evaluación del control interno -...

!@#

AS S U R A N C E A N D ADV I S O RY

BU S I N E S S SE RV I C E S

Evaluación del ControlInternoConsideraciones para Evaluar el ControlInterno a Nivel de Empresa

L a Sarbanes-Oxley Act of 2002 (el Acta)

hace obligatorios los reportes sobre

controles internos para empresas

registradas ante la SEC y sus auditores

independientes. La Sección 404 del Acta dirige a

la SEC a que adopte reglas requiriendo que los

reportes anuales de las compañías registradas en

bolsa contengan una evaluación, al final del año

fiscal, de la eficacia de los controles internos y

los procedimientos para reportar información

financiera. La Sección 404 también requiere que

los auditores independientes de la compañía

atestigüen y reporten sobre la evaluación de la

gerencia. La SEC emitió su propuesta de reglas

en octubre de 2002 y, de ser adoptadas, las reglas

serán aplicables a compañías cuyo período fiscal

termina el 15 de septiembre de 2003, o después.

Por consiguiente, las compañías deben prepararse

desde ahora para la documentación integral y la

evaluación de su control interno que serán

necesarias para respaldar la evaluación de la

gerencia y el reporte de atestiguación (attestation)

de los auditores. Nuestra publicación,

Preparación de Reportes sobre Control Interno—

Una Guía para la Evaluación de la Gerencia

Conforme a la Sección 404 de Sarbanes-Oxley

Act (la Guía) (Ernst & Young SCORE Retrieval

File No. EE0677), proporciona una metodología y

estructura para completar la evaluación.

La metodología destacada en la Guía incluye cinco fases, asaber:

1 Comprender la Definición de Control Interno

1 Organizar un Equipo para Llevar a Cabo la Evaluación

1 Evaluar el Control Interno a Nivel de Empresa

1 Comprender y Evaluar el Control Interno a Nivel deProceso, Transacción, Aplicación

1 Evaluar la Eficacia General, Identificar Asuntos queRequieren Mejoras y Establecer un Sistema deMonitoreo

La Guía aporta orientación adicional sobre las dos primerasfases de la metodología. Proporcionaremos más informaciónsobre la documentación detallada y la evaluación—lasúltimas dos fases—en publicaciones futuras. Este documentoes una herramienta de ayuda a la gerencia para ejecutar latercera fase: evaluar el control interno a nivel de empresa.

Un lugar lógico para comenzar una evaluación integral delos controles internos es la cúspide—los controles a nivelde empresa que pudieran tener un efecto dominante sobrela organización. Esto incluye una consideración de losfactores en cada uno de los cinco componentes del controlinterno que pueden tener un efecto dominante sobre elriesgo de errores o fraude. Estos cinco componentesinterrelacionados son:

1 Entorno de Control

1 Evaluación de Riesgos

1 Información y Comunicación

1 Actividades de Control

1 Monitoreo

A Nuestros Clientes y Amigos

EVA L UAC I Ó N D E L CO N T RO L IN T E R N O

A NU E S T RO S CL I E N T E S Y AM I G O S

Una documentación y evaluación del control interno anivel de empresa por sí misma no provee una perspectivacompleta del control interno de una empresa. Sin embargo,es un punto de partida importante porque la evaluación delos controles a nivel de empresa, particularmente cuandose identifican debilidades, puede tener un efectosignificativo sobre la evaluación general de la eficacia delos controles internos y los procedimientos para reportarinformación financiera.

Con el fin de ayudar a la gerencia en la evaluación delcontrol interno a nivel de empresa, en este documentopresentamos varios puntos a considerar para cada uno delos cinco componentes del control interno. Estos puntos noabarcan todo, y no todos los puntos listados seránaplicables a todas las compañías. Factores internos yexternos únicos para una empresa en particular pueden darcomo resultado que las compañías desarrollen mecanismosde control únicos, y esos factores y mecanismos de controlúnicos pueden dar lugar a considerar puntos adicionales. Sibien una respuesta “no” a un punto individual no significanecesariamente que todo el componente de control internoa nivel de empresa es ineficaz, una respuesta “no”(especialmente cuando hay varias de estas respuestas) debeaumentar la percepción hacia debilidades potenciales en elcontrol interno e indicar áreas sobre las cuales la gerenciadebe enfocar su atención.

En muchas companñías, la gerencia preparará una solaevaluación del control interno de la organización a nivel deempresa. En otros casos, tales como en compañías másgrandes con varias localidades o líneas de negocios queoperan descentralizadamente, puede ser apropiado ejecutaruna evaluación separada de los controles a nivel deempresa para las localidades o líneas de negociosindividuales y usar los resultados para hacer unaevaluación general a nivel de empresa.

Ernst & Young ha desarrollado la Guía y esta publicaciónsuplementaria con base en nuestro amplio conocimiento dela evaluación de controles internos sobre los reportes deinformación financiera en combinación con auditorías deestados financieros. Estas publicaciones no puedenconsiderar todos los posibles interrogantes relacionadoscon una evaluación del control interno de una compañía,pero proporcionan una metodología y estructura útiles paraayudar a la gerencia en su evaluación. Tendremos muchogusto en discutir con ustedes sobre la evaluación delcontrol interno en su compañía. Además, contamos con losconocimientos y la experiencia para ayudarle en ladocumentación de sus controles internos.

Una versión en plantilla de este documento puedeobtenerse visitando nuestro website en _____________, ousted puede solicitar una copia a un miembro del equipode Ernst & Young.

1

Integridad, valores éticos, y comportamiento de los ejecutivos clave

1 Muestra la junta directiva interés por la integridad y losvalores éticos? Hay un código de conducta y/o una políticade ética, y estos han sido comunicados adecuadamente?

1 Se ha comunicado eficazmente el compromiso de lagerencia a la integridad y el comportamiento ético a todala compañía, tanto en palabras como en hechos? Lagerencia lidera dando el ejemplo?

1 Se le pide al personal de la alta gerencia que ha sidocontratado fuera de la compañía que se familiarice con laimportancia de altos valores éticos y controles?

1 Trata la gerencia de eliminar o reducir los incentivos otentaciones que pueden propiciar que el personal seinvolucre en actos fraudulentos, ilegales o no éticos?

1 Otorga la gerencia recompensas, tales como bonos oacciones de la compañía, fomentando un tono éticoapropiado (p. ej., estas no se otorgan a quienes cumplenobjetivos, sino, en el proceso, evaden las políticas,procedimientos o controles establecidos)?

1 Toma la gerencia acción disciplinaria apropiada enrespuesta a las desviaciones de políticas y procedimientosaprobados o violaciones del código de conducta?

Conciencia de control de la gerencia y estilo operativo

1 Es apropiada la estructura de la gerencia (p. ej., no esdominada por uno o unos pocos individuos) y existe unasupervisión eficaz por parte de la junta directiva y/o elcomité de auditoría?

Entorno de ControlEl entorno de control refleja la pauta fijada por la alta gerencia y la actitud general, la conciencia y las acciones de lajunta directiva, la gerencia, los dueños y otros, con respecto a la importancia del control interno y el énfasis puesto sobreel control en las políticas, procedimientos, métodos y estructura organizacional de la compañía. Esto es el fundamentopara todos los otros componentes del control interno, que proveen disciplina y estructura.

❏ Si ❏ No Comentarios:







Puntos a considerar Respuestas/Comentarios

2 EVA L UAC I Ó N D E L CO N T RO L IN T E R N O

EN TO R N O D E CO N T RO L

1 Tiende a ser conservadora la filosofía de la gerencia sobrereportar información financiera (financial reporting),incluyendo su actitud hacia el desarrollo de estimaciones?Se reducen al mínimo las influencias (bias) que puedanafectar estimaciones contables significativas y minimizarotros juicios?

1 Existe un mecanismo establecido para educar y comunicarregularmente a la gerencia y a los empleados laimportancia de los controles internos, y elevar el nivel deentendimiento de los controles?

1 Presta la gerencia la apropiada atención al control interno,incluyendo los efectos del procesamiento de sistemas deinformación?

1 Corrige la gerencia oportunamente las deficienciasidentificadas en el control interno?

1 Están equilibrados los incentivos a la gerencia (p. ej., laparte de la compensación de la gerencia derivada debonos, opciones de compra de acciones, u otros incentivos no promueve un excesivo nivel de interés en mantenero aumentar el precio de las acciones o las ganancias de la empresa)?

1 Establece la gerencia objetivos financieros y expectativasreales (p. ej., no excesivamente agresivos) para el personaloperativo?

Compromiso de la gerencia a ser competente

1 Parece el personal tener la capacidad y el entrenamientonecesarios para su nivel de responsabilidad asignado o lanaturaleza y complejidad del negocio?

1 Posee la gerencia una amplia experiencia funcional (lagerencia viene de varias áreas funcionales en vez de sólounas pocas, tales como producción y ventas)?

1 Es apropiado el personal departamental, (particularmentecon respecto al conocimiento y experiencia de la gerenciay los niveles supervisores dentro de las áreas decontabilidad, sistemas de información y reporte deinformación financiera)?











1 Muestra la gerencia una voluntad de consultar con losauditores y tratar asuntos significativos que se relacionancon el control interno y asuntos de contabilidad?

1 ¿Demuestra la gerencia un compromiso para proveersuficiente personal de contabilidad y financiero paramantener el ritmo de crecimiento y/o complejidad delnegocio?

Participación de la junta directiva y/o el comité de auditoría en elgobierno (governance)y la vigilancia

1 Es apropiada la estructura de la junta directiva, incluyendoel número de directores, sus antecedentes y experiencia,dada la naturaleza de la compañía? La independencia delos miembros externos de la junta directiva ha sidorevisada adecuadamente, incluyendo afiliaciones,relaciones y transacciones con la compañía?

1 Son independientes de la gerencia, la junta directiva y elcomité de auditoria, tanto así que con frecuencia indagany plantean preguntas según sea necesario?

1 Consideran adecuadamente la junta directiva y/o el comitéde auditoria la importancia del entendimiento de losprocesos que la gerencia emplea para monitorear losriesgos de negocios que afectan a la organización?

1 Representa el comité de auditoria un supervisor informado,vigilante y eficaz del proceso de reporte de informaciónfinanciera (financial reporting) y del control interno de lacompañía, incluyendo el procesamiento de sistemas deinformación y los controles computarizados relacionados?

1 Incluye el comité de auditoria al menos a un “expertofinanciero” (financial expert)?

1 Mantiene el comité de auditoria una línea directa decomunicación con los auditores externos e internos de la empresa?

1 Tiene el comité de auditoría un documento que defina susdeberes y responsabilidades? Tiene el comité de auditoríalos recursos adecuados y la autoridad para ejercer susresponsabilidades?

3












EN TO R N O D E CO N T RO L

Estructura organizacional y asignación de autoridad y responsabilidades

1 Es la estructura organizacional adecuada para el tamaño,actividades operacionales, y ubicación de la compañía?

1 Es apropiada la estructura organizacional general (esdecir, no demasiado compleja, ni abarca numerosasempresas jurídicas o poco usuales, líneas administrativasde autoridad, o convenios contractuales sin propósitoaparente de negocios)?

1 Existe una estructura apropiada para asignar la propiedadde la información, incluso quiénes están autorizados para iniciar y/o modificar transacciones? Se asigna lapropiedad para cada aplicación y base de datos dentro de la infraestructura de IT?

1 Hay políticas apropiadas para aquellos asuntos comoaceptación de nuevos negocios, conflictos de interés, ypracticas de seguridad? Son ellas comunicadasadecuadamente a toda la organización?

1 Hay políticas y procedimientos apropiados para laautorización y aprobación de transacciones al niveladecuado?

1 Es clara la asignación de responsabilidades, incluyendoresponsabilidades del procesamiento de sistemas deinformación y desarrollo de programas?

1 Revisa y modifica la gerencia la estructura organizacionalde la compañía de acuerdo a los cambios de condiciones?

1 Hay una adecuada supervisión y monitoreo de lasoperaciones descentralizadas (incluyendo personal decontabilidad y sistemas de información)?

1 Hay una apropiada segregación de actividadesincompatibles (es decir, la separación entre lacontabilización y el acceso a activos)?

Políticas y practicas de recursos humanos

1 Existen normas y procedimientos para la contratación,adiestramiento, motivación, evaluación, promoción,remuneración, traslados y terminación de personal quesean aplicables a todas las áreas funcionales (p.ej.,contabilidad, mercadeo, sistemas de información)?












5

1 Existen procedimientos de investigación para la selecciónde solicitantes de empleo, particularmente para personalcon acceso a activos susceptibles a sustracción?

1 Son claras las políticas y procedimientos y se emiten,actualizan y modifican oportunamente? Se comunicaneficazmente al personal en localidades descentralizadasy/o extranjeras?

1 Hay descripciones de funciones, manuales de referencia uotras formas de comunicación que informen al personalsobre sus obligaciones?

1 El desempeño del trabajo es evaluado y revisadoperiódicamente con cada empleado?

Evaluación del Entorno de Control: ❏ Eficaz ❏ Ineficaz

Resuma las razones que soportan su evaluación, a menos que sean obvias:

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________







EVA L UAC I Ó N D E RI E S G O S

Evaluación de RiesgosLa evaluación de riesgos es la identificación y análisis de riesgos relevantes (tanto internos como externos) al logro delos objetivos, formando una base para determinar cómo los riesgos deben ser administrados.

Se han establecido y comunicado objetivos a nivel de empresa,incluyendo cómo están apoyados por planes estratégicos ycomplementados a nivel de proceso / aplicación. Se ha establecidoun proceso de evaluación de riesgo, incluyendo la estimación de laimportancia de los riesgos, la evaluación de la probabilidad de suocurrencia, y la determinación de las acciones necesarias a seguir.

1 Son establecidos, comunicados y monitoreados losobjetivos de negocios? Son comunicados a toda laempresa los elementos clave del plan estratégico de laempresa, de manera que los empleados tengan unentendimiento básico de la estrategia general de lacompañía? El plan estratégico de la empresa y losobjetivos de negocio se complementan entre si?

1 Existe un proceso que periódicamente revise y actualicelos planes estratégicos de toda la empresa? El planestratégico es revisado y aprobado por la junta directiva?

1 El plan estratégico de toda la empresa incluye IT o existeun plan estratégico separado de IT que trate lasnecesidades tecnológicas de la empresa para cumplir consu plan estratégico eficaz y eficientemente?

1 Existe un mecanismo adecuado que identifique riesgos denegocios, incluyendo aquellos que resulten de:

—Entrada a nuevos mercados o líneas de negocios?

—Ofrecimiento de nuevos productos y servicios?

—Cumplimiento de requerimientos de privacidad yprotección de información?

—Otros cambios en el negocio, la economía y el entornoregulador?









7

1 Realiza la auditoría interna (u otro grupo dentro de lacompañía) evaluaciones periódicas de riesgos (al menosanualmente)? Si la respuestas es si, revisa la alta gerencialas evaluaciones de riesgos y considera acciones paramitigar los riesgos significativos identificados?

1 La gerencia considera cuánto riesgo está dispuesto aaceptar cuando fija la dirección estratégica o la entrada anuevos mercados, y se esfuerza por mantener los riesgosdentro de esos niveles?

1 Supervisan y monitorean la junta directiva y/o el comitéde auditoria el proceso de evaluación de riesgo y tomanacciones para tratar los riegos significativos identificados?

Existen mecanismos para anticipar, identificar y reaccionar a loscambios que pudieran tener un efecto dramático y dominante en laempresa (p. ej., el comité de administración de activos/pasivos enuna institución financiera, el grupo de administración de riesgos decomercialización de “commodities” en una empresa manufacturera)o que pudiera afectar el logro de objetivos de la empresa o de nivelesde procesos/aplicaciones.

1 Están bien controladas las adquisiciones y ventas-disposiciones de negocios significativas y los activos (p. ej.,finalizados después de completar los procedimientos de “duediligence”, revisados por un nivel apropiado de la gerencia)?

1 Existen grupos o individuos que son responsables deanticipar e identificar cambios que pudieran tener un efectosignificativo sobre la empresa? Existen procesos parainformar a niveles apropiados de la gerencia acerca decambios con posibles efectos significativos en la empresa?

1 Son actualizados durante al año los presupuestos/proyecciones para reflejar condiciones cambiantes?

1 Se hacen revisiones periódicas o existen otrosprocedimientos para que, entre otras cosas, se anticipen eidentifiquen eventos o actividades rutinarios que puedanafectar la capacidad de la empresa de cumplir con susobjetivos y tratarlos?

1 La gerencia reporta a la junta directiva y/o el comité deauditoria acerca de cambios que pudieran tener un efectosignificativo en la empresa?











EVA L UAC I Ó N D E RI E S G O S

El departamento de contabilidad tiene procesos establecidos para: (1) identificar cambios en los principios de contabilidad generalmenteaceptados(PCGA) promulgados por los organismos con autoridadrelevantes, (2) notificar al departamento de contabilidad de cambios enlas practicas de negocios de la compañía que puedan afectar el métodoo los procesos para registrar transacciones, y (3) identificar cambiossignificativos en el control interno o el entorno operativo, incluyendocambios que resulten de nuevas regulaciones o cambios en éstas.

1 Tiene el departamento de contabilidad un proceso paraidentificar y tratar cambios en PCGA, así como tambiénpara la aprobación de modificaciones en la contabilidadpara tratar dichos cambios?

1 Trabaja la gerencia con los auditores externos u otrasterceras personas expertas para determinar si estántratando los cambios complejos de los PCGAapropiadamente?

1 Revisan la junta directiva y/o el comité de auditoria loscambios significativos en las prácticas contables de laempresa y los aprueban?

1 Existen procesos para asegurar que el departamento decontabilidad conozca los cambios en el entorno operativo,para que luego pueda revisar tales cambios y determinarlos efectos, si es que existe alguno, que los cambiospuedan tener sobre las prácticas contables de la empresa?

1 Existen canales de comunicación entre el departamento decontabilidad y/o individuos a cargo de monitorear lasregulaciones, para que el departamento de contabilidadconozca los cambios en las regulaciones que podríanafectar las practicas contables de la empresa?

1 Existen procesos para asegurar que el departamento de contabilidad (y la junta directiva y/o el comité deauditoria) conozcan las transacciones significativas con partes relacionadas, para que luego puedandeterminar si tales transacciones son apropiadamentecontabilizadas y reveladas?








9

Evaluación de la Evaluación de Riesgos: ❏ Eficaz ❏ Ineficaz


_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

Información y Comunicación Los sistemas de información y comunicación apoyan la identificación, captura e intercambio de información en unaforma y oportunidad que permiten a la gerencia y a otro personal apropiado cumplir con sus responsabilidades.

Información

Los sistemas de información proveen a la gerencia los reportesnecesarios sobre el desempeño de la empresa en relación a losobjetivos establecidos, incluyendo información interna y externarelevante, y proporcionan la información a la gente apropiada con el detalle necesario y a tiempo, para permitirles cumplir con susresponsabilidades eficaz y eficientemente.

1 Es la empresa capaz de preparar informes financierosexactos y oportunos, incluyendo informes interinos?

1 Reciben la junta directiva y la gerencia suficiente informaciónoportuna que les permita cumplir con sus responsabilidades?

1 Son definidos y medibles los objetivos de la gerencia entérminos de presupuestos, ganancias, y otros objetivosfinancieros y operativos? Son los resultados realesmedidos en relación a esos objetivos?

1 Hay un alto nivel de satisfacción de los usuarios con elprocesamiento de los sistemas de información, incluyendoaspectos como confiabilidad y oportunidad de los informes?

1 Hay un nivel suficiente de coordinación entre lasfunciones/departamentos de contabilidad y procesamientode sistemas de información?

Los sistemas de información son desarrollados o revisados en baseal plan estratégico que está interrelacionado con los sistemas deinformación generales de la empresa, y responden al logro de losobjetivos a nivel de empresa y a nivel de procesos/aplicaciones.

1 Existen políticas apropiadas para desarrollar y modificar lossistemas de contabilidad y control (incluyendo cambios y usode programas de computación y/o archivos de computación)?








IN F O R M AC I Ó N Y CO M U N I C AC I Ó N


11

1 Son los esfuerzos de la gerencia para desarrollar o revisarlos sistemas de información (incluyendo sistemas decontabilidad) congruentes con sus planes estratégicos?

1 Existen aplicaciones o transacciones importantes que seanejecutadas/ procesadas por organizaciones que prestanservicios (service organizations)? Si la respuesta es si, tienela gerencia documentados los controles relevantesasociados a la organización de servicios, la compañía oambos que mitiguen el riesgo de error? Hay políticas parala supervisión periódica de los controles de la organizaciónde servicios o la compañía y se toman acciones apropiadaspara mitigar el potencial de nuevos riesgos?

La gerencia destina los recursos humanos y financieros apropiadospara desarrollar los sistemas de información necesarios, y asegura ysupervisa a los usuarios que participan en el desarrollo (incluyendorevisiones) y prueba de los programas.

1 Participa la junta directiva y/o el comité de auditoria enlos proyectos de monitoreo de los sistemas de informacióny prioridad de los recursos?

1 Refleja claramente el diagrama de organización de IT las áreas de responsabilidad y las líneas de reporte ycomunicación?

1 Existen responsabilidades definidas para los responsablesde implantar, documentar, probar y aprobar cambios enlos programas de computación que son comprados odesarrollados por el personal de sistemas de informacióno los usuarios?

1 Son bien controladas las conversiones de los sistemas (p. ej., completadas de acuerdo a procedimientos o planesescritos)?

1 Asegura y monitorea la gerencia financiera a los usuariosinvolucrados en el desarrollo de programas, incluyendo eldiseño de pruebas del control interno y balances?

1 Hay un alto grado de cooperación e interacción entreusuarios y el departamento de IT (p. ej., procedimientos paraasegurar el monitoreo continuo por parte del departamentode IT de la satisfacción de los usuarios con el procesamientoy políticas de IT para el desarrollo, modificación y uso delos programas y los archivos de datos)?











IN F O R M AC I Ó N Y CO M U N I C AC I Ó N

La gerencia ha establecido un plan de continuidad del negocio/recuperación de desastres para todos los centros primarios deinformación.

1 Son replicados (backed up) regularmente los programasde aplicación y los archivos?

1 Existe un plan actual de recuperación de desastres paracomponentes importantes de la infraestructura de IT?

1 Hay un plan de continuidad de negocios que incorpore elplan de recuperación de desastres y las necesidades de losdepartamentos usuarios para recuperar oportunamente lasfunciones criticas, los sistemas, procesos e informacióndel negocio?

1 Son los planes de recuperación de desastres y continuidadde negocios probados periódicamente (al menos una vezal año)?

1 Son los planes de recuperación de desastres y continuidadde negocios actualizados de acuerdo a cambios en lascondiciones?

Comunicación

La gerencia comunica los deberes y responsabilidades de control de los empleados en una manera eficaz, y ha establecido canales de comunicación para que la gente reporte situaciones que sesospeche son impropias

1 Son claramente definidas y comunicadas las líneas deautoridad y responsabilidad (incluyendo líneas dereportes) dentro de la compañía?

1 Existen descripciones de funciones por escrito y manuales dereferencia que describan las responsabilidades del personal?

1 Son las políticas y procedimientos establecidos ycomunicados al personal en las localidades descentralizadas(incluyendo operaciones extranjeras)?

1 Hay adiestramiento/orientación para los nuevos empleados,o empleados que comienzan en una nueva posición, para discutir la naturaleza y alcance de sus deberes yresponsabilidades? El adiestramiento/orientación incluyeuna discusión de controles internos específicos de loscuales son responsables?











1 Hay un proceso para que los empleados comuniquensituaciones impropias? Es el proceso bien comunicado atoda la empresa? El proceso permite guardar la identidadde quienes reportan posibles situaciones impropias?Existe un proceso para reportar situaciones impropias, yacciones tomadas para tratarlas, a la alta gerencia, la juntadirectiva y/o el comité de auditoria?

1 Son revisadas, investigadas y resueltas oportunamentetodas las posibles situaciones impropias reportadas?

Existe una adecuada comunicación a través de la organización quepermita a la gente cumplir con su responsabilidad eficazmente, y lagerencia toma acciones de seguimiento oportuna y apropiadamentesobre las comunicaciones recibidas de clientes, proveedores,reguladores u otras partes externas.

1 Creen los empleados que tienen información adecuadapara cumplir con las responsabilidades de su trabajo?

1 Hay un proceso que comunique rápidamente la informacióncrítica a toda la compañía cuando sea necesario?

1 Hay un proceso para recopilar la información de losclientes, proveedores, reguladores y otras partes externas?

1 Se asigna responsabilidad a un miembro de la gerencia paraayudar a asegurarse que la empresa responda apropiada,oportuna y correctamente a las comunicaciones de losclientes, proveedores, reguladores y otras partes externas?

13

Evaluación de Información y Comunicación: ❏ Eficaz ❏ Ineficaz


_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________








Actividades de ControlLas actividades de control son las políticas y procedimientos que ayudan a asegurar que las directrices de la gerenciasean cumplidas.

Existen políticas y procedimientos necesarios con respecto a quecada una de las actividades de la empresa y los controles señaladospor la política están siendo aplicados.

1 Se siguen las prácticas contables y de cierre consistentementeen fechas interinas (p. ej., trimestral, mensualmente) duranteel año? Está la gerencia apropiadamente involucrada en larevisión de las estimaciones contables significativas y apoyopara las transacciones no usuales significativas y asientos dediario no estándar?

1 Hay documentación oportuna y apropiada para lastransacciones?

1 Revisa la empresa sus políticas y procedimientosperiódicamente para determinar si continúan siendoapropiados para las actividades de la compañía?

1 Tienen los miembros de la gerencia responsabilidad(ownership) sobre las políticas y los procedimientos? Laresponsabilidad (ownership) incluye asegurarse que laspolíticas y los procedimientos sean apropiadas para lasactividades de la compañía?

La gerencia tiene objetivos claros en términos de presupuesto,utilidades y otras metas financieras y de operación, y estos objetivosestán claramente escritos, y son comunicados a toda la empresa yactivamente monitoreados. Han sido implantados sistemas deplanificación y de reporte para identificar variaciones en elrendimiento planificado y comunicar estas variaciones al nivelapropiado de la gerencia. El nivel de la gerencia apropiado investigalas variaciones y toma acciones correctivas apropiadas y oportunas.

1 Existe un sistema de presupuesto?







AC T I V I DA D E S D E CO N T RO L


15

1 Revisa la gerencia los indicadores clave de rendimiento(p. ej., presupuestos, utilidades, metas financieras, metasoperativas) regularmente (p. ej., mensual, trimestralmente)e identifica variaciones significativas? La gerencia luegoinvestiga las variaciones significativas y se toman lasacciones correctivas apropiadas?

1 Son comunicadas y discutidas con la junta directiva y/o elcomité de auditoría las variaciones en el rendimientoplanificado por lo menos trimestralmente?

1 Son entregados los estados financieros a la gerenciaoperativa? Están acompañados de comentarios analíticos?

Los deberes son lógicamente divididos o segregados (manualmenteo a través de la implementación de aplicaciones de tecnología deinformación (IT) apropiadas) entre diferentes personas para reducirel riesgo de fraude o de acciones impropias.

1 Hay una apropiada segregación de actividadesincompatibles (p. ej., separación entre contabilización deactivos y acceso a los mismos; la función de operacionesIT separada de los sistemas y de la programación; lafunción de administración de la base de datos separada dela programación de aplicaciones y de la programación desistemas)? Son revisados los organigramas para asegurarque existe una segregación apropiada de deberes?

1 Se requieren aprobaciones apropiadas de parte de lagerencia antes de permitir acceso a un individuo aaplicaciones y bases de datos específicas?

1 Existe prohibición para que el personal de IT tengaresponsabilidades o deberes incompatibles endepartamentos usuarios?

1 Hay procesos para revisar periódicamente (p. ej. trimestral,semestralmente) los privilegios del sistema y controles deacceso a las diferentes aplicaciones y bases de datos dentrode la infraestructura de IT para determinar si los privilegiosdel sistema y accesos de control son apropiados?










AC T I V I DA D E S D E CO N T RO L

Se realizan comparaciones periódicas de montos registrados en elsistema de contabilidad con activos físicos. Existen adecuadosresguardos para prevenir acceso no autorizado o la destrucción dedocumentos, registros y activos.

1 Ha establecido la gerencia procedimientos para conciliarperiódicamente activos físicos (p. ej., efectivo, cuentas porcobrar, inventarios, activo fijo) con los registros contablesrelacionados?

1 Se toman inventarios físicos /conteos cíclicos en formaperiódica y se ajusta de acuerdo el sistema perpetuo deinventario? Son investigados los ajustes significativos orecurrentes para determinar la razón del ajuste y se toman lasacciones apropiadas para tratar las razones de los ajustes?

1 Ha establecido la gerencia procedimientos para preveniracceso no autorizado a, o la destrucción de, documentos,registros (incluyendo programas de computación yarchivos de datos), y activos?

1 Está restringido el acceso de procesamiento de datos a losactivos que no son de procesamiento de datos (p. ej.,cheques en blanco)?

Se han establecido políticas para controlar el acceso a programas yarchivos de datos. Se usa software de seguridad de acceso, softwarede sistema operativo, y/o software de aplicaciones para controlar elacceso a programas de datos. Existe una función de seguridad deinformación y es responsable de monitorear el cumplimiento de laspolíticas y procedimientos de seguridad de información.

1 Son usados el software de seguridad de acceso, software desistemas operativos, y software de aplicaciones paracontrolar ambos accesos centralizados y descentralizados a:

—Información y-datos?

—Capacidad funcional de programas (p. ej., ejecutar,actualizar, modificar parámetros, solamente leer)?

1 Es razonable la seguridad física sobre los activos detecnología de información (tanto el departamento IT yusuarios), dada la naturaleza del negocio de la compañía?

1 La información electrónica crítica es respaldadadiariamente y guardada fuera de las instalaciones?










17

1 Existen controles para acceso por teléfono a los recursos decomputación de la compañía (p. ej., firewalls; directorioscentralizados para guardar y manejar identidades deusuarios y privilegios de recursos; solicitud, aprobación yproceso de cumplimiento para acceso a la empresaautomatizado y basado en la política)?

1 Hay una función dedicada de ejecutivo de seguridad(security officer) que monitorea las actividades deprocesamiento de IT y existen informes periódicos para lajunta directiva y/o el comité de auditoria sobre el estadoactual de la seguridad de IT en la compañía?

1 Existen sistemas para monitorear y responder ainterrupciones potenciales del negocio debido a incidentesde intrusión maliciosa, y para actualizar los protocolos deseguridad para prevenirlos? Son las violaciones de seguridady otros incidentes automáticamente registrados y revisados?

1 Realiza la compañía revisiones /auditorias periódicas de laseguridad de IT? Si la respuesta es afirmativa, son losresultados de esta revisión /auditoría reportados a la juntadirectiva y/o al comité de auditoría?

Evaluación de Actividades de Control: ❏ Eficaz ❏ Ineficaz


_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________







MO N I TO R E O

MonitoreoMonitoreo es un proceso que evalúa la calidad de desempeño del control interno a través del tiempo.

Se realizan evaluaciones periódicas del control interno y el personal,mientras realiza sus deberes regulares, obtiene evidencia de que elsistema de control interno sigue funcionando.

1 Requieren los procedimientos que la gerencia revise losprocesos de control para asegurarse que los controlesestán siendo aplicados tal como se esperaba?

1 Existen procedimientos para monitorear cuándo loscontroles son omitidos (overriden) y para determinar si laomisión (overide) fue apropiada?

1 Existen políticas / procedimientos para asegurar que setoman acciones correctivas de forma oportuna cuandoocurren excepciones en los controles?

La gerencia: (1) implementa las recomendaciones de control internode los auditores internos e independientes, (2) corrige las deficienciasconocidas en forma oportuna, y (3)responde apropiadamente a losinformes y las recomendaciones de los reguladores.

1 Toma la gerencia acciones adecuadas y oportunas paracorregir deficiencias reportadas por la función deauditoría interna?

1 Responde la gerencia en forma oportuna y apropiada a lasobservaciones de los auditores independientes y a susrecomendaciones en relación al control interno y a laspolíticas y procedimientos de la Compañía?

1 Recibe la compañía hallazgos y recomendaciones de losreguladores? Si la respuesta es afirmativa, trata loshallazgos adecuada y oportunamente?

1 Existen otras funciones de semi-auditoría (p. ej., revisiónde crédito en una institución financiera o administraciónde riesgos en una compañía de seguros) que reportan a lagerencia y afectan el entorno de control general?









19

Hay una función de auditoría interna que la gerencia utiliza paraasistirle en sus actividades de monitoreo.

1 Es adecuado el nivel de personal, adiestramiento, yhabilidades especializadas dado el entorno (p. ej., el usode auditores de sistemas con experiencia y capacitación enambientes altamente automatizados y complejos)?

1 Es independiente la función de auditoría interna (entérminos de autoridad y relaciones de reporte) de lasactividades que auditan?

1 Se prohíbe a los auditores internos tener responsabilidadesoperativas que tengan conflictos con su función demonitorear?

1 Tenen acceso directo los auditores internos a la juntadirectiva y/o al comité de auditoría?

1 Se adhiere la función de auditoría interna a las normasprofesionales, tales como las normas emitidas por elInstituto de Auditoría Interna?

1 Ha habido una reciente revisión de calidad en la funciónde auditoría interna por terceros tales como los auditoresindependientes de la compañía?

1 Es apropiado el alcance de las actividades de auditoríainterna (p. ej., balance entre las auditorias financieras yoperacionales, cobertura y rotación de operacionesdescentralizadas) dada la naturaleza, el tamaño y laestructura de la compañía?

1 El alcance de las actividades planificadas de auditoríainterna es revisado en forma anticipada con:

—La alta gerencia?

—La junta directiva y/o el comité de auditoría?

—Los auditores independientes?

1 Desarrolla el departamento de auditoría interna un plananual que considera el riesgo en la determinación de laasignación de recursos?

1 Tienen los auditores internos autoridad para examinarcualquier aspecto de las operaciones de la empresa?















MO N I TO R E O

1 Son reportados los resultados de las actividades de laauditoría interna a:

—La alta gerencia?

—La junta directiva y/o el comité de auditoría?

—Los auditores independientes?

Evaluación de Control de Monitoreo: ❏ Eficaz ❏ Ineficaz


_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________





21

Evaluación General del Control Interno a Nivel de Empresa: ❏ Eficaz ❏ Ineficaz

Basado en factores documentados en las secciones previas y en cualquier factor adicional (documentado a continuacióno en un memorando separado) concluya sobre la eficacia general del control interno a nivel de empresa (proveer unabase para la conclusión de la gerencia, si no es obvia).

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

evaluación del control interno -...

Documents