Control Interno: una noción por aprender y comprender

Es común que en una organización cuando se habla de gestión de riesgos, se oye hablar de control interno, como una herramienta inherente a esta gestión. No en todas las empresas se aplica este control o en su defecto el concepto que se maneje de ello varía en su aplicación.

El concepto de control interno es una noción que no ha sido fácil de definir, existiendo normas que obliguen su realización, pues siempre ha existido –y existe- controversia al respecto. Y si hablamos de control interno permanente, resulta aún más misterioso para la mayoría.

Para tener una idea básica de control interno, en una organización se debe tener las cosas y situaciones bajo control. En un sentido tradicional, el control interno es un conjunto de dispositivos destinados a proteger los activos y la calidad de información de una entidad, a fin de favorecer la mejora continua.

En un concepto más moderno en base a COSO (siglas en inglés), Comisión presidida por el senador Treadway, constituida por un gremio de contadores, auditores internos y gerentes financieros, en 1992 publicó un documento llamado ‘Control Interno – Marco Integrado’. Debido a la gran aceptación del sector, el Informe de COSO se ha convertido en un estándar de referencia.

Siguiendo la acepción de COSO, el control interno es un proceso que involucra a todos los integrantes de la organización sin excepción, estructurado para identificar eventos  potenciales que pueden afectar a la identidad y proveer seguridad en cuanto a la eficacia y eficiencia de las operaciones, fiabilidad de la información financiera y el cumplimiento de las leyes y normas que son aplicables.

En el 2004, se publica una segunda versión del informe de control interno, conocido mundialmente como COSO II, llamado “Riesgos Corporativos – Marco Integrado”, famoso por sus siglas en inglés ERM (Enterprise Risk Management). Lo que aquí se ha acuñado la expresión “Gestión Integral de riesgos – GIR”, de concepto vasto pero se apoya fuertemente en el control interno. Indispensable para una buena gestión de riesgos.

COSO divide el control interno en cinco elementos, a continuación:

El ambiente interno, entra a tallar la ética desde el nivel más alto y la difusión de una cultura del control interno en toda la organización. Falla cuando se desarrolla prácticas vedadas bajo el consentimiento de la alta dirección, o si existe una falta de control en toda la organización, que origina constantemente incidentes técnicos y quejas de clientes.

La evaluación de riesgos, es una práctica continua de identificación y detección de riesgos. Necesaria para su posterior administración. Más allá de la detección es vital evaluar su importancia, entre los riesgos están los operacionales y crediticios.

Actividades de control, existe variaciones, las hay de detección vs preventivas; de controles automatizados vs manuales (aunque a menudo se combinan) y los controles jerárquicos vs operativos (verificación por los superiores jerárquicos o controles en el mismo proceso por otros miembros de la cadena).

La información y la comunicación, en este caso la primera tiene que ser exacta, precisa y fidedigna, difundida a tiempo y a las personas correctas. Junto con la comunicación es importante para su difusión y debe ser eficaz y clara.

El monitoreo, permite que el dispositivo de control interno funcione correctamente, y encontrar soluciones para corregir las fallas halladas. Quien efectúa esta labor es el área de auditoría interna, pero ésta en general realiza su tarea a posteriori. Lo ideal es que su trabajo, aporte valor agregado a la organización, en vez de limitarse a controles formales y de cumplimiento. Podemos decir que las auditoría internas ejecutan el control interno de segundo nivel, y que el control interno permanente deben efectuar todos los miembros de la organización, en todas sus variantes, tanto en el cuidado de su propia labor y la de sus subordinados, en caso que hubiese, o estableciendo controles laterales en los diferentes procesos.

Un adecuado ambiente interno equivale a un buen gobierno corporativo, valores éticos, cultura de control difundida en toda la organización; a veces se suele olvidar que esas precondiciones incluyen sistemas de información y recursos humanos adecuados y suficientes; sin ellos los riesgos se multiplican.