Compliance y control interno: hasta dónde es suficiente y adecuado.

Compliance y control interno: hasta dónde es suficiente y adecuado.

Carlos Alberto Barrios

Moore Stephens Madrid.

 En muchas reuniones con clientes o en las charlas y conferencias muchas veces se tiene la misma duda: hasta dónde es suficiente y adecuado con respecto a la implementación de controles internos.

Suficiente y adecuado es una medida subjetiva, es una apreciación de cantidad, calidad y validez que dependerá de la percepción de la persona que emite la opinión; yo como profesional en el control interno puedo decir que los controles son suficientes y adecuados porque de acuerdo  a mi evaluación y entendimiento estos cubren en gran medida los objetivos planteados tanto en cantidad como en calidad y validez; pero para otro profesional de mi misma área puede no ser del todo real mi apreciación.

En el caso del control interno debemos recordar que éste es un proceso que cumple una serie de pasos y debe cubrir unos objetivos específicos. El primer paso de todo proyecto de controles interno y compliance es determinar los riesgos que están presentes en la operación de la organización, debe responder a la pregunta del qué y hablamos de todo tipo de riesgos factibles:

·         riesgos de cumplimiento: asociados a la existencia de políticas y normas que dictan y regulan el quehacer empresarial y su integración social;

o   cumplimiento formal: seguridad social, hacienda, salud laboral, blanqueo de capitales, contra la competencia y el mercado;

o   cumplimiento voluntario: normativas operativas internas;

o   de gobierno corporativo: ética y conducta, confidencialidad, responsabilidad social empresarial.

·         Riesgos estratégicos: asociados al conjunto de acciones y actividades de planificación (operativa y financiera) así como a la  definición de metas y tácticas que desarrolla la organización necesarios para que los objetivos empresariales se cumplan.

o   estratégicos: planificación estratégica,continuidad y contingencia, inversiones, apetito y tolerancia de riesgo;

o   tácticos: marketing, gestión comercial, de inversiones, de procura, de tecnología.

o   de estructura: organización jerárquica y de mando, personas, cargos, roles y perfiles;

·         Riesgos financieros: asociados a la capacidad financiera de la organización para mantener su continuidad operativa de acuerdo a lo establecido por la organización.

o   tácticos: insolvencia, impagos, inversiones y préstamos;

o   contables: validez, oportunidad y registro.

·         Riesgos operacionales: asociados a todos los procesos operativos e integración de estos con el entorno, necesarios para que el objetivo empresarial se cumpla tal como fue concebida.

o   del entorno: geopolíticos, religiosos, geográficos, culturales;

o   operativos: compras, ventas, contabilidad, tesorería, etc. 

o   tecnológicos: sistemas de gestión empresarial, redes, internet, comunicaciones.

Habiendo identificado y entendido los tipos de riesgo que pueden suceder en la organización, se deberá para cada uno de ellos identificar cuáles eventos son factibles ocurran y cuales impactarían negativamente en la organización. Es en este punto donde el concepto de suficiente y adecuado empieza a tener sentido. Sí, para todas las áreas de riesgo se han identificado los eventos de riesgos factibles y de impacto que puede sucederse, podríamos objetivamente indicar que se han identificado suficientes y adecuadas actividades de control que deberían ser examinadas para indicar que existe una garantía razonable de control.

No hablamos que se ha evaluado la actividad de control, sólo que se ha identificado un evento de riesgo que debe ser controlado. Por ahora no hemos evaluado sí el control existe, o su diseño, o su eficiencia, sino que se ha identificado eventos de riesgos reales, factibles y de impacto, por lo tanto deberán ser controlados.

Sí por el contrario, restamos importancia a eventos de riesgo factibles y de impacto que son obvias en un área específica, o sólo identificamos  eventos de baja posibilidad de ocurrencia o de bajo impacto, pudiésemos indicar que los controles son insuficientes e inadecuados y no se tendría la garantía razonable de la continuidad operativa, ya que hay eventos de riesgo no controlados que podrían suceder.

Es por esta razón qué la base fundamental de los proyectos de compliance y control interno, es el adecuado entendimiento de la empresa, su mercado, su entorno y su operación, ya que no necesariamente todas las empresas que participen en el mismo sector y segmento de mercado tienen los mismos riesgos, impactos y niveles de exposición.

Si deseas agregar un comentario, estas en la libertad de hacerlo, respetando las opiniones de los demás y sin exponer a personas u organizaciones. Nadie tiene la verdad absoluta!