En las empresas se presenta una variedad de riesgos que deben ser atendidos mediante el establecimiento de un Sistema de Control Interno adecuado. Entre estos riesgos se mencionan los Operacionales, los Financieros y los Reputacionales.

En mi trayectoria profesional como Auditor Interno y como Consultor Externo, se ha podido evidenciar la presencia de ciertas debilidades de Control Interno en las actividades referidas a Compras, Almacenamiento, Custodia y Despacho.

Bajo ese escenario, se pregunta:

  1. ¿A qué riesgos se está enfrentando la empresa?

R.- Riesgos como la colusión interna o externa para cometer fraude, manejo de sobornos, coimas u otras prebendas. Entendiendo por Colusión como el acuerdo ilícito que establecen dos o más partes con el objetivo de obtener un provecho o beneficio, provocando un perjuicio a un tercero.

En otras palabras, dos o más partes se confabulan para obtener un beneficio personal ocasionando daños considerables a la empresa. Dicho acuerdo ilícito puede ser interno, involucrando solamente personal de la empresa, o externo, cuando se involucra a un tercero ajeno a la misma empresa.

  1. ¿Se pueden prevenir o evitar esos riesgos?

R.- Si pueden prevenirse, tomando las acciones adecuadas para evitar, reducir o mitigar esos riesgos.

  1. ¿Por qué ocurren o se presentan esos riesgos?

R.- Porque no existen mecanismos de control adecuados.

La razón fundamental por la que existen o se presentan esos riesgos, obedece a que en la empresa no se cuenta con un sistema de control bien estructurado con todas las políticas, normas y procedimientos que permitan ejercer el Control Interno de manera eficiente y eficaz. Y cuando existe dicho sistema de Control Interno, el mismo tiende a ser muy débil o deficiente.

  1. ¿Qué debe hacer la empresa para prevenir, evitar, o mitigar esos riesgos?

R.- Diseñar una metodología de Control Interno, o asumir alguna existente que se adapte a su actividad, que comprenda básicamente los siguientes componentes:

a. Establecer un Ambiente de Control, formulando las normas y procedimientos de control internos, que comprenda los principios de Integridad y Valores Éticos, una Filosofía clara de Administración y su manera de Gestionar, una Estructura Administrativa que facilite el control, una definición clara de la Asignación de Responsabilidades, y unas Políticas de Recursos Humanos que fomenten dicho ambiente.

Se debe hacer énfasis en la supervisión del riesgo y la relación entre el riesgo y la respuesta al mismo.

b. Evaluar los riesgos, partiendo de la identificación de los mismos y su análisis, estructurando las respuestas adecuadas a esos riesgos. Igualmente, debe determinarse la Velocidad y Persistencia de los Riesgos en relación con la criticidad de los mismos. También se hace énfasis en el riesgo de Fraude.

Son tres las fases al aplicar este componente:

Entre las opciones o categorías de respuesta al riesgo se mencionan:

a. Evitar el Riesgo. Consiste en Tomar acciones a fin de discontinuar las actividades que generan riesgo. También se conoce como Eliminación del Riesgo; Evadir el Riesgo; o Prevención del Riesgo.

Ejemplo: Un distribuidor autorizado de la empresa ABC, vende un producto en malas condiciones, convirtiéndolo en un alimento altamente riesgoso para el consumo.

Riesgo: Exposición a posibles demandas por daños en la salud de sus clientes y que estos no compren más sus productos.

Respuesta al Riesgo: La acción inmediata más adecuada será sacar del mercado aquellos productos que estén dañados o en malas condiciones.

Objetivo de la Acción: Evitar que los clientes pierdan su fidelidad con la marca, evitando así posibles e importantes disminuciones en volúmenes de venta, en ingresos obtenidos, logrando en consecuencia, sostener la imagen y calidad de la organización.

b. Reducir o Mitigar el Riesgo. Implica reducir a un umbral aceptable la probabilidad y/o el impacto de un evento adverso. El hecho de Adoptar acciones tempranas para reducir el riesgo y/o su impacto, es más efectivo que reparar el daño después de ocurrido el mismo. Se puede recurrir a la realización de más pruebas o a la selección un proveedor más estable y más confiable.

Ejemplo: La empresa realiza ventas a crédito y dentro de su cartera posee clientes que adquieren grandes cantidades de productos.

Riesgo: Que esos clientes no cancelen la deuda.

Respuesta al Riesgo: Analizar cuáles son los clientes merecen crédito y establecer garantías de que los mismos cancelen la deuda a través de referencias personales y/o documentos firmados según el caso.

c. Transferir o Compartir el Riesgo. Esta acción requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza, junto con la propiedad de la respuesta. Simplemente se confiere a una tercera persona la responsabilidad de su gestión; no lo elimina.

La transferencia de la responsabilidad de un riesgo es más efectiva cuando se trata de la exposición a riesgos financieros, como en el caso del uso de Seguros, Fianzas y Garantías.

Ejemplo: En la empresa se cuenta, para realizar sus ventas, con grupo de vendedores y ruteros, que efectúan las entregas y cobros externamente, valorizados en altas sumas de dinero para la empresa.

Riesgo: Que ocurran robos y se pierda el dinero.

Respuesta al Riesgo: Recurrir a la contratación de pólizas de seguros contra robos y/o asaltos.

d. Aceptar el Riesgo. Sencillamente se debe identificar el riesgo, reconocer que existe, y proceder a cubrir las tres fases: Evaluación de Respuestas, Selección de Respuestas y Desarrollo de Acciones. Ejemplo: Auto asegurarse contra pérdidas, Reserva para pérdidas imprevistas, Aceptar los riesgos de acuerdo a los niveles de tolerancia de riego.

Son tres los tipos de Acciones para responder al Riesgo, y especialmente al Riesgo de Fraude:

Las empresas implementan actividades de control a través de políticas que establezcan qué se espera en Gestión del Control y procedimientos que pongan esas políticas en acción.

Las actividades de control son acciones establecidas por Políticas y Procedimientos para asegurar que las directrices o lineamientos de la Administración sean llevadas a cabo para mitigar riesgos que puedan afectar el logro de los objetivos.

Estas actividades son realizadas a todos los niveles de la entidad y en varias etapas del proceso del negocio, como también sobre el ambiente de tecnología.

e. Gestionar la Información y Comunicación: la empresa obtiene o genera y utiliza información relevante y de calidad para el funcionamiento del Control Interno.

La información debe ser:

f. Establecer Actividades de Monitoreo y Supervisión: se destacan dos tipos de evaluación, las Evaluaciones Continuas y las Evaluaciones Independientes.

Entre las evaluaciones continua se cuentan, las actividades propias del control interno preventivo periódico, incluyendo Auditoria Interna, diario, evaluaciones de cumplimiento de Calidad, de Seguridad; evaluaciones funcionales inter departamento o inter áreas; evaluaciones de proveedores externos.

Entre las evaluaciones Independientes, tenemos la Auditoría Externa, Los Gestores Externos de Calidad, Los Investigadores independientes, entre otros.

  1. ¿Qué falló allí o qué fue lo que no se hizo bien?

R.- Pueden ser varias las razones que indiquen las fallas. Si retomamos el punto anterior podemos resumir diciendo que las diferentes fallas pueden enmarcarse en cada uno de los componentes del Control Interno mencionados, como, por ejemplo: