Trabajo Completo - Coso III (Version 2013)
-
Upload
antouio-k-suar -
Category
Documents
-
view
226 -
download
2
description
Transcript of Trabajo Completo - Coso III (Version 2013)
1
MODELO COSO II (VERSIÓN 2013)
MARCO INTEGRADO DE CONTROL INTERNO – INTERNAL CONTROL
INTEGRATED FRAMEWORK
1. Definición
El Comité de organizaciones patrocinadoras de la Comisión Treadway (COSO, por
sus siglas en inglés) presentó en 1992 la primera versión del Marco Integrado de
Control Interno, que ha sido aceptado alrededor del mundo y se ha convertido en
un marco líder en diseño, implementación y conducción de control interno y
evaluación de su efectividad. El Comité tenía como principal objetivo definir un
nuevo marco conceptual capaz de integrar las diversas definiciones y conceptos
utilizados en el campo del control interno. Teniendo en cuenta los grandes
cambios que han tenido la industria y los avances tecnológicos, el Comité lanzó en
mayo de 2013 una versión actualizada que permitirá que las empresas desarrollen
y mantengan efectiva y eficientemente sistemas de control interno que ayuden en
el proceso de adaptación a los cambios, cumplimiento de los objetivos de la
empresa, mitigación de los riesgos a un nivel aceptable, y apoyo a la toma de
decisiones y al gobierno.
Este modelo presentado por COSO ha enfocado la atención hacia el mejoramiento
del control interno y del gobierno corporativo, y responde a la presión pública para
un mejor manejo de los recursos públicos o privados en cualquier tipo de
organización, como consecuencia de los numerosos escándalos, la crisis
financiera y los fraudes presentados.
Un sistema de control interno efectivo requiere la toma de decisiones y es
diseñado con el fin de proporcionar un grado de seguridad razonable en cuanto a
la consecución de los objetivos en relación con la eficacia y la eficiencia de las
operaciones, la confiabilidad de la información financiera, y el cumplimento de
leyes y normas aplicables. El Marco Integrado de Control Interno abarca cada una
2
de las áreas de la empresa, y engloba cinco componentes relacionados entre sí: el
entorno de control, la evaluación del riesgo, el sistema de información y
comunicación, las actividades de control, y la supervisión del sistema de control.
De la misma manera, el marco apoya la administración, la dirección, los
accionistas y demás partes que interactúan con la entidad, ofreciendo un
entendimiento de lo que constituye un sistema de control interno efectivo. Un
sistema de control interno debe verse como un proceso integrado y dinámico y se
caracteriza por las siguientes propiedades:
Permite aplicar el control interno a cualquier tipo de entidad y de acuerdo
con sus necesidades.
Presenta un enfoque basado en principios que proporcionan flexibilidad y
se pueden aplicar a nivel de entidad, a nivel operativo y a nivel funcional.
Establece los requisitos para un sistema de control interno efectivo,
considerando los componentes y principios existentes, cómo funcionan y
cómo interactúan.
Proporciona un método para identificar y analizar los riesgos, así como para
desarrollar y gestionar respuestas adecuadas a dichos riesgos dentro de
unos niveles aceptables y con un mayor enfoque sobre las medidas
antifraude.
Constituye una oportunidad para ampliar el alcance de control interno más
allá de la información financiera, a otras formas de presentación de la
información, operaciones y objetivos de cumplimiento.
Es una oportunidad para eliminar controles ineficientes, redundantes o
inefectivos que proporcionan un valor mínimo en la reducción de riesgos
para la consecución de los objetivos de la entidad.
Brinda una mayor confianza en la supervisión efectuada por el consejo
sobre los sistemas de control interno.
Genera mayor confianza en la capacidad de la entidad para identificar,
analizar y responder a los riesgos y a los cambios que se produzcan en el
entorno operativo y de negocios.
3
Facilita el entendimiento de que mediante la aplicación de un criterio
profesional oportuno la dirección puede eliminar controles no efectivos,
redundantes o ineficientes.
Comité de Organizaciones Patrocinadoras de la Comisión Treadway –
Committee of Sponsoring Organizations of Treadway Commission (COSO)
El Comité de organizaciones patrocinadoras de la Comisión Treadway fue
conformado en 1985 con la finalidad de identificar los factores que originaban la
presentación de información financiera falsa o fraudulenta y emitir las
recomendaciones que garantizaran la máxima transparencia informativa en ese
sentido. COSO se dedica a desarrollar marcos y orientaciones generales sobre el
control interno, la gestión del riesgo empresarial y la prevención del fraude,
diseñados para mejorar el desempeño organizacional y la supervisión, y reducir el
riesgo de fraude en las organizaciones.
Asimismo, el Comité sustenta que una buena gestión del riesgo y un sistema de
control interno son necesarios para el éxito a largo plazo de las organizaciones.
El Comité estaba conformado por cinco instituciones representativas en Estados
Unidos en el campo de la contabilidad, las finanzas y la auditoria interna:
American Accounting Association (AAA) – Asociación de Contadores
Públicos Norteamericanos
American Institute of Certified Public Accountants (AICPA) – Instituto
Norteamericano de Contadores Públicos Certificados (Contadores CPA que
forman parte de empresas de contabilidad que hacen auditorías externas
de estados financieros).
Financial Executive Institute (FEI) – Asociación Internacional de Ejecutivos
de Finanzas.
4
Institute of Internal Auditors (IIA) – Instituto de Auditores Internos (Auditores
encargados de la evaluación de los sistemas de control interno en el interior
de las organizaciones).
Institute of Management Accountants (IMA) – Instituto de Contadores
Empresariales (Contadores que trabajan en empresas).
La complejidad en las operaciones de las empresas y organizaciones hizo
necesario adoptar procesos administrativos que debían incluir planificación,
organización, dirección y control. A su vez, estos procesos requerían de personal
capacitado para implementar y mantener las normas de control interno en el
ámbito de la gestión con el fin de asegurar el cumplimiento de los objetivos de la
empresa.
De esta manera, las empresas empezaron a implementar sus propias políticas
para el control interno, generando una diversidad de conceptos que carecían de
uniformidad. Esta situación hizo evidente la necesidad de un marco conceptual
que estandarizara las buenas prácticas con respecto a control interno, facilitando
así la implementación y comprensión de sistemas de control interno adecuados.
En primera medida, este marco debía establecer una definición común de control
interno, y luego presentar un modelo que se pudiera adecuar a cualquier empresa
sin distinción alguna.
Por esta razón, el comité COSO, en septiembre de 1992, emitió en los Estados
Unidos el informe Internal Control – Integrated Framework (Marco Integrado de
Control Interno, COSO I) –, luego de un trabajo arduo de cinco años y orientado a
establecer una definición común de control interno y proveer una guía para la
creación y el mejoramiento de la estructura de control interno de las entidades.
Este Marco fue publicado para las empresas de los Estados Unidos, pero sin
embargo ha sido utilizado y aceptado a nivel mundial. Fue creado para facilitar a
las empresas los procesos de evaluación y mejoramiento continuo de sus
5
sistemas de control interno. Además, ha sido incluido en las políticas, reglas y
regulaciones, para que las empresas mejoren sus actividades de control hacia el
logro de sus objetivos. Es el caso de la Ley Sarbarnes Oxley, según la cual las
empresas que cotizan en bolsa tienen que cumplir con una sección de control
interno (sección 404), que solicita la implementación y evaluación de un sistema
de control interno en las organizaciones.
Como respuesta a una serie de escándalos e irregularidades que provocaron
pérdidas importantes a inversionistas, empleados y otros grupos de interés, en
septiembre de 2004, el comité COSO publicó el Enterprise Risk Management –
Integrated Framework y sus aplicaciones técnicas asociadas (COSO II), en el cual
se amplía el concepto de control interno, y se proporciona un enfoque más
completo y extenso sobre la identificación, evaluación y gestión integral del riesgo.
Este nuevo enfoque no sustituye el marco de control interno sino que lo incorpora
como parte de él, y permite a las compañías mejorar sus prácticas de control
interno o decidir encaminarse hacia un proceso más completo de gestión de
riesgo. Adicionalmente, dado que COSO Enterprise Risk Management - Integrated
Framework se encuentra completamente alineado con el Internal Control -
Integrated Framework, las mejoras en la gestión de riesgo permiten mejorar un
trabajo eficaz en control interno bajo las disposiciones de la Ley Sarbanes-Oxley.
En mayo de 2013 el Comité COSO publicó la actualización del Marco Integrado de
Control Interno, cuyos objetivos son: aclarar los requerimientos del control interno,
actualizar el contexto de la aplicación del control interno a muchos cambios en las
empresas y ambientes operativos, y ampliar su aplicación al expandir los objetivos
operativos y de emisión de informes. Este nuevo Marco Integrado permite una
mayor cobertura de los riesgos a los que se enfrentan actualmente las
organizaciones.
6
2. OBJETIVOS
Cada entidad tiene una misión, la cual determina los objetivos y las estrategias
necesarias para cumplirla. Los objetivos pueden ser establecidos mediante un
proceso estructurado o informal dependiendo de la entidad, y junto con la
evaluación de los puntos fuertes y débiles de la entidad, de las oportunidades y
amenazas del entorno, define una estrategia global.
Es responsabilidad de la Administración y la Alta Dirección establecer los objetivos
del negocio y es necesario fijar los objetivos con carácter previo al diseño e
implementación del sistema de control interno, con el fin de controlar y mitigar de
manera adecuada los riesgos que afectan a dichos objetivos.
Los objetivos deben complementarse, estar relacionados entre sí y ser coherentes
con las capacidades y expectativas de la entidad y las unidades empresariales y
sus funciones. Establecer objetivos es un requisito previo para un control interno
eficaz. Los objetivos proporcionan las metas medibles hacia las que la entidad se
mueve al desarrollar sus actividades.
Esta responsabilidad está establecida en los procesos de la administración, como
se presenta a continuación:
Determinar los objetivos estratégicos y seleccionar la estrategia dentro del
contexto de la entidad establecido en su misión y visión.
Establecer los objetivos de la entidad y desarrollar la tolerancia al riesgo
con base en los requerimientos de la entidad según las circunstancias.
Alinear los objetivos con la estrategia de la entidad y el apetito general del
riesgo.
Establecer los objetivos generales y específicos para la entidad y sus
niveles según sean las circunstancias.
7
2.1 Clasificación de los objetivos:
El Marco Integrado de Control Interno establece tres categorías de objetivos que
permiten a las organizaciones centrarse en diferentes aspectos del control interno.
2.1.1 Objetivos operativos
Estos objetivos se relacionan con el cumplimiento de la misión y visión de la
entidad. Hacen referencia a la efectividad y eficiencia de las operaciones, incluidos
sus objetivos de rendimiento financiero y operacional, y la protección de sus
activos frente a posibles pérdidas. Por lo tanto, estos objetivos constituyen la base
para la evaluación del riesgo en relación con la protección de los activos de la
entidad, y la selección y desarrollo de los controles necesarios para mitigar dichos
riesgos. Los objetivos operativos deben reflejar el entorno empresarial, industrial y
económico en que se desenvuelve la entidad; y están relacionados con el
mejoramiento del desempeño financiero, la productividad, la calidad, las prácticas
ambientales, y la innovación y satisfacción de empleados y clientes.
2.1.2 Objetivos de información
Estos objetivos se refieren a la preparación de reportes para uso de la
organización y los accionistas, teniendo en cuenta la veracidad, oportunidad y
transparencia. Estos reportes relacionan la información financiera y no financiera
interna y externa y abarcan aspectos de confiabilidad, oportunidad, transparencia
y demás conceptos establecidos por los reguladores, organismos reconocidos o
políticas de la entidad. La presentación de informes a nivel externo da respuesta a
las regulaciones y normativas establecidas y a las solicitudes de los grupos de
interés, y los informes a nivel interno atienden a las necesidades internas de la
organización tales como la estrategia de la entidad, plan operativo y métricas de
desempeño.
8
2.1.2.1 Informe financiero externo
Estos objetivos se relacionan con el cumplimiento de las obligaciones con los
accionistas. Los estados financieros son solicitados por diferentes partes externas
tales como inversores, organismos públicos, proveedores, entre otros, y deben ser
preparados de acuerdo con los principios de contabilidad pertinentes y cumpliendo
con los siguientes criterios: Relevancia Representación exacta Comparabilidad
Verificabilidad Oportunidad.
Cuentas anuales, Estados financieros intermedios, Publicación de resultados
Distribución de utilidades.
2.1.2.2 Informe no financiero externo
La dirección debe cumplir con las regulaciones y estándares aplicables en la
realización y publicación de informes no financieros externos. Clasifica y resume la
información razonablemente en el nivel apropiado de detalle. Refleja las
actividades subyacentes de la entidad. Presenta transacciones y eventos dentro
de los niveles requeridos de precisión y exactitud pertinente a las necesidades de
los usuarios.
2.1.2.3 Informe financiero y no financiero interno
Los informes internos para la alta dirección deben incluir la información necesaria
para la toma de decisiones. Estos informes soportan la toma decisiones y la
supervisión de la administración de las actividades y desempeño de la entidad. El
reporte interno: Usa el criterio establecido por terceras partes, estándares y
marcos, según sea apropiado. Clasifica y resume la información razonablemente
en el nivel apropiado de detalle. Reflejo de las actividades subyacentes de la
entidad. Presentación de transacciones y eventos dentro de los niveles requeridos
de precisión y exactitud pertinente a las necesidades de los usuarios.
9
2.1.3 Objetivos de cumplimiento
Están relacionados con el cumplimiento de las leyes y regulaciones a las que está
sujeta la entidad. La entidad debe desarrollar sus actividades en función de las
leyes y normas específicas.
El cumplimiento de las políticas y procedimientos de la entidad, a los efectos del
marco, corresponde a objetivos de operaciones.
3. PRINCIPIOS SEGÚN COSO
Principio 1: Demuestra compromiso con la integridad y los valores éticos
El control debe basarse en la integridad y el compromiso ético de las directivas y
accionistas, quienes determinan la importancia del control interno y los estándares
de conducta esperados dentro de la organización. La Junta Directiva y la
Administración en todos los niveles de la entidad deben demostrar a través de sus
instrucciones, acciones, y comportamientos la importancia de la integridad
Estándares de conducta: los estándares de conducta guían a la organización en
comportamientos, actividades y decisiones para la consecución de los objetivos.
La organización demuestra su compromiso con la integridad y los valores éticos
aplicando estándares de conducta, y cuestionándose continuamente, sobre todo
cuando enfrenta situaciones complicadas. La integridad y los valores éticos deben
ser el centro de los mensajes en todas las comunicaciones y capacitaciones de la
entidad.
Principio 2: Ejerce responsabilidad de supervisión
La Junta Directiva demuestra independencia de la administración y ejerce la
supervisión del desarrollo y desempeño del Control Interno. Además, entiende el
negocio y expectativas de los accionistas, clientes, empleados, inversionistas y
10
demás partes, así como los requerimientos legales y de regulación, y los riesgos
relacionados. Estas expectativas y requerimientos ayudan a determinar los
objetivos de la organización, supervisar las responsabilidades de la Junta
Directiva, y administrar los recursos necesarios.
La Junta Directiva es responsable de supervisar y cuestionar objetivamente el
trabajo de la administración. Esta supervisión es apoyada por las estructuras y
procesos establecidos en los niveles de ejecución del negocio. De la misma
manera, el Director Ejecutivo y la Alta Dirección tienen la responsabilidad del
desarrollo e implementación del sistema de control interno. Dependiendo de las
características de la organización estas responsabilidades son llevadas a cabo.
Para llevar a cabo sus funciones adecuadamente, la Junta Directiva debe cumplir
con dos requisitos indispensables, independencia y competencia profesional.
Independencia y competencia profesional: es importante contar con personal
competente, que tenga una formación adecuada, de acuerdo con el cargo que
ocupa y las responsabilidades que tenga. El Área de Recursos Humanos debe
especificar el nivel de competencia requerido para las distintas tareas, así como la
aptitud (conocimientos y habilidades de cada persona), la cual interfiere en el
criterio profesional al momento de diseñar, implementar y desarrollar el control
interno y evaluar su efectividad.
Principio 3: Establece estructura, autoridad, y responsabilidad
La Administración establece, con la supervisión de la Dirección, estructuras, líneas
de reporte, y niveles apropiados de autoridad y responsabilidad para la
consecución de los objetivos.
Las entidades se estructuran a través de varias dimensiones: modelo operativo de
la administración, estructuras legales, subdivisiones, y proveedores de servicios
externos. Cada una de estas dimensiones proporciona una evaluación diferente
11
del sistema de control interno, lo que permite, a través de la propiedad y
responsabilidad de cada nivel, que se desarrolle una revisión y análisis
multidimensional que puede identificar cualquier riesgo y tener un conocimiento
completo e integral del sistema de control interno.
Las estructuras de la organización evolucionan así como la naturaleza del
negocio. Por esta razón, la Administración debe revisar y evaluar continuamente la
relevancia, efectividad y eficacia de las estructuras como apoyo al sistema de
control interno. Para cada estructura la Administración debe diseñar y evaluar las
líneas de reporte para que las responsabilidades sean llevadas a cabo y la
información fluya como es necesario. Además, es necesario verificar que no
existan conflictos de intereses inherentes a la ejecución de las responsabilidades,
a través de la organización y los proveedores de servicios externos.
Principio 4: Demuestra compromiso para la competencia
La organización demuestra compromiso para atraer, desarrollar y retener a
profesionales competentes en alineación con los objetivos. Las políticas y
prácticas de la entidad representan una guía de comportamiento que refleja las
expectativas y requerimientos de los inversionistas, reguladores, y demás
accionistas. Estas permiten definir la competencia necesaria en la organización, y
proporcionan las bases para ejecutar y evaluar el desempeño así como la
determinación de acciones correctivas, cuando sea necesario.
La competencia hace referencia a la capacidad para llevar a cabo las
responsabilidades asignadas, y requiere de habilidades relevantes y pericia, las
cuales se obtienen a lo largo de una experiencia profesional, capacitación y
certificaciones. Esta es expresada en las actitudes, conocimiento y
comportamiento de los individuos cuando llevan a cabo sus responsabilidades.
12
Principio 5: Hace cumplir con las responsabilidades
La organización mantiene individuos relevantes en las responsabilidades de su
control interno para la consecución de los objetivos. El Director Ejecutivo y la Alta
Dirección son responsables del diseño, implementación, aplicación y evaluación
continua de las estructuras, autoridades y responsabilidades necesarias para
establecer la responsabilidad de las acciones para control interno en todos los
niveles de la organización. Dicha responsabilidad (accountability) hace referencia
a la propiedad delegada del desempeño de control interno en la consecución de
los objetivos considerando los riesgos que enfrenta la entidad, y es demostrada en
cada forma de estructura organizacional usada por la entidad.
Principio 6: Especifica objetivos relevantes
La organización define los objetivos con suficiente claridad para permitir la
identificación y evaluación de los riesgos relacionados con los objetivos. Antes de
llevar a cabo la evaluación de riesgos, se deben establecer los objetivos asociados
con los diferentes niveles de la entidad, los objetivos operativos, de
información/Reporting y de cumplimiento, los cuales deben ser consistentes con la
misión de la entidad.
Principio 7: Identifica y analiza los riesgos
La organización identifica los riesgos para la consecución de sus objetivos a través
de la entidad y analiza los riesgos como base para determinar cómo se deben
gestionar. La administración debe considerar los riesgos en todos los niveles de la
organización y tomar las acciones necesarias para responder a estos. En este
proceso se consideran los factores que influyen como la severidad, velocidad y
persistencia del riesgo, la probabilidad de perdida de activos y el impacto
relacionado sobre las actividades de operativas, de reporte y cumplimiento. Así
13
mismo la entidad necesita entender su tolerancia al riesgo y su habilidad para
funcionar y operar dentro de estos niveles de riesgo.
Principio 8: Evalúa el riesgo de fraude
La organización considera la probabilidad de fraude al evaluar los riesgos para la
consecución de los objetivos. La administración debe considerar los posibles actos
de corrupción, ya sean del personal de la entidad o de los proveedores de
servicios externos, que afectan directamente el cumplimiento de los objetivos.
Principio 9: Identifica y analiza cambios importantes
La organización identifica y evalúa cambios que podrían impactar
significativamente el Sistema de Control Interno. Este proceso se desarrolla
paralelamente a la evaluación de riesgos y requiere que se establezcan controles
para identificar y comunicar los cambios que puedan afectar los objetivos de la
entidad:
Cambios en el ambiente externo.
Cambios físicos del ambiente.
Cambios en el modelo del negocio.
Adquisiciones y ventas de activos significativas.
Operaciones extranjeras.
Crecimiento rápido.
Nuevas tecnologías.
Cambios significativos de personal.
14
Principio 10: Selecciona y desarrolla actividades de control
La organización selecciona y desarrolla actividades de control que contribuyen a la
mitigación de riesgos hasta niveles aceptables para la consecución de los
objetivos.
Las actividades de control apoyan todos los componentes del Sistema de Control
Interno, particularmente el componente de Evaluación de Riesgos. Durante la
evaluación de los riesgos la administración identifica e implementa acciones
necesarias para llevar a cabo las respuestas a los riesgos, y asegurar que dichas
respuestas son apropiadas y oportunas.
Principio 11: Selecciona y desarrolla controles generales sobre tecnología
La organización selecciona y desarrolla actividades de control general sobre la
tecnología para apoyar el cumplimiento de los objetivos. Las actividades de control
y la tecnología se relacionan de dos formas:
La tecnología apoya los procesos del negocio: cuando la tecnología está integrada
en los procesos del negocio, se necesitan actividades de control para mitigar el
riesgo de un funcionamiento inadecuado.
La tecnología se utiliza para automatizar las actividades de control: muchas
actividades de control de una organización están parcial o completamente
automatizadas.
Principio 12: Se implementa a través de políticas y procedimientos
La organización despliega actividades de control a través de políticas que
establecen lo que se espera y los procedimientos que ponen las políticas en
acción. Las políticas reflejan las afirmaciones de la administración sobre lo que
15
debe hacerse para llevar a cabo los controles. Estas afirmaciones deben estar
documentadas, y expresadas tanto explícitamente como implícitamente, a través
de comunicaciones, acciones y decisiones. Los procedimientos son las acciones
para implementar las políticas establecidas.
Principio 13: Usa información relevante
La organización obtiene, o genera y usa, información relevante y de calidad para
apoyar el funcionamiento del control interno. La información con respecto a los
objetivos de la entidad es recolectada a partir de las actividades de la Junta
Directiva y la Alta Dirección, y sintetizada de tal manera que la Administración y
demás persona puedan entender los objetivos y cuál es su rol para la consecución
de los mismos.
La administración debe desarrollar e implementar controles para la identificación
de la información relevante que soporte el correcto funcionamiento de los
componentes. La información proviene de diferentes fuentes y en diferentes
formas. El siguiente cuadro presenta algunos ejemplos de datos internos y
externos y fuentes de las cuales la administración puede obtener información útil y
relevante para el control interno.
Principio 14: Comunica internamente
La organización comunica internamente la información, incluyendo objetivos y
responsabilidades para control interno, necesarias para apoyar el funcionamiento
del Sistema de Control Interno. De esta manera, la Administración debe establecer
e implementar políticas y procedimientos que faciliten una comunicación interna
efectiva.
16
Principio 15: Comunica externamente
La organización se comunica con los grupos de interés externos en relación con
los aspectos que afectan el funcionamiento del control interno. La organización
debe desarrollar e implementar controles que faciliten la comunicación externa.
Este proceso debe incluir las políticas y procedimientos para obtener y recibir
información de partes externas, y compartir dicha información internamente.
La comunicación con terceras partes permite que estas entiendan eventos,
actividades y circunstancias que puedan afectar su interacción con la entidad. Al
mismo tiempo, la información que la entidad pueda recibir de terceras partes
puede proporcionar información importante sobre el sistema de control interno.
Principio 16: Conduce evaluaciones continuas y/o independientes
La organización selecciona, desarrolla y lleva a cabo evaluaciones continuas y/o
independientes para determinar si los componentes del sistema de control interno
están presentes y funcionando.
Las actividades de monitoreo y supervisión son llevadas a cabo a través de
evaluaciones continuas e independientes. Las evaluaciones continuas están
integradas en los procesos de negocio en los diferentes niveles de la entidad y
suministran información oportuna, debido a que permiten una supervisión en
tiempo real y gran rapidez de adaptación. El uso de la tecnología apoya las
evaluaciones continuas, tienen un alto estándar de objetividad y permiten una
revisión eficiente de grandes cantidades de datos a un bajo costo.
Las evaluaciones independientes se ejecutan periódicamente y pueden variar en
alcance y frecuencia dependiendo de la evaluación de riesgos, la efectividad de
las evaluaciones continuas, y otras consideraciones de la Dirección. Estas
evaluaciones no están incluidas en los procesos del negocio, pero permiten
17
determinar si cada uno de los componentes está presente y funcionando. Las
evaluaciones incluyen observaciones, investigaciones, revisiones y exámenes,
apropiados para determinar si los controles para llevar a cabo los principios a
través de la entidad son diseñados, implementados y conducidos.
Principio 17: Evalúa y comunica deficiencia
La organización evalúa y comunica las deficiencias de control interno de forma
oportuna a las partes responsables de aplicar medidas correctivas, incluyendo la
alta Dirección y el Consejo, según corresponda. Las deficiencias en lo
componentes y principios de control interno pueden surgir de diferentes maneras:
Actividades de monitoreo.
Otros componentes del sistema de control interno.
Partes externas.
4. ESTRUCTURA Y ELEMENTOS DEL COSO II
4.1 Estructura
Las entidades se estructuran a través de varias dimensiones: modelo operativo de
la administración, estructuras legales, subdivisiones, y proveedores de servicios
externos. Cada una de estas dimensiones proporciona una evaluación diferente
del sistema de control interno, lo que permite a través de la propiedad y
responsabilidad de cada nivel que se desarrolle una revisión y análisis
multidimensional que puede identificar cualquier riesgo y tener un conocimiento
completo e integral del sistema de control interno.
Las estructuras de la organización evolucionan así como la naturaleza del
negocio. Por esta razón la administración debe revisar y evaluar continuamente la
relevancia, efectividad y eficacia de las estructuras como apoyo al sistema de
18
control interno. Para cada estructura la administración debe diseñar y evaluar las
líneas de reporte para que las responsabilidades sean llevadas a cabo y la
información fluya como sea necesario. Además es necesario verificar que no
existan conflictos de interés inherentes a la ejecución de las responsabilidades a
través de la organización y los proveedores de servicios externos.
Cuando se evalúan las estructuras se debe tener en cuenta:
Naturaleza, tamaño y distribución geográfica del negocio de la entidad.
Riesgos relacionados a los objetivos y procesos de negocio de la entidad.
Naturaleza de la asignación de autoridad y responsabilidades a la cabeza,
unidad operativa, funcional y administración geográfica.
Definición de líneas de reporte y canales de comunicación.
Requerimientos de reporte financiero, de impuestos, regulatorios y demás,
de jurisdicciones pertinentes.
Delegación de responsabilidades: Todos los miembros de la entidad son
responsables del control interno. El director general o presidente ejecutivo
es el primer responsable, debido a que es quien fija las pautas a seguir,
influyendo en la integridad, la ética y los demás factores para la
consecución de un entorno de control favorable. El director designa al
responsable de cada función y establece las políticas y procedimientos de
control interno específicos.
Filosofía y estilo de la dirección: Los estilos gerenciales marcan el nivel
de riesgo empresarial y pueden afectar al sistema de control interno. Un
planteo empresarial orientado excesivamente al riesgo o no tomar en
cuenta los aspectos de control son indicativos de riesgo en el control
interno. Una gerencia que sin dejar de afrontar riesgos toma en cuenta
todos los elementos necesarios para su seguimiento evitando riesgos
19
inadecuados crea un ambiente propicio para control interno en la
organización.
Estructura y plan organizacional: Todo organismo debe desarrollar una
estructura organizacional que atienda al cumplimiento de su misión y
objetivos, la cual debe estar plasmada en algún tipo de herramienta gráfica.
La estructura organizacional representada en un organigrama constituye el
marco formal de autoridad y responsabilidades, definiendo los puestos de
trabajo y las actividades a desempeñar con el fin de alcanzar los objetivos
definidos por la alta gerencia de la organización. Dichas actividades se
presentan clasificadas como de gestión, planificación o control.
Políticas y prácticas de los recursos humanos: El personal es el recurso
más valioso que posee cualquier organismo, por ende debe ser tratado y
conducido de forma tal que se consiga su mayor rendimiento. Debe
procurarse su satisfacción y realización personal en el trabajo que realiza,
tendiendo a que este se enriquezca. Para lograr este objetivo la dirección
debe realizar diferentes actividades al momento de selección, capacitación,
rotación y promoción del personal. Así mismo cuando se aplican sanciones
disciplinarias.
Es importante que el personal este bien preparado para hacer frente a nuevos
retos a medida que las empresas se enfrentan a cambios y se hacen más
complejas, debido a los rápidos cambios que se producen en el mundo de la
tecnología y el aumento de la competencia. La instrucción y formación deben
preparar al personal para desarrollar su trabajo eficazmente, lo que al mismo
tiempo permitirá que la entidad ponga en marcha iniciativas de calidad. Este
proceso debe ser continuo.
La administración debe establecer las estructuras y procesos en todos los niveles
de la organización, tales como:
20
Búsqueda de candidatos apropiados para la cultura de la entidad, estilo
operativo, y necesidades organizacionales, y quienes tengan la
competencia para los cargos propuestos.
Permitir que los individuos desarrollen competencias apropiadas para los
roles y responsabilidades asignadas, refuerzo de estándares de conducta,
niveles de competencia esperados para una tarea específica, formación a
medida basada en los roles y necesidades, considerando diferentes
técnicas como instrucción en salón de clases, estudio autónomo y
capacitación para el trabajo.
Proporcionar dirección al desempeño individual hacia las expectativas de
los estándares de conducta y competencia, alinear las habilidades y
experiencia individual a los objetivos de la entidad, y ayudar al personal a
adaptarse a un entorno de evolución.
Medir el desempeño de los individuos en relación al cumplimiento de los
objetivos y demostración de conductas esperadas, y en contraste con
acuerdos de nivel de servicio u otras normas acordadas para y compensar
proveedores de servicios externos.
Proporcionar incentivos para motivar y reforzar los niveles esperados de
desempeño y conducta deseada, incluyendo capacitación y acreditación
según se apropiado.
A través de estos procesos, cualquier comportamiento inconsistente con los
estándares de conducta, políticas y prácticas, y responsabilidades de control
interno, es identificado, evaluado y corregido de manera oportuna, o dirigido a los
niveles correspondientes en la organización.
21
4.2 Elementos del COSO
Dentro del modelo de negocios hay cuatro elementos que se basan en el círculo
Deming: planear, hacer, verificar y actuar (plan, do, check, act cycle). En el modelo
se presentan como planificación del negocio, ejecución, monitoreo y adaptación.
Planificación del negocio: articula las metas específicas o planes de
trabajo sobre el modo como la administración contribuye al logro de los
objetivos de la estrategia general. Explica por qué esos objetivos son
alcanzables y proporciona un proceso favorable para la implementación y
ejecución de la estrategia corporativa a través de la organización dentro del
horizonte de planificación especifica.
Ejecución: consiste en las operaciones centrales de la organización,
relacionadas con el diseño, construcción y operación de los procesos que
hacen que el planeamiento funciones cumpla con el rendimiento esperado
de acuerdo con los valores y estrategia de la organización.
Monitoreo: envuelve las actividades establecidas por la administración
para la revisión y supervisión de la ejecución de las operaciones de la
organización en relación con el plan estratégico general, incluyendo un nivel
aceptable de riesgo. Las actividades de monitoreo consideran tanto las
medidas de rendimiento que demuestran el progreso hacia el logro de los
objetivos del negocio como las metas estratégicas a largo plazo; así como
las métricas de riesgo para asegurar que el riesgo se mantiene en niveles
aceptables.
Adaptación: describe los procesos organizativos, mediante los cuales los
problemas identificados a través de las actividades de monitoreo exigen
acciones de seguimiento y corrección de la administración, y son traducidos
22
a cambios ejecutables en la estrategia corporativa, plan de negocios, o
tácticas de ejecución. La adaptación es esencial cuando se considera la
capacidad de recuperación y agilidad de la empresa, elementos vitales para
el éxito en un entorno de negocios que cambia rápidamente.
A partir de los cinco componentes del sistema de control interno se puede abordar
y analizar la realidad de la organización obteniendo un diagnóstico organizacional
en cuanto a estructura, procesos, sistemas, procedimientos y recursos humanos.
Existe una relación directa entre los objetivos de la entidad, los componentes y la
estructura organizacional que es representada en forma de cubo de la siguiente
manera:
5. MÉTODOS DE EVALUACIÓN SEGÚN COSO II
El Consejo de Administración
Los miembros del consejo junto con la alta dirección deben analizar el sistema de
control interno de la entidad y efectuar su supervisión. La alta dirección rinde
cuentas por el control interno al consejo de administración, y este debe establecer
las políticas y expectativas sobre cómo deben supervisar los miembros del
23
consejo el control interno. El consejo debe conocer los riesgos para la
consecución de los objetivos de la entidad, las evaluaciones de las deficiencias del
control interno, las medidas adoptadas por la dirección para mitigar dichos riesgos
y deficiencias, y cómo la dirección evalúa el sistema de control interno. Así mismo,
el consejo de administración asume un rol fundamental en la definición de las
expectativas en cuanto a la integridad y los valores éticos, la transparencia y las
responsabilidades, en el marco del funcionamiento del sistema de control Interno.
Alta Dirección
Debe evaluar el sistema de control interno en relación con el marco integrado de
control interno, centrándose en la manera como la entidad aplica los diecisiete
principios para respaldar los componentes del control interno. Asimismo, debe dar
consejo y dirección a la Administración, realizar una gestión constructiva y
exigente, aprobar políticas y transacciones y supervisar las actividades de la
administración.
La Dirección tiene un papel fundamental en el control interno de la organización,
pues establece la importancia del sistema de control interno y los estándares de
conducta a través de la organización. Los directivos y demás personal de la
entidad deben revisar los cambios de la nueva versión del Marco Integrado de
Control Interno, y evaluar las implicaciones en el actual sistema de control interno
de la entidad.
Auditores internos
Deben revisar los planes de auditoría y evaluar los cambios en el marco para
considerar las posibles consecuencias en los planes de auditoría, en las
evaluaciones y cualquier información generada sobre el sistema de control interno.
Las actividades de auditoría deben ser llevadas a cabo por profesionales
competentes y en alineación con los riesgos relevantes para la entidad.
24
Auditores externos
Cuando un auditor externo es contratado para evaluar el sistema de control
Interno de a entidad, puede evaluar el sistema en relación con el marco integrado
de control interno, centrándose en la manera como la entidad ha seleccionado,
desarrollado y desplegado los controles que incidan en los principios asociados a
los componentes del control interno.
Herramientas ilustrativas para evaluar la eficacia del Sistema de
Control Interno
El marco integrado de control interno presenta un apartado titulado herramientas
ilustrativas para evaluar la eficacia del sistema de control interno, el cual es una
ayuda muy útil para evaluar la efectividad del sistema de control Interno de una
organización sobre la base de los requisitos establecidos en el marco. Para esto,
el marco presenta una serie de plantillas o formularios que dan una guía para la
realización del trabajo a través de ejemplos de cómo desarrollar las evaluaciones.
Estos formularios pueden ser personalizados acorde con las necesidades y
características de la organización y demás aspectos que la administración
considere necesarios para la evaluación del sistema de control interno. Además,
permiten presentar un resumen de los resultados de la evaluación por principios,
componentes y sistemas de control interno en general.
La administración puede utilizar estos formularios con diferentes finalidades:
Apoyar la determinación de si los componentes y principios están presentes
y funcionando correctamente.
Apoyar la evaluación de si los componentes del sistema de control interno
están operando al mismo tiempo de una manera integrada.
25
Apoyar la evaluación de la eficacia del sistema de control interno en
relación con una o más categorías de objetivos.
Documentar la evaluación general de la administración en relación con la
efectividad del sistema de control interno, considerando los componentes y
principios.
Documentar las deficiencias encontradas durante el proceso de evaluación.
La organización selecciona, desarrolla y lleva a cabo evaluaciones continuas y/o
independientes para determinar si los componentes del sistema de control interno
están presentes y funcionando.
Las actividades de monitoreo y supervisión son llevadas a cabo a través de
evaluaciones continuas e independientes.
Las evaluaciones continuas: están integradas en los procesos de negocio en los
diferentes niveles de la entidad y suministran información oportuna, debido a que
permiten una supervisión en tiempo real y gran rapidez de adaptación. El uso de la
tecnología apoya las evaluaciones continuas, tienen un alto estándar de
objetividad y permiten una revisión eficiente de grandes cantidades de datos a un
bajo costo.
Las evaluaciones independientes: se ejecutan periódicamente y pueden variar
en alcance y frecuencia dependiendo de la evaluación de riesgos, la efectividad de
las evaluaciones continuas, y otras consideraciones de la Dirección. Estas
evaluaciones no están incluidas en los procesos del negocio, pero permiten
determinar si cada uno de los componentes está presente y funcionando. Las
evaluaciones incluyen observaciones, investigaciones, revisiones y exámenes,
26
apropiados para determinar si los controles para llevar a cabo los principios a
través de la entidad son diseñados, implementados y conducidos.
Existen diferentes enfoques para llevar a cabo las evaluaciones independientes,
algunos de los cuales son:
Evaluaciones de auditoria interna.
Otras evaluaciones objetivas.
Evaluaciones a través de las unidades operativas o funcionales.
Comparativa del mercado/evaluaciones de pares.
Autoevaluaciones.
La Administración selecciona, desarrolla y lleva a cabo una combinación de las
evaluaciones continuas e independientes de acuerdo con el alcance y naturaleza
de las operaciones de la entidad, cambios en factores internos y externos, y los
riesgos asociados a las evaluaciones. Para llevar a cabo las evaluaciones, la
administración debe considerar el índice de cambios, lo cual determina qué tipo de
evaluación es apropiado realizar.
6. COMUNICACIÓN DE DEFICIENCIAS DEL CONTROL INTERNO
Una deficiencia es definida como un defecto en uno o más componentes y
principios relevantes que reduce la probabilidad de que la entidad logre sus
objetivos.
Los sistemas de control interno cambian constantemente, debido a que los
procedimientos que eran eficaces en un momento dado, pueden perder su eficacia
(ser deficientes) por diferentes motivos, como la incorporación o reducción de
empleados, restricciones de recursos, entre otros
Cuando se determina que existe una deficiencia grave respecto a la presencia y
funcionamiento de un componente o principio del Sistema de Control Interno, la
27
organización no puede concluir que ha cumplido con los requisitos de un sistema
de control interno
La organización evalúa y comunica las deficiencias de control interno de forma
oportuna a las partes responsables de aplicar medidas correctivas, incluyendo la
alta Dirección y el Consejo (Junta Directiva), según corresponda ya que la
administración monitorea si las deficiencias son corregidas oportunamente.
Las deficiencias en los componentes y principios de control interno pueden surgir
de diferentes maneras:
Actividades de monitoreo.
Otros componentes del sistema de control interno.
Partes externas.
Deficiencia de control interno: defecto en un componente y en los principios
relevantes, que reduce la probabilidad de que la entidad logre sus objetivos.
Deficiencia importante/mayor: deficiencia del control interno o combinación de
deficiencias que de manera severa reducen la probabilidad de que la entidad
pueda lograr sus objetivos. También se presenta cuando uno o más componentes
no están presentes o funcionando
Las deficiencias o debilidades encontradas en el Sistema de Control Interno deben
ser comunicadas y documentadas durante el proceso de evaluación a las partes
indicadas en la organización y oportunamente para que se adopten las medidas
necesarias. Este proceso se denomina Informe de deficiencias, y le permite a la
Dirección estar enterada de lo que no está funcionando en forma adecuada.
Formulario de resumen de deficiencias de control interno Aporta un registro de
todas las deficiencias del Control Interno que se han encontrado, y que se pueden
aprovechar en la evaluación de los componentes y principios.
28
7. ESTRUCTURA DEL CONTROL INTERNO AL PLANIFICAR LA AUDITORIA
La planeación implica elaborar la estrategia de auditoría de forma regular
(anualmente) así como orientarla a los principales riesgos y expectativas de la
organización. Los objetivos de la planeación son:
a) Obtener un entendimiento del negocio de la entidad, su ambiente
circundante (industria), políticas y prácticas desarrolladas.
b) Entender los objetivos de la organización.
c) Realizar la valoración de riesgos de la organización, partiendo de la gestión
de riesgos, así como para aquellos casos en que la compañía no cuenta
con dicha gestión, elaborar la correspondiente evaluación por parte de
Auditoría Interna, previo acuerdo con la administración, determinando así el
perfil de riesgo de la organización.
d) Entender los controles generales relevantes de la entidad.
e) Identificar aquellos procesos con debilidades y los cuales pueden tener
oportunidades de mejora.
f) Desarrollar la estrategia de auditoría involucrando el resultado de la
valoración de riesgos identificados, los objetivos de la organización y los
procesos con oportunidades de mejora importantes, de tal forma que se
determinen el nivel de prioridades a auditar.
g) Definir oportunamente los recursos necesarios para el cumplimiento del
plan.
h) Actualizar de acuerdo a los cambios en la organización el Plan de Auditoria.
29
Control interno: Proceso diseñado, implementado y mantenido por las personas
a cargo del gobierno corporativo, de la administración y por otro personal de una
entidad, para proporcionarle a esta una seguridad razonable, para el logro de sus
objetivos en cuanto a la confiabilidad de su información financiera, la eficacia y
eficiencia de sus operaciones y el cumplimiento con las leyes y reglamentos que le
son aplicables. El término “controles” se refiere a cualquier aspecto de uno o de
varios de los componentes del control interno.
Procedimiento de evaluación de riesgo: Procedimientos de auditoría aplicados
por el auditor con el propósito de obtener un conocimiento y entendimiento de la
entidad, de su entorno y de su control interno, con el fin de identificar y evaluar los
riesgos más significativos, debido ya sea a fraude o a error en los objetivos que
persigue la organización.
Tipos de objetivos
Tanto las compañías como sus procesos deben tener definidos unos objetivos y
unas estrategias para lograr su cumplimiento.
De acuerdo con COSO, existen los siguientes tipos de objetivos a los que las
compañías deben apuntar en el desarrollo de sus actividades:
Eficacia y eficiencia de las operaciones
Confiabilidad de la Información financiera
Cumplimiento de las leyes y normas aplicables
Conservación de los Activos
30
Los objetivos se deben definir a nivel de la entidad y a nivel de procesos, así como
deben estar alineados de tal forma que exista una adecuada sincronización dentro
de la organización con los riesgos y controles definidos.
Ejemplo: Si mi objetivo operacional de negocio es crecer el 15% en ventas, el
objetivo de mi proceso de ventas debe ser el mismo al igual que las actividades
que voy a desarrollar para lograr esa meta. El alcance de los auditores debe estar
encaminado a asegurar el cumplimiento de estos objetivos dependiendo el tipo de
auditoría que realicemos.
Tipos de riesgos que se identifican en un enfoque basado en riesgos
Riesgos de negocio
Riesgos financieros
Riesgos de fraude
Riesgos de procesos
Riesgos de cumplimiento
Riesgos Tecnológicos
8. COMPONENTES DEL CONTROL INTERNO EN LA PLANEACION DE UNA
AUDITORIA
Ambiente de control
El ambiente de control define los parámetros para un buen funcionamiento de una
empresa e influye en el comportamiento de sus empleados respecto al control. Es
la base de todos los demás componentes del control interno, aportando disciplina
y estructura. El ambiente de control incluye la integridad, los valores éticos y la
capacidad de los empleados de la empresa, Comités de Auditoría, la filosofía de
dirección y el estilo de gestión, la manera en que la dirección asigna autoridad y
las responsabilidades y organiza y desarrolla profesionalmente a sus empleados.
31
Es así como el auditor deberá lograr una comprensión adecuada del ambiente de
control en que opera la entidad, para lo cual deberá evaluar si:
a) La administración bajo la vigilancia de los encargados del gobierno
corporativo, ha creado, mantenido y fomentado una cultura de honestidad y
comportamiento ético.
b) Las fortalezas de los elementos del ambiente de control, de manera
conjunta, proporcionan un sustento adecuado para los otros componentes
del control interno, y si estos otros componentes resultan afectados
negativamente debido a las debilidades en los elementos del ambiente de
control
Proceso de evaluación de riesgos
La evaluación de los riesgos consiste en la identificación y el análisis de los
riesgos relevantes para la consecución de los objetivos, y sirve de base para
determinar cómo han de ser gestionados los riesgos. Debido a que las
condiciones económicas, industriales, legislativas y operativas continuarán
cambiando continuamente, es necesario que las organizaciones dispongan de
mecanismos para identificar y afrontar los riesgos asociados con el cambio.
En la fase de planeación el auditor deberá investigar y entender si la entidad tiene
establecido un proceso para:
1) Identificar los riesgos de negocio que son relevantes para el logro de los
objetivos de la información financiera;
2) Estimar la importancia de los riesgos;
3) Evaluar la probabilidad de su ocurrencia, y
4) Decidir sobre las acciones a seguir para hacer frente a esos riesgos
32
9. Sistemas de información, incluidos los relacionados con los procesos de
negocio que son relevantes para la información financiera y de
comunicación
De acuerdo con el modelo COSO se debe identificar, recopilar y comunicar
información pertinente en forma y plazo que permitan cumplir a cada empleado
con sus responsabilidades. Los sistemas informáticos producen informes que
contienen información operativa, financiera y datos sobre el cumplimiento de las
normas que permite dirigir y controlar el negocio de forma adecuada.
Actividades de control relevantes para la auditoría
Las actividades de control son las políticas y los procedimientos que ayudan a
asegurar que se lleven a cabo las instrucciones de la dirección de la empresa.
Ayudan a asegurar que se tomen las medidas necesarias para controlar los
riesgos relacionados con la consecución de los objetivos de la empresa. Hay
actividades de control en toda la organización, a todos los niveles y en todas las
funciones.
Actividades de control:
Revisiones de nivel superior
Procesamiento de información
Segregación de funciones
Controles Físicos
Indicadores de rendimiento
El auditor deberá obtener una comprensión de las actividades de control que son
relevantes según los riesgos y objetivos de la organización.
33
Monitoreo
Es preciso supervisar continuamente los controles internos para asegurarse de
que el proceso funciona según lo previsto. Esto es muy importante porque a
medida que cambian los factores internos y externos, los controles que una vez
resultaron idóneos y efectivos pueden dejar de ser adecuados y dejar de dar a la
dirección la razonable seguridad que ofrecían antes.
De acuerdo a lo anterior se deberá obtener un entendimiento de las principales
actividades que la entidad tiene implementadas para efectos de monitorear el
control interno, así como de las medidas correctivas para las deficiencias
determinadas en sus controles. Igualmente la Función de Auditoria Interna
participa de forma activa en el monitoreo de las actividades de la organización.
El nivel de confianza que se dé a los controles de monitoreo depende factores
tales como la calidad de la información, el conocimiento y experiencia de las
personas, el seguimiento oportuno de la gerencia y la ausencia de riesgo de
fraude entre otros.
34
CONCLUSIONES
El modelo COSO, es una herramienta útil para implementar el Control Interno de
una Empresa, como también evaluar si el Control Interno se maneja
adecuadamente, ya que establece Objetivos, Componentes, Principios y Unidades
de Aplicación, por medio de los cuales se puede tener un Control Interno eficiente,
a la vez, este modelo pone mucha importancia a la Gestión de Riesgo.
Para que el control interno sea eficiente se deben de implementar objetivos claros
y concisos, así también un esquema para el funcionamiento del mismo, sin olvidar
tomar conciencia de una buena estrategia para echar a andar nuestro plan y por
consiguiente se obtendrán los resultados esperados que garanticen la prevención
de los riesgos latentes en cada entidad.
Una deficiencia es definida como un defecto (error) en uno o más componentes y
principios relevantes que reduce la probabilidad de que la entidad logre sus
objetivos.
Las deficiencias no se refieren únicamente a los errores en los procesos o
sistemas en el control interno sino también a la desactualización de los manuales,
sistemas y procesos ya que estos deben ser modificados cada cierto tiempo para
las mejoras en la continuidad de la empresa.
La Administración selecciona, desarrolla y lleva a cabo una combinación de las
evaluaciones continuas e independientes de acuerdo con el alcance y naturaleza
de las operaciones de la entidad, cambios en factores internos y externos, y los
riesgos asociados a las evaluaciones.
35
RECOMENDACIONES
Impulsar la implementación del Modelo COSO, en las empresas del territorio de
Guatemala, ya que es un tema que no es tan conocido en las empresas
nacionales, y de esta manera obtener una mejor implementación del Control
Interno en cada entidad, ya sea Pequeñas o Medianas, tomando en cuenta que el
modelo COSO, cuenta con tres versiones, dando opción a cada empresa para
adoptar el modelo que se acople de mejor manera a sus necesidades.
Es importante que cada organización tome en cuenta que el planteamiento de los
objetivos se deriva del tipo de actividad que realice, al tener claro este punto, se
lograra a cabalidad el cumplimiento de cada uno de ellos, así también el control
interno será eficiente y no se correrán riesgos en los procedimientos que se
realicen dentro de la misma.
Las deficiencias o debilidades encontradas en el Sistema de Control Interno deben
ser comunicadas y sobre todo documentadas durante el proceso de evaluación a
las partes indicadas en la organización y oportunamente para que se adopten las
medidas necesarias. Este proceso se denomina Informe de deficiencias, y le
permite a la Dirección estar enterada de lo que no está funcionando en forma
adecuada.
Cada profesional debe tener soporte y evidencia al comunicarle distintas
situaciones a la Junta Directiva o a la alta Dirección, en este caso es necesario
utilizar un formulario de resumen de deficiencias para detallar la descripción, el
origen, la severidad, las personas responsables, el plan de remediación, el
impacto causado y si otros factores pudieron haber contribuido a esta deficiencia.
Se debe valorar al elemento humano en un nivel superior y primerizo ya que es el
más importante, dándole sus debidas capacitaciones y procurar mantener el
ambiente mejor posible. Éste elemento es clave para la conformación de las
estructuras.