Los controles a nivel de entidad son controles de alto nivel diseñados e implementados por la dirección y aprobados por el consejo de administración de la organización. Los controles a nivel de entidad protegen a toda la organización y son omnipresentes en comparación con los controles internos diseñados para cualquier departamento o función específica, como finanzas, marketing, fabricación, ventas, investigación y desarrollo.
¿Qué son los controles a nivel de entidad?
Los controles a nivel de entidad sirven como controles primordiales y tienen como objetivo supervisar las políticas y directivas establecidas por la dirección sobre toda la organización que se aplican y se hacen cumplir a todos los niveles por los empleados y el personal. Los controles a nivel de entidad, al ser el nivel más alto de los controles, afectan a procesos más amplios y al público.
La cultura y los valores corporativos de una organización se desarrollan y mantienen mediante la aplicación de controles a nivel de entidad. Los controles a nivel de entidad afectan a la forma en que los empleados y el personal desempeñan sus funciones y responsabilidades.
El desarrollo y la implementación de controles a nivel de entidad es un componente clave en el sistema general de control interno de cualquier organización. Los controles a nivel de entidad ayudan a establecer el tono general en la cima de la organización y proporcionan una base sólida para los controles de actividades de nivel inferior. Los cinco componentes de los controles internos -entorno de control, evaluación de riesgos, actividades de control, comunicación e información y seguimiento- se aplican eficazmente si los controles a nivel de la entidad son sólidos y se aplican adecuadamente.
Ejemplos de controles a nivel de entidad
Vamos a discutir algunos ejemplos comunes y las mejores prácticas de los controles a nivel de entidad.
Código de conducta
Las organizaciones definen y documentan el código de conducta de la empresa para la dirección y los empleados. Este código de conducta incluye principios y comportamientos éticos que se esperan de todos los empleados de la organización. El código de conducta se difunde entre los empleados para que lo revisen y lo acepten. Normalmente, el departamento de recursos humanos distribuye un código de conducta al comienzo de cada ejercicio. Los empleados deben leer, comprender y cumplir los principios establecidos en el código de conducta.
Gobierno corporativo
Los miembros del consejo de administración y la alta dirección de la organización gobiernan el negocio y las operaciones. El consejo de administración establece la dirección de la organización y la alta dirección la pone en práctica para alcanzar las metas y objetivos empresariales. El consejo revisa periódicamente el rendimiento de la dirección y le da las instrucciones necesarias para apoyarla en el proceso de consecución de metas y objetivos.
El consejo de administración revisa el rendimiento cada trimestre repasando los estados financieros de la empresa, los problemas significativos de auditoría interna, los incumplimientos importantes y los incidentes de pérdidas ocurridos durante un periodo. La dirección facilita periódicamente esta información a los miembros del consejo de administración.
Declaración de conflicto de intereses
La elaboración de una declaración de conflicto de intereses es un control a nivel de la entidad, y su cumplimiento es la aplicación de dicha declaración. Los miembros del consejo de administración y los directivos están obligados a revelar anualmente sus posibles conflictos. El departamento de recursos humanos de la organización distribuye estas declaraciones al consejo de administración y a la dirección con fines informativos. Todos los miembros del consejo de administración y del equipo directivo están obligados a responder a dicha declaración de conflicto de intereses.
Política de denuncia de irregularidades
Disponer de una política de denuncia de irregularidades es un control a nivel de la entidad en el que se anima a los empleados a informar de las transacciones y actividades sospechosas a la alta dirección sin miedo a perder su trabajo. Las políticas de denuncia de irregularidades dan confianza a los empleados de que pueden informar de cualquier práctica no deseada o poco ética a las autoridades superiores de la organización.
Función de auditoría interna
El establecimiento de una función de auditoría interna específica forma parte de la implantación de controles a nivel de entidad en la organización.
La función de auditoría interna está dirigida por un auditor interno jefe que depende directamente del consejo de administración. Los auditores internos son independientes de las actividades de la dirección y tienen una línea de información directa con los encargados de la gobernanza. La contratación y la fijación de las prestaciones del auditor interno jefe son realizadas por los miembros del comité de auditoría del consejo.
Tecnología de la información (TI)
El uso de la tecnología de la información para ejecutar y automatizar los procesos empresariales es otro elemento de control a nivel de entidad. El uso de las tecnologías de la información permite generar y compartir informes operativos periódicos para el consejo de administración y la dirección. El uso de la informática es:
- Aplicar medidas de seguridad para gestionar los riesgos relacionados con las redes informáticas, los servicios de red, las aplicaciones empresariales y las bases de datos;
- Garantizar que los usuarios y las partes externas acceden a las instalaciones de TI y a los activos de información, los gestionan y los procesan en un entorno controlado.
- Garantizar que todos los usuarios, proveedores y vendedores de TI sean conscientes de sus responsabilidades en materia de seguridad de la información.
Rendición de cuentas
Como parte de los controles a nivel de entidad, la dirección desarrolla e implementa procesos en los que todos los empleados son responsables de los actos erróneos que se realizan en la organización. El plan de acción disciplinaria es elaborado por la dirección para responder a los actos ilícitos de los empleados o del personal. Este plan de acción disciplinaria se aplica a través del departamento de recursos humanos de la organización.
Empleados y personal competente y con experiencia
Una organización contrata a profesionales competentes y experimentados para llevar a cabo actividades empresariales y operativas. La contratación de empleados y personal competente y con experiencia es un ejemplo de la aplicación del control a nivel de entidad. La contratación de este tipo de empleados y personal permite un funcionamiento eficaz y eficiente de los asuntos de la empresa.
Evaluación de los controles a nivel de entidad
Cuando una empresa considera la posibilidad de subcontratar operaciones a una organización de servicios, como el procesamiento de nóminas y beneficios o el alojamiento de TI y los servicios gestionados, una evaluación de los controles a nivel de entidad, así como los controles de procesamiento de operaciones, forma parte del proceso de toma de decisiones.
Una vez contratada, la empresa analiza los controles de la organización de servicios en relación con sus propias operaciones y controles, considera el impacto en las operaciones internas de la empresa y modifica su estructura de control según sea necesario. Esto se hace para garantizar que se alcanza el nivel de control global adecuado y que se aplican todos los procesos y controles necesarios para el correcto funcionamiento de las actividades subcontratadas.
Reflexiones finales
Los controles a nivel de entidad deben existir y aplicarse para que una organización funcione correctamente. Establecen las bases del funcionamiento diario de la organización (empleados y procesos), así como del modo en que se percibe la organización y se interactúa con las partes interesadas externas. Los controles a nivel de entidad también son un componente importante de una auditoría porque evalúan el tono general en la cima de la organización que se audita y sirven de base para los controles operativos de nivel inferior. Para proporcionar un entorno de control globalmente sólido, deben aplicarse los cinco componentes: entorno de control, evaluación de riesgos, supervisión, comunicación e información, y actividades de control.