iProfesionaliProfesional

Cómo rediseñar el control interno de las empresas

Ante el marco impuesto por las normas contables Sarbanes Oxley, las compañí­as alcanzadas deben implementar una estructura propia que optimice la tarea
iProfesional | Impuestos |
Por iProfesional
09/01/2008 - 10:58hs
Cómo rediseñar el control interno de las empresas

Desde junio de 2002, con la sanción de las normas contables Sarbanes Oxley (SOX) y de otras leyes similares en todo el mundo, las compañí­as que cotizan en las principales bolsas, están preocupadas por la operatividad de su sistema de control interno.

Hace muy pocos meses, la Bolsa de Comercio estadounidense (SEC), organismo de contralor de las compañí­as que hacen oferta pública de sus acciones lanzó la "guí­a para el management" a fin de facilitar el cumplimiento de la sección 404 de las SOX.

Sabemos que el standard de control interno más utilizado por las compañí­as en todo el mundo (COSO) proporciona el criterio para un control interno efectivo. Sin perjuicio de ello, la guí­a de la SEC pone foco en la forma de efectuar un análisis del control interno sobre el reporte financiero.

El nuevo standard está organizado contemplando los siguientes grandes temas:

  • Cómo identificar los riesgos asociados al reporte financiero.
  • Cómo identificar los controles que tratan en forma adecuada los riesgos detectados que están asociados al reporte financiero.
  • Cómo evaluar la evidencia de que los controles identificados están operando en forma efectiva.
  • Cómo reportar los resultados sobre la evaluación del management sobre el funcionamiento integral de su sistema de control interno.

Hasta el nuevo standard, el foco en el cumplimiento de la sección 404 apuntaba a la eficacia en el cumplimiento. O sea que el cumplimiento sin reporte de debilidades materiales a la sociedad era un objetivo en si mismo.

Podemos, con una mirada general, resumir nuestra visión basada en la experiencia en trabajos efectivamente realizados, y mencionar que hasta la fecha las compañí­as presentaban las siguientes caracterí­sticas comunes:

  • Focalización en el resultado del reporte (eficacia), más que en el proceso y los recursos invertidos hasta llegar a dicho resultado (eficiencia).
  • Falta de alineación en las estrategias de cumplimiento del management con la del auditor externo.
  • Insuficiencia de tiempo dedicada al mejoramiento del sistema de control interno por parte de la lí­nea.
  • Excesiva cantidad de controles, o bien, falta de racionalización en la selección de los mismos.
  • Excesiva asignación de recursos para el análisis de diseño y testeo de efectividad de los controles.
  • Falta de coordinación y armonización de esfuerzos entre todos los participantes involucrados en el cumplimiento.

En este orden de cosas, las compañí­as que ya han tenido experiencia en reportar en forma positiva y sin salvedades el estado de sus controles, están comenzando a poner el foco en la eficiencia, para lo cual el nuevo standard de cumplimiento de la SEC llega en un momento muy oportuno.

El nuevo paradigma de cumplimiento deberí­a estar basado en la flexibilidad del management en cumplir con los requerimientos de esta sección de la ley. Para cumplir con esta premisa el management deberí­a comenzar el abordaje de arriba hacia abajo basado en el riesgo al analizar los controles internos.

Esto es un avance muy positivo, ya que el management puede adaptar el enfoque de cumplimiento a una realidad que en teorí­a resulta conocida, pero en la práctica no tan aplicada: los controles deben ser analizados y probados con mayor énfasis mientras mayor sea el riesgo que están intentando mitigar.

En cuanto al enfoque de arriab hacia abajo, no hay otra forma más efectiva de abordar el análisis que comenzando por los "controles a nivel entidad". La compañí­a no deberí­a ocuparse del control interno a nivel proceso, transacción y aplicación si previamente no logró una acabada comprensión acerca del funcionamiento de los controles internos a nivel entidad.

De esta manera el análisis propuesto comienza con la evaluación del control interno a nivel entidad, y su interrelación con el resto de la organización; es decir la manera en que desciende el clima de control desde la cima y fluye a través de los canales de información y comunicación, por todos los rincones de la compañí­a.

La guí­a para el management de la SEC provee una buena orientación para diseñar un proceso 404 más eficiente, pero carece de instrucciones detalladas. Ante esta deficiencia, la empresa deberí­a diseñar su propio programa basado en dicha guí­a, para lo cual podrí­a utilizar 3 importantes elementos o herramientas:

  • Toda su experiencia acumulada a lo largo de los primeros años de cumplimiento.
  • La propia guí­a de cumplimiento emitida por la SEC.
  • Mejores prácticas o benchmarking.

Control interno instantáneo

Como reaseguro de un cumplimiento sin salvedades, muchas compañí­as no pusieron énfasis en limitar su trabajo sobre las actividades de control más relevantes y terminaron implementando programas que van más lejos de lo necesario. Por lo tanto, las compañí­as ahora deben aplicar un enfoque de racionalización de los controles.

El control interno instantáneo pretende comenzar a transitar un camino mediante el cual la sección 404 de la ley SOX deje de ser una carga tan costosa, que insume recursos de todo tipo y que sus beneficios comiencen a materializarse ví­a mejoras evidentes.

Esta metodologí­a surge como respuesta a la necesidad de acelerar y eficientizar el enfoque de acuerdo con los lineamientos de la nueva guí­a SEC y las buenas prácticas de control interno, y se basa en un modelo apoyado en cuatro pilares:

  • Comprensión: en esta fase la compañí­a deberá tomar total conocimiento de la situación actual. Deberá tener la capacidad de "mirar su sistema de control interno objetivamente".
  • Racionalización: esta fase equivale a un "rediseño". Se redefine cómo deberí­an ser los controles.
  • Implementación: debe realizarse en en forma cuidadosa para asegurar que todo funcione tal como fue concebido
  • Monitoreo: se basa en incorporar las buenas prácticas de control para asegurar que existan adecuados y efectivos mecanismos de supervisión continuada por parte del management en todos sus niveles.

De esta manera, llegó el tiempo para que las compañí­as desafien los paradigmas de control que habí­an autodiseñado, o bien tomado de su auditor externo. Deberán diseñar una estrategia propia que sea la más conveniente para la Organización y alinear la propia estrategia con las revisiones de auditorí­a externa. En sí­ntesis, es tiempo de comenzar a ser más eficientes y a sacarle jugo a la implementación del control interno sobre el reporte financiero.Carlos Fernando Rozen

Socio de BDO Becher y Asociados Argentina