Res. CGR-1/173/2002 Versión 1: Vigencia 12/2002 CI/10 CONTENIDO Página I. INTRODUCCIÓN...........................................................................................................1 1. CONCEPTUALIZACION DEL CONTROL INTERNO...........................................1 1.1 ¿Qué es el control interno? ............................................................................................1 1.1.1 Definición aplicable a las entidades del Sector Público Boliviano..................................1 1.1.2. Relación de los Principios, Normas Generales y Básicas de Control Interno Gubernamental emitidas por la CGR con la Ley 1178 y su reglamentación....................3 1.1.3. Uniformidad en la conceptualización del control interno a partir del informe COSO...................................................................................................................6 1.1.4. Importancia relativa de los componentes del control interno...........................................8 II. GENERALIDADES......................................................................................................11 1. NECESIDAD DEL CONTROL INTERNO...............................................................11 1.1. ¿Para qué se necesita el control interno?....................................................................11 1.1.1. Expectativas y beneficios de su implantación y funcionamiento eficaz..........................11 1.1.2. Perjuicios generados por un control interno ineficaz.....................................................12 1.1.3. Modificaciones de paradigmas en función al nuevo enfoque del Control Interno.............................................................................................................................14 1.2. ¿Quiénes participan en el control interno?.................................................................17 1.2.1. Roles y responsabilidades implícitas y explícitas...........................................................17 1.2.2 .Influencia de la rotación funcionaria.............................................................................20 2. DISEÑO DEL CONTROL INTERNO.......................................................................22 2.1. Cuáles son los condicionantes del diseño del control interno?..................................22 2.1.1. Influencia del tamaño de la entidad en el diseño del control interno.............................22 2.1.2. Influencia de los cambios estructurales y de los funcionarios públicos.........................23 2.1.3. Naturaleza dinámica de los controles internos...............................................................24 2.1.4. Costo-beneficio de los controles internos.......................................................................24 2.2. ¿Cómo se diseña y formaliza el control interno?........................................................25 2.2.1. Información necesaria para el diseño.............................................................................25 2.2.2. Participación de cada unidad funcional en el diseño de los controles internos ..........................................................................................................................27 2.2.3. Diseño base cero y modificaciones del diseño vigente ..................................................27 2.2.4. Separación de funciones y controles por oposición........................................................29 2.2.5. Interrelación de los sistemas de administración con el control interno.........................30 2.2.6. Formalización del diseño de los sistemas de administración con sus controles incorporados ..................................................................................................32 2.2.7. Incorporación de controles internos a los sistemas operativos......................................33 i CI/10 Versión 1: Vigencia 12/2002 Res. CGR-1/173/2002 2.2.8. Documentación del diseño de los sistemas operativos con sus controles incorporados..................................................................................................................34 2.2.9. Formalización de los componentes del control interno.................................................36 2.2.10 Pruebas de funcionamiento para la adecuación inicial del diseño................................38 3. ESTRATEGIA PARA IMPLANTAR EL CONTROL INTERNO.........................39 3.1. ¿Cuáles son las etapas que se deben cumplir para la implantación?.......................39 3.1.1. Importancia de la secuencia y el cumplimiento de cada etapa......................................39 3.1.2. Comprender la urgencia y la necesidad de implantar el control interno......................40 3.1.3. Formar un grupo que pueda orientar al personal e infuir en su comportamiento..............................................................................................................42 3.1.4. Desarrollar una visión realista sobre el control interno que se debe implantar........................................................................................................................45 3.1.5. Disminuir la resistencia al cambio.................................................................................46 3.1.6. Comunicar, difundir y determinar los agentes participantes.........................................48 3.1.7. Generar capacidad y confianza en los funcionarios para agilizar la implantación...................................................................................................................50 3.1.8. Reconocer y difundir las metas alcanzadas durante el desarrollo de la implantación...................................................................................................................52 3.1.9. Arraigar el proceso implantado en la cultura organizacional.......................................54 III. DESARROLLO DE CADA COMPONENTE...........................................................57 1. AMBIENTE DE CONTROL.......................................................................................57 1.1. ¿Por qué debe existir un ambiente de control adecuado?.........................................57 1.1.1. Concepto y rol del ambiente de control en una organización........................................57 1.2. ¿Cómo se implantan los aspectos que configuran el ambiente de control? .........................................................................................................................59 1.2.1. Exteriorización formal de la filosofía de la dirección....................................................59 1.2.2. Establecimiento y difusión de los principios y valores éticos........................................63 1.2.3. Implicancias de la competencia profesional en el control interno.................................73 1.2.4. Medios generadores de una atmósfera de confianza.....................................................75 1.2.5. Relación de la administración estratégica con el control interno.................................77 1.2.6. Análisis del sistema organizativo a efectos del control interno.....................................78 1.2.7. Asignación de las responsabilidades y los niveles de autoridad....................................82 1.2.8. Determinación de políticas de administración de personal que favorezcan al ambiente de control....................................................................................................83 1.2.9. Respeto por la función de auditoría interna...................................................................86 2. EVALUACIÓN DE RIESGOS...................................................................................88 2.1. ¿Por qué se deben evaluar los riesgos?.......................................................................88 2.1.1. Objetivo de la evaluación de los riesgos........................................................................88 ii Res. CGR-1/173/2002 Versión 1: Vigencia 12/2002 CI/10 2.2. ¿Cómo se determinan y evalúan los riesgos?..............................................................90 2.2.1. Insumos del proceso de evaluación de riesgos ..............................................................90 2.2.2. Instrumentación de los sistemas de alertas tempranos...................................................97 2.2.3. Riesgos que se deben identificar ..................................................................................100 2.2.4. Método para la identificación de los riesgos ...............................................................102 2.2.5. Objetivos y riesgos relacionados con los sistemas operativos y administrativos..............................................................................................................108 2.2.6. Método para el análisis de los riesgos .........................................................................112 2.2.7. Manejo de riesgos en función al nivel de riesgo establecido........................................115 3. ACTIVIDADES DE CONTROL...............................................................................118 3.1. ¿Para qué diseñar actividades de control?................................................................118 3.1.1. Propósito del establecimiento de las actividades de control........................................118 3.2. ¿Cuáles son y cómo se equilibran las actividades de control genéricas?................119 3.2.1. Características principales de las categorías de los controles internos.......................119 3.2.2. Jerarquía de las actividades de control y el equilibrio que debe existir entre ellos...............................................................................................................................126 3.2.3. Relación de las actividades de control con los conceptos de control previo y el control posterior........................................................................................................127 3.3. ¿Cómo se determinan e implantan las actividades de control?..............................129 3.3.1. Identificación de las actividades que necesitan controles claves.................................129 3.3.2. Aplicación del enfoque sistémico para la determinación de las actividades de control......................................................................................................................131 3.3.3. Herramientas de control para asegurar la integridad de los procesos........................132 3.3.4. Relación de los objetivos fuente externos e internos con las actividades de control...........................................................................................................................137 3.3.5. Desarrollo de medidores de rendimiento y su relación con las actividades de control .....................................................................................................................138 3.3.6. Determinación e implantación de las actividades de control para asegurar la eficacia y eficiencia de las operaciones ...................................................................152 3.3.7. Determinación e implantación de las actividades de control para asegurar la confiabilidad de la información financiera .............................................................154 3.3.8. Determinación e implantación de las actividades de control para asegurar el cumplimiento de las disposiciones legales ...............................................................174 3.3.9. Controles generales y de aplicación que deben considerar los sistemas informáticos..................................................................................................................177 4. INFORMACIÓN Y COMUNICACIÓN...................................................................191 4.1. ¿Cómo influye la información y comunicación en el control interno?...................191 4.1.1. Rol del sistema de información en el proceso de control interno.................................191 4.1.2. Rol del sistema de comunicación en el proceso de control interno..............................193 4.1.3. Relación del sistema de información con la respondabilidad.......................................195 iii CI/10 Versión 1: Vigencia 12/2002 Res. CGR-1/173/2002 4.2. ¿Cómo se deben instrumentar los sistemas de información y comunicación a efectos del control interno?............................................................199 4.2.1. Aspectos cualitativos que debe considerar el diseño de los sistemas de información..................................................................................................................199 4.2.2. Estructura del sistema de información.........................................................................201 4.2.3. Relaciones del entorno de la entidad con el sistema de información...........................202 4.2.4. Aspectos cualitativos de la comunicación organizacional...........................................203 4.2.5. Definición de los canales para el proceso de comunicación organizacional..............209 4.2.6. Medios de comunicación interna que se pueden implantar.........................................217 5. SUPERVISIÓN...........................................................................................................223 5.1. ¿Cómo influye la supervisión en la eficacia del control interno?...........................223 5.1.1. Implicancias de la supervisión en el proceso de control interno.................................223 5.1.2. Relación de la supervisión con el control interno y el control externo........................225 5.2. ¿Cómo se debe desarrollar la supervisión?..............................................................226 5.2.1. Responsables del proceso de supervisión.....................................................................226 5.2.2. Características que deben reunir los supervisores......................................................227 5.2.3. Instrumentación de la supervisión continua.................................................................230 5.2.4. Características de las evaluaciones puntuales.............................................................232 5.2.5. Funcionamiento de la unidad de auditoría interna en el proceso de supervisión...................................................................................................................233 5.2.6. Apoyo de la auditoría externa al proceso de supervisión............................................236 5.2.7. Resultados de la supervisión........................................................................................237 6. CALIDAD...................................................................................................................241 6.1. ¿Cómo se relaciona el sistema de gestión de la calidad con el control interno?.......................................................................................................................241 6.1.1. Implicancias de la gestión de calidad respecto del control interno.............................241 6.2. ¿Cómo se instrumenta la Gestión de Calidad?........................................................243 6.2.1. Implantación de la gestión de calidad..........................................................................243 6.2.2. Características del proceso de mejoramiento continuo...............................................247 iv Res. CGR-1/173/2002 Versión 1: Vigencia 12/2002 CI/10 GUÍA PARA LA APLICACIÓN DE LOS PRINCIPIOS, NORMAS GENERALES Y BÁSICAS DE CONTROL INTERNO GUBERNAMENTAL I INTRODUCCIÓN 1. CONCEPTUALIZACION DEL CONTROL INTERNO 1.1. ¿Qué es el control interno? 1.1.1. Definición aplicable a las entidades del Sector Público Boliviano “El Control Interno es un proceso compuesto por una cadena de acciones extendida a todas las actividades inherentes a la gestión, integradas a los procesos básicos de la misma e incorporadas a la infraestructura de la organización, bajo la responsabilidad de su consejo de administración y su máximo ejecutivo, llevado a cabo por éstos y por todo el personal de la misma, diseñado con el objeto de limitar los riesgos internos y externos que afectan las actividades de la organización, proporcionando un grado de seguridad razonable en el cumplimiento de los objetivos de eficacia y eficiencia de las operaciones, de confiabilidad de la información financiera y de cumplimiento de las leyes, reglamentos y políticas, así como las iniciativas de calidad establecidas.” El control interno es un proceso que está integrado a las actividades administrativas y operativas de cada organización. Esta característica fundamental de considerar al control interno como un proceso integrado implica que éste no tiene un fin en sí mismo sino que constituye un medio, una metodología sistémica, que procura con un grado de seguridad razonable, el logro de los objetivos institucionales que se pueden agrupar en alguna de las siguientes categorías: - Eficacia y eficiencia de las operaciones - Confiabilidad de la información financiera - Cumplimiento de leyes, reglamentos y políticas. Bajo esta concepción, se infiere la necesidad de implantar el control interno, más allá de los requerimientos normativos, por la naturaleza del mismo. Dicha naturaleza ha transformado al control interno en un complemento indispensable de los sistemas administrativos y operativos para alcanzar sus objetivos particulares. Por cierto, el control interno no debe ser considerado como una carga burocrática y añadida, sino como un perfeccionamiento del accionar de las entidades a través del aseguramiento de la calidad de sus actividades y operaciones. 1/249 CI/10 Versión 1: Vigencia 12/2002 Res. CGR-1/173/2002 Es importante resaltar la participación integral del personal de la entidad en el proceso de control interno, ningún funcionario está exento. Cada entidad debe comprender esta necesidad y generar un compromiso corporativo en este sentido. Adicionalmente, la participación aludida se deriva de las correspondientes responsabilidades que cada funcionario asume frente al control interno. Las responsabilidades son mayores a medida que se asciende en la escala jerárquica, por esta razón, al máximo ejecutivo de la entidad le corresponde la máxima responsabilidad sobre la implantación y funcionamiento del control interno. Como es de conocimiento general, dicha responsabilidad no se delega. No obstante, la delegación de funciones dentro de una administración, es la forma tradicional de responsabilizar a los niveles inferiores sobre los resultados de sus actos. El control interno por sí mismo no puede garantizar el logro de los objetivos institucionales; no obstante su funcionamiento eficaz coadyuva a alcanzarlos; vale decir, que puede suceder que la entidad no alcance sus objetivos operacionales a pesar de contar con un control interno efectivo. Esto se debe a que existen factores externos que afectan objetivos cuantitativos como la demanda de productos y servicios que están fuera del control de la entidad y son de difícil anticipación o previsión administrativa. Por otra parte, existen situaciones internas que también, imposibilitan aseverar que el control interno proporcione seguridad absoluta sobre el logro de cualquier categoría de objetivos. Entre estas situaciones se encuentran los posibles errores humanos en las decisiones o en la aplicación de los controles, el equilibrio de la relación costo-beneficio que puede dejar algunos riesgos residuales sin controlar. Asimismo, las irregularidades producidas por colusión o confabulación entre funcionarios y el ejercicio indebido del poder pueden eludir los controles internos establecidos. En cuanto a la eficacia del control interno, se debe manifestar que este proceso continuo puede operar en forma diferente en tiempos diferentes. Esto significa, que la eficacia del control interno, es una condición particular en un momento determinado y se deriva de la calidad de su funcionamiento real comprobada mediante una evaluación específica. Cuando un sistema de control interno alcanza una calidad razonable, puede ser considerado “efectivo”. Se dice que el control interno es efectivo cuando incluye las defensas necesarias para la protección de los riesgos conocidos o potenciales y, de esta manera, permite el logro de los objetivos institucionales porque actúa en forma inmediata accionando preventiva o detectivamente a través de la información transmitida por los medios de comunicación adecuados. Asimismo, este proceso de control debe tener el suficiente seguimiento para conocer oportunamente las deficiencias de su funcionamiento, detectar nuevos riesgos y procurar la minimización de los riesgos conocidos. 2/249 Res. CGR-1/173/2002 Versión 1: Vigencia 12/2002 CI/10 En conclusión, el control interno puede ser juzgado como efectivo si el órgano colegiado (si existiere) y su máximo ejecutivo tienen una seguridad razonable de los siguientes aspectos: - Se conoce el grado en que los objetivos y metas de las operaciones de la entidad están siendo alcanzados (Objetivos de operación). - Se elaboran estados financieros confiables a partir de la utilización de información confiable (Objetivos de información financiera). - Se están respetando las leyes y los reglamentos aplicables (Objetivos de cumplimiento). 1.1.2. Relación de los Principios, Normas Generales y Básicas de Control Interno Gubernamental emitidas por la CGR con la Ley 1178 y su reglamentación El artículo 23º de la Ley 1178 faculta a la CGR a emitir las normas básicas de control interno. En ejercicio de esta atribución se han emitido los Principios, Normas Generales y Básicas de Control Interno Gubernamental aprobadas por Res.CGR-1/070/2000 del 21/09/2000 con vigencia a partir del 01/01/2001. El artículo 18º del Reglamento aprobado por D.S. Nº 23215 establece que “Las normas básicas de control gubernamental interno son emitidas por la CGR, forman parte integral del control gubernamental y son normas generales de carácter principista que definen el nivel de calidad mínimo para desarrollar adecuadamente las políticas, los programas, la organización, la administración y el control de las operaciones de las entidades públicas. Dichas normas deben ser tenidas en cuenta por el Órgano Rector de los Sistemas de Administración en el diseño y desarrollo de los mismos y por las entidades públicas en la elaboración de la normatividad secundaria.” De los artículos antes mencionados se deduce que a partir del 01/01/2001 y en virtud del carácter principista aludido, los reglamentos específicos y el Manual de Organización y Funciones; como así también, el Manual de Procesos, que elaboren las entidades públicas con fundamento en las normas básicas de los sistemas de administración, deberán considerar los “Principios, Normas Generales y Básicas de Control Interno Gubernamental” emitidos por la CGR. Del mismo modo, el Ministerio de Hacienda deberá considerar dicha normatividad cuando actualice las normas básicas para el diseño y desarrollo sobre los sistemas de administración que están bajo su competencia. Particularmente, las entidades públicas deberán “tener en cuenta” las normas de control interno y adaptarlas a sus actividades y estructura organizativa. La consideración de las normas de control por las entidades públicas significa que los procedimientos de control previo y posterior deben ser incorporados en la normatividad secundaria correspondiente a los sistemas de administración. En 3/249