Es común que en una organización cuando se habla de gestión
de riesgos, se oye hablar de control interno, como una herramienta inherente a
esta gestión. No en todas las empresas se aplica este control o en su defecto
el concepto que se maneje de ello varía en su aplicación.
El concepto de control interno es una noción que no ha sido
fácil de definir, existiendo normas que obliguen su realización, pues siempre
ha existido –y existe- controversia al respecto. Y si hablamos de control
interno permanente, resulta aún más misterioso para la mayoría.
Para tener una idea básica de control interno, en una
organización se debe tener las cosas y situaciones bajo control. En un sentido
tradicional, el control interno es un conjunto de dispositivos destinados a
proteger los activos y la calidad de información de una entidad, a fin de
favorecer la mejora continua.
En un concepto más moderno en base a COSO (siglas en
inglés), Comisión presidida por el senador Treadway, constituida por un gremio
de contadores, auditores internos y gerentes financieros, en 1992 publicó un
documento llamado ‘Control Interno – Marco Integrado’. Debido a la gran
aceptación del sector, el Informe de COSO se ha convertido en un estándar de
referencia.
Siguiendo la acepción de COSO, el control interno es un
proceso que involucra a todos los integrantes de la organización sin excepción,
estructurado para identificar eventos
potenciales que pueden afectar a la identidad y proveer seguridad en
cuanto a la eficacia y eficiencia de las operaciones, fiabilidad de la
información financiera y el cumplimiento de las leyes y normas que son
aplicables.
En el 2004, se publica una segunda versión del informe de
control interno, conocido mundialmente como COSO II, llamado “Riesgos
Corporativos – Marco Integrado”, famoso por sus siglas en inglés ERM
(Enterprise Risk Management). Lo que aquí se ha acuñado la expresión “Gestión
Integral de riesgos – GIR”, de concepto vasto pero se apoya fuertemente en el
control interno. Indispensable para una buena gestión de riesgos.
COSO divide el control interno en cinco elementos, a
continuación:
El ambiente interno,
entra a tallar la ética desde el nivel más alto y la difusión de una cultura
del control interno en toda la organización. Falla cuando se desarrolla
prácticas vedadas bajo el consentimiento de la alta dirección, o si existe una
falta de control en toda la organización, que origina constantemente incidentes
técnicos y quejas de clientes.
La evaluación de
riesgos, es una práctica continua de identificación y detección de riesgos.
Necesaria para su posterior administración. Más allá de la detección es vital
evaluar su importancia, entre los riesgos están los operacionales y
crediticios.
Actividades de
control, existe variaciones, las hay de detección vs preventivas; de
controles automatizados vs manuales (aunque a menudo se combinan) y los
controles jerárquicos vs operativos (verificación por los superiores
jerárquicos o controles en el mismo proceso por otros miembros de la cadena).
La información y la
comunicación, en este caso la primera tiene que ser exacta, precisa y
fidedigna, difundida a tiempo y a las personas correctas. Junto con la
comunicación es importante para su difusión y debe ser eficaz y clara.
El monitoreo,
permite que el dispositivo de control interno funcione correctamente, y
encontrar soluciones para corregir las fallas halladas. Quien efectúa esta
labor es el área de auditoría interna, pero ésta en general realiza su tarea a
posteriori. Lo ideal es que su trabajo, aporte valor agregado a la
organización, en vez de limitarse a controles formales y de cumplimiento.
Podemos decir que las auditoría internas ejecutan el control interno de segundo
nivel, y que el control interno permanente deben efectuar todos los miembros de
la organización, en todas sus variantes, tanto en el cuidado de su propia labor
y la de sus subordinados, en caso que hubiese, o estableciendo controles
laterales en los diferentes procesos.
Un adecuado ambiente interno equivale a un buen gobierno
corporativo, valores éticos, cultura de control difundida en toda la
organización; a veces se suele olvidar que esas precondiciones incluyen
sistemas de información y recursos humanos adecuados y suficientes; sin ellos
los riesgos se multiplican.
No hay comentarios.:
Publicar un comentario