Cómo auditar el sistema de control interno de una empresa

Un sólido análisis tiene que hacerse bajo un enfoque que arranque de lo general para llegar a lo particular. Los directores deben apoyar el procedimiento
Por iProfesional
IMPUESTOS - 14 de Diciembre, 2007

Decenas de veces nos ha tocado revisar el sistema de control interno de una organización. La primer debilidad de que encontramos es la falta de abordaje en dos niveles: Control interno a nivel entidad y a nivel proceso, transacción y aplicación.

Vamos entonces a explicar para qué se efectúa una evaluación del control interno a nivel entidad  (cuestión que suele faltar en muchos de los casos revisados), las herramientas y metodologí­a utilizada, el alcance y el curso de acción a seguir luego de obtener los resultados que arroja este tipo de evaluación.

Los dos primeros conceptos que destacaremos son los siguientes: Un sólido análisis del control interno debe hacerse utilizando un enfoque basado en el riesgo y bajo la metodologí­a "top down" (de lo general hacia lo particular). No deberí­amos ocuparnos del control interno a nivel proceso, transacción y aplicación si previamente no logramos una acabada comprensión acerca del funcionamiento de los controles internos a nivel entidad.Sabemos que, si bien existen buenas prácticas o marcos de control interno generalmente aceptados, sea cual fuere él método escogido, la estructura de control interno debe adaptarse a las necesidades de cada organización; debe ser considerada como un enfoque integral y completo, e involucrar a todo el personal.

Sin perjuicio de esta afirmación, como principales responsables del control interno, deben estar fuertemente involucrados la dirección general y cada uno de los directores o altos ejecutivos, cuya principal responsabilidad frente al control interno debe ser velar por la eficiencia y eficacia en las operaciones, la confiabilidad en la información, el cumplimiento de leyes y regulaciones y la prevención del fraude.Habiendo comprendido ya que el lugar más lógico para comenzar una evaluación general del control interno es la cúspide de una entidad, seguiremos con algunos conceptos que desagregan más esta importante etapa en este análisis.Esta etapa incluye la revisión de aquellos elementos de los cinco componentes del control interno que tienen un efecto dominante sobre la organización. Estos componentes o "pilares" del control interno, son los siguientes:

El entorno o ambiente de control: marca la forma de comportamiento de una organización, que influye en la conciencia de control de su personal. Es el fundamento o base sobre la cual se  apoyarán los demás componentes del control interno, y provee de disciplina, estructura e integridad.

El entorno de control parte de la premisa que las entidades sometidas a un control eficaz se esfuerzan por tener personal competente e inculcan en toda la organización un sentido de integridad y concientización sobre el control. Por eso expresa también que algunos indicios de un buen ambiente de control pueden ser, entre otros, polí­ticas y procedimientos adecuados y un código de conducta escrito que haga hincapié en los valores compartidos y el trabajo en equipo para conseguir los objetivos de la entidad.Un adecuado ambiente de control se verifica por medio de los siguientes aspectos que deben ser evaluados:

  • Integridad y valores éticos.
  • Compromiso de competencia profesional.
  • Filosofí­a de dirección y el estilo de gestión.
  • Estructura Organizativa.
  • Asignación de autoridad y responsabilidad.
  • Polí­ticas y prácticas de RR.HH.
  • Comité de Dirección – Comité de auditorí­a.

La evaluación del riesgo: es la identificación, el análisis y la toma de decisiones relacionadas con la respuesta a los riesgos  relevantes que corre la organización para el logro de sus objetivos.Las organizaciones deben definir sus objetivos (en todos los niveles), comprender qué podrí­a suceder que impida alcanzar los mismos en forma razonable (a esto le llamamos riesgos) y qué decisiones empresarias deben tomarse para mantener estos riesgos de acuerdo a los requisitos de los accionistas (apetito de riesgo).

Los sistemas de información y comunicación: soportan la base para identificar, capturar e intercambiar información en una forma y perí­odo de tiempo que permita al personal cumplir con sus responsabilidades. Los sistemas de información deben identificar, recopilar y comunicar información pertinente en tiempo y forma tal que permitan cumplir a cada empleado con sus responsabilidades.

Estos sistemas de información deben ser funcionales para el suministro de información que permita dirigir y controlar el negocio en forma adecuada. Asimismo deben permitir manejar no solo datos internos, sino los generados externamente. Debe existir una comunicación  eficaz. Debe fluir en todas las direcciones a través de todos los ámbitos de la organización (de arriba hacia abajo, a la inversa y transversalmente).

La dirección debe comunicar a sus empleados claramente que las responsabilidades de control han de tomarse en serio. Cada empleado deberí­a conocer qué papel juega dentro la organización y dentro del sistema de control interno y cómo las actividades individuales están relacionadas con el trabajo de los demás. Deben disponer de medios para comunicar la información  significativa a los niveles superiores. Debe existir un sistema de comunicación eficaz con terceros (clientes, proveedores, organismos de control y accionistas).Las actividades de control: son las polí­ticas y procedimientos que deben seguirse para tener certeza que las instrucciones de la Dirección orientadas a cumplir sus objetivos se llevan a cabo a nivel operativo. Las actividades de control se distribuyen a lo largo y a lo ancho de la organización, en todos los niveles y funciones. Incluyen un amplio abanico de actividades diversas tales como: aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones de rentabilidad operativa, salvaguarda de activos, segregación de funciones, entre otros.

Este análisis es el más tradicional dentro de las tí­picas evaluaciones del control interno (análisis a nivel operacional).

Monitoreo o supervisión: es un proceso llevado a cabo para verificar la calidad de desempeño del control interno a través del tiempo. Se realiza a través de dos tipos de actividades: supervisión continua (desarrollada por las gerencias y jefaturas como ejercicio habitual de su responsabilidad frente a sus funciones y al control interno), y evaluaciones periódicas puntuales  (principalmente mediante la actuación de la auditorí­a interna, pero también de la externa y otras revisiones dirigidas).

Las deficiencias o debilidades de control interno detectadas deberán ser notificadas a niveles superiores, y la alta dirección deberá estar informada de los hallazgos significativos.La evaluación del control interno a nivel entidad deberí­a llevar a una organización a plantearse las siguientes preguntas clave, para  luego estar en condiciones de darles respuesta:

  • ¿Ha creado la alta dirección de la compañí­a un entorno de control en el que motiva al personal a cumplir con controles en lugar de ignorarlos o burlarlos?
  • ¿Ha implantado la organización los mecanismos de control necesarios para monitorear el sistema y corregir las faltas de cumplimiento?
  • ¿Esos mecanismos están funcionando eficazmente?

De esta manera el análisis propuesto comienza con la evaluación del control interno a nivel entidad, y su interrelación con el resto de la organización; es decir la manera en que desciende el clima de control desde la cima y fluye a través de los canales de información y comunicación a todos los extremos de la compañí­a. Algunas técnicas para efectuar este tipo de evaluaciones son las siguientes, y se pueden utilizar en forma individual o combinadas:

  • Encuestas (pueden ser bajo la metodologí­a de entrevista o de autorrelevamiento; también, dependiendo de diversos aspectos tales  como la experiencia de la organización en este tipo de trabajos, puede convenir hacerla en forma nominada o anónima).
  • Entrevistas dirigidas.
  • Talleres.
  • Análisis del diseño – comparación contra estándares pre- definidos (polí­ticas corporativas o benchmarking).
  • Pruebas de efectividad – testing.

Veamos en forma resumida algunos ejemplos de aspectos que esta clase de análisis del control interno suelen abordar:

  • La organización cuenta con un código de conducta y otras polí­ticas que abordan cuales son sus prácticas aceptables de negocios, el tratamiento de conflicto de intereses y estándares esperados de comportamientos éticos.
  • ¿Estos documentos cubren todas las necesidades de la organización?
  • Forma en que estas polí­ticas mencionadas en el punto anterior son comunicadas tanto con sus empleados, clientes y proveedores.
  • Forma en que los empleados, clientes y proveedores conocen y  aceptan (formalmente y en la práctica) este código de ética y conducta.
  • Los empleados conocen cual debe ser su conducta en caso de tomar conocimiento de comportamientos inadecuados.
  • Los estándares éticos y su importancia es transmitida a los nuevos empleados en el momento de ingresar. De qué manera.
  • Los empleados se conducen de forma ética en su trato con empleados, proveedores, inversores, acreedores, competidores,  reguladores y auditores.
  • En caso que el management tome conocimiento de circunstancias que puedan implicar un desví­o al código de conducta, a las polí­ticas o a los procedimientos de la compañí­a, toma medidas adecuadas y oportunas.
  • El personal tiene competencia y el entrenamiento necesario para las funciones a las que fue asignado.
  • Las descripciones de puesto existen e indican el nivel de supervisión de cada empleado. Las mismas están formalizadas en forma  adecuada.

Resulta sencillo advertir que muchos de estos aspectos son del tipo "blandos", o sea, que su adecuado funcionamiento no solo por medio de las herramientas que hemos citado anteriormente, sino que la  experiencia del evaluador juega un papel fundamental.

De hecho, hacer una analogí­a entre el clima en un determinado lugar y momento, y el ambiente de control resulta muy atinado: ambas son cuestiones que nuestros sentidos perciben. El ambiente de control se siente y se vive dentro de una organización.Para finalizar nos interesarí­a hacer una serie de postulados que sustentan que en un examen de control interno basado en el riesgo, comencemos a analizar, de arriba hacia abajo, el control interno a nivel entidad:

  • El riesgo siempre existe. No es posible eliminarlo (excepto abandonando la actividad riesgosa). De esta  afirmación se desprende que si el riesgo es inherente a toda actividad resulta necesario conocerlo y administrarlo.
  • El propósito de los controles es mantener los riesgos en un nivel aceptable. Y el grado de aceptabilidad es algo  que las organizaciones deben definir dentro de cada tipo de riesgo.
  • El riesgo no es malo en si mismo. "El riesgo es una oportunidad. Es la única alternativa para lograr desarrollo".
  • Lo más importante es conocer el riesgo y decidir en consecuencia. De lo contrario, el riesgo no reconocido es riesgo asumido.
  • No hay que minimizar el riesgo. Hay que optimizarlo.
  • No es lo mismo hacer seguridad que gestionar riesgos.

De esta manera, se eficientizan los procedimientos empresariales.Carlos Rozen, Socio de BDO Becher y Asociados, responsable deAuditorí­a Interna y Mejora de Procesos (Risk Advisory Services).

Te puede interesar

Ver más

Secciones