Anda di halaman 1dari 28

A S S U R A N C E A N D A DV I S O RY B U S I N E S S S E RV I C E S

!@#

Evaluacin del Control Interno


Consideraciones para Evaluar el Control Interno a Nivel de Empresa

a3

A Nuestros Clientes y Amigos

a Sarbanes-Oxley Act of 2002 (el Acta) hace obligatorios los reportes sobre controles internos para empresas registradas ante la SEC y sus auditores independientes. La Seccin 404 del Acta dirige a la SEC a que adopte reglas requiriendo que los reportes anuales de las compaas registradas en bolsa contengan una evaluacin, al final del ao fiscal, de la eficacia de los controles internos y los procedimientos para reportar informacin financiera. La Seccin 404 tambin requiere que los auditores independientes de la compaa atestigen y reporten sobre la evaluacin de la gerencia. La SEC emiti su propuesta de reglas en octubre de 2002 y, de ser adoptadas, las reglas sern aplicables a compaas cuyo perodo fiscal termina el 15 de septiembre de 2003, o despus. Por consiguiente, las compaas deben prepararse desde ahora para la documentacin integral y la evaluacin de su control interno que sern necesarias para respaldar la evaluacin de la gerencia y el reporte de atestiguacin (attestation) de los auditores. Nuestra publicacin, Preparacin de Reportes sobre Control Interno Una Gua para la Evaluacin de la Gerencia Conforme a la Seccin 404 de Sarbanes-Oxley Act (la Gua) (Ernst & Young SCORE Retrieval File No. EE0677), proporciona una metodologa y estructura para completar la evaluacin.

La metodologa destacada en la Gua incluye cinco fases, a saber:


1 1 1 1

Comprender la Definicin de Control Interno Organizar un Equipo para Llevar a Cabo la Evaluacin Evaluar el Control Interno a Nivel de Empresa Comprender y Evaluar el Control Interno a Nivel de Proceso, Transaccin, Aplicacin Evaluar la Eficacia General, Identificar Asuntos que Requieren Mejoras y Establecer un Sistema de Monitoreo

La Gua aporta orientacin adicional sobre las dos primeras fases de la metodologa. Proporcionaremos ms informacin sobre la documentacin detallada y la evaluacin las ltimas dos fasesen publicaciones futuras. Este documento es una herramienta de ayuda a la gerencia para ejecutar la tercera fase: evaluar el control interno a nivel de empresa. Un lugar lgico para comenzar una evaluacin integral de los controles internos es la cspide los controles a nivel de empresa que pudieran tener un efecto dominante sobre la organizacin. Esto incluye una consideracin de los factores en cada uno de los cinco componentes del control interno que pueden tener un efecto dominante sobre el riesgo de errores o fraude. Estos cinco componentes interrelacionados son:
1 1 1 1 1

Entorno de Control Evaluacin de Riesgos Informacin y Comunicacin Actividades de Control Monitoreo

A N U E S T RO S C L I E N T E S

AMIGOS

Una documentacin y evaluacin del control interno a nivel de empresa por s misma no provee una perspectiva completa del control interno de una empresa. Sin embargo, es un punto de partida importante porque la evaluacin de los controles a nivel de empresa, particularmente cuando se identifican debilidades, puede tener un efecto significativo sobre la evaluacin general de la eficacia de los controles internos y los procedimientos para reportar informacin financiera. Con el fin de ayudar a la gerencia en la evaluacin del control interno a nivel de empresa, en este documento presentamos varios puntos a considerar para cada uno de los cinco componentes del control interno. Estos puntos no abarcan todo, y no todos los puntos listados sern aplicables a todas las compaas. Factores internos y externos nicos para una empresa en particular pueden dar como resultado que las compaas desarrollen mecanismos de control nicos, y esos factores y mecanismos de control nicos pueden dar lugar a considerar puntos adicionales. Si bien una respuesta no a un punto individual no significa necesariamente que todo el componente de control interno a nivel de empresa es ineficaz, una respuesta no (especialmente cuando hay varias de estas respuestas) debe aumentar la percepcin hacia debilidades potenciales en el control interno e indicar reas sobre las cuales la gerencia debe enfocar su atencin.

En muchas companas, la gerencia preparar una sola evaluacin del control interno de la organizacin a nivel de empresa. En otros casos, tales como en compaas ms grandes con varias localidades o lneas de negocios que operan descentralizadamente, puede ser apropiado ejecutar una evaluacin separada de los controles a nivel de empresa para las localidades o lneas de negocios individuales y usar los resultados para hacer una evaluacin general a nivel de empresa. Ernst & Young ha desarrollado la Gua y esta publicacin suplementaria con base en nuestro amplio conocimiento de la evaluacin de controles internos sobre los reportes de informacin financiera en combinacin con auditoras de estados financieros. Estas publicaciones no pueden considerar todos los posibles interrogantes relacionados con una evaluacin del control interno de una compaa, pero proporcionan una metodologa y estructura tiles para ayudar a la gerencia en su evaluacin. Tendremos mucho gusto en discutir con ustedes sobre la evaluacin del control interno en su compaa. Adems, contamos con los conocimientos y la experiencia para ayudarle en la documentacin de sus controles internos. Una versin en plantilla de este documento puede obtenerse visitando nuestro website en _____________, o usted puede solicitar una copia a un miembro del equipo de Ernst & Young.

E VA L UAC I N

DEL

C O N T RO L I N T E R N O

Entorno de Control
El entorno de control refleja la pauta fijada por la alta gerencia y la actitud general, la conciencia y las acciones de la junta directiva, la gerencia, los dueos y otros, con respecto a la importancia del control interno y el nfasis puesto sobre el control en las polticas, procedimientos, mtodos y estructura organizacional de la compaa. Esto es el fundamento para todos los otros componentes del control interno, que proveen disciplina y estructura. Puntos a considerar Integridad, valores ticos, y comportamiento de los ejecutivos clave
1

Respuestas/Comentarios

Muestra la junta directiva inters por la integridad y los valores ticos? Hay un cdigo de conducta y/o una poltica de tica, y estos han sido comunicados adecuadamente? Se ha comunicado eficazmente el compromiso de la gerencia a la integridad y el comportamiento tico a toda la compaa, tanto en palabras como en hechos? La gerencia lidera dando el ejemplo? Se le pide al personal de la alta gerencia que ha sido contratado fuera de la compaa que se familiarice con la importancia de altos valores ticos y controles? Trata la gerencia de eliminar o reducir los incentivos o tentaciones que pueden propiciar que el personal se involucre en actos fraudulentos, ilegales o no ticos? Otorga la gerencia recompensas, tales como bonos o acciones de la compaa, fomentando un tono tico apropiado (p. ej., estas no se otorgan a quienes cumplen objetivos, sino, en el proceso, evaden las polticas, procedimientos o controles establecidos)? Toma la gerencia accin disciplinaria apropiada en respuesta a las desviaciones de polticas y procedimientos aprobados o violaciones del cdigo de conducta?

Si

No

Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

Conciencia de control de la gerencia y estilo operativo


1

Es apropiada la estructura de la gerencia (p. ej., no es dominada por uno o unos pocos individuos) y existe una supervisin eficaz por parte de la junta directiva y/o el comit de auditora?

Si

No

Comentarios:

E N TO R N O

DE

C O N T RO L

Puntos a considerar
1

Respuestas/Comentarios Si No Comentarios:

Tiende a ser conservadora la filosofa de la gerencia sobre reportar informacin financiera (financial reporting), incluyendo su actitud hacia el desarrollo de estimaciones? Se reducen al mnimo las influencias (bias) que puedan afectar estimaciones contables significativas y minimizar otros juicios? Existe un mecanismo establecido para educar y comunicar regularmente a la gerencia y a los empleados la importancia de los controles internos, y elevar el nivel de entendimiento de los controles? Presta la gerencia la apropiada atencin al control interno, incluyendo los efectos del procesamiento de sistemas de informacin? Corrige la gerencia oportunamente las deficiencias identificadas en el control interno? Estn equilibrados los incentivos a la gerencia (p. ej., la parte de la compensacin de la gerencia derivada de bonos, opciones de compra de acciones, u otros incenti vos no promueve un excesivo nivel de inters en mantener o aumentar el precio de las acciones o las ganancias de la empresa)? Establece la gerencia objetivos financieros y expectativas reales (p. ej., no excesivamente agresivos) para el personal operativo?

Si

No

Comentarios:

Si

No

Comentarios:

Si Si

No No

Comentarios: Comentarios:

Si

No

Comentarios:

Compromiso de la gerencia a ser competente


1

Parece el personal tener la capacidad y el entrenamiento necesarios para su nivel de responsabilidad asignado o la naturaleza y complejidad del negocio? Posee la gerencia una amplia experiencia funcional (la gerencia viene de varias reas funcionales en vez de slo unas pocas, tales como produccin y ventas)? Es apropiado el personal departamental, (particularmente con respecto al conocimiento y experiencia de la gerencia y los niveles supervisores dentro de las reas de contabilidad, sistemas de informacin y reporte de informacin financiera)?

Si

No

Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

E VA L UAC I N

DEL

C O N T RO L I N T E R N O

Puntos a considerar
1

Respuestas/Comentarios Si No Comentarios:

Muestra la gerencia una voluntad de consultar con los auditores y tratar asuntos significativos que se relacionan con el control interno y asuntos de contabilidad? Demuestra la gerencia un compromiso para proveer suficiente personal de contabilidad y financiero para mantener el ritmo de crecimiento y/o complejidad del negocio?

Si

No

Comentarios:

Participacin de la junta directiva y/o el comit de auditora en el gobierno (governance)y la vigilancia


1

Es apropiada la estructura de la junta directiva, incluyendo el nmero de directores, sus antecedentes y experiencia, dada la naturaleza de la compaa? La independencia de los miembros externos de la junta directiva ha sido revisada adecuadamente, incluyendo afiliaciones, relaciones y transacciones con la compaa? Son independientes de la gerencia, la junta directiva y el comit de auditoria, tanto as que con frecuencia indagan y plantean preguntas segn sea necesario? Consideran adecuadamente la junta directiva y/o el comit de auditoria la importancia del entendimiento de los procesos que la gerencia emplea para monitorear los riesgos de negocios que afectan a la organizacin? Representa el comit de auditoria un supervisor informado, vigilante y eficaz del proceso de reporte de informacin financiera (financial reporting) y del control interno de la compaa, incluyendo el procesamiento de sistemas de informacin y los controles computarizados relacionados? Incluye el comit de auditoria al menos a un experto financiero (financial expert)? Mantiene el comit de auditoria una lnea directa de comunicacin con los auditores externos e internos de la empresa? Tiene el comit de auditora un documento que defina sus deberes y responsabilidades? Tiene el comit de auditora los recursos adecuados y la autoridad para ejercer sus responsabilidades?

Si

No

Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

Si Si

No No

Comentarios: Comentarios:

Si

No

Comentarios:

E N TO R N O

DE

C O N T RO L

Puntos a considerar Estructura organizacional y asignacin de autoridad y responsabilidades


1

Respuestas/Comentarios

Es la estructura organizacional adecuada para el tamao, actividades operacionales, y ubicacin de la compaa? Es apropiada la estructura organizacional general (es decir, no demasiado compleja, ni abarca numerosas empresas jurdicas o poco usuales, lneas administrativas de autoridad, o convenios contractuales sin propsito aparente de negocios)? Existe una estructura apropiada para asignar la propiedad de la informacin, incluso quines estn autorizados para iniciar y/o modificar transacciones? Se asigna la propiedad para cada aplicacin y base de datos dentro de la infraestructura de IT? Hay polticas apropiadas para aquellos asuntos como aceptacin de nuevos negocios, conflictos de inters, y practicas de seguridad? Son ellas comunicadas adecuadamente a toda la organizacin? Hay polticas y procedimientos apropiados para la autorizacin y aprobacin de transacciones al nivel adecuado? Es clara la asignacin de responsabilidades, incluyendo responsabilidades del procesamiento de sistemas de informacin y desarrollo de programas? Revisa y modifica la gerencia la estructura organizacional de la compaa de acuerdo a los cambios de condiciones? Hay una adecuada supervisin y monitoreo de las operaciones descentralizadas (incluyendo personal de contabilidad y sistemas de informacin)? Hay una apropiada segregacin de actividades incompatibles (es decir, la separacin entre la contabilizacin y el acceso a activos)?

Si Si

No No

Comentarios: Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

Si Si

No No

Comentarios: Comentarios:

Si

No

Comentarios:

Polticas y practicas de recursos humanos


1

Existen normas y procedimientos para la contratacin, adiestramiento, motivacin, evaluacin, promocin, remuneracin, traslados y terminacin de personal que sean aplicables a todas las reas funcionales (p.ej., contabilidad, mercadeo, sistemas de informacin)?

Si

No

Comentarios:

E VA L UAC I N

DEL

C O N T RO L I N T E R N O

Puntos a considerar
1

Respuestas/Comentarios Si No Comentarios:

Existen procedimientos de investigacin para la seleccin de solicitantes de empleo, particularmente para personal con acceso a activos susceptibles a sustraccin? Son claras las polticas y procedimientos y se emiten, actualizan y modifican oportunamente? Se comunican eficazmente al personal en localidades descentralizadas y/o extranjeras? Hay descripciones de funciones, manuales de referencia u otras formas de comunicacin que informen al personal sobre sus obligaciones? El desempeo del trabajo es evaluado y revisado peridicamente con cada empleado?

Si

No

Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

Evaluacin del Entorno de Control:


Resuma las razones que soportan su evaluacin, a menos que sean obvias:

Eficaz

Ineficaz

_________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________


5

E VA L UAC I N

DE

RIESGOS

Evaluacin de Riesgos
La evaluacin de riesgos es la identificacin y anlisis de riesgos relevantes (tanto internos como externos) al logro de los objetivos, formando una base para determinar cmo los riesgos deben ser administrados. Puntos a considerar Se han establecido y comunicado objetivos a nivel de empresa, incluyendo cmo estn apoyados por planes estratgicos y complementados a nivel de proceso / aplicacin. Se ha establecido un proceso de evaluacin de riesgo, incluyendo la estimacin de la importancia de los riesgos, la evaluacin de la probabilidad de su ocurrencia, y la determinacin de las acciones necesarias a seguir.
1

Respuestas/Comentarios

Son establecidos, comunicados y monitoreados los objetivos de negocios? Son comunicados a toda la empresa los elementos clave del plan estratgico de la empresa, de manera que los empleados tengan un entendimiento bsico de la estrategia general de la compaa? El plan estratgico de la empresa y los objetivos de negocio se complementan entre si? Existe un proceso que peridicamente revise y actualice los planes estratgicos de toda la empresa? El plan estratgico es revisado y aprobado por la junta directiva? El plan estratgico de toda la empresa incluye IT o existe un plan estratgico separado de IT que trate las necesidades tecnolgicas de la empresa para cumplir con su plan estratgico eficaz y eficientemente? Existe un mecanismo adecuado que identifique riesgos de negocios, incluyendo aquellos que resulten de: Entrada a nuevos mercados o lneas de negocios? Ofrecimiento de nuevos productos y servicios? Cumplimiento de requerimientos de privacidad y proteccin de informacin? Otros cambios en el negocio, la economa y el entorno regulador?

Si

No

Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

Si Si Si Si

No No No No

Comentarios: Comentarios: Comentarios: Comentarios:

E VA L UAC I N

DEL

C O N T RO L I N T E R N O

Puntos a considerar
1

Respuestas/Comentarios Si No Comentarios:

Realiza la auditora interna (u otro grupo dentro de la compaa) evaluaciones peridicas de riesgos (al menos anualmente)? Si la respuestas es si, revisa la alta gerencia las evaluaciones de riesgos y considera acciones para mitigar los riesgos significativos identificados? La gerencia considera cunto riesgo est dispuesto a aceptar cuando fija la direccin estratgica o la entrada a nuevos mercados, y se esfuerza por mantener los riesgos dentro de esos niveles? Supervisan y monitorean la junta directiva y/o el comit de auditoria el proceso de evaluacin de riesgo y toman acciones para tratar los riegos significativos identificados?

Si

No

Comentarios:

Si

No

Comentarios:

Existen mecanismos para anticipar, identificar y reaccionar a los cambios que pudieran tener un efecto dramtico y dominante en la empresa (p. ej., el comit de administracin de activos/pasivos en una institucin financiera, el grupo de administracin de riesgos de comercializacin de commodities en una empresa manufacturera) o que pudiera afectar el logro de objetivos de la empresa o de niveles de procesos/aplicaciones.
1

Estn bien controladas las adquisiciones y ventasdisposiciones de negocios significativas y los activos (p. ej., finalizados despus de completar los procedimientos de due diligence, revisados por un nivel apropiado de la gerencia)? Existen grupos o individuos que son responsables de anticipar e identificar cambios que pudieran tener un efecto significativo sobre la empresa? Existen procesos para informar a niveles apropiados de la gerencia acerca de cambios con posibles efectos significativos en la empresa? Son actualizados durante al ao los presupuestos/ proyecciones para reflejar condiciones cambiantes? Se hacen revisiones peridicas o existen otros procedimientos para que, entre otras cosas, se anticipen e identifiquen eventos o actividades rutinarios que puedan afectar la capacidad de la empresa de cumplir con sus objetivos y tratarlos? La gerencia reporta a la junta directiva y/o el comit de auditoria acerca de cambios que pudieran tener un efecto significativo en la empresa?

Si

No

Comentarios:

Si

No

Comentarios:

Si Si

No No

Comentarios: Comentarios:

Si

No

Comentarios:

E VA L UAC I N

DE

RIESGOS

Puntos a considerar El departamento de contabilidad tiene procesos establecidos para: (1) identificar cambios en los principios de contabilidad generalmente aceptados(PCGA) promulgados por los organismos con autoridad relevantes, (2) notificar al departamento de contabilidad de cambios en las practicas de negocios de la compaa que puedan afectar el mtodo o los procesos para registrar transacciones, y (3) identificar cambios significativos en el control interno o el entorno operativo, incluyendo cambios que resulten de nuevas regulaciones o cambios en stas.
1

Respuestas/Comentarios

Tiene el departamento de contabilidad un proceso para identificar y tratar cambios en PCGA, as como tambin para la aprobacin de modificaciones en la contabilidad para tratar dichos cambios? Trabaja la gerencia con los auditores externos u otras terceras personas expertas para determinar si estn tratando los cambios complejos de los PCGA apropiadamente? Revisan la junta directiva y/o el comit de auditoria los cambios significativos en las prcticas contables de la empresa y los aprueban? Existen procesos para asegurar que el departamento de contabilidad conozca los cambios en el entorno operativo, para que luego pueda revisar tales cambios y determinar los efectos, si es que existe alguno, que los cambios puedan tener sobre las prcticas contables de la empresa? Existen canales de comunicacin entre el departamento de contabilidad y/o individuos a cargo de monitorear las regulaciones, para que el departamento de contabilidad conozca los cambios en las regulaciones que podran afectar las practicas contables de la empresa? Existen procesos para asegurar que el departamento de contabilidad (y la junta directiva y/o el comit de auditoria) conozcan las transacciones significativas con partes relacionadas, para que luego puedan determinar si tales transacciones son apropiadamente contabilizadas y reveladas?

Si

No

Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

E VA L UAC I N

DEL

C O N T RO L I N T E R N O

Evaluacin de la Evaluacin de Riesgos:


Resuma las razones que soportan su evaluacin, a menos que sean obvias:

Eficaz

Ineficaz

_________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________

I N F O R M AC I N

C O M U N I C AC I N

Informacin y Comunicacin
Los sistemas de informacin y comunicacin apoyan la identificacin, captura e intercambio de informacin en una forma y oportunidad que permiten a la gerencia y a otro personal apropiado cumplir con sus responsabilidades. Puntos a considerar Respuestas/Comentarios

Informacin
Los sistemas de informacin proveen a la gerencia los reportes necesarios sobre el desempeo de la empresa en relacin a los objetivos establecidos, incluyendo informacin interna y externa relevante, y proporcionan la informacin a la gente apropiada con el detalle necesario y a tiempo, para permitirles cumplir con sus responsabilidades eficaz y eficientemente.
1

Es la empresa capaz de preparar informes financieros exactos y oportunos, incluyendo informes interinos? Reciben la junta directiva y la gerencia suficiente informacin oportuna que les permita cumplir con sus responsabilidades? Son definidos y medibles los objetivos de la gerencia en trminos de presupuestos, ganancias, y otros objetivos financieros y operativos? Son los resultados reales medidos en relacin a esos objetivos? Hay un alto nivel de satisfaccin de los usuarios con el procesamiento de los sistemas de informacin, incluyendo aspectos como confiabilidad y oportunidad de los informes? Hay un nivel suficiente de coordinacin entre las funciones/departamentos de contabilidad y procesamiento de sistemas de informacin?

Si Si Si

No No No

Comentarios: Comentarios: Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

Los sistemas de informacin son desarrollados o revisados en base al plan estratgico que est interrelacionado con los sistemas de informacin generales de la empresa, y responden al logro de los objetivos a nivel de empresa y a nivel de procesos/aplicaciones.
1

Existen polticas apropiadas para desarrollar y modificar los sistemas de contabilidad y control (incluyendo cambios y uso de programas de computacin y/o archivos de computacin)?

Si

No

Comentarios:

10

E VA L UAC I N

DEL

C O N T RO L I N T E R N O

Puntos a considerar
1

Respuestas/Comentarios Si No Comentarios:

Son los esfuerzos de la gerencia para desarrollar o revisar los sistemas de informacin (incluyendo sistemas de contabilidad) congruentes con sus planes estratgicos? Existen aplicaciones o transacciones importantes que sean ejecutadas/ procesadas por organizaciones que prestan servicios (service organizations)? Si la respuesta es si, tiene la gerencia documentados los controles relevantes asociados a la organizacin de servicios, la compaa o ambos que mitiguen el riesgo de error? Hay polticas para la supervisin peridica de los controles de la organizacin de servicios o la compaa y se toman acciones apropiadas para mitigar el potencial de nuevos riesgos?

Si

No

Comentarios:

La gerencia destina los recursos humanos y financieros apropiados para desarrollar los sistemas de informacin necesarios, y asegura y supervisa a los usuarios que participan en el desarrollo (incluyendo revisiones) y prueba de los programas.
1

Participa la junta directiva y/o el comit de auditoria en los proyectos de monitoreo de los sistemas de informacin y prioridad de los recursos? Refleja claramente el diagrama de organizacin de IT las reas de responsabilidad y las lneas de reporte y comunicacin? Existen responsabilidades definidas para los responsables de implantar, documentar, probar y aprobar cambios en los programas de computacin que son comprados o desarrollados por el personal de sistemas de informacin o los usuarios? Son bien controladas las conversiones de los sistemas (p. ej., completadas de acuerdo a procedimientos o planes escritos)? Asegura y monitorea la gerencia financiera a los usuarios involucrados en el desarrollo de programas, incluyendo el diseo de pruebas del control interno y balances? Hay un alto grado de cooperacin e interaccin entre usuarios y el departamento de IT (p. ej., procedimientos para asegurar el monitoreo continuo por parte del departamento de IT de la satisfaccin de los usuarios con el procesamiento y polticas de IT para el desarrollo, modificacin y uso de los programas y los archivos de datos)?

Si

No

Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

11

I N F O R M AC I N

C O M U N I C AC I N

Puntos a considerar La gerencia ha establecido un plan de continuidad del negocio/ recuperacin de desastres para todos los centros primarios de informacin.
1

Respuestas/Comentarios

Son replicados (backed up) regularmente los programas de aplicacin y los archivos? Existe un plan actual de recuperacin de desastres para componentes importantes de la infraestructura de IT? Hay un plan de continuidad de negocios que incorpore el plan de recuperacin de desastres y las necesidades de los departamentos usuarios para recuperar oportunamente las funciones criticas, los sistemas, procesos e informacin del negocio? Son los planes de recuperacin de desastres y continuidad de negocios probados peridicamente (al menos una vez al ao)? Son los planes de recuperacin de desastres y continuidad de negocios actualizados de acuerdo a cambios en las condiciones?

Si Si Si

No No No

Comentarios: Comentarios: Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

Comunicacin
La gerencia comunica los deberes y responsabilidades de control de los empleados en una manera eficaz, y ha establecido canales de comunicacin para que la gente reporte situaciones que se sospeche son impropias
1

Son claramente definidas y comunicadas las lneas de autoridad y responsabilidad (incluyendo lneas de reportes) dentro de la compaa? Existen descripciones de funciones por escrito y manuales de referencia que describan las responsabilidades del personal? Son las polticas y procedimientos establecidos y comunicados al personal en las localidades descentralizadas (incluyendo operaciones extranjeras)? Hay adiestramiento/orientacin para los nuevos empleados, o empleados que comienzan en una nueva posicin, para discutir la naturaleza y alcance de sus deberes y responsabilidades? El adiestramiento/orientacin incluye una discusin de controles internos especficos de los cuales son responsables?

Si

No

Comentarios:

Si Si

No No

Comentarios: Comentarios:

Si

No

Comentarios:

12

E VA L UAC I N

DEL

C O N T RO L I N T E R N O

Puntos a considerar
1

Respuestas/Comentarios Si No Comentarios:

Hay un proceso para que los empleados comuniquen situaciones impropias? Es el proceso bien comunicado a toda la empresa? El proceso permite guardar la identidad de quienes reportan posibles situaciones impropias? Existe un proceso para reportar situaciones impropias, y acciones tomadas para tratarlas, a la alta gerencia, la junta directiva y/o el comit de auditoria? Son revisadas, investigadas y resueltas oportunamente todas las posibles situaciones impropias reportadas?

Si

No

Comentarios:

Existe una adecuada comunicacin a travs de la organizacin que permita a la gente cumplir con su responsabilidad eficazmente, y la gerencia toma acciones de seguimiento oportuna y apropiadamente sobre las comunicaciones recibidas de clientes, proveedores, reguladores u otras partes externas.
1

Creen los empleados que tienen informacin adecuada para cumplir con las responsabilidades de su trabajo? Hay un proceso que comunique rpidamente la informacin crtica a toda la compaa cuando sea necesario? Hay un proceso para recopilar la informacin de los clientes, proveedores, reguladores y otras partes externas? Se asigna responsabilidad a un miembro de la gerencia para ayudar a asegurarse que la empresa responda apropiada, oportuna y correctamente a las comunicaciones de los clientes, proveedores, reguladores y otras partes externas?

Si Si Si Si

No No No No

Comentarios: Comentarios: Comentarios: Comentarios:

Evaluacin de Informacin y Comunicacin:


Resuma las razones que soportan su evaluacin, a menos que sean obvias:

Eficaz

Ineficaz

_________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________


13

A C T I V I DA D E S

DE

C O N T RO L

Actividades de Control
Las actividades de control son las polticas y procedimientos que ayudan a asegurar que las directrices de la gerencia sean cumplidas. Puntos a considerar Existen polticas y procedimientos necesarios con respecto a que cada una de las actividades de la empresa y los controles sealados por la poltica estn siendo aplicados.
1

Respuestas/Comentarios

Se siguen las prcticas contables y de cierre consistentemente en fechas interinas (p. ej., trimestral, mensualmente) durante el ao? Est la gerencia apropiadamente involucrada en la revisin de las estimaciones contables significativas y apoyo para las transacciones no usuales significativas y asientos de diario no estndar? Hay documentacin oportuna y apropiada para las transacciones? Revisa la empresa sus polticas y procedimientos peridicamente para determinar si continan siendo apropiados para las actividades de la compaa? Tienen los miembros de la gerencia responsabilidad (ownership) sobre las polticas y los procedimientos? La responsabilidad (ownership) incluye asegurarse que las polticas y los procedimientos sean apropiadas para las actividades de la compaa?

Si

No

Comentarios:

Si Si

No No

Comentarios: Comentarios:

Si

No

Comentarios:

La gerencia tiene objetivos claros en trminos de presupuesto, utilidades y otras metas financieras y de operacin, y estos objetivos estn claramente escritos, y son comunicados a toda la empresa y activamente monitoreados. Han sido implantados sistemas de planificacin y de reporte para identificar variaciones en el rendimiento planificado y comunicar estas variaciones al nivel apropiado de la gerencia. El nivel de la gerencia apropiado investiga las variaciones y toma acciones correctivas apropiadas y oportunas.
1

Existe un sistema de presupuesto?

Si

No

Comentarios:

14

E VA L UAC I N

DEL

C O N T RO L I N T E R N O

Puntos a considerar
1

Respuestas/Comentarios Si No Comentarios:

Revisa la gerencia los indicadores clave de rendimiento (p. ej., presupuestos, utilidades, metas financieras, metas operativas) regularmente (p. ej., mensual, trimestralmente) e identifica variaciones significativas? La gerencia luego investiga las variaciones significativas y se toman las acciones correctivas apropiadas? Son comunicadas y discutidas con la junta directiva y/o el comit de auditora las variaciones en el rendimiento planificado por lo menos trimestralmente? Son entregados los estados financieros a la gerencia operativa? Estn acompaados de comentarios analticos?

Si

No

Comentarios:

Si

No

Comentarios:

Los deberes son lgicamente divididos o segregados (manualmente o a travs de la implementacin de aplicaciones de tecnologa de informacin (IT) apropiadas) entre diferentes personas para reducir el riesgo de fraude o de acciones impropias.
1

Hay una apropiada segregacin de actividades incompatibles (p. ej., separacin entre contabilizacin de activos y acceso a los mismos; la funcin de operaciones IT separada de los sistemas y de la programacin; la funcin de administracin de la base de datos separada de la programacin de aplicaciones y de la programacin de sistemas)? Son revisados los organigramas para asegurar que existe una segregacin apropiada de deberes? Se requieren aprobaciones apropiadas de parte de la gerencia antes de permitir acceso a un individuo a aplicaciones y bases de datos especficas? Existe prohibicin para que el personal de IT tenga responsabilidades o deberes incompatibles en departamentos usuarios? Hay procesos para revisar peridicamente (p. ej. trimestral, semestralmente) los privilegios del sistema y controles de acceso a las diferentes aplicaciones y bases de datos dentro de la infraestructura de IT para determinar si los privilegios del sistema y accesos de control son apropiados?

Si

No

Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

15

A C T I V I DA D E S

DE

C O N T RO L

Puntos a considerar Se realizan comparaciones peridicas de montos registrados en el sistema de contabilidad con activos fsicos. Existen adecuados resguardos para prevenir acceso no autorizado o la destruccin de documentos, registros y activos.
1

Respuestas/Comentarios

Ha establecido la gerencia procedimientos para conciliar peridicamente activos fsicos (p. ej., efectivo, cuentas por cobrar, inventarios, activo fijo) con los registros contables relacionados? Se toman inventarios fsicos /conteos cclicos en forma peridica y se ajusta de acuerdo el sistema perpetuo de inventario? Son investigados los ajustes significativos o recurrentes para determinar la razn del ajuste y se toman las acciones apropiadas para tratar las razones de los ajustes? Ha establecido la gerencia procedimientos para prevenir acceso no autorizado a, o la destruccin de, documentos, registros (incluyendo programas de computacin y archivos de datos), y activos? Est restringido el acceso de procesamiento de datos a los activos que no son de procesamiento de datos (p. ej., cheques en blanco)?

Si

No

Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

Se han establecido polticas para controlar el acceso a programas y archivos de datos. Se usa software de seguridad de acceso, software de sistema operativo, y/o software de aplicaciones para controlar el acceso a programas de datos. Existe una funcin de seguridad de informacin y es responsable de monitorear el cumplimiento de las polticas y procedimientos de seguridad de informacin.
1

Son usados el software de seguridad de acceso, software de sistemas operativos, y software de aplicaciones para controlar ambos accesos centralizados y descentralizados a: Informacin y-datos? Capacidad funcional de programas (p. ej., ejecutar, actualizar, modificar parmetros, solamente leer)? Si Si Si No No No Comentarios: Comentarios: Comentarios:

Es razonable la seguridad fsica sobre los activos de tecnologa de informacin (tanto el departamento IT y usuarios), dada la naturaleza del negocio de la compaa? La informacin electrnica crtica es respaldada diariamente y guardada fuera de las instalaciones?

Si

No

Comentarios:

16

E VA L UAC I N

DEL

C O N T RO L I N T E R N O

Puntos a considerar
1

Respuestas/Comentarios Si No Comentarios:

Existen controles para acceso por telfono a los recursos de computacin de la compaa (p. ej., firewalls; directorios centralizados para guardar y manejar identidades de usuarios y privilegios de recursos; solicitud, aprobacin y proceso de cumplimiento para acceso a la empresa automatizado y basado en la poltica)? Hay una funcin dedicada de ejecutivo de seguridad (security officer) que monitorea las actividades de procesamiento de IT y existen informes peridicos para la junta directiva y/o el comit de auditoria sobre el estado actual de la seguridad de IT en la compaa? Existen sistemas para monitorear y responder a interrupciones potenciales del negocio debido a incidentes de intrusin maliciosa, y para actualizar los protocolos de seguridad para prevenirlos? Son las violaciones de seguridad y otros incidentes automticamente registrados y revisados? Realiza la compaa revisiones /auditorias peridicas de la seguridad de IT? Si la respuesta es afirmativa, son los resultados de esta revisin /auditora reportados a la junta directiva y/o al comit de auditora?

Si

No

Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

Evaluacin de Actividades de Control:


Resuma las razones que soportan su evaluacin, a menos que sean obvias:

Eficaz

Ineficaz

_________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________


17

M O N I TO R E O

Monitoreo
Monitoreo es un proceso que evala la calidad de desempeo del control interno a travs del tiempo. Puntos a considerar Se realizan evaluaciones peridicas del control interno y el personal, mientras realiza sus deberes regulares, obtiene evidencia de que el sistema de control interno sigue funcionando.
1

Respuestas/Comentarios

Requieren los procedimientos que la gerencia revise los procesos de control para asegurarse que los controles estn siendo aplicados tal como se esperaba? Existen procedimientos para monitorear cundo los controles son omitidos (overriden) y para determinar si la omisin (overide) fue apropiada? Existen polticas / procedimientos para asegurar que se toman acciones correctivas de forma oportuna cuando ocurren excepciones en los controles?

Si

No

Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

La gerencia: (1) implementa las recomendaciones de control interno de los auditores internos e independientes, (2) corrige las deficiencias conocidas en forma oportuna, y (3)responde apropiadamente a los informes y las recomendaciones de los reguladores.
1

Toma la gerencia acciones adecuadas y oportunas para corregir deficiencias reportadas por la funcin de auditora interna? Responde la gerencia en forma oportuna y apropiada a las observaciones de los auditores independientes y a sus recomendaciones en relacin al control interno y a las polticas y procedimientos de la Compaa? Recibe la compaa hallazgos y recomendaciones de los reguladores? Si la respuesta es afirmativa, trata los hallazgos adecuada y oportunamente? Existen otras funciones de semi-auditora (p. ej., revisin de crdito en una institucin financiera o administracin de riesgos en una compaa de seguros) que reportan a la gerencia y afectan el entorno de control general?

Si

No

Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

18

E VA L UAC I N

DEL

C O N T RO L I N T E R N O

Puntos a considerar Hay una funcin de auditora interna que la gerencia utiliza para asistirle en sus actividades de monitoreo.
1

Respuestas/Comentarios

Es adecuado el nivel de personal, adiestramiento, y habilidades especializadas dado el entorno (p. ej., el uso de auditores de sistemas con experiencia y capacitacin en ambientes altamente automatizados y complejos)? Es independiente la funcin de auditora interna (en trminos de autoridad y relaciones de reporte) de las actividades que auditan? Se prohbe a los auditores internos tener responsabilidades operativas que tengan conflictos con su funcin de monitorear? Tenen acceso directo los auditores internos a la junta directiva y/o al comit de auditora? Se adhiere la funcin de auditora interna a las normas profesionales, tales como las normas emitidas por el Instituto de Auditora Interna? Ha habido una reciente revisin de calidad en la funcin de auditora interna por terceros tales como los auditores independientes de la compaa? Es apropiado el alcance de las actividades de auditora interna (p. ej., balance entre las auditorias financieras y operacionales, cobertura y rotacin de operaciones descentralizadas) dada la naturaleza, el tamao y la estructura de la compaa? El alcance de las actividades planificadas de auditora interna es revisado en forma anticipada con: La alta gerencia? La junta directiva y/o el comit de auditora? Los auditores independientes?

Si

No

Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

Si Si

No No

Comentarios: Comentarios:

Si

No

Comentarios:

Si

No

Comentarios:

Si Si Si Si

No No No No

Comentarios: Comentarios: Comentarios: Comentarios:

Desarrolla el departamento de auditora interna un plan anual que considera el riesgo en la determinacin de la asignacin de recursos? Tienen los auditores internos autoridad para examinar cualquier aspecto de las operaciones de la empresa?

Si

No

Comentarios:

19

M O N I TO R E O

Puntos a considerar
1

Respuestas/Comentarios

Son reportados los resultados de las actividades de la auditora interna a: La alta gerencia? La junta directiva y/o el comit de auditora? Los auditores independientes? Si Si Si No No No Comentarios: Comentarios: Comentarios:

Evaluacin de Control de Monitoreo:


Resuma las razones que soportan su evaluacin, a menos que sean obvias:

Eficaz

Ineficaz

_________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________


20 E VA L UAC I N
DEL

C O N T RO L I N T E R N O

Evaluacin General del Control Interno a Nivel de Empresa:

Eficaz

Ineficaz

Basado en factores documentados en las secciones previas y en cualquier factor adicional (documentado a continuacin o en un memorando separado) concluya sobre la eficacia general del control interno a nivel de empresa (proveer una base para la conclusin de la gerencia, si no es obvia). _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________

21

22

E VA L UAC I N

DEL

C O N T RO L I N T E R N O

E R N S T & Y O U N G LLP

www.ey.com

2003 Ernst & Young LLP. All Rights Reserved. Ernst & Young is a registered trademark. SCORE Retrieval File No. EE0687