sistema de control interno basado en el modelo coso ntc...
TRANSCRIPT
SISTEMA DE CONTROL INTERNO BASADO EN EL MODELO COSO NTC 31000, APLICADO A COOBURSÁTIL LTDA.
JORGE LEONARDO CAMARGO GUERRA CÓDIGO: 20162377056 SERGIO ESTEBAN MUÑOZ RODRÍGUEZ CÓDIGO: 20162377003
UNIVERSIDAD FRANCISCO JOSÉ DE CALDAS
FACULTAD TECNOLÓGICA
P.C. INGENIERÍA DE PRODUCCIÓN
BOGOTÁ D.C
2018
SISTEMA DE CONTROL INTERNO BASADO EN EL MODELO COSO NTC 31000, APLICADO A COOBURSÁTIL LTDA.
JORGE LEONARDO CAMARGO GUERRA CÓDIGO: 20162377056 SERGIO ESTEBAN MUÑOZ RODRÍGUEZ CÓDIGO: 20162377003
Proyecto de Grado para optar al título de Ingeniería de Producción
DIRECTOR:
ING. MANUEL ALFONSO MAYORGA MORATO
UNIVERSIDAD FRANCISCO JOSÉ DE CALDAS
FACULTAD TECNOLÓGICA
P.C. INGENIERÍA DE PRODUCCIÓN
BOGOTÁ D.C
2018
NOTA DE ACEPTACIÓN
____________________________________________
____________________________________________
____________________________________________
____________________________________________
____________________________________________
____________________________________________
____________________________________________
Firma del Director del proyecto
____________________________________________
Firma del Jurado
____________________________________________
Firma del Jurado
Bogotá 09 de Mayo de 2018.
DEDICATORIA
Este proyecto de grado está dedicado a DIOS, a nuestras familias por el apoyo
incondicional, por ser partícipes de este proceso y el motor para el logro de esta gran
meta, a nuestros Docentes que aportaron con su experiencia y conocimiento a lo largo
de nuestra carrea universitaria, a nuestros amigos y compañeros de estudio con quienes
se formaron grandes equipos de trabajo cuyos resultados nos hacen merecedores de
este gran logro que con seguridad no será el último, gracias a todos y cada uno de ellos
por hacer de nosotros personas con valores para poder desenvolvernos como: Hombres,
Hijos, Esposos, Padres y Profesionales.
AGRADECIMIENTOS
Nos complace a través de este trabajo de grado expresar nuestros más sinceros
agradecimientos a la Cooperativa Bursátil Ltda., la oportunidad que nos brindaron para
desarrollar este trabajo y todo el apoyo, comprensión y confianza que tuvieron en
nuestras capacidades como profesionales.
A todos los Funcionarios de esta gran cooperativa que con su experiencia y sabiduría
fueron una guía idónea, durante el proceso que ha llevado el realizar esta tesis, nos han
brindado el tiempo necesario, como la información para que este anhelo llegue a ser
felizmente culminado.
Finalmente, a nuestro Director de grado el Ingeniero Manuel Alfonso Mayorga Morato
quien fue un apoyo incondicional, brindándonos su conocimiento y confianza para la
culminación de este proyecto.
RESUMEN
Actualmente las instituciones se encuentran con el riesgo de establecer controles
internos los mismos que son aplicados con base a su criterio lo que puede afectar
directamente a sus operaciones y/o actividades que desarrollan directamente en su
desempeño laboral, por tal motivo nuestro propósito es el implementar un Sistema de
Control Interno basado en el modelo COSO, aplicado a todas las dependencias de la
Cooperativa Bursátil Ltda. Sede Bogotá en el periodo 2016, y así optimizar la
productividad con la finalidad de cumplir con las políticas y normas vigentes, para que
los resultados de todas las operaciones sean absolutamente confiables, sirviendo de
apoyo para la alta dirección en la correcta toma de decisiones.
La propuesta de la implementación de un Sistema de Control Interno basado en el
COSO, permitirá conocer las posibles situaciones que se pueden presentar aplicando
una correcta evaluación en la caracterización de los diferentes procesos
correspondientes a cada departamento.
Esta metodología sirve para mitigar, detectar y corregir los errores involuntarios que se
puedan presentar en el transcurso del desarrollo de las operaciones, el propósito de esta
aplicación aparte de evaluar el Sistema de Control Interno, también sirve como
mecanismo para valorar la productividad de cada departamento o área, dando como
resultado una acertada toma de decisiones por las directrices responsables de la
cooperativa.
PALABRAS CLAVES:
COSO, Control Interno, Indicadores, Matriz de Riesgo.
ABSTRACT
Currently the institutions are at risk of establishing internal controls, which are applied
based on their criteria, which may directly affect their operations and / or activities that
develop directly in their work performance, for this reason our purpose is to implement an
Internal Control System based on the COSO model, applied to all the dependencies of
the Cooperativa Bursátil Ltda. Bogota Headquarters in the 2016 period, and thus optimize
productivity in order to comply with current policies and regulations, so that the results of
all the operations are absolutely reliable, serving as support for the top management in
the correct decision making.
The proposal of the implementation of an Internal Control System based on the COSO,
will allow to know the possible situations that can be presented by applying a correct
evaluation in the characterization of the different processes corresponding to each
department.
This methodology serves to mitigate, detect and correct involuntary errors that may occur
during the development of operations, the purpose of this application apart from
evaluating the Internal Control System, also serves as a mechanism to assess the
productivity of each department or area, resulting in a successful decision making by the
responsible guidelines of the cooperative.
KEYWORDS:
COSO, Internal Control, Indicators, Risk Matrix.
CONTENIDO
DEDICATORIA ........................................................................................................................................... 4
AGRADECIMIENTOS ............................................................................................................................... 5
RESUMEN................................................................................................................................................... 6
PALABRAS CLAVES: ............................................................................................................................... 6
ABSTRACT ................................................................................................................................................. 7
KEYWORDS: .............................................................................................................................................. 7
INTRODUCCIÓN ..................................................................................................................................... 11
1. GENERALIDADES .............................................................................................................................. 13
1.1. PLANTEAMIENTO DEL PROBLEMA ........................................................................................... 13
1.1.1. Descripción del Problema ............................................................................................................ 13
1.1.2. Formulación del Problema ........................................................................................................... 13
1.2. OBJETIVOS....................................................................................................................................... 13
1.2.1. General ........................................................................................................................................... 13
1.2.2. Específicos ..................................................................................................................................... 13
1.3. DELIMITACIÓN DEL PROBLEMA ................................................................................................ 14
1.3.1. Espacio ........................................................................................................................................... 14
1.3.2. Tiempo ............................................................................................................................................ 14
1.4. METODOLOGÍA ............................................................................................................................... 14
1.4.1. Tipo de Investigación .................................................................................................................... 14
Métodos de Investigación ....................................................................................................................... 15
Método Deductivo .................................................................................................................................... 15
Método de Análisis – Síntesis ................................................................................................................ 15
1.4.2. Fuentes y Técnicas de Recolección de Información ............................................................... 15
Fuentes primarias..................................................................................................................................... 15
Fuentes Secundarias ............................................................................................................................... 16
1.4.3. Población y Muestra ..................................................................................................................... 16
2. MARCO REFERENCIAL .................................................................................................................... 17
2.1. MARCO HISTORICO ....................................................................................................................... 17
2.1.1. Sector económico ......................................................................................................................... 17
Misión. ........................................................................................................................................................ 18
Visión……………………………………………………………………………………………………………………………………………………18
2.1.2. ANTECEDENTES ......................................................................................................................... 18
2.1.3. Estructura organizacional ............................................................................................................ 19
2.2. MARCO TEÓRICO ....................................................................................................................... 20
2.2.1. Estructura organizacional ............................................................................................................ 20
2.3. MARCO LEGAL ............................................................................................................................ 29
3. SISTEMA DE CONTROL INTERNO ........................................................................................ 35
3.1.1. CONSIDERACIONES GENERALES ........................................................................................ 35
3.1.2. ÁMBITO DE APLICACIÓN ......................................................................................................... 35
3.2.1. DEFINICIÓN Y OBJETIVO DEL SISTEMA DE CONTROL INTERNO ............................... 36
3.2.2. PRINCIPIOS DEL SISTEMA DE CONTROL INTERNO ....................................................... 36
Autocontrol ................................................................................................................................................ 36
Autorregulación......................................................................................................................................... 37
Autogestión ............................................................................................................................................... 37
3.3. ELEMENTOS DEL SISTEMA DE CONTROL INTERNO ...................................................... 37
3.3.1. Ambiente de Control .................................................................................................................... 37
3.3.2. Gestión de Riesgos ..................................................................................................................... 39
3.3.3. Actividades de Control ................................................................................................................ 41
3.3.4. Información y comunicación ....................................................................................................... 42
4. SISTEMA DE CONTROL INTERNO BASADO EN EL MODELO COSO NTC 31000,
APLICADO A COOBURSÁTIL LTDA. .................................................................................................. 47
a. Diagnóstico del sistema de control interno .................................................................................. 47
b. Organización y estructura del Sistema de Control Interno ........................................................ 50
c. Estructura los procedimientos y actividades de control para Coobursátil Ltda. ..................... 51
d. Puntos críticos de control, para determinar los mecanismos necesarios que permitan
identificar, evaluar y dar respuesta a los riesgos en el desarrollo de las actividades de los
departamentos financiero y contable. ................................................................................................... 52
e. Implementación los elementos de Control Interno diseñados, de acuerdo a los resultados
obtenidos en el proceso investigativo. .................................................................................................. 56
CONCLUSIONES..................................................................................................................................... 62
RECOMENDACIONES ........................................................................................................................... 63
BIBLIOGRAFÍA ......................................................................................................................................... 65
Ilustración 1: Información de la empresa ....................................................................... 17
Ilustración 2: Esquema para la gestión del riesgo. ........................................................ 23
Ilustración 3: Proceso para la administración del riesgo. .............................................. 25
Ilustración 4: Tabla de Probabilidad .............................................................................. 27
Ilustración 5: Tabla de Impacto ..................................................................................... 28
Ilustración 6: Fases del Proceso de Control .................................................................. 32
Ilustración 7: RIESGO RESIDUAL POR PROCESO/SUBPROCESO .......................... 47
INTRODUCCIÓN
Debido a las diferentes metodologías empleadas para la administración de las empresas,
se ha visto la necesidad de implementar un concepto general del Sistema de Control
Interno, aplicable a todos los Departamentos de la Cooperativa, los mismos que serán
evaluados según el grado de incidencia que generan en el normal desarrollo de las
operaciones administrativas, financieras y contables.
Dada la importancia se toma como modelo de gestión el denominado informe COSO
basado en la norma ISO 31000 (Gestión del Riesgo, principios y directrices) ya que es
un proceso integral y dinámico, este modelo nos permitirá analizar los diferentes
componentes siendo estos el ambiente de control, evaluación del riesgo, actividades de
control, información y comunicación y supervisión de las funciones y responsabilidades
que cada colaborador asume dentro de sus funciones laborales.
El objetivo del presente documento es lograr fortalecer aquellas debilidades en el
cumplimiento de las actividades con el que estableceremos parámetros para mejorar el
sistema de gestión administrativo, basado en metodologías que presentan resultados
óptimos para la cooperativa, dando cumplimiento a las normas, políticas internas y leyes
implantadas por los entes de control que vigilan la entidad.
Con base a lo anteriormente mencionado, en el presente estudio se realizarán análisis y
propuestas para el proceso del Sistema de Control Interno en la cooperativa “Coobursátil
Ltda.”, aplicando el informe COSO ya que detecta situaciones críticas que se originan en
el desarrollo y ejecución de las operaciones que impiden el cumplimiento de objetivos
empresariales.
Dando continuidad al desarrollo del Proyecto de Grado se procederá a evaluar la Gestión
de Control Interno aplicada por la Alta Gerencia y sus funcionarios basados en los
siguientes métodos: Matricial, evaluaciones selectivas a los procesos más riesgosos y
entrevistas a los dueños del proceso, mecanismos que permitirán tener una visión clara
y real de la situación actual del Control, con la finalidad de emitir el informe en mención
concluyendo las áreas críticas en el desarrollo de las actividades, sugiriendo alternativas
que ayuden a mantener una ejecución acorde de las operaciones.
JUSTIFICACIÓN
Este trabajo se llevó a cabo con el fin de crear un Sistema de Control Interno para la Cooperativa Bursátil Ltda., entidad sin ánimo de lucro y de responsabilidad limitada, vigilada por la Súper intendencia Financiera de Colombia; porque en la actualidad las operaciones realizadas en las actividades rutinarias, los dineros recaudados, los aportes realizados y los egresos e ingresos causados y realizados no son llevados con un adecuado control, lo cual hace necesario e indispensable la implementación de normas de control interno.
Si fundamentamos científicamente los componentes del Control Interno y logramos el mejoramiento de la calidad de información financiera, optimizando los recursos económicos de la entidad existirá un mejor manejo de los recursos y todos los movimientos de los ingresos y egresos que generan. Investigando las necesidades de diseñar un Sistema de Control Interno para Coobursátil Ltda., podremos saber las deficiencias del manejo actual de las operaciones, fondos, recaudos, ingresos y egresos.
Sabemos que para desarrollar un buen sistema de control interno debemos partir de la evaluación de la situación actual del control:
¿Qué procedimientos se siguen?
¿Quiénes lo ejecutan?
¿Qué controles se aplican?
¿Cómo se procesan y registran los diferentes tipos de transacciones?
¿Qué registros contables y documentos de apoyo existen?
Debemos diseñar los elementos del Sistema de Control Interno Contable y el mejoramiento de la calidad de la información, tomando en cuenta los resultados obtenidos durante el proceso investigativo, para que la empresa provea una separación apropiada de responsabilidades funcionales y prácticas sanas a seguir en la ejecución de los deberes y funciones de cada departamento y un sistema de autorización y procedimientos orientado a proveer un control operativo y contable razonable sobre los Activos, Pasivos, Patrimonio, Ingresos y Gastos.
El Sistema de Control Interno implementado y desarrollado en toda organización debe ofrecer seguridad razonable de que se han adoptado normas, políticas y se han establecido procedimientos de control adecuados, aún más teniendo en cuenta que la Cooperativa deberá someterse periódicamente a una revisión externa, efectuada por los entes de control, de conformidad a las Leyes Colombianas relacionadas con el caso.
1. GENERALIDADES
1.1. PLANTEAMIENTO DEL PROBLEMA
1.1.1. Descripción del Problema
La Cooperativa Bursátil no cuenta en la actualidad con una estructura orgánica de operaciones y ejecución de procesos, esto se debe a que no aplican métodos, procedimientos y políticas relacionadas con el Control Interno, esto ha generado que la dirección de la organización no haya logrado cumplir con los objetivos propuestos; y además asumió riesgos muy altos como registros errados en las diversas transacciones y el control deficiente en el registro de facturas y diversos procesos.
El problema observado que se analizara en este proyecto es “la ausencia de procesos de control interno de la Cooperativa Bursátil; identificando las causas que lo han originado y sus consecuencias o efectos producidos durante los procesos”.
1.1.2. Formulación del Problema
¿Qué diseño de control interno se debe implementar en la Cooperativa Bursátil para satisfacer sus necesidades en cuanto a sus actividades operacionales, contables y financieras?
1.2. OBJETIVOS
1.2.1. General
Estructurar un Sistema de Control Interno para Coobursátil Ltda., que permitirá una mejor vigilancia de las actividades operacionales, contables y financieras.
1.2.2. Específicos
Realizar un diagnóstico con el objeto de identificar los métodos y procedimientos operativos, contables, financieros y de control que en la actualidad se realizan o se dejan de realizar en Coobursátil Ltda.
Determinar la estructura del Sistema de Control Interno Contable en Coobursátil Ltda., para el mejoramiento de la calidad de la información financiera, teniendo en cuenta los resultados obtenidos durante el proceso investigativo.
Estructurar los procedimientos y actividades de control para Coobursátil Ltda.
Examinar los puntos críticos de control, para determinar los mecanismos necesarios que permitan identificar, evaluar y dar respuesta a los riesgos en el desarrollo de las actividades de los departamentos financiero y contable.
Implementar los elementos de Control Interno diseñados, de acuerdo a los resultados obtenidos en el proceso investigativo.
1.3. DELIMITACIÓN DEL PROBLEMA
1.3.1. Espacio
El área de estudio comprende la Cooperativa Bursátil prestadora de servicios para realizar operaciones de comisión y corretaje para la compra y venta de bienes y productos agropecuarios, agroindustriales o estandarizados a través de la Bolsa Mercantil de Colombia S.A, ubicado en la ciudad de Bogotá.
1.3.2. Tiempo
La información a recolectar está referenciada tomando entre el mes de Julio de 2017 y Marzo de 2018, para lo cual se estudiarán los estados financieros y anexos de manera comparativa, como también las bases de datos de la empresa.
1.4. METODOLOGÍA
1.4.1. Tipo de Investigación
La investigación se encuentra enmarcada en la línea de investigación de Control y Auditoria Interna, el tipo de investigación desarrollado en este trabajo es analítico - descriptivo, puesto que pretende identificar y especificar las fortalezas y debilidades de la empresa objeto de estudio, a través de esta investigación ordenaremos, clasificaremos y simplificaremos, los problemas de la organización con relación a la falta de un Control Interno apropiado en busca de una buena información financiera, técnica, ordenada, y transparente y confiable.
A nivel metodológico el proceso de investigación se desarrollará en seis fases así:
En una primera fase se recopilará información a fin de realizar los diagnósticos y
evaluaciones pertinentes con el objeto de identificar los métodos y procedimientos
operativos, contables, financieros y de control que en la actualidad se realizan o se
dejan de realizar en Coobursátil Ltda.
En una segunda fase se organizará y analizará la información a fin de estructurar el
proyecto determinando la estructura del Sistema de Control Interno Contable en
Coobursátil Ltda., para el mejoramiento de la calidad de la información financiera,
teniendo en cuenta los resultados obtenidos durante el proceso investigativo.
En la tercera fase se estructurarán los procedimientos y actividades de control para
Coobursátil Ltda.
En una cuarta fase se examinarán los puntos críticos de control, para determinar los
mecanismos necesarios que permitan identificar, evaluar y dar respuesta a los riesgos
en el desarrollo de las actividades de los departamentos financiero y contable.
En la fase cinco se implementarán los elementos de Control Interno diseñados, de
acuerdo a los resultados obtenidos en el proceso investigativo.
Finalmente, en la sexta fase se redactará el informe final y se realizará la sustentación
ante los jurados.
Métodos de Investigación
Método Deductivo
El método científico que se va a seguir en esta investigación es deductivo, ya que se va partir de los conceptos generales emitidos para el control interno, para luego aplicarlos al caso específico de Coobursátil Ltda.
Método de Análisis – Síntesis
Se utiliza el método de análisis y síntesis en este proyecto, porque se revisa cuáles son las características generales de los procedimientos establecidos en el Coobursátil Ltda. Y la forma como se desarrollan sus procesos, descomponiendo estos últimos en cada una de sus variables, para luego, formular las actividades necesarias para el diseño de un sistema de control que conlleve al cumplimiento de políticas trazadas y en atención a las metas u objetivos previstos por la entidad.
1.4.2. Fuentes y Técnicas de Recolección de Información
Fuentes primarias
Para el logro de los objetivos propuestos es fundamental la recolección de datos, lo que hace importante utilizar técnicas e instrumentos apropiados que permitan alcanzar el
máximo de información y así obtener datos de manera exacta y lo más cercano a la realidad. En esta investigación se aplicarán tres instrumentos donde el primero será para recoger los datos provenientes de la observación directa y presencial realizada por el investigador, en la cual se analizarán los aspectos relativos al funcionamiento operativo y administrativo del Coobursátil Ltda. Un segundo instrumento será un cuestionario compuesto por un conjunto de preguntas diseñadas para generar los datos necesarios para alcanzar los objetivos del estudio; es un plan formal para recabar información de cada unidad de análisis objeto de estudio y que constituye el centro del problema de investigación. Un cuestionario nos permite estandarizar y uniformar el recabado de la información. Un diseño inadecuado o mal elaborado nos conduce a recoger datos incompletos, imprecisos y, como debe suponerse, a generar información poco confiable, este se aplica a empleados del Coobursátil Ltda. El tercer instrumento a utilizar será la entrevista, la cual es la comunicación interpersonal establecida entre el investigador y el sujeto de estudio a fin de obtener respuestas verbales a los interrogantes planteados sobre el problema propuesto. Se considera que este método es más eficaz que el cuestionario, ya que permite obtener una información más completa, a través de ella el investigador puede explicar el propósito del estudio y especificar claramente la información, se aplicara a empleados de la entidad y terceros relacionados con ella.
Fuentes Secundarias
Dentro de las fuentes secundarias que se emplearán están: Libros y textos referentes al modelo Coso; revistas especializadas cuyos artículos estén ligados al diseño de un sistema de control interno en una organización, publicaciones del gobierno como leyes, decretos, estadísticas y comunicados, etc., que se relacionen con el tema de investigación, trabajos de grado afines, documentos de Internet, entre otros.
1.4.3. Población y Muestra
El Personal Administrativo de la entidad Coobursátil Ltda. Comprendido por los empleados de sus respectivos departamentos constituyen la población objeto de estudio de esta investigación.
2. MARCO REFERENCIAL
2.1. MARCO HISTORICO
Ilustración 1: Información de la empresa Propuesta por el autor
2.1.1. Sector económico
CIIU: 6613 Otras actividades relacionadas con el mercado de valores
Coobursátil Ltda. Nit: 830.098.369-4 tiene su sede administrativa en la Cl. 121 #7-30, Bogotá, y dos sucursales alternas en la ciudad de Medellín e Ibagué.
Nombre del ProyectoSISTEMA DE CONTROL INTERNO BASADO EN EL MODELO COSO NTC
31000, APLICADO A COOBURSÁTIL LTDA.
Nombre de la empresa COOBURSATIL LTDA.
Nit 8300983694
Dirección Calle 121 N° 7-30 Oficina 402
Teléfono 612-20-87 Bogotá
Sector socioeconómico
Comercial: realizar operaciones de comisión y corretaje para la compra y
venta de bienes y productos agropecuarios, agroindustriales o
estandarizados a través de la Bolsa Mercantil de Colombia S.A.
Tipo de Actividad INTERMEDIARIOS DE BIENES Y PRODUCTOS AGROPECUARIOS
Razón Social
La Cooperativa Bursátil Ltda., es un organismo cooperativo de segundo
grado de carácter nacional, derecho privado, sin ánimo de lucro y de
responsabilidad limitada; Vigilada por la Superintendencia Financiera
de Colombia. Miembro de la Bolsa Mercantil de Colombia S.A. desde el
2002, y dedicada a realizar operaciones de comisión y corretaje para la
compra y venta de bienes y productos agropecuarios, agroindustriales o
estandarizados a través de la Bolsa Mercantil de Colombia S.A.
Numero de Empleados 15
Coordinador del Proyecto Natalia Henao
Cargo Directora Administrativa y Jurídica
Supervisor del Proyecto Reinaldo Vásquez Arroyave
LA COOPERATIVA BURSATIL LTDA “COOBURSATIL LTDA.” es una sociedad comisionista de Bolsa de Bienes y Productos Agropecuarios, Agroindustriales o de otros Commodities, miembro de la Bolsa Mercantil de Colombia –BMC- desde el año 2002 , comprometida con el estricto cumplimiento de la normatividad vigente para el desarrollo de su objeto social en general, y en particular, con el cumplimiento eficaz y oportuno del Sistema de Administración de Riesgo de Lavado de Activos y Financiamiento al Terrorismo -SARLAFT-, así como de los principios y políticas que lo integran.
Misión
La Cooperativa Bursátil Ltda. Tiene como misión consolidarse como la principal firma comisionistas en el mercado de la Bolsa Mercantil de Colombia S.A., con un amplio portafolio de servicios de financiamiento, inversión y comercialización de productos.
Visión
Ser en el 2015 la firma comisionista líder en mercado, con amplia cobertura nacional y contribuyendo con el desarrollo económico del sector cooperativo agropecuario e industrial.
2.1.2. ANTECEDENTES
Bursátil LTDA. durante los últimos años ha presentado inconvenientes y reprocesos internos generados por ausencia de controles en los roles y responsabilidades de cada cargo, por lo cual es necesario implementar un sistema de control y seguimiento interno a cada una de las áreas con el fin de estandarizar los procesos y minimizar el riesgo.
Anteriormente se han realizado estudios y propuestas de este tipo relacionados a empresas por parte de estudiantes de instituciones educativas como lo es la universidad de Cartagena “Diseño de un modelo de control interno en la empresa prestadora de servicios hoteleros eco turísticos nativos activos eco hotel la cocotera, que permitirá el mejoramiento de la información financiera”1 y la universidad Católica “Propuesta de procedimientos de control interno contable para la empresa SAJOMA S.A.S.”2
1 Extraído de http://repositorio.unicartagena.edu.co:8080/jspui/bitstream/11227/2130/1/TESIS%20CONTROL%20INTERNO-PRESENTACION%20FINAL.pdf
2 http://vitela.javerianacali.edu.co/bitstream/handle/11522/8609/Propuesta%20de_procedimientos_contro_nterno.pdf?sequence=1&isAllowed=y
2.1.3. Estructura organizacional
2.2. MARCO TEÓRICO
2.2.1. Estructura organizacional
Riesgos: Efecto de la incertidumbre sobre los objetivos. Un efecto es una desviación de aquello que se espera, sea positivo, negativo o ambos. Los objetivos pueden tener aspectos diferentes (por ejemplo, financieros, salud y seguridad, y metas ambientales) y se pueden aplicar en niveles diferentes (estratégico, en toda la organización, en proyectos, productos y procesos). Con frecuencia, el riesgo se expresa en términos de una combinación de las consecuencias de un evento (Incluyendo los cambios en las circunstancias) y en la probabilidad (Likelihood) de que suceda. Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o el conocimiento de un evento, su consecuencia o probabilidad.
Gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.
Marco de referencia para gestión del riesgo: Conjunto de componentes que brindan las bases y las disposiciones de la organización para diseñar, implementar, monitorear (Numeral 2.28 de la Norma) 3, revisar y mejorar la gestión del riesgo (Numeral 2.2 de la Norma) 4 a través de toda la organización.
Política para la gestión del riesgo: Declaración de la dirección y las intenciones generales de una organización con respecto a la gestión del riesgo.
Actitud hacia el riesgo: enfoque de la organización para evaluar y eventualmente buscar, retener, tomar o alejarse del riesgo (Numeral 2.1 de la Norma) 5.
Plan para la gestión del riesgo: Esquema dentro del marco de referencia para la gestión del riesgo que especifica el enfoque, los componentes y los recursos de la gestión que se van a aplicar a la gestión del riesgo.
Propietario del riesgo: persona o entidad con la responsabilidad de rendir cuentas y la autoridad para gestionar un riesgo.
Proceso para la gestión del riesgo: Aplicación sistemática de la política, los procedimientos y prácticas de la gestión a las actividades de comunicación, consulta, establecimiento del contexto, y de identificación, análisis, evaluación, tratamiento, monitoreo y revisión del riesgo.
3 Monitoreo: Verificación, supervisión, observación critica o determinación continúa del estado con el fin de identificar cambios con respecto al nivel de desempeño
exigido o esperado. 4 Gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo. 5 Riesgos: Efecto de la incertidumbre sobre los objetivos.
Comunicación y consulta: Procesos continuos y reiterativos que una organización lleva a cabo para suministrar, compartir u obtener información e involucrarse en un dialogo con las partes involucradas con respecto a la gestión del riesgo.
Parte involucrada: Persona u organización que puede afectar, verse afectada, o percibirse a sí misma como afectada por una decisión o actividad.
Valoración del riesgo: Proceso global de identificación del riesgo, análisis del riesgo y evaluación del riesgo.
Identificación del riesgo: Proceso para encontrar, reconocer y describir el riesgo.
Fuente de riesgo: Elemento que solo o en combinación tiene el potencial intrínseco de originar un riesgo.
Evento: Presencia o cambio de un conjunto particular de circunstancias.
Consecuencia: Resultado de un evento.
Probabilidad (Likelihood): Oportunidad de que algo suceda. En la terminología de la gestión del riesgo, la palabra “probabilidad (Likelihood)” se utiliza para hacer referencia a la oportunidad de que algo suceda, esté o no definido, medido o determinado objetiva o subjetivamente, cualitativa o cuantitativamente, y descrito utilizando términos generales o matemáticos (como la probabilidad numérica (Probability) o la frecuencia en un periodo de tiempo determinado).
Perfil del riesgo: Descripción de cualquier conjunto de riesgos. El conjunto de riesgos puede contener aquellos que se relacionan con la organización en su totalidad, con parte de la organización o según otra definición.
Análisis del riesgo: Proceso para comprender la naturaleza del riesgo y determinar el nivel del riesgo. El análisis del riesgo proporciona las bases para la evaluación del riesgo y las decisiones sobre el tratamiento del riesgo, el análisis del riesgo incluye la estimación del riesgo.
Criterios del riesgo: Términos de referencia frente a los cuales se evalúa la importancia de un riesgo.
Nivel de riesgo: Magnitud de un riesgo o de una combinación de riesgos, expresada en términos de la combinación de las consecuencias y su probabilidad.
Evaluación del riesgo: Proceso de comparación de los resultados del análisis del riesgo con los criterios del riesgo, para determinar si el riesgo, su magnitud o ambos son aceptables o tolerables. La evaluación del riesgo ayuda en la decisión acerca del tratamiento del riesgo.
Tratamiento del riesgo: Proceso para modificar el riesgo.
Control: Medida que modifica al riesgo.
Riesgo residual: Riesgo remanente después del tratamiento del riesgo.
Monitoreo: Verificación, supervisión, observación crítica o determinación continúa del estado con el fin de identificar cambios con respecto al nivel de desempeño exigido o esperado.
Revisión: Acción que se emprende para determinar la idoneidad, conveniencia y eficacia de la materia en cuestión para lograr los objetivos establecidos.6
2.2.2. Norma ISO 31000: 2011 gestión del riesgo
Las organizaciones de todo tipo y tamaño enfrentan factores e influencias, internas y externas, que crean incertidumbre sobre si ellas lograrán o no sus objetivos. El efecto que esta incertidumbre tiene en los objetivos de una organización es el “riesgo”.
Las organizaciones gestionan el riesgo mediante su identificación y análisis; luego evaluando si el riesgo se debería modificar por medio del tratamiento del riesgo con el fin de satisfacer los criterios. A través de este proceso, las organizaciones se comunican y consultan con las partes involucradas, monitorean y revisan el riesgo y los controles que lo están modificando con el fin de garantizar que no se requiere tratamiento adicional para el mismo. Esta norma describe este proceso sistemático y lógico en detalle.
Una de las mejores herramientas o guía establecida para gestionar el riesgo es la ISO 31000:2011, la cual establece una serie de principios que deben ser satisfechos para hacer una gestión eficaz del riesgo y también recomienda que las organizaciones desarrollen, implementen y mejoren continuamente un marco de trabajo (framework) o estructura de soporte, cuyo objetivo sea integrar el proceso de gestión de riesgos. Por otro lado, la norma ISO 31000:2011 se puede aplicar a cualquier tipo de riesgo, ya sea por su naturaleza, causa u origen, tanto que sus consecuencias sean positivas como negativas para la organización.
Esta norma brinda los principios y las directrices genéricas sobre la gestión del riesgo, y puede ser utilizada por cualquier empresa pública, privada o comunitaria, asociación, grupo o individuo. Por lo tanto, no es específica para ninguna industria o sector.
El esquema o proceso de la ISO 31000:2011 para la gestión del riesgo es el siguiente:
6 INSTITUTO COLOMBIANO DE NORMALIZACIÓN Y CERTIFICACIÓN. Administración y gestión del Riesgo: fundamentos y vocabulario. NTC-ISO 31000. Bogotá
D.C.: ICONTEC, 2011.
Ilustración 2: Esquema para la gestión del riesgo.
Fuente: INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS y CERTIFICACIÓN NTC-ISO 31000. Esquema del proceso de riesgos. Bogotá D.C. ICONTEC, 2011, 33 p.
De acuerdo a la información suministrada en la Guía, el adecuado manejo de los riesgos favorece el desarrollo y crecimiento de la entidad, con el fin de asegurar dicho manejo, es importante que se establezca el entorno y ambiente organizacional de la entidad, la identificación, análisis, valoración y definición de las alternativas de acciones de mitigación de los riesgos, esto en desarrollo de los siguientes elementos:7
Establecer el contexto: mapa de procesos.
Evaluación de riesgos (por proceso):
Identificación de los riesgos.
7 INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS y CERTIFICACIÓN. Trabajos escritos: presentaciones y referencias bibliográficas. NTC-ISO31000. Bogotá
D.C. ICONTEC, 2011. 16 p
Análisis de los riesgos.
Evaluación de los riesgos.
Tratamiento de los riesgos: para eliminar, mitigar o transferir el riesgo.
Monitoreo y revisión continúa.
Comunicación y consulta periódicamente.
La gestión de riesgos se plasma en documentos denominados matrices de riesgos que permiten un mejor manejo y control, la matriz de riesgo por proceso, constituye un elemento de gestión muy importante para el responsable de ese proceso permitiéndole una visión clara y fácilmente actualizable de sus riesgos. Forma parte de la documentación de procesos, brindando a los usuarios un mayor conocimiento de los mismos, de sus actividades, riesgos y controles.
Para el Auditor, es una fuente de información que le permitirá ahorrar muchas horas de trabajo, reconvirtiendo parte de sus tareas hacia funciones de mayor análisis y, obviamente mayor exigencia. Al mismo tiempo la revisión especializada del Auditor brinda el necesario monitoreo y posibilidad de mejoras de esta parte importante de la gestión de riesgos de la organización.
La ISO 31000 tiene como objetivo “ayudar a generar un enfoque para mejorar la gestión del riesgo, de manera sistemática” y brindar diversidad de posibilidades para que de manera integral haya una gestión que permita lograr a cabalidad los objetivos de las compañías. El documento normativo establece procesos y principios para la gestión de riesgo, en la que recomienda a las organizaciones el desarrollo, la implementación y el mejoramiento continuo, como un importante componente de los Sistemas de Gestión.
La ISO 31000 permite a las organizaciones:
Fomentar una gestión proactiva libre de riesgo.
Mejorar la identificación de oportunidades y amenazas.
Cumplir con las exigencias legales y reglamentarias, además de las normas internacionales.
Aumentar la seguridad y confianza y mejorar la prevención de pérdidas y manejo de incidentes.
Mejorar el aprendizaje organizacional.
Mejorar la eficiencia y eficacia operacional.
Buscar que el riesgo se gestione de manera eficaz en cualquier organización, es una práctica que se ha desarrollado a lo largo del tiempo en todas las compañías, con
procesos coherentes que permiten un manejo integral de los Sistemas de Gestión. La ISO 31000, es una norma orientada a cualquier organización, independientemente del tamaño o sector.
2.2.3. Metodología para gestionar el riesgo
1. Las entidades de la administración pública deben darle cumplimiento a su misión
constitucional y legal, a través de sus objetivos institucionales, los cuales se
desarrollan a partir del diseño y ejecución de los diferentes planes, programas y
proyectos. El cumplimiento de dichos objetivos puede verse afectado por
factores tanto internos como externos que crean riesgos frente a todas sus
actividades, razón por la cual se hace necesario contar con acciones tendientes
a administrarlos.
2. El adecuado manejo de los riesgos favorece el desarrollo y crecimiento de la
entidad, con el fin de asegurar dicho manejo es importante que se establezca el
entorno y ambiente organizacional de la entidad, la identificación, análisis,
valoración y definición de las alternativas de acciones de mitigación de los
riesgos.
Ilustración 3: Proceso para la administración del riesgo.
Fuente: CIUDAD, B. A. (JULIO de 2017). MANUAL ANALISIS DEL RIESGO. Obtenido de http://www.buenosaires.gob.ar/sindicatura/manual-de-analisis-de-riesgos
CONTEXTO ESTRATÉGICO ORGANIZACIONAL
Son las condiciones internas y del entorno, que pueden generar eventos que originan
oportunidades o afectan negativamente el cumplimiento de la misión y objetivos de una
institución.
Las situaciones del entorno o externas pueden ser de carácter social, cultural,
económico, tecnológico, político y legal, bien sean internacionales, nacionales o
regionales según sea el caso de análisis.
Las situaciones internas están relacionadas con la estructura, cultura organizacional, el
modelo de operación, el cumplimiento de los planes y programas, los sistemas de
información, los procesos y procedimientos y los recursos humanos y económicos con
los que cuenta una entidad.
IDENTIFICACIÓN DEL RIESGO
La identificación del riesgo se realiza determinando las causas, con base en los factores
internos y/o externos analizados para la entidad, y que pueden afectar el logro de los
objetivos.
Una manera para que todos los servidores de la entidad conozcan y visualicen los riesgos
es a través de la utilización del formato de identificación de riesgos el cual permite hacer
un inventario de los mismos, definiendo en primera instancia las causas con base en los
factores de riesgo internos y externos (contexto estratégico), presentando una
descripción de cada uno de estos y finalmente definiendo los posibles efectos
(consecuencias).
Es importante centrarse en los riesgos más significativos para la entidad relacionados
con los objetivos de los procesos y los objetivos institucionales. Es allí donde, al igual
que todos los servidores, la gerencia pública adopta un papel proactivo en el sentido de
visualizar en sus contextos estratégicos y misionales los factores o causas que pueden
afectar el curso institucional, dada la especialidad temática que manejan en cada sector
o contexto socioeconómico.
ANÁLISIS DEL RIESGO
El análisis del riesgo busca establecer la probabilidad de ocurrencia del mismo y sus
consecuencias, este último aspecto puede orientar la clasificación del riesgo, con el fin
de obtener información para establecer el nivel de riesgo y las acciones que se van a
implementar.
El análisis del riesgo depende de la información obtenida en la fase de identificación de
riesgos.
Se han establecido dos aspectos a tener en cuenta en el análisis de los riesgos
identificados:
Probabilidad: Por probabilidad se entiende la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de frecuencia, si se ha materializado (por ejemplo: número de veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque este no se haya materializado. 5
Impacto: Por Impacto se entienden las consecuencias que puede ocasionar a la organización la materialización del riesgo.
Para adelantar el análisis del riesgo se deben considerar los siguientes aspectos:
Calificación del riesgo: se logra a través de la estimación de la probabilidad de su ocurrencia y el impacto que puede causar la materialización del riesgo.
Bajo el criterio de Probabilidad: el riesgo se debe medir a partir de las siguientes especificaciones:
Ilustración 4: Tabla de Probabilidad
Fuente: continuo, M. (01 de OCTUBRE de 2013). SlideShare. Obtenido de
https://es.slideshare.net/adrianammb/guia-metodologia-mapa-de-riesgos
Evaluación del Riesgo: permite comparar los resultados de la calificación del riesgo, con los criterios definidos para establecer el grado de exposición de la entidad; de esta forma es posible distinguir entre los riesgos aceptables, tolerables, moderados, importantes o inaceptables y fijar las prioridades de las acciones requeridas para su tratamiento.
Para facilitar la calificación y evaluación a los riesgos, a continuación, se presenta una matriz que contempla un análisis cualitativo, para presentar la magnitud de las consecuencias potenciales (impacto) y la posibilidad de ocurrencia (probabilidad).
Las categorías relacionadas con el impacto son: insignificante, menor, moderado, mayor y catastrófico. Las categorías relacionadas con la probabilidad son: raro, improbable, posible, probable y casi seguro.
Ilustración 5: Tabla de Impacto
Fuente: continuo, M. (01 de OCTUBRE de 2013). SlideShare. Obtenido de
https://es.slideshare.net/adrianammb/guia-metodologia-mapa-de-riesgos
2.3. MARCO LEGAL
Norma técnica colombiana NTC-ISO 31000:2011, esta norma establece una serie de principios que deben ser satisfechos para hacer una gestión eficaz del riesgo y también recomienda que las organizaciones desarrollen, implementen y mejoren continuamente un marco de trabajo (framework) o estructura de soporte, cuyo objetivo sea integrar el proceso de gestión de riesgos.
Por otro lado, la norma ISO 31000:2011 se puede aplicar a cualquier tipo de riesgo, ya sea por su naturaleza, causa u origen, tanto que sus consecuencias sean positivas como negativas para la organización.
Ley 1523 del 2012 gestión del riesgo, responsabilidad, principios, definiciones y sistema nacional de gestión del riesgo de desastres.
Ley 9ª título iii del 24 de enero de 1979 norma para preservar, conservar y mejorar la salud de los individuos en sus ocupaciones.
Resolución n° 2400 del 22 de mayo de 1979 por la cual se establecen las normas sobre vivienda, higiene y seguridad en los establecimientos de trabajo.
Resolución n° 2413 del 22 de mayo de 1979 por la cual se establecen las normas de higiene y seguridad para la industria de la construcción.
Decreto n° 614 del 14 de marzo de 1984 por el cual se determinan las bases para la administración y funcionamiento de la salud ocupacional en el país.
Resolución n° 2013 del 6 de junio de 1986 elección, funciones y actividades del comité de medicina, higiene y seguridad industrial, hoy comité paritario de salud ocupacional.
Resolución n° 1016 del 31 de marzo de 1989 organización, funcionamiento y forma de los programas de salud ocupacional en las empresas y establece pautas para el desarrollo de los subprogramas.
Resolución n° 6398 del 20 de diciembre de 1991 se consagra los procedimientos en salud ocupacional (exámenes de ingreso).
Resolución n° 1075 del 24 de marzo de 1992 por la cual se reglamenta el que los empleadores deban incluir campañas de fármaco dependencia, tabaquismo y alcoholismo en el subprograma de medicina preventiva del programa de salud ocupacional.
Decreto n° 1294 del 22 de junio de 1994 por la cual se dictan normas para que las entidades sin ánimo de lucro puedan asumir los riesgos derivados de accidentes de trabajo y enfermedad profesional.
Decreto n° 1295 del 22 de junio de 1994 por el cual se determina la organización y administración del sistema general de riesgos profesionales.
Decreto n° 1831 del 3 agosto de 1994 por el cual se expide la tabla de clasificación de actividades económicas para el sistema general de riesgos profesionales y dicta otras disposiciones.
Decreto n° 1832 del 3 de agosto de 1994 por el cual se adopta la tabla de enfermedades profesionales.
Decreto n° 1530/96 reglamenta paralelamente la ley 100 y el decreto 1295, en relación a la información sobre centro de trabajo y empresas temporales).
Decreto n° 3075(1997) por el cual se reglamenta la ley 09 de 1979 y se dictan otras disposiciones.
Decreto n° 1607/02 se modifica la tabla de clasificación de actividades económicas para el sistema general de riesgos profesionales.
Decreto n° 2090 de 2003 por el cual se definen las actividades de alto riesgo para la salud del trabajador y se modifican y señalan las condiciones, requisitos y beneficios del régimen de pensiones de los trabajadores que laboran en dichas actividades.
Ley habeas data ámbito de aplicación. La presente ley se aplica a todos los datos de información personal registrados en un banco de datos, sean estos administrados por entidades de naturaleza pública o privada.
Ley 9ª título iii del 24 de enero de 1979 norma para preservar, conservar y mejorar la salud de los individuos en sus ocupaciones.
Ley n° 1562 de 2012 modificación de la actualización normativa de los riesgos laborales.
Decreto n° 1443 de 2014 por el cual se dictan disposiciones para la implementación del sistema de gestión de la seguridad y salud en el trabajo (SGSST).
2.4. CONTROL INTERNO
El control interno es un proceso ejecutado por los directores, la administración y otro personal de la entidad, esta actividad de control interno es, por lo tanto, la actividad más importante y clave, en una perspectiva estratégica, una de las ventajas de esta actividad del sistema de control interno es eliminar la subjetividad de aplicar los controles que le parecen a cada quien, sin tener en cuenta ni los objetivos ni las interrelaciones.
En particular, para una organización el diseño de control interno consiste en ajustar el criterio de control seleccionado a las necesidades en características particulares de dicha
organización y diseñado para promocionar seguridad razonable con miras a consecución de los objetivos en las siguientes categorías:
Efectividad y eficiencia de las operaciones.
Confiabilidad en la información financiera.
Cumplimiento de las leyes y procedimientos aplicables.8
También podemos definir el control interno como el conjunto de procedimientos, políticas, directrices y planes de organización los cuales tienen por objeto asegurar una eficiente, seguridad y orden en la gestión financiera, contable y administrativa de la empresa; salvaguardia de los activos, fidelidad del proceso de información y registros, cumplimientos de políticas definidas, es importante destacar que esta definición de control interno no solo abarca el entorno financiero y contable sino también los controles cuya meta es la eficiencia administrativa y operativa dentro de la organización empresarial.
2.4.1. FASES DEL PROCESO DE CONTROL
La función administrativa del control es la medición y la corrección del desempeño con el fin de asegurar que se cumplan con los objetivos de la empresa y los planes diseñados para alcanzarlos. La planeación y el control están estrechamente relacionados, de hecho, algunos autores piensan que estas funciones no se pueden separar. Sin embargo, es aconsejable separarlas desde el punto de vista conceptual y esta es la razón por la que se estudian según su enfoque y necesidades dentro de una organización. A pesar de ello, la planeación y el control se pueden considerar como las hojas de unas tijeras: éstas no pueden funcionar a menos que existan las dos. El control no es posible si no se tienen objetivos y planes, debido a que el desempeño se puede medir con criterios establecidos.
Aunque el alcance del control varía según los administradores, todos ellos, en todos los niveles, tienen la responsabilidad sobre la ejecución de los planes y, por consiguiente, el control es una función administrativa básica en todas las áreas.
El control es un proceso cíclico, compuesto por cuatro fases:
8 Bernal, C. (2000). Metodología de la Investigación para Administración y Economía. Bogotá: Pearson Educación de Colombia.
Ilustración 6: Fases del Proceso de Control
Fuente: continuo, M. (01 de OCTUBRE de 2013). SlideShare. Obtenido de
https://es.slideshare.net/adrianammb/guia-metodologia-mapa-de-riesgos
2.4.2. EVALUACIÓN DEL RIESGO Y CONTROL INTERNO
De acuerdo a la Norma Internacional de Auditoría 4009, Evaluación de riesgos y control
interno, en la entidad es preciso establecer normas y proporcionar lineamientos para
obtener una comprensión del sistema de contabilidad y de control interno sobre el
riesgo de auditoría y sus componentes: riesgo inherente, riesgo de control y riesgo de
detección.
Riesgo inherente
Es la susceptibilidad del saldo de una cuenta o clase de transacciones a una representación errónea que pudiera ser de importancia relativa, individualmente o
9 El propósito de esta Norma Internacional de Auditoría es establecer normas y proporcionar lineamientos para obtener una comprensión de los sistemas de
contabilidad y de control interno sobre el riesgo de auditoría y sus componentes: riesgo inherente, riesgo de control y riesgo de detección.
cuando se agrega con manifestaciones erróneas en otras cuentas o clases, asumiendo que no hubo controles internos asociados.
Se deberá evaluar el riesgo inherente a nivel de estado financiero, buscando relacionar dicha evaluación a nivel de aseveración de saldos de cuenta y clases de transacciones de importancia relativa10, o asumir que el riesgo inherente es alto para la aseveración.
El riesgo inherente consiste en la susceptibilidad del saldo de una cuenta o tipo de transacciones de contener errores importantes, individualmente o cuando se agrega con representaciones erróneas de otros saldos o tipos de transacciones, asumiendo que no hubiera controles internos relacionados. Es en función al tipo de negocio y su medio ambiente, y de la naturaleza de la cuenta o tipo de transacciones.
Existen factores que afectan el riesgo inherente como los siguientes:
Integridad de la administración.
La experiencia y conocimiento de la administración y cambios en la administración durante el período, por ejemplo: la inexperiencia de la administración puede afectar la preparación de los estados financieros de la entidad.
Presiones inusuales de la administración a dar una representación errónea de los estados financieros.
Naturaleza y tamaño de la entidad, el volumen de las operaciones, su ubicación geográfica.
Susceptibilidad de pérdidas o malversación, de los activos por ejemplo los que son altamente deseables y móviles como el efectivo.
Transacciones inusuales de la entidad, por ejemplo, ajustes que se realizan al final del periodo.
Riesgo de Control
La evaluación preliminar del riesgo de control es el proceso de evaluar la efectividad de
los sistemas de contabilidad y de control interno de una entidad para prevenir o
detectar y corregir representaciones erróneas de importancia relativa. Siempre habrá
algún riesgo de control a causa de las limitaciones inherentes de cualquier sistema de
contabilidad y de control interno. Después de obtener una comprensión de los sistemas
de contabilidad y de control se deberá hacer una evaluación preliminar del riesgo de
10 Este principio se refiere a la relativa significación o mérito que pueda tener una cosa o evento. La contabilidad debe reconocer y presentar los hechos económicos
de acuerdo a su importancia relativa. Un hecho económico es relevante o importante, si por sí mismo puede hacer cambiar de opinión a una persona sensata.
control, al nivel de aseveración, para cada saldo de cuenta o clase de transacciones,
de importancia relativa.
Es el riesgo de que cuando ocurran errores no sean detectados ni corregidos por el sistema de control interno. Ello se debe a fallas en la revisión adecuada de las transacciones; documentación inadecuada; acceso ilimitado a efectivo e inventarios o cualquier otro valor negociable; y carencia de registros de los inventarios perpetuos.
Esas debilidades en el control contribuyen a que haya errores y fraudes en los estados financieros. Siempre existirá cierto riesgo debido a las limitaciones inherentes a cualquier sistema de control interno. Para evaluar el riesgo de control, se debe considerar lo adecuado del diseño de los controles, así como probar la adherencia a los procedimientos de control. De no existir dicha evaluación, se deberá asumir que el riesgo de control es alto.
Riesgo de detección
La evaluación del riesgo de control, junto con la evaluación del riesgo inherente, influye en la naturaleza, oportunidad y alcance de los procedimientos sustantivos que deben desarrollarse para reducir el riesgo de detección, y por tanto el riesgo de auditoría, a un nivel aceptable-mente bajo. Algún riesgo de detección estaría siempre presente aún si un auditor examinara 100 por ciento del saldo de una cuenta o clase de transacciones. Se considerarán los niveles evaluados de riesgos inherentes y de control al determinar la naturaleza, oportunidad y alcance de los procedimientos sustantivos requeridos para reducir el riesgo de auditoría a un nivel aceptable.
El riesgo de detección es el riesgo de que los procedimientos del auditor no descubran un error que exista en una cuenta o tipo de transacciones, el cual pueda ser importante individualmente o en conjunto con errores de otras cuentas o transacciones. El nivel de riesgo de detección se relaciona directamente con los procedimientos del auditor; siempre existirá cierto riesgo de detección, aun cuando el auditor examine el cien por ciento del saldo de la cuenta o del tipo de transacción, cuando el auditor seleccione un procedimiento de auditoría inadecuado, o aplique mal un procedimiento de auditoría adecuado, o al interpretar equivocadamente los resultados de la auditoría.
3. SISTEMA DE CONTROL INTERNO
3.1.1. CONSIDERACIONES GENERALES
Corresponde a los administradores de las entidades vigiladas o sometidas al control exclusivo de esta Superintendencia, realizar su gestión con la diligencia propia de un buen hombre de negocios. Por ello, compete a las juntas o consejos directivos o al órgano que haga sus veces, en calidad de administradores, definir las políticas y diseñar los procedimientos de control interno que deban implementarse, así como ordenar y vigilar que los mismos se ajusten a las necesidades de la entidad, permitiéndole desarrollar adecuadamente su objeto social y alcanzar sus objetivos, en condiciones de seguridad, transparencia y eficiencia.
3.1.2. ÁMBITO DE APLICACIÓN
Todas las entidades sometidas a inspección y vigilancia de la Superintendencia Financiera de Colombia, ya sean matrices o subordinadas, deberán implementar o ajustar su SCI a los requisitos mínimos establecidos en el presente capítulo, en forma tal que el mismo resulte acorde con el tamaño de su organización (en términos de número de empleados, valor de los activos e ingresos, recursos captados del público, número de sucursales o agencias, entre otros.) y la naturaleza de las actividades propias de su objeto social, así como de las desarrolladas por cuenta de terceros, teniendo en cuenta la relación beneficio/costo.
Las entidades sometidas a inspección y vigilancia que tengan la calidad de matrices deberán procurar que sus subordinadas (sean filiales o subsidiarias) tengan un adecuado SCI, para lo cual deberán emitir los lineamientos generales mínimos que en su concepto deben aplicar, atendiendo la naturaleza, magnitud y demás características de las mismas.
Las entidades sometidas a control concurrente, deberán atender en materia de control interno las normas y las disposiciones que sobre el particular haya emitido o llegue a emitir el Gobierno Nacional y las demás entidades competentes.
Las entidades sometidas a control exclusivo, deberán atender en materia de control interno lo dispuesto en el numeral 7.9. Del presente capítulo.
Es de advertir que las instrucciones impartidas en este numeral van dirigidas a la adecuada integración de los diversos componentes del SCI. En tal sentido, este instructivo no suspende ni reemplaza el cumplimiento de obligaciones y deberes establecidos en disposiciones vigentes.
3.2.1. DEFINICIÓN Y OBJETIVO DEL SISTEMA DE CONTROL INTERNO
Se entiende por SCI el conjunto de políticas, principios, normas, procedimientos y mecanismos de verificación y evaluación establecidos por la junta directiva u órgano equivalente, la alta dirección y demás funcionarios de una organización para proporcionar un grado de seguridad razonable en cuanto a la consecución de los siguientes objetivos:
1. Mejorar la eficiencia y eficacia en las operaciones de las entidades sometidas a inspección y vigilancia. Para el efecto, se entiende por eficacia la capacidad de alcanzar las metas y/o resultados propuestos; y por eficiencia la capacidad de producir el máximo de resultados con el mínimo de recursos, energía y tiempo.
2. Prevenir y mitigar la ocurrencia de fraudes, originados tanto al interior como al exterior de las organizaciones.
3. Realizar una gestión adecuada de los riesgos.
4. Aumentar la confiabilidad y oportunidad en la Información generada por la organización.
5. Dar un adecuado cumplimiento de la normatividad y regulaciones aplicables a la organización.
En la medida en que se logren los objetivos antes mencionados, el SCI brindará mayor seguridad a los diferentes grupos de interés que interactúan con la entidad.
3.2.2. PRINCIPIOS DEL SISTEMA DE CONTROL INTERNO
Los principios del SCI constituyen los fundamentos y condiciones imprescindibles y básicas que garantizan su efectividad de acuerdo con la naturaleza de las operaciones autorizadas, funciones y características propias, y se aplican para cada uno de los aspectos que se tratan en el presente capítulo. En consecuencia, las entidades, en el diseño e implementación o revisión o ajustes del SCI deben incluir estos principios, documentarlos con los soportes pertinentes y tenerlos a disposición de la SFC.
Autocontrol
Es la capacidad de todos y cada uno de los funcionarios de la organización, independientemente de su nivel jerárquico para evaluar y controlar su trabajo, detectar desviaciones y efectuar correctivos en el ejercicio y cumplimiento de sus funciones, así como para mejorar sus tareas y responsabilidades.
En consecuencia, sin perjuicio de la responsabilidad atribuible a los administradores en la definición de políticas y en la ordenación del diseño de la estructura del SCI, es pertinente resaltar el deber que les corresponde a todos y cada uno de los funcionarios dentro de la organización, quienes en desarrollo de sus funciones y con la aplicación de procesos operativos apropiados deberán procurar el cumplimiento de los objetivos trazados por la dirección, siempre sujetos a los límites por ella establecidos.
Autorregulación
Se refiere a la capacidad de la organización para desarrollar en su interior y aplicar métodos, normas y procedimientos que permitan el desarrollo, implementación y mejoramiento del SCI, dentro del marco de las disposiciones aplicables.
Autogestión
Apunta a la capacidad de la organización para interpretar, coordinar, ejecutar y evaluar de manera efectiva, eficiente y eficaz su funcionamiento.
Basado en los principios mencionados, el SCI establece las acciones, las políticas, los métodos, procedimientos y mecanismos de prevención, control, evaluación y de mejoramiento continuo de la entidad que le permitan tener una seguridad razonable acerca de la consecución de sus objetivos, cumpliendo las normas que la regulan.
3.3. ELEMENTOS DEL SISTEMA DE CONTROL INTERNO
Para el cumplimiento de los principios y objetivos indicados con anterioridad, las entidades supervisadas deberán consolidar una estructura de control interno que considere por lo menos los elementos que se señalan a continuación:
3.3.1. Ambiente de Control
El ambiente de control está dado por los elementos de la cultura organizacional que fomentan en todos los integrantes de la entidad principios, valores y conductas orientadas hacia el control. Es el fundamento de todos los demás elementos del SCI, dado que la eficacia del mismo depende de que las entidades cuenten con personal competente e inculquen en toda la organización un sentido de integridad y concientización sobre el control.
Los elementos mínimos para crear un adecuado ambiente de control son:
1. Determinación formal por parte de la alta dirección de los principios básicos que rigen la entidad, los cuales deben constar en documentos que se divulguen a toda la organización y a grupos de interés.
2. Expedición de un código de conducta que incluya:
Valores y pautas explícitas de comportamiento.
Parámetros concretos determinados para el manejo de conflictos de interés, incluyendo expresamente, entre otros, los que regulen las operaciones con vinculados económicos, en adición a los que apliquen por disposición legal.
Mecanismos para evitar el uso de información privilegiada o reservada.
Órganos o instancias competentes para hacer seguimiento al cumplimiento del código.
Consecuencias de su inobservancia, teniendo en cuenta factores tales como reincidencias, pérdidas para los clientes o a la entidad, violaciones a límites, entre otros.
En caso que algunos de los temas antes citados no se incluyan en el código de conducta deberán incluirse en el código de gobierno corporativo de la entidad o en un documento independiente, si así se considera pertinente dada su importancia para la organización.
El código de conducta debe orientar la actuación de todos los funcionarios, quienes deben comprometerse explícitamente con su cumplimiento.
3. Adopción de procedimientos que propicien que los empleados en todos los niveles de la organización cuenten con los conocimientos, habilidades y conductas necesarios para el desempeño de sus funciones.
La entidad debe contar con estándares debidamente documentados de las competencias, habilidades, aptitudes e idoneidad de sus funcionarios. Así mismo, debe determinar las políticas y prácticas de gestión humana que aplicará la entidad al realizar los procesos de selección, inducción, formación, capacitación, sistemas de compensación o remuneración y de evaluación del desempeño de sus empleados en todos sus niveles, las cuales deben ser diseñadas e implementadas para facilitar un efectivo control interno, ya sea que se realice el proceso directamente o a través de terceros.
4. Determinación de una estructura organizacional que permita soportar el alcance del SCI y que defina claramente los niveles de autoridad y responsabilidad, precisando el alcance y límite de los mismos. La estructura organizacional debe estar armonizada con el tamaño y naturaleza de las actividades de la entidad, soportando el alcance del SCI.
5. Establecimiento de objetivos que deben estar alineados con la misión, visión y objetivos estratégicos de la entidad, para que, a partir de esta definición, se formule la estrategia y se determinen los correspondientes objetivos operativos, de reporte y de cumplimiento para la organización.
Para el efecto, se entiende por objetivos operativos aquellos que se refieren a la utilización eficaz y eficiente de los recursos en las operaciones de la entidad. Deben reflejar la razón de ser de las organizaciones y van dirigidos a la consecución del objeto social, constituyendo una parte fundamental del proceso de construcción de las estrategias y de la asignación de los recursos disponibles.
Los objetivos de reporte o de información se enmarcan en la preparación y publicación de estados financieros y otros informes que divulga la entidad, cuya confiabilidad constituye un factor de suma importancia en las relaciones con los diferentes sectores o grupos de interés con los cuales se interrelaciona la organización, además de ser un elemento vital de la gestión interna.
Finalmente, los objetivos de cumplimiento se refieren a aquellos encaminados a asegurar razonablemente el cumplimiento por parte de la entidad de las normas legales y los reglamentos que le sean aplicables.
Los referidos objetivos deben ser coherentes y realistas, ser difundidos a todos los niveles de la entidad y actualizarse en forma periódica.
La alta dirección de la entidad deberá transmitir a todos los niveles de la organización su compromiso y liderazgo respecto de los controles internos y los valores éticos, involucrando a todos los funcionarios para que asuman la responsabilidad que les corresponde frente al SCI.
3.3.2. Gestión de Riesgos
Las entidades deben preservar la eficacia, eficiencia y efectividad de su gestión y capacidad operativa, así como salvaguardar los recursos que administren, para lo cual deberán contar con un sistema de administración de riesgos que permita la minimización de los costos y daños causados por éstos, con base en el análisis del contexto estratégico, así como la determinación de métodos para el tratamiento y monitoreo de sus riesgos, con el propósito de prevenir o evitar la materialización de eventos que puedan afectar el normal desarrollo de los procesos y el cumplimiento de los objetivos empresariales, o, en caso de que ello no resulte razonablemente posible, de mitigar su impacto. Para el efecto, deberán adelantar como mínimo los siguientes procedimientos11:
1. Identificar las amenazas que enfrenta la entidad y las fuentes de las mismas.
2. Autoevaluar los riesgos existentes en sus procesos, identificándolos y priorizándolos a través de un ejercicio de valoración, teniendo en cuenta los factores propios de su entorno y la naturaleza de su actividad.
11 Para mayor orientación sobre este tema se puede acudir a la guía de COSO Integrado (Committe Sponsoring Organization of the Treadway Commission
Committee of Sponsoring Organizations of the Treadway Commission and Enterprise Risk Management — Integrated Framework).
3. Medir la probabilidad de ocurrencia de los riesgos y su impacto sobre los recursos de la entidad (económicos, humanos, entre otros), así como sobre su credibilidad y buen nombre, en caso de materializarse. Esta medición podrá ser cualitativa y, cuando se cuente con datos históricos, cuantitativa.
4. Identificar y evaluar con criterio conservador, los controles existentes y su efectividad, mediante un proceso de valoración realizado con base en la experiencia y un análisis razonable y objetivo de los eventos ocurridos.
5. Construir los mapas de riesgos que resulten pertinentes, los cuales deben ser actualizados periódicamente, permitiendo visualizarlos de acuerdo con la vulnerabilidad de la organización a los mismos.
6. Implementar, probar y mantener un proceso para administrar la continuidad de la operación de la entidad, que incluya elementos como: prevención y atención de emergencias, administración de crisis, planes de contingencia para responder a las fallas e interrupciones específicas de un sistema o proceso y capacidad de retorno a la operación normal.
7. Divulgar entre los funcionarios que intervienen en los procesos respectivos, los mapas de riesgos y las políticas definidas para su administración.
8. Gestionar los riesgos en forma integral, aplicando diferentes estrategias que permitan llevarlos hacia niveles tolerables. Para cada riesgo se debe seleccionar la alternativa que presente la mejor relación entre el beneficio esperado y el costo en que se debe incurrir para su tratamiento. Entre las estrategias posibles se encuentran las de evitar los riesgos, mitigarlos, compartirlos, transferirlos, aceptarlos o aprovecharlos, según resulte procedente.
9. Registrar, medir y reportar los eventos de pérdidas por materialización de riesgos.
10. Hacer seguimiento a través de los órganos competentes, de acuerdo al campo de acción de cada uno de ellos, estableciendo los reportes o acciones de verificación que la administración de la entidad y los jefes de cada órgano social considere pertinentes.
11. Definir las acciones correctivas y preventivas derivadas del proceso de seguimiento y evaluación de los riesgos (planes de mejoramiento).
Las entidades deben seguir adicionalmente las instrucciones especiales que en materia de gestión de ciertos riesgos se establecen en la presente circular y en la Circular Básica Financiera y Contable de la SFC (incluyendo entre otras, según resulten aplicables en virtud del objeto social de la entidad, las normas sobre gestión de riesgos de mercado –SARM, riesgo de crédito –SARC, riesgo operativo –SARO, riesgo de liquidez –SARL, riesgo de lavado de activos y de la financiación del terrorismo- SARLAFT y riesgo de garantías –SARG, Sistema Especial de Administración de Riesgos de Seguros –SEARS), ajustándose a los plazos y condiciones específicos establecidos de manera especial para cada uno de ellos
Es importante reiterar que los sistemas de gestión de riesgos específicos antes mencionados, no son independientes del Sistema de Control Interno, sino que forman parte integral del mismo. Así, la administración de riesgos es uno de los elementos fundamentales del SCI para lograr la eficacia y eficiencia de las operaciones, la confiabilidad de los reportes financieros y el cumplimiento de leyes, normas y reglamentos. Los sistemas de control interno y de administración de riesgos son transversales en todas y cada una de las actividades, procesos y áreas de la entidad, por ello su importancia en el logro de los objetivos estratégicos y de calidad de la información que genera la organización.
3.3.3. Actividades de Control
Las actividades de control son las políticas y los procedimientos que deben seguirse para lograr que las instrucciones de la administración con relación a sus riesgos y controles se cumplan. Las actividades de control se distribuyen a lo largo y a lo ancho de la organización, en todos los niveles y funciones.
Lo anterior incluye entonces, el establecimiento de unas actividades obligatorias para todas las áreas, operaciones y procesos de la entidad, entre las cuales se encuentran, entre otras, las siguientes:
1. Revisiones de alto nivel, como son el análisis de informes y presentaciones que solicitan los miembros de junta directiva y otros altos directivos de la organización para efectos de analizar y monitorear el progreso de la entidad hacia el logro de sus objetivos; detectar problemas, tales como deficiencias de control, errores en los informes financieros o actividades fraudulentas, y adoptar los correctivos necesarios.
2. Gestión directa de funciones o actividades.
3. Controles Generales, que rigen para todas las aplicaciones de sistemas y ayudan a asegurar su continuidad y operación adecuada. Dentro de éstos se incluyen aquellos que se hagan sobre la administración de la tecnología de información, su infraestructura, la administración de seguridad y la adquisición, desarrollo y mantenimiento del software.
4. Controles de aplicación, los cuales incluyen pasos a través de sistemas tecnológicos y manuales de procedimientos relacionados. Se centran directamente en la suficiencia, exactitud, autorización y validez de la captura y procesamiento de datos. Ayudan a asegurar que los datos se capturan o generan en el momento de necesitarlos, que las aplicaciones de soporte estén disponibles y que los errores de interface se detecten rápidamente. Un objetivo importante de los controles de aplicación es prevenir que los errores se introduzcan en el sistema, así como detectarlos y corregirlos una vez involucrados en él. Si se diseñan correctamente, pueden facilitar el control sobre los datos introducidos en el sistema.
5. Limitaciones de acceso a las distintas áreas de la organización, de acuerdo con el nivel de riesgo asociado a cada una de ellas, teniendo en cuenta tanto la seguridad
de los funcionarios de la entidad como de sus bienes, de los activos de terceros que administra y de su información.
6. Acompañamiento a los visitantes de la entidad para controlar que sólo ingresen a los sitios permitidos y que no realicen ningún acto que afecte la seguridad de los equipos o de la información que en ellos se procesa.
7. Controles físicos adicionales que resulten necesarios.
8. Indicadores de rendimiento.
9. Segregación de funciones.
10. Acuerdos de confidencialidad.
11. Procedimientos de control.
12. Difusión de las actividades de control.
Las actividades de control son seleccionadas y desarrolladas considerando la relación beneficio / costo y su potencial efectividad para mitigar los riesgos que afecten en forma material el logro de los objetivos de la organización.
Dichas actividades implican una política que establece lo que debe hacerse y adicionalmente los procedimientos para llevarla a cabo. Todas estas actividades deben tener como principal objetivo la determinación y prevención de los riesgos (potenciales o reales), errores, fraudes u otras situaciones que afecten o puedan llegar a afectar la estabilidad y/o el prestigio de la entidad.
Adicionalmente deberán considerarse las actividades de control requeridas
específicamente en el numeral 7.6 de este capítulo respecto a la gestión contable y
tecnológica.
3.3.4. Información y comunicación
Teniendo en cuenta que la operación de una entidad depende en gran medida de sus
sistemas de información, es necesario adoptar controles que garanticen la seguridad,
calidad y cumplimiento de la información generada.
Los sistemas de información y comunicación son la base para identificar, capturar e
intercambiar información en una forma y período de tiempo que permita al personal
cumplir con sus responsabilidades y a los usuarios externos contar oportunamente con
elementos de juicio suficientes para la adopción de las decisiones que les corresponde
en relación con la respectiva entidad.
Información
Este sistema debe ser funcional para el suministro de información que permita dirigir y
controlar el negocio en forma adecuada. Asimismo, deben permitir manejar tanto los
datos internos como aquellos que se reciban del exterior.
Las entidades sometidas a inspección y vigilancia deben contar con sistemas que
garanticen que la información cumpla con los criterios de seguridad (confidencialidad,
integridad y disponibilidad), calidad (efectividad, eficiencia, y confiabilidad) y
cumplimiento, para lo cual deberán establecer controles generales y específicos para la
entrada, el procesamiento y la salida de la información, atendiendo su importancia
relativa y nivel de riesgo.
Ello incluye, cuando menos, las siguientes actividades:
1. Identificar la información que se recibe y su fuente.
2. Asignar el responsable de cada información y las personas que pueden tener acceso
a la misma.
3. Diseñar formularios y/o mecanismos que ayuden a minimizar errores u omisiones en
la recopilación y procesamiento de la información, así como en la elaboración de
informes.
4. Diseñar procedimientos para detectar, reportar y corregir los errores y las
irregularidades que puedan presentarse.
5. Establecer procedimientos que permitan a la entidad retener o reproducir los
documentos fuente origínales, para facilitar la recuperación o reconstrucción de datos,
así como para satisfacer requerimientos legales.
6. Definir controles para garantizar que los datos y documentos sean preparados por
personal autorizado para hacerlo.
7. Implementar controles para proteger adecuadamente la información sensible contra
acceso o modificación no autorizada.
8. Diseñar procedimientos para la administración del almacenamiento de información y
sus copias de respaldo.
9. Establecer parámetros para la entrega de copias, a través de cualquier modalidad
(papel, medio magnético, entre otros).
10. Clasificar la información (en pública, privada o confidencial, según corresponda).
11. Verificar la existencia o no de procedimientos de custodia de la información, cuando
sea del caso, y de su eficacia.
12. Implementar mecanismos para evitar el uso de información privilegiada, en beneficio
propio o de terceros.
13. Detectar deficiencias y aplicar acciones de mejoramiento.
14. Cumplir los requerimientos legales y reglamentarios.
Además de la información que deba proporcionarse al mercado y a la Superintendencia
de conformidad con las normas vigentes, debe difundirse, de acuerdo con lo que los
administradores de la entidad consideren pertinente, la información que hace posible
conducir y controlar la organización, sin perjuicio de aquella que sea de carácter
privilegiado, confidencial o reservado, respecto de la cual deberán adoptarse todas las
medidas que resulten necesarias para su protección, incluyendo lo relacionado con su
almacenamiento, acceso, conservación, custodia y divulgación. Se entiende por
información sujeta a reserva o privilegiada aquella a la cual sólo tienen acceso directo
ciertas personas (sujetos calificados), en razón de su profesión u oficio, la cual, por su
carácter, está sujeta a reserva, ya que de conocerse podría ser utilizada con el fin de
obtener provecho o beneficio para sí o para un tercero.
Con tal propósito, los administradores de la entidad deben definir políticas de seguridad
de la información, mediante la ejecución de un programa que comprenda, entre otros, el
diseño, implantación, divulgación, educación y mantenimiento de las estrategias y
mecanismos para administrar la seguridad de la información, lo cual incluye, entre otros
mecanismos, la celebración de acuerdos de confidencialidad, en aquellos casos en los
cuales resulte indispensable suministrar información privilegiada a personas que en
condiciones normales no tienen acceso a la misma.
La confidencialidad es uno de los elementos más importantes de la seguridad de la
información y tiene como propósito garantizar que ella sólo pueda ser conocida,
consultada y divulgada por personas autorizadas. Este elemento está directamente
relacionado con el principio de “prudencia”, necesario para evitar la filtración, difusión
inapropiada y tergiversación de la información.
Lo anterior se entiende sin perjuicio de lo establecido en el Sistema de Administración
de Riesgo Operativo –SARO y en el Título I, Capítulo décimo segundo de la presente
circular respecto a los requerimientos mínimos de seguridad y calidad en el manejo de
información a través de medios y canales de distribución de productos y servicios.
Comunicación
La entidad debe mantener una comunicación eficaz, que fluya en todas las direcciones
a través de todas las áreas de la organización (de arriba hacia abajo, a la inversa y
transversalmente).
Cada empleado debe conocer el papel que desempeña dentro de la organización y
dentro del SCI y la forma en la cual las actividades a su cargo están relacionadas con el
trabajo de los demás. Para el efecto, la entidad deberá disponer de medios para
comunicar la información significativa, tanto al interior de la organización como hacia su
exterior.
Como parte de una adecuada administración de la comunicación, se deben identificar
cuando menos los siguientes elementos:
Canales de comunicación
Responsables de su manejo
Requisitos de la información que se divulga
Frecuencia de la comunicación
Responsables
Destinatarios
Controles al proceso de comunicación
Adicionalmente los administradores de la entidad deben adoptar los procedimientos
necesarios para garantizar la calidad, oportunidad, veracidad, suficiencia y en general el
cumplimiento de todos los requisitos que incidan en la credibilidad y utilidad de la
información que la respectiva organización revela al público.
El principio de transparencia que rige el mercado de valores y el sistema financiero exige
que se proporcione a los consumidores financieros y demás participantes del mercado,
en igualdad de condiciones, información oportuna, suficiente y de calidad sobre los datos
y hechos relevantes que permitan una adecuada formación de precios y la adopción de
decisiones debidamente fundamentadas. De esta manera se disminuye el riesgo de
desigualdad de oportunidades para actuar en el mercado, derivado del manejo de
información privilegiada.
En tal sentido, los administradores de las entidades supervisadas deben adoptarse las
medidas y los controles que resulten necesarios para evitar el suministro de información
privilegiada a uno o más participantes del mercado.
Monitoreo
Es el proceso que se lleva a cabo para verificar la calidad de desempeño del control
interno a través del tiempo. Se realiza por medio de la supervisión continua que realizan
los jefes o líderes de cada área o proceso como parte habitual de su responsabilidad
frente al control interno (vicepresidentes, gerentes, directores, etc. dentro del ámbito de
la competencia de cada uno de ellos), así como de las evaluaciones periódicas puntuales
que realicen la auditoría interna u órgano equivalente, el presidente o máximo
responsable de la organización y otras revisiones dirigidas.
El SCI no puede ser estático, sino dinámico, ajustándose en forma permanente a las
nuevas situaciones del entorno. Con tal fin, es importante que se establezcan controles
o alarmas tanto en los sistemas que se lleven en forma manual como en los que se lleven
en forma computarizada, de manera que permanentemente se valore la calidad y el
desempeño del sistema en el tiempo y se realicen las acciones de mejoramiento
necesarias, pues ello equivale a una actividad de supervisión y administración. Para
efectos de lo anterior, dicho monitoreo se debe realizar en todas las etapas de los
procesos y en tiempo real en el curso de las operaciones.
Las evaluaciones permanentes y separadas permiten a la alta dirección determinar si el
control interno está presente y funciona en forma adecuada en el tiempo.
Las deficiencias de control interno deben ser identificadas y comunicadas de manera
oportuna a las partes responsables de tomar acciones correctivas y, cuando resulten
materiales, informarse también a la junta directiva u órgano equivalente.
Evaluaciones independientes
Aunque los procedimientos de seguimiento permanente, así como la autoevaluación de
cada área, proporcionan una retroalimentación importante, es necesario realizar
adicionalmente evaluaciones que se centren directamente sobre la efectividad del SCI,
las cuales deben ser realizadas por personas totalmente independientes del proceso,
como requisito indispensable para garantizar su imparcialidad y objetividad.
Se cumple con el requisito de estas evaluaciones independientes a través de los
auditores internos y del revisor fiscal, en la medida en que el alcance de la evaluación
hecha por éstos respecto al control interno de la respectiva entidad tenga el alcance y la
cobertura requeridos en la presente circular.
Lo anterior sin perjuicio de que la administración, si así lo considera conveniente, utilice
como práctica de buen gobierno corporativo el trabajo de auditores externos para revisar
la efectividad del control interno.
Puede emplearse una combinación de varios esquemas, según lo que la administración
considere necesario.
Las debilidades resultado de esta evaluación y sus recomendaciones de mejoramiento,
deben ser reportadas de manera ascendente, informando sobre asuntos representativos
de manera inmediata al Comité de Auditoría, y haciéndoles seguimiento.
4. SISTEMA DE CONTROL INTERNO BASADO EN EL MODELO COSO NTC 31000,
APLICADO A COOBURSÁTIL LTDA.
a. Diagnóstico del sistema de control interno
Se obtiene una matriz que contiene 123 riesgos, de los cuales se identificaron en riesgo inherente, 27 riesgos en categoría MUY ALTO que después de aplicar los controles se reducen a 23 riesgos. Se evidencio que existen 22 riesgos a los cuales no les fueron asociados controles.
Ilustración 7: RIESGO RESIDUAL POR PROCESO/SUBPROCESO
RIESGO RESIDUAL
Macro proceso Proceso/Subproceso riesgos MA A M B
1. Direccionamiento estratégico Planeación estratégica 5 1 1 3
Presupuesto 3 2 1
8 1 1 5 1
2. Comercial Gestión comercial de negocios 12 5 7
3. Operaciones OMAS 14 5 2 5 2
Registro de facturas 3 1 2
17 5 2 6 4
4. Administrativo Recursos humanos 19 2 4 8 5
Gestión logística 11 1 8 2
Tecnología 6 3 3
Tesorería 8 1 7
Contable 11 5 2 1 3
Cartera 5 2 3
60 7 7 23 23
5. Riesgos
SARO 6 4 1 1
SARLAFT 5 3 1 1
SAC 4 1 3
15 7 1 3 4
6. Jurídico Apoyo jurídico 5 2 3
7. Auditoria Gestión de auditoria interna 6 3 3
TOTAL RIESGOS 123 23 14 44 42
Fuente: propuesta por el autor
MATRIZ DE RIESGOS COMPARADA
1 - Insignificante 2 - Menor 3 - Moderado 4 - Critico 5 - Catastrofico
5 - Muy Frecuente 12, 14, 70, 71, 72, 100,
101, 104
4 - Frecuente2, 3, 4, 17, 23, 29, 67, 79,
99, 103
13, 15, 21, 22, 65, 68, 90,
97, 102
3 - Moderada 18
7, 10, 24, 32, 33, 40, 44,
76, 95, 106, 110, 111,
116, 117
1, 5, 6, 26, 27, 30, 43, 45,
47, 55, 56, 58, 59, 61, 62,
66, 73, 77, 78, 80, 82, 83,
94, 98
2 - Poco Frecuente8, 19, 20, 25, 41, 105, 120,
121, 122, 123
31, 34, 35, 36, 37, 51, 54,
64, 107, 108, 109
28, 46, 48, 49, 50, 52, 53,
57, 60, 63, 74, 81, 84, 85,
86, 87, 88, 89, 92, 93, 112
1 - Inusual 16, 69 9, 11, 118, 124 38, 39, 114, 115 42, 75, 91, 113, 119
MATRIZ DE RIESGO INHERENTE
P
R
O
B
A
B
I
L
I
D
A
D
IMPACTO
1 - Insignificante 2 - Menor 3 - Moderado 4 - Critico 5 - Catastrofico
5 - Muy Frecuente 12 14 70, 71, 72, 100, 101, 104
4 - Frecuente 23 17, 22, 67
2, 3, 4, 13, 15, 21, 29, 65,
68, 79, 90, 97, 99, 102,
103
3 - Moderada 18, 24, 44, 61, 76, 95, 110,
111
7, 10, 26, 27, 32, 33, 40,
43, 45, 47, 55, 58, 59, 62,
73, 78, 83, 106, 116, 117
1, 5, 6, 30, 56, 66, 77, 80,
82, 94, 98
2 - Poco Frecuente
8, 19, 20, 25, 31, 34, 36,
41, 46, 49, 51, 53, 54, 60,
74, 81, 84, 85, 88, 105,
107, 108, 109, 120, 121,
122, 123
28, 35, 37, 52, 57, 64, 86,
87, 89, 92, 93, 11248, 50, 63
1 - Inusual 16, 69 9, 11, 115, 118, 124 38, 39, 75, 91, 114 42, 113, 119
MATRIZ DE RIESGO RESIDUAL
IMPACTO
b. Organización y estructura del Sistema de Control Interno
fuente: propuesta por el autor
DOCUMENTOS MÍNIMOS QUE DEBEN SUSTENTAR LA IMPLEMENTACIÓN DEL SCI Coobursatil LevelRespecto a la implementación del SCI, la SFC puede exigir, a través de la supervisión in situ o extra situ, los
manuales, formatos, procedimientos y demás documentos específicamente requeridos en el cuerpo de la presente
Circular, algunos de los cuales se relacionan a continuación, sin perjuicio de cualquier otra información que
estime pertinente en ejercicio de sus atribuciones legales:
7.1. Planes y programas definidos por la entidad para el logro de sus objetivos, incluyendo las correspondientes
acciones, responsables y cronogramas, lo cual comprende, entre otros, el plan estratégico de tecnología.X
7.2. Código de conducta o su equivalente y el documento mediante el cual éste se adopte oficialmente.X
7.3. Documentos que soporten la socialización de los principios y valores a todos los funcionarios de la entidad.X
7.4. Metodología y herramienta definidas en la organización para hacer la evaluación que hará la organización
respecto de la aplicación de los principios de autocontrol, autorregulación y autogestión, a nivel general, por
áreas o procesos, según resulte pertinente.
X
7.5. Mapa de los riesgos relevantes, que contenga como mínimo: identificación de factores internos y externos de
riesgo para la organización, riesgos identificados por procesos, análisis de probabilidad de ocurrencia de los
riesgos y su impacto, identificación de los controles existentes para prevenir la ocurrencia o mitigar el impacto de
los riesgos identificados, evaluación de la efectividad de los controles y definición de las acciones de
mejoramiento necesarias.
X
7.6. Política para manejo de riesgos, definida por la junta directiva u órgano equivalente, y la metodología e
instrumentos para la gestión de riesgos en la entidad, incluyendo la definición de los comités u órganos
responsables.
X X
7.7. Políticas establecidas en materia de manejo de información y comunicación, que incluyan mecanismos
específicos para garantizar la conservación y custodia de información reservada o confidencial y evitar su
fi ltración.
X
7.8. Documento que soporte la comunicación a todos los funcionarios de la entidad del mapa de riesgos y de las
políticas y metodologías a que se refieren los numerales anteriores.X X
7.9. Políticas y metodología para evaluación del desempeño, a todos los niveles de la organización, incluyendo los
indicadores definidos para medir la eficiencia.X
7.10. Estructura organizacional, manual de funciones, competencias y requisitos a nivel de cargo.X
7.11. Plan anual de auditoría interna.X
7.12. Reportes efectuados por los distintos órganos competentes en materia de control.X
7.13. Informes sobre resultados obtenidos en el proceso de seguimiento y evaluación al cumplimiento de los
planes y programas, que incluya la medición de la satisfacción de los clientes, usuarios y otras partes
interesadas.
X X
7.14. En relación con el consumidor financiero (según la definición establecida en el l iteral d del art. 2 de la Ley
1328 de 2009, lo siguiente:
7.14.1. Políticas de servicio.X X
7.14.2. Políticas de transparencia e integridad en las relaciones con los mismos (información acerca de productos
y tarifas, mecanismos y sistemas de atención).X X
7.14.3. Estrategias de servicio al cliente.X X
7.14.4. Mecanismos establecidos para la recepción, registro y atención de quejas, sugerencias o recomendaciones
por parte de los clientes, usuarios u otros grupos de interés y acciones de mejora adelantadas con ocasión del
análisis de las mismas (análisis punta a punta para los principales motivos, por productos; revisión de
productos, implementación de nuevos canales, revisión de políticas parametrizadas en el sistema, etc.).
X X
7.14.5. Las demás definidas en las disposiciones relacionadas con la protección al Consumidor en la Ley 1328 de
2009 y el Decreto 2555 de 2010.X
7.15. Actas y/o papeles de trabajo en que consten las decisiones y actuaciones de los órganos de control.X
7.16. Programas o planes de mejoramiento.X
c. Estructura los procedimientos y actividades de control para Coobursátil
Ltda.
Fuente: propuesta por el autor
Macroproceso Proceso Subproceso
1. DIRECCIONAMIENTO ESTRATÉGICO 1.1. PLANEACIÓN ESTATEGICA 1.1. PLANEACIÓN ESTATEGICA
1.2. PRESUPUESTO 1.2. PRESUPUESTO
2. COMERCIAL 2.1. GESTION COMERCIAL DE NEGOCIOS
3. OPERACIONES 3.1. OMAS 3.1.1. Físicos
3.1.2. Financieros
3.2. REGISTRO DE FACTURAS
4. ADMINISTRATIVA 4.1. RECURSOS HUMANOS 4.1.1 Vinculación del Talento Humano
4.1.2. Desarrollo del Talento Humano
4.1.3. Remuneración y seguridad social
4.4. Desvinculación
4.2.1 Compras y Contratación
4.2.2 Comunicaciones Internas y Externas
4.3. TECNOLOGIA 4.3.1 Planeación tecnológica
4.3.2 Gestión de accesos
4.3.3 Gestión de cambios a programas
4.3.4 Gestión de incidentes y problemas
4.3.5 Gestión de continuidad tecnológica
4.4. TESORERIA 4.4.1 Cuentas bancarias
4.4.2 Pagos
4.4.3 Inversiones
4.5. CONTABLE4.5.1. Cierre, Generación, Transmisión y Elaboración
de Estados Financieros y Notas de la entidad.
4.5.2. Liquidación y presentación de impuestos
4.5.3. Generacióny transmisión de reportes a entes
de vigilancia y control
4.6. CARTERA
5. RIESGOS 5.1. GESTION DE RIESGOS 5.1.1. SARO
5.1.2. SARLAFT
5.1.3. SARIC
5.1.4. SAC
6. JURIDICO 6.1. GESTION LEGAL HOMOLOGADO CON SUBPROCESO 4.2.2
6.1.2. Secretaria General
6.1.3. Apoyo jurídico
7. AUDITORIA 7.1. GESTION DE AI
4.2. GESTION LOGISTICA
d. Puntos críticos de control, para determinar los mecanismos necesarios que
permitan identificar, evaluar y dar respuesta a los riesgos en el desarrollo de
las actividades de los departamentos financiero y contable.
fuente: propuesta por el autor
1presentar impuestos con
imprecisiones, errores
Ejecución y Administración de
Procesos
*sanciones
*riesgo reputacionalModerada Alto Alto
1presentar impuestos con
imprecisiones, errores
Ejecución y Administración de
Procesos
*sanciones
*riesgo reputacionalModerada Alto Alto
1presentar impuestos con
imprecisiones, errores
Ejecución y Administración de
Procesos
*sanciones
*riesgo reputacionalModerada Alto Alto
2presentar extemporaneamente los
impuestos
Ejecución y Administración de
Procesos
*incumplimientos, retrasos
*sanciones
*pérdida económica
Alta Muy alto Muy alto
2presentar extemporaneamente los
impuestos
Ejecución y Administración de
Procesos
*incumplimientos, retrasos
*sanciones
*pérdida económica
Alta Muy alto Muy alto
2presentar extemporaneamente los
impuestos
Ejecución y Administración de
Procesos
*incumplimientos, retrasos
*sanciones
*pérdida económica
Alta Muy alto Muy alto
2presentar extemporaneamente los
impuestos
Ejecución y Administración de
Procesos
*incumplimientos, retrasos
*sanciones
*pérdida económica
Alta Muy alto Muy alto
2presentar extemporaneamente los
impuestos
Ejecución y Administración de
Procesos
*incumplimientos, retrasos
*sanciones
*pérdida económica
Alta Muy alto Muy alto
3 no presentar impuestosEjecución y Administración de
Procesos
*sancion, multa
*pérdida económica
*afectacion de la imagen de
la Cooperativa
Alta Alto Alto
3 no presentar impuestosEjecución y Administración de
Procesos
*sancion, multa
*pérdida económica
*afectacion de la imagen de
la Cooperativa
Alta Alto Alto
No.
RiesgoRiesgo
Valor
ProbabilidadValor ImpactoClasificación
Severidad riesgo
inherente Descripción del Impacto
Fuente: propuesta por el autor
1
Error humano (digitacion, calculos
aritmeticos, errores de
transcripción, diligenciamiento del
formulario, descuido,
desconocimiento)
1 eventual Contador
comprobación de que hayan sido ingresados a la
contabilidad todas las facturas, cuentas de cobro y se
hayan practicado correctamente las retenciones.
visto bueno de la contadora en todas los
documentos contables (facturas y factura
equivalente)
Archivo contabilidad - az
transferencias y comprobantes
de egreso
2
desconocimiento,
malinterpretación, inobservancia
de instructivos, normas
2 eventualContador y Revisor
Fiscalrevisión y aprobación del borrador del impuesto
libro auxiliar impreso con visto bueno de
contadora y Revisoria Fiscalarchivo contabilidad - AZ DIAN
3
otros procesos entreguen
información incompleta,
entreguen informacion de forma
extemporanea
1fallas en el suministro de energia
/ internet1 Semanal Contador
Verificar que el plan mensual de trabajo se programe
de acuerdo a las políticas internas, y se cumpla en los
términos establecidos.
Sin evidencia
2
fallas en la plataforma la entidad
(DIAN, Secretaria de Hacienda
Distrital)
2 Eventual Revisoría fiscalRevisar la liquidación del impuesto un dia antes del
vencimiento del plazo para presentación y pago.
Visto bueno en el libro auxiliar impreso y
registro de la fecha de revisión.Archivo contabilidad - AZ DIAN
3ausencia del responsable de
firmar los impuestos.3 Anual Asistente Contable
atender alerta de Certifirma enviada por correo
electrónico avisando del vencimiento de firmas
digitales de Representante Legal y Contador
tramite de renovación equipo del responsable
4olvido, fallas en la planeacion de
actividades
5firmas electrónicas vencidas,
olvido de claves,
1olvido, fallas en la planeacion de
actividades1 N/A revisoria fiscal verificar la presentacion de todos los impuestos
Formato "revisión declaraciones tributarias"
y correos electronicosAZ DIAN
2desconocimiento de la norma, de
la obligación
Responsable Descripción del control Evidencia UbicaciónFrecuenciaNo. Causa Causas No Control
f
Fuente: propuesta por el autor
Manual Preventivo Si Manual de proceso Si No 90-100 Fuerte Moderado
Manual Preventivo Si Manual de proceso Si No 90-100 Fuerte Moderado
Moderado
Manual Preventivo No Si No 90-100 Fuerte Alto
Manual Preventivo No Si No 90-100 Fuerte Alto
Dependiente de TI Preventivo No Si No 90-100 Fuerte Alto
Alto
Alto
Manual Detectivo No Si No 70-79 Moderada Alto
Alto
Naturaleza TipoDisminuye
probabilidad
Disminuye
impacto
Severidad riesgo
residual
Solidez del conjunto
de controles
% Percepción de
efectividad¿Documentado? Documento
fuente: propuesta por el autor
fuente: propuesta por el autor
3 2
1
Impacto
Muy Baja
Muy bajo Bajo Moderado Alto Muy alto
Mapa de Riesgos Inherentes
Pro
bab
ilid
ad
de o
cu
rren
cia
Muy Alta
Riesgo
Inherente Muy
Alto
AltaRiesgo
Inherente Alto
Moderada
Riesgo
Inherente
Moderado
Baja Riesgo
Inherente Bajo
3
2
1
Impacto
Muy Baja
Muy bajo Bajo Moderado Alto Muy alto
Mapa de Riesgos Residuales
Pro
bab
ilid
ad
de o
cu
rren
cia
Muy Alta
Riesgo
Residual Muy
Alto
AltaRiesgo
Residual Alto
Moderada
Riesgo
Residual
Moderado
BajaRiesgo
Residual Bajo
e. Implementación los elementos de Control Interno diseñados, de acuerdo a los
resultados obtenidos en el proceso investigativo.
Proceso: CONTABILIDAD
Subproceso: LIQUIDACIÓN Y PRESENTACIÓN DE IMPUESTOS
Entrevistado(s): Nathalia Agudelo Rodríguez,
Luz Mery Henao
Fecha: 26 de Julio de 2017
Dueño del
proceso y
cargo:
Contadora
Participantes
en el proceso:
Contadora,
Revisoría Fiscal,
Asistente de contabilidad Representante Legal
Objetivo del proceso:
Elaborar y presentar oportuna y correctamente las declaraciones tributarias de impuestos
nacionales, departamentales y municipales.
Factores críticos de éxito:
Conocer oportunamente la normatividad
que establece las obligaciones tributarias
y tiempos de vencimiento.
Software y hardware que permitan
generar adecuadamente la información a
reportar.
Personal del área contable encargada de
preparar y presentar los impuestos antes
las correspondientes entidades,
debidamente capacitado.
Oportunidad en la generación de los
formularios. Oportunidad en la revisión y
Indicadores clave de desempeño
del proceso:
No existen en este momento
aprobación de los formularios. Firmas
electrónicas vigentes.
Disponibilidad del servicio de internet y
energía.
Disponibilidad y acceso a la página web
de cada una de las entidades.
Inicio del Proceso:
Obtención y preparación de la información
contable correspondiente al periodo a declarar.
Fin del Proceso:
Archivo de los documentos soportes
de la presentación y pago del
impuesto.
Principales actividades:
Obtención y preparación de la información.
Validación y preparación de la declaración definitiva.
Presentación y pago de impuestos.
Entradas/proveedor: Salidas/cliente:
Resoluciones de vencimiento de cada uno de
los impuestos.
Información contable.
Formulario de impuestos y sus anexos
Sistemas de información que habilitan el proceso:
HELISA, EXCEL (plantillas de cada impuesto IVA y retención en la fuente, declaración
de renta, gravamen a los movimientos financieros, ICA y RETEICA)
Riesgos del proceso:
Controles clave relacionados con
los riesgos del proceso:
Normas que regulan el proceso (externas e
internas):
Estatuto Tributario Colombiano
Estatuto distrital
Normatividad de carácter tributario que
emite el Gobierno Nacional y Distrital en
forma permanente.
Decretos de carácter tributario
Directrices internas emitidas por el
Consejo de Administración.
Otra información relevante del proceso (estructura, problemas presentados, proyectos
en curso, excepciones, entre otros):
Proceso: ADMINISTRATIVO
Subproceso: CARTERA
Entrevistado(s): Lina Rodríguez, Andrea
Herrera C, Natalia Henao.
Fecha: 24 Julio 2017
Dueño del
proceso y
cargo:
Directora Administrativa y Jurídica
Participantes
en el proceso:
Gerente,
Director de Operaciones,
Operadores,
Directora Administrativa y Jurídica,
Tesorera,
Asistente Contable.
Comité de Riesgos
Objetivo del proceso:
Recaudar oportunamente la cartera de COOBURSATIL, a fin de aportar al mantenimiento
de la liquidez necesaria para el cumplimiento del logro de los objetivos propuestos.
Factores críticos de éxito: Indicadores clave de desempeño del
proceso:
Informes de cartera oportuna y actualizada.
Políticas, procedimientos claros y mecanismos
de cobro efectivos.
Designación de responsables.
Módulo de cartera debidamente parametrizado
en el software contable.
Actualmente no se tienen.
Inicio del Proceso: Fin del Proceso:
Generación de reportes del estado de la cartera Recaudo de cartera y reporte a CIFIN.
Principales actividades:
Generación reporte estado de cartera
Seguimiento al estado de la cartera
Gestión de cobro preventivo
Gestión de cobro pre jurídico
Gestión de cobro jurídico
Recaudo de cartera y registro contable
Reporte a CIFIN.
Entradas/proveedor: Salidas/cliente:
Informe de cartera Informe gestión de cobro
Notificación al cliente
Proceso jurídico
Reporte a CIFIN
Sistemas de información que habilitan el proceso: EXCEL (informe de costos bursátiles
OMAS)
OUTLOOK
HELISA
PORTAL BANCARIO BANCOS DE BOGOTA Y BANCOLOMBIA
INTERNET
ACCESO AL PORTAL DE CIFIN
Riesgos del proceso:
No realizar seguimiento oportuno a la cartera
por entrega de información desactualizada.
Controles clave relacionados con los
riesgos del proceso:
Jineteo de dinero cobrado en las sucursales
Normas que regulan el proceso (externas e
internas):
Manual de cartera
Código de comercio (artículo 743)
Circular Única de BMC (Artículos 1.7.5.1.3.-
1.7.5.1.6.)
Contrato Mandato y Mandato general sin
representación.
Ley Habeas Data 1581 de 2012
Decreto 1377 de 2013
Reglamento CIFIN
Otra información relevante del proceso (estructura, problemas presentados, proyectos
en curso, excepciones, entre otros): Proceso en etapa de definición y estructuración.
CONCLUSIONES
En la investigación realizada en Coobursátil Ltda., se pudo evidenciar que el Control
Interno es una herramienta fundamental para realizar de una forma más efectiva el objeto
social y los objetivos trazados por la empresa en la planeación estratégica.
Por esta razón los autores finalmente estructuran una definición para el Control Interno
concibiéndolo como aquel instrumento administrativo que proporciona seguridad en las
operaciones, confiabilidad en la información financiera, el cumplimiento de las leyes y
normatividad vigente, mejora la comunicación entre las diferentes áreas de las
organizaciones.
El concepto de Control Interno reviste una importancia fundamental para la estructura
administrativo-contable de la entidad que fue objeto de estudio. Se relaciona con la
confiabilidad de sus estados contables, con la veracidad razonable de su sistema de
información interno, con su eficacia y eficiencia operativa y con el riesgo de fraude.
Si bien es cierto, que ningún sistema de Control Interno, por más detallado y estructurado
que sea, puede por sí solo garantizar el cumplimiento de sus objetivos, los autores
buscan con este trabajo brindar a Coobursátil Ltda., una seguridad razonable de que el
objetivo se logre.
RECOMENDACIONES
Para que Coobursátil Ltda., pueda proteger sus activos, verificar la exactitud y
confiabilidad de sus datos contables, para promover la eficiencia operativa y estimular la
adhesión a las políticas administrativas prescritas por la Asamblea General de Socios,
se hace necesario que empiece por implementar el actual Diseño del Sistema de Control
Interno, de tal forma que se pueda garantizar la realización de los procesos y los
controles como se describen en el manual de procedimientos. Si bien los resultados no
serán inmediatos, una vez implementado dichos controles, se espera con el pasar del
tiempo, que se puedan ver mejoras en la Gestión de las actividades de los
departamentos.
Con base en lo anteriormente expuesto, se recomienda de manera puntual a las
Directivas de la Institución tener muy en cuenta los siguientes planteamientos:
Implementar en lo posible los procedimientos antes descritos, estableciendo los
mecanismos de Control Interno sugerido.
Actualizar periódicamente los procedimientos de acuerdo con la práctica empresarial
hasta lograr fortalecer el Sistema de Control Interno.
Fortalecer los Procesos de Capacitación del personal que labora en el Departamento
Financiero de la entidad, con el fin de darle estricto cumplimiento a cada uno de los
procedimientos establecidos, garantizando la confiabilidad de la información.
Establecer Programas de Evaluación del Sistema de Control Interno que garanticen
que se estén realizando los procesos y estableciendo los controles como se describen
en el manual de procedimientos.
De igual manera se recomienda con relación al funcionamiento del Departamento
financiero y contable y la entidad en general, para el establecimiento eficaz del control
interno:
Delimitar las responsabilidades y segregar funciones de carácter incompatible, para
cada uno de los funcionarios o empleados del departamento.
Dividir el procesamiento de cada transacción y seleccionar funcionarios hábiles y
capaces.
Crear procedimientos que aseguren la exactitud de la información, dar instrucciones
por escrito.
Utilizar cuentas de control, y evaluar los sistemas computarizados periódicamente.
Usar documentos pre- numerados, evitar el uso de dinero en efectivo y realizar
depósitos inmediatos e intactos de fondos.
Mantener orden y aseo en toda la entidad y actualizar las medidas de seguridad.
Usar gráficas de control, realizar inspecciones técnicas frecuentes y conservar en
buen estado los documentos.
Practicar el autocontrol, hacer que la gente o empleados no solo del departamento
contable y financiero, sino de toda la entidad sepa por qué y para qué se hacen las
cosas.
Definir objetivos y metas claras y alcanzables y usar indicadores de rendimiento y
calidad.
BIBLIOGRAFÍA
Bernal, C. (2000). Metodología de la Investigación para Administración y Economía. Bogotá: Pearson Educación de Colombia.
Mantilla, S. (2005). Control Interno, Informe Coso. Colombia: Ecoe Ediciones.
Ortega, A. (2008). Planeación Financiera Estratégica. Santa Fe de Bogotá: Mc Graw Hill. Primera Edición.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Risk Management. Principles and Guidelines. Geneva: ISO, 2009, 24p (ISO/IEC 31000:2009 (E))
INSTITUTO COLOMBIANO DE NORMALIZACIÓN Y CERTIFICACIÓN. Administración y gestión del Riesgo: fundamentos y vocabulario. NTC-ISO 31000. Bogotá D.C.: ICONTEC, 2011.