En toda empresa existe una variedad de riesgos que deben ser atendidos mediante el establecimiento de un Sistema de Control Interno adecuado. Entre estos riesgos se mencionan: los Operacionales, los Financieros y los Reputacionales.
Asimismo, los auditores y consultores durante su trayectoria han podido también evidenciar la presencia de ciertas debilidades de Control Interno en las actividades referidas a Compras, Almacenamiento, Custodia y Despacho. Teniendo en cuenta ello, es importante plantearse algunas preguntas:
¿A qué riesgos se está enfrentando la empresa?
Riesgos de fraude interno o externo, manejo de sobornos, coimas u otras prebendas, que provoquen un perjuicio a la empresa.
En el caso de que un acto ilícito sea interno, este involucrará al personal de la empresa. En el caso que sea externo, es cuando se involucra a un tercero ajeno a la misma empresa.
¿Se pueden prevenir o evitar esos riesgos?
Si se pueden prevenir, pero para ello es importante tomar las acciones adecuadas para evitar, reducir o mitigar esos riesgos.
¿Por qué ocurren o se presentan esos riesgos?
Estos surgen cuando en la empresa no se cuenta con un sistema de control bien estructurado con todas las políticas, normas y procedimientos que permitan ejercer el Control Interno de manera eficiente y eficaz. Y cuando existe dicho sistema de Control Interno, el mismo tiende a ser muy débil o deficiente.
¿Qué debe hacer la empresa para prevenir, evitar, o mitigar esos riesgos?
Para ello la empresa, deberá diseñar una metodología de Control Interno, o asumir alguna existente que se adapte a su actividad, teniendo en cuenta los siguientes componentes:
- Establecer un ambiente de Control, Para ello se deben establecer las normas y procedimientos de control internos, que comprenda los principios de Integridad y Valores Éticos, una Filosofía clara de Administración y su manera de Gestionar, establecer una Estructura Administrativa que facilite el control, una definición clara de la Asignación de Responsabilidades, y unas Políticas de Recursos Humanos que fomenten dicho ambiente. Asimismo, se debe hacer énfasis en la supervisión del riesgo y la relación entre el riesgo y la respuesta al mismo.
- Evaluar los riesgos, Para ello se debe identificar los mismos y realizar su análisis, estructurando las respuestas adecuadas a esos riesgos. Igualmente, debe determinarse la Velocidad y Persistencia de los Riesgos en relación con la criticidad de los mismos. También se hace énfasis en el riesgo de Fraude.
Para la evaluar los riesgos, se debe hacer en tres fases, como: la evaluación de respuestas en la que se analiza cada uno de los riesgos detectados en la organización, determinar su calificación y sus posibles impactos y efectos; la evaluación y selección de posibles respuestas, cuyo fin es la de seleccionar la más adecuada para manejar cada riesgo existente en la organización y finalmente, el desarrollo de acciones, en la que se implementa un plan de acción que permita poner en marcha la respuesta al riesgo seleccionada y lograr contrarrestar cualquier perjuicio a la organización.
Dentro de las opciones de respuesta al riesgo se mencionan:
Evitar el Riesgo. También conocido como eliminación del Riesgo; Evadir el Riesgo; o Prevención del Riesgo, en este caso se toman diversas acciones a fin de discontinuar las actividades que generan riesgo.
Ejemplo: Un distribuidor autorizado de una empresa de alimentos, tiene en el mercado un lote de productos en malas condiciones, lo que lo hace riesgoso para el consumo.
Riesgo: Exposición a posibles demandas por daños en la salud de sus clientes y que estos no compren más sus productos.
Respuesta al Riesgo: La acción inmediata más adecuada y efectiva sería sacar del mercado aquellos productos.
Objetivo de la Acción: Evitar que los clientes pierdan su fidelidad con la marca, evitando así posibles e importantes disminuciones en volúmenes de venta, en ingresos obtenidos, logrando en consecuencia, sostener la imagen y calidad de la organización.
Reducir o Mitigar el Riesgo. Este implica el hecho de Adoptar acciones tempranas para reducir el riesgo y/o su impacto, es más efectivo que reparar el daño después de ocurrido el mismo. Para ello se puede recurrir a la realización de más pruebas o a la selección un proveedor más estable y más confiable.
Ejemplo: Una empresa realiza ventas a crédito, sin embargo, dentro de su cartera posee clientes que adquieren grandes cantidades de productos.
Riesgo: Que esos clientes no cancelen la deuda.
Respuesta al Riesgo: Analizar y evaluar qué clientes merecen crédito y establecer garantías de que los mismos cancelen la deuda a través de referencias personales y/o documentos firmados según el caso.
Transferir o Compartir el Riesgo. En este caso se trasladar a un tercero todo o parte del impacto negativo de una amenaza, así como también la propiedad de la respuesta. Es decir, se confiere a una tercera persona la responsabilidad de su gestión; no lo elimina. Este usualmente se usa cuando se trata de la exposición a riesgos financieros, como en el caso del uso de Seguros, Fianzas y Garantías.
Ejemplo: Una empresa para realizar sus ventas, cuenta con un grupo de vendedores y ruteros, que efectúan las entregas y cobros externamente, valorizados en altas sumas de dinero para la empresa.
Riesgo: Que ocurran robos y se pierda el dinero.
Respuesta al Riesgo: Contratar pólizas de seguros contra robos y/o asaltos.
Aceptar el Riesgo. Reconocer que existe, identificarlo y proceder a cubrir las tres fases: Evaluación de Respuestas, Selección de Respuestas y Desarrollo de Acciones. En este caso son tres los tipos de Acciones para responder al Riesgo, y especialmente al Riesgo de Fraude: Acciones de Mitigación para Reducir el Impacto, Acciones de Mitigación para Reducir la Probabilidadde que Ocurran, Acciones y Planes de Contingencia y Definir Claramente las Actividades de Control a Realizar, tales como Verificaciones, Validaciones, Revisiones, Auditorías, Seguridad y Contraloría.
Las actividades de control son acciones establecidas por Políticas y Procedimientos para asegurar que las directrices o lineamientos de la Administración sean llevadas a cabo para mitigar riesgos que puedan afectar el logro de los objetivos.
Gestionar la Información y Comunicación: la empresa obtiene o genera y utiliza información relevante y de calidad para el funcionamiento del Control Interno. Para ello la información debe ser exacta, confiable, accesible para todo el personal involucrado en la Gestión del Control Interno; suficiente, conteniendo todos los hechos y datos necesarios; oportuna ya que debe darse en el momento en que se necesita y para ello aportan incluso los sistemas de información modernos (software), que están diseñados para manejar la información en “Tiempo real”, la empresa también debe diseñar políticas y normas que regulen la protección de Activos de Información; la información una vez obtenida, generada y utilizada debe ser retenida como un activo propiedad de la empresa; también deberá ser actualizada y verificable.
Establecer Actividades de Monitoreo y Supervisión: se destacan dos tipos de evaluación: Las evaluaciones continuas que son las actividades propias del control interno preventivo periódico, incluyendo Auditoria Interna, diario, evaluaciones de cumplimiento de Calidad, de Seguridad; evaluaciones funcionales inter departamento o inter áreas; evaluaciones de proveedores externos. Y las evaluaciones Independientes como la Auditoría Externa, Los Gestores Externos de Calidad, Los Investigadores independientes, entre otros.
¿Qué pasa si algo falla? ¿Cómo saber qué fue lo que no se hizo bien?
Pueden existir varias razones que indiquen las fallas, incluso en cada uno de los componentes del Control Interno mencionados, como, por ejemplo:
- La no configuración de un Ambiente de Control.
- La no realización de la evaluación de los riesgos, identificándolos y determinando las posibles respuestas a los mismos.
- Inexistencia de Actividades de Control claramente definidas.
- La gestión de la Información y Comunicación referida al Control Interno, es muy deficiente o no existe.
- Y como consecuencia de las debilidades anteriores, no existe el debido monitoreo y seguimiento.
Fuente: Efiempresa.