Sistema de control interno basado en el modelo COSO NTC 31000, aplicado a Coobursatil Ltda
65
0
0
Texto completo
(2) SISTEMA DE CONTROL INTERNO BASADO EN EL MODELO COSO NTC 31000, APLICADO A COOBURSÁTIL LTDA.. JORGE LEONARDO CAMARGO GUERRA CÓDIGO: 20162377056 SERGIO ESTEBAN MUÑOZ RODRÍGUEZ CÓDIGO: 20162377003. Proyecto de Grado para optar al título de Ingeniería de Producción. DIRECTOR: ING. MANUEL ALFONSO MAYORGA MORATO. UNIVERSIDAD FRANCISCO JOSÉ DE CALDAS FACULTAD TECNOLÓGICA P.C. INGENIERÍA DE PRODUCCIÓN BOGOTÁ D.C 2018.
(3) NOTA DE ACEPTACIÓN ____________________________________________ ____________________________________________ ____________________________________________ ____________________________________________ ____________________________________________ ____________________________________________. ____________________________________________ Firma del Director del proyecto. ____________________________________________ Firma del Jurado. ____________________________________________ Firma del Jurado. Bogotá 09 de Mayo de 2018..
(4) DEDICATORIA. Este proyecto de grado está dedicado a DIOS, a nuestras familias por el apoyo incondicional, por ser partícipes de este proceso y el motor para el logro de esta gran meta, a nuestros Docentes que aportaron con su experiencia y conocimiento a lo largo de nuestra carrea universitaria, a nuestros amigos y compañeros de estudio con quienes se formaron grandes equipos de trabajo cuyos resultados nos hacen merecedores de este gran logro que con seguridad no será el último, gracias a todos y cada uno de ellos por hacer de nosotros personas con valores para poder desenvolvernos como: Hombres, Hijos, Esposos, Padres y Profesionales..
(5) AGRADECIMIENTOS. Nos complace a través de este trabajo de grado expresar nuestros más sinceros agradecimientos a la Cooperativa Bursátil Ltda., la oportunidad que nos brindaron para desarrollar este trabajo y todo el apoyo, comprensión y confianza que tuvieron en nuestras capacidades como profesionales. A todos los Funcionarios de esta gran cooperativa que con su experiencia y sabiduría fueron una guía idónea, durante el proceso que ha llevado el realizar esta tesis, nos han brindado el tiempo necesario, como la información para que este anhelo llegue a ser felizmente culminado. Finalmente, a nuestro Director de grado el Ingeniero Manuel Alfonso Mayorga Morato quien fue un apoyo incondicional, brindándonos su conocimiento y confianza para la culminación de este proyecto..
(6) RESUMEN. Actualmente las instituciones se encuentran con el riesgo de establecer controles internos los mismos que son aplicados con base a su criterio lo que puede afectar directamente a sus operaciones y/o actividades que desarrollan directamente en su desempeño laboral, por tal motivo nuestro propósito es el implementar un Sistema de Control Interno basado en el modelo COSO, aplicado a todas las dependencias de la Cooperativa Bursátil Ltda. Sede Bogotá en el periodo 2016, y así optimizar la productividad con la finalidad de cumplir con las políticas y normas vigentes, para que los resultados de todas las operaciones sean absolutamente confiables, sirviendo de apoyo para la alta dirección en la correcta toma de decisiones. La propuesta de la implementación de un Sistema de Control Interno basado en el COSO, permitirá conocer las posibles situaciones que se pueden presentar aplicando una correcta evaluación en la caracterización de los diferentes procesos correspondientes a cada departamento. Esta metodología sirve para mitigar, detectar y corregir los errores involuntarios que se puedan presentar en el transcurso del desarrollo de las operaciones, el propósito de esta aplicación aparte de evaluar el Sistema de Control Interno, también sirve como mecanismo para valorar la productividad de cada departamento o área, dando como resultado una acertada toma de decisiones por las directrices responsables de la cooperativa. PALABRAS CLAVES: COSO, Control Interno, Indicadores, Matriz de Riesgo..
(7) ABSTRACT. Currently the institutions are at risk of establishing internal controls, which are applied based on their criteria, which may directly affect their operations and / or activities that develop directly in their work performance, for this reason our purpose is to implement an Internal Control System based on the COSO model, applied to all the dependencies of the Cooperativa Bursátil Ltda. Bogota Headquarters in the 2016 period, and thus optimize productivity in order to comply with current policies and regulations, so that the results of all the operations are absolutely reliable, serving as support for the top management in the correct decision making. The proposal of the implementation of an Internal Control System based on the COSO, will allow to know the possible situations that can be presented by applying a correct evaluation in the characterization of the different processes corresponding to each department. This methodology serves to mitigate, detect and correct involuntary errors that may occur during the development of operations, the purpose of this application apart from evaluating the Internal Control System, also serves as a mechanism to assess the productivity of each department or area, resulting in a successful decision making by the responsible guidelines of the cooperative. KEYWORDS: COSO, Internal Control, Indicators, Risk Matrix..
(8) CONTENIDO DEDICATORIA ........................................................................................................................................... 4 AGRADECIMIENTOS ............................................................................................................................... 5 RESUMEN................................................................................................................................................... 6 PALABRAS CLAVES: ............................................................................................................................... 6 ABSTRACT ................................................................................................................................................. 7 KEYWORDS: .............................................................................................................................................. 7 INTRODUCCIÓN ..................................................................................................................................... 11 1. GENERALIDADES .............................................................................................................................. 13 1.1. PLANTEAMIENTO DEL PROBLEMA ........................................................................................... 13 1.1.1. Descripción del Problema ............................................................................................................ 13 1.1.2. Formulación del Problema ........................................................................................................... 13 1.2. OBJETIVOS....................................................................................................................................... 13 1.2.1. General ........................................................................................................................................... 13 1.2.2. Específicos ..................................................................................................................................... 13 1.3. DELIMITACIÓN DEL PROBLEMA ................................................................................................ 14 1.3.1. Espacio ........................................................................................................................................... 14 1.3.2. Tiempo ............................................................................................................................................ 14 1.4. METODOLOGÍA ............................................................................................................................... 14 1.4.1. Tipo de Investigación .................................................................................................................... 14 Métodos de Investigación ....................................................................................................................... 15 Método Deductivo .................................................................................................................................... 15 Método de Análisis – Síntesis ................................................................................................................ 15 1.4.2. Fuentes y Técnicas de Recolección de Información ............................................................... 15 Fuentes primarias..................................................................................................................................... 15 Fuentes Secundarias ............................................................................................................................... 16 1.4.3. Población y Muestra ..................................................................................................................... 16 2. MARCO REFERENCIAL .................................................................................................................... 17 2.1. MARCO HISTORICO....................................................................................................................... 17 2.1.1. Sector económico ......................................................................................................................... 17 Misión. ........................................................................................................................................................ 18 Visión……………………………………………………………………………………………………………………………………………………18.
(9) 2.1.2. ANTECEDENTES ......................................................................................................................... 18 2.1.3. Estructura organizacional ............................................................................................................ 19 2.2.. MARCO TEÓRICO ....................................................................................................................... 20. 2.2.1. Estructura organizacional ............................................................................................................ 20 2.3.. MARCO LEGAL ............................................................................................................................ 29. 3.. SISTEMA DE CONTROL INTERNO ........................................................................................ 35. 3.1.1. CONSIDERACIONES GENERALES ........................................................................................ 35 3.1.2. ÁMBITO DE APLICACIÓN ......................................................................................................... 35 3.2.1. DEFINICIÓN Y OBJETIVO DEL SISTEMA DE CONTROL INTERNO ............................... 36 3.2.2. PRINCIPIOS DEL SISTEMA DE CONTROL INTERNO ....................................................... 36 Autocontrol ................................................................................................................................................ 36 Autorregulación......................................................................................................................................... 37 Autogestión ............................................................................................................................................... 37 3.3.. ELEMENTOS DEL SISTEMA DE CONTROL INTERNO ...................................................... 37. 3.3.1. Ambiente de Control .................................................................................................................... 37 3.3.2. Gestión de Riesgos ..................................................................................................................... 39 3.3.3. Actividades de Control ................................................................................................................ 41 3.3.4. Información y comunicación ....................................................................................................... 42 4. SISTEMA DE CONTROL INTERNO BASADO EN EL MODELO COSO NTC 31000, APLICADO A COOBURSÁTIL LTDA. .................................................................................................. 47 a.. Diagnóstico del sistema de control interno .................................................................................. 47. b.. Organización y estructura del Sistema de Control Interno ........................................................ 50. c.. Estructura los procedimientos y actividades de control para Coobursátil Ltda. ..................... 51. d. Puntos críticos de control, para determinar los mecanismos necesarios que permitan identificar, evaluar y dar respuesta a los riesgos en el desarrollo de las actividades de los departamentos financiero y contable. ................................................................................................... 52 e. Implementación los elementos de Control Interno diseñados, de acuerdo a los resultados obtenidos en el proceso investigativo. .................................................................................................. 56 CONCLUSIONES..................................................................................................................................... 62 RECOMENDACIONES ........................................................................................................................... 63 BIBLIOGRAFÍA ......................................................................................................................................... 65.
(10) Ilustración 1: Información de la empresa....................................................................... 17 Ilustración 2: Esquema para la gestión del riesgo. ........................................................ 23 Ilustración 3: Proceso para la administración del riesgo. .............................................. 25 Ilustración 4: Tabla de Probabilidad .............................................................................. 27 Ilustración 5: Tabla de Impacto ..................................................................................... 28 Ilustración 6: Fases del Proceso de Control .................................................................. 32 Ilustración 7: RIESGO RESIDUAL POR PROCESO/SUBPROCESO .......................... 47.
(11) INTRODUCCIÓN. Debido a las diferentes metodologías empleadas para la administración de las empresas, se ha visto la necesidad de implementar un concepto general del Sistema de Control Interno, aplicable a todos los Departamentos de la Cooperativa, los mismos que serán evaluados según el grado de incidencia que generan en el normal desarrollo de las operaciones administrativas, financieras y contables. Dada la importancia se toma como modelo de gestión el denominado informe COSO basado en la norma ISO 31000 (Gestión del Riesgo, principios y directrices) ya que es un proceso integral y dinámico, este modelo nos permitirá analizar los diferentes componentes siendo estos el ambiente de control, evaluación del riesgo, actividades de control, información y comunicación y supervisión de las funciones y responsabilidades que cada colaborador asume dentro de sus funciones laborales. El objetivo del presente documento es lograr fortalecer aquellas debilidades en el cumplimiento de las actividades con el que estableceremos parámetros para mejorar el sistema de gestión administrativo, basado en metodologías que presentan resultados óptimos para la cooperativa, dando cumplimiento a las normas, políticas internas y leyes implantadas por los entes de control que vigilan la entidad. Con base a lo anteriormente mencionado, en el presente estudio se realizarán análisis y propuestas para el proceso del Sistema de Control Interno en la cooperativa “Coobursátil Ltda.”, aplicando el informe COSO ya que detecta situaciones críticas que se originan en el desarrollo y ejecución de las operaciones que impiden el cumplimiento de objetivos empresariales. Dando continuidad al desarrollo del Proyecto de Grado se procederá a evaluar la Gestión de Control Interno aplicada por la Alta Gerencia y sus funcionarios basados en los siguientes métodos: Matricial, evaluaciones selectivas a los procesos más riesgosos y entrevistas a los dueños del proceso, mecanismos que permitirán tener una visión clara y real de la situación actual del Control, con la finalidad de emitir el informe en mención concluyendo las áreas críticas en el desarrollo de las actividades, sugiriendo alternativas que ayuden a mantener una ejecución acorde de las operaciones..
(12) JUSTIFICACIÓN. Este trabajo se llevó a cabo con el fin de crear un Sistema de Control Interno para la Cooperativa Bursátil Ltda., entidad sin ánimo de lucro y de responsabilidad limitada, vigilada por la Súper intendencia Financiera de Colombia; porque en la actualidad las operaciones realizadas en las actividades rutinarias, los dineros recaudados, los aportes realizados y los egresos e ingresos causados y realizados no son llevados con un adecuado control, lo cual hace necesario e indispensable la implementación de normas de control interno. Si fundamentamos científicamente los componentes del Control Interno y logramos el mejoramiento de la calidad de información financiera, optimizando los recursos económicos de la entidad existirá un mejor manejo de los recursos y todos los movimientos de los ingresos y egresos que generan. Investigando las necesidades de diseñar un Sistema de Control Interno para Coobursátil Ltda., podremos saber las deficiencias del manejo actual de las operaciones, fondos, recaudos, ingresos y egresos. Sabemos que para desarrollar un buen sistema de control interno debemos partir de la evaluación de la situación actual del control: ¿Qué procedimientos se siguen? ¿Quiénes lo ejecutan? ¿Qué controles se aplican? ¿Cómo se procesan y registran los diferentes tipos de transacciones? ¿Qué registros contables y documentos de apoyo existen? Debemos diseñar los elementos del Sistema de Control Interno Contable y el mejoramiento de la calidad de la información, tomando en cuenta los resultados obtenidos durante el proceso investigativo, para que la empresa provea una separación apropiada de responsabilidades funcionales y prácticas sanas a seguir en la ejecución de los deberes y funciones de cada departamento y un sistema de autorización y procedimientos orientado a proveer un control operativo y contable razonable sobre los Activos, Pasivos, Patrimonio, Ingresos y Gastos. El Sistema de Control Interno implementado y desarrollado en toda organización debe ofrecer seguridad razonable de que se han adoptado normas, políticas y se han establecido procedimientos de control adecuados, aún más teniendo en cuenta que la Cooperativa deberá someterse periódicamente a una revisión externa, efectuada por los entes de control, de conformidad a las Leyes Colombianas relacionadas con el caso..
(13) 1. GENERALIDADES. 1.1. PLANTEAMIENTO DEL PROBLEMA 1.1.1. Descripción del Problema La Cooperativa Bursátil no cuenta en la actualidad con una estructura orgánica de operaciones y ejecución de procesos, esto se debe a que no aplican métodos, procedimientos y políticas relacionadas con el Control Interno, esto ha generado que la dirección de la organización no haya logrado cumplir con los objetivos propuestos; y además asumió riesgos muy altos como registros errados en las diversas transacciones y el control deficiente en el registro de facturas y diversos procesos. El problema observado que se analizara en este proyecto es “la ausencia de procesos de control interno de la Cooperativa Bursátil; identificando las causas que lo han originado y sus consecuencias o efectos producidos durante los procesos”. 1.1.2. Formulación del Problema ¿Qué diseño de control interno se debe implementar en la Cooperativa Bursátil para satisfacer sus necesidades en cuanto a sus actividades operacionales, contables y financieras? 1.2. OBJETIVOS 1.2.1. General Estructurar un Sistema de Control Interno para Coobursátil Ltda., que permitirá una mejor vigilancia de las actividades operacionales, contables y financieras. 1.2.2. Específicos Realizar un diagnóstico con el objeto de identificar los métodos y procedimientos operativos, contables, financieros y de control que en la actualidad se realizan o se dejan de realizar en Coobursátil Ltda. Determinar la estructura del Sistema de Control Interno Contable en Coobursátil Ltda., para el mejoramiento de la calidad de la información financiera, teniendo en cuenta los resultados obtenidos durante el proceso investigativo. Estructurar los procedimientos y actividades de control para Coobursátil Ltda..
(14) Examinar los puntos críticos de control, para determinar los mecanismos necesarios que permitan identificar, evaluar y dar respuesta a los riesgos en el desarrollo de las actividades de los departamentos financiero y contable. Implementar los elementos de Control Interno diseñados, de acuerdo a los resultados. obtenidos en el proceso investigativo. 1.3. DELIMITACIÓN DEL PROBLEMA 1.3.1. Espacio El área de estudio comprende la Cooperativa Bursátil prestadora de servicios para realizar operaciones de comisión y corretaje para la compra y venta de bienes y productos agropecuarios, agroindustriales o estandarizados a través de la Bolsa Mercantil de Colombia S.A, ubicado en la ciudad de Bogotá. 1.3.2. Tiempo La información a recolectar está referenciada tomando entre el mes de Julio de 2017 y Marzo de 2018, para lo cual se estudiarán los estados financieros y anexos de manera comparativa, como también las bases de datos de la empresa. 1.4. METODOLOGÍA. 1.4.1. Tipo de Investigación La investigación se encuentra enmarcada en la línea de investigación de Control y Auditoria Interna, el tipo de investigación desarrollado en este trabajo es analítico descriptivo, puesto que pretende identificar y especificar las fortalezas y debilidades de la empresa objeto de estudio, a través de esta investigación ordenaremos, clasificaremos y simplificaremos, los problemas de la organización con relación a la falta de un Control Interno apropiado en busca de una buena información financiera, técnica, ordenada, y transparente y confiable. A nivel metodológico el proceso de investigación se desarrollará en seis fases así: En una primera fase se recopilará información a fin de realizar los diagnósticos y evaluaciones pertinentes con el objeto de identificar los métodos y procedimientos operativos, contables, financieros y de control que en la actualidad se realizan o se dejan de realizar en Coobursátil Ltda..
(15) En una segunda fase se organizará y analizará la información a fin de estructurar el proyecto determinando la estructura del Sistema de Control Interno Contable en Coobursátil Ltda., para el mejoramiento de la calidad de la información financiera, teniendo en cuenta los resultados obtenidos durante el proceso investigativo. En la tercera fase se estructurarán los procedimientos y actividades de control para Coobursátil Ltda. En una cuarta fase se examinarán los puntos críticos de control, para determinar los mecanismos necesarios que permitan identificar, evaluar y dar respuesta a los riesgos en el desarrollo de las actividades de los departamentos financiero y contable. En la fase cinco se implementarán los elementos de Control Interno diseñados, de acuerdo a los resultados obtenidos en el proceso investigativo. Finalmente, en la sexta fase se redactará el informe final y se realizará la sustentación ante los jurados. Métodos de Investigación Método Deductivo El método científico que se va a seguir en esta investigación es deductivo, ya que se va partir de los conceptos generales emitidos para el control interno, para luego aplicarlos al caso específico de Coobursátil Ltda. Método de Análisis – Síntesis Se utiliza el método de análisis y síntesis en este proyecto, porque se revisa cuáles son las características generales de los procedimientos establecidos en el Coobursátil Ltda. Y la forma como se desarrollan sus procesos, descomponiendo estos últimos en cada una de sus variables, para luego, formular las actividades necesarias para el diseño de un sistema de control que conlleve al cumplimiento de políticas trazadas y en atención a las metas u objetivos previstos por la entidad. 1.4.2. Fuentes y Técnicas de Recolección de Información Fuentes primarias Para el logro de los objetivos propuestos es fundamental la recolección de datos, lo que hace importante utilizar técnicas e instrumentos apropiados que permitan alcanzar el.
(16) máximo de información y así obtener datos de manera exacta y lo más cercano a la realidad. En esta investigación se aplicarán tres instrumentos donde el primero será para recoger los datos provenientes de la observación directa y presencial realizada por el investigador, en la cual se analizarán los aspectos relativos al funcionamiento operativo y administrativo del Coobursátil Ltda. Un segundo instrumento será un cuestionario compuesto por un conjunto de preguntas diseñadas para generar los datos necesarios para alcanzar los objetivos del estudio; es un plan formal para recabar información de cada unidad de análisis objeto de estudio y que constituye el centro del problema de investigación. Un cuestionario nos permite estandarizar y uniformar el recabado de la información. Un diseño inadecuado o mal elaborado nos conduce a recoger datos incompletos, imprecisos y, como debe suponerse, a generar información poco confiable, este se aplica a empleados del Coobursátil Ltda. El tercer instrumento a utilizar será la entrevista, la cual es la comunicación interpersonal establecida entre el investigador y el sujeto de estudio a fin de obtener respuestas verbales a los interrogantes planteados sobre el problema propuesto. Se considera que este método es más eficaz que el cuestionario, ya que permite obtener una información más completa, a través de ella el investigador puede explicar el propósito del estudio y especificar claramente la información, se aplicara a empleados de la entidad y terceros relacionados con ella. Fuentes Secundarias Dentro de las fuentes secundarias que se emplearán están: Libros y textos referentes al modelo Coso; revistas especializadas cuyos artículos estén ligados al diseño de un sistema de control interno en una organización, publicaciones del gobierno como leyes, decretos, estadísticas y comunicados, etc., que se relacionen con el tema de investigación, trabajos de grado afines, documentos de Internet, entre otros. 1.4.3. Población y Muestra El Personal Administrativo de la entidad Coobursátil Ltda. Comprendido por los empleados de sus respectivos departamentos constituyen la población objeto de estudio de esta investigación..
(17) 2. MARCO REFERENCIAL 2.1. MARCO HISTORICO. Nombre del Proyecto Nombre de la empresa Nit Dirección Teléfono Sector socioeconómico Tipo de Actividad. Razón Social. SISTEMA DE CONTROL INTERNO BASADO EN EL MODELO COSO NTC 31000, APLICADO A COOBURSÁTIL LTDA. COOBURSATIL LTDA. 8300983694 Calle 121 N° 7-30 Oficina 402 612-20-87 Bogotá Comercial: realizar operaciones de comisión y corretaje para la compra y venta de bienes y productos agropecuarios, agroindustriales o estandarizados a través de la Bolsa Mercantil de Colombia S.A. INTERMEDIARIOS DE BIENES Y PRODUCTOS AGROPECUARIOS La Cooperativa Bursátil Ltda., es un organismo cooperativo de segundo grado de carácter nacional, derecho privado, sin ánimo de lucro y de responsabilidad limitada; Vigilada por la Superintendencia Financiera de Colombia. Miembro de la Bolsa Mercantil de Colombia S.A. desde el 2002, y dedicada a realizar operaciones de comisión y corretaje para la compra y venta de bienes y productos agropecuarios, agroindustriales o estandarizados a través de la Bolsa Mercantil de Colombia S.A.. Numero de Empleados 15 Coordinador del Proyecto Natalia Henao Cargo Directora Administrativa y Jurídica Supervisor del Proyecto Reinaldo Vásquez Arroyave Ilustración 1: Información de la empresa Propuesta por el autor. 2.1.1. Sector económico CIIU: 6613 Otras actividades relacionadas con el mercado de valores Coobursátil Ltda. Nit: 830.098.369-4 tiene su sede administrativa en la Cl. 121 #7-30, Bogotá, y dos sucursales alternas en la ciudad de Medellín e Ibagué..
(18) LA COOPERATIVA BURSATIL LTDA “COOBURSATIL LTDA.” es una sociedad comisionista de Bolsa de Bienes y Productos Agropecuarios, Agroindustriales o de otros Commodities, miembro de la Bolsa Mercantil de Colombia –BMC- desde el año 2002 , comprometida con el estricto cumplimiento de la normatividad vigente para el desarrollo de su objeto social en general, y en particular, con el cumplimiento eficaz y oportuno del Sistema de Administración de Riesgo de Lavado de Activos y Financiamiento al Terrorismo -SARLAFT-, así como de los principios y políticas que lo integran. Misión La Cooperativa Bursátil Ltda. Tiene como misión consolidarse como la principal firma comisionistas en el mercado de la Bolsa Mercantil de Colombia S.A., con un amplio portafolio de servicios de financiamiento, inversión y comercialización de productos. Visión Ser en el 2015 la firma comisionista líder en mercado, con amplia cobertura nacional y contribuyendo con el desarrollo económico del sector cooperativo agropecuario e industrial. 2.1.2. ANTECEDENTES. Bursátil LTDA. durante los últimos años ha presentado inconvenientes y reprocesos internos generados por ausencia de controles en los roles y responsabilidades de cada cargo, por lo cual es necesario implementar un sistema de control y seguimiento interno a cada una de las áreas con el fin de estandarizar los procesos y minimizar el riesgo. Anteriormente se han realizado estudios y propuestas de este tipo relacionados a empresas por parte de estudiantes de instituciones educativas como lo es la universidad de Cartagena “Diseño de un modelo de control interno en la empresa prestadora de servicios hoteleros eco turísticos nativos activos eco hotel la cocotera, que permitirá el mejoramiento de la información financiera”1 y la universidad Católica “Propuesta de procedimientos de control interno contable para la empresa SAJOMA S.A.S.”2. 1. Extraído de http://repositorio.unicartagena.edu.co:8080/jspui/bitstream/11227/2130/1/TESIS%20CONTROL%20INTE RNO-PRESENTACION%20FINAL.pdf 2. http://vitela.javerianacali.edu.co/bitstream/handle/11522/8609/Propuesta%20de_procedimientos_contro_ nterno.pdf?sequence=1&isAllowed=y.
(19) 2.1.3. Estructura organizacional.
(20) 2.2. MARCO TEÓRICO. 2.2.1. Estructura organizacional Riesgos: Efecto de la incertidumbre sobre los objetivos. Un efecto es una desviación de aquello que se espera, sea positivo, negativo o ambos. Los objetivos pueden tener aspectos diferentes (por ejemplo, financieros, salud y seguridad, y metas ambientales) y se pueden aplicar en niveles diferentes (estratégico, en toda la organización, en proyectos, productos y procesos). Con frecuencia, el riesgo se expresa en términos de una combinación de las consecuencias de un evento (Incluyendo los cambios en las circunstancias) y en la probabilidad (Likelihood) de que suceda. Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o el conocimiento de un evento, su consecuencia o probabilidad. Gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo. Marco de referencia para gestión del riesgo: Conjunto de componentes que brindan las bases y las disposiciones de la organización para diseñar, implementar, monitorear (Numeral 2.28 de la Norma) 3, revisar y mejorar la gestión del riesgo (Numeral 2.2 de la Norma) 4 a través de toda la organización. Política para la gestión del riesgo: Declaración de la dirección y las intenciones generales de una organización con respecto a la gestión del riesgo. Actitud hacia el riesgo: enfoque de la organización para evaluar y eventualmente buscar, retener, tomar o alejarse del riesgo (Numeral 2.1 de la Norma) 5. Plan para la gestión del riesgo: Esquema dentro del marco de referencia para la gestión del riesgo que especifica el enfoque, los componentes y los recursos de la gestión que se van a aplicar a la gestión del riesgo. Propietario del riesgo: persona o entidad con la responsabilidad de rendir cuentas y la autoridad para gestionar un riesgo. Proceso para la gestión del riesgo: Aplicación sistemática de la política, los procedimientos y prácticas de la gestión a las actividades de comunicación, consulta, establecimiento del contexto, y de identificación, análisis, evaluación, tratamiento, monitoreo y revisión del riesgo.. 3 Monitoreo: Verificación, supervisión, observación critica o determinación continúa del estado con el fin de identificar cambios con respecto al nivel de desempeño exigido o esperado. 4 Gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo. 5 Riesgos: Efecto de la incertidumbre sobre los objetivos..
(21) Comunicación y consulta: Procesos continuos y reiterativos que una organización lleva a cabo para suministrar, compartir u obtener información e involucrarse en un dialogo con las partes involucradas con respecto a la gestión del riesgo. Parte involucrada: Persona u organización que puede afectar, verse afectada, o percibirse a sí misma como afectada por una decisión o actividad. Valoración del riesgo: Proceso global de identificación del riesgo, análisis del riesgo y evaluación del riesgo. Identificación del riesgo: Proceso para encontrar, reconocer y describir el riesgo. Fuente de riesgo: Elemento que solo o en combinación tiene el potencial intrínseco de originar un riesgo. Evento: Presencia o cambio de un conjunto particular de circunstancias. Consecuencia: Resultado de un evento. Probabilidad (Likelihood): Oportunidad de que algo suceda. En la terminología de la gestión del riesgo, la palabra “probabilidad (Likelihood)” se utiliza para hacer referencia a la oportunidad de que algo suceda, esté o no definido, medido o determinado objetiva o subjetivamente, cualitativa o cuantitativamente, y descrito utilizando términos generales o matemáticos (como la probabilidad numérica (Probability) o la frecuencia en un periodo de tiempo determinado). Perfil del riesgo: Descripción de cualquier conjunto de riesgos. El conjunto de riesgos puede contener aquellos que se relacionan con la organización en su totalidad, con parte de la organización o según otra definición. Análisis del riesgo: Proceso para comprender la naturaleza del riesgo y determinar el nivel del riesgo. El análisis del riesgo proporciona las bases para la evaluación del riesgo y las decisiones sobre el tratamiento del riesgo, el análisis del riesgo incluye la estimación del riesgo. Criterios del riesgo: Términos de referencia frente a los cuales se evalúa la importancia de un riesgo. Nivel de riesgo: Magnitud de un riesgo o de una combinación de riesgos, expresada en términos de la combinación de las consecuencias y su probabilidad. Evaluación del riesgo: Proceso de comparación de los resultados del análisis del riesgo con los criterios del riesgo, para determinar si el riesgo, su magnitud o ambos son aceptables o tolerables. La evaluación del riesgo ayuda en la decisión acerca del tratamiento del riesgo. Tratamiento del riesgo: Proceso para modificar el riesgo..
(22) Control: Medida que modifica al riesgo. Riesgo residual: Riesgo remanente después del tratamiento del riesgo. Monitoreo: Verificación, supervisión, observación crítica o determinación continúa del estado con el fin de identificar cambios con respecto al nivel de desempeño exigido o esperado. Revisión: Acción que se emprende para determinar la idoneidad, conveniencia y eficacia de la materia en cuestión para lograr los objetivos establecidos.6 2.2.2. Norma ISO 31000: 2011 gestión del riesgo Las organizaciones de todo tipo y tamaño enfrentan factores e influencias, internas y externas, que crean incertidumbre sobre si ellas lograrán o no sus objetivos. El efecto que esta incertidumbre tiene en los objetivos de una organización es el “riesgo”. Las organizaciones gestionan el riesgo mediante su identificación y análisis; luego evaluando si el riesgo se debería modificar por medio del tratamiento del riesgo con el fin de satisfacer los criterios. A través de este proceso, las organizaciones se comunican y consultan con las partes involucradas, monitorean y revisan el riesgo y los controles que lo están modificando con el fin de garantizar que no se requiere tratamiento adicional para el mismo. Esta norma describe este proceso sistemático y lógico en detalle. Una de las mejores herramientas o guía establecida para gestionar el riesgo es la ISO 31000:2011, la cual establece una serie de principios que deben ser satisfechos para hacer una gestión eficaz del riesgo y también recomienda que las organizaciones desarrollen, implementen y mejoren continuamente un marco de trabajo (framework) o estructura de soporte, cuyo objetivo sea integrar el proceso de gestión de riesgos. Por otro lado, la norma ISO 31000:2011 se puede aplicar a cualquier tipo de riesgo, ya sea por su naturaleza, causa u origen, tanto que sus consecuencias sean positivas como negativas para la organización. Esta norma brinda los principios y las directrices genéricas sobre la gestión del riesgo, y puede ser utilizada por cualquier empresa pública, privada o comunitaria, asociación, grupo o individuo. Por lo tanto, no es específica para ninguna industria o sector. El esquema o proceso de la ISO 31000:2011 para la gestión del riesgo es el siguiente:. 6 INSTITUTO COLOMBIANO DE NORMALIZACIÓN Y CERTIFICACIÓN. Administración y gestión del Riesgo: fundamentos y vocabulario. NTC-ISO 31000. Bogotá D.C.: ICONTEC, 2011..
(23) Ilustración 2: Esquema para la gestión del riesgo.. Fuente: INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS y CERTIFICACIÓN NTCISO 31000. Esquema del proceso de riesgos. Bogotá D.C. ICONTEC, 2011, 33 p.. De acuerdo a la información suministrada en la Guía, el adecuado manejo de los riesgos favorece el desarrollo y crecimiento de la entidad, con el fin de asegurar dicho manejo, es importante que se establezca el entorno y ambiente organizacional de la entidad, la identificación, análisis, valoración y definición de las alternativas de acciones de mitigación de los riesgos, esto en desarrollo de los siguientes elementos:7 Establecer el contexto: mapa de procesos. Evaluación de riesgos (por proceso): Identificación de los riesgos.. 7 INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS y CERTIFICACIÓN. Trabajos escritos: presentaciones y referencias bibliográficas. NTC-ISO31000. Bogotá D.C. ICONTEC, 2011. 16 p.
(24) Análisis de los riesgos. Evaluación de los riesgos. Tratamiento de los riesgos: para eliminar, mitigar o transferir el riesgo. Monitoreo y revisión continúa. Comunicación y consulta periódicamente. La gestión de riesgos se plasma en documentos denominados matrices de riesgos que permiten un mejor manejo y control, la matriz de riesgo por proceso, constituye un elemento de gestión muy importante para el responsable de ese proceso permitiéndole una visión clara y fácilmente actualizable de sus riesgos. Forma parte de la documentación de procesos, brindando a los usuarios un mayor conocimiento de los mismos, de sus actividades, riesgos y controles. Para el Auditor, es una fuente de información que le permitirá ahorrar muchas horas de trabajo, reconvirtiendo parte de sus tareas hacia funciones de mayor análisis y, obviamente mayor exigencia. Al mismo tiempo la revisión especializada del Auditor brinda el necesario monitoreo y posibilidad de mejoras de esta parte importante de la gestión de riesgos de la organización. La ISO 31000 tiene como objetivo “ayudar a generar un enfoque para mejorar la gestión del riesgo, de manera sistemática” y brindar diversidad de posibilidades para que de manera integral haya una gestión que permita lograr a cabalidad los objetivos de las compañías. El documento normativo establece procesos y principios para la gestión de riesgo, en la que recomienda a las organizaciones el desarrollo, la implementación y el mejoramiento continuo, como un importante componente de los Sistemas de Gestión. La ISO 31000 permite a las organizaciones: Fomentar una gestión proactiva libre de riesgo. Mejorar la identificación de oportunidades y amenazas. Cumplir con las exigencias legales y reglamentarias, además de las normas internacionales. Aumentar la seguridad y confianza y mejorar la prevención de pérdidas y manejo de incidentes. Mejorar el aprendizaje organizacional. Mejorar la eficiencia y eficacia operacional. Buscar que el riesgo se gestione de manera eficaz en cualquier organización, es una práctica que se ha desarrollado a lo largo del tiempo en todas las compañías, con.
(25) procesos coherentes que permiten un manejo integral de los Sistemas de Gestión. La ISO 31000, es una norma orientada a cualquier organización, independientemente del tamaño o sector. 2.2.3. Metodología para gestionar el riesgo 1. Las entidades de la administración pública deben darle cumplimiento a su misión constitucional y legal, a través de sus objetivos institucionales, los cuales se desarrollan a partir del diseño y ejecución de los diferentes planes, programas y proyectos. El cumplimiento de dichos objetivos puede verse afectado por factores tanto internos como externos que crean riesgos frente a todas sus actividades, razón por la cual se hace necesario contar con acciones tendientes a administrarlos. 2. El adecuado manejo de los riesgos favorece el desarrollo y crecimiento de la entidad, con el fin de asegurar dicho manejo es importante que se establezca el entorno y ambiente organizacional de la entidad, la identificación, análisis, valoración y definición de las alternativas de acciones de mitigación de los riesgos. Ilustración 3: Proceso para la administración del riesgo.. Fuente: CIUDAD, B. A. (JULIO de 2017). MANUAL ANALISIS DEL RIESGO. Obtenido de http://www.buenosaires.gob.ar/sindicatura/manual-de-analisis-de-riesgos.
(26) CONTEXTO ESTRATÉGICO ORGANIZACIONAL Son las condiciones internas y del entorno, que pueden generar eventos que originan oportunidades o afectan negativamente el cumplimiento de la misión y objetivos de una institución. Las situaciones del entorno o externas pueden ser de carácter social, cultural, económico, tecnológico, político y legal, bien sean internacionales, nacionales o regionales según sea el caso de análisis. Las situaciones internas están relacionadas con la estructura, cultura organizacional, el modelo de operación, el cumplimiento de los planes y programas, los sistemas de información, los procesos y procedimientos y los recursos humanos y económicos con los que cuenta una entidad. IDENTIFICACIÓN DEL RIESGO La identificación del riesgo se realiza determinando las causas, con base en los factores internos y/o externos analizados para la entidad, y que pueden afectar el logro de los objetivos. Una manera para que todos los servidores de la entidad conozcan y visualicen los riesgos es a través de la utilización del formato de identificación de riesgos el cual permite hacer un inventario de los mismos, definiendo en primera instancia las causas con base en los factores de riesgo internos y externos (contexto estratégico), presentando una descripción de cada uno de estos y finalmente definiendo los posibles efectos (consecuencias). Es importante centrarse en los riesgos más significativos para la entidad relacionados con los objetivos de los procesos y los objetivos institucionales. Es allí donde, al igual que todos los servidores, la gerencia pública adopta un papel proactivo en el sentido de visualizar en sus contextos estratégicos y misionales los factores o causas que pueden afectar el curso institucional, dada la especialidad temática que manejan en cada sector o contexto socioeconómico. ANÁLISIS DEL RIESGO El análisis del riesgo busca establecer la probabilidad de ocurrencia del mismo y sus consecuencias, este último aspecto puede orientar la clasificación del riesgo, con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar. El análisis del riesgo depende de la información obtenida en la fase de identificación de riesgos..
(27) Se han establecido dos aspectos a tener en cuenta en el análisis de los riesgos identificados: Probabilidad: Por probabilidad se entiende la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de frecuencia, si se ha materializado (por ejemplo: número de veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque este no se haya materializado. 5 Impacto: Por Impacto se entienden las consecuencias que puede ocasionar a la organización la materialización del riesgo. Para adelantar el análisis del riesgo se deben considerar los siguientes aspectos: Calificación del riesgo: se logra a través de la estimación de la probabilidad de su ocurrencia y el impacto que puede causar la materialización del riesgo. Bajo el criterio de Probabilidad: el riesgo se debe medir a partir de las siguientes especificaciones: Ilustración 4: Tabla de Probabilidad. Fuente: continuo, M. (01 de OCTUBRE de 2013). SlideShare. Obtenido de https://es.slideshare.net/adrianammb/guia-metodologia-mapa-de-riesgos. Evaluación del Riesgo: permite comparar los resultados de la calificación del riesgo, con los criterios definidos para establecer el grado de exposición de la entidad; de esta forma es posible distinguir entre los riesgos aceptables, tolerables, moderados, importantes o inaceptables y fijar las prioridades de las acciones requeridas para su tratamiento..
(28) Para facilitar la calificación y evaluación a los riesgos, a continuación, se presenta una matriz que contempla un análisis cualitativo, para presentar la magnitud de las consecuencias potenciales (impacto) y la posibilidad de ocurrencia (probabilidad). Las categorías relacionadas con el impacto son: insignificante, menor, moderado, mayor y catastrófico. Las categorías relacionadas con la probabilidad son: raro, improbable, posible, probable y casi seguro. Ilustración 5: Tabla de Impacto. Fuente: continuo, M. (01 de OCTUBRE de 2013). SlideShare. Obtenido de https://es.slideshare.net/adrianammb/guia-metodologia-mapa-de-riesgos.
(29) 2.3. MARCO LEGAL. Norma técnica colombiana NTC-ISO 31000:2011, esta norma establece una serie de principios que deben ser satisfechos para hacer una gestión eficaz del riesgo y también recomienda que las organizaciones desarrollen, implementen y mejoren continuamente un marco de trabajo (framework) o estructura de soporte, cuyo objetivo sea integrar el proceso de gestión de riesgos. Por otro lado, la norma ISO 31000:2011 se puede aplicar a cualquier tipo de riesgo, ya sea por su naturaleza, causa u origen, tanto que sus consecuencias sean positivas como negativas para la organización. Ley 1523 del 2012 gestión del riesgo, responsabilidad, principios, definiciones y sistema nacional de gestión del riesgo de desastres. Ley 9ª título iii del 24 de enero de 1979 norma para preservar, conservar y mejorar la salud de los individuos en sus ocupaciones. Resolución n° 2400 del 22 de mayo de 1979 por la cual se establecen las normas sobre vivienda, higiene y seguridad en los establecimientos de trabajo. Resolución n° 2413 del 22 de mayo de 1979 por la cual se establecen las normas de higiene y seguridad para la industria de la construcción. Decreto n° 614 del 14 de marzo de 1984 por el cual se determinan las bases para la administración y funcionamiento de la salud ocupacional en el país. Resolución n° 2013 del 6 de junio de 1986 elección, funciones y actividades del comité de medicina, higiene y seguridad industrial, hoy comité paritario de salud ocupacional. Resolución n° 1016 del 31 de marzo de 1989 organización, funcionamiento y forma de los programas de salud ocupacional en las empresas y establece pautas para el desarrollo de los subprogramas. Resolución n° 6398 del 20 de diciembre de 1991 se consagra los procedimientos en salud ocupacional (exámenes de ingreso). Resolución n° 1075 del 24 de marzo de 1992 por la cual se reglamenta el que los empleadores deban incluir campañas de fármaco dependencia, tabaquismo y alcoholismo en el subprograma de medicina preventiva del programa de salud ocupacional. Decreto n° 1294 del 22 de junio de 1994 por la cual se dictan normas para que las entidades sin ánimo de lucro puedan asumir los riesgos derivados de accidentes de trabajo y enfermedad profesional..
(30) Decreto n° 1295 del 22 de junio de 1994 por el cual se determina la organización y administración del sistema general de riesgos profesionales. Decreto n° 1831 del 3 agosto de 1994 por el cual se expide la tabla de clasificación de actividades económicas para el sistema general de riesgos profesionales y dicta otras disposiciones. Decreto n° 1832 del 3 de agosto de 1994 por el cual se adopta la tabla de enfermedades profesionales. Decreto n° 1530/96 reglamenta paralelamente la ley 100 y el decreto 1295, en relación a la información sobre centro de trabajo y empresas temporales). Decreto n° 3075(1997) por el cual se reglamenta la ley 09 de 1979 y se dictan otras disposiciones. Decreto n° 1607/02 se modifica la tabla de clasificación de actividades económicas para el sistema general de riesgos profesionales. Decreto n° 2090 de 2003 por el cual se definen las actividades de alto riesgo para la salud del trabajador y se modifican y señalan las condiciones, requisitos y beneficios del régimen de pensiones de los trabajadores que laboran en dichas actividades. Ley habeas data ámbito de aplicación. La presente ley se aplica a todos los datos de información personal registrados en un banco de datos, sean estos administrados por entidades de naturaleza pública o privada. Ley 9ª título iii del 24 de enero de 1979 norma para preservar, conservar y mejorar la salud de los individuos en sus ocupaciones. Ley n° 1562 de 2012 modificación de la actualización normativa de los riesgos laborales. Decreto n° 1443 de 2014 por el cual se dictan disposiciones para la implementación del sistema de gestión de la seguridad y salud en el trabajo (SGSST). 2.4. CONTROL INTERNO El control interno es un proceso ejecutado por los directores, la administración y otro personal de la entidad, esta actividad de control interno es, por lo tanto, la actividad más importante y clave, en una perspectiva estratégica, una de las ventajas de esta actividad del sistema de control interno es eliminar la subjetividad de aplicar los controles que le parecen a cada quien, sin tener en cuenta ni los objetivos ni las interrelaciones. En particular, para una organización el diseño de control interno consiste en ajustar el criterio de control seleccionado a las necesidades en características particulares de dicha.
(31) organización y diseñado para promocionar seguridad razonable con miras a consecución de los objetivos en las siguientes categorías: Efectividad y eficiencia de las operaciones. Confiabilidad en la información financiera. Cumplimiento de las leyes y procedimientos aplicables.8 También podemos definir el control interno como el conjunto de procedimientos, políticas, directrices y planes de organización los cuales tienen por objeto asegurar una eficiente, seguridad y orden en la gestión financiera, contable y administrativa de la empresa; salvaguardia de los activos, fidelidad del proceso de información y registros, cumplimientos de políticas definidas, es importante destacar que esta definición de control interno no solo abarca el entorno financiero y contable sino también los controles cuya meta es la eficiencia administrativa y operativa dentro de la organización empresarial. 2.4.1. FASES DEL PROCESO DE CONTROL La función administrativa del control es la medición y la corrección del desempeño con el fin de asegurar que se cumplan con los objetivos de la empresa y los planes diseñados para alcanzarlos. La planeación y el control están estrechamente relacionados, de hecho, algunos autores piensan que estas funciones no se pueden separar. Sin embargo, es aconsejable separarlas desde el punto de vista conceptual y esta es la razón por la que se estudian según su enfoque y necesidades dentro de una organización. A pesar de ello, la planeación y el control se pueden considerar como las hojas de unas tijeras: éstas no pueden funcionar a menos que existan las dos. El control no es posible si no se tienen objetivos y planes, debido a que el desempeño se puede medir con criterios establecidos. Aunque el alcance del control varía según los administradores, todos ellos, en todos los niveles, tienen la responsabilidad sobre la ejecución de los planes y, por consiguiente, el control es una función administrativa básica en todas las áreas. El control es un proceso cíclico, compuesto por cuatro fases:. 8 Bernal, C. (2000). Metodología de la Investigación para Administración y Economía. Bogotá: Pearson Educación de Colombia..
(32) Ilustración 6: Fases del Proceso de Control. Fuente: continuo, M. (01 de OCTUBRE de 2013). SlideShare. Obtenido de https://es.slideshare.net/adrianammb/guia-metodologia-mapa-de-riesgos. 2.4.2. EVALUACIÓN DEL RIESGO Y CONTROL INTERNO De acuerdo a la Norma Internacional de Auditoría 4009, Evaluación de riesgos y control interno, en la entidad es preciso establecer normas y proporcionar lineamientos para obtener una comprensión del sistema de contabilidad y de control interno sobre el riesgo de auditoría y sus componentes: riesgo inherente, riesgo de control y riesgo de detección. Riesgo inherente Es la susceptibilidad del saldo de una cuenta o clase de transacciones a una representación errónea que pudiera ser de importancia relativa, individualmente o. 9 El propósito de esta Norma Internacional de Auditoría es establecer normas y proporcionar lineamientos para obtener una comprensión de los sistemas de contabilidad y de control interno sobre el riesgo de auditoría y sus componentes: riesgo inherente, riesgo de control y riesgo de detección..
(33) cuando se agrega con manifestaciones erróneas en otras cuentas o clases, asumiendo que no hubo controles internos asociados. Se deberá evaluar el riesgo inherente a nivel de estado financiero, buscando relacionar dicha evaluación a nivel de aseveración de saldos de cuenta y clases de transacciones de importancia relativa10, o asumir que el riesgo inherente es alto para la aseveración. El riesgo inherente consiste en la susceptibilidad del saldo de una cuenta o tipo de transacciones de contener errores importantes, individualmente o cuando se agrega con representaciones erróneas de otros saldos o tipos de transacciones, asumiendo que no hubiera controles internos relacionados. Es en función al tipo de negocio y su medio ambiente, y de la naturaleza de la cuenta o tipo de transacciones. Existen factores que afectan el riesgo inherente como los siguientes: Integridad de la administración. La experiencia y conocimiento de la administración y cambios en la administración durante el período, por ejemplo: la inexperiencia de la administración puede afectar la preparación de los estados financieros de la entidad. Presiones inusuales de la administración a dar una representación errónea de los estados financieros. Naturaleza y tamaño de la entidad, el volumen de las operaciones, su ubicación geográfica. Susceptibilidad de pérdidas o malversación, de los activos por ejemplo los que son altamente deseables y móviles como el efectivo. Transacciones inusuales de la entidad, por ejemplo, ajustes que se realizan al final del periodo. Riesgo de Control La evaluación preliminar del riesgo de control es el proceso de evaluar la efectividad de los sistemas de contabilidad y de control interno de una entidad para prevenir o detectar y corregir representaciones erróneas de importancia relativa. Siempre habrá algún riesgo de control a causa de las limitaciones inherentes de cualquier sistema de contabilidad y de control interno. Después de obtener una comprensión de los sistemas de contabilidad y de control se deberá hacer una evaluación preliminar del riesgo de. 10 Este principio se refiere a la relativa significación o mérito que pueda tener una cosa o evento. La contabilidad debe reconocer y presentar los hechos económicos de acuerdo a su importancia relativa. Un hecho económico es relevante o importante, si por sí mismo puede hacer cambiar de opinión a una persona sensata..
(34) control, al nivel de aseveración, para cada saldo de cuenta o clase de transacciones, de importancia relativa. Es el riesgo de que cuando ocurran errores no sean detectados ni corregidos por el sistema de control interno. Ello se debe a fallas en la revisión adecuada de las transacciones; documentación inadecuada; acceso ilimitado a efectivo e inventarios o cualquier otro valor negociable; y carencia de registros de los inventarios perpetuos. Esas debilidades en el control contribuyen a que haya errores y fraudes en los estados financieros. Siempre existirá cierto riesgo debido a las limitaciones inherentes a cualquier sistema de control interno. Para evaluar el riesgo de control, se debe considerar lo adecuado del diseño de los controles, así como probar la adherencia a los procedimientos de control. De no existir dicha evaluación, se deberá asumir que el riesgo de control es alto. Riesgo de detección La evaluación del riesgo de control, junto con la evaluación del riesgo inherente, influye en la naturaleza, oportunidad y alcance de los procedimientos sustantivos que deben desarrollarse para reducir el riesgo de detección, y por tanto el riesgo de auditoría, a un nivel aceptable-mente bajo. Algún riesgo de detección estaría siempre presente aún si un auditor examinara 100 por ciento del saldo de una cuenta o clase de transacciones. Se considerarán los niveles evaluados de riesgos inherentes y de control al determinar la naturaleza, oportunidad y alcance de los procedimientos sustantivos requeridos para reducir el riesgo de auditoría a un nivel aceptable. El riesgo de detección es el riesgo de que los procedimientos del auditor no descubran un error que exista en una cuenta o tipo de transacciones, el cual pueda ser importante individualmente o en conjunto con errores de otras cuentas o transacciones. El nivel de riesgo de detección se relaciona directamente con los procedimientos del auditor; siempre existirá cierto riesgo de detección, aun cuando el auditor examine el cien por ciento del saldo de la cuenta o del tipo de transacción, cuando el auditor seleccione un procedimiento de auditoría inadecuado, o aplique mal un procedimiento de auditoría adecuado, o al interpretar equivocadamente los resultados de la auditoría..
(35) 3. SISTEMA DE CONTROL INTERNO. 3.1.1. CONSIDERACIONES GENERALES Corresponde a los administradores de las entidades vigiladas o sometidas al control exclusivo de esta Superintendencia, realizar su gestión con la diligencia propia de un buen hombre de negocios. Por ello, compete a las juntas o consejos directivos o al órgano que haga sus veces, en calidad de administradores, definir las políticas y diseñar los procedimientos de control interno que deban implementarse, así como ordenar y vigilar que los mismos se ajusten a las necesidades de la entidad, permitiéndole desarrollar adecuadamente su objeto social y alcanzar sus objetivos, en condiciones de seguridad, transparencia y eficiencia. 3.1.2. ÁMBITO DE APLICACIÓN Todas las entidades sometidas a inspección y vigilancia de la Superintendencia Financiera de Colombia, ya sean matrices o subordinadas, deberán implementar o ajustar su SCI a los requisitos mínimos establecidos en el presente capítulo, en forma tal que el mismo resulte acorde con el tamaño de su organización (en términos de número de empleados, valor de los activos e ingresos, recursos captados del público, número de sucursales o agencias, entre otros.) y la naturaleza de las actividades propias de su objeto social, así como de las desarrolladas por cuenta de terceros, teniendo en cuenta la relación beneficio/costo. Las entidades sometidas a inspección y vigilancia que tengan la calidad de matrices deberán procurar que sus subordinadas (sean filiales o subsidiarias) tengan un adecuado SCI, para lo cual deberán emitir los lineamientos generales mínimos que en su concepto deben aplicar, atendiendo la naturaleza, magnitud y demás características de las mismas. Las entidades sometidas a control concurrente, deberán atender en materia de control interno las normas y las disposiciones que sobre el particular haya emitido o llegue a emitir el Gobierno Nacional y las demás entidades competentes. Las entidades sometidas a control exclusivo, deberán atender en materia de control interno lo dispuesto en el numeral 7.9. Del presente capítulo. Es de advertir que las instrucciones impartidas en este numeral van dirigidas a la adecuada integración de los diversos componentes del SCI. En tal sentido, este instructivo no suspende ni reemplaza el cumplimiento de obligaciones y deberes establecidos en disposiciones vigentes..
(36) 3.2.1. DEFINICIÓN Y OBJETIVO DEL SISTEMA DE CONTROL INTERNO. Se entiende por SCI el conjunto de políticas, principios, normas, procedimientos y mecanismos de verificación y evaluación establecidos por la junta directiva u órgano equivalente, la alta dirección y demás funcionarios de una organización para proporcionar un grado de seguridad razonable en cuanto a la consecución de los siguientes objetivos: 1. Mejorar la eficiencia y eficacia en las operaciones de las entidades sometidas a inspección y vigilancia. Para el efecto, se entiende por eficacia la capacidad de alcanzar las metas y/o resultados propuestos; y por eficiencia la capacidad de producir el máximo de resultados con el mínimo de recursos, energía y tiempo. 2. Prevenir y mitigar la ocurrencia de fraudes, originados tanto al interior como al exterior de las organizaciones. 3. Realizar una gestión adecuada de los riesgos. 4. Aumentar la confiabilidad y oportunidad en la Información generada por la organización. 5. Dar un adecuado cumplimiento de la normatividad y regulaciones aplicables a la organización. En la medida en que se logren los objetivos antes mencionados, el SCI brindará mayor seguridad a los diferentes grupos de interés que interactúan con la entidad. 3.2.2. PRINCIPIOS DEL SISTEMA DE CONTROL INTERNO. Los principios del SCI constituyen los fundamentos y condiciones imprescindibles y básicas que garantizan su efectividad de acuerdo con la naturaleza de las operaciones autorizadas, funciones y características propias, y se aplican para cada uno de los aspectos que se tratan en el presente capítulo. En consecuencia, las entidades, en el diseño e implementación o revisión o ajustes del SCI deben incluir estos principios, documentarlos con los soportes pertinentes y tenerlos a disposición de la SFC. Autocontrol Es la capacidad de todos y cada uno de los funcionarios de la organización, independientemente de su nivel jerárquico para evaluar y controlar su trabajo, detectar desviaciones y efectuar correctivos en el ejercicio y cumplimiento de sus funciones, así como para mejorar sus tareas y responsabilidades..
(37) En consecuencia, sin perjuicio de la responsabilidad atribuible a los administradores en la definición de políticas y en la ordenación del diseño de la estructura del SCI, es pertinente resaltar el deber que les corresponde a todos y cada uno de los funcionarios dentro de la organización, quienes en desarrollo de sus funciones y con la aplicación de procesos operativos apropiados deberán procurar el cumplimiento de los objetivos trazados por la dirección, siempre sujetos a los límites por ella establecidos. Autorregulación Se refiere a la capacidad de la organización para desarrollar en su interior y aplicar métodos, normas y procedimientos que permitan el desarrollo, implementación y mejoramiento del SCI, dentro del marco de las disposiciones aplicables. Autogestión Apunta a la capacidad de la organización para interpretar, coordinar, ejecutar y evaluar de manera efectiva, eficiente y eficaz su funcionamiento. Basado en los principios mencionados, el SCI establece las acciones, las políticas, los métodos, procedimientos y mecanismos de prevención, control, evaluación y de mejoramiento continuo de la entidad que le permitan tener una seguridad razonable acerca de la consecución de sus objetivos, cumpliendo las normas que la regulan. 3.3. ELEMENTOS DEL SISTEMA DE CONTROL INTERNO. Para el cumplimiento de los principios y objetivos indicados con anterioridad, las entidades supervisadas deberán consolidar una estructura de control interno que considere por lo menos los elementos que se señalan a continuación: 3.3.1. Ambiente de Control El ambiente de control está dado por los elementos de la cultura organizacional que fomentan en todos los integrantes de la entidad principios, valores y conductas orientadas hacia el control. Es el fundamento de todos los demás elementos del SCI, dado que la eficacia del mismo depende de que las entidades cuenten con personal competente e inculquen en toda la organización un sentido de integridad y concientización sobre el control. Los elementos mínimos para crear un adecuado ambiente de control son: 1. Determinación formal por parte de la alta dirección de los principios básicos que rigen la entidad, los cuales deben constar en documentos que se divulguen a toda la organización y a grupos de interés. 2. Expedición de un código de conducta que incluya:.
(38) Valores y pautas explícitas de comportamiento. Parámetros concretos determinados para el manejo de conflictos de interés, incluyendo expresamente, entre otros, los que regulen las operaciones con vinculados económicos, en adición a los que apliquen por disposición legal. Mecanismos para evitar el uso de información privilegiada o reservada. Órganos o instancias competentes para hacer seguimiento al cumplimiento del código. Consecuencias de su inobservancia, teniendo en cuenta factores tales como reincidencias, pérdidas para los clientes o a la entidad, violaciones a límites, entre otros. En caso que algunos de los temas antes citados no se incluyan en el código de conducta deberán incluirse en el código de gobierno corporativo de la entidad o en un documento independiente, si así se considera pertinente dada su importancia para la organización. El código de conducta debe orientar la actuación de todos los funcionarios, quienes deben comprometerse explícitamente con su cumplimiento. 3. Adopción de procedimientos que propicien que los empleados en todos los niveles de la organización cuenten con los conocimientos, habilidades y conductas necesarios para el desempeño de sus funciones. La entidad debe contar con estándares debidamente documentados de las competencias, habilidades, aptitudes e idoneidad de sus funcionarios. Así mismo, debe determinar las políticas y prácticas de gestión humana que aplicará la entidad al realizar los procesos de selección, inducción, formación, capacitación, sistemas de compensación o remuneración y de evaluación del desempeño de sus empleados en todos sus niveles, las cuales deben ser diseñadas e implementadas para facilitar un efectivo control interno, ya sea que se realice el proceso directamente o a través de terceros. 4. Determinación de una estructura organizacional que permita soportar el alcance del SCI y que defina claramente los niveles de autoridad y responsabilidad, precisando el alcance y límite de los mismos. La estructura organizacional debe estar armonizada con el tamaño y naturaleza de las actividades de la entidad, soportando el alcance del SCI. 5. Establecimiento de objetivos que deben estar alineados con la misión, visión y objetivos estratégicos de la entidad, para que, a partir de esta definición, se formule la estrategia y se determinen los correspondientes objetivos operativos, de reporte y de cumplimiento para la organización..
Figure
Documento similar