Академический Документы
Профессиональный Документы
Культура Документы
CONTENIDO
INTRODUCCION. 1
INTRODUCCION
En un ambiente de evolución permanente, determinado por las actuales tendencias mundiales, las cuales se centran en el
plano económico soportadas por la evolución tecnológica, surge la necesidad de que la función de auditoría interna
pretenda el mejoramiento de su gestión.
Los tópicos que se comentan a continuación se refieren a la práctica de nuevas técnicas para evaluar el control interno a
través de las cuales, la función de auditoria interna pretende mejorar la efectividad de su función y con ello ofrecer
servicios más eficientes y con un valor agregado.
En la evolución de la teoría del control interno se definió en principio a los controles como mecanismos o prácticas para
prevenir o identificar actividades no autorizadas, más tarde se incluyó el concepto de lograr que las cosas se hagan; la
corriente actual define al control como cualquier esfuerzo que se realice para aumentar las posibilidades de que se logren
los objetivos de la organización.
En este proceso evolutivo se considera act ualmente, y en muchas organizaciones, al Director de Finanzas, Contralor o al
Director de Auditoría como los responsables principales del correcto diseño y adecuado funcionamiento de los controles
internos.
A la auditoría externa también le corresponde ev aluar el control interno contable de acuerdo a los parámetros
establecidos en las Normas de Auditoría Generalmente Aceptados.
a. MODELO COSO.
La actual definición del control interno emitida por The Committee of Sponsoring Organizations of the Treadway
Commission de los Estados Unidos de Norteamérica, a través del documento denominado “Control Interno-Marco
Integrado” mejor conocido como el Modelo de Control COSO, amplia el concepto de la siguiente manera:
“...un proceso ...efectuado por la Junta Directiva de la entidad, por la Administración y por
otro personal ...diseñado para proporcionar a la administración un aseguramiento razonable
con respecto al logro de los objetivos...”
En este sentido se entiende que el control interno se encuentra sobre las personas y, en consecuencia, en cualquier parte
de los sistemas, procesos, funciones o actividades y no en forma separada como teóricamente se pudiera interpretar de
los enunciados del proceso administrativo, que declara que la administración organiza, planea , dirige y controla.
La estructura del control interno, propuesta por el modelo COSO, identifica cinco componentes interrelacionados:
1. Ambiente de Control.
2. Evaluación de riesgos.
3. Actividades de control.
4. Información y comunicación.
5. Monitoreo.
1. Ambiente de Control
2- Evaluación de riesgos
Es la identificación y análisis de los riesgos que se relacionan con el logro de los objetivos; la administración
debe cuantificar su magnitud, proyectar su probabilidad y sus posibles consecuencias.
• La reestructuración corporativa.
• El rápido crecimiento.
El enfoque no se determina en el uso de una metodología particular de evaluación de riesgos, sino en la realización de la
evaluación de riesgos como una parte natural del proceso de planeación.
3. Actividades de control
Las actividades de control ocurren a lo largo de la organización, en todos los niveles y todas las funciones, incluyendo los
procesos de aprobación, autorización, conciliaciones, etc. Las actividades de control se clasifican en:
• Controles preventivos.
• Controles detectivos.
• Controles correctivos.
• Controles administrativos.
Las actividades de control deben ser apropiadas para minimizar los riesgos; el personal realiza cada día una gran
variedad de actividades específicas para asegurarse que la organización se adhiera a los planes de acción y al
seguimiento de la consecución de objetivos.
4. Información y comunicaciones
Se debe generar información relevante y comunicarla oportunamente, de tal manera que permita a las personas
entenderla y cumplir con sus responsabilidades.
5. Monitoreo
Los controles internos deben ser “monitoreados” constantemente para asegurarse que el proceso se encuentra
operando como se planeó y comprobar que son efectivos ante los cambios de las situaciones que les dieron origen. El
alcance y la frecuencia del monitoreo dependen de los riesgos que se pretenden cubrir.
Las actividades de monitoreo constante pueden ser implantadas en los propios procesos del negocio o a través de
evaluaciones separadas de la operación, es decir, mediante auditoria interna o externa.
Los controles internos se deben implementar en los procesos del negocio, sin inhibir el desarrollo del proceso operativo.
Los controles que hacen que la ejecución sea lenta, son evitados, lo cual puede ser más dañino que no tener controles,
debido al falso sentido de seguridad.
Los controles son efectivos cuando en los proced imientos no se les recuerda constantemente de su existencia.
• Los procesos del negocio (Los mecanismos por medio de los cuales una organización proporciona bienes
y/o servicios de valor agregado).
b. MODELO COCO.
Dado a conocer por el Instituto Canadiense de Contadores Certificados (CICA), a través de un consejo
encargado de diseñar y emitir criterios o lineamientos generales sobre control. El consejo denominado The Criteria of
Control Board emitió, el modelo comúnmente conocido como COCO.
El modelo busca proporcionar un entendimiento del control y dar respuesta a las tendencias que se observan en los
desarrollos siguientes:
• En el impacto de la tecnología y el recorte a las estructuras organizacionales, que han propiciado un mayor
énfasis sobre el control a través de medios informales, como la visión empresarial compartida, comunión de
valores y una comunicación mas abierta.
• En la creciente demanda de informar públicamente acerca de la efectividad del control, respecto de ciertos
objetivos.
• En el énfasis de las autoridades para establecer controles, como una forma de proteger los intereses de los
accionistas. Algunas autoridades financieras han establecido procedimientos y protocolos de información,
aplicables a las instituciones bajo su jurisdicción.
El modelo pretende proporcionar bases consistentes para dichos requerimientos reguladores, de tal manera
que permitan a las autoridades cumplir sus objetivos, sin que con ello se establezcan requerimientos
excesivos que pudieran atentar contra la eficiencia de la gestión.
El propósito del modelo es desarrollar orientaciones o guías generales para el diseño, evaluación y reportes sobre los
sistemas de control dentro de las organizaciones, incluyendo asuntos gubernamentales en el sect or público y privado.
Æ CRITERIOS
En la estructura del modelo, los criterios son elementos básicos para entender y, en su caso, aplicar el sistema de
control que se comenta. Se requieren adecuados análisis y comparaciones para interpretar los criterios en el contexto de
una organización en particular, y para una evaluación efectiva de los controles implantados.
♦ Propósito.
♦ Compromiso.
♦ Aptitud.
♦ Evaluación y Aprendizaje.
PROPOSITO
3. Las políticas para apoyar el logro de objetivos deben ser comunicadas y practicadas, para que el personal
identifique el alcance de su libertad de actuación.
4. Se deben establecer planes para guiar los esfuerzos.
5. Los objetivos y planes deben incluir metas, parámetros e indicadores de medición del desempeño.
COMPROMISO
APTITUD
1. El personal debe tener los conocimientos, habilidades y herramientas necesarios para el logro de objetivos.
2. El proceso de comunicación debe apoyar los valores de la organización.
3. Se debe identificar y comunicar información suficiente y relevante para el logro de objetivos.
4. Las decisiones y acciones de las diferentes partes de una organización deben ser coordinadas.
5. Las actividades de control deben ser diseñadas como una parte integral de la organización.
EVALUACION Y APRENDIZAJE
1. Se debe monitorear el ambiente interno y externo para identificar información que oriente hacia la reevaluación
de objetivos.
2. El desempeño debe ser evaluado contra metas e indicadores.
3. Las premisas consideradas para el logro de objetivos deben ser revisadas periódicamente.
4. Los sistemas de información deben ser evaluados nuevamente en la medida en que cambien los objetivos y se
precisen deficiencias en la información.
5. Debe comprobarse el cumplimiento de los procedimientos modificados.
6. Se debe evaluar periódicamente el sistema de control e informar de los resultados.
Las guías sobre control establecen criterios para un efectivo control en una organización. Un control efectivo puede
apoyar el éxito de una organización en diferentes formas:
• Al personal, al desarrollar sus funciones puede ejercitar su juicio y creatividad, al tiempo que administra o
controla los riesgos de que ocurran acciones indebidas.
• El personal posee información confiable y está en aptitud de usarla al momento oportuno y al mas
adecuado nivel en la organización.
• La organización puede lograr mejoras en la efectividad y eficiencia y obtener mayor confianza por parte de
terceros interesados.
Las organizaciones que pretendan aplicar los lineamientos de COCO, deberán tener un claro conocimiento y
consideración de los cinco componentes que conforman el Marco Integrado de Control Interno publicado por COSO.
Estos factores son iguales al modelo americano COSO, pero con una propuesta diferente en la manera de la aplicación
práctica.
Se parte de la idea de que la unidad más pequeña en una organización es la persona, tomada individualmente. Una
persona ejecuta una tarea guiada por el entendimiento de:
• Su propósito (objetivo).
Finalmente, es importante reiterar que la misma persona deberá vigilar y evaluar su desempeño, al igual que su entorno,
para aprender de la experiencia y poder ejecutar mejor su tarea, así como para introducir los cambios necesarios.
En este sentido, si se desea aplicar este modelo en una organización, la unidad a considerar puede ser toda la entidad,
una agencia o dependencia de la misma, o subunidades como pueden ser divisiones o departamentos.
El control comprende los elementos de una organización que tomados en conjunto, apoyan al personal en el logro de sus
objetivos organizacionales, los cuales se ubican en las categorías generales siguientes:
• Servicios al cliente.
En esta definición del control se entiende que el mismo conlleva la responsabilidad de identificar y reducir los riesgos,
con mayor énfasis en aquellos que pudieran afectar la viabilidad y éxito de la organización, tales como:
La estructura del modelo canadiense requiere de creatividad para su interpretación y aplicación y es adaptable a
cualquier organización una vez que se adecua a las necesidades de sus propios intereses, o usarla de referencia para
desarrollar un modelo propio.
Todas las organizaciones enfrentan riesgos. Los riesgos afectan la posibilidad de la organización de competir para
mantener su poder financiero y la calidad de sus productos o servicios.
Los riesgos de negocio determinados por la alta dirección incluyen aspectos tales como:
Los riesgos identificados por la alta dirección están directamente relacionados con los procesos críticos en los que se
involucran a diversas áreas de la organización. La función de la auditoría interna es identificar los riesgos y asignar
prioridades de revisión a las actividades con probabilidad de riesgo mayor.
a. CONSIDERACION ES.
Para determi nar de una manera razonada los riesgos operativos de la organización, la auditoría interna puede adoptar
el modelo de evaluación de riesgos, desarrollado por el Departamento de Auditoría del Banco de Canadá.
Para la aplicación de este modelo es necesario incursionar de manera detallada a los criterios seguidos en la
ponderación de la importancia de las diversas operaciones de la Institución y a la eficacia de los controles relativos; para
la consecución de este propósito es necesario guiarse por los elementos del control interno, para estos efectos se pueden
adoptar los propuestos en el marco de control interno del Modelo COCO.
El modelo de evaluación de riesgos esta basado en el marco de control interno de COCO que considera cinco objetivos
del control interno y cinco componentes:
Objetivos.
1. Eficiencia en el costo.
2. Eficacia de las operaciones
3. Confiabilidad de la información.
4. Cumplimiento con la normatividad.
5. Salvaguarda de activos.
Componentes.
1. Ambiente de control.
2. Evaluación del control
3. Actividades de control
4. Información y comunicación
5. Monitoreo o Supervisión.
1º La importancia de cada subfunción de la organización, frente a los cinco objetivos del control.
2º. Se asigna un valor matemático de 1 al menos importante y de 4 al mas crítico. La asignación de estos valores es
subjetiva.
3º. Se estima la eficacia de los controles internos dentro de cada uno de los cinco componentes.
Los valores asignados se ponderan por cada uno de los componentes y representan el riesgo residual posterior
a la operación de los controles. En este sentido un valor menor refleja ma s confianza en el funcionamiento
efectivo del control.
El Dynamik Control Assessment (Evaluación Dinámica de Control) es una metodología desarrollada por la auditoría
interna del Banco de Canadá en su versión particular de la metodología Control Self Assessment (CSA), conocida como
Autoevaluación de Control.
Este concepto se deriva y queda implícito en las teorías modernas del control. En la estructura de los modelos COSO y
COCO se definen los componentes que estructuran el marco integrado de control, en ellos se involucra al personal en
todos los niveles jerárquicos de la organización y a todas las actividades del negocio, desde las políticas y metas de la
alta dirección, hasta los sistemas, procedimientos y actividades a establecer para evaluar los controles que apoyan el
logro de los objetivos que les han sido encomendados.
Es importante señalar que la autoevaluación de controles puede revolucionar los servicios que la auditoría interna
proporciona. Esta metodología aplicada en forma adecuada ofrece hacer más, con menos recursos y establece los
mecanismos para la evaluación de los controles tanto informales como formales.
Para desarrollar esta metodología es necesario identificar los controles informales que se ubican en el componente
ambiente de control y los controles formales en los restantes cuatro componentes del marco integrado. (evaluación de
control, actividades de control, comunicación y monitoreo)
El método contempla la realización de talleres para obtener una amplia representación de las perspectivas que apoyan u
obstaculizan el logro de objetivos.
Profesionales de la auditoría interna organizan los talleres con el personal operativo, sin la participación de la alta
dirección.
Estos eventos pueden realizarse sobre unidades de trabajo o por funciones específicas. La gerencia responsable, objeto
de análisis, debe definir los objetivos de trabajo más importantes, así como los controles que coadyuven a su
consecución.
Los participantes evalúan las fortalezas y debilidades de sus procesos de trabajo y comentan el impacto en la capacidad
para alcanzar los objetivos propuestos.
Para estructurar las discusiones, se utilizan plantillas para evaluar el riesgo de auditoría y fijación de prioridades,
prevista en el modelo COSO.
Este procedimiento una vez automatizado proporciona las plantillas, recoge los resultados de todos los votos de los
participantes, captura los aspectos relevantes de la discusión y facilita en posterior análisis de los resultados.
En estos talleres se evalúan los controles formales e informales, utilizando el mismo criterio en cada taller para facilitar la
acumulación y comparaciones en el ámbito de toda la organización.
Los participantes votan para definir la importancia de cada aspecto y para evaluar la eficacia.
La definición de los co ntroles específicos se realiza mediante una reunión y se identifican y agrupan bajo cuatro
componentes de control:
• Evaluación de Riesgos.
• Actividades de Control.
• Información y Comunicación.
• Monitoreo o Supervisión.
En esta misma reunión se obtiene el consenso de la gerencia respecto a la importancia y eficacia de los controles
propuestos en apoyo del logro de los objetivos y con la información obtenida se elaboran plantillas para discusión y
votación.
La discusión se realiza en cuanto a las actividades de control dentro de los componentes y la votación se realiza para
definir la importancia y eficacia de dichas actividades.
c. INFORME DE RESULTADOS.
La gerencia recibe el reporte de calificaciones y evaluaciones, el cual constituye la base para el intercambio de ideas entre
la gerencia y el departamento de auditoría interna, que incluye cualquier asunto de interés precisado para su posterior
negociación sobre las acciones a tomar para su atención.
La gerencia del departamento evaluado recibe un informe consolidado de la Autoevaluación de Control que proporciona
una visión general de los controles formales e informales y también recibe un reporte del Perfil de Confianza, que
compara la evaluación de los controles de cada componente contra el nivel general de toda la organización.
Con la participación del departamento de auditoría interna en el proceso de Autoevaluación de Control se obtiene
información valiosa respecto a controles potenciales, por la especialización que tiene en esta materia.
La auditoría adquiere un conocimiento integral de las operaciones y para efectos de revisiones subsecuentes, ayuda a
identificar las prioridades en el proceso de planeación de sus actividades.
IV ASEGURAMIENTO DE LA CALIDAD EN LA
FUNCION DE AUDITORIA INTERNA
Los Statements on Internal Auditing Standars de The Institute of Internal Auditors proporciona orientaciones para la
implementación de un Programa de Seguridad en la Calidad en un Departamento de Auditoría Interna.
Para que un Departamento de Auditoría Interna mantenga su capacidad de realizar sus funciones de manera eficiente y
efectiva, debe considerar que la seguridad en la calidad es un elemento de apoyo indispensable y permanente; también
lo es para conservar un alto grado de credibilidad y prestigio ante la Dirección General y otras instancias cuyo trabajo se
apoya en la actuación del Departamento de Auditoría Interna.
a. Supervisión.
b. Revisiones Internas.
c. Revisiones Externas.
Un criterio básico contra el cual se debe medir el Departamento de Auditoría Interna, es su propio Manual de
Organización.
a. LA SUPERVISIÓN del trabajo de los auditores internos deberá llevarse a cabo continuamente, para asegurar
que trabajan de acuerdo con las Normas, Políticas y Programas de Auditoría Interna.
3. Certeza de que todas las actividades de auditoría han sido debidamente supervisadas de manera
adecuada y documentada.
b. LAS REVISIONES INTERNA S son realizadas, en términos generales, por un equipo de auditores o por un
auditor en particular, seleccionados por el Director de Auditoría Interna.
Estas revisiones deberán estructurarse de tal forma de que cumplan con las Normas Profesionales y aseg urarse
de que mantengan un alto nivel de efectividad para comprobar el grado de cumplimiento de las Políticas y
Reglamentos de la organización.
Los Departamentos de Auditoría Interna con gran número de auditores, deberá tener una Gerencia de
Seguridad en la Calidad a efecto de poder llevar esta actividad con eficacia.
El informe escrito que se derive de la revisión expresará la opinión sobre el cumplimiento a las Normas para la Práctica
Profesional de la Auditoría Interna y a su Manual de Organización y también sobre el grado de cumplimiento sobre la
Seguridad en la Calidad.
Es recomendable que estas revisiones se realicen por lo menos una vez cada tres años. Para juzgar sobre el intervalo de
revisión se deberán considerar la naturaleza, alcances, grado de independencia y resultados obtenidos del Programa de
Revisión Interna.
Cuando la organización no cuente con recursos suficientes para contratar revisiones externas, el Director de Auditoría
Interna recurrirá a las revisiones interna periódicas o cualquier otro método que permita configurar una razonable
Seguridad sobre la Calidad.
La función de auditoría interna y sus tradicionales esquemas de trabajo se han visto impactados por la evolución de los
sistemas de tecnología de la información y por la aplicación de nuevas estrategias administrativas motivadas por las
necesidades de los negocios de expandir sus segmentos de mercado y por la diversificación y aseguramiento de la
calidad en sus productos y servicios.
Estas realidades han propiciado que la demanda de los servicios de auditoría cobre act ualidad; en este sentido los
profesionales dedicados a la práctica de la auditoría interna, desde sus diversos ámbitos de actuación, buscan y
desarrollan nuevos modelos de trabajo que satisfagan los requerimientos presentes de las organizaciones.
Sin embargo, así mismo se debe reflexionar que la implantación de estos nuevos modelos de evaluación puede
revolucionar los servicios que actualmente la auditoría interna proporciona a la organización, con la perspectiva de
ofrecer mas con menos recursos.
Observamos también, en esta presentación, que para que estos nuevos modelos funcionen se necesita un cambio radical
en la cultura y esquemas de control en las organizaciones mismo que deberá estar soportado por la decisión de los más
altos niveles directivos de la misma.
En este ámbito de transformación de la auditoría interna, los sistemas informáticos de la organización representan un
reto y una solución cuando son utilizados como un medio de evaluación constante de controles. A través de las técnicas
para la evaluación de operaciones procesadas a través de sistemas informáticos se podrá desarrollar un sistema
automatizado de revisión, el cual permitirá a la auditoría cambiar de un enfoque de revisión periódica a un enfoque de
revisión constante.
Mediante los desarrollos anteriores y sin descuidar el cumplimiento estricto de las normas internacionales emitidas para
la práctica profesional de la auditoria interna y de las funciones prevista en su manual de organización, la auditoría
interna espera enfrentar los retos presentes y los que le demande el inminente siglo XXI.