RESULTADOS RECURRENTES IDENTIFICADOS EN LA EVALUACIÓN AL SISTEMA DE CONTROL INTERNO EN LAS ORGANIZACIONES INGRID KATERINE VELA BELTRÁN Código Estudiantil: 2501072 DAVID MENDOZA BELTRÁN Asesor de Investigación UNIVERSIDAD MILITAR NUEVA GRANADA FACULTAD DE CIENCIAS ECONÓMICAS DIRECCIÓN POSGRADO ESPECIALIZACIÓN CONTROL INTERNO BOGOTÁ D.C. AÑO 2017 RESUMEN Toda organización debe tener establecidos controles desde los inicios de operación, es por ello que el control interno juega un papel muy importante hoy en día debido a que se convierte en un mecanismo que le permite a la organización medir la eficiencia y eficacia de sus operaciones y que tanto de lo que se encuentra realizando está alineado con el logro y cumplimiento de los objetivos. De aquí que se proponga este trabajo mostrar cuales son los resultados recurrentes identificados en la evaluación al sistema de control interno. PALABRAS CLAVE Control interno, nuevas tendencias, eficiencia, eficacia, resultados recurrentes, tecnología. ABSTRACT Every organization must have established controls since the beginning of the operation, which is why internal control plays a very important role today because one becomes a mechanism that allows the organization to measure the efficiency and effectiveness of its operations both what you are doing is aligned with the achievement and fulfillment of the objectives. Hence, this paper intends to show what are the recurring results identified in the evaluation of the internal control system. KEYWORDS Internal control, new trends, efficiency, efficiency, recurring results, technology. INTRODUCCIÓN La responsabilidad de aplicar el control interno en las organizaciones siempre está en cabeza de la alta dirección con el fin de que exista un compromiso de todos los niveles de la organización sin importar el cargo, rol o función que desempeñen. Las organizaciones a lo largo de su trayectoria en el mercado establecen misiones, un conjunto de estrategias, objetivos y definen planes para alcanzarlos. Como soporte de estos objetivos las empresas deben implementar un sistema de control interno eficiente y que pueda ser sostenible en el tiempo. La administración y directivos de las compañías deben desarrollar un sistema que contribuya al cumplimiento de las metas organizacionales, es por ello que el marco integrado de control interno propuesto por COSO provee un enfoque integral y herramientas para la implementación de un sistema de control interno efectivo y en pro de la mejora continua. Por otra parte si las organizaciones conocen cuales son las observaciones más recurrentes identificadas en la evaluación al control interno probablemente los procesos definidos dentro de la organización serían las efectivos y se reduciría el riesgo. El grupo de investigación sobre el cual se enfoca el desarrollo de este ensayo es el Grupo de estudios contemporáneos en contabilidad, gestión y organizaciones en la línea de investigación Estudios contemporáneos en contabilidad y finanzas y la sublínea Contabilidad de gestión. Este grupo fue escogido teniendo en cuenta las aportaciones a la disciplina administrativa y contable y la propuesta en el desarrollo empresarial. RESULTADOS RECURRENTES IDENTIFICADOS EN LA EVALUACIÓN AL SISTEMA DE CONTROL INTERNO EN LAS ORGANIZACIONES El control interno desde sus inicios ha sido el medio por el cual las organizaciones públicas, privadas y de cualquier tipo de naturaleza han logrado avances en aspectos puntuales como: el cumplimiento de sus objetivos corporativos, cumplimiento de la legislación y normatividad organizacional, la promoción de la eficiencia operativa, y el control de los riesgos externos e internos, entre otros. Es importante anotar que el enfoque aplicado inicialmente al control interno guardaba una tendencia hacia aspectos operativos y administrativos; a partir de las últimas décadas la orientación se ha inclinado hacia la administración de alto nivel, teniendo en cuenta que la gerencia es la responsable de controlar los procesos de la organización y dar las directrices pertinentes para que los colaboradores coadyuven al cumplimiento y control de los mismos. El cambio de enfoque indicado anteriormente obedece a las nuevas condiciones del mundo actual de los negocios y la sociedad, al que hay que hacer frente y atender las nuevas expectativas, compromisos y circunstancias que se presentan y evolucionan de manera continua, como por ejemplo temas inmersos en la evolución tecnológica y el nuevo compromiso de las organizaciones en el temas ambientales, dado que la responsabilidad social empresarial debe ser parte de los fundamentos de la organización y en la actualidad son exigidos hasta por los mismos consumidores. En el libro control interno y fraudes su autor Gaitán (2006) afirma: Los cambios tecnológicos, las aplicaciones económicas y por la llamada globalización de la economía, las organizaciones han venido evolucionando rápidamente y por ello los riesgos y, por ende, los controles han tenido que modificarse, cambiándose a nivel empresarial de una sociedad industrial o de consumo a una sociedad de la información del conocimiento y en cuanto a nivel tecnológico de una cultura telefónica a una cultura telemática. Así mismo a nivel de trabajo los cambios han sido fantásticos apoyados fundamentalmente en las comunicaciones y en Internet (entre otros) y en general rodeado de un ambiente totalmente computarizado. (p. 27) Teniendo en cuenta la postura del autor, es de vital importancia tomar el control interno como un mecanismo que ayuda a lograr la eficacia de los procesos operativos y organizacionales en general, para con ello lograr una sinergia que propicie cambios gerenciales positivos. Por otra parte las organizaciones como el Comité de Organizaciones Patrocinadoras de la Treadway Commission (Committe of Sponsoring Organizations of the Treadway Commission – COSO), se ha preocupado por la emisión normativa de temas de control interno y muestra orientaciones hacia las nuevas tendencias en las que están inmersas las organizaciones en torno al fraude y gestión del riesgo. Con la finalidad de mejorar los procesos de gestión y gobierno de las organizaciones y reducir el fraude. Este ensayo pretende detallar y dar a conocer a los lectores cuales son los resultados recurrentes identificados en la evaluación al sistema de control interno; es decir, las debilidades que los auditores encuentran en su evaluación. Esto con el fin de dar una idea y aporte que ayude a las organizaciones a entender cuáles son los cambios de los negocios actuales, el entorno en el que operan y como debe ser la articulación de los principios con el fin de fortalecer el control interno. Cabe resaltar que los puntos expuestos parten de la premisa que la compañía ya se encuentra en un proceso de evaluación del sistema de control interno, por tanto no se pretende dar una directriz de cómo es su implementación. Importancia del control interno en las organizaciones Las nuevas perspectivas del control en las organizaciones han hecho que los ejecutivos sean más fuertes y exigentes al momento de evaluar los procesos, riesgos y controles de las empresas que dirigen. Dado que el sistema de control interno se implanta en las compañías con el propósito de mantener la dirección de los objetivos mediante resultados medibles y comparables que sean efectivos y sirvan como referencia para el cumplimiento de metas de corto y largo plazo, pero todo esto debe ser enfocado a los nuevos modelos y tendencias de negocios que pretenden ser acogidos en el mercado y donde la tecnología juega un papel fundamental. Las organizaciones a mediados de los años setenta evidenciaron deficiencias del control que permitieron la realización de operaciones ilegales que provocaron pérdidas innumerables a empresarios, empleados, e inversionistas. Es por ello que el control se convirtió en un foco de interés mundial; inicialmente el control interno presentaba una gran variedad de significados lo que ocasionó confusión entre personas de negocios, alta dirección, legisladores y reguladores. Por ello es importante que todos los actores que intervienen en las organizaciones interioricen la definición de Control Interno proporcionada por el marco integrado de control interno COSO y los aspectos claves que hacen parte de ella. El control interno se describe mejor como un proceso, efectuado por el consejo de administración, la dirección y otro personal de la entidad, diseñado para proporcionar una seguridad razonable de que se alcanzarán los objetivos relacionados con las operaciones, el cumplimiento y la presentación de informes. El control interno ayuda a la organización a comprender los riesgos para lograr esos objetivos y cómo gestionarlos a un nivel aceptable. (Committee of Sponsoring Organizations of the Treadway Commission, 2013, p.3) El enfasis de la definición de control interno es:  Es un proceso porque consta de tareas y actividades – es el medio para lograr un fin y no un fin en si mismo.  Efectuado por la gente, no son simplemente políticas, manuales de procedimientos, sistemas y formatos, sino que también son las personas y las acciones que se toman en todo nivel de una organización.  Capaz de proporcionar una seguridad razonable – no provee aseguramientos absolutos, para la alta dirección y la Junta Directiva de una entidad.  Orientado al logro de objetivos en una o más categorías separadas pero superpuestas – operaciones, reporte y cumplimiento. (Committee of Sponsoring Organizations of the Treadway Commission, 2013, p.3) Esta definición destaca la necesidad de que la alta dirección y los demás actores involucrados comprendan la importancia del control en la organizaciones y la incidencia que tiene sobre los resultados de la gestión, la planeción estrategica y escencialmente sobre los procesos operativos de la organización. El enfoque normativo de este ensayo tendra como fundamento el modelo de control interno Coso II, a partir del planteamiento de su estructura se identificaran las observaciones respectivas. Antecedentes y evolución historia del modelo Coso La evolución histórica del Coso desde los años 1992 a hoy ha sido notable, desde sus primeras implementaciones, proporcionaba una orientación a la gestión ejecutiva de cada entidad, enfatizando en la ética empresarial, los resultados de gestión, la consideración del control interno como un proceso integrado de las operaciones de las empresas y garantizando la gestión del riesgo empresarial, el fraude y finalmente permitiendo llevar informes financieros acordes con la realidad operativa de la organización. Desde su elaboración, este modelo se incorporó en las políticas, reglas y regulaciones y ha sido utilizado por muchas empresas para mejorar sus actividades de control hacia el logro de sus objetivos de corto y largo plazo. Inicialmente se hablaba de un marco integrado de control interno (Coso I), el cual reflejaba los cambios empresariales, operativos y ampliaba los objetivos de las operaciones e informes, lo que generó una articulación de los principios y de este modo facilitaba un control interno efectivo. La búsqueda por facilitar a las empresas el modo de evaluar y mejorar sus procesos de control interno generó una aceptación en las diferentes entidades de diversos sectores, es por esto que este proceso se aplica en muchas compañías para mejorar sus métodos de control y así cumplir los objetivos que cada compañía se traza año tras año. Posterior a ello y hacia finales de septiembre del año 2004, como respuesta a una serie de escándalos que implicaron grandes pérdidas se publicó una actualización al modelo de la Gestión del Riesgo Empresarial (Coso II), derivada del marco integrado y enfocada en el control interno. Con este lo que se quería era afianzar las bases y el conocimiento sobre los procesos en las compañías, fue más exigente en el ámbito de evaluar, de identificar el control en cada organización y acompañar la gestión de riesgo en cada una de ellas; aquí es importante tener en cuenta que este nuevo enfoque no cambiaba el anterior, pues lo que aquí encontramos es que afianza los conocimientos y se complementan al proceso ya estudiado anteriormente. La tendencia del Coso II fue totalmente clara en cuanto a buscar una exigente gestión de riesgo en las organizaciones. El ideal del Coso II es lograr fidelizar el capital humano, en cuanto a transparencia de las funciones que cada uno ejecuta y lograr que los trabajadores en todas las organizaciones entiendan el impacto del control interno en los resultados y objetivos que buscan las compañías, pues lo realmente importante no era mostrar el Coso como algo incómodo o burocrático, sino comprender y enseñar que la auditoria hace parte de cada proceso integrado y operativo de las empresas. Este nuevo modelo lo que quería era ampliar la visión del riesgo a través de la identificación de eventos positivos y negativos, amenazas y oportunidades; logrando el manejo de eventos ocurridos bajo aspectos claves como: la administración del riesgo en la determinación de la estrategia, eventos y riesgos, apetito al riesgo, tolerancia al riesgo, y visión del riesgo. Para aclarar lo anteriormente expuesto, en el gráfico 1 se presentan los principales cambios del modelo Coso I y Coso II en los que se identifica que el control interno consta de componentes interrelacionados que se derivan del estilo gerencial de la alta dirección. Gráfico 1. Cambios del modelo de Coso I a Coso II. Fuente: Elaboración Propia Para el desarrollo del problema de investigación se tomará como referencia el modelo Coso II. En este se identificaran cuales son las observaciones más recurrentes identificada al evaluar el sistema de control interno, esta identificación se realizara por cada uno de los componentes establecidos en el Coso II; los cuales deben formar un sitema integrado donde debe existir sinergia que responda a los cambios del entorno de las organizaciones. Los principales componentes y principios del Coso II, se describen en el siguiente gráfico. Gráfico 2. Componentes y principios del Coso II. Fuente: COSO Internal Control - Integrated Framework Principles El modelo interno COSO esta compuesto por cinco (5) componentes y diecisiete (17) principios los cuales son de aplicación a todo tipo de organización independientemente de su tamaño o naturaleza juridica. Los componentes análisis de este documento son: Ambiente de control: Corresponde a los elementos de la cultura organizacional que fomentan a todos los integrantes de la organización, dentro de estos encontramos los principios, valores y acciones gerenciales. El ambiente de control influye sobre la conciencia de control de su personal y es el componente que proporciona el fundamento de los demás. Evaluación de riesgos: La evaluación de riesgos incluye un proceso dinámico y recurrente para identificar y analizar riesgos que podrían afectar el cumplimiento de los objetivos de las Compañías y permite determinar cómo deben ser manejados para tomar las respectivas acciones preventivas y correctivas. Como parte de este proceso, las compañías tendrían una base de cómo administrar el riesgo. Actividades de control: Las actividades de control se desarrollan en todos los niveles de la organización y son las acciones establecidas para ayudar a la gerencia a mitigar los riesgos que podrían afectar el logro de los objetivos de la organización. Información y comunicación: Este principio corresponde al análisis de la información en términos de confidencialidad, disponibilidad e integridad; por otra parte la calidad se mide en términos de efectividad, eficiencia y confiabilidad. En este componente la compañía debe tener claro los niveles de comunicación eficaz y las actividades clave para llevar un buen control interno. Monitoreo: El monitoreo consiste en las actividades llevadas a cabo para verificar que los componentes de control interno funcionan dentro de la organización. Los hallazgos y oportunidades de mejora identificadas a partir de las revisiones de monitoreo deben ser comunicadas y evaluadas por los dueños del proceso o la alta dirección. Luego de conocer a grandes rasgos la definición de cada uno de los componentes de control, se identifican las situaciones u observaciones que pueden ser tenidas en cuenta por las organizaciones para evaluar el control interno de sus organizaciones de una manera eficaz y eficiente. Dado que cuando se determina que la gestión de riesgos corporativos es eficiente la compañía tiene la seguridad razonable de que conoce el grado de cumplimiento de sus objetivos estratégicos y operativos. Tabla 1. Resultados recurrentes identificados en la evaluación al sistema de control interno. COMPONENTE PRINCIPIOS PRINCIPALES OBSERVACIONES Ambiente de control Integridad, valores éticos Definición y actualización de politicas relacionadas con información privilegiada y confidencial, lecciones aprendidas de temas éticos, manuales de uso de marca. La organización debe definir las premisas fundamentales de conducta a través de códigos de ética y códigos de buen gobierno. Definición de controles necesarios para tratar los riesgos del proceso ético con controles como: aprobación y divulgación del código de ética, aprobación de procedimientos de gestión de denuncias, socialización y definición de canales de gestión de denuncias. Campañas y capacitación en valores institucionales, higiene y politicas de HSE. COMPONENTE PRINCIPIOS PRINCIPALES OBSERVACIONES La Junta Directiva demuestra su independencia de la Administración y ejerce funciones de supervisión. Falta de aprobaciones por parte de junta directiva en temas de nombramientos de miembros. Cumplimiento del código de buen gobierno definido por la organización en temas de autoevaluaciones de los miembros de la alta dirección. Seguimiento y cumplimiento por parte de la alta dirección de las auditorías y procesos definidos por la organización. Dar estricto cumplimiento a la normatividad mínima que le aplica a la alta dirección. La Administración, con supervisión de la Junta, establece la estructura, líneas de reporte, autoridad y las responsabilidades para el cumplimiento de los objetivos organizacionales. Definición de las descripciones de cargo y responsabilidades específicas de cada área. Manuales para identificar, prevenir, detectar, y monitorear temas de actos de corrupción, fraude, lavado de activos y/o financiación de terrorismo. Aprobación y definición de estatutos corporativos. Controles de reporte de información financiera. Definición y seguimiento del conflicto de interés con el fin de proteger los intereses de la sociedad y promover la adopción de decisiones transparentes y objetivas. La organización demuestra compromiso para atraer, desarrollar, y retener personas competentes. Definición de una matriz de riesgos y controles que tengan controles relacionados con la gestión de talento humano, para que estén alineadas con la estrategia de la compañía. Establecer lineamientos de remuneración claros con evaluaciones de medición de desempeño. Verificación de cargos y descripcíón. COMPONENTE PRINCIPIOS PRINCIPALES OBSERVACIONES Definición de politicas de selección, contratación, desvinculación, compensación, gestión de desempeño, desarrollo, vacaciones etc. Establecer y divulgar planes de desarrollo, bienestar y medición de clima organizacional. La Organización establece y refuerza la responsabilidad y rendición de cuentas. Definición de responsabilidades del comité de auditoría, dueños de procesos, junta directiva etc. Establecimiento de metas individuales de cumplimiento con los jefes de área. Evaluación de riesgos Se especifican los objetivos organizacionales que faciliten la identificación de los riesgos en relación con los objetivos. Definición de matrices de riesgos y controles cubriendo procesos de gestión estrategica, comercial, jurídica, comunicaciones, talento humano, financiera, control enpresarial. Falta de revisión de cambios de la normatividad de aplicación contable. Errores en la sobrevaloración de estados financieros, en procesos de consolidación. Actualización de politicas contables que faciliten el desarrollo de estados financieros relevantes e integrales, esta política debe incluir aspectos como: comprobantes contables, registros manuales, apertura de periodos etc. La Organización identifica y evalúa los riesgos Definición de las matrices de riesgos que contengan como mínimo la clasificación de tipo de riesgo, tipo de impacto, y nivel del riesgo inherente. Aprobación y divulgación de una guía para gestionar los riesgos con el fin de que el personal identifique, valore, monitoree y comunique los riesgos de los procesos claves de la organización. COMPONENTE PRINCIPIOS PRINCIPALES OBSERVACIONES Identificación de riesgos materializados no identificados en las matrices de riesgos y controles. La Organización identifica y gestiona el riesgo de fraude Identificación de riesgos de fraude, corrupción y lavado de activos y financiación del terrorismo. Riesgos operativos, legales y de contagio no definidos en las matrices de riesgos y controles. La organización identifica y analiza los cambios significativos. Monitoreo del diseño, implementación y funcionamiento del sistema de control interno. Analisis de los cambios normativos aplicables a la organización. Actualización y cumplimiento normativo de las politicas ambientales que le apliquen a la organización. Desactualización de perspectivas de gestión de cambio, como por ejemplo cambios del entorno, fisicos, del modelo de negocio, nuevas tecnologias etc. Actividades de Control La organización selecciona y desarrolla actividades de control para la mitigar los riesgos y contribuir al cumplimiento de objetivos organizacionales. Definición de controles financieros (Sox) y controles no financieros (Coso). Identificación de controles no adecuados o inefectivos que deben ser probados por la organización. Identificación de controles faltantes de acuerdo con las evaluaciones realizadas a las pruebas de controles. La organización selecciona y desarrolla controles generales de TI. Identificación de controles no adecuados o inefectivos que deben ser probados por la organización. Identificación de usuarios y privilegios otrogados a empleados no existentes en la organización. COMPONENTE PRINCIPIOS PRINCIPALES OBSERVACIONES Monitoreo y evaluación del desempeño de TI. No identificación de procedimientos despues de ejecutado un cambio en el sistema. La organización despliega actividades de control a través de políticas y procedimientos. La organización debe tener definido políticas de seguridad, políticas de riesgos, políticas contables, políticas de comunicación etc. Falencias en la definición divulgación y desarrollo de las políticas establecidas por la organización. Falencias en el diseño, implementación y divulgación de políticas de restricción de manejo y divulgación de información privilegiada y confidencial. Definición de lecciones aprendidas. Desactualización de políticas contables. Información y comunicación La organización obtiene o genera información relevante para soportar el funcionamiento del control interno Falencias en el analisis y monitoreo de información normativa relevante. Controles debiles en la verificación de la integridad y calidad de la información. La organización comunica la información internamente incluyendo objetivos y responsabilidades de control interno. Falencias en el establecimiento y divulgación de políticas de comunicaciones que contengan los canales de comunicación internos y externos y los responsables. Fortalecimiento de las campañas de divulgación y capacitación en temas de ética, y código de buen gobierno. La organización se comunica con externos acerca de asuntos que afectan el funcionamiento de control interno Tener establecida como mínimo un procedimiento que facilite la comunicación externa. Este procedimiento debe incluir descripción de los grupos de interes, contenido de las comunicaciones, canales de comunicación, voceria en la transmisión de información y las aprobaciones necesarias. COMPONENTE PRINCIPIOS PRINCIPALES OBSERVACIONES Monitoreo La organización selecciona y desarrolla evaluaciones para verificar que los componentes de control interno existen y funcionan Evaluación de matrices y controles poco recurrentes que no fueron evaluados por la organización Diseño de los planes de auditoría sin tener en cuenta que este soporta la misión, visión y objetivos de la organización. La organización evalúa y comunica las deficiencias identificadas de manera oportuna a las partes responsables de tomar acciones correctivas, incluyendo la alta gerencia y los directivos Establecimiento de controles relacionados con el reporte de información relevante que le permita a la organización generar acciones correctivas en cumplimiento de la finalidad de la organización. Con la información anteriormente descrita es posible identificar que las organizaciones presentan falencias en diversos temas que si se abordan de la mejor manera pueden ser corregidas y analizadas internamente por las propia compañía, adicionalmente la cultura del autocontrol debe ser interiorizada por cada uno de los empleados dado que depende de ellos el cumplimiento de muchos de los procesos organizacionales. Finalmente las transformaciones que sufren las organizaciones conllevan un cambio en la manera de entender el control y el objetivo de este ensayo es proveer una herramienta de analisis para que las conpañias ejerzan el control organizacional de una manera mas eficiente. CONCLUSION Todas las organizaciones sin importar su naturaleza deben tener en cuenta los cambios organizacionales que se presentan al pasar el tiempo, dado que la tecnologia y los nuevos enfoques hacen que el que riesgo en las organizaciones sea mas latente, por tanto la concientización de estos hechos hace que la aplicación del sistema de control interno sea mas exigente, teniendo en cuenta que toda empresa lo que busca es el logro de sus objetivos corporativos. Por tanto para que haya una sinergia en todos los procesos de la organización es necesario tener en cuenta los siguientes puntos clave. Debe haber interes por la compañía en implementar y gestionar un buen sistema de control interno, es responsabilidad de la alta dirección promover, analisar, y revisar constantemente el modelo implementado, uno de los aspectos mas importantes es el cumplimiento de lo que se plantea, es por ello que se debe concientizar al personal y dueños de procesos que el cumplimiento de politicas, manuales y procedimientos hace parte del crecimiento de la organización y por ende el crecimiento del colaborador y finalmente se debe indentificar los puntos criticos para evaluarlos y poder mitigar los riesgos identificados. La propuesta de valor de este ensayo es dar a conocer a las empresas que apliquien el Coso cuales son las observaciones recurrentes identificadas por auditores cuando evaluan el sistema de control interno, todo esto con el fin de que las empresas tengan en cuenta estos aspectos para el cumplimiento de las metas de corto y largo plazo. REFERENCIAS BIBLIOGRAFICAS Ambrosone, M. (2007). La administración del riesgo empresarial: una responsabilidad de todos - el enfoque coso. PricewaterhouseCoopers, 4-22. B., S. A. (2012). Control Interno - Informe Coso. Bogotá D.C.,: Ecoe Ediciones. Buzo, J. (n.d.). 2014, año de transición al nuevo COSO 2013. Punto de Vista, 2-6. Commission, C. o. (2013). COSO Internal Control —Integrated Framework Principles. Committee of Sponsoring Organizations of the Treadway Commission. (2013, Mayo). COSO - Committee of Sponsoring Organizations of the Treadway Commission. Retrieved from https://www.coso.org/Pages/default.aspx Gaitán, R. E. (2006). Control Interno y Fraudes . Bogotá, D.C. : Ecoe Ediciones.