Los controles contables son mucho más funcionales, efectivos y necesarios que los que se implementan…
10 pasos para evaluar controles internos y detectar deficiencias
Evaluar controles internos es esencial para la salud financiera y operativa de cualquier organización. Las empresas e instituciones dependen de sistemas cada vez más complejos para generar los tipos de datos que respaldan su gestión financiera y operativa. Si hay un fallo en el sistema, ya sea en el diseño o en la operación, las empresas se exponen a importantes riesgos financieros, incluidos fraude, corrupción y pérdida de activos. Si bien algunos riesgos son inevitables, los controles internos ayudan a mitigarlos y, por lo tanto, se encuentran entre las herramientas más importantes disponibles para una gestión eficaz del riesgo.
Los controles internos están diseñados para proporcionar una seguridad razonable sobre el logro de los objetivos de una empresa en tres áreas clave: la confiabilidad de los informes financieros, la eficacia y eficiencia de las operaciones y el cumplimiento de las leyes aplicables. y regulaciones. Existe una deficiencia en el control interno cuando un control no permite a la gerencia o a los empleados prevenir, detectar y corregir errores de manera oportuna.
No identificar o corregir las deficiencias de control puede ser desastroso, dañar la integridad de los informes financieros, erosionar la confianza del público y de los inversores y desestabilizar a la organización. En este artículo, explicamos cómo evaluar controles internos, brindando 10 consejos sobre cómo evaluar controles internos de forma adecuada.
¿Cómo evaluar controles internos y detectar fallos en ellos?
Como respuesta a los incidentes e infracciones que han afectado a empresas de grandes dimensiones, los gobiernos han promulgado regulaciones severas que imponen requisitos estrictos especialmente en las áreas financieras y contables.
Estos requisitos tienen algo en común: proporcionar informes sobre controles internos por parte de los auditores. Por supuesto, las organizaciones necesitan construir una estructura de procesos adecuada para evaluar controles internos que puedan ser certificados y avalados por cualquier auditor o compañía auditora.
Los controles internos son los procedimientos o protocolos que la organización diseña e implementa para asegurar que se cumplan las normas y se sigan las mejores prácticas contables, financieras y comerciales, generalmente aceptadas.
Para evaluar controles internos es preciso comprender que estos pueden ser físicos, electrónicos, financieros o híbridos. Los fallos en los controles, por otra parte, pueden estar relacionadas con el diseño inicial, fallos de capacitación o ausencia de aplicación del control. También es posible que se detecte que sencillamente el control falta. Es preciso diseñarlo, implementarlo, capacitar a las personas y verificar su efectividad.
¿Cómo se evalúan las deficiencias de los controles internos?
La globalización y la Transformación Digital agregan complejidad a los auditores encargados de evaluar controles internos. El desafío puede enfrentarse con éxito siguiendo estas recomendaciones.
1. Identificar y evaluar el contexto que rodea al control
Tiene sentido pensar que para evaluar algo, es importante saber dónde opera, en qué condiciones y bajo qué reglas. Esto es identificar un contexto, un contorno, un entorno en el que funciona el control. Algunas condiciones para tener en cuenta en este punto son la cultura ética existente, la capacidad tecnológica y la capacitación o competencia de los empleados.
2. Evaluar los riesgos
El control está ahí porque fue diseñado para contener una amenaza. Los riesgos mutan, evolucionan, se transforman, aparecen y desaparecen. Algunos riesgos son específicos, otros generales y comunes a toda la industria. Todos estos aspectos deben ser calificados al evaluar controles internos. Un control puede existir, estar bien diseñado, pero ser inoperante tan solo porque el riesgo para el que fue implementado desapareció.
3. Evaluar actividades paralelas de control
Los controles trabajan de la mano, o de forma paralela, con otras acciones asistenciales que colaboran para que el control sea efectivo. La evaluación de controles necesita identificar esas actividades, verificar su procedencia, su eficacia, su funcionamiento y su utilidad.
4. Verificar el apoyo tecnológico y de comunicaciones
La operación del control necesita herramientas tecnológicas y vías de comunicación eficientes para alcanzar el objetivo. Los controles electrónicos por su entorno, tienen una mayor dependencia de la tecnología para operar, que los físicos. Los últimos, por otra parte, necesitan en mayor proporción de una adecuada comunicación. Dos factores sin duda esenciales en la evaluación.
5. Comprobar los procesos de seguimiento y supervisión
Evaluar controles internos es una última etapa de verificación. Antes existen procesos intermedios de seguimiento y supervisión que ayudan a encontrar problemas antes de la llegada del auditor. Cuando estos procesos o procedimientos no se aplican, no existen o son defectuosos, el trabajo final del auditor será mucho más arduo y complejo.
10 pasos para evaluar controles internos y detectar deficiencias
Seguir las recomendaciones iniciales para evaluar controles internos allanará el camino del auditor o área responsable. Los 10 pasos para desarrollar la tarea son:
1. Agrupar los controles que se evalúan
Algunos criterios para indexar los controles y facilitar así la tarea son: área en la que opera el control, carácter (físico o electrónico), importancia, departamento a cargo…
2. Priorizar los controles
Con una lista elaborada con base en el primer paso, el siguiente paso es priorizar de acuerdo con el impacto negativo del riesgo sobre el que opera el control, los incidentes o infracciones reportados o la evidencia recopilada por los auditores en anteriores auditorías.
3. Hacer seguimiento a las recomendaciones de auditoría
El objetivo de una auditoría, más allá de identificar problemas y señalarlos, es indicar las soluciones, recomendarlas y, por supuesto, formular las acciones necesarias. La tarea del auditor puede ser mucho más relevante en la etapa posterior, verificando la implementación de las acciones señaladas y su eficacia.
4. Diferenciar los fallos humanos de las deficiencias de los controles
En todas las auditorías es usual encontrar problemas que, al investigar su causa raíz, evidencian un error humano, un fallo de comunicación acertada del proceso o deficiencias de capacitación, pero no del control. La tarea aquí consiste en identificar esos eventos.
5. Identificar el origen de la deficiencia
El fallo de un control puede ser estructural, relacionada con el diseño, u operacional, vinculada a la ejecución incorrecta. La errada ejecución, no vinculada a las causas descritas en el ítem anterior, pueden originarse en falta de herramientas adecuadas, personal no competente, negligencia o circunstancias coyunturales, únicas, presentadas de forma ocasional.
6. Clasificar el impacto negativo de las deficiencias
Al evaluar controles internos, en este paso, ya existe una lista de deficiencias, que pueden ser definidas sin lugar a duda como problemas de los controles. No todas ellas tienen el mismo impacto. No todas son tan graves. Un indicador confiable para priorizar las deficiencias es el valor del daño financiero que ocasionaron o pueden ocasionar.
7. Calificar la evidencia recopilada
Cuando parece que el trabajo concluye, aún es posible agregar un nuevo elemento de confiabilidad: revisar, evaluar y calificar la confiabilidad de la evidencia, los informes, los documentos y las entrevistas, recopiladas para realizar la auditoría.
8. Evaluar las infracciones de cumplimiento ocasionadas
En este punto, la tarea del auditor toma un rumbo alterno, pero de gran importancia. Al margen del daño financiero o del riesgo, aun no inmediato, identificado al evaluar controles internos, hay unas consecuencias sobre la capacidad de cumplimiento, en muchas áreas, de la organización. Estas deben ser identificadas y señaladas y priorizadas.
9. Proponer procedimientos de auditoría alternativos para controlar los riesgos
Evaluar controles internos es una tarea que se desarrolla de forma periódica. El dinamismo de los riesgos así lo exige. El auditor puede proponer procedimientos de auditoría alternos, adicionales, para atender con eficiencia y oportunidad los eventos que pueden presentarse entre una evaluación y otra. El objetivo es reducir al mínimo el nivel de exposición de riesgo de la organización.
10. Recomendar la implementación de una plataforma tecnológica
Los controles internos son muy importantes en la Gestión de Riesgos, en todos los niveles. Las organizaciones que invierten en tecnología tendrán mayores oportunidades de tener éxito en este propósito. La efectividad de un control suele depender del apoyo tecnológico o de suministro de información confiable y oportuno que encuentre.
Software ISO 37001 de ISOTools
El Software ISO 37001 de ISOTools se presenta como la herramienta esencial para establecer y evaluar eficazmente los controles internos corporativos. Al ofrecer una estructura organizativa sólida y directrices claras, facilita la creación de políticas anti-soborno robustas y la implementación de prácticas éticas. Este software permite una evaluación exhaustiva de los procesos internos, asegurando la transparencia y reduciendo el riesgo de actividades corruptas. Al automatizar el monitoreo y seguimiento, optimiza la gestión del cumplimiento, brindando a las empresas la confianza necesaria para operar con integridad y en cumplimiento con las normativas anti-soborno. Solicita información detallada aquí.