El Instituto de Auditores Internos
define al control interno como el proceso diseñado para proveer una seguridad
razonable, en relación con el logro de los objetivos de la organización. El
tema de control interno, desde su enfoque moderno y de clase mundial se está
discutiendo desde hace más de 16 años; al menos en los EE.UU., y con la
definición del Committee of Sponsoring Organizations of the Treadway Commission
(COSO).
Los inicios del control interno se dieron primordialmente en aspectos contables. Asimismo, se habló mucho sobre el tema en ámbitos de evaluación/alcances, en relación con aspectos de planeación y eficiencia durante la auditoría de estados financieros. Con el paso del tiempo, el concepto de control interno se ha transformado en algo más robusto, en un concepto integral a través del negocio, donde no solo las áreas financieras tienen responsabilidades y beneficios sobre el mismo.
Para ejemplificar lo anterior, podemos analizar en forma breve la definición de
control interno. Para estos efectos y como resultado de las muchas opciones que
tenemos en cuanto a definiciones, citaremos al Instituto de Auditores Internos2
que define al control interno como:3 “el proceso diseñado para proveer una
seguridad razonable en relación con el logro de los objetivos de la
organización”.
Como se puede observar, el alcance del mismo es mucho mayor a la mera generación de información financiera.
En el marco de la definición citada, si pudiéramos definir los objetivos para el control interno, podríamos establecer los siguientes tres:
·Promover la eficiencia y eficacia en las operaciones. Hacer las cosas en
menos tiempo, al menor costo y con el estándar de calidad esperado.
·Asegurar la confiabilidad en la información financiera. Presentación y
revelaciones bajo principios contables aplicables.
·Mantener el cumplimiento con las leyes y regulaciones aplicables. Evitar
pasivos y obligaciones extraordinarias que pudiesen interferir en el logro de
objetivos y en el concepto de negocio en marcha.
El segundo objetivo es el más familiar
para el grueso de las empresas mexicanas; sin embargo, pocas identifican a los
otros dos como parte de un control interno.
Aun bajo este esquema, ¿realmente están cubriendo en forma eficiente el segundo objetivo? Por medio de esfuerzos de cumplimiento para Sarbanes-Oxley, las empresas mexicanas filiales de empresas americanas que cotizan en SEC, han observado que tenían áreas de oportunidad en control interno, que previamente desconocían.
Aun bajo este esquema, ¿realmente están cubriendo en forma eficiente el segundo objetivo? Por medio de esfuerzos de cumplimiento para Sarbanes-Oxley, las empresas mexicanas filiales de empresas americanas que cotizan en SEC, han observado que tenían áreas de oportunidad en control interno, que previamente desconocían.
Como resultado de lo complejo que es el control interno, y para evitar el menor grado de desviación en interpretaciones personales, se han establecido diversos “marcos de control interno” aceptados en el mundo.
COSO
Para efectos de homologar criterios y como resultado del acercamiento e
influencia comercial con los EE.UU., hablaremos de su marco de control, el
COSO.4
A continuación se muestra el “cubo” de COSO donde se puede apreciar el enfoque en los tres ámbitos del negocio arriba mencionados, así como sus distintas fases de aplicación.
Para efectos de identificación, es importante aclarar que el COSO, aunque en
esencia es similar a otros marcos de control en el mundo, puede llegar a tener
ciertas diferenciass contra otros marcos de control aceptados.
Haciendo un alto y resumiendo las conclusiones que hasta el momento tenemos,
vemos lo siguiente:
·El control interno tiene un ámbito de actuación mayor que meramente la
generación de información financiera. Actualmente un gran número de empresas
mexicanas no han evaluado/integrado este concepto en sus operaciones diarias.
Es decir, en México, el control interno se sigue viendo como parte de finanzas
(limitado a) y no existe una figura que integre el esfuerzo de controles
existentes, tanto operativos, financieros como de cumplimiento.
·Cuando hablamos de control interno, existen reglas claras al respecto,
metodologías y pasos específicos a seguir. Muchas empresas mexicanas insisten
en tener control interno, aunque este no está alineado a ningún marco de
control aceptado.
·Estas reglas pueden cambiar, si es el caso, dependiendo de las regiones
o zonas donde se tuviera que reportar la implementación de dichos marcos de
control (como lo es con Sarbanes-Oxley en empresas que cotizan bajo SEC.6
Actualmente, México no cuenta con un marco formal de control aceptado, aunque
la comunidad empresarial, cuando ha desarrollado un esfuerzo serio frente al
control interno, se ha alineado al COSO.
·El resultado de los logros de objetivos del negocio, al menos en
aspectos cotidianos y recurrentes, puede ser influenciado por la calidad y
suficiencia del control interno. Sin embargo, pocas empresas mexicanas han
logrado asimilar la idea de que el control interno debe ser una inversión y no
un gasto.
México frente a requisitos mínimos de
control
Ahora bien, si en forma resumida analizamos los aspectos mínimos a cubrir, en cuanto a control interno y a la respuesta de las empresas mexicanas en este ámbito, tenemos el siguiente cuadro:
Ahora bien, si en forma resumida analizamos los aspectos mínimos a cubrir, en cuanto a control interno y a la respuesta de las empresas mexicanas en este ámbito, tenemos el siguiente cuadro:
Conforme se ha comentado, las organizaciones mexicanas realmente cuentan con control interno. Sin embargo, cabe preguntarse si dicho control es eficiente y logrará su cometido.
Muchas de estas empresas, tanto en México como el mundo, se han sorprendido de las grandes áreas de oportunidad y resultados inesperados existentes en cuanto a control interno que se revelaron tras los esfuerzos resultantes de la obligación de la Ley Sarbanes-Oxley. Ahora bien, sería interesante saber si se darían las mismas sorpresas en caso de realizarse un esfuerzo del análisis al control interno en aspectos de operación.
Los montos en juego con una revisión de este estilo pudieran llegar a ser muy trascendentes. Tan es así, que ya existen en algunos sectores y regiones, obligaciones de cumplimiento para documentar y evaluar este tipo de controles, como lo es la iniciativa de Solvency en Europa, para las compañías de seguros o Basilea II para sector financiero.
Control interno en la pequeña y
mediana empresa
Segregación de funciones
Un factor primordial en el control interno, es la segregación de funciones. Los mejores procedimientos pueden ser establecidos en una empresa, pero las desviaciones en cuanto a segregación de funciones, pueden traducirse en grandes fraudes y malversaciones.
Este factor es importante para México, considerando que gran parte de su industria está en las medianas y pequeñas empresas, las cuales no tienen los recursos para contratar personal suficiente que permita generar una sana segregación de funciones.
Esta situación es corregible mediante la identificación de factores críticos de éxito en la operación, los cuales sean vigilados de forma cercana por el personal de confianza. No obstante, regresamos a la necesidad de tener un proceso de evaluación de riesgos en forma previa a definir un control.
Barrera cultural y de costumbre
Las empresas medianas y pequeñas enfrentan la barrera que denomino: “uso y costumbre”. Es decir, cuando se establecen nuevas formas de trabajo, normalmente mayores restricciones y requisitos, el personal se rebela ante las mismas y pone trabas/obstáculos para su implementación, lo cual es considerado normal, pero es conveniente considerarlo en implementaciones de nuevos controles y buscar por medio del convencimiento y ejemplo, y lograr una cultura de control en la organización.
Control interno y el Comité de Auditoría
El Comité de Auditoría es un organismo que reporta directamente al Consejo de Administración, y cuya función, entre otras, es desarrollar un esfuerzo de vigilancia sobre los avances y logro de los objetivos previamente definidos por el Consejo de Administración. El Comité normalmente realiza estas tareas mediante la dirección y supervisión de la suficiencia y enfoque del esfuerzo de vigilancia, efectuado por los auditores internos y externos.
La función de este Comité es de vigilancia y no de implementación. Por lo tanto, el Comité no debiera definir aspectos puntuales en cuanto a la implementación de controles, sin embargo, si debiese estar fuertemente ligado con la supervisión de aspectos críticos del negocio, y por lo tanto actividades que den mayor certeza de que no existirán sorpresas en el camino.
En México se observa que muchos de estos comités han sido creados considerando requerimientos de cumplimiento, sin embargo, no han logrado crear una dinámica eficiente en la organización que otorgue valor agregado. Cuentan con los miembros suficientes, se reúnen en los periodos marcados bajo las mejores prácticas, sus miembros cuentan con los perfiles requeridos, sin embargo, no cuentan con las herramientas suficientes para realmente vigilar el cumplimiento de los aspectos críticos del negocio.
Para ello, las organizaciones debiesen contar con procesos de administración de riesgos, que otorgaran documentación formalizada, para que los comités realizaran sus análisis y tomaran decisiones en las circunstancias.
Ahora bien, y nuevamente cerrando el círculo, como resultado de la falta de dichos procesos de administración de riesgos, sería complejo que el Comité pudiera dar un seguimiento razonable al control interno, ya que se vuelve subjetivo el saber si las actividades de control están cubriendo todos los riesgos y si lo están haciendo en forma eficiente.
Control Interno y Sistemas de Información
No debemos olvidar a los sistemas de información. Actualmente la tecnología forma parte significativa de los procesos y actividades de cualquier negocio.
En muchas ocasiones se observa que una actividad se considera controlada por el simple hecho de que se realiza vía sistemas de información.
Ahora más que nunca, debido a la gran influencia de los sistemas de información en todos los procesos de la empresa (operativos, financieros, administrativos, estratégicos, entre otros) es necesario lograr una certeza razonable de que dichos sistemas también cuentan con el ambiente de control necesario y complementan el mismo.
Existe un marco de control aceptado para sistemas, el cual es llamado COBIT. El mismo básicamente cubre los siguientes aspectos, que deben ser considerados como parte integral del control interno: planeación y organización, adquisición e implementación, entrega y soporte, monitoreo.
En general se observa que las empresas mexicanas ven a la tecnología de información como algo completamente independiente al control interno; sin observar que un análisis integral de control, tiene un alto componente tecnológico.
Conclusión
Las empresas mexicanas conocen el concepto básico de control interno, y consideran en su gran mayoría, que tiene control en sus organizaciones. Sin embargo, no han logrado traducir el esfuerzo de control interno como un generador de valor. Todavía consideran doloroso invertir en estos conceptos, ya que se siguen considerando un gasto. Lo cual es cierto, si se considera que al no tener un control interno bajo “mejores prácticas” no se puede lograr un retorno por el mismo (ej. reducción/mantenimiento de costos, satisfacción del cliente, incremento de actividades, entre otros).
El control interno se ve como un tema únicamente contable, siendo que debiese estar ligado a todas las iniciativas del negocio (ej. implementación de sistemas, mejora de procesos, entre otros).
De cualquier forma, cada vez más, las empresas mexicanas entienden más del tema y se convencen de sus beneficios.
El mayor porcentaje de empresas en México son Pequeñas y Medianas. Y en muchas ocasiones esto es causal para considerar que estos conceptos no aplican a estas organizaciones. Sin embargo, tienen los mismos requerimientos de gestionar sus riesgos e impactos, empresas medianas y pequeñas, que empresas grandes.
El objetivo no es implementar muchos controles, sino realmente entender qué le puede doler a mi negocio, para que, proactiva y anticipadamente, definir un control a la medida, que sin tener que ser costoso, puede significar el que la organización siga operando.
Referencias
1 .COSO es publicado en 1992, por lo que no es nuevo; sin embargo, para
gran parte de las empresas mexicanas, toma fuerza como resultado de la emisión
de la Ley Sarbanes-Oxley en 2002.
2 .The Institute
of Internal Auditors (The IIA). Para mayor información ver: www.theiia.org
3 .Sección
300.02.4 del Standards for the Professional Practice of Internal Auditing del
IIA.
4 .Committee of
Sponsoring Organizations of the Treadway Commission (COSO).
5 .Como ejemplo está el Criteria of Control (COCO), que es el marco de
control aceptado en Canadá, el cual no reconoce dentro del marco de control la
existencia de la fase de “información y comunicación”.
6. Security and
Exchange Commission en los EE.UU.
Derechos reservados para el
C.P. Jesús González Arellano
Socio de Risk
Advisory Services (IARCS) KPMG