Compliance y control interno: hasta dónde
es suficiente y adecuado.
Carlos Alberto Barrios
Moore Stephens Madrid.
Suficiente y
adecuado es una medida subjetiva, es una apreciación de cantidad, calidad y
validez que dependerá de la percepción de la persona que emite la opinión; yo como
profesional en el control interno puedo decir que los controles son suficientes
y adecuados porque de acuerdo a mi
evaluación y entendimiento estos cubren en gran medida los objetivos planteados tanto
en cantidad como en calidad y validez; pero para otro profesional de mi misma
área puede no ser del todo real mi apreciación.
En el caso
del control interno debemos recordar que éste es un proceso que cumple una
serie de pasos y debe cubrir unos objetivos específicos. El primer paso de todo
proyecto de controles interno y compliance es determinar los riesgos que están
presentes en la operación de la organización, debe responder a la pregunta del
qué y hablamos de todo tipo de riesgos factibles:
·
riesgos de cumplimiento: asociados a la
existencia de políticas y normas que dictan y regulan el quehacer empresarial y
su integración social;
o
cumplimiento formal: seguridad social, hacienda,
salud laboral, blanqueo de capitales, contra la competencia y el mercado;
o
cumplimiento voluntario: normativas operativas
internas;
o
de gobierno corporativo: ética y conducta, confidencialidad,
responsabilidad social empresarial.
·
Riesgos estratégicos: asociados al conjunto de
acciones y actividades de planificación (operativa y financiera) así como a la definición de metas y tácticas que desarrolla la
organización necesarios para que los objetivos empresariales se cumplan.
o
estratégicos: planificación estratégica,continuidad y contingencia, inversiones,
apetito y tolerancia de riesgo;
o
tácticos: marketing, gestión comercial, de
inversiones, de procura, de tecnología.
o
de estructura: organización jerárquica y de
mando, personas, cargos, roles y perfiles;
·
Riesgos financieros: asociados a la capacidad
financiera de la organización para mantener su continuidad operativa de acuerdo
a lo establecido por la organización.
o
tácticos: insolvencia, impagos, inversiones y
préstamos;
o
contables: validez, oportunidad y registro.
·
Riesgos operacionales: asociados a todos los
procesos operativos e integración de estos con el entorno, necesarios para que
el objetivo empresarial se cumpla tal como fue concebida.
o
del entorno: geopolíticos, religiosos, geográficos,
culturales;
o
operativos: compras, ventas, contabilidad,
tesorería, etc.
o
tecnológicos: sistemas de gestión empresarial,
redes, internet, comunicaciones.

No hablamos
que se ha evaluado la actividad de control, sólo que se ha identificado un
evento de riesgo que debe ser controlado. Por ahora no hemos evaluado sí el
control existe, o su diseño, o su eficiencia, sino que se ha identificado eventos
de riesgos reales, factibles y de impacto, por lo tanto deberán ser controlados.

Es por esta
razón qué la base fundamental de los proyectos de compliance y control interno,
es el adecuado entendimiento de la empresa, su mercado, su entorno y su
operación, ya que no necesariamente todas las empresas que participen en el
mismo sector y segmento de mercado tienen los mismos riesgos, impactos y
niveles de exposición.
Si deseas
agregar un comentario, estas en la libertad de hacerlo, respetando las
opiniones de los demás y sin exponer a personas u organizaciones. Nadie tiene
la verdad absoluta!
Comentarios
Publicar un comentario