Control Interno Permanente: una noción poco comprendida

A menudo, cuando se habla de gestión de riesgos, se oye hablar de control interno, como una herramienta clave de esta gestión. El problema es, que en función del tipo de organización en el que uno trabaja, la idea de lo que ello significa va a variar. Se trata de una noción que no es fácil de definir; y aunque existan normas que lo hagan, siempre existen discusiones al respecto. Y peor aún si uno habla de control interno permanente, que, por lo que he podido observar resulta una noción aún más misteriosa para muchos. Trataré de darles aquí una idea más concreta de este tema.

Para empezar, la idea básica del control interno, es que en una organización se debe tener las cosas y las situaciones bajo control; esta noción es más amplia que la de controlar, en el sentido de ejercer acciones de vigilancia. Deriva del sentido del verbo inglés “to control”, que como ya lo habrán entendido, significa más que nuestro “controlar”. Estas diferencias semánticas son fuentes de muchas confusiones.

En un sentido “clásico”, el control interno es un conjunto de dispositivos destinados a proteger los activos de la organización y la calidad de la información, a asegurar la ejecución de las instrucciones de la dirección y a favorecer la mejora continua.

Pero el sentido moderno más conocido es el resultado del trabajo de la Comisión presidida por el senador Treadway (conocida como COSO), constituida por gremios de contadores, de gerentes financieros y de auditores internos, que en 1992 publicó un documento llamado Control Interno – Marco Integrado. El esfuerzo fue motivado por una serie de quiebras escandalosas en los años 80 en los EE.UU.

La definición que se da en este documento del control interno es así: es un proceso que involucra a todos los integrantes de la organización sin excepción, diseñado para dar un grado razonable de seguridad en cuanto a la obtención de los objetivos siguientes (inter-relacionados):

- Eficacia y eficiencia de las operaciones

- Fiabilidad de la información financiera

- Cumplimiento de las leyes y normas que son aplicables

Más tarde, en el 2004, COSO publicó otro informe conocido como COSO II, llamado “Riesgos Corporativos – Marco Integrado”, más famoso por sus siglas inglesas ERM (Enterprise Risk Management). Acá se ha introducido la expresión “Gestión Integral de Riesgos”. Esto es más amplio pero se apoya fuertemente en el control interno. Este es indispensable para una buena gestión de riesgos.

COSO divide el control interno en 5 elementos, que trataremos de ilustrar concretamente:

. El ambiente interno: ahí entran elementos tan importantes como la ética desde el nivel más alto y la difusión de una cultura del control interno en toda la organización. Son temas relacionados con el gobierno corporativo. Se puede decir que está fallando, si por ejemplo prácticas vedadas son toleradas por la alta dirección, o si los incentivos monetarios favorecen la toma de riesgos excesivos, o si existe una falta de control en toda la organización, que origina constantemente incidentes técnicos y quejas de clientes, sin que nadie se sienta responsable por mejorar las cosas. Las normas y procedimientos internos claros son una herramienta esencial para tratar de evitar estas situaciones.

. La evaluación de los riesgos: es una actividad continua y repetitiva de identificación y detección de los riesgos que pueden impedir a una organización cumplir con sus objetivos (lo que supone que éstos sean claros). Es una condición necesaria para poder luego gestionarlos. No se trata sólo de detectar sino de evaluar su importancia relativa. Entre estos riesgos están los operacionales (fraude interno y externo, problemas con los sistemas, en los mismos procesos, de trato al cliente, p. ej.), los crediticios, etc.

. Las actividades de control: las hay de diferentes tipos, de detección vs. preventivas (verificaciones ex post, como pueden ser los controles de calidad de producción, en el primer caso, sistemas de doble firma o de bloqueos incorporados en las herramientas informáticas y sistemas de habilitaciones, en el segundo), controles automatizados vs. manuales (en la práctica, a menudo se combinan), controles jerárquicos vs. operativos (verificación por los superiores jerárquicos, o controles en el mismo proceso por otros miembros de la cadena; en un banco, los que hace un área de operaciones antes de autorizar un desembolso, por ejemplo).

. La información y la comunicación: la primera tiene que ser exacta, precisa, fidedigna, difundida a tiempo y a las personas adecuadas. La comunicación es indispensable para transmitir la información y tiene que ser eficaz y clara. Podrán entender que algo está fallando si la alta dirección recibe reportes voluminosos e ilegibles, plagados de errores, con varios meses de rezago. O si se transmiten instrucciones confusas o que no llegan a tiempo a las personas involucradas, que pueden derivar en mensajes contraproducentes o contradictorios a los clientes, por ejemplo.

. El monitoreo: este permite asegurarse de que el dispositivo de control interno está funcionando adecuadamente, y de encontrar soluciones para corregir las fallas encontradas. Quien efectúa en general esta tarea, por mandato de los órganos de alta dirección, es el área de auditoría interna. Pero esta en general efectúa su tarea con verificaciones a posteriori. Lo ideal es que su labor aporte valor agregado a la organización, en vez de limitarse a controles formales y de cumplimiento.

Se puede decir así que las auditorías internas llevan a cabo el control interno periódico ex post (o de segundo nivel, como se dice a veces), y que el control interno permanente es el que deben efectuar todos los miembros de la organización, de diferentes maneras, cuidando la calidad de su propia labor, la de los subordinados si los hay, estableciendo controles laterales en los diferentes procesos.

Y su precondición esencial es un adecuado ambiente interno : buen gobierno corporativo, valores éticos, cultura de control difundida en toda la organización; a veces se olvida que esas precondiciones incluyen sistemas de información adecuados y recursos humanos adecuados y suficientes; sin ellos los riesgos se multiplican.

En varios bancos europeos, las direcciones de riesgos se han convertido en “direcciones de riesgos y del control permanente“; muchas veces, los responsables del control permanente lo son también del riesgo operacional, con cuya gestión tiene mucha relación.

Esa estructura permite una buena difusión de la cultura del control interno permanente y de la gestión de riesgos en la organización, pues se completa con “corresponsales” en cada unidad significativa de la organización, que es “dueña de sus procesos”.

Espero que con esto queden claras las diferentes nociones. Como pueden ver, el control interno permanente se distingue de la auditoría interna (por las razones ya explicadas), del control de calidad (que es uno de sus componentes), del control de gestión financiera (a cuyos objetivos contribuye), de la gestión de riesgos (de la cual el control interno es una herramienta y un componente esencial), de la función de cumplimiento (“compliance”, a la que apoya en la definición y realización de su misión).

Blog

Control Interno Permanente: una noción poco comprendida

Te puede interesar

Gestión del Riesgo Pais: el Rol Clave de las Fuerzas Armadas

Riesgo Operacional Aeroportuario, Continuidad Operativa y Riesgo Operacional Estatal Sistémico

Riesgos Fiscales Derivados de las Empresas Públicas – Ejemplos recientes

Continuidad Operativa de la Lucha Anti-Corrupción – Recordaris 5 Años Después

Ordenamiento Territorial y Ambiente: ¿Riesgo de debilitamiento de ambos?

Riesgo País Perú: ¿Destrucción definitiva de la calidad de la Educación? Actualización a Junio 2023