Compendio de Normas que regulan a las Cajas de Compensación de Asignación Familiar
5.2.3.4 Actividades de control
5 LIBRO V. ASPECTOS OPERACIONALES Y ADMINISTRATIVOS
5.2 TÍTULO II: CONTROL INTERNO
5.2.3 EL SISTEMA DE CONTROL INTERNO
5.2.3.4 Actividades de control
5.2.3.4 Actividades de control
Las Cajas deben llevar a cabo actividades de control que les permitan asegurar el cumplimiento de las directrices administrativas de control de los riesgos, de modo de adoptar las acciones mitigadoras que se estimen necesarias. Estas medidas deben ser acordes o complementarias a las actividades definidas a partir de las políticas de riesgo declaradas por la entidad.
Respecto de lo anteriormente expuesto, cabe señalar que cada actividad de control se debe diseñar con el fin de cumplir con un objetivo de control específico. Algunos ejemplos de objetivos de control son los siguientes:
-
Documentación de los procesos: existencia de los procesos documentados, incorporando las actividades de control en los mismos.
-
Documentación relacionada: en caso de que el procedimiento lo indique, debe existir integridad y la totalidad de la documentación y evidencias requeridas en los documentos asociados al proceso.
-
Existencia/VaIidación: sólo se deben procesar transacciones válidas, documentadas y debidamente autorizadas.
-
Ocurrencia: sólo las transacciones que ocurrieron en un determinado período son procesadas (cortes documentales).
-
Integridad: todas las transacciones que deben ser procesadas, Io son en tiempo y forma.
-
Validación de cálculos: los saldos se evalúan con procedimientos adecuados y se verifica que los cálculos aplicados son correctos.
-
Sistemas de información y datos: Estos se encuentren íntegros, validados y que reflejen fielmente la realidad.
-
Activos y Pasivos: la entidad tiene derechos efectivos sobre los activos, y los pasivos deben representar adecuadamente las obligaciones de la entidad.
-
Clasificación y presentación: los componentes de los estados financieros deben ser apropiadamente clasificados.
-
Razonabilidad: los resultados y/o saldos aparecen como razonables en relación con el resto de la información y las tendencias históricas de la organización.
En cuanto a las actividades de control, cabe señalar que ellas se deben realizar en todos los niveles jerárquicos de la Caja y necesariamente en todas aquellas funciones y actividades que conlleven un riesgo.
Las actividades de control pueden corresponder, a Io menos, a las siguientes:
5.2.3.4 Actividades de control
5.2.3.4.1 Tipos de Controles
5.2.3.4.1 Tipos de Controles
Se deben aplicar diversos tipos de controles a las actividades de los procesos, como, por ejemplo, los controles preventivos, concurrentes o de retroalimentación, contemplando en dichos controles la totalidad, integridad y el correcto registro de datos, que permitan verificar que los resultados de los procesos sean efectivos y eficientes.
5.2.3.4.2 Segregación funcional de tareas y responsabilidades
5.2.3.4.2 Segregación funcional de tareas y responsabilidades
Las tareas y responsabilidades esenciales relativas a la autorización, ejecución, registro, custodia y revisión de las transacciones y operaciones de la entidad deben ser asignadas velando que no se generen conflictos entre ejecución y control.
5.2.3.4.3 Registro oportuno y adecuado de las transacciones y operaciones
5.2.3.4.3 Registro oportuno y adecuado de las transacciones y operaciones
Las transacciones y operaciones que afectan a una entidad deben registrarse inmediatamente y ser debidamente clasificadas, así como sus controles y evaluaciones.
5.2.3.4.4 Requerimiento de respaldos contables y su disponibilidad
5.2.3.4.4 Requerimiento de respaldos contables y su disponibilidad
Los registros contables deben quedar respaldados con la documentación de soporte respectiva según los plazos establecidos en la legislación vigente. Esta documentación tiene que quedar adecuadamente disponible para permitir y facilitar las revisiones internas y externas, incluidas la revisión de esta Superintendencia. El acceso a estos respaldos no debe depender de la presencia o ausencia de las personas, ni de los servicios de custodia y almacenaje contratados para ello, incorporando los mismos a los Sistemas de Seguridad de la Información implementados.
5.2.3.4.5 Niveles definidos de autorización
5.2.3.4.5 Niveles definidos de autorización
Los actos y transacciones relevantes sólo pueden ser autorizados y ejecutados por trabajadores que actúen dentro del ámbito de su autoridad, establecida en su perfil de cargo y su perfil sistémico. La conformidad de las autorizaciones y poderes deben estar en línea con la dirección, misión, estrategia, planes, programas y presupuesto de cada Caja.
Las autorizaciones y poderes otorgados en cada Caja deben encontrarse documentados formalmente y ser comunicados explícitamente tanto al directorio como a las personas o sectores autorizados. Estos últimos deben ejecutar las tareas que se les han asignado, en apego a las directrices definidas y dentro del ámbito de competencias establecidas por la normativa existente.
5.2.3.4.6 Acceso restringido a los recursos, activos y registros
5.2.3.4.6 Acceso restringido a los recursos, activos y registros
Las Cajas deben proteger y limitar el acceso a los recursos, activos, registros y comprobantes. Las personas autorizadas para acceder a estos datos, deben tener accesos registrados y tener controles de acceso a la información en custodia además de registros de su utilización.
Todo activo de valor o de información debe ser asignado a un responsable por su custodia y es responsabilidad de la administración superior velar porque se cuente con adecuadas protecciones, mediante el uso de seguros, almacenaje, sistemas de alarma, claves de acceso, sistemas de respaldo, etc., en base al cumplimiento de la seguridad de la información, complementario a la Gestión del Riesgo Operacional.
Los activos deben estar debidamente registrados y periódicamente, sin previo aviso, se deben cotejar las existencias físicas con los registros contables para verificar su coincidencia. La frecuencia de la comparación debe ser definida por la alta administración, dependiendo del nivel de vulnerabilidad del activo.
5.2.3.4.7 Personal clave en determinadas funciones
5.2.3.4.7 Personal clave en determinadas funciones
Ningún trabajador debiera tener a su cargo, como única función, tareas críticas que presenten un alto potencial de llegar a cometer irregularidades, materialización de riesgos operacionales o que potencialmente presenten riesgos al sistema de control interno o continuidad operativa de la Caja de Compensación. Los trabajadores a cargo de dichas tareas deben tener respaldos en otros trabajadores. La administración superior de cada Caja debe velar por establecer medidas mitigadoras suficientes cuando lo anterior no pueda cumplirse.
5.2.3.4.8 Revisiones gerenciales
5.2.3.4.8 Revisiones gerenciales
La Gerencia General de la Caja debe controlar periódicamente el desempeño de las diversas áreas funcionales de la misma, por la vía de la revisión de la trazabilidad de indicadores de desempeño, de riesgo y de controles en los procesos. Se deben diferenciar claramente los indicadores de riesgo de los indicadores de gestión y esta información debe ser complementada con otros aspectos de evaluación. Los resultados de dichas revisiones deben ser informadas al directorio.
Asimismo, el directorio debe controlar el rendimiento, comparando la evolución de la entidad y su desempeño, incorporando el análisis de las desviaciones en los planes estratégicos, presupuestos, la comparación con el resultado de años anteriores y con el mercado.
5.2.3.4.9 Control de los Sistemas de Información
5.2.3.4.9 Control de los Sistemas de Información
Los controles a los sistemas de información y los sistemas de seguridad de la información deben estar referidos a los controles de los riesgos identificados en las actividades sistémicas, esto es, controles sobre las operaciones ejecutadas en los sistemas, en los centros de procesamientos de datos, de arquitectura de los sistemas, integridad de los datos, sobre la seguridad física y lógica de los datos, la ejecución y/o contratación y mantenimiento del hardware y software, perfiles de acceso, controles de acceso físico y lógico a instalaciones o sistemas y controles sobre desarrollo, mantenimiento e implementación y aseguramiento de la calidad de los sistemas informáticos y de aplicaciones.
Se encuentran dentro de esta categoría de controles los procesos de respaldo de datos y recuperación de caídas de los sistemas informáticos, contemplados en los respectivos planes de continuidad operativa. Esos controles deben ser aplicados a toda la tecnología crítica incluyendo, al menos, los sistemas principales, servidores, bases de datos, almacenamiento de datos, redes de comunicación, enlaces de datos y voz y computadores personales.
También deben considerarse controles de aplicación en los procesos que conllevan riesgos significativos, contribuyendo con ello al aseguramiento de la integridad y exactitud de tales procesos, prestando especial atención a las interfaces y relación entre sistemas y aplicaciones. Los controles de aplicación se deben extender también a las aplicaciones de usuarios finales relacionadas eventualmente a riesgos en los ámbitos de control interno.
5.2.3.4.10 Control Interno de la gestión contable
5.2.3.4.10 Control Interno de la gestión contable
Las Cajas deben mantener un sistema de gestión contable que refleje de forma clara y fehaciente su situación económica y financiera.
Para lo anterior, cada Caja debe incorporar a su Sistema de Control interno todos los procesos y operaciones realizadas por gestión contable, tesorería y sus unidades relacionadas, internas o externas.
Asimismo, dichas unidades deben implementar procedimientos y medidas de control para que la contabilidad se encuentre debidamente registrada y asegurar que se apliquen las respectivas medidas de conciliación de la información, realizar pruebas de calidad de datos y documentar aquellas partidas que así Io requieran.
Además, cada Caja debe disponer de un Manual de Cuentas actualizado y aprobado para cada una de las cuentas que conforman el sistema contable de la misma, en donde se detallen los conceptos por los cuales se efectúan abonos y cargos, a la vez que se indique el ítem del Formato Único de Presentación de Estados Financieros (F.U.P.E.F) donde se registran.
5.2.3.4.11 La Gestión de los Procesos y el Control Interno
5.2.3.4.11 La Gestión de los Procesos y el Control Interno
Las herramientas de control interno, esto es, los organigramas funcionales, la descripción de funciones, los manuales de operaciones, de procedimientos y sus controles, análisis de riesgos y evaluación de controles, deben estar documentados y disponibles para el personal encargado de las respectivas operaciones. Tal documentación, respectivamente aprobada y actualizada por sus respectivos dueños de procesos y la unidad encargada de la gestión de los procesos, debe estar también disponible para esta Superintendencia.
Los procesos a seguir en las rutinas administrativas deben estar descritos en documentos denominados Manuales de Procedimientos. Además, deben identificarse los cargos responsables de las decisiones y tareas asumidas en los procesos que se describan, incorporando también las actividades sistémicas, de control y de apoyo, tanto como las desarrolladas por la Caja de Compensación, como aquellas actividades externalizadas.
Los manuales deben ser coherentes con la normativa vigente, y con las estrategias y las políticas internas de la Caja, además de observar los principios de riesgos y de control interno, como la definición de los niveles jerárquicos, las responsabilidades de las personas que intervienen en las actividades y la segregación de funciones.
Dichos manuales deben ser codificados, dados a conocer y estar disponibles para todos los encargados de la ejecución de las actividades y procesos, y deben ser objeto de actualización permanente. Se debe además obtener confirmación de la recepción de éstos por parte de los destinatarios, incluidos los trabajadores que se van integrando a la Caja, en los procesos de inducción, según especialidad y procesos.
En la elaboración se deben contemplar, al menos, las siguientes líneas de negocio y/o procesos, considerando todas sus actividades componentes, ya sean éstos del tipo estratégico, relacionados a las líneas de negocios, o de apoyo:
-
Subsidio Maternal.
-
Asignación Familiar.
-
Prestaciones Adicionales.
-
Prestaciones Complementarias.
-
Crédito Social de Consumo - Microempresario - Educacional e Hipotecario.
-
Cuentas de ahorro metódico y voluntario.
-
Subsidio de Cesantía.
-
Subsidio de Incapacidad Laboral.
-
Captación y mantención de afiliados.
-
Operaciones y relación con empresas filiales.
-
Operaciones y relación con empresas proveedoras de servicios.
-
Otros servicios prestados por las Cajas, distintos a los anteriores.
Los manuales de procesos deben incluir las actividades de control insertas en sus actividades. Asimismo, deben ser objeto de una evaluación anual formal de su vigencia, por parte de los respectivos dueños de procesos con el fin de confirmar esto y que describan el proceso vigente.
La reevaluación periódica de los riesgos inherentes y residuales de estos procesos, con el fin de examinar la efectividad de los controles, debe ser realizada acorde a las normas impartidas por esta Superintendencia.