La base de la gestión y gobierno de riesgos corporativos en cualquier empresa es el Control Interno. Los sistemas de control interno protegen, alinean la operativa con los objetivos organizacionales y velan por su reputación.

 

Podemos entender la organización como el conjunto de profesionales en el que cada uno tiene una misión que ejecutar, pero ¿quién se encarga de saber si su acción es la esperada para que la empresa avance según lo previsto? Hablamos de control interno.

 

Qué es el control interno

Se trata de un sistema que se integra en la política general de gestión de riesgos para dotarla de eficiencia. De este modo, el control interno está compuesto por planes, métodos, principios, normas, procedimientos y mecanismos que verifican y evalúan las operaciones, y si estas cumplen con los objetivos en función de una norma. El control interno también requiere de una asignación de recursos personales y económicos sostenidos en el tiempo

“Las empresas deben definir que entienden por control interno y gestión de riesgos, así como el alcance que quieren dar a su gestión. Integra por un conjunto de planes y procedimientos que de una forma muy abierta y flexible se adaptan a las necesidades de cada momento y cada empresa”, según explica Isabel Martínez Torre-Enciso, miembro del Consejo y de la Comisión de Sostenibilidad de FERMA

“Para cumplir los objetivos de eficacia y eficiencia en las operaciones, y de fiabilidad de la información financiera y cumplimiento de las leyes y normas aplicables, como marca la Norma COSO, el control interno debe establecer los mecanismos necesarios para recoger de forma precisa los requerimientos exigidos y la información para el control. Dichos mecanismos deben ser realistas y flexibles a la vez que claros, transparentes y fiables de manera que proporcionen un grado de seguridad razonable respecto al logro de los objetivos”, defiende Martínez Torre-Enciso.

 

Objetivos del control interno

La más evidente de las ventajas del control interno es saber que las cosas se están haciendo de un modo adecuado en el seno de la empresa, incluido que sus procedimientos cumplen con la normativa vigente.

El operador Pirani, un software especializado en gestión de riesgos, identifica cinco principales ventajas en la definición de sistemas de control interno.

1. Protección de los recursos y procesos de la organización. Anticipando posibles riesgos y, por tanto, limitando su impacto. Punto donde también se puede incluir la vigilancia de sus activos frente al robo, el espionaje comercial y cualquier fraude del empleado.
2. Ganar eficiencia y eficacia en las operaciones, contribuyendo al correcto funcionamiento de la compañía. También sirve para asegurar que los datos operativos de los estados financieros son reales y confiables, mejorando su reputación con los socios, accionistas y otros stakeholders.
3. Alinear todas las actividades realizadas en el seno de la organización con el cumplimiento de los objetivos empresariales.
4. Labor de control, monitoreo y evaluación de la gestión de riesgos.
5. Contribuir a la definición y evaluación de riesgos, y de las estrategias para combatirlo.

 

Además, el control interno permite evaluar las funciones de cada miembro de la compañía, evidenciando que es necesario tomar decisiones para mejorar su eficiencia. Se trata de un proceso que genera mucha información y datos, que compartidos de un modo adecuado con la organización, puede enriquecer todos sus procesos de toma de decisión.

 

De quién es competencia el control interno

La supervisión tanto del control interno como de la gestión de riesgos recae en el Consejo de Administración, si bien es la Alta Dirección la responsable de establecer y supervisar las acciones de control interno. El consejo de administración puede tener una comisión que se encargue del trabajo de los riesgos, en ocasiones como tal Comisión de Riesgos pero de una forma más generalizada en las Comisiones de Auditoria y Riesgos.

La recomendación de Martínez Torre-Enciso es crear una Unidad de Gestión de Riesgos que sea realmente operativa y eficiente para la toma de decisiones al más alto nivel: “Cuando se sigue el modelo de gobierno corporativo denominado de tres líneas o de tres líneas de defensa, la responsabilidad máxima de la gestión de los riesgos recae en el Consejo de Administración que establecerá una unidad de control de interno que implica a todos los responsables de área como primera línea y una unidad de gestión de riesgos transversal a toda la organización como segunda línea, ambas reportando al CEO y este, a través de la Comisión de Riegos, al Consejo de Administracion”.

“Con el fin de evaluar el cumplimiento de todas las medidas y límites establecidas por la empresa y verificar su validez, –continúa la experta-–, la unidad de control interno debe supervisar el cumplimiento de las normas, y para ello revisará de forma permanente los procedimientos y sistemas relativos al control interno contable y al seguimiento y gestión de los riesgos y las reclamaciones. Este sistema quedaría incompleto y seria ineficaz, si finalmente no se llegara a proponer las modificaciones que se consideren necesarias, se denunciaran las ineficiencias observadas y se informara de todo ello al Consejo de Administración, órgano de responsabilidad del gobierno corporativo y de la toma de decisiones basada en riesgos.

 

Cómo empezar a definir un sistema de control interno

Uno de los modelos más sencillos para definir un sistema de control interno, lo resume el operador Pirani en tres etapas:

Fase I: revisión general. Se trata de fijar de forma general el sistema de control más idóneo para cada organización y área de responsabilidad. Para ello, se debe partir de documentación sobre las operativas que realmente están siendo utilizadas en la actualidad en cada una de ellas. La actuación implica fijar reuniones con cada equipo y entrevistas con sus responsables. El objetivo final es definir el propósito de cada control aprobado.

Fase II: revisión detallada. Para conocer cómo funciona cada uno de los controles aprobados, en esta fase se trabaja de forma individualizada en cada procedimiento para ajustarlo al máximo según cada necesidad. Para ello es muy importante que los miembros de la unidad de riesgo tengan un conocimiento necesario para detectar fallos o posibles irregularidades.

Fase III: evaluación preliminar. La última fase es de implementación y control. La unidad de riesgo verifica si los sistemas de control interno aprobado son los idóneos y si realmente sirven para realizar el control de riesgos adecuado. Es imprescindible que el sistema de control interno haya definido medidores de evaluación objetivos, que también puedan establecer de qué manera la acción de control interno repercute en la información financiera y en la información general de la empresa. Finalmente, si se encuentran deficiencias, hay que trabajar en la mejora o proponer nuevos controles.