Controles internos, cosa de COSO
Si revisamos COSO (Committee of Sponsoring Organization) define a los controles internos como un proceso efectuado por la alta dirección y gerentes designados a brindar un aseguramiento razonable para lograr objetivos relacionados a: Efectividad y eficiencia de las operaciones, fiabilidad de la información financiera, cumplimiento de las leyes y regulaciones aplicables. Ahora, obviamente al buscar que la información llegue a la mano de la alta gerencia y partes interesadas necesarias, es importante entender los controles internos involucrados en la divulgación.
Desmenuzando un control interno
La base de todo control interno y sus demás componentes es la cultura organizacional, dependerá mucho de cómo los colaboradores de la empresa perciben el control y la disciplina que ellos colocan. Si consideramos los varios elementos de la cual la cultura organizacional se alimenta (hablamos de valores éticos, filosofía, estilo de las operaciones, estructura organizacional, compromiso de la alta dirección, entre otros). También es muy importante saber sobre la evaluación de riesgo que la empresa ha establecido, su frecuencia, su mecanismo de informe y sobretodo su adaptación, debido a la constante aparición de riesgos internos y externos a los que las organizaciones están sujetas, esta evaluación determina cómo los identifica y los trata. Luego está la ejecución de tareas para el control, relacionados con aprobaciones, autorizaciones, verificaciones, revisiones de rendimiento, entre otras actividades (manifestados en procedimientos que desarrollan el aseguramiento de logro de objetivos). Luego está la información y comunicación que debe considerar los ámbitos de fuentes de datos internos y externos, siempre pensando en entregar de manera puntual y precisa la información correspondiente. Finalmente queda monitorear el curso de las operaciones de los control a través de tableros de mando diseñados de manera diligente, si los resultados son desalentadores deberán corregirse de manera ascendente, y en caso de criticada de desempeño, informar a la Alta Dirección.
Intervinientes
El Gerente General es el máximo responsable del sistema de control interno, esta persona debe brindar liderazgo y dirección a los demás gerentes y revisar la manera en que ellos controlan el negocio, y así se repite esta revisión piramidal descendente hasta llegar a las actividades operativas del negocio. La Alta Dirección o Junta Directiva deben recibir la rendición de cuentas del Gerente General, sus miembros deben tener claro conocimiento de las actividades de la empresa, esta junta debe asegurarse que los controles internos no sean evitados por el Gerente (y/o sus Gerentes) además de contar con una buena comunicación. Los auditores internos son muy importantes, ya que monitorearán y evaluarán la efectividad de los sistemas de control. Es importante que ellos tengan suficiente autonomía y objetividad para informar honestamente a la junta la información sin ninguna influencia de por medio. Finalmente existirán otros empleados quienes intervendrán en el sistema de control interno y presentarán cierto grado de responsabilidad, ellos deberán tener claro las penalidades y la protección de identidad ante alguna denuncia interna.
¿Y qué se necesita para desarrollar un sistema de control interno?
Podría considerarse un comité de cumplimiento, profesionales que conocen la organización en diversas ramas (TI, legal, finanzas, etc.), pero dependerá del tamaño de la organización para establecerlo; estas personas deben considerar que una comunicación efectiva no solamente se realiza a través de emails si no con programas de capacitación y evaluación continua de disciplina. Otro aspecto importante es la evaluación de riesgos (se recalca nuevamente) ante posibles riesgos y amenazas de adquisición de nuevo software, crecimiento rápido, nuevos servicios o productos, nuevas regulaciones, rotación de personal, etc. Además de un conjunto de objetivos a lograr e informar su avance, tales cómo controles físicos existentes, controles lógicos, controles de prevención, detección o corrección existentes, los cuales se pueden manifestar creación de estrategias como identificación de oportunidades de mejora en los sistemas ERP existentes, evaluación de costo/beneficio de inclusión de profesionales de TI tercerizados o evaluación de sistemas automatizados a incluir en el control interno.
Consejo audit
En caso de no presentar un sistema de control interno en su organización, y desea tenerlo, lo primero será planificar en base a un análisis de cadena de valor para determinar los métodos, registros, modificaciones y demás actividades necesarias mencionadas anteriormente. Otro punto a velar es la comunicación, este es un factor muy importante para cualquier cambio organizacional (el comité de cumplimiento es el más adecuado de gestionarlo). En audit nos enfocamos en capacitar a su personal para establecer un ambiente colaborativo en cumplimiento de metas.