MÉXICO

El Marco Integrado de Control Interno publicado por el Comité de Organizaciones Patrocinadoras (COSO, por las siglas en inglés) es la norma reconocida para establecer los controles internos. El COSO define el control interno como:

...un proceso efectuado por el consejo de administración de una entidad, la administración y otro personal, diseñado para proporcionar un aseguramiento razonable con respecto al logro de los objetivos en las siguientes categorías:

• la efectividad y eficiencia de las operaciones
• la confiabilidad de la Información Financiera
• el cumplimiento con las leyes y los objetivos aplicables.

La primera categoría se trata del logro de los objetivos básicos del negocio. La segunda se refiere a la confiabilidad de la información financiera (tanto interna y como externa) que es utilizada por los que son encargados de tomar decisiones. La tercera se trata del cumplimiento con las leyes, regulaciones, y políticas.

Los Cinco Componentes del Control Interno

Conforme al modelo del COSO, un sistema de controles internos es un proceso que se compone de cinco componentes correlacionados. Todos son aplicables a las organizaciones de cualquier tamaño o tipo, pero las organizaciones pueden aplicarlos de diversas maneras. Los cinco componentes se dirigen al alcanzar uno o más de los objetivos enumerados arriba. Los cinco componentes son los siguientes:

Ambiente del Control

El ambiente del control es el "tono" de la organización y es la base para los demás controles. Algunos de los factores que afectan el ambiente del control son la integridad, los valores éticos, la moral, y la capacidad de los empleados de la entidad; el estilo de la administración; la estructura de la organización; una asignación clara de las autoridades; los deberes y las responsabilidades; el ambiente de la industria y del negocio en el cual opera la organización; los acontecimientos económicos y reguladores; y la atención de las organizaciones que gobiernan. Uno de los factores más grandes que influye el ambiente del control en una organización es el hecho de "poner el ejemplo" (tone of the top). Es un término que se utiliza para definir el liderazgo y el compromiso de la administración hacia la franqueza, honradez, integridad, y el comportamiento ético.

Evaluación de Riesgos

Todas las organizaciones así como los niveles dentro de una organización hacen frente a una miríada de riesgos operativos. Los riesgos afectan la capacidad de la organización de sobrevivir, competir con éxito, mantener la fuerza financiera y una positiva imagen pública, y mantener la calidad de los servicios y productos. Por lo tanto, este componente trata con la capacidad de las organizaciones para fijar metas y objetivos operativos claros, identificar los riesgos que podrían impedir el logro de esos objetivos, y de mitigar la exposición a esos riesgos a los niveles aceptables.

Actividades de Control

Son las políticas y los procedimientos que se han colocado para asegurar que las instrucciones de la administración están realizadas. Este es el componente que la mayoría de la gente considera cuando piensa en los "controles internos". Los ejemplos de las actividades de control incluyen revisiones de los informes del desempeño y de las excepciones, las aprobaciones y autorizaciones de las transacciones, la segregación correcta de los deberes, las salvaguardias físicas, el mantener la documentación apropiada para apoyar las transacciones financieras, conciliaciones, los Controles del Acceso y la Seguridad de Sistemas, y los controles de los sistemas de información (bitácoras, etc.)

Las actividades de control se deben establecer para mitigar los riesgos identificados así como para alcanzar uno de los tres objetivos bajo el marco del COSO.

Información y Comunicación

Este componente se refiere a la manera en que la información se comunica a través de la organización. La comunicación es esencial para alcanzar los tres objetivos resumidos en el marco del COSO.

Monitoreo

Todos los sistemas y procesos de control interno cambian con el tiempo. Algunos controles continúan desarrollándose. Sin embargo, algunos pueden perder su eficacia porque ya no se realizan, no se aplican constantemente, o se aplican incorrectamente. Esto puede ser el resultado de entrenamiento, el volumen de rotación de personal, la carencia de respuestas de la administración y la atención a las violaciones de control, las limitaciones de tiempo o de recursos, o cualquier otra razón. Debido a esto, los controles deben ser monitoreados. Típicamente esto se hace de dos maneras, sobre una base constante y sobre una base periódica. El monitoreo constante se hace durante las operaciones regulares. El monitoreo independiente lo hacen los auditores, los compañeros revisores, o por medio de autoevaluaciones.