1.

Objetivos Estratgicos a. Fundamentos

La misin de una entidad establece en amplios trminos su razn de ser y lo que se aspira alcanzar. En el sector pblico y en organizaciones sin fines de lucro, la finalidad o la misin generalmente constan en la norma de su creacin. Sea cual sea el trmino empleado, como misin, o finalidad, es importante que la direccin con la supervisin del consejo de administracin establezca expresamente la razn de ser de la entidad en trminos generales. A partir de esto, la direccin fija los objetivos estratgicos, formula las estrategias y establece los correspondientes objetivos operativos, de informacin y de cumplimiento para la organizacin. Aunque la misin de una entidad y sus objetivos estratgicos sean generalmente estables, su estrategia y muchos objetivos relacionados con ella son ms dinmicos y se adecuan a las cambiantes condiciones internas y externas. Los objetivos estratgicos son de alto nivel, estn alineados con la misin de la entidad y le dan su apoyo. Reflejan la opcin que ha elegido la direccin en cuanto a cmo la entidad crear valor para sus grupos de inters. En la actualidad, la elaboracin de planes estratgicos es muy utilizado por las organizaciones para establecer la misin, visin, objetivos, estrategias, valores y otros elementos.
32

Tambin se utilizan herramientas administrativas como el marco lgico para elaborar proyectos con indicadores de gestin, los medios de verificacin objetiva y los supuestos establecidos. Cualquiera sea la metodologa utilizada, es indispensable que la direccin establezca los objetivos estratgicos respecto de los que asume la responsabilidad de gestionar su cumplimiento evitando los riesgos correspondientes. b. Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos: Existencia formal de la misin o finalidad aprobada por el consejo de administracin. Hasta qu punto los objetivos de los organismos e instituciones expresan clara y completamente lo que la entidad desea conseguir y la forma en que prev conseguir teniendo en cuenta sus particularidades. Grado de vinculacin de los diferentes niveles de la organizacin en el establecimiento de objetivos estratgicos y de las estrategias. La eficacia con que los objetivos de los organismos e instituciones se comunican a sus miembros. Establecimiento de la viabilidad de cumplimiento de los objetivos. Fijacin de tiempos, responsables, indicadores de rendimiento, supuestos o eventualidades, recursos, informes o reportes. 2. Objetivos Especficos a. Fundamentos

Al enfocar primero los objetivos estratgicos y la estrategia, una entidad est en posicin de establecer objetivos de menor jerarqua vinculados con las operaciones y actividades, cuya consecucin crear y conservar valor para las partes relacionadas. Los objetivos estratgicos de la empresa estn vinculados y se integran con otros objetivos ms especficos, que repercuten en cascada en la organizacin hasta llegar a las diversas actividades. Al fijar los objetivos para los distintos niveles y actividades de la entidad, la organizacin puede identificar factores crticos de xito. Estos factores crticos de xito afectan a la entidad, a cada unidad, funcin o departamento y a sus integrantes. Estos factores crticos de xito se representan en indicadores de gestin o estndares para medir el rendimiento. Los objetivos deben ser fcilmente entendibles y medibles. Deben fijar como mnimo: tiempo/perodo, responsables, recursos, productos, factores crticos de xito, formas de medicin, informes, impactos, entre otros. La gestin de riesgos corporativos exige que el personal en todos los niveles alcance suficiente entendimiento de los objetivos de la entidad. Todas las personas, en los diferentes niveles de la organizacin, deben tener una comprensin mutua de lo que se ha de lograr y de los medios para medir lo que se consiga.

33

Segn el estudio COSO II, a pesar de existir diversidad de objetivos entre entidades, se pueden establecer algunas categoras amplias como las siguientes: Objetivos operativos Representan la eficacia y eficiencia de las operaciones de la entidad, incluyendo los objetivos de rendimiento y rentabilidad y de salvaguardia de recursos frente a prdidas o usos indebidos. Los objetivos operativos deben reflejar los entornos empresarial o institucional, sectorial y econmico en los que acta la entidad. Objetivos de informacin Relativos a la fiabilidad de la informacin. Incluyen informacin interna y externa, tanto financiera como no financiera. La informacin tambin est relacionada con los documentos preparados para su difusin externa, como es el caso de los estados financieros y sus notas de detalle, los comentarios y anlisis de la direccin y los informes presentados a entidades reguladoras. Objetivos de cumplimiento Se refieren al cumplimiento de leyes y normas. Ciertos objetivos dependen del tipo de actividad de la entidad. El historial de cumplimientos de una entidad puede afectar de modo significativo positiva o negativamente - a su reputacin en la comunidad y su entorno. Resulta til desagregar estas categoras de objetivos, para facilitar la comunicacin interna y externa sobre temas ms especficos. b. Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos: Conexin de los objetivos especficos con los objetivos y planes estratgicos de la entidad. Coherencia entre los objetivos especficos para facilitar la coordinacin y evitar duplicacin de esfuerzos y uso de recursos. Relacin de los procesos con los objetivos. Cantidad y calidad de los recursos en relacin con los objetivos. Identificacin de factores crticos de xito, indicadores de gestin, medios de verificacin objetiva, impactos. Participacin en la determinacin de objetivos de los empleados que ocupan puestos de responsabilidad a todos los niveles, y grado de compromiso con la consecucin de los mismos.

34

Mtodos utilizados para informar los objetivos a los miembros de la organizacin. 3. Relacin entre objetivos y componentes del CORRE a. Fundamentos

Se destaca que el logro de los objetivos estratgicos y operativos, pueden estar sujeto a acontecimientos externos no siempre bajo control de la organizacin, lo que obliga a establecer mecanismos para que la direccin y el consejo de administracin en su papel de supervisin, estn siendo informados oportunamente sobre estos eventos. Existe una relacin directa entre los objetivos que la entidad desea lograr y los componentes del CORRE, que facilitan su logro. La relacin se representa en la siguiente matriz tridimensional, en forma de cubo. Las cuatro categoras de objetivos: estratgico o de estrategia, operaciones, informacin y cumplimiento estn representadas por columnas verticales; los ocho componentes estn por filas horizontales; y, las unidades de la entidad, en la tercera dimensin del cubo, donde se destaca que los componentes deben ser considerados de manera integral en toda la organizacin para alcanzar los objetivos. Este grfico refleja la capacidad de centrarse sobre la totalidad de una entidad o bien por categora de objetivos, componente, unidad o cualquier subconjunto deseado, sin perder de vista la totalidad de la organizacin.

35

b.

Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos: La visin integral que tenga la entidad sobre los objetivos estratgicos, de operacin, de informacin y de cumplimiento con los componentes del CORRE, en todos los niveles de la organizacin. Compromiso de la alta direccin y de todos los niveles de la organizacin para alcanzar los objetivos cumpliendo los controles y la gestin de los riesgos. Grado de conocimiento de todos los niveles de la organizacin de los elementos del CORRE establecidos y de los objetivos que se espera alcanzar. Relacin de los objetivos y componentes con la estructura orgnica de la entidad. 4. Consecucin de Objetivos a. Fundamentos

36

El Consejo de Administracin y todos los niveles de la organizacin, asumen la responsabilidad de alcanzar los objetivos con eficiencia y honestidad. El CORRE proporciona una seguridad razonable de que la direccin y el consejo, en su papel de supervisin, estn informados oportunamente del progreso de la entidad en su camino hacia el logro de dichos objetivos. En su orden, quienes dirigen las unidades operativas o productivas as como de apoyo, deben estar seguros de que se estn cumpliendo las polticas, las tcnicas y los procesos establecidos con eficiencia, tica y diligencia para alcanzar los objetivos especficos. Actuando as, todos los miembros de la organizacin apuntan hacia el cumplimiento de los objetivos dentro de sus especficas competencias. La supervisin oportuna y proactiva crea las condiciones necesarias para que se produzca informacin confiable como resultado de cada uno de los procesos. En todos los niveles de la organizacin debe existir el compromiso de cumplir con las normas establecidas. Para asegurarse de su cumplimiento, nuevamente la supervisin oportuna y de calidad, es de importancia. A diferencia de los objetivos estratgicos y de operacin que estn expuestos a eventos externos, los de informacin y cumplimiento tienen un entorno altamente interno. Por esa razn dependen del compromiso del consejo de administracin y de todos los miembros de la organizacin para que se cumplan los objetivos de esta categora. Por la misma razn anotada, los objetivos estratgicos y de operacin requieren atencin de los acontecimientos externos para actuar con oportunidad frente a los eventos que puedan afectar su cumplimiento. Se destaca que el logro de este tipo de objetivos es ms complejo porque la gestin de sus riesgos no depende de la actitud de los miembros de la organizacin sino de una serie de factores sobre los que no se tiene control, razn por la que es necesario una amplia vinculacin de la alta direccin para poder tener acceso a la informacin en forma oportuna y permanente.

b.

Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos: La calidad de la informacin sobre eventos externos relacionados con los objetivos, principalmente los estratgicos y de operacin. Disposicin de la alta direccin para conocer y analizar los informes de cumplimiento de objetivos. Calidad de la supervisin en todos los niveles. Incorporacin de controles en los procesos que aseguren el cumplimiento de las normas establecidas. Conocimiento y actualizacin de las polticas, normas y procedimiento por parte de los todos los miembros de la organizacin. Idoneidad de los indicadores de rendimiento. Informes de cumplimiento de indicadores y estndares.

37

Apoyo de la alta direccin a los informes de auditores internos, principalmente en lo relativo a deficiencias y recomendaciones.

5.

Riesgo Aceptado y Niveles de Tolerancia a. Fundamentos

Segn COSO II, El riesgo aceptado es el volumen de riesgo, a un nivel amplio, que una entidad est dispuesta a aceptar en su bsqueda de valor. Refleja la filosofa de gestin de riesgo de la entidad e impacta a su vez en su cultura. Es conveniente destacar que el riesgo aceptado puede ser establecido de manera altamente subjetiva o con un mayor grado de precisin, dependiendo del grado de tecnologa que se utilice. En todo caso, siempre depender del criterio y del estilo de gestin de la direccin. El riesgo aceptado se debe tener en cuenta al fijar la estrategia, pues el rendimiento deseado de la estrategia deber estar alineado con el riesgo aceptado de la entidad. Las entidades pueden considerar el riesgo aceptado de un modo cualitativo, usando categoras como alto, moderado o bajo, o bien optar por un enfoque cuantitativo, que refleje los objetivos de crecimiento y rendimiento y los equilibre con los riesgos. El riesgo aceptado conocido tambin como apetencia de riesgo, establecido por la direccin bajo control del consejo de administracin, es una orientacin para establecer los objetivos. Algunas entidades, como las organizaciones sin fines de lucro, expresan su riesgo aceptado como el nivel de riesgo que aceptaran a cambio de crear valor para sus grupos de inters. Existe una relacin entre el riesgo aceptado de una entidad y su estrategia. Si la estrategia no est alineada con el riesgo aceptado por la entidad, se revisa la estrategia, lo que puede ocurrir cuando la direccin formula inicialmente una estrategia que exceda el nivel de riesgo aceptado. La direccin busca alinear la organizacin, el personal, los procesos y la infraestructura para facilitar la implantacin de la estrategia con xito y capacitar a la entidad a mantenerse dentro de los lmites de su riesgo aceptado. Las tolerancias al riesgo son los niveles aceptables de desviacin relativa a la consecucin de objetivos. Las medidas de rendimiento ayudan a asegurar que los resultados reales se ajusten a los niveles establecidos de tolerancia al riesgo. Por ejemplo, una empresa fija un objetivo del 98% de puntualidad para sus entregas, con un riesgo aceptable de error entre el 1% y el 3%; y espera que el personal responda a todos los reclamos de los clientes en un plazo de 24 horas, pero acepta que hasta un 25% de ellos se atiendan entre 24 y 26 horas.

38

b.

Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos: Estilo de la direccin para la fijacin del riesgo aceptado para de los objetivos establecidos. Inters de la alta direccin para apoyar la necesidad de determinar el nivel de riesgo aceptable y su tolerancia. Grado de comprensin de lo que implica la responsabilidad de aceptar niveles de riesgo y su correspondiente tolerancia. Evidencia de las acciones realizadas por la organizacin para determinar los niveles de aceptacin de riesgo y su tolerancia relacionada. Supervisin y evaluaciones internas para medir la razonabilidad de los niveles de riesgo aceptado as como su tolerancia, con base en los resultados obtenidos. Calidad de los sistemas de informacin para medir la forma en que se alcanzan los estndares y su relacin con el cumplimiento de los objetivos institucionales. Atencin de los niveles directivos a los cambios ocurridos entre el riesgo aceptado y los resultados.

39

VI.

IDENTIFICACIN DE EVENTOS

Antes de profundizar en el estudio sobre la gestin de los riesgos, en necesario citar la siguiente definicin tomado del informe de COSO II: La gestin de riesgos corporativos es un proceso efectuado por el consejo de administracin de una entidad, su direccin y personal restante, aplicable a la definicin de estrategias en toda la empresa y diseado para identificar eventos potenciales que puedan afectar a la organizacin, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos. Esta definicin recoge los siguientes conceptos bsicos de la gestin de riesgos corporativos: Es un proceso continuo que fluye por toda la entidad. Es realizado por su personal en todos los niveles de la organizacin. Se aplica en el establecimiento de la estrategia. Se aplica en toda la entidad, en cada nivel y unidad, e incluye adoptar una perspectiva del riesgo a nivel conjunto de la entidad. Est diseado para identificar acontecimientos potenciales que, de ocurrir, afectaran a la entidad y para gestionar los riesgos dentro del nivel de riesgo aceptado. Es capaz de proporcionar una seguridad razonable al consejo de administracin y a la direccin de una entidad. Est orientada al logro de objetivos. Se entiende por riesgo a la posibilidad de que un evento ocurra y afecte adversamente el cumplimiento de los objetivos. Los riesgos tambin siempre se clasifican de alguna manera; en general, en cuatro grandes tipos: el riesgo de reputacin, el riesgo de mercado, el riesgo de crdito y el riesgo operacional con sus divisiones. Al identificar eventos, la direccin reconoce que existen incertidumbres, por lo que no sabe si alguno en particular tendr lugar y, de tenerlo, cundo ser, ni su impacto exacto. La direccin considera inicialmente una gama de eventos potenciales, derivados de fuentes internas o externas, sin tener que centrarse necesariamente sobre si su impacto es positivo o negativo. Los eventos abarcan desde lo evidente a lo desconocido y sus efectos, desde lo que no trae mayores consecuencias a lo muy significativo. Este componente ser tratado con los siguientes elementos:

1. Factores Externos e Internos 2. Identificacin de Eventos 3. Categoras de Eventos

40

IDENTIFICACIN DE EVENTOS

1.

Factores Externos e Internos a. Fundamentos

Son muchos los factores externos e internos que provocan eventos que afectan a la implantacin de la estrategia y la consecucin de objetivos. Por esa razn, la direccin reconoce la importancia de entender dichos factores y el tipo de evento que puede derivarse de ellos. Segn COSO II, los factores externos ms importantes, son los siguientes: Econmicos Eventos tales como los cambios de precios, la disponibilidad de capital que generan mayores o menores costos de capital, nuevos competidores. Medioambientales

41

Incluyen las inundaciones, sequas, incendios y terremotos, que provocan daos a las instalaciones o edificios, un acceso restringido a las materias primas o la prdida de capital humano.

Polticos Incluyen la eleccin de gobiernos con nuevos programas polticos, leyes y normas, que provocan, por ejemplo, nuevas restricciones o aperturas en el acceso a mercados extranjeros o impuestos mayores o menores.

Sociales Relacionados con los cambios demogrficos, costumbres sociales, estructuras familiares, prioridades trabajo/ocio y actividades terroristas, que tienen como resultado cambios en la demanda de productos o servicios, nuevos puntos de venta, aspectos relacionados con recursos humanos y paros en la produccin.

Tecnolgicos Relativos a los nuevos medios de comercio electrnico, que generan una mayor disponibilidad de datos, reducciones de costes de infraestructura y un mayor aumento en la demanda de servicios basados en la tecnologa.

Segn el mismo estudio, los factores internos, son los siguientes: Infraestructura Eventos como el incremento de asignacin de capital para mantenimiento preventivo y el apoyo a los centros de atencin al cliente reducen el tiempo de inactividad del equipo y se mejora la satisfaccin del cliente. Personal Eventos como los accidentes laborales, las actividades fraudulentas y el vencimiento de convenios colectivos, causan prdidas daos de imagen y paros en la produccin. Procesos Eventos como la modificacin de procesos sin adecuadas estrategias de comunicacin para la gestin de los cambios, los errores en la gestin de entrega al cliente, provocan prdidas de cuota de mercado, ineficiencias e insatisfaccin y prdida de clientes.

42

 Tecnologa Eventos como el aumento de recursos para gestionar fallas de seguridad y la potencial cada de los sistemas dan lugar a atrasos en la produccin, transacciones fraudulentas e incapacidad para continuar las operaciones del negocio. Una vez que se han identificado los principales factores externos e internos, la direccin puede considerar su relevancia y centrarse en los eventos que puedan afectar al logro de objetivos.

b.

Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos: Compromiso de la direccin en apoyo a las acciones para la determinacin de factores de riesgo externos e internos. Idoneidad de los mecanismos para identificar eventos de riesgos externos. Idoneidad de los mecanismos para identificar eventos de riesgos de origen interno. Identificacin de todos los riesgos importantes que pueden impactar sobre cada objetivo relevante establecido para las distintas actividades. Evidencias de las acciones efectuadas para conocer los factores de riesgo. El grado de participacin de los funcionarios y empleados clave en la determinacin de los factores de riesgo. El uso dado a los resultados y el grado de coherencia con las decisiones adoptadas. El grado de comunicacin de los estudios realizados. 2. Identificacin de Eventos a. Fundamentos

La metodologa de identificacin de eventos de una entidad puede comprender una combinacin de experiencias y tcnicas, junto con herramientas de apoyo. Por ejemplo, la direccin puede usar talleres interactivos de trabajo como parte de dicha metodologa, con un monitor que emplee alguna herramienta tecnolgica altamente especializada para ayudar a los participantes. Las tcnicas de identificacin de eventos se aplican tanto al pasado como el futuro. Aquellas centradas en eventos y tendencias pasadas consideran temas tales como historiales de crditos incobrables, cambios en los precios de los bienes y accidentes que provocan prdidas de tiempo, comportamiento de los usuarios de servicios frente a los plazos para cumplir algn requisito. Las tcnicas que se centran en los riesgos futuros consideran temas tales como cambios demogrficos, nuevas condiciones de mercado y acciones de los competidores.

43

Las tcnicas varan ampliamente en su nivel de sofisticacin. Aunque muchas de las ms sofisticadas corresponden a sectores especficos, la mayora se derivan de un enfoque de uso comn. Por ejemplo, tanto los servicios financieros como los del sector de la seguridad e higiene utilizan tcnicas de rastreo e identificacin de eventos que generen prdidas. Las empresas ms avanzadas en la gestin de riesgos corporativos normalmente aplican una combinacin de tcnicas que contemplan a la vez eventos pasados y futuros potenciales. COSO II, cita los siguientes ejemplos de tcnicas para la identificacin de eventos: Inventario de eventos Son relaciones detalladas de acontecimientos potenciales comunes a empresas de un sector determinado o a un proceso o actividad especfica que se da en diversos sectores. Las aplicaciones de software pueden generar relaciones relevantes de eventos genricos potenciales, que algunas entidades usan como punto de partida para la identificacin de eventos. Anlisis interno Puede llevarse a cabo como parte de un proceso rutinario del ciclo de planificacin empresarial, normalmente mediante reuniones del personal de la unidad de negocio. El anlisis interno utiliza a veces la informacin procedente de grupos de inters de dicha unidad (clientes, proveedores y otras unidades de negocio) o de expertos en el tema ajenos a ella (expertos funcionales internos o externos o la auditora interna). Por ejemplo, una empresa que est considerando introducir un nuevo producto, usa su propia experiencia histrica, junto con investigacin externa de mercado que identifique eventos que hayan afectado al xito de productos de los competidores. Talleres de trabajo y entrevistas Estas tcnicas identifican los eventos aprovechando el conocimiento y la experiencia acumulada de la direccin, el personal y los grupos de inters, a travs de discusiones estructuradas. Un monitor lidera y facilita la discusin sobre los eventos que pueden afectar a la consecucin de objetivos de la entidad o alguna de sus unidades. Al combinar los conocimientos y experiencia de los miembros del equipo, se identifican eventos importantes que de otro modo podran haberse olvidado. Anlisis del flujo del proceso Esta tcnica considera la combinacin de entradas, tareas y responsabilidades, salidas de un proceso. Identificar eventos con prdidas Los archivos de datos sobre eventos individuales con prdidas en el pasado son una fuente til de informacin para identificar tendencias y causas principales.

44

Frecuentemente, los eventos no ocurren de forma aislada. Un acontecimiento puede hacer que se desencadene otro, por lo que pueden ocurrir de forma concurrente. En la identificacin de eventos, la direccin debera entender cmo stos se relacionan entre s. Evaluando estas relaciones, se puede determinar dnde mejor deberan aplicarse los esfuerzos en la gestin de riesgos. b. Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos: Existencia de mecanismos dentro de la organizacin, para identificar acontecimientos o eventos relacionados con sus objetivos. Confiabilidad de la metodologa utilizada para identificar eventos que puedan afectar el logro de los objetivos. Grado de apoyo de la direccin a las acciones orientadas a identificar eventos y otros asuntos relacionados. Nivel de participacin de los miembros de la organizacin en la identificacin de eventos. Los mecanismos de difusin diseados para la identificacin de eventos. Mecanismos de actualizacin e investigacin de nuevos acontecimientos. 3. Categoras de Eventos a. Fundamentos

Algunas entidades desarrollan categoras de eventos basadas en la clasificacin de sus objetivos por categoras, usando una jerarqua que empieza con los objetivos de alto nivel y luego, en cascada hasta los objetivos relevantes para las unidades organizativas, funciones o procesos de negocio. Agrupar los eventos de tal forma que horizontalmente conste toda la entidad y verticalmente las unidades operativas, la direccin desarrolla un entendimiento de las relaciones entre eventos, obteniendo una mejor informacin como base para la evaluacin de los riesgos. Mediante esta agregacin de eventos similares, la direccin puede determinar mejor las oportunidades y riesgos. En el siguiente cuadro tomado de COSO II se muestra el enfoque usado para establecer las categoras de eventos dentro de un contexto de amplios factores internos y externos

CATEGORAS DE EVENTOS FACTORES EXTERNOS FACTORES INTERNOS

Econmicos Disponibilidad del capital Emisin de deuda, impago

Infraestructura Disponibilidad de activos Capacidad de los activos

45

CATEGORAS DE EVENTOS FACTORES EXTERNOS Concentracin Liquidez Mercados Financieros Desempleo Competencia Fusiones /Adquisiciones FACTORES INTERNOS Acceso al capital Complejidad

Medioambiente Emisiones y residuos Energa Catstrofes naturales Desarrollo sostenible Polticos Cambios de gobierno Legislacin Polticas pblicas Regulacin Sociales Demografa Comportamiento del consumidor Responsabilidad social corporativa Privacidad Terrorismo

Personal Capacidad del personal Actividad fraudulenta Seguridad e higiene

Procesos Capacidad Diseo Ejecucin Proveedores / Subordinados Tecnologa Integridad de datos Disponibilidad de datos y sistemas Seleccin de sistemas Desarrollo Despliegue Mantenimiento

Tecnolgicos Interrupciones Comercio electrnico Datos externos Tecnologa emergente

b.

Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos: Grado de apoyo de la direccin a las acciones orientadas a categorizar los eventos relacionados con la misin de la entidad.

46

Idoneidad de la metodologa utilizada para sistematizar y ordenar los eventos identificados. Relacin existente entre las categoras de eventos con los objetivos. Polticas y procedimientos utilizados para informar a los miembros de la organizacin sobre las categoras de eventos y su relacin con los objetivos.

47

VII.

EVALUACIN DE LOS RIESGOS

La evaluacin de los riesgos permite a una entidad considerar la forma en que los eventos potenciales impactan en la consecucin de objetivos. La direccin evala estos acontecimientos desde una doble perspectiva probabilidad e impacto y normalmente usa una combinacin de mtodos cualitativos y cuantitativos. Los impactos positivos y negativos de los eventos potenciales deben examinarse, individualmente o por categora, en toda la entidad. Los riesgos se evalan con un doble enfoque: riesgo inherente y riesgo residual. El Riesgos Inherente es aqul al que se enfrenta una entidad en ausencia de acciones de la direccin para modificar su probabilidad o impacto; es decir, siempre existirn haya o no controles, debido a la naturaleza de las operaciones. El riesgo residual es el que permanece despus de que la direccin desarrolle sus respuestas a los riesgos. Este componente incluye los siguientes factores:

1. Estimacin de Probabilidad e Impacto 2. Evaluacin de Riesgos 3. Riesgos Originados por los Cambios

48

1.

Estimacin de Probabilidad e Impacto a. Fundamentos

La incertidumbre de los eventos potenciales se evala desde dos perspectivas: probabilidad e impacto. La primera representa la posibilidad de que ocurra un evento determinado, mientas que la segunda refleja su efecto. La estimacin de probabilidades e impactos puede comprender una combinacin de experiencias y tcnicas, junto con herramientas de apoyo; sin embargo, se destaca el uso de tecnologa especializada que facilita el trabajo y permite mayor eficacia y eficiencia en la gestin de los riesgos. Generalmente, no merece mayor consideracin un riesgo con poca probabilidad de ocurrencia y escaso impacto potencial. Es importante que el anlisis sea ms profundo y se utilicen herramientas tecnolgicas apropiadas para los riesgos de mayor impacto potencial y alta posibilidad de ocurrencia. El horizonte temporal o sea el perodo usado para evaluar los riesgos debera ser consecuente con el horizonte temporal de la estrategia y objetivos correspondientes. Como estos dos conceptos apuntan en muchas entidades a horizontes de tiempo entre el corto y mediano plazo, la direccin se centra naturalmente en los riesgos asociados con estos plazos de tiempo. Sin embargo, algunos aspectos de la orientacin y objetivos estratgicos se extienden hasta el largo plazo. La direccin usa a menudo estndares de funcionamiento para determinar el grado de consecucin de objetivos y normalmente aplica la misma unidad de medida, u otra congruente con ella, que la utilizada para considerar el impacto potencial de un riesgo sobre la consecucin de un objetivo concreto. A menudo, las estimaciones de la probabilidad del riesgo y su impacto se determinan usando datos procedentes de eventos anteriores, que proporcionan una base ms objetiva que las estimaciones totalmente subjetivas. Los datos generados internamente a partir de la experiencia propia de la entidad pueden reflejar un menor sesgo subjetivo personal y proporcionan mejores resultados que los datos procedentes de fuentes externas. Se debe ser cauto cuando se usan eventos pasados para establecer previsiones futuras, ya que los factores que influyen en los eventos pueden cambiar con el tiempo. Igual que otros temas tratados en la gestin de riesgos, el uso de tecnologa especializada es recomendable en organizaciones que tienen recursos y procesos complejos. b. Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos:

49

Idoneidad de la metodologa y recursos utilizados para establecer las probabilidades y los impactos. Apoyo de la direccin para planeacin y ejecucin de los estudios de probabilidades e impactos de los riesgos. Calidad de la evidencia recopilada de los estudios efectuados.

2.

Evaluacin de Riesgos a. Fundamentos

La metodologa de evaluacin de riesgos de una entidad consiste en una combinacin de tcnicas cualitativas y cuantitativas. La direccin aplica a menudo tcnicas cualitativas cuando los riesgos no se prestan a la cuantificacin o cuando no estn disponibles datos suficientes y crebles para una evaluacin cuantitativa o la obtencin y anlisis de ellos no resulte eficaz por su costo. Las tcnicas cuantitativas tpicamente aportan ms precisin y se usan en actividades ms complejas y sofisticadas, para complementar las tcnicas cualitativas. De acuerdo con el estudio COSO II, los siguientes son ejemplos de tcnicas cuantitativas de evaluacin de riesgos que pueden afectar el cumplimiento de los objetivos: Benchmarking Es un proceso comparativo entre entidades, que enfoca eventos o procesos concretos, compara medidas y resultados mediante mtricas comunes e identifica oportunidades de mejora. Modelos probabilsticos Sobre la base de ciertas hiptesis. Los modelos probabilsticos relacionan una gama de eventos con su probabilidad de ocurrencia e impacto resultante. Modelos no probabilsticos Los modelos no probabilsticos aplican hiptesis subjetivas para estimar el impacto de eventos sin una probabilidad asociada cuantificada. Para conseguir un consenso sobre la probabilidad e impacto usando tcnicas cualitativas de evaluacin, las entidades pueden aplicar el mismo enfoque que usan en la identificacin de eventos, tales como las entrevistas y grupos de trabajo. Al identificar y evaluar los riesgos al nivel de proceso, una unidad usa cuestionarios de autoevaluacin, mientras que otra utiliza grupos de trabajo. Cuando los eventos potenciales no estn relacionados entre s, la direccin los evala individualmente. Pero cuando existe correlacin entre los eventos o stos se combinan e interaccionan para crear probabilidades o impactos significativamente diferentes, la direccin los evaluar en conjunto. Aunque el impacto de un solo evento pueda ser ligero, el impacto en secuencia o combinacin de eventos puede ser ms significativo.

50

Cuando sea probable que los riesgos afecten a mltiples unidades de negocio, la direccin puede agruparlos en categoras comunes de eventos y despus, considerarlos primero segn unidad y luego conjuntamente para toda la entidad. b. Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos: Uso de la informacin provista por el establecimiento de objetivos e identificacin de eventos para evaluar los riesgos. Idoneidad de la metodologa y recursos utilizados para establecer y para evaluar los riesgos. Involucramiento de la direccin en la evaluacin de los riesgos. Calidad de la documentacin recopilada de los estudios efectuados. Transparencia de la informacin sobre los resultados de la evaluacin del riesgo. 3. Riesgos Originados por los Cambios

Los cambios generados en el entorno de la organizacin y en las actividades desarrolladas por las organizaciones hacen que el CORRE establecido no se constituya en la respuesta adecuada para estimular el logro de los objetivos con un razonable riesgo de que existan errores e irregularidades. En esas circunstancias es indispensable que la organizacin cuente con mecanismos apropiados de investigacin e informacin sobre los cambios que se operan en el mundo y, particularmente, los relacionados con sus operaciones para preparar los niveles de respuesta que disminuyan el riesgo de perder vigencia en un mundo de alta competencia. El cambio de tecnologa en los procesos de produccin, normativa y reglamentaciones e instituciones que presten los mismos servicios son puntos de referencia. El impacto potencial de algunos elementos requiere de una atencin especial y los principales son: Cambios en el entorno operacional. Los cambios en el contexto econmico, legal y social pueden generar nuevos riesgos para la organizacin. Nuevo personal. Principalmente en los niveles directivos que no se integren en la filosofa y enfoque de la organizacin. Sistemas de informacin nuevos o modernizados. Los nuevos sistemas deterioran los controles claves que en el pasado funcionaban. Rpido crecimiento de la organizacin. El personal y los sistemas se ven sometidos a requerimientos adicionales y los procedimientos de control son menos exigentes. Tecnologas modernas. Requieren modificaciones en los controles internos, muchos de los cuales se integran en los programas de computacin.

51

 Nuevos servicios y actividades. Es necesario adecuar los controles internos a las nuevas actividades y que por lo regular incluirn tecnologa moderna para su operacin. Reestructuraciones internas. Ajustes para equilibrar los resultados de operaciones debido a requerimientos de los propietarios. Esto puede debilitar el CORRE por limitaciones de recursos humanos y financieros. Actividades en el extranjero. Estas operaciones llevan un grado de riesgo mayor, debido a la cultura del pas donde se opere, las disposiciones legales y el enfoque de la gestin local. a. Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos: Apoyo de la direccin para conocer o investigar posibles acontecimientos internos y externos. Existencia de mecanismos para identificar y reaccionar ante los cambios que pueden afectar a la entidad de una forma ms dramtica y duradera, y que pueden requerir la intervencin de la alta direccin. Forma en que se utiliza informacin interna y externa para conocer los hechos que pueden generar cambios. Calidad de los sistemas de informacin y comunicacin.

52

VIII. RESPUESTA A LOS RIESGOS

La direccin para decidir la respuesta a los riesgos evala su efecto sobre la probabilidad e impacto del riesgo, as como los costos y beneficios, y selecciona aquella que site el riesgo residual dentro de la tolerancia del riesgo establecida. En la perspectiva de riesgo global de la entidad (cartera de riesgos), la direccin determina si el riesgo residual global concuerda con el riesgo aceptado por la entidad.

1. Categora de Respuestas 2. Decisin de Respuestas

1.

Categoras de Respuestas a. Fundamentos

COSO II, establece las siguientes categoras de respuestas respecto de los riesgos identificados, cuyo anlisis previo a la decisin se puede realizar con mayor o menor uso de tecnologa especializada: Evitar (los riesgos) Supone salir de las actividades que generen riesgos porque no se identific alguna opcin de respuesta que redujera el impacto y probabilidad hasta un nivel aceptable. Evitar el riesgo puede implicar el cese de una lnea de producto o de actividad, frenar la expansin hacia un nuevo mercado geogrfico o la venta de una divisin.

53

 Reducir (los riesgos) Implica llevar a cabo acciones para reducir la probabilidad o el impacto del riesgo o ambos conceptos a la vez. Significa reducir el riesgo residual para ubicarle en lnea con la tolerancia de riesgo deseada. Compartir (los riesgos) La probabilidad o el impacto del riesgo se reduce trasladando o, de otro modo, compartiendo una parte del riesgo. Igual que la opcin de compartir, significa reducir el riesgo residual para ubicarlo en lnea con la tolerancia de riesgo deseada. Las tcnicas comunes incluyen la contratacin de seguros, la tercerizacin de una actividad sustantiva o adjetiva como una parte de la gestin del recurso humano. Aceptar (los riesgos) No se emprende ninguna accin que afecte la probabilidad o el impacto del riesgo. (Los riesgos se aceptarn como se identificaron). b. Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos: Existencia de mecanismos para analizar las alternativas para apoyar la adopcin de decisiones. Confiabilidad de la metodologa utilizada para respaldar el anlisis. Calidad de la evidencia que respalda el anlisis de alternativas. El grado de participacin de los niveles de organizacin que tienen conocimientos especializados de las diferentes reas de negocio. El apoyo de la direccin a las acciones orientadas al estudio de alternativas. La forma en que se comunican a los diferentes miembros de la organizacin, los resultados obtenidos. 2. Decisin de Respuestas a. Fundamentos

Segn COSO II, para decidir la respuesta a los riesgos, la direccin debera tener en cuenta lo siguiente: Los costos y beneficios de las respuestas potenciales. Las posibles oportunidades para alcanzar los objetivos de la entidad, lo que va ms all del tratamiento de un riesgo concreto. Generalmente, es ms fcil tratar los costos, pues en muchos casos pueden cuantificarse con bastante detalle. Normalmente, se tienen en cuenta todos los costos directos rela-

54

cionados con la implantacin de una respuesta y los costos indirectos que se puedan medir de un modo prctico. Algunas entidades tambin incluyen los costos de oportunidad relativos al uso de recursos. El lado de los beneficios implica a menudo valoraciones mucho ms subjetivas. Por ejemplo, las ventajas de los programas de formacin son normalmente evidentes, pero son difciles de cuantificar. En muchos casos, sin embargo, el beneficio de una respuesta al riesgo puede evaluarse dentro del contexto de beneficios ligados a la consecucin del objetivo correspondiente. Las consideraciones sobre estas respuestas a los riesgos no deberan limitarse exclusivamente a la reduccin de los riesgos identificados, sino que tambin deberan incluir la consideracin de nuevas oportunidades para la entidad. Una vez que la direccin selecciona una respuesta, es posible que necesite desarrollar un plan de implantacin para ejecutarla. Una parte crtica de dicho plan es el establecimiento de acciones de control (desarrolladas en el siguiente captulo) para asegurar que se lleva a cabo la respuesta a los riesgos. Normalmente, la direccin elige un enfoque en que primero se contemplan los riesgos de cada unidad de negocio, departamento o funcin y luego su director responsable desarrolla una evaluacin integral de ellos. Cuando se requiere un grado de mayor precisin y respaldo por parte de la direccin y otros miembros de la organizacin se puede decidir por aplicar tecnologa especializada con la participacin de expertos en los diferentes temas a tratar. b. Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos: Existencia de mecanismos para apoyar las decisiones. Confiabilidad de la metodologa utilizada para respaldar las decisiones. Calidad de la evidencia que respalda las decisiones tomadas. El grado de participacin de los niveles de organizacin que tienen conocimientos especializados de las diferentes reas de negocio. La forma en que se comunican a los diferentes miembros de la organizacin, las decisiones adoptadas.

55

IX.

ACTIVIDADES DE CONTROL

Las actividades de control son las polticas y procedimientos establecidos por la direccin y otros miembros de la organizacin con autoridad para emitirlos, como respuesta a los riesgos que podran afectar el logro de los objetivos. Los procedimientos son las acciones de las personas para implantar las polticas, directamente o a travs de la aplicacin de tecnologa, y ayudar a asegurar que se llevan a cabo las respuestas de la direccin a los riesgos. Las actividades de control pueden ser clasificadas por la naturaleza de los objetivos de la entidad con la que estn relacionadas: estrategia, operaciones, informacin y cumplimiento. Debido a que cada entidad tiene su propio conjunto de objetivos y enfoques de implantacin, existirn diferencias en las respuestas al riesgo y las actividades de control relacionadas. Cada entidad est gestionada por personas diferentes que tienen criterios individuales diferentes en la aplicacin de controles. Es ms, los controles reflejan el entorno y sector en que opera una entidad, as como su dimensin y complejidad de organizacin, la naturaleza y alcance de sus actividades y sus antecedentes y cultura. Por resta razn las actividades de control no pueden generalizarse y debern ser la respuesta a la medida de las necesidad de los objetivos y los riesgos de cada organizacin. El componente actividades de control establece los siguientes factores:

1. Integracin con las Decisiones sobre Riesgos 2. Principales Actividades de Control 3. Controles sobre los Sistemas de Informacin

56

ACTIVIDADES DE CONTROL

1.

Integracin con las Decisiones sobre Riesgos a. Fundamentos

Despus de haber seleccionado las respuestas al riesgo, la direccin establece actividades de control necesarias para disminuir los riesgos y alcanzar los objetivos en sus diferentes categoras. Establecer una matriz que relacione los riesgos seleccionados con los controles establecidos por la organizacin, brindar una seguridad razonable de que los riesgos se mitigan y de que los objetivos se alcanzarn con razonable seguridad de que no existan errores o irregularidades. Ser recomendable que esta matriz u otro documento relacionen los riesgos y los controles con los objetivos en sus diferentes jerarquas. b. Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos: Grado en que las actividades de control guardan relacin con los objetivos y las decisiones adoptadas por la direccin sobre los riesgos. Calidad de la informacin y comunicacin sobre las decisiones adoptadas por la direccin sobre el estudio de los riesgos.

57

2.

Principales Actividades de Control a. Fundamentos

Se han propuesto muchas descripciones diferentes de los tipos de actividades de control, incluyendo los controles de prevencin, deteccin, manuales, informticos y de direccin. Estas actividades de control deben enmarcarse en polticas y procedimientos emitidos por la direccin y otros niveles de la organizacin encargados de ejecutarlos. La poltica establece lo que debe hacerse y los procedimientos la forma para llevarla a cabo. Las actividades de control incluyen controles preventivos, para detener ciertas transacciones riesgosas antes de su ejecucin, y, controles de deteccin, para identificar aquellas que tienen posibles errores o irregularidades. Las actividades de control combinan controles informticos y manuales, incluyendo aquellos automatizados que aseguran la captacin correcta de la informacin, y procedimientos de autorizacin y aprobacin de las decisiones de inversin por parte de las personas responsables. A continuacin se presentan las siguientes actividades de control como una ilustracin general, que no debe ser considerada exhaustiva: Revisiones y supervisiones La alta direccin revisa el funcionamiento real en contraste con presupuestos, previsiones y datos de perodos previos y de competidores. Tambin se supervisa la implantacin de planes financieros o de otro tipo. Gestin directa de funciones o actividades Los directivos que gestionan las funciones o actividades revisan los informes de rendimiento. Estos directores tambin se centran en temas de cumplimiento, revisando los informes que requieren los reguladores sobre nuevos depsitos que superen unos importes especficos. Procesamiento de la informacin Se lleva a cabo una variedad de controles para verificar la exactitud, integridad y autorizacin de las transacciones. Se aceptar el pedido de un cliente, slo despus de verificar con un fichero de clientes y el lmite de crdito autorizado. Repeticin Las acciones aplicadas durante el procesamiento de las operaciones se repiten por otra persona para validar los datos y los controles aplicados. Validacin Mediante la autorizacin, comparacin y verificacin de la pertinencia y la legalidad de la transaccin. Aseguramiento

58

Mediante la aplicacin de los controles establecidos para reducir los riesgos y los errores en la ejecucin de las actividades. Especializacin funcional Se insertan en la estructura de la organizacin como la separacin de funciones, la supervisin de los procesos, las evaluaciones ejecutadas por la Auditora Interna y otras. Controles fsicos Los equipos, existencias, valores, efectivo y dems activos estn fsicamente asegurados, se someten peridicamente a recuentos y se contrastan con los importes de los registros de control. Indicadores de rendimiento El contraste entre s de diferentes conjuntos de datos operativos o financierosjunto con el anlisis de relaciones y las acciones de investigacin y correccin, constituye una actividad de control. Segregacin de funciones Las funciones se dividen o segregan entre diferentes personas para reducir el riesgo de error o fraude. b. Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los controles de este componente, se deben considerar como mnimo los siguientes puntos: Apoyo de la alta direccin para el diseo y aplicacin de los controles en funcin de los riesgos. Forma en que los controles se incorporan a los procesos. Relacin de las actividades de control seleccionadas, con los objetivos y con los riesgos. Existencia de mecanismos para analizar las alternativas de controles a seleccionar. Grado de comprensin de los funcionarios involucrados en el diseo de los procesos para incorporar controles apropiados que guarden una relacin adecuada de costos con beneficios. Calidad de los sistemas de informacin y comunicacin. 3. Controles sobre los Sistemas de Informacin a. Fundamentos

Pueden usarse amplios grupos de actividades de control de los sistemas de informacin. El primero lo forman los controles generales, que se aplican a muchos de esos sistemas, si no a todos, y ayudan a asegurar que siguen funcionando continua y adecuadamente. El segundo son los controles de aplicacin, que incluyen fases informatizadas dentro del software para controlar el proceso.

59

Ambos tipos de controles, combinados con controles manuales de proceso cuando sea necesario, operan juntos para asegurar la integridad, exactitud y validez de la informacin. Controles Generales Los controles generales incluyen controles sobre la gestin de la tecnologa de informacin, su infraestructura, la gestin de seguridad y la adquisicin, desarrollo y mantenimiento del software. Se presentan a continuacin algunos ejemplos de controles comunes dentro de estas categoras. Gestin de la tecnologa de informacin Un comit de trabajo proporciona supervisin, seguimiento e informacin de las actividades de tecnologa informtica y las iniciativas para su mejora. Infraestructura de la tecnologa de informacin Los controles se aplican a la definicin, adquisicin, instalacin, configuracin integracin y mantenimiento de los sistemas. Gestin de la seguridad Son controles de acceso lgico tales como contraseas seguras de restriccin de accesos a la red, bases de datos y aplicaciones. Adquisicin, desarrollo y mantenimiento del software Los controles sobre la adquisicin e implantacin del software se incorporan a un proceso establecido para gestionar el cambio, incluyendo los requisitos de documentacin, la comprobacin de la aceptacin del usuario, las pruebas de carga y las evaluaciones del riesgo de proyectos. Controles de Aplicacin Los controles de aplicacin se centran directamente en la integridad, exactitud, autorizacin y validez de la captacin y procesamiento de datos. Ayudan a asegurar que los datos se captan o generan en el momento de necesitarlos, que las aplicaciones de soporte estn disponibles y que los errores de interfaz se detecten rpidamente. Un objetivo importante de los controles de aplicacin es prevenir que los errores se introduzcan en el sistema, as como detectarlos y corregirlos una vez introducidos en l. Se resumen algunos ejemplos de controles de aplicacin contenidas en el estudio COSO II. Equilibrar las actividades de control Detectar los errores en la captacin de datos, mediante la conciliacin entre los importes introducidos, manual o automticamente, y un total de control.

60

 Dgitos de control Validan los datos mediante clculos. La numeracin de los repuestos de una empresa contiene un dgito de control que detecta y corrige pedidos inexactos a sus proveedores. Listados predefinidos de datos Proporcionan al usuario listas preestablecidas de datos aceptables. Pruebas de razonabilidad de datos Comparan los datos captados con una pauta existente o aprendida de razonabilidad. Pruebas lgicas Incluyen el uso de lmites de rango o pruebas alfanumricas o de valor. b. Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos: Existencia de un plan estratgico de tecnologas de informacin que guarde relacin con los objetivos institucionales y la gestin de los riesgos. Existencia y apoyo para el desarrollo de tecnologa de informacin relacionada con los controles y la gestin de los riesgos. Apoyo de la direccin a la implantacin de los planes estratgicos de tecnologa de informacin. Idoneidad de la metodologa para integrar las estrategias, las operaciones, los requerimientos de informacin y comunicacin y el cumplimiento de las normas, con el desarrollo tecnolgico de la institucin. La calidad de la informacin y comunicacin sobre los planes y los avances sobre tecnologa de informacin.

61

X.

INFORMACIN Y COMUNICACIN

El componente dinmico del CORRE es la informacin y comunicacin, que por su ubicacin en la pirmide comunica el ambiente de control interno (base) con la supervisin (cima), con la evaluacin del riesgo y las actividades de control, conectando en forma ascendente a travs de la informacin y descendente mediante la calidad de comunicacin generada por la supervisin ejercida. Es necesario identificar, procesar y comunicar la informacin relevante en la forma y en el plazo que permita a cada funcionario y empleado asumir sus responsabilidades. Dichos informes contemplan, no solo, los datos generados en forma interna, sino tambin la informacin sobre las incidencias, actividades y condiciones externas, necesarias para la toma de decisiones y para formular los informes financieros y de otro tipo. Es importante el establecimiento de una comunicacin eficaz en un sentido amplio, que facilite una circulacin de la informacin (formal e informal) en varias direcciones, es decir ascendente, transversal, horizontal y descendente. La direccin superior debe transmitir un mensaje claro a todo el personal sobre la importancia de las responsabilidades de cada uno en materia de compartir la informacin con fines de gestin y control. Los informes deben contener datos relevantes para posibilitar la gestin eficaz de la gerencia y reunir los siguientes atributos: Cantidad suficiente para la toma de decisiones. Informacin disponible en tiempo oportuno. Datos actualizados y que corresponden a fechas recientes. Los datos incluidos son correctos. La informacin es obtenida fcilmente por las personas autorizadas.

Los principales factores que integran el componente informacin y comunicacin son: 1. 2. 3. 4. 5. 6. Cultura de Informacin en todos los Niveles Herramienta para la Supervisin Sistemas Estratgicos e Integrados Confiabilidad de la Informacin Comunicacin Interna Comunicacin Externa

62

INFORMACIN Y COMUNICACIN

Informacin La informacin se necesita en todos los niveles de la organizacin para identificar, evaluar y responder a los riesgos y por otro parte dirigir la entidad y conseguir sus objetivos. La informacin operativa de fuentes internas y externas, tanto financiera como no financiera, es relevante para mltiples objetivos de negocio. La informacin financiera, por ejemplo, se usa para elaborar los estados financieros con fines de informacin y tambin para tomar decisiones operativas, tales como la supervisin del funcionamiento y la asignacin de recursos. Los sistemas de informacin pueden ser formales o informales. Las conversaciones con clientes, proveedores, reguladores y personal de la entidad a menudo proporcionan informacin crtica necesaria para identificar riesgos y oportunidades. De igual manera, la asistencia a seminarios profesionales o del sector y la participacin en asociaciones mercantiles o de otro tipo puede ser una fuente de informacin valiosa. 1. Cultura de Informacin en todos los Niveles a. Fundamentos

La informacin relevante como resultado de las operaciones sustantivas y adjetivas se produce peridicamente, es difundida en forma sistemtica a los niveles responsables de las unidades de produccin y administracin y, luego, distribuida al resto del personal bajo su direccin. El conocimiento de los resultados de la gestin formalizados en la informacin de las diferentes unidades y consolidada para uso de la direccin superior en todos los niveles de

63

la empresa, sensibiliza al personal sobre la necesidad de contribuir en el cumplimiento de los objetivos de sus unidades de operacin y en forma acumulada los objetivos de la organizacin. Es importante comunicar al personal de la empresa sobre los resultados peridicos de las unidades de operacin para lograr su apoyo, ya que es el recurso ms importante para el funcionamiento del CORRE y la consecucin de los objetivos de las unidades y de la institucin. La documentacin de las acciones generadas a partir de la informacin recibida, analizada y aprobada en los diferentes niveles de la organizacin es un requerimiento importante del CORRE, ya que posibilita la reorientacin y mejor utilizacin de los recursos de la empresa. b. Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos: Existencia de polticas institucionales relativas a la informacin y comunicacin as como su difusin en todos los niveles. Grado de compromiso de la alta direccin para cumplir con las polticas y las normas relativas a la provisin de informacin y a la comunicacin interna y externa. Supervisin interna y evaluaciones externas para verificar el cumplimiento de las normas aplicables. 2. Herramienta para la Supervisin a. Fundamentos

El principal objetivo de la informacin y la comunicacin de los resultados obtenidos por la organizacin es constituirse en una herramienta prctica, detallada, confiable y oportuna para la supervisin en los diferentes niveles de un organismo. Existen varios niveles en los que se utiliza la informacin como la principal herramienta de supervisin, ya que es la pauta para conocer la forma en que se han ejecutado las actividades, se han logrado los objetivos, se han alcanzado las metas e indicadores y se han utilizado los recursos de la organizacin. La informacin es una herramienta fundamental para la supervisin aplicada por los niveles directivos superiores e intermedios para apoyar el cumplimiento de los objetivos programados y la generacin de acciones que permitan controlar los riesgos en el cumplimiento de los objetivos de la organizacin.

64

b.

Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos: Idoneidad de las polticas y procedimientos para el establecimiento de los niveles de autoridad y responsabilidad y su relacin con la informacin que debe recibir. Grado de anlisis por parte de la direccin en sus diferentes niveles con base en la informacin recibida. El suministro de informacin a las personas adecuadas, con el suficiente detalle y oportunidad, permitindoles cumplir con sus responsabilidades de forma eficaz y eficiente. El desarrollo o revisin de los sistemas de informacin para lograr tanto los objetivos generales de la entidad como los de cada actividad. Atencin que brindan los diferentes niveles directivos de la organizacin a los informes de las unidades a su cargo.

3. Sistemas Estratgicos e Integrados a. Fundamentos

Las empresas se han hecho ms colaboradoras con los clientes, proveedores y socios de negocio y se integran ms con ellos, la divisin entre la arquitectura de los sistemas de informacin de una entidad y la de terceros es cada vez ms tenue. En tales casos, la arquitectura de los sistemas de informacin de una organizacin debe ser suficientemente flexible y gil como para integrarse eficazmente con los terceros vinculados. El diseo de una arquitectura de sistemas de informacin y la adquisicin de la tecnologa son aspectos importantes de la estrategia de una entidad y las decisiones respecto a la tecnologa pueden resultar crticas para lograr los objetivos. Los sistemas de informacin a menudo estn totalmente integrados en la mayora de los aspectos de las operaciones. Las transacciones se registran y siguen en tiempo real, permitiendo a los directivos acceder inmediatamente a informacin financiera y operativa de forma ms eficaz para controlar las actividades del negocio. La creciente dependencia de los sistemas de informacin a niveles estratgico y operativo genera nuevos riesgos tales como fallas de seguridad o los fraudes informticos- que deben integrarse en la gestin de riesgos corporativos de la entidad.

b.

Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos:

65

El diseo de los sistemas y procedimientos considerando la integracin de todas las unidades de la organizacin que tienen relacin con los objetivos. La existencia de polticas que permitan la integracin de la informacin. Los planes de tecnologa de informacin que consideren los objetivos institucionales como orientacin de su diseo. Grado de coordinacin entre las unidades administrativas, financieras y operativas con las de tecnologas de informacin para orientar sus esfuerzos en funcin de los objetivos institucionales y de las unidades que la integran. El apoyo de la direccin al desarrollo de los sistemas de informacin necesarios se pone de manifiesto en la aportacin de los recursos adecuados, tanto humanos como financieros. 4. Confiabilidad de la Informacin a. Fundamentos

Las decisiones se adoptan con base en la informacin disponible. Por ello es fundamental que la informacin, adems de oportuna, sea confiable. Esta necesidad se logra mediante la aplicacin efectiva del CORRE integrado a los procesos y, la supervisin y validacin permanente de su aplicacin efectiva. Se debe tener presente que la informacin nace de un proceso de captacin de datos con respaldo suficiente; el proceso de los mismos a travs de los procedimientos diseados para las actividades sustantivas y adjetivas y, la informacin de salida. Siendo este un objetivo de las organizaciones que depende en amplia medida de su liderazgo interno, la identificacin de los riesgos en todos los procesos y la respuesta a travs de las actividades de control permitir dotar de confiabilidad a la informacin en todos los niveles. La infraestructura de la informacin busca y capta datos dentro de un marco de tiempo y con una profundidad consecuente con la necesidad de la entidad de identificar, evaluar, y responder al riesgo y permanecer dentro de la tolerancia establecida. La oportunidad del flujo de informacin necesita ser coherente con el ritmo de cambio de los mbitos externo e interno de la entidad. Con ms datos disponibles a menudo con tiempo real- para ms gente en una organizacin, el reto es evitar la sobrecarga de informacin, asegurando el flujo de la informacin adecuada, en la forma adecuada, al nivel de detalle adecuado, a las personas adecuadas y en el momento adecuado. La calidad de la informacin incluye averiguar si: Su contenido es adecuado -Est al nivel correcto de detalle? Es oportuna -Est disponibles cuando se necesita y dentro de un plazo adecuado? Est actualizada -Es la ltima informacin disponible?

66

Es exacta -Sus datos son correctos? Est accesible -Las personas que la necesitan pueden obtenerla fcilmente? b. Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos: El grado en que la entidad ha identificado los riesgos sobre errores o irregularidades en la produccin de informes y la respuesta adoptada para remediarla a travs de los controles establecidos. La forma en que los sistemas y procedimientos de las actividades aseguran la confiabilidad de los datos e informes de entrada, el proceso adecuado y seguro y, la informacin de salida. Determinar la calidad de los controles vigentes y su grado de aplicacin por parte de toda la organizacin. Frecuencia y calidad de la supervisin efectuada en todos los niveles, respecto de los procesos y de la informacin. Calidad de la auditora interna para evaluar los procesos y los sistemas de informacin. Compromiso de todos los niveles de la organizacin para proveer informacin con base en los estndares establecidos.

Comunicacin La comunicacin es inherente a los sistemas de informacin. Estos sistemas deben proporcionar informacin al personal adecuado. 5. Comunicacin Interna a. Fundamentos

La comunicacin sobre procesos y procedimientos debera alinearse con la cultura deseada por la direccin superior y reforzarla mediante la aplicacin real. La comunicacin deber expresar eficazmente: Los objetivos de la entidad. La importancia y relevancia del control interno orientado a disminuir los riesgos que podran afectar el cumplimiento de los objetivos. El riesgo aceptado y la tolerancia al riesgo de la entidad. Un lenguaje comn de los controles frente a los riesgos identificados.

67

 Los papeles y responsabilidades del personal al desarrollar y apoyar los componentes del CORRE. El personal tambin debe saber cmo sus actividades se relacionan con el trabajo de los dems y saber qu comportamiento es considerado aceptable o no. Los empleados de lnea que tratan los temas operativos crticos cada da son a menudo los mejor situados para reconocer los problemas cuando surgen y los canales de comunicacin deberan asegurar que ese personal puede enviarla a sus superiores. El personal debe creer que sus superiores realmente quieren conocer los problemas y tratarlos eficazmente. Es importante que el personal entienda que no habr represalias por comunicar informacin relevante. Se enva un mensaje claro con la existencia de mecanismo que animen a los empleados a informar las violaciones sospechadas al cdigo de conducta de una entidad o por el trato que se d al personal que presente denuncias. b. Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos: La eficacia de la comunicacin al personal, respecto de sus responsabilidades frente al CORRE y de la cultura empresarial hacia el control. El establecimiento de lneas de comunicacin para la denuncia de posibles actos indebidos. La sensibilidad de la direccin a las propuestas del personal respecto de formas de mejorar la productividad, la calidad, etc. El nivel de apertura y eficacia en las lneas de comunicacin con clientes, proveedores y otros terceros para la captacin de informacin sobre las necesidades cambiantes de los clientes. El nivel de comunicacin a terceros de las normas ticas de la entidad. La realizacin oportuna y adecuada del seguimiento por parte de la direccin de las informaciones obtenidas de clientes, proveedores, organismos de control y otros terceros. 6. Comunicacin Externa a. Fundamentos

Con canales de comunicacin externos abiertos, los clientes y proveedores pueden proporcionar informacin muy significativa sobre el diseo o la calidad de los servicios o producto, permitiendo a la empresa tratar las demandas o preferencias del cliente en evolucin. La comunicacin con grupos de inters, reguladores, analistas financieros y otros terceros les proporciona informacin relevante para sus necesidades, pues pueden comprender rpidamente las circunstancias y riesgos a los que se enfrenta la entidad. Esta comu-

68

nicacin debera ser significativa, pertinente y oportuna y estar de acuerdo con las disposiciones legales y otras normas aplicables. La comunicacin puede tomar formas tales como un manual de polticas, escritos internos, correos electrnicos, novedades en los tablones de anuncios, videos y mensajes en la pgina web. Los directivos deberan recordar que sus acciones hablan ms fuerte que sus palabras. Dichas acciones estn, a su vez influidas por la historia y cultura de la entidad, basadas en observaciones anteriores de cmo sus mentores trataron situaciones similares. Una entidad con un historial de integridad operativa y cuya cultura est bien asumida por las personas de la organizacin, probablemente tenga poca dificultad para comunicar su mensaje. b. Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos: El compromiso de la direccin superior hacia la transparencia y la forma en que este compromiso es compartido por los miembros de la organizacin. El grado de comprensin de los directivos y funcionarios de la organizacin, respecto de la informacin que debe entregar a instituciones reguladoras, de control o con las que existen intereses relacionados. El nivel de comunicacin a terceros de las normas ticas de la entidad. La realizacin oportuna y adecuada del seguimiento por parte de la direccin de las informaciones obtenidas de clientes, proveedores, organismos de control y otros terceros.

69

XI.

SUPERVISIN Y MONITOREO

Resulta necesario realizar una supervisin de los sistemas de control interno, evaluando la calidad de su rendimiento. Dicho seguimiento tomar la forma de actividades de supervisin continua, de evaluaciones peridicas o una combinacin de las anteriores. La supervisin continua se inscribe en el marco de las actividades corrientes y comprende unos controles regulares efectuados por la direccin, as como determinadas tareas que realiza el personal en el cumplimiento de sus funciones. El alcance y la frecuencia de las evaluaciones puntuales se determinarn principalmente en funcin de una evaluacin de riesgos y de la eficacia de los procedimientos de supervisin continua. Las deficiencias en el sistema de control interno, en su caso, debern ser puestas en conocimiento de la gerencia y los asuntos de importancia sern comunicados al primer nivel directivo y al consejo de administracin. Cita del Informe COSO. El CORRE diseado y aplicado en la ejecucin de las operaciones de una organizacin evoluciona con el paso del tiempo y de igual manera los cambios en los mtodos para ejecutar las operaciones. Procedimientos que fueron eficaces en un determinado momento, pueden perder su eficacia o simplemente dejan de aplicarse por ser innecesarios, sin que se introduzcan los mecanismos de reemplazo requeridos. El componente del CORRE denominado supervisin y monitoreo permite evaluar si ste contina funcionando de manera adecuada o es necesario introducir cambios. El proceso de supervisin comprende la evaluacin, por los niveles adecuados, sobre el diseo, funcionamiento y manera como se adoptan las medidas para actualizarlo o corregirlo. El componente supervisin y monitoreo se integra de los siguientes factores:

7. Supervisin Permanente 8. Supervisin Interna 9. Evaluacin Externa

70

1. Supervisin Permanente a. Fundamentos

La evaluacin del CORRE constituye un proceso en s mismo. Son los directivos de lnea o funcin de apoyo quienes llevan a cabo las actividades de supervisin y dan meditada consideracin a las implicaciones de la informacin que reciben. Hay que establecer polticas y procedimientos para identificar qu informacin se necesita a un nivel determinado para tomar decisiones en forma eficaz. En todo caso, los altos directivos deberan ser informados de las deficiencias de control interno y de la gestin de riesgos que afecten a la entidad o a las unidades especficas de manera significativa. Los supervisores definen los procedimientos de informacin para sus subordinados. Las partes interesadas a las que hay que comunicar las deficiencias a veces proporcionan directrices concretas respecto a lo que debera comunicarse. Se dispone de una variedad de metodologas y herramientas de evaluacin, incluyendo listas de comprobacin, cuestionarios, cuadros de mando y tcnicas de diagramas de flujo.

Se presentan a continuacin algunos ejemplos de actividades de supervisin permanente. Los directivos que revisan los informes operativos, usados para gestionar las operaciones de modo permanente, pueden detectar inexactitudes o excepciones relativas a los resultados esperados.

71

 Las comunicaciones de terceros corroboran la informacin generada internamente o indican incidencias. De hecho, los clientes contrastan implcitamente los datos de facturacin efectuando su pago. Por otro lado, las reclamaciones de clientes sobre facturas podran indicar deficiencias en el sistema de procesamiento de las transacciones de ventas. Los reguladores se comunican con la direccin sobre temas de cumplimiento u otros que reflejan el funcionamiento de la gestin de riesgos corporativos. Los auditores y asesores internos y externos facilitan peridicamente recomendaciones para reforzar la gestin de riesgos corporativos. Los seminarios y otros eventos de formacin, sesiones de planificacin y otras reuniones proporcionan una retroalimentacin importante a la direccin sobre si la gestin de riesgos corporativos est siendo eficaz. Durante el transcurso normal de la gestin de las operaciones, los directivos comentan con el personal temas tales como su entendimiento del cdigo de conducta de la entidad. Una estructura organizativa racional que incluya las actividades de supervisin apropiadas permiten comprobar que las funciones de control se ejecutan y que en caso de deficiencias importantes sean identificadas. Una declaracin peridica del personal sobre el conocimiento y cumplimiento del cdigo de conducta es una prctica recomendable y parte del componente supervisin en el CORRE. b. Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos: Las polticas emitidas por la direccin superior sobre las polticas de comunicacin de la institucin y la forma en que ha sido comunicada a los miembros de la organizacin. Los medios por los que el personal que realiza sus actividades normales obtiene evidencia de que el CORRE est funcionando adecuadamente. En qu medida las comunicaciones procedentes de terceros corroboran la informacin generada internamente o indican problemas. En qu medida los seminarios de formacin, las sesiones de planificacin y otras reuniones facilitan informacin a la direccin sobre si el CORRE opera eficazmente. Comparaciones peridicas entre los importes registrados por el sistema contable con los activos fsicos. Receptividad ante las recomendaciones del auditor interno y externo respecto de la forma de mejorar el CORRE. El grado de facilidades que tiene el personal para presentar sus denuncias u otra informacin que estima de utilidad institucional.

72

Resultados de encuestas peridicas al personal para medir el grado de aplicacin del cdigo de conducta de la empresa o institucin y, los impactos en las operaciones. 2. Evaluacin Interna a. Fundamentos

Adems de las supervisin por parte de la administracin como parte de los procesos establecidos, las evaluaciones del CORRE ejecutadas por la Auditora Interna es de fundamental importancia, porque de manera independiente puede evaluar la calidad de su diseo y comprobar la forma en que se aplican sus elementos. Junto con la auditora de gestin y de los procesos, la evaluacin del CORRE es uno de los importantes servicios de la Auditora Interna, como asesora al consejo de administracin. La alarma temprana incorporada en la informacin producida puede dar una seal para que la Auditora Interna acte con oportunidad. Por esa razn debe tener acceso sin restriccin a la informacin que emite la institucin y a la de otras organizaciones relacionadas o de la competencia. La evaluacin del CORRE tambin puede estar motivada por cambios importantes en la estrategia o la gerencia, adquisiciones o enajenaciones importantes, modificaciones relevantes en la produccin o en los mtodos de registro y de la informacin financiera. En este caso, la evaluacin debe centrarse en cada componente del CORRE relacionados con todas las actividades importantes. Las evaluaciones internas tambin se realizan mediante auto-evaluaciones. En stas, los responsables de una determinada unidad o funcin establecen el grado de cumplimiento de los componentes y elementos del CORRE establecidos en la organizacin. En estas autoevaluaciones, el auditor interno puede participar como facilitador. La atencin que la alta direccin y los miembros de la organizacin prestan a los informes de Auditora Interna revela su filosofa y compromiso hacia el control y la gestin de los riesgos. El funcionamiento del Comit de Auditora es importante para apoyar la gestin del la Auditora Interna y para que se implementen, de manera eficaz, los planes de accin correctiva. b. Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos: Alcance y frecuencia de las evaluaciones puntuales del CORRE. Idoneidad del proceso de evaluacin. Lgica y adecuada metodologa para evaluar el sistema. Existencia de un mecanismo para recoger y comunicar cualquier deficiencia detectada en el CORRE. Idoneidad de los procedimientos de comunicacin. Idoneidad de las acciones de seguimiento.

73

Atencin de la alta direccin y de otras unidades de la organizacin a los resultados de las auditoras practicadas. Existencia y aplicacin de planes de accin correctiva con base en los resultados de auditora interna. Polticas de comunicacin de los resultados de auditora interna. Calidad del personal de auditora interna y apoyo que recibe de las autoridades superiores. Forma en que opera el Comit de Auditora de la organizacin. 3. Evaluacin Externa a. Fundamentos

El diseo del CORRE debe incorporar la necesidad de evaluaciones externas realizadas en forma peridica, principalmente cuando se ejecutan auditorias de los estados e informes financieros, sin descartar otro tipo de evaluaciones dirigidas a las operaciones, los sistemas y los procesos. La evaluacin del CORRE como parte de una auditoria externa toma como base los procedimientos aplicados por la administracin de la empresa y sirve para dos importantes propsitos: (i) para el diseo de las pruebas y el alcance con el que deben aplicar los auditores en el ejercicio de la auditora; y, (ii) para informar a la alta direccin de la organizacin sobre la existencia de riesgos de errores o irregularidades importantes que no estn adecuadamente controlados. Este informe, en la actualidad no es exigido por organismos reguladores de nuestro pas y tiene escasa publicidad. Siguiendo buenas prcticas y disposiciones internacionales, se espera que en el corto plazo, en nuestro pas, sea de obligatoria difusin. La evaluacin del CORRE como parte de la auditora de gestin proyecta un nuevo reto para las auditoras especializadas, de manera especial al impulsar su evaluacin hacia actividades que agregan valor para las empresas y organizaciones. Tambin existen una serie de organismos reguladores o de control externo que vigilan o monitorean el cumplimiento de normas o disposiciones especficas relacionadas con los controles internos y la gestin de riesgos, tales como las Superintendencias de Bancos y Seguros y, de Compaas. Otros organismos reguladores tienen relacin con la administracin tributaria, presupuestaria, la administracin del capital humano y el medio ambiente las que tambin realizan algunas revisiones que pueden tener relacin con el cumplimiento de leyes que tienen efecto directo o indirecto sobre el CORRE y el logro de los objetivos.

b.

Puntos a evaluar

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad de los elementos de este componente, se deben considerar como mnimo los siguientes puntos:

74

Atencin de la direccin superior a los informes de los auditores y organismos reguladores. Existencia de planes de accin correctiva y el grado de cumplimiento del mismo. Niveles a los que reportan los auditores y los organismos reguladores. Grado de coordinacin entre auditores internos y externos. Los medios utilizados para que conozcan los informes de auditora los miembros de la organizacin Reportes de cumplimiento al Comit de Auditoria.

75