Auditoría interna: control interno de la empresa

A todas las empresas les gusta minimizar los riesgos: los ac­ci­de­n­tes, los errores o, por supuesto, las ac­ti­vi­da­des de­li­c­ti­vas no deberían tener cabida en ellas. Nos referimos, por ejemplo, tanto a la seguridad laboral como a la pro­te­c­ción contra el acceso no au­to­ri­za­do de terceros a la empresa. No obstante, mientras que para estos ejemplos tangibles siempre se pueden aplicar medidas y reglas, ga­ra­n­ti­zar un correcto cu­m­pli­mie­n­to de los asuntos fi­na­n­cie­ros o una buena dirección em­pre­sa­rial es más difícil. Por eso, son muchas las empresas que im­ple­me­n­tan un control de gestión que las guíe por el camino deseado.

La dirección de la empresa controla a sus tra­ba­ja­do­res dentro de unos límites, pero ¿quién revisa las acciones y las de­ci­sio­nes de la propia dirección? En este y otros ámbitos em­pre­sa­ria­les, una auditoría interna puede mejorar la seguridad de la empresa, evitando tanto los errores como las ac­ti­vi­da­des de­li­c­ti­vas. Este sistema de control consta de reglas y flujos de trabajo cuyo objetivo es evitar co­m­po­r­ta­mie­n­tos in­co­rre­c­tos en la medida de lo posible y minimizar los riesgos. Si todos los tra­ba­ja­do­res siguen estas re­gu­la­cio­nes, se previenen muchos errores y se detecta rá­pi­da­me­n­te si se incumplen las normas.

Los me­ca­ni­s­mos de control se anteponen, suceden pa­ra­le­la­me­n­te o se posponen al trabajo que se mo­ni­to­ri­za, de­pe­n­die­n­do de su finalidad y de las po­si­bi­li­da­des de cada contexto es­pe­cí­fi­co. La auditoría interna se ca­ra­c­te­ri­za es­pe­cia­l­me­n­te por la mo­ni­to­ri­za­ción dentro de la empresa. Al contrario que otros sistemas que recurren a personas ajenas como in­s­ta­n­cias de control (por ejemplo, su­pe­r­vi­sión fi­na­n­cie­ra o auditores), una buena auditoría interna permite que los propios empleados realicen el control.

Para es­ta­ble­cer un sistema de control de gestión eficaz, las empresas deben co­n­si­de­rar dos ca­te­go­rías: un sistema de control interno y un sistema de mo­ni­to­ri­za­ción interno. La primera categoría se ocupa de las reglas de control de la empresa, mientras que la mo­ni­to­ri­za­ción es la parte de la auditoría interna que supone más trabajo y que, a su vez, se ramifica en otras áreas. Las medidas deben funcionar au­to­má­ti­ca­me­n­te de la mejor manera posible.

En general, una auditoría interna debe ga­ra­n­ti­zar que nadie en la empresa se comporte de manera dudosa, que todos los procesos tra­n­s­cu­rran co­rre­c­ta­me­n­te y que ni la co­rru­p­ción ni las ac­ti­vi­da­des de­li­c­ti­vas tengan cabida en ella. Co­n­cre­ta­me­n­te, se pueden destacar las si­guie­n­tes funciones:

• Pro­te­c­ción de los activos: se deben proteger los activos exi­s­te­n­tes frente a las pérdidas.
• Registro: se deben registrar todos los pro­ce­di­mie­n­tos co­rre­c­ta­me­n­te y sin demora.
• Mejora: gracias a los registros, se pueden mejorar los procesos.
• Cu­m­pli­mie­n­to de las normas: el sistema garantiza que todos los im­pli­ca­dos cumplan las normas.

Para lograr todos estos objetivos, una auditoría interna establece cuatro pri­n­ci­pios distintos:

• División de funciones: es im­po­r­ta­n­te que las funciones eje­cu­ti­vas (por ejemplo, el de­pa­r­ta­me­n­to de compras), contables (por ejemplo, realizar el in­ve­n­ta­rio de exi­s­te­n­cias) y ad­mi­ni­s­tra­ti­vas (por ejemplo, la gestión de exi­s­te­n­cias) dentro de un proceso em­pre­sa­rial no recaigan en la misma persona o grupo.
• Control: una segunda persona debe controlar los pro­ce­di­mie­n­tos im­po­r­ta­n­tes de cada empleado.
• In­fo­r­ma­ción mínima necesaria: los empleados deberían contar úni­ca­me­n­te con la in­fo­r­ma­ción necesaria para su tarea, y nada más.
• Tra­n­s­pa­re­n­cia: teniendo una idea clara del estado ideal, las personas ajenas también pueden valorar si las tareas se han de­sa­rro­lla­do co­rre­c­ta­me­n­te.

Hay dos modelos de control de gestión que suelen dar buenos re­su­l­ta­dos y que aplican numerosas empresas: se esconden tras los acrónimos COSO y COBIT.

El Comité de Or­ga­ni­za­cio­nes Pa­tro­ci­na­do­ras de la Comisión Treadway (COSO) es, de hecho, una or­ga­ni­za­ción es­ta­dou­ni­de­n­se co­n­sa­gra­da a las mejoras generales de las es­tru­c­tu­ras em­pre­sa­ria­les, lo que incluye cue­s­tio­nes éticas y otras tantas que también forman parte de la auditoría interna. Por esa razón, la or­ga­ni­za­ción de­sa­rro­lló en los años noventa un marco práctico que se actualizó en 2004.

Este modelo distingue cuatro ca­te­go­rías di­fe­re­n­tes:

• Es­tra­te­gia: objetivos de mayor im­po­r­ta­n­cia de las ope­ra­cio­nes co­me­r­cia­les
• Ope­ra­cio­nes: uti­li­za­ción eficiente de los recursos
• Reporte: entrega fiable de informes
• Cu­m­pli­mie­n­to: ob­se­r­va­n­cia de la le­gi­s­la­ción

Estas ca­te­go­rías se integran en cinco co­m­po­ne­n­tes:

• Ámbito de control: este co­m­po­ne­n­te atiende sobre todo a la ética, la filosofía y las co­m­pe­te­n­cias, aunque también a los aspectos es­tru­c­tu­ra­les de la empresa. Se compone de una variedad de es­tá­n­da­res para im­ple­me­n­tar controles. Además, se designan me­ca­ni­s­mos que po­si­bi­li­tan la ad­ju­di­ca­ción de re­s­po­n­sa­bi­li­da­des por parte de la dirección em­pre­sa­rial.
• Eva­lua­ción de riesgos: se evalúan los posibles riesgos a los que se enfrenta la empresa sobre la base de los objetivos concretos de la misma. Todo aquello que pueda di­fi­cu­l­tar la co­n­se­cu­ción de objetivos se percibe como riesgo.
• Ac­ti­vi­da­des de control: este co­m­po­ne­n­te se encarga de la im­ple­me­n­ta­ción de controles. Deben de­ta­llar­se las de­ci­sio­nes y los objetivos previstos por la dirección em­pre­sa­rial. Para su puesta en práctica, se aplican pro­ce­di­mie­n­tos es­pe­cí­fi­cos.
• In­fo­r­ma­ción y co­mu­ni­ca­ción: este co­m­po­ne­n­te tiene en cuenta tanto la di­vu­l­ga­ción de in­fo­r­ma­ción como la co­mu­ni­ca­ción interna y externa. Para facilitar la in­fo­r­ma­ción se puede recurrir tanto a informes orales como a manuales o no­r­ma­ti­vas es­ta­ble­ci­das.
• Mo­ni­to­ri­za­ción: la mo­ni­to­ri­za­ción se refiere a las va­lo­ra­cio­nes de los pro­ce­di­mie­n­tos y consiste en comprobar continua o re­gu­la­r­me­n­te hasta qué punto se realiza y funciona un control de gestión.

Todas las ca­te­go­rías aluden a todos los co­m­po­ne­n­tes y todas, sin excepción, deberían in­tro­du­ci­r­se en cada nivel de la empresa.

La ac­tua­li­za­ción del marco de 2017 recoge los nuevos retos que han surgido con la di­gi­ta­li­za­ción.

El marco de Objetivos de Control para la In­fo­r­ma­ción y Te­c­no­lo­gías Re­la­cio­na­das (COBIT) de la Aso­cia­ción In­te­r­na­cio­nal de Auditores de TI se centra en la te­c­no­lo­gía de la in­fo­r­ma­ción de las empresas. Mientras que el epicentro de COSO es la co­n­ta­bi­li­dad y la dirección em­pre­sa­rial, COBIT se centra en las es­tru­c­tu­ras te­c­no­ló­gi­cas dentro de una empresa. Para ello, COBIT se compone (en su quinta versión) de cinco pri­n­ci­pios, siete ca­te­go­rías y 37 procesos en cinco dominios.

Los cinco pri­n­ci­pios de COBIT son las si­guie­n­tes premisas centrales:

• Sa­ti­s­fa­cer las ne­ce­si­da­des: los grupos de interés (partes in­te­re­sa­das) deben ver cómo el sistema satisface todos sus deseos. Definir las partes in­te­re­sa­das en primer lugar también forma parte de este principio.
• Proyectar la empresa de forma integral: todas las partes de la empresa deben in­te­grar­se en la auditoría interna para evitarse las pérdidas de in­fo­r­ma­ción, incluso más allá de las so­lu­cio­nes de TI.
• Integrar un único marco: para que COBIT funcione de la mejor manera posible, no deberían im­ple­me­n­tar­se dos marcos pa­ra­le­la­me­n­te, pues utilizar dos sistemas no solo in­cre­me­n­ta los costes, sino que supone más fallos.
• Seguir un enfoque global: COBIT 5 in­te­r­vie­ne en todos los procesos de la empresa po­si­bi­li­ta­n­do la co­n­se­cu­ción de objetivos em­pre­sa­ria­les co­n­ju­n­ta­me­n­te.
• Separar el control de la gestión: en una auditoría interna en fu­n­cio­na­mie­n­to, la gestión y la su­pe­r­vi­sión deben estar cla­ra­me­n­te separados para que, de esta forma, la persona re­s­po­n­sa­ble no tome de­ci­sio­nes equi­vo­ca­das.

Para im­ple­me­n­tar­lo con éxito, en COBIT 5 se es­ta­ble­cen siete ca­te­go­rías de ha­bi­li­ta­do­res di­fe­re­n­tes y re­la­cio­na­dos entre sí:

• Pri­n­ci­pios, políticas y marcos: los objetivos deseados se cumplen de forma práctica para po­si­bi­li­tar el trabajo diario.
• Procesos: este ha­bi­li­ta­dor reúne un conjunto de prácticas con las que se pueden alcanzar los objetivos pe­r­se­gui­dos.
• Es­tru­c­tu­ras or­ga­ni­za­cio­na­les: con este ha­bi­li­ta­dor se decide la finalidad que hay detrás de que los empleados asuman su papel.
• Cultura, ética y co­m­po­r­ta­mie­n­to: tanto para la empresa en su totalidad como para cada uno de los empleados, se crean pautas con el fin de mejorar a largo plazo la cultura em­pre­sa­rial.
• In­fo­r­ma­ción: para que la in­fo­r­ma­ción se trate co­rre­c­ta­me­n­te, tanto por parte de aquellos que provienen de la empresa como de los que vienen de fuera, este ha­bi­li­ta­dor da in­di­ca­cio­nes sobre calidad, seguridad y ac­ce­si­bi­li­dad.
• Servicios, in­frae­s­tru­c­tu­ra y apli­ca­cio­nes: este punto determina qué te­c­no­lo­gías y apli­ca­cio­nes deben emplearse para que la te­c­no­lo­gía de la in­fo­r­ma­ción esté asegurada y di­s­po­ni­ble en todo momento.
• Personas, ha­bi­li­da­des y co­m­pe­te­n­cias: el nivel de formación y la calidad de los empleados es im­po­r­ta­n­te para tomar las de­ci­sio­nes adecuadas e im­ple­me­n­tar medidas co­rre­c­ti­vas si es necesario.

Por otra parte, los 37 procesos definidos por COBIT se refieren a casos de apli­ca­ción concretos en una empresa. Di­fe­re­n­cia­n­do entre gestión y gobierno, COBIT orienta sobre cómo deben co­m­po­r­tar­se de­te­r­mi­na­dos grupos de personas en función de si­tua­cio­nes es­pe­cí­fi­cas.

En Estados Unidos, la Ley Sarbanes-Oxley obliga a las in­s­ti­tu­cio­nes a realizar au­di­to­rías internas. Los es­cá­n­da­los en torno a grandes empresas como Enron y Worldcom tuvieron un papel decisivo desde que salió a la luz que ambas empresas no ela­bo­ra­ban sus finanzas con la ho­ne­s­ti­dad debida. Muchas de las prácticas del control de gestión (también a nivel in­te­r­na­cio­nal) derivan de la Ley Sarbanes-Oxley y de sus re­qui­si­tos legales apli­ca­bles en Estados Unidos.

En España también contamos con no­r­ma­ti­vas que promueven los controles de gestión, como, por ejemplo, la Norma In­te­r­na­cio­nal de Auditoría adaptada para su apli­ca­ción en España (NIA-ES 315), que se centra en la re­s­po­n­sa­bi­li­dad de ide­n­ti­fi­car y valorar los riesgos de in­co­rre­c­ción material en los estados fi­na­n­cie­ros, mediante el co­no­ci­mie­n­to de la entidad y de su entorno, incluido el control interno de la entidad.

Además, el Instituto de Auditores Internos de España presentó la edición 2017 del Marco In­te­r­na­cio­nal para la Práctica Pro­fe­sio­nal de la Auditoría Interna (MIPP) en español, que establece pri­n­ci­pios fu­n­da­me­n­ta­les que articulan la efe­c­ti­vi­dad de la auditoría interna y son la guía que marca y orienta el camino que deben seguir los auditores internos en su desempeño pro­fe­sio­nal, ofre­cie­n­do re­s­pue­s­tas y so­lu­cio­nes a su trabajo diario.

En la práctica, un sistema de control de gestión se adapta a las ci­r­cu­n­s­ta­n­cias y re­qui­si­tos de una empresa (or­ga­ni­za­ción o ad­mi­ni­s­tra­ción). Por lo tanto, no hay dos controles de gestión iguales. Además, la do­cu­me­n­ta­ción no es el principal garante de procesos claros y seguros en una empresa; la cultura em­pre­sa­rial existente y los co­m­po­r­ta­mie­n­tos in­te­rio­ri­za­dos son los que de­sem­pe­ñan un papel fu­n­da­me­n­tal y exigen una co­mu­ni­ca­ción clara y directa por parte de la dirección em­pre­sa­rial a sus empleados.

Otros puntos, por su parte, funcionan mediante registros de do­cu­me­n­ta­ción exactos. De esta manera, puede ase­gu­rar­se que las in­s­ta­n­cias de control cuentan con todo lo necesario para su­pe­r­vi­sar a la dirección (o a los co­rre­s­po­n­die­n­tes de­pa­r­ta­me­n­tos de la empresa). El pro­ce­di­mie­n­to consiste en presentar informes re­da­c­ta­dos re­gu­la­r­me­n­te o a medida que la situación lo requiera. Evi­de­n­te­me­n­te, el tipo de informe que despierta un especial interés para una auditoría interna es el informe fi­na­n­cie­ro detallado.

Pre­ci­sa­me­n­te para las pequeñas empresas, los controles de gestión suponen todo un reto. Para poder im­ple­me­n­tar­los con éxito, es necesario contar con personal que se encargue de la auditoría. Si tenemos en cuenta que a menudo en las empresas pequeñas los distintos de­pa­r­ta­me­n­tos están cubiertos por solo uno o pocos empleados, realizar este control no es tarea fácil. Y la tarea se complica aún más cuando, por ejemplo, solamente es una persona la que dirige la empresa, en cuyo caso los empleados deberían su­pe­r­vi­sar­la, lo que en la práctica resulta complejo.

Antes de in­tro­du­cir un sistema global, puede ser de gran ayuda un análisis bottom-up con el que se vayan in­te­gra­n­do uno a uno los aspectos de una auditoría interna. Por ejemplo, se puede tomar como punto de partida la co­n­ta­bi­li­dad, para la que todas las empresas ya cuentan con un sistema de informes, en cualquier caso. Además del propio au­to­co­n­trol, una do­cu­me­n­ta­ción adecuada co­n­tri­bu­ye es­pe­cia­l­me­n­te a es­ta­ble­cer un control de gestión de éxito también en las pymes.

Los em­pre­sa­rios no son ajenos a otros sistemas de control que quizás ya hayan puesto en práctica en su empresa o estén co­n­si­de­ra­n­do. Uno de ellos es el sistema de gestión de riesgos (RMS por sus siglas en inglés). Se podría suponer que una auditoría interna y un sistema de gestión de riesgos son idénticos, ya que, después de todo, ambos se ocupan de la mo­ni­to­ri­za­ción de la empresa y de co­n­si­de­rar los riesgos; pero, si bien tienen puntos en común, se trata de sistemas di­fe­re­n­tes.

Mientras que la gestión de riesgos gira en torno a es­tra­te­gias complejas de la dirección em­pre­sa­rial y los riesgos que se derivan de sus de­ci­sio­nes, la auditoría interna tiene como objetivo principal las ac­ti­vi­da­des reales de los tra­ba­ja­do­res y di­re­c­ti­vos. Para ello, se controla co­n­ti­nua­me­n­te si se cumplen todas las normas, algo que tienen en común los dos sistemas. Esto significa, en primer lugar, que el sistema de gestión de riesgos y la auditoría interna van de la mano, y, en segundo lugar, que cobra sentido instalar ambos sistemas de manera paralela en la empresa.

Tampoco un sistema para la gestión del cu­m­pli­mie­n­to (CMS por sus siglas en inglés) es lo mismo que los sistemas an­te­rio­res. Un CMS o Co­m­plia­n­ce Managment System debe evitar por completo las acciones y prácticas ilegales. También aquí hablamos cla­ra­me­n­te de riesgos, pero no son los únicos. Alguien se puede comportar conforme a la ley y, de todos modos, poner a la empresa en riesgo mediante de­te­r­mi­na­das acciones.

Otro término que aparece a menudo en el contexto de la mo­ni­to­ri­za­ción de las empresas es la revisión interna que, además, puede co­n­si­de­rar­se como una medida de auditoría interna. Mientras que esta es una categoría inferior, la auditoría interna, el sistema de gestión de riesgos y el sistema para la gestión del cu­m­pli­mie­n­to equivalen a una misma categoría y actúan al mismo nivel.

Por favor, ten en cuenta el aviso legal relativo a este artículo.