La importancia del control interno en las organizaciones

Como generar confianza a través del Marco Integrado de Control Interno COSO

En un mundo dinámico como el de hoy, el control interno se ha convertido en un componente crucial para el éxito y la sostenibilidad de cualquier organización, a pesar de esto, a menudo se pasa por alto, es trascendental para una gestión eficaz y eficiente.

El control interno no es simplemente una medida de precaución, es una herramienta estratégica que proporciona una ventaja competitiva significativa a cualquier organización, ya sean pública o privada. Un sistema de control interno, entendidos estos como procesos, políticas y procedimientos diseñados para salvaguardar los activos de estas, garantizar la integridad de la información financiera y operativa, cumplir con las leyes y regulaciones aplicables, prevenir el fraude, los errores y malas prácticas, así como en la optimización de tiempo y recursos, minimizar los riesgos, mejorar la rendición de cuentas y la transparencia, y fomentar un ambiente de trabajo ético, potenciando así los resultados.

A lo largo de este artículo, exploraremos la importancia del control interno y cómo su implementación efectiva puede contribuir al éxito de una organización.

Definición de control interno

Este análisis parte de la definición de control interno, si bien, puede variar dependiendo del enfoque con el que los diferentes modelos, para efectos del contexto histórico presente nos enfocaremos al que nos proporciona el modelo COSO, mismo que lo define como un proceso, llevado a cabo por la junta directiva, la administración y todo el personal de una entidad, diseñado para proporcionar seguridad razonable con respecto al logro de los objetivos relacionados con las operaciones, la presentación de informes y el cumplimiento.

Breve descripción de su importancia en las organizaciones

La principal aportación del control interno es un marco estructurado, el cual podemos definir como un conjunto organizado y coherente de elementos, principios, directrices y procedimientos que proporcionan una estructura sólida y sistemática para abordar un determinado conjunto de objetivos o actividades.

El control interno funciona tanto en organizaciones privadas como públicas, opera básicamente bajo los mismos objetivos, con algunas diferencias debido al entorno y a los objetivos muy particulares de las organizaciones públicas (gobierno).

Si bien el presente análisis se centrará en el modelo COSO, actualmente podemos encontrar diversidad de modelos de control interno,  algunos ejemplos son los siguientes:

• COSO (Estados Unidos, 1992).

• COBIT (Australia, 1996).

• COCO (Canadá, 1995).

• CADBURY (Reino Unido, 1991).

• KONTRAG o CONTRAC (Alemania, 1993).

• VIENOT (Francia, 1995).

• TURNBULL (Reino Unido).

• PETERS (Países Bajos, 1982).

• KING (Sudáfrica, 1994).

Estos modelos tienen enfoques muy particulares, no obstante la mayoría coincide en la evaluación y respuesta a los riesgos, la información adecuada y pertinente a la junta directiva o junta de gobierno, la supervisión de los procesos  y la importancia de las tecnologías de la información en una organización.

Modelo COSO

El modelo COSO (Committee of Sponsoring Organizations of the Treadway Commission) surge en Estados Unidos, como una iniciativa del sector privado para investigar los factores causales que condujeron informes financieros fraudulentos como resultado de una serie de escándalos contables en los años 70’s y 80’s en Estados Unidos.

Esta iniciativa fue patrocinada conjuntamente por cinco importantes asociaciones profesionales con sede en los Estados Unidos:

• Instituto Americano de Contadores Públicos Certificados (AICPA)

• Ejecutivos Financieros Internacionales (FEI)

• Asociación Estadounidense de Contabilidad (AAA)

• Instituto de Auditores Internos (IIA)

• Instituto de Contadores Gerenciales (IMA)

Esta Comisión publicó el "Informe de la Comisión Nacional sobre Información Financiera Fraudulenta", mismo que incluía entre otras cosas las observaciones sobre el alcance de los informes financieros fraudulentos, las causas fundamentales de estos y los mecanismos que las organizaciones podrían implementar para la prevención de fraudes.

En 1992 se publicó "El Marco integrado de Control interno” que detallaba cinco componentes para un sistema de control interno eficaz, también llamad COSO I.

En 2004 se publica el modelo COSO ERM (Enterprise Risk Management – Integrated Framework) o COSO II, lo anterior se dio en el marco de la globalización de los mercados y las nuevas estrategias competitivas y de expansión de las empresas, esto debido a que las mismas se vieron en la necesidad de cambiar sus estructuras organizacionales, procesos, incluso la forma de invertir, lo que trajo consigo riesgos inherentes y otros como los generados en la integridad de sus activos, el cumplimiento de leyes y regulaciones, las tecnologías de la información, entre otros.

Este modelo dio mucha importancia al  seguimiento más estricto de los riesgos a efecto de prevenir anomalías y fraudes.

En 2013, COSO actualizó dicho marco integrado (COSO III), afirmando que los cambios significativos en la tecnología y las tendencias comerciales globales aumentaron la necesidad de sistemas de control interno de calidad, proporcionando una guía mejorada para la aplicación de los principios generales, permitiendo a las organizaciones desarrollar y mantener sistemas de control interno que fortalezcan las capacidades de estas, incrementando la probabilidad de cumplimiento de los objetivos y adaptarse a los cambios de su entorno operativo y de negocios.

Si bien es cierto que dentro de los modelos más recientes existe el COSO ERM 2017, mismo que se publicó como una actualización del COSO ERM de 2004, este se centra en los riesgos en el sector empresarial.

Este modelo permite un análisis más detallado, por ello nos centraremos en examinar el modelo COSO III.

MODELO COSO III

Este modelo se integra por cinco componentes: 

1. Ambiente de control;

2. Administración de riesgos;

3. Actividades de control;

4. Información y comunicación; y

5. Supervisión.

Ambiente de control (Control Environment)

Este componente es un conjunto de estándares, procesos y estructuras que proporcionan las bases para la implementación del control interno, es donde los órganos de gobierno y los directores establecen las directrices sobre el control interno, incluidos los estándares esperados sobre las conductas.

Asimismo, la administración de las organizaciones enfatiza las expectativas en los diferentes niveles de estas.

Este componente resalta la importancia de la ética, que es considerado uno de los pilares fundamentales de cualquier organización, si no el más crucial.

Establece además la estructura organizacional de la autoridad y sus responsabilidades, los procesos de atracción, capacitación y desarrollo, y retención da capital humano competente, las medidas de desempeño, incentivos y recompensas para impulsar la rendición de cuentas, entre otros aspectos relevantes. Todos estos aspectos tienen una influencia en el resto de componentes del control interno.

Administración de riesgos (Risk Assessment)

La metodología del COSO III define al riesgo como un evento, que de materializarse, puede afectar negativamente el logro de objetivos y metas.

Este componente se constituye como uno de los componentes más importantes de las recientes actualizaciones del control interno, tanto en el ambiente público como en el privado, este opera como un proceso para identificar y evaluar los riesgos, tanto internos como externos.

Como requisito previo al proceso de administración de riesgos, las organizaciones en todos sus niveles, deberán de establecer de manera clara, los objetivos y metas de estas.

Asimismo, en este proceso se requiere que la administración considere los cambios en el ambiente externo a la organización y en su caso del modelo de negocios que puedan hacer que el control interno sea ineficaz.

Es importante señalar que, al menos en el sector público sub-nacional (nivel estatal) en México, la administración de riesgos es un tema, que desde la salida de este modelo, no ha sido adoptado con toda la intención que este propone. En nuestra experiencia, es evidente la inexistencia de estructuras que tengan como responsabilidad específica la administración de riesgos, esto dicho a nivel estructural y normativo al interior de las organizaciones públicas.

No obstante que el Marco Integrado del Control Interno expedido en 2014 por la Auditoría Superior de la Federación (ente fiscalizador nacional para el caso mexicano), establece que el control interno y por ende la administración de riesgos es responsabilidad de las estructuras en los entes públicos (en específico del Órgano de Gobierno, el titular y en general de todos los integrantes de una organización), disposición que se reproduce a los largo de todas las entidades federativas en sus normas de control interno, esta no ha podido materializarse al pie de la letra, principalmente por cuestiones presupuestales, dado que son las mismas estructuras que ya desarrollan actividades sustantivas en las organizaciones las que llevan a cabo el proceso de administración de riesgos, es decir, no existen en la gran mayoría de los casos una estructura que organizacional y normativamente lleve a cabo este proceso.

Lo anterior no es exclusivo del sector público, de igual forma en las organizaciones del sector privado se presenta en cierta forma el mismo fenómeno.

Muestra de lo anterior es que en los resultados obtenidos de la primera encuesta sobre la Resiliencia Organizacional y Gestión de Riesgos 2018 realizado por PwC, se señala que “aproximadamente el 35% de los encuestados opina que las organizaciones no cuentan con una estructura formal para la gestión de riesgos donde se definan a los responsables y sus funciones, y afirmaron que la cultura de riesgos no necesariamente habilita a todos los niveles a actuar y a tomar decisiones, y pueden no haberse establecido responsables para la gestión de riesgos en todos los niveles de la organización.”

En dicho estudio se destaca que “el 33% de los encuestados afirma que sus organizaciones no cuentan con el personal suficiente ni las mejores herramientas para identificar, evaluar y priorizar los riesgos en todos los niveles de la organización”, lo cual por ende dificultará el análisis de los mismos.

Como podrás advertir, en este modelo se enfatizó, entre otros aspectos, la administración de riesgos, tema que podemos y debemos abordar a mayor profundidad, cosa que haremos en entregas posteriores.

Actividades de control (Control Activities)

En este componente las organizaciones, en todos sus niveles, deberán desarrollar actividades de control que apoyen la administración y mitigación de los riesgos que puedan afectar sus objetivos y metas, enfatizando aquellas relacionadas con las tecnologías de la información y comunicación (TIC’s).

De igual forma, las organizaciones deberán implementar dichas actividades a través de políticas, procedimientos y otros medios similares, documentando debidamente las responsabilidades de control interno en la institución. Dichas políticas, procedimientos, lineamientos, entre otros deben ser comunicados al personal de la institución para que este pueda implementar las actividades de control correspondientes a las responsabilidades que tengan asignadas.

Es evidente que si este componente no se atiende, es prácticamente imposible que el personal de una institución ejecute eficazmente las actividades y responsabilidades que tiene asignadas, existiendo el riesgo de incumplimiento y por consecuencia no se alcancen los objetivos y metas planteadas por la organización.

Información y comunicación (Information and Communication)

Para la implementación de este componente, es necesario que la administración de la organización genere y opere un flujo adecuado y pertinente de la información, tanto interna como externa, para apoyar al resto de los componentes del control interno.

Por lo que respecta a la información interna, es importante que esta fluya a través de todas las áreas de organización, tanto había arriba como hacia abajo del organigrama. La información externa permite que la interna cuente con datos relevantes y funge como un conducto de la información interna hacia actores externos en función de las expectativas y requerimientos aplicables.

Supervisión (Monitoring Activities)

Las organizaciones deberán de implementar evaluaciones y supervisiones continuas para determinar si cada uno de los cinco componentes está presente y funcionando de acuerdo a lo esperado, estas evaluaciones, integradas en los procesos de los diferentes niveles de la entidad, proporcionan información oportuna para la toma de decisiones, dichas evaluaciones deben de ser internas y externas.

Los hallazgos deben de ser evaluados bajos los criterios de los entes reguladores y las deficiencias se comunican a la administración y órganos de gobierno, según corresponda, para que se tomen las medidas correctivas necesarias.

Como puedes ver, el control interno es más que la suma de sus cinco componentes, es una herramienta que permite a cualquier organización gestionar su tiempo y sus recursos con la finalidad de alcanzar los objetivos y metas planteados o esperados, la fuerza y utilidad del control interno radica en que todos los componentes operen en conjunto generando una sinergia que siempre fortalecerá las capacidades de cualquier organización sin importar el sector o giro en que se encuentre, generando la confianza que los usuarios o clientes esperan.

Hazme saber tu opinión y  que temas te gustaría que abordáramos, están disponibles todos los medios de contacto.