El Control Interno y los Riesgos Empresariales

En las empresas se presenta una variedad de riesgos que deben ser atendidos mediante el establecimiento de un Sistema de Control Interno adecuado. Entre estos riesgos se mencionan los Operacionales, los Financieros y los Reputacionales.

En mi trayectoria profesional como Auditor Interno y como Consultor Externo, se ha podido evidenciar la presencia de ciertas debilidades de Control Interno en las actividades referidas a Compras, Almacenamiento, Custodia y Despacho.

Bajo ese escenario, se pregunta:

1. ¿A qué riesgos se está enfrentando la empresa?

R.- Riesgos como la colusión interna o externa para cometer fraude, manejo de sobornos, coimas u otras prebendas. Entendiendo por Colusión como el acuerdo ilícito que establecen dos o más partes con el objetivo de obtener un provecho o beneficio, provocando un perjuicio a un tercero.

En otras palabras, dos o más partes se confabulan para obtener un beneficio personal ocasionando daños considerables a la empresa. Dicho acuerdo ilícito puede ser interno, involucrando solamente personal de la empresa, o externo, cuando se involucra a un tercero ajeno a la misma empresa.

2. ¿Se pueden prevenir o evitar esos riesgos?

R.- Si pueden prevenirse, tomando las acciones adecuadas para evitar, reducir o mitigar esos riesgos.

3. ¿Por qué ocurren o se presentan esos riesgos?

R.- Porque no existen mecanismos de control adecuados.

La razón fundamental por la que existen o se presentan esos riesgos, obedece a que en la empresa no se cuenta con un sistema de control bien estructurado con todas las políticas, normas y procedimientos que permitan ejercer el Control Interno de manera eficiente y eficaz. Y cuando existe dicho sistema de Control Interno, el mismo tiende a ser muy débil o deficiente.

4. ¿Qué debe hacer la empresa para prevenir, evitar, o mitigar esos riesgos?

R.- Diseñar una metodología de Control Interno, o asumir alguna existente que se adapte a su actividad, que comprenda básicamente los siguientes componentes:

a. Establecer un Ambiente de Control, formulando las normas y procedimientos de control internos, que comprenda los principios de Integridad y Valores Éticos, una Filosofía clara de Administración y su manera de Gestionar, una Estructura Administrativa que facilite el control, una definición clara de la Asignación de Responsabilidades, y unas Políticas de Recursos Humanos que fomenten dicho ambiente.

Se debe hacer énfasis en la supervisión del riesgo y la relación entre el riesgo y la respuesta al mismo.

b. Evaluar los riesgos, partiendo de la identificación de los mismos y su análisis, estructurando las respuestas adecuadas a esos riesgos. Igualmente, debe determinarse la Velocidad y Persistencia de los Riesgos en relación con la criticidad de los mismos. También se hace énfasis en el riesgo de Fraude.

Son tres las fases al aplicar este componente:

• Evaluación de Respuestas: que consiste en Analizar cada uno de los riesgos detectados en la organización, determinar su calificación y sus posibles impactos y efectos.
• Selección de Respuestas: que comprende Evaluar cada una de las posibles respuestas al riesgo, a fin de seleccionar la más adecuada para manejar cada riesgo existente en la organización.
• Desarrollo de Acciones: Implementar un plan de acción que permita poner en marcha la respuesta al riesgo seleccionada y lograr contrarrestar cualquier perjuicio a la organización.

Entre las opciones o categorías de respuesta al riesgo se mencionan:

a. Evitar el Riesgo. Consiste en Tomar acciones a fin de discontinuar las actividades que generan riesgo. También se conoce como Eliminación del Riesgo; Evadir el Riesgo; o Prevención del Riesgo.

Ejemplo: Un distribuidor autorizado de la empresa ABC, vende un producto en malas condiciones, convirtiéndolo en un alimento altamente riesgoso para el consumo.

Riesgo: Exposición a posibles demandas por daños en la salud de sus clientes y que estos no compren más sus productos.

Respuesta al Riesgo: La acción inmediata más adecuada será sacar del mercado aquellos productos que estén dañados o en malas condiciones.

Objetivo de la Acción: Evitar que los clientes pierdan su fidelidad con la marca, evitando así posibles e importantes disminuciones en volúmenes de venta, en ingresos obtenidos, logrando en consecuencia, sostener la imagen y calidad de la organización.

b. Reducir o Mitigar el Riesgo. Implica reducir a un umbral aceptable la probabilidad y/o el impacto de un evento adverso. El hecho de Adoptar acciones tempranas para reducir el riesgo y/o su impacto, es más efectivo que reparar el daño después de ocurrido el mismo. Se puede recurrir a la realización de más pruebas o a la selección un proveedor más estable y más confiable.

Ejemplo: La empresa realiza ventas a crédito y dentro de su cartera posee clientes que adquieren grandes cantidades de productos.

Riesgo: Que esos clientes no cancelen la deuda.

Respuesta al Riesgo: Analizar cuáles son los clientes merecen crédito y establecer garantías de que los mismos cancelen la deuda a través de referencias personales y/o documentos firmados según el caso.

c. Transferir o Compartir el Riesgo. Esta acción requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza, junto con la propiedad de la respuesta. Simplemente se confiere a una tercera persona la responsabilidad de su gestión; no lo elimina.

La transferencia de la responsabilidad de un riesgo es más efectiva cuando se trata de la exposición a riesgos financieros, como en el caso del uso de Seguros, Fianzas y Garantías.

Ejemplo: En la empresa se cuenta, para realizar sus ventas, con grupo de vendedores y ruteros, que efectúan las entregas y cobros externamente, valorizados en altas sumas de dinero para la empresa.

Riesgo: Que ocurran robos y se pierda el dinero.

Respuesta al Riesgo: Recurrir a la contratación de pólizas de seguros contra robos y/o asaltos.

d. Aceptar el Riesgo. Sencillamente se debe identificar el riesgo, reconocer que existe, y proceder a cubrir las tres fases: Evaluación de Respuestas, Selección de Respuestas y Desarrollo de Acciones. Ejemplo: Auto asegurarse contra pérdidas, Reserva para pérdidas imprevistas, Aceptar los riesgos de acuerdo a los niveles de tolerancia de riego.

Son tres los tipos de Acciones para responder al Riesgo, y especialmente al Riesgo de Fraude:

• Acciones de Mitigación para Reducir el Impacto.
• Acciones de Mitigación para Reducir la Probabilidad de que Ocurran.
• Acciones y Planes de Contingencia.
• Definir Claramente las Actividades de Control a Realizar, tales como Verificaciones, Validaciones, Revisiones, Auditorías, Seguridad y Contraloría.

Las empresas implementan actividades de control a través de políticas que establezcan qué se espera en Gestión del Control y procedimientos que pongan esas políticas en acción.

Las actividades de control son acciones establecidas por Políticas y Procedimientos para asegurar que las directrices o lineamientos de la Administración sean llevadas a cabo para mitigar riesgos que puedan afectar el logro de los objetivos.

Estas actividades son realizadas a todos los niveles de la entidad y en varias etapas del proceso del negocio, como también sobre el ambiente de tecnología.

e. Gestionar la Información y Comunicación: la empresa obtiene o genera y utiliza información relevante y de calidad para el funcionamiento del Control Interno.

La información debe ser:

• Correcta: que sea Exacta, sin Errores, Confiable para que contribuya a una mejor toma de decisiones.
• Oportuna: Disponible a tiempo, en el momento justo que se necesita. De allí que los sistemas de información modernos (software), están diseñados para manejar la información en “Tiempo real”, desde el mismo momento en que ocurren los hechos o es generada.
• Protegida: es necesario procurar toda la protección posible a la información que se obtiene, genera y utiliza en la empresa, diseñando políticas y normas que regulen la “Protección de Activos de Información”.
• Accesible: la información deberá estar disponible de manera rápida y fácil para todo el personal involucrado en la Gestión del Control Interno.
• Suficiente: se requiere que la información sea suficiente, conteniendo todos los hechos y datos necesario para que los responsables de tomar las decisiones sobre las acciones de respuesta a los riesgos, puedan hacerlo de manera eficaz y eficiente.
• Retenida: la información una vez obtenida, generada y utilizada debe ser retenida como un activo propiedad de la empresa.
• Actualizada: se recomienda que la información se corresponda al momento “actual” de los hechos que se estén evaluando, la información del pasado en simplemente “historia”.
• Válida: quiere decir que la información sea cierta y soporte todas las pruebas que se le puedan aplicar.
• Verificable: que los resultados que se obtengan producto de la información obtenida, generada y gestionada, puedan ser verificados o examinados por diferentes personas incluyendo entes externos a la empresa, y que esos resultados sean idénticos. Esto comprueba la ausencia de factores que puedan influir como la actitud parcial o subjetiva de las personas responsables.

f. Establecer Actividades de Monitoreo y Supervisión: se destacan dos tipos de evaluación, las Evaluaciones Continuas y las Evaluaciones Independientes.

Entre las evaluaciones continua se cuentan, las actividades propias del control interno preventivo periódico, incluyendo Auditoria Interna, diario, evaluaciones de cumplimiento de Calidad, de Seguridad; evaluaciones funcionales inter departamento o inter áreas; evaluaciones de proveedores externos.

Entre las evaluaciones Independientes, tenemos la Auditoría Externa, Los Gestores Externos de Calidad, Los Investigadores independientes, entre otros.

5. ¿Qué falló allí o qué fue lo que no se hizo bien?

R.- Pueden ser varias las razones que indiquen las fallas. Si retomamos el punto anterior podemos resumir diciendo que las diferentes fallas pueden enmarcarse en cada uno de los componentes del Control Interno mencionados, como, por ejemplo:

• La no configuración de un Ambiente de Control.
• La no realización de la evaluación de los riesgos, identificándolos y determinando las posibles respuestas a los mismos.
• Inexistencia de Actividades de Control claramente definidas.
• La gestión de la Información y Comunicación referida al Control Interno, es muy deficiente o no existe.
• Y como consecuencia de las debilidades anteriores, no existe el debido monitoreo y seguimiento.