ECONOMÍA Y EMPRESAS ANÁLISIS EY
¿El control interno de su organización se encuentra en armonía con el negocio?
Cra. Patricia Prezioso (Integrante del Dpto. de Advisory de EY Uruguay) y Lic. Guillermo Clavell (Manager del Dpto de Advisory de EY Uruguay)
Los modelos de negocio se ven cada vez más presionados a responder constantemente a los cambios del entorno
La velocidad y cantidad de cambios que se vivieron en los últimos años han alterado el entorno empresarial y los modelos de negocio se ven cada vez más presionados a responder constantemente a esos cambios.
Asimismo, el control interno de las organizaciones se ha visto afectado. Algunos eventos de riesgo se ven con mayor frecuencia, tales como brechas de ciberseguridad, fraude y prácticas de corrupción. Lo anterior ha causado un incremento de las actividades regulatorias en respuesta a los eventos del mercado.
Sin embargo, en un estudio realizado por EY Global, se ha visto que el sistema de control interno de las organizaciones no ha sido modificado lo suficiente. Es por ello que las organizaciones tienen varias oportunidades de mejorar su ambiente de control interno, redefiniendo roles y responsabilidades, aumentando la colaboración entre las distintas áreas, mejorando la comunicación con terceros e incrementando la efectividad y eficiencia de los controles internos.
Un modelo integrado de riesgos y controles
La gerencia es responsable del proceso de identificar, gestionar y monitorear riesgos clave y del control interno, dando lineamientos a nivel general e impulsando una cultura de prevención de riesgos. Diversos estudios han mostrado que una adecuada gestión de riesgos tiene un impacto positivo en los resultados de largo plazo de las organizaciones.
Establecer una estructura de gobierno, mediante la adecuada definición y coordinación de un modelo de riesgos y controles, es la piedra angular de un buen programa de gestión de riesgos. Las organizaciones deben definir claramente las responsabilidades en las actividades de gestión de riesgos y control interno, para permitir que la coordinación, comunicación y reporte sean efectivas.
Si bien cada organización definirá un modelo de riesgos y controles específico, hay algunos elementos en común a tomar en cuenta.
En el año 2013 el Instituto de Auditores Internos (IIA por su sigla en inglés) emitió un paper en el que se definen algunas posiciones respecto del modelo de “Tres líneas de defensa” (LOD por su sigla en inglés). Este modelo provee una manera simple y efectiva de mejorar las comunicaciones relacionadas a la gestión de riesgos y el control interno, aclarando los roles y responsabilidades de las distintas partes.
Con el objetivo de implementar un adecuado modelo de riesgos y controles, la Auditoría Interna de cada organización puede jugar un rol importante, brindando seguridad acerca del programa de gestión de riesgos, e incluso validando o realizando testeos sobre el control interno. La independencia, objetividad y conocimiento de la función de Auditoría Interna, puede permitir a la administración y a auditores externos tener mayor confianza sobre su trabajo.
Utilización de modelos de madurez para mejorar el ambiente de control interno
A la hora de buscar mejoras en el ambiente de control interno, un enfoque posible es utilizar un modelo de madurez probado y estructurado en los componentes principales. El siguiente modelo se basa en el ICFR (control interno para reportes financieros) y es útil para evaluar el estado actual, definir el estado futuro e identificar acciones concretas que permitirán realizar el cambio.
Algunos de los factores que se evalúan en cada categoría son:
Gobierno
· Modelo del gobierno del control interno
· Definición clara del programa de controles
Recursos
· Definición clara de roles y responsabilidades
· Supervisión de terceras partes involucradas
· Confianza del auditor independiente respecto de las actividades de control de la administración
Métodos, prácticas y tecnología
· Diseño de controles y documentación
· Eficiencia de los controles financieros y no financieros
· Facilitar nuevas tecnologías