Compliance y control interno: hasta dónde
es suficiente y adecuado.
Carlos Alberto Barrios
Moore Stephens Madrid.
Suficiente y
adecuado es una medida subjetiva, es una apreciación de cantidad, calidad y
validez que dependerá de la percepción de la persona que emite la opinión; yo como
profesional en el control interno puedo decir que los controles son suficientes
y adecuados porque de acuerdo a mi
evaluación y entendimiento estos cubren en gran medida los objetivos planteados tanto
en cantidad como en calidad y validez; pero para otro profesional de mi misma
área puede no ser del todo real mi apreciación.
En el caso
del control interno debemos recordar que éste es un proceso que cumple una
serie de pasos y debe cubrir unos objetivos específicos. El primer paso de todo
proyecto de controles interno y compliance es determinar los riesgos que están
presentes en la operación de la organización, debe responder a la pregunta del
qué y hablamos de todo tipo de riesgos factibles:
·
riesgos de cumplimiento: asociados a la
existencia de políticas y normas que dictan y regulan el quehacer empresarial y
su integración social;
o
cumplimiento formal: seguridad social, hacienda,
salud laboral, blanqueo de capitales, contra la competencia y el mercado;
o
cumplimiento voluntario: normativas operativas
internas;
o
de gobierno corporativo: ética y conducta, confidencialidad,
responsabilidad social empresarial.
·
Riesgos estratégicos: asociados al conjunto de
acciones y actividades de planificación (operativa y financiera) así como a la definición de metas y tácticas que desarrolla la
organización necesarios para que los objetivos empresariales se cumplan.
o
estratégicos: planificación estratégica,continuidad y contingencia, inversiones,
apetito y tolerancia de riesgo;
o
tácticos: marketing, gestión comercial, de
inversiones, de procura, de tecnología.
o
de estructura: organización jerárquica y de
mando, personas, cargos, roles y perfiles;
·
Riesgos financieros: asociados a la capacidad
financiera de la organización para mantener su continuidad operativa de acuerdo
a lo establecido por la organización.
o
tácticos: insolvencia, impagos, inversiones y
préstamos;
o
contables: validez, oportunidad y registro.
·
Riesgos operacionales: asociados a todos los
procesos operativos e integración de estos con el entorno, necesarios para que
el objetivo empresarial se cumpla tal como fue concebida.
o
del entorno: geopolíticos, religiosos, geográficos,
culturales;
o
operativos: compras, ventas, contabilidad,
tesorería, etc.
o
tecnológicos: sistemas de gestión empresarial,
redes, internet, comunicaciones.
Habiendo identificado
y entendido los tipos de riesgo que pueden suceder en la organización, se
deberá para cada uno de ellos identificar cuáles eventos son factibles ocurran
y cuales impactarían negativamente en la organización. Es en este punto donde
el concepto de suficiente y adecuado
empieza a tener sentido. Sí, para todas las áreas de riesgo se han identificado
los eventos de riesgos factibles y de impacto que puede sucederse, podríamos objetivamente
indicar que se han identificado suficientes y adecuadas actividades de control
que deberían ser examinadas para indicar que existe una garantía razonable de
control.
No hablamos
que se ha evaluado la actividad de control, sólo que se ha identificado un
evento de riesgo que debe ser controlado. Por ahora no hemos evaluado sí el
control existe, o su diseño, o su eficiencia, sino que se ha identificado eventos
de riesgos reales, factibles y de impacto, por lo tanto deberán ser controlados.
Sí por el
contrario, restamos importancia a eventos de riesgo factibles y de impacto que
son obvias en un área específica, o sólo identificamos eventos de baja posibilidad de ocurrencia o de
bajo impacto, pudiésemos indicar que los controles son insuficientes e
inadecuados y no se tendría la garantía razonable de la continuidad operativa,
ya que hay eventos de riesgo no controlados que podrían suceder.
Es por esta
razón qué la base fundamental de los proyectos de compliance y control interno,
es el adecuado entendimiento de la empresa, su mercado, su entorno y su
operación, ya que no necesariamente todas las empresas que participen en el
mismo sector y segmento de mercado tienen los mismos riesgos, impactos y
niveles de exposición.
Si deseas
agregar un comentario, estas en la libertad de hacerlo, respetando las
opiniones de los demás y sin exponer a personas u organizaciones. Nadie tiene
la verdad absoluta!
Comentarios
Publicar un comentario