1. V
V
5.2 Controles Formales e Informales.
Los controles formales también llamados controles duros son las herramientas de
control documentadas y tangibles usadas por una organización, tales como políticas
y procedimientos; algunos ejemplos de controles formales incluyen:
Estructura Organizacional – La estructura intencional de roles asignados a la
gente para promover la eficiencia y efectividad.
Por ejemplo, gráficos que delinean la responsabilidad asignada. Mientras que al
mismo tiempo la segregación de funciones para realizar tareas sensibles está
dividida.
Políticas – Instrucciones formales que requieren, guían o restringen
acciones.
Procedimientos – Medios empleados para asegurar que las actividades se
desarrollan de acuerdo con lo prescrito por las políticas. Los procedimientos
pueden incluir una revisión automática independiente de las transacciones
sensibles.
Personal – Reclutamiento y retención del personal calificado para las
funciones.
Reporte – Oportunos, adecuados y comprensibles informes provistos para
respaldar a la gerencia en sus decisiones.
Revisión Interna – Periódica revisión independiente sobre las operaciones.
Los controles formales son los controles convencionales con los cuales todos los
auditores están familiarizados. Los controles informales son más difíciles de asir
porque ellos abordan intangibles tales como la competencia, valores, apertura,
liderazgo y expectativas. Sin embargo, tienen un impacto significativo sobre la
efectividad de la estructura del control interno. A diferencia de los controles
formales, los controles informales son frecuentemente difíciles de identificar o medir.
Es relativamente fácil de revisar una política de ética para determinar si contiene los
elementos necesarios.
2. V
V
Sin embargo, como se evidencia por los escándalos corporativos, la promoción y
finalmente la implementación de las políticas prescritas es el elemento clave.
Los controles informales relacionados con las políticas de negocios podrían incluir:
Cultura organizacional
Conocimiento
Estructura de recompensas
Es mucho más difícil determinar la existencia de controles informales que de
controles formales.
Los controles discrecionales están sujetos a la elección o juicio humano. Los
controles no discrecionales son provistos automáticamente por el sistema y no
pueden ser eludidos, ignorados o pasados por alto basados en juicio humano. Por
ejemplo la revisión por un supervisor de firmas no autorizadas es un control
discrecional (el supervisor tiene la opción de ejecutar el control). El requerimiento
de que se ingrese un número de identificación validado antes de que un cajero
automático acepte una transacción es un control no discrecional.
La clasificación de controles discrecionales y no discrecionales es importante
porque los controles no discrecionales apropiadamente diseñados tienden a ser
más confiables que los controles discrecionales y son probados de modo diferente.
Algunos controles automatizados no pueden ser clasificados como no
discrecionales, porque ellos pueden ser pasados por alto o ignorados. Un ejemplo
de un control discrecional es un archivo de suspenso que contiene transacciones
suspendidas, por ser procesadas, mientras se espera la intervención humana. El
proceso de corrección puede no requerir la corrección de cada objeto, puede no
proveer la antigüedad de transacciones o puede no someter la corrección de los
registros a la apropiada edición o validación. En tal caso, un control que, en la
superficie aparece como no discrecional puede, en realidad ser altamente
discrecional y puede debilitar el sistema general de control interno.
3. V
V
Los controles formales son más fáciles de monitorear por que la gerencia, auditores
o evaluadores del personal pueden obtener y revisar una política, procedimiento,
informe, fecha, etc.
Controles Manuales
Por muchos años solo existieron controles manuales en las organizaciones. La
introducción de tecnología, particularmente tecnología de computadoras, cambio
dramáticamente esto. Los controles manuales fueron vistos como caros e
ineficientes porque eran desarrollados por empleados y representaba un riesgo
mayor al depender de la competencia y actitud de los individuos que los estaba
practicando. Los controles manuales todavía forman parte del sistema de control
interno pero no hay duda de que su papel fue declinado conforme más actividades
de negocios se volvieron automatizadas. En su lugar, muchos controles fueron
reemplazados por controles de alto nivel, esto es, la revisión humana del
procesamiento extensivo de computadora y el enfoque solamente en las
excepciones.
Los controles manuales también trabajan frecuentemente en conjunción con
controles automatizados. Por ejemplo, un sistema de nóminas puede identificar (vía
un control de edición) un incremento inusual en la tasa de pagos basado en
parámetros programados. La porción manual de control sería una revisión manual
de un informe de excepciones para identificar y subsecuentemente evaluar la
integridad de la transacción.
Controles automatizados
Los controles automatizados son procedimientos programados diseñados para
evitar, detectar y corregir errores o irregularidades que podrían impactar
adversamente las actividades de negocios de la organización. Tales controles
abordan los aspectos esenciales del procesamiento de transacciones e información,
desde la iniciación de la actividad de informe.
4. V
V
Los controles automatizados y sus funciones relacionadas de procesamiento
computarizado respaldan directamente el sistema de negocios subyacente y
ayudan a asegurar la consistencia y veracidad de los procesos automatizados. Por
ejemplo, la edición automatizada de información ingresada para asegurar que se
evite correcta y completamente el ingreso de información errónea dentro del
sistema.
Los controles automatizados son preferidos debido a su economía velocidad,
confiablidad y veracidad. Sin embargo solo son tan efectivos como los controles de
alto nivel que los administra. Por ejemplo, un sistema puede producir un informe
adecuado sobre transacciones de cuentas por pagar que exceden un límite
establecido, sin embargo si no hay revisión efectiva o investigación de tales
excepciones por un individuo apropiado, el valor del control es nulo. Los controles
automatizados suplementan y aumentan la efectividad de la revisión de empleados
y gerentes pero no la reemplazan.
Dos métodos comunes para evaluar controles internos son las pruebas de
cumplimiento y sustantivas.
Las pruebas de cumplimiento son procedimientos diseñados para verificar si los
controles están siendo aplicados en la manera descrita en flujogramas,
cuestionarios, etc. Si, de las pruebas el auditor cree que los controles están
operando efectivamente, se puede confiar en tales sistemas de control. El control
manual puede ser verificado en su cumplimiento por medio de la revisión de
documentación tal como pruebas de auditoría.
Donde existen pruebas de auditoría (documentación para respaldar el control,
firmas por ejemplo) una revisión de la muestra de documentación es suficiente. Sin
embargo, cuando no existe documentación (segregación de funciones) se pueden
requerir la observación o entrevistas para verificar el cumplimiento con el sistema
de control interno. Los controles automatizados pueden también dejar una pista de
5. V
V
auditoría (registros de log, registro de transacciones) que pueden revisarse para
asegurar cumplimiento.
Las pruebas sustantivas son procedimientos diseñados para probar los errores en
el sistema de control interno (errores monetarios por ejemplo). En tales casos, la
información se compara y concilia para asegurar que está adecuadamente
representada a través del ciclo de la transacción. Tales pruebas pueden ejecutarse
manualmente, sin embargo, las revisiones automatizadas se están volviendo más
comunes. La información puede correr a través de un sistema para verificar la
integridad del sistema y suplementarse con una revisión de la información producida
para asegurar su veracidad.
Técnicas para evaluar la efectividad
Cuando se evalúan controles, los revisores deberían enfocarse en la adecuación
del ambiente de control de la organización por medio de la evaluación de las
siguientes áreas:
Estructura Organizacional.
Actitud gerencial hacia el control, la integridad y la ética.
Actitudes de los empleados hacia el control, la integridad y la ética.
Efectividad de las políticas y procedimientos de control.
Compromiso organizacional con la calidad.
Cultura organizacional.
Actitudes y moral del personal.