Auditoría interna: control interno de la empresa

A todas las empresas les gusta minimizar los riesgos: los accidentes, los errores o, por supuesto, las actividades delictivas no deberían tener cabida en ellas. Nos referimos, por ejemplo, tanto a la seguridad laboral como a la protección contra el acceso no autorizado de terceros a la empresa. No obstante, mientras que para estos ejemplos tangibles siempre se pueden aplicar medidas y reglas, garantizar un correcto cumplimiento de los asuntos financieros o una buena dirección empresarial es más difícil. Por eso, son muchas las empresas que implementan un control de gestión que las guíe por el camino deseado.

La dirección de la empresa controla a sus trabajadores dentro de unos límites, pero ¿quién revisa las acciones y las decisiones de la propia dirección? En este y otros ámbitos empresariales, una auditoría interna puede mejorar la seguridad de la empresa, evitando tanto los errores como las actividades delictivas. Este sistema de control consta de reglas y flujos de trabajo cuyo objetivo es evitar comportamientos incorrectos en la medida de lo posible y minimizar los riesgos. Si todos los trabajadores siguen estas regulaciones, se previenen muchos errores y se detecta rápidamente si se incumplen las normas.

Los mecanismos de control se anteponen, suceden paralelamente o se posponen al trabajo que se monitoriza, dependiendo de su finalidad y de las posibilidades de cada contexto específico. La auditoría interna se caracteriza especialmente por la monitorización dentro de la empresa. Al contrario que otros sistemas que recurren a personas ajenas como instancias de control (por ejemplo, supervisión financiera o auditores), una buena auditoría interna permite que los propios empleados realicen el control.

Para establecer un sistema de control de gestión eficaz, las empresas deben considerar dos categorías: un sistema de control interno y un sistema de monitorización interno. La primera categoría se ocupa de las reglas de control de la empresa, mientras que la monitorización es la parte de la auditoría interna que supone más trabajo y que, a su vez, se ramifica en otras áreas. Las medidas deben funcionar automáticamente de la mejor manera posible.

En general, una auditoría interna debe garantizar que nadie en la empresa se comporte de manera dudosa, que todos los procesos transcurran correctamente y que ni la corrupción ni las actividades delictivas tengan cabida en ella. Concretamente, se pueden destacar las siguientes funciones:

• Protección de los activos: se deben proteger los activos existentes frente a las pérdidas.
• Registro: se deben registrar todos los procedimientos correctamente y sin demora.
• Mejora: gracias a los registros, se pueden mejorar los procesos.
• Cumplimiento de las normas: el sistema garantiza que todos los implicados cumplan las normas.

Para lograr todos estos objetivos, una auditoría interna establece cuatro principios distintos:

• División de funciones: es importante que las funciones ejecutivas (por ejemplo, el departamento de compras), contables (por ejemplo, realizar el inventario de existencias) y administrativas (por ejemplo, la gestión de existencias) dentro de un proceso empresarial no recaigan en la misma persona o grupo.
• Control: una segunda persona debe controlar los procedimientos importantes de cada empleado.
• Información mínima necesaria: los empleados deberían contar únicamente con la información necesaria para su tarea, y nada más.
• Transparencia: teniendo una idea clara del estado ideal, las personas ajenas también pueden valorar si las tareas se han desarrollado correctamente.

Hay dos modelos de control de gestión que suelen dar buenos resultados y que aplican numerosas empresas: se esconden tras los acrónimos COSO y COBIT.

El Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) es, de hecho, una organización estadounidense consagrada a las mejoras generales de las estructuras empresariales, lo que incluye cuestiones éticas y otras tantas que también forman parte de la auditoría interna. Por esa razón, la organización desarrolló en los años noventa un marco práctico que se actualizó en 2004.

Este modelo distingue cuatro categorías diferentes:

• Estrategia: objetivos de mayor importancia de las operaciones comerciales
• Operaciones: utilización eficiente de los recursos
• Reporte: entrega fiable de informes
• Cumplimiento: observancia de la legislación

Estas categorías se integran en cinco componentes:

• Ámbito de control: este componente atiende sobre todo a la ética, la filosofía y las competencias, aunque también a los aspectos estructurales de la empresa. Se compone de una variedad de estándares para implementar controles. Además, se designan mecanismos que posibilitan la adjudicación de responsabilidades por parte de la dirección empresarial.
• Evaluación de riesgos: se evalúan los posibles riesgos a los que se enfrenta la empresa sobre la base de los objetivos concretos de la misma. Todo aquello que pueda dificultar la consecución de objetivos se percibe como riesgo.
• Actividades de control: este componente se encarga de la implementación de controles. Deben detallarse las decisiones y los objetivos previstos por la dirección empresarial. Para su puesta en práctica, se aplican procedimientos específicos.
• Información y comunicación: este componente tiene en cuenta tanto la divulgación de información como la comunicación interna y externa. Para facilitar la información se puede recurrir tanto a informes orales como a manuales o normativas establecidas.
• Monitorización: la monitorización se refiere a las valoraciones de los procedimientos y consiste en comprobar continua o regularmente hasta qué punto se realiza y funciona un control de gestión.

Todas las categorías aluden a todos los componentes y todas, sin excepción, deberían introducirse en cada nivel de la empresa.

La actualización del marco de 2017 recoge los nuevos retos que han surgido con la digitalización.

El marco de Objetivos de Control para la Información y Tecnologías Relacionadas (COBIT) de la Asociación Internacional de Auditores de TI se centra en la tecnología de la información de las empresas. Mientras que el epicentro de COSO es la contabilidad y la dirección empresarial, COBIT se centra en las estructuras tecnológicas dentro de una empresa. Para ello, COBIT se compone (en su quinta versión) de cinco principios, siete categorías y 37 procesos en cinco dominios.

Los cinco principios de COBIT son las siguientes premisas centrales:

• Satisfacer las necesidades: los grupos de interés (partes interesadas) deben ver cómo el sistema satisface todos sus deseos. Definir las partes interesadas en primer lugar también forma parte de este principio.
• Proyectar la empresa de forma integral: todas las partes de la empresa deben integrarse en la auditoría interna para evitarse las pérdidas de información, incluso más allá de las soluciones de TI.
• Integrar un único marco: para que COBIT funcione de la mejor manera posible, no deberían implementarse dos marcos paralelamente, pues utilizar dos sistemas no solo incrementa los costes, sino que supone más fallos.
• Seguir un enfoque global: COBIT 5 interviene en todos los procesos de la empresa posibilitando la consecución de objetivos empresariales conjuntamente.
• Separar el control de la gestión: en una auditoría interna en funcionamiento, la gestión y la supervisión deben estar claramente separados para que, de esta forma, la persona responsable no tome decisiones equivocadas.

Para implementarlo con éxito, en COBIT 5 se establecen siete categorías de habilitadores diferentes y relacionados entre sí:

• Principios, políticas y marcos: los objetivos deseados se cumplen de forma práctica para posibilitar el trabajo diario.
• Procesos: este habilitador reúne un conjunto de prácticas con las que se pueden alcanzar los objetivos perseguidos.
• Estructuras organizacionales: con este habilitador se decide la finalidad que hay detrás de que los empleados asuman su papel.
• Cultura, ética y comportamiento: tanto para la empresa en su totalidad como para cada uno de los empleados, se crean pautas con el fin de mejorar a largo plazo la cultura empresarial.
• Información: para que la información se trate correctamente, tanto por parte de aquellos que provienen de la empresa como de los que vienen de fuera, este habilitador da indicaciones sobre calidad, seguridad y accesibilidad.
• Servicios, infraestructura y aplicaciones: este punto determina qué tecnologías y aplicaciones deben emplearse para que la tecnología de la información esté asegurada y disponible en todo momento.
• Personas, habilidades y competencias: el nivel de formación y la calidad de los empleados es importante para tomar las decisiones adecuadas e implementar medidas correctivas si es necesario.

Por otra parte, los 37 procesos definidos por COBIT se refieren a casos de aplicación concretos en una empresa. Diferenciando entre gestión y gobierno, COBIT orienta sobre cómo deben comportarse determinados grupos de personas en función de situaciones específicas.

En Estados Unidos, la Ley Sarbanes-Oxley obliga a las instituciones a realizar auditorías internas. Los escándalos en torno a grandes empresas como Enron y Worldcom tuvieron un papel decisivo desde que salió a la luz que ambas empresas no elaboraban sus finanzas con la honestidad debida. Muchas de las prácticas del control de gestión (también a nivel internacional) derivan de la Ley Sarbanes-Oxley y de sus requisitos legales aplicables en Estados Unidos.

En España también contamos con normativas que promueven los controles de gestión, como, por ejemplo, la Norma Internacional de Auditoría adaptada para su aplicación en España (NIA-ES 315), que se centra en la responsabilidad de identificar y valorar los riesgos de incorrección material en los estados financieros, mediante el conocimiento de la entidad y de su entorno, incluido el control interno de la entidad.

Además, el Instituto de Auditores Internos de España presentó la edición 2017 del Marco Internacional para la Práctica Profesional de la Auditoría Interna (MIPP) en español, que establece principios fundamentales que articulan la efectividad de la auditoría interna y son la guía que marca y orienta el camino que deben seguir los auditores internos en su desempeño profesional, ofreciendo respuestas y soluciones a su trabajo diario.

En la práctica, un sistema de control de gestión se adapta a las circunstancias y requisitos de una empresa (organización o administración). Por lo tanto, no hay dos controles de gestión iguales. Además, la documentación no es el principal garante de procesos claros y seguros en una empresa; la cultura empresarial existente y los comportamientos interiorizados son los que desempeñan un papel fundamental y exigen una comunicación clara y directa por parte de la dirección empresarial a sus empleados.

Otros puntos, por su parte, funcionan mediante registros de documentación exactos. De esta manera, puede asegurarse que las instancias de control cuentan con todo lo necesario para supervisar a la dirección (o a los correspondientes departamentos de la empresa). El procedimiento consiste en presentar informes redactados regularmente o a medida que la situación lo requiera. Evidentemente, el tipo de informe que despierta un especial interés para una auditoría interna es el informe financiero detallado.

Precisamente para las pequeñas empresas, los controles de gestión suponen todo un reto. Para poder implementarlos con éxito, es necesario contar con personal que se encargue de la auditoría. Si tenemos en cuenta que a menudo en las empresas pequeñas los distintos departamentos están cubiertos por solo uno o pocos empleados, realizar este control no es tarea fácil. Y la tarea se complica aún más cuando, por ejemplo, solamente es una persona la que dirige la empresa, en cuyo caso los empleados deberían supervisarla, lo que en la práctica resulta complejo.

Antes de introducir un sistema global, puede ser de gran ayuda un análisis bottom-up con el que se vayan integrando uno a uno los aspectos de una auditoría interna. Por ejemplo, se puede tomar como punto de partida la contabilidad, para la que todas las empresas ya cuentan con un sistema de informes, en cualquier caso. Además del propio autocontrol, una documentación adecuada contribuye especialmente a establecer un control de gestión de éxito también en las pymes.

Los empresarios no son ajenos a otros sistemas de control que quizás ya hayan puesto en práctica en su empresa o estén considerando. Uno de ellos es el sistema de gestión de riesgos (RMS por sus siglas en inglés). Se podría suponer que una auditoría interna y un sistema de gestión de riesgos son idénticos, ya que, después de todo, ambos se ocupan de la monitorización de la empresa y de considerar los riesgos; pero, si bien tienen puntos en común, se trata de sistemas diferentes.

Mientras que la gestión de riesgos gira en torno a estrategias complejas de la dirección empresarial y los riesgos que se derivan de sus decisiones, la auditoría interna tiene como objetivo principal las actividades reales de los trabajadores y directivos. Para ello, se controla continuamente si se cumplen todas las normas, algo que tienen en común los dos sistemas. Esto significa, en primer lugar, que el sistema de gestión de riesgos y la auditoría interna van de la mano, y, en segundo lugar, que cobra sentido instalar ambos sistemas de manera paralela en la empresa.

Tampoco un sistema para la gestión del cumplimiento (CMS por sus siglas en inglés) es lo mismo que los sistemas anteriores. Un CMS o Compliance Managment System debe evitar por completo las acciones y prácticas ilegales. También aquí hablamos claramente de riesgos, pero no son los únicos. Alguien se puede comportar conforme a la ley y, de todos modos, poner a la empresa en riesgo mediante determinadas acciones.

Otro término que aparece a menudo en el contexto de la monitorización de las empresas es la revisión interna que, además, puede considerarse como una medida de auditoría interna. Mientras que esta es una categoría inferior, la auditoría interna, el sistema de gestión de riesgos y el sistema para la gestión del cumplimiento equivalen a una misma categoría y actúan al mismo nivel.

Por favor, ten en cuenta el aviso legal relativo a este artículo.