¿Qué son los controles internos?
Los controles internos son las políticas y procedimientos de la empresa para garantizar que sus operaciones sean eficientes, eficaces y conformes a las leyes y reglamentos. Estos controles salvaguardan los activos de la empresa y evitan fraudes, errores y otros riesgos.
Unos controles internos eficaces son fundamentales para el éxito y la sostenibilidad de cualquier organización. Contribuyen a garantizar a las partes interesadas que la empresa opera de forma responsable y ética y que sus estados financieros son fiables y precisos de acuerdo con la normativa contable (por ejemplo, la Ley Sarbanes-Oxley). Además, es esencial revisar y actualizar periódicamente los controles internos para garantizar que siguen siendo pertinentes y valiosos.
Ventajas
Disponer de control interno tiene varias ventajas, entre ellas:
Detección de errores y fraudes
Uno de los procedimientos de control fundamentales que pueden ayudar a detectar errores y fraudes es la segregación de funciones. Implica asignar distintas tareas a distintos empleados, lo que ayuda a evitar que un solo empleado tenga demasiado control sobre un proceso concreto.
Por ejemplo, un empleado puede encargarse de registrar las transacciones, mientras que otro es responsable de conciliar los extractos bancarios. De este modo, si un empleado comete un error o intenta cometer un fraude, es más probable que sea detectado por el otro.
Eficiencia temporal
Un auditor puede realizar pruebas, comprobaciones o muestreos de operaciones para verificar la exactitud y fiabilidad de las anotaciones contables. Como resultado, puede terminar sus tareas de auditoría y crear estados financieros dentro del plazo designado.
Eficiencia operativa
El uso de este sistema fomenta la responsabilidad, la precisión y la fiabilidad en el desempeño del trabajo, al tiempo que reduce la ineficacia, el fraude y el robo. Además, este sistema permite la evaluación del rendimiento de los empleados por parte de la dirección. Y todos estos elementos contribuyen a mejorar la eficacia operativa general de la organización.
Desventajas
Por otra parte, a la hora de implantar controles internos, es esencial tener en cuenta ciertas limitaciones que pueden afectar a su eficacia. He aquí algunos ejemplos:
Colusión
Muchas empresas aplican la segregación de funciones como medida de control interno para evitar el fraude, garantizando que ningún empleado tenga un poder excesivo. Sin embargo, los empleados pueden colaborar y utilizar un proceso complejo para ocultar actividades fraudulentas.
Error humano
El error humano puede repercutir en los controles internos, principalmente en los procesos manuales y las decisiones. Los recuentos manuales de las existencias pueden dar lugar a imprecisiones, y los resultados de las auditorías internas pueden verse afectados por un juicio deficiente. La implantación de sistemas automatizados garantizará la coherencia y minimizará el riesgo de error humano.
Circunstancias imprevistas
La dirección de una empresa establece controles internos para identificar y prevenir o reducir posibles peligros. Sin embargo, la dirección no puede predecir todos los posibles retos o sucesos. La eficacia de los controles internos puede verse afectada por variables o circunstancias aleatorias.
Además, el coste de controlar condiciones inusuales puede ser superior a los beneficios, lo que lleva a un equipo directivo a aceptar el riesgo en su lugar. En consecuencia, puede restringir la eficacia de los controles internos en determinadas situaciones.
Ejemplos
A continuación se enumeran algunos ejemplos de controles internos que las organizaciones pueden implantar en sus operaciones:
- Segregación de tareas – La delegación de tareas es un método de reducción de riesgos que consiste en dividir las tareas laborales entre varias personas.
- Controles físicos – Los activos se protegen físicamente mediante cerraduras, cajas fuertes o controles ambientales para restringir el acceso al personal autorizado.
- Conciliaciones – Garantiza la exactitud de los detalles de las transacciones y el registro adecuado en los registros de las distintas personas. Algunos ejemplos son la conciliación de los extractos bancarios con los registros de caja y el cotejo del efectivo en caja con las ventas o la actividad transaccional en los totales de caja.
- Políticas y procedimientos – La organización debe contar con políticas, procedimientos y documentación establecidos y disponibles a todos los niveles para garantizar un rendimiento de calidad coherente. Incluye directrices tanto departamentales como para toda la organización.
- Revisiones de transacciones y actividades – Las revisiones de diversos informes, como los de transacciones, operaciones y resúmenes, ayudan a supervisar el rendimiento, identificar tendencias y detectar problemas. Un ejemplo de revisión específica sería el examen de los estados presupuestarios para comparar los gastos reales, el análisis de los informes de actividad de las llamadas de telecomunicaciones en busca de llamadas personales y la revisión de las tarjetas de control horario de los empleados.
- Controles del tratamiento de la información – El tratamiento de la información implica controles internos para garantizar la exactitud, integridad y autorización de las transacciones. Los datos se verifican comparándolos con los ficheros de control, comprobando las secuencias numéricas y comparando los totales de los ficheros con los saldos anteriores y las cuentas de control.
Tipos de controles internos
Los dos controles internos fundamentales son los preventivos y los detectivos. Un sistema de control interno completo debe incluir ambos tipos, cada uno de los cuales debe cumplir una función distinta. Veamos cada uno de ellos con más detalle:
Controles preventivos
Los controles preventivos pueden reducir la probabilidad de errores y fraudes centrándose en la separación de funciones. Son un componente integral de la gestión de la calidad porque implican una estrategia proactiva para garantizar la calidad.
Los siguientes son ejemplos de controles preventivos:
- Separación de funciones
- Una aprobación previa de acciones o transacciones (por ejemplo, autorización de viaje)
- Controles de acceso (por ejemplo, autenticación de contraseñas)
- Control de activos físicos (por ejemplo, cerraduras en las puertas, cajas fuertes para efectivo, cheques)
- Evaluaciones y formación de los empleados
Controles de detectives
Los controles de detección identifican errores o problemas que pueden haberse producido después de la transacción. Son esenciales para probar que los controles preventivos funcionan correctamente y ofrecen la posibilidad de descubrir cualquier anomalía a posteriori.
Los siguientes son ejemplos de controles detectivescos:
- Conciliación mensual de las transacciones departamentales
- Comprobación de las diferencias inesperadas entre el presupuesto y los resultados de la organización.
- Recuento del inventario físico (por ejemplo, efectivo o inventario de productos)
Componentes
Un sistema de control interno consta de cinco componentes. Examinemos cada uno de ellos y cómo contribuye al control interno.
Entorno de control
En una empresa, la cultura se construye y establece de arriba abajo por el consejo de administración y la alta dirección, que los empleados deben seguir. El entorno de control desempeña un papel fundamental en la prestación de apoyo a los demás componentes del control interno.
Evaluación de riesgos
Las evaluaciones periódicas de riesgos ayudan a las organizaciones a identificar y analizar los riesgos potenciales que pueden afectar a su capacidad para alcanzar sus metas y objetivos. Los resultados se utilizan para señalar las áreas que requieren priorización e implantación de controles internos.
Cree su propia plantilla de evaluación de riesgos
Información y comunicación
Unos sistemas y procesos eficientes deben facilitar la identificación, captura e intercambio de información a tiempo, permitiendo a las personas desempeñar sus funciones con eficacia. En los casos en que la información no es fácilmente accesible, los empleados pueden intentar eludir los controles internos para agilizar las operaciones.
Actividades de control
Son las políticas y procedimientos que aplica una organización para alcanzar sus objetivos. Estas acciones previenen o detectan errores, fraudes u otras irregularidades en las operaciones de la organización. Las actividades de control son un componente esencial del control interno porque proporcionan las salvaguardias necesarias para proteger los activos de la organización y garantizar la exactitud y fiabilidad de la información financiera.
Monitorización
La supervisión es esencial para el control interno, ya que permite a las empresas asegurarse de que su sistema de control interno funciona eficazmente. Implica la evaluación continua del sistema de control interno para identificar cualquier debilidad o deficiencia que deba abordarse. También implica revisar periódicamente los estados financieros y otros indicadores clave de rendimiento para garantizar su exactitud y fiabilidad.
Evaluación de las deficiencias de los controles internos
Dada la creciente complejidad de las operaciones empresariales, identificar y evaluar las deficiencias del control interno puede suponer un reto para las empresas y los auditores externos. Los siguientes consejos pueden ayudarle a evaluar las deficiencias del control interno:
Evaluar el entorno de control
El entorno de control es crucial para evaluar las deficiencias del control interno. Sirve de base para el control interno e influye en el comportamiento de los empleados. Una empresa que da prioridad a un entorno de control sólido opera con integridad y valores éticos, atrayendo y reteniendo a empleados competentes responsables de sus funciones de control interno.
Evaluar la evaluación de riesgos
Un análisis minucioso de los riesgos es vital para la eficacia de los controles internos. Para gestionar los riesgos, las organizaciones deben identificar los posibles obstáculos para alcanzar sus objetivos. En relación con esto, el fraude es una de las áreas de riesgo más comunes que las organizaciones deben tener en cuenta. Los profesionales de auditoría, riesgos y cumplimiento pueden evaluar la estrategia de evaluación de riesgos de una empresa para garantizar que los controles internos impiden el fraude.
Investigar las actividades de control
Los controles eficaces son esenciales para una organización, pero también deben existir políticas y procedimientos para gestionar los riesgos y alcanzar los objetivos. El control interno abarca actividades como las revisiones del rendimiento, la segregación de funciones y salvaguardias electrónicas como la autenticación de dos factores. Disponer de actividades de control que minimicen el riesgo de fraude y error indica un entorno de control sólido.
Examinar los sistemas de información y comunicación
Las comunicaciones internas de alta calidad son necesarias para respaldar los controles internos. Es esencial revisar los sistemas de información y comunicación de la organización, en particular el sistema de información contable, para garantizar la precisión y eficacia de los informes.
Analizar las actividades de supervisión
Una organización que evalúa periódicamente sus controles internos puede reducir los riesgos hasta un nivel aceptable. La frecuencia y la calidad de las actividades de supervisión determinan la eficacia de una organización en la gestión del riesgo financiero. El seguimiento, la evaluación y las medidas correctoras coherentes de las deficiencias del control interno conducen a un enorme éxito en la gestión de riesgos.
Preguntas frecuentes sobre el control interno
La alta dirección es responsable de establecer y mantener el sistema de control interno. Deben marcar la pauta desde arriba, comunicando la importancia del control interno y estableciendo políticas y procedimientos para hacer frente a los principales riesgos. También deben supervisar el sistema para asegurarse de que funciona según lo previsto y tomar medidas correctivas cuando sea necesario.
Hay casos en los que fallan los controles internos. Uno de los principales motivos es que los empleados no sigan los procedimientos establecidos. La razón puede ser la falta de formación, la incomprensión de los controles internos o la decisión de saltárselos.
Los auditores externos no son responsables de los controles internos. Aunque pueden revisar y evaluar la eficacia de los controles internos de una organización, su principal responsabilidad es emitir una opinión independiente sobre la exactitud de los estados financieros y el cumplimiento de las leyes y reglamentos.
Una de las razones por las que los controles internos no pueden ofrecer una garantía absoluta es que no son infalibles. Los controles internos pueden no abordar los nuevos riesgos y amenazas a medida que surgen. Por ejemplo, las ciberamenazas y las violaciones de datos son riesgos relativamente nuevos que muchos controles internos no abordan.