Sistema de Control Interno

Transcripción

1 Empresas Inarco Sistema de Control Interno Auditoría Interna 2014

2 Objetivo del Sistema El siguiente sistema tiene como propósito establecer la metodología de trabajo a seguir en cada proceso de revisión que realice el Área de Contraloría Interna de las Empresas Inarco incluyendo sus filiales, en adelante organización o compañía, los cuales tienen como finalidad mejorar las actividades de control para lograr alcanzar los objetivos y metas propuestas por la organización de una manera más eficiente. Éste documento ha sido preparado en base al informe de control publicado por el Committee of Sponsoring Organizations of the Treadway Commission, más conocido como COSO, para garantizar la evaluación de control interno dentro de la organización. Es de considerarse que este sistema pretende cubrir los aspectos de mayor relevancia respecto al informe COSO, los cuales son: Ambiente de control, Evaluación de riesgos, Actividades de control, Información y comunicación, Monitoreo (seguimiento). El sistema de Control Interno basado en COSO, debe regirse en términos más simples de acuerdo al siguiente esquema: Por otra parte, es importante destacar que el control interno solo puede aportar un grado de seguridad razonable sobre las actividades realizadas y no una seguridad total, ya que los procesos son ejecutados por personas, las cuales pueden cometer errores ya sea por desconocimientos y/o colusiones. Por lo anterior, es que se debe trabajar en pro al mejoramiento continuo para mitigar de una manera más eficiente los riesgos a los cuales se pueda ver enfrentada la organización. Empresas Inarco Página 2

3 Control Interno en base a sistema COSO Con la finalidad de mejorar las prácticas de control, que permitan salvaguardar de una manera más eficiente los recursos de la organización en el logro de los objetivos propuestos, se establecen ciertos componentes que interrelacionados entre sí minimizan el riesgo de la falla, colusión y/o fraude de las cuales podría ser objeto la compañía. Es importante destacar que estos componentes deben ser conocidos, promovidos y aplicados por todo el personal de la organización, de esta manera se podrá entregar una mayor confiabilidad de la información financiera y de las operaciones en concordancia de leyes y regulaciones que se aplican, como lo son, por ejemplo, legislación tributarias, leyes laborales, ley de responsabilidad penal, normativa de sociedades anónimas, normativas municipales, etc. Sistema de Control Interno Ambiente de Control Evaluación de Riesgos Actividades de Control Información y Comunicación Monitoreo Políticas, sistemas, códigos y reglamentos de control Identificación de Riesgos Evaluación de Riesgos Descripción de cargos y manuales de procedimientos Respuestas a los Riesgos Organigrama institucional Establecimiento de Objetivos Empresas Inarco Página 3

4 A continuación se detallan cada uno de los componentes que deben coexistir para lograr obtener un grado de seguridad razonable en las operaciones del negocio. 1.- Ambiente de control Es la base fundamental donde descansan los demás componentes ya que proporciona disciplina, estructura y cultura organizacional, lo cual permite que los empleados tomen conciencia de los riesgos que se pueden presentar en la organización. Como es claro, el control depende del factor humano, es por esta razón que se deben enfocar los esfuerzos en fortalecer los valores éticos, la integridad y la competencia del personal de la organización. Este componente establece las normas de disciplina y conducta que deben seguir las personas que trabajan en la organización, es por esta razón que se deben definir los perfiles y funciones de los diferentes cargos para asegurar que la persona contratada tenga plena capacidad de desarrollar lo que la organización requiere, lo que permitirá asignar responsabilidades, organizar y promover el desarrollo de los trabajadores. Los instrumentos necesarios para llevar a cabo ésta labor son: Política General De Control y Gestión de Riesgos. Sistema de Gestión de Calidad. Reglamento interno de orden, higiene y seguridad. Código de conducta y ética. Política de Prevención de Delitos (Ley N 20393). Descripción de cargos y manuales de procedimientos que indiquen claramente las autoridades y responsabilidades. Organigrama con una estructura organizacional clara, el cual en la estructura de oficina contenga el nombre del trabajador. Política de denuncias conocida por todos, que informe los canales establecidos para realizar denuncias que ayuden a prevenir y controlar anomalías dentro de la organización. Establecimiento de objetivos La organización debe tener objetivos claros, ya sea por unidad de negocio, área y/o departamento y deben encontrarse alineados con su misión, visión y valores organizacionales, ya que son esenciales para lograr y mantener el éxito, pues establecen un curso a seguir y además permiten asignar recursos, formular estrategias y evaluar los resultados al compararlos con los esperados. Es importante mencionar que los objetivos generan participación, compromiso y motivación, que al ser alcanzados producen satisfacción y crecimiento, es por esta razón que los objetivos deben ser conocidos por todos y transversales en la organización ya que deben ser realistas y alcanzables. 2.- Evaluación de Riesgos La evaluación de riesgos será realizada de acuerdo a una Matriz de Riesgo la cual consiste en la identificación y análisis de los riesgos, internos y externos, asociados a las actividades a realizar por la organización. Para identificar, evaluar y proponer mejoras a los riesgos se debe realizar: Empresas Inarco Página 4

5 2.1 Identificación de riesgos Luego de identificados los riesgos según la matriz mencionada en el punto 2, se podrá definir los riesgos intrínsecos que están asociados con la operación de un área en particular, independiente de quien ejecute la acción, de todos modos hay riesgos que se pueden evaluar en la medida que se consideran los siguientes puntos: Experiencia, comportamiento y capacidades del personal administrativo. Manejo y conocimiento de herramientas de trabajo en oficina (Office, Solomon, Iconstruye, etc.). Actividades rutinarias y no rutinarias. Etapas de aprobación en los diferentes procesos. En el caso de las obras, se debe considerar la magnitud y las condiciones de la obra. 2.2 Evaluación de riesgos Luego de establecer las unidades de negocio, áreas, departamentos y/o procesos que puedan generar un riesgo para la compañía, es necesario evaluar los riesgos e impactos negativos que podrían ocasionar en los estados financieros, debido a las malas prácticas y/o comportamientos por parte del personal que ejecuta los procedimientos. Los riesgos de auditoría serán determinados por el Departamento de Auditoría Interna con la utilización de una matriz de riesgo, la cual, permitirá medir los riesgos en cuatro posibles grados, estos son: Mínimo: es cuando el grupo de las empresas Inarco por situaciones y/o actividades internas y/o externas queda expuesto a un nivel mínimo de vulnerabilidad patrimonial, de imagen o legal. Bajo: es cuando el grupo de las empresas Inarco por situaciones y/o actividades internas y/o externas queda expuesto a un bajo nivel de vulnerabilidad patrimonial, de imagen o legal. Medio: es cuando el grupo de las empresas Inarco por situaciones y/o actividades internas y/o externas queda expuesto a un nivel medio de vulnerabilidad patrimonial, de imagen o legal. Alto: es cuando el grupo de las empresas Inarco por situaciones y/o actividades internas y/o externas queda expuesto a un alto nivel de vulnerabilidad patrimonial, de imagen o legal. Estos grados de riesgos están directamente relacionados a los puntos de consideración en la Evaluación de Riesgo, información que se obtendrá mediante la revisión de los procesos, es decir, el auditor tendrá que entender cómo opera el sistema antes de evaluar su diseño, para esto podrá solicitar reuniones con el personal que interviene y los canales de aprobación, además de la medición de la eficacia con que opera y la interacción con programas o aplicaciones. Esta información podrá ser solicitada y documentada tanto en oficina central como en las obras, según Empresas Inarco Página 5

6 se estime conveniente, de tal manera de entregar respaldo que proporcione una mayor seguridad del trabajo realizado. Además contraloría podrá solicitar evaluaciones o asesorías internas como externas para cuantificar riesgos que estén o no relacionados directamente con procesos operacionales. La documentación necesaria para validar los procesos será directamente relacionado al riesgo de los asuntos, a una mayor cantidad de riesgo mayor será la cantidad de documentación a revisar. De este modo podemos entregar un grado de seguridad razonable que los procesos llevados a cabo en la organización son los óptimos Respuestas a los riesgos El departamento de Auditoría trabajará en base a la documentación recopilada, valorizando las fallas y proporcionando evidencia de auditoría suficiente, oportuna y adecuada con respecto a los diferentes procesos revisados. Se deberán identificar los riesgos y los planes de mitigación propuestos para minimizar al máximo las fallas de los diferentes procesos. Siendo responsabilidad de contraloría llevar algún tipo de control y/o seguimiento de los planes de acción establecidos a las observaciones levantadas. Empresas Inarco Página 6

7 3.- Actividades de Control Una vez identificados los riesgos y propuestas las soluciones, se debe identificar si estas actividades de control son preventivas o correctivas, en ambos casos es necesario establecer la manera en que se llevarán a cabo. Es importante destacar que la organización debe dirigir su actuar en controles preventivos y no correctivos. Sin embargo, en el caso de aplicar un control correctivo es necesario establecer los controles preventivos para evitar que las mismas situaciones o algunas similares ocurran, por lo cual, se deben informar las fallas detectadas y las medidas de control tomadas, que pueden ser por escrito o mediante flujos grama, por el departamento u obra. En este caso, se evaluará junto con éste departamento si es necesaria la participación del Departamento de Auditoría o si dichas medidas son suficientes para el transcurso normal de la operación del negocio. Otro punto importante para este componente es establecer que los controles deben ser conocidos y promovidos por todo el personal de la organización. En el caso de no existir controles asociados a los procesos validados por el departamento, éste deberá proponerlos de acuerdo a los conocimientos de la operación, obra u otro que aplique, probar su efectividad y documentar cada una de las conclusiones que llevan a cabo cada recomendación, de una manera clara y precisa, de tal manera que si alguien quisiera tomar conocimiento de este informe, pueda entender el trabajo realizado y comprender la importancia y riesgos definidos por el Departamento de Auditoría. Siempre la recomendación debe ser entregada por escrito, deberá ser responsabilidad del área involucrada documentar la acción a seguir dentro del Sistema de Gestión de Calidad. 4.- Información y Comunicación Una vez recopilada la información, procesada y establecidas las mejoras propuestas por el Departamento de Auditoría, se presentarán a los responsables de cada área y al Comité de Auditoría el informe vía correo electrónico. El área involucrada en caso de requerirlo, en un plazo no superior a 10 días hábiles puede solicitar una reunión con contraloría, en la cual se discutirá su efectividad y factibilidad, se deberá buscar en conjunto una mejora a los procesos para mitigar los riesgos detectados por éste departamento, en caso de no llegar a consenso y que auditoria mantenga su observación, deberá ser el Comité de Auditoría quien establezca la forma de levantar las observaciones. La respuesta proporcionada por el departamento involucrado no debe superar los 15 días hábiles luego de realizada la recepción del informe o la resolución adoptada por el Comité de Auditoría explicada en el párrafo anterior. Se establece a demás que en caso de ser requerido por el Comité de Auditoría existirán casos en los cuales se exigirán acciones a seguir en forma inmediata o diferida a lo establecido en este sistema. Los planes de acción a tomar por cada departamento deben ser entregados en Proactive, si aplica la magnitud de esta acción, independiente a lo anterior, las acciones a seguir siempre deben ser entregadas por escrito, identificando responsables, plazos y riesgos que mitigan, además, de Empresas Inarco Página 7

8 definir la fecha definitiva en que el control comenzará a regir, de este modo se podrán hacer pruebas de seguimiento y comprobar si las propuestas proporcionan los resultados esperados. Es importante destacar que en caso de ser requerido por el Departamento o el Comité de Auditoría, el informe entregado debe ser confidencial, entendiendo que su difusión puede causar un riesgo mayor para la compañía. 5.- Monitoreo El Departamento de auditoría debe mantener un listado actualizado con el estatus de cada punto levantado en las auditorías realizadas. Una vez que los departamentos involucrados informen la implementación de sus medidas de control, éste departamento evaluará una fecha, no superior a 90 días para realizar pruebas de seguimiento, sin embargo, si las observaciones levantadas lo ameritan, se podrán hacer revisiones aleatorias y sin previo aviso cuando se estime conveniente, en donde se realice un seguimiento de los puntos corregidos para comprobar la efectividad del control. 6.- Vigencia, interpretación y responsabilidad El presente Sistema de Control Interno de Empresas Inarco tendrá vigencia a contar del 1 de Septiembre de 2014 y se presumirá conocido por los Trabajadores y Otros que tengan relación con las empresas INARCO. Cualquier consulta o duda de interpretación de la presente Política, deberá ser dirigido al Auditor Interno de Constructora Inarco S.A. (asangueza@inarco.cl), el que será responsable junto al Comité De Auditoría de determinar el sentido y alcance de las disposiciones en él contenidas. Sera responsabilidad de mantener este Sistema el Auditor Interno de Constructora Inarco S.A. Conclusión El control interno constituye una parte fundamental dentro del sistema de Gestión de la Compañía, ya que de esta manera se puede garantizar un grado de seguridad razonable de las operaciones realizadas, permitiendo identificar riesgos, tratarlos y reducirlos. La evaluación de los procesos e identificación de riesgos va a depender de la Matriz de Riesgo y las auditorías realizadas, ya sea por éste departamento o por cada departamento involucrado y la mitigación del riesgo va a depender directamente del trabajo realizado en equipo que busque una mejora continua aplicándose a los procesos de toda la organización, es importante mencionar que la organización es responsable de mantener controles internos adecuados, los cuales deben ser conocidos y aplicados por todo el personal que en ella ejerza sus funciones. Empresas Inarco Página 8