Control Interno - FCEA - Facultad de Ciencias Económicas y de

Control interno, Gestión de Riesgos y
Prácticas de Gobierno Corporativo:
excelencia en la gestión, transparencia y
creación de valor agregado .
(1)
(1) Trabajo enmarcado en lo previsto en el literal V) B) de las bases del concurso de oposición y
méritos para la provisión efectiva del cargo de Profesor Titular Grado 5 en la asignatura
Control Interno y Organización de Sistemas Contables, que incluyeron un trabajo sobre el
tema “Estado actual de la disciplina en Uruguay y en el exterior. Revisión crítica de su nivel
de desarrollo, de las temáticas en discusión de acuerdo a los diversos enfoques existentes y
de sus perspectivas, con conclusiones referidas a las prioridades respecto a la docencia y a
la investigación universitaria.”
(2) Se publica íntegramente con excepción del último punto, que se reserva para uso interno de
la Cátedra.
Cr. Luis Sauleda
1
Control interno, Gestión de Riesgos y Prácticas de Gobierno Corporativo:
excelencia en la gestión, transparencia y creación de valor agregado.
I - Introducción
El título del presente trabajo busca destacar facetas importantes que incluyen los enfoques
actuales vinculados con control interno y disciplinas relacionadas, que son a la vez los
principales aspectos a que un buen control interno contribuye, tanto en materia de dirección
empresarial como en materia de administración gubernamental, aspectos que lo hacen un tema
de primer orden en ambos ámbitos. También quiere resaltar la relación estrecha que existe
entre la excelencia en la gestión, la transparencia en la conducción y la creación y
mantenimiento de valor para los interesados en la actividad de una entidad, que dista de ser
obvia.
En pos de ese objetivo, en primera instancia y como aproximación al tema, se recuerda la
importancia del control en la administración y se plantea la evolución del concepto de control
interno desde que el término comenzó a ser utilizado hasta hoy. A continuación, se profundiza
en el análisis del concepto actual, destacando sus aspectos más relevantes a juicio del autor –
con lo que ya se puede vislumbrar la relación a que alude el título- y posteriormente se lo
vincula con otras disciplinas también relacionadas con
la administración: gobierno
corporativo, gestión de riesgos y control de gestión. También en opinión del autor, con la
explicitación de estos vínculos se logra fundamentar con claridad la relación de que se trata.
Finalmente, se describe la situación actual y se plantean las perspectivas de evolución futura
de los principales temas relacionados, tanto a nivel nacional como internacional, perspectivas
en las que se percibe que la visión de la relación planteada –en la que buenos sistemas de
control interno desempeñan un rol fundamental en la creación de valor- se consolida.
II - El control en la Administración
Administrar implica planificar, organizar, dirigir, coordinar y controlar las actividades de una
entidad y el accionar de sus integrantes.
2
El control, como parte importante de la administración, puede verse como el conocimiento y
dominio de lo que está sucediendo para tener seguridad en cuanto a que las operaciones
involucradas en las distintas actividades de la entidad y las acciones de los miembros de la
organización se orientan realmente a cumplir los objetivos y planes previamente establecidos.
La necesidad de control surge naturalmente como consecuencia de la delegación y se
fundamenta en por lo menos algunos aspectos principales:
•
Las organizaciones están integradas por individuos, cada uno de los cuales tiene objetivos
personales particulares que no necesariamente concuerdan exactamente con los de la
entidad a la que pertenecen.
•
Tanto la toma de decisiones como la ejecución de lo decidido son llevadas a cabo por
seres humanos, una de cuyas características es la falibilidad.
A los aspectos antes señalados deben agregarse otros que la agudizan:
•
Las organizaciones interactúan con un entorno en el que intervienen otros agentes,
también con intereses y objetivos diversos, cuyas acciones pueden impactar en la entidad
de que se trate.
•
Ese entorno se caracteriza por su complejidad y por las incertidumbres que plantea,
haciendo que siempre exista la posibilidad de que ocurran acontecimientos sobre los que
una entidad no tenga capacidad de actuar pero que sí afecten sus posibilidades de alcanzar
sus objetivos.
Adicionalmente, otros aspectos, ya no provenientes del ámbito interno de la organización,
sino de preocupaciones de la comunidad toda, colocan la necesidad de control como tema de
primer orden:
•
Los capitales transnacionales y empresas con ingresos que superan el PBI de países
enteros.
•
Los fraudes corporativos verificados en ellas, que causaron importantes perjuicios no sólo
a inversionistas, sino también a otros agentes, tales como sus empleados, que con sus
3
fondos de jubilación colocados en acciones de las empresas involucradas, perdieron todo
su dinero.
•
El surgimiento y afianzamiento de corrientes de opinión alrededor de la idea de que la
razón que justifica la existencia de las organizaciones es la creación de valor para todas las
partes que tienen intereses en ellas, a las que se alude con el término “stakeholders”
Lo expuesto sugiere que se hace imprescindible instrumentar mecanismos de naturaleza
variada y cambiante que prevengan desvíos que pongan en peligro el logro de los objetivos de
las organizaciones y/o puedan afectar negativamente a quienes tienen intereses en ellas y, si
de todos modos esos desvíos efectivamente ocurriesen, los detecten oportunamente para
permitir adoptar los correctivos necesarios a tiempo.
Lo variado de la necesidad de controles se aprecia intuitivamente pensando en la amplísima
casuística vinculada con situaciones a prevenir o detectar. Y la naturaleza cambiante de la
necesidad de control se percibe tanto si se reflexiona sobre el camino que recorre una empresa
en crecimiento hasta su madurez como si se hace lo propio sobre las transformaciones que ha
venido sufriendo el mundo de los negocios desde la antigüedad hasta nuestros días.
Una empresa en crecimiento pasa por diversas etapas en las que esa necesidad de control sufre
una suerte de proceso evolutivo que se aprecia con claridad si se piensa en una entidad que
nace como empresa pequeña o unipersonal y se va transformando hacia una de mayor porte.
Al principio es el propio empresario quien, trabajando en forma individual, realiza todas las
actividades, pero llega un momento en que el aumento del volumen de las operaciones de su
negocio hace que no pueda atenderlas eficientemente por sí solo. Ante esto, es natural que
contrate colaboradores y comience a delegar las funciones menos importantes, reservándose
para sí las más relevantes. Si la empresa continúa creciendo, ya le va a resultar difícil ser
eficiente en la administración y se va a ver en la necesidad de delegar en mayor grado –o
totalmente- las actividades operativas, conservando las tareas de coordinación y supervisión
directa sobre sus empleados. Y llegará un momento en el que el volumen de las operaciones
habrá crecido de tal forma que sobrepase la capacidad de control directo por parte del
empresario, surgiendo así la necesidad de establecer procedimientos que permitan que las
4
actividades se autocontrolen, compartimentándolas. Sampietro
1
describe este proceso como
una secuencia de “crisis” por las que atraviesa una empresa en crecimiento: crisis de actividad
(cuando la cantidad de operaciones torna inviable que el empresario las atienda todas
personalmente y debe incorporar colaboradores para llevar a cabo las de carácter rutinario),
crisis de dirección (cuando ya tampoco puede atender personalmente las que reservó para sí,
tales como compras importantes y similares), crisis de control (cuando en virtud de la
delegación que ha debido efectuar pierde la noción de si los resultados están siendo
alcanzados y de si sus “delegados” están actuando en aras de los objetivos de la organización)
y crisis de burocratización (cuando en respuesta a lo anterior, compartimenta funciones para
obtener mayor garantía de ello pero, en cambio, pierde capacidad de reacción oportuna frente
a eventos que la requieren por la cantidad de pasos por los que debe pasar la toma de una
decisión que responda adecuadamente a ellos).
La naturaleza cambiante de la necesidad de controles también puede analizarse desde una
perspectiva más global, a través de la consideración de los cambios que se han ido verificando
en el mundo de los negocios.
Durante mucho tiempo, el comercio fue desarrollado por pequeños empresarios. En ese
ambiente, no se manifestaba en forma significativa la necesidad de que éstos fueran asistidos
por un número importante de dependientes ni de que se aplicaran sistemas de administración
complejos, ya que el mismo propietario centralizaba todas las actividades relacionadas con el
negocio. La contabilidad era rudimentaria (su única función era el registro) y la toma de
decisiones no se basaba en el uso extensivo de información sino fundamentalmente en la
intuición y la experiencia. La administración como disciplina prácticamente no existía.
Durante mucho tiempo también, la mayor parte de las empresas surgió en respuesta a
demanda de bienes por efecto de necesidades emergentes; no era frecuente ni se hacía
necesario que se efectuaran demasiados análisis previos para la creación y organización de
una unidad productiva.
Ahora bien, desde hace ya bastante tiempo, el desarrollo tecnológico ha venido favoreciendo
–y requiriendo- el crecimiento de las empresas.
1
Ramón Sampietro. Auditoría en las pequeñas y medianas empresas.
5
En una primera etapa, el fenómeno provocó una aceleración del proceso productivo, con
cambios importantes en el uso de los factores de producción. La llamada revolución industrial
generó la posibilidad de obtener economías de escala que derivaron en el auge de las grandes
corporaciones. Como consecuencia de esto apareció la necesidad de mejorar la organización y
la administración, lo que en primera instancia se buscó por la vía de la compartimentación de
actividades. Si bien la evolución en la fase de producción y comercialización se desarrolló en
forma más acelerada que en la fase administrativa y organizacional -aspecto si se quiere
lógico por ser los primeros los asuntos sustantivos del negocio- de todos modos, el proceso de
descentralización necesario para posibilitar la compartimentación de las actividades antes
señalada, derivó en el requerimiento de una nueva estructura en la organización que
viabilizara que las operaciones fueran cumplidas y controladas en forma eficaz y eficiente.
En esta sociedad industrial, tanto los negocios privados como la administración
gubernamental se organizaban lentamente; una vez en régimen, quedaban estables por cierto
tiempo. Ahora bien, la propia descentralización, una de cuyas características fue la división y
despersonalización de las operaciones, dio lugar, frecuentemente, a la existencia de sectores
que funcionaban como compartimientos estancos, sin una interrelación adecuada con los
demás. Frente a ello, desde hace unos años, muchas empresas han aplicado procesos de
reestructura, reingeniería, tercerización de sus servicios, programas de calidad y medidas
afines tendientes a mitigar esa situación.
Concomitantemente, el mundo continuó cambiando, evolucionando de una sociedad industrial
hacia una nueva realidad que algunos denominan “sociedad del conocimiento”. Lo que
empezó como una revolución informática, sustentada en que el procesamiento de datos se
comenzó a efectuar cada vez más rápida y eficientemente, fue evolucionando hacia un cambio
ya no cuantitativo sino cualitativo en la forma de hacer negocios y de conducir la
administración de los asuntos de los estados, asignando cada vez más valor a la información
de que se dispone, entendida como los datos organizados y la capacidad para interpretarlos.
Hoy en día se pueden producir significativas pérdidas o ganancias de bienes materiales por
carecer o disponer, respectivamente, de la información apropiada y confiable en el momento
oportuno.
6
Paralelamente, los valores de los activos físicos se fueron volviendo cada vez más volátiles y
hoy nuevas tecnologías hacen rápidamente obsoletos los bienes que se producen. Pequeñas
empresas, dedicadas a la tecnología de la información, crecen en forma exponencial en base a
activos intangibles como el capital intelectual, mientras las tradicionales, orientadas a la
producción de bienes físicos, trabajosamente mantienen su ritmo de crecimiento histórico. Los
controles tradicionales, en gran medida orientados a la protección de activos físicos, se
revelan ineficaces para la protección de los activos intangibles.
Todos estos efectos se ven potenciados por el fenómeno que se ha denominado
“globalización”. Las empresas globales necesitan disponer de información instantánea de todo
el mundo para la toma de decisiones que afectan su posición consolidada.
En el ámbito gubernamental, por su parte, ahora el público tiene acceso a información
instantánea respecto a lo que está sucediendo en otras partes y puede fácilmente comparar la
gestión de su gobierno –nacional, estadual, provincial, departamental, municipal, etc.- con la
de otros.
En todos los ámbitos, las estrategias y las estructuras ya no son estables, deben cambiar
constantemente adaptándose a los cambios del contexto y, consecuentemente, aumentan los
riesgos de decisiones estratégicas erróneas; dicho de otro modo, los riesgos, que en la realidad
anterior se ubicaban predominantemente en el ámbito transaccional, ahora se trasladan
también al estratégico.
En virtud de ello, se hace necesario que los controles, cuya finalidad siempre fue combatir los
riesgos, también vean extendido su ámbito del meramente transaccional al del planeamiento
estratégico. Deben constituir un significativo aporte al logro de los objetivos de las
organizaciones, aspecto relacionado con la excelencia en la gestión y la creación de valor para
sus stakeholders.
Para completar el panorama, los capitales transnacionales, los fraudes corporativos, la
contabilidad creativa como herramienta al servicio de intereses individuales que difieren de
7
los organizacionales y la consecuente necesidad de transparencia muestran la insuficiencia de
los controles tradicionales, puesto que de controles orientados a asegurar el logro de los
objetivos de la gerencia se pasa a la necesidad de controles que aseguren que la acción de ésta
se oriente a satisfacer los intereses de los distintos agentes involucrados con la entidad que
conduce. Enron Corp, comercializadora de energía, séptima compañía de Estados Unidos con
un patrimonio declarado de 63 mil 400 millones de dólares, presentó suspensión de pagos en
diciembre de 2001. Se comprobó que había falseado sus estados contables durante cuatro años
para ocultar pérdidas millonarias y evadir impuestos. Worldcom, la segunda telefónica de
Estados Unidos con un activo de 103 mil 800 millones de dólares, fue demandada por la SEC
en junio de 2002 por fraude contable, tras descubrirse que registró como inversiones 3 mil
800 millones de dólares que debían figurar como gastos. El Uruguay no fue ajeno a hechos
de estas características. El episodio de Granja Moro –que hizo fracasar el incipiente mercado
de valores que se pretendía consolidar- y situaciones vinculadas con instituciones financieras
que contribuyeron a agudizar la crisis del sistema en 2002, son ejemplos claros.
A la luz de estos acontecimientos y otros de naturaleza similar quedaron en evidencia falta de
compromiso, objetividad y transparencia en los distintos estamentos de estas entidades y
fallas en los sistemas de control sobre ellas. Ha quedado en claro por qué temas tales como
transparencia y confiabilidad en la conducción resultan imprescindibles para la confianza de
los inversionistas y hasta para el desempeño de las economías y, consecuentemente, la
necesidad de mejora continua de los mecanismos de control –en un sentido amplio- en la
administración de las organizaciones.
III - Orígenes y evolución del concepto “Control Interno”.
III - 1 - Las primeras definiciones y su fuente
La expresión “Control Interno” como tal comenzó a ser utilizada en el campo de la
contabilidad y los negocios a principios del siglo XX, acuñada por profesionales de la
auditoría. Ello justifica, para una mejor comprensión del por qué de la fuente de la expresión,
formular una breve conceptualización de lo que es la auditoría, o más precisamente, la
auditoría de estados contables.
8
Fowler Newton
2
aporta la siguiente definición: “La auditoría de estados contables es el
examen de éstos con el propósito de dictaminar si fueron preparados de acuerdo con ciertas
normas contables”. Por su parte, Slosse y coautores
3
dicen que “…es el examen de
información por parte de una tercera persona, distinta de la que la preparó y del usuario, con
la intención de establecer su razonabilidad dando a conocer los resultados de su examen, a fin
de aumentar la utilidad que tal información posee”. Whittington y Pany
4
no incluyen en su
obra una definición pero señalan que “en una auditoría de estados financieros los auditores se
comprometen a reunir evidencia y a proporcionar un alto nivel de seguridad que los estados
financieros siguen los principios de contabilidad generalmente aceptados, u otra base
apropiada de contabilidad”. De acuerdo a las Normas de Auditoría emitidas por IFAC
5
“El
objetivo de una auditoria de estados financieros es facilitar al auditor una opinión respecto de
si los estados financieros están preparados, respecto de todo lo importante, de acuerdo con un
marco de referencia de información financiera aplicable.”
En otras palabras, se trata de un servicio profesional llevado a cabo por un contador público
independiente, destinado a obtener evidencias válidas y suficientes que le permitan emitir una
opinión fundada respecto a la confiabilidad de los estados contables preparados y presentados
por la entidad emisora de los mismos, con el fin de incrementar la confiabilidad que les
proporciona a terceros la información que surge de ellos.
Conceptualizada la auditoría de estados contables, es más sencillo percibir por qué es en esta
especialización profesional que se empieza a utilizar la expresión “control interno”. A
comienzos del siglo XX, el aumento en el número de grandes corporaciones, su necesidad de
financiamiento de terceros, el afianzamiento de los mercados bursátiles y la creciente
exigencia de éstos y de los tradicionales proveedores de financiamiento –los bancos- de
información auditada por contadores independientes fueron, entre otros, los motivos que
originaron los primeros desarrollos sobre “control interno” en la literatura especializada, los
2
Enrique Fowler Newton. Tratado de Auditoría (2004).
Carlos A. Slosse y otros. Auditoría – Un nuevo enfoque empresarial. (1990).
4
O. Ray Whittington – Kart Pany. Auditoría – Un enfoque integral. (2004)
5
Internacional Federation of Accountants.. Norma Internacional de Auditoría 200 – Objetivos y principios
generales que gobiernan una auditoría de estados financieros. Traducción del Instituto Mexicano de Contadores
Públicos (2006)
3
9
que básicamente –como se dijo previamente y se explicará a continuación- fueron efectuados
por auditores.
Como señalan Slosse y coautores 6, en virtud de la competencia que comenzó a gestarse entre
ellas, las firmas de auditores se vieron obligadas a trabajar en forma más eficiente para poder
mantener el nivel de eficacia pero reducir el monto de honorarios. Por otra parte, pero
incidiendo en el mismo sentido, al ampliarse el espectro de empresas exigidas de presentar
estados contables auditados, a muchas les resultaba gravoso soportar los altos honorarios de
una auditoría basada en una extensa revisión de activos y operaciones, con el consiguiente
requerimiento de que los costos de una auditoría se redujeran. Esa doble presión hacia la
eficiencia llevó a los auditores a buscar formas de realizar el trabajo aplicando menos tiempo
pero sin aumentar las probabilidades de dejar de detectar errores u omisiones significativas en
los estados contables. Y una de las formas identificadas consistió en depositar confianza –si
fuera viable- en los controles de la propia empresa auditada t para prevenir o detectar errores,
omisiones o irregularidades en el proceso de elaboración de su información contable.
Intuitivamente se percibe que, una vez probados éstos y corroborado que operan
adecuadamente, el número de operaciones a revisar para obtener una razonable seguridad en
cuanto a lo correcto de las cifras resultantes de ese proceso se reduce sustancialmente, con el
consiguiente ahorro de tiempo, principal factor de costo en una auditoría. Por lo tanto, poder
confiar en los controles con incidencia en la calidad del proceso contable –y, en consecuencia,
hacer viable una auditoría con tal orientación- pasó a ser un objetivo de primer orden para los
auditores que, entonces, aplicaron importantes esfuerzos en promover la aplicación de
controles idóneos a esos fines, a los que denominaron “controles internos” aludiendo a que no
eran controles efectuados por ellos sino internamente en la entidad auditada.
En materia de definiciones y/o conceptualizaciones, Gómez Morfin
7
ubica un primer
antecedente. Señala que “Parece ser que una de las referencias más antiguas a este vocablo,
también denominado por algunos comprobación interna (internal check), se hace por L. R.
Dicksee en 1905” y que “El concepto de Dicksee incluía tres elementos: división de labores,
utilización de los registros de contabilidad y rotación de personal.”.
6
7
Carlos A. Slosse y otros. Obra ya citada
Joaquín Gómez Morfin. “El control en la administración de empresas”
10
En ese mismo contexto se ubican las siguientes definiciones, citadas por Rusenas 8
•
“Un sistema de Control Interno puede definirse como la coordinación del sistema de
contabilidad y de los procedimientos de oficina, de tal manera que el trabajo de un
empleado llevando a cabo sus labores delineadas en una forma independiente, compruebe
continuamente el trabajo de otro empleado, hasta determinado punto que pueda involucrar
la posibilidad de fraude”. (George Bennett. “Fraud: its control through”, 1930).
•
“El sistema interno de comprobación y control puede explicarse como la distribución
apropiada de funciones del personal, de tal manera que el trabajo de cada empleado pueda
coordinarse y comprobarse independientemente del trabajo de otros empleados”. (Victor
Stempf. “La influencia del sistema interno de comprobación en los procedimientos de
auditoría”, 1936).
•
“El control interno implica que los libros y métodos de contabilidad, así como la
organización general del negocio, están de tal manera establecidos, que ninguna de las
cuentas o procedimientos se encuentra bajo el control independiente y absoluto de una
sola persona, sino que por el contrario, el trabajo de un empleado es complementario del
hecho por otro y se hace una revisión continua de los detalles del negocio”. (Robert H.
Montgomery., “Auditing Teory and Practice”, 1934)
Se puede apreciar que estos autores enfocan su atención hacia la distribución de funciones del
personal a fin de lograr la coordinación y comprobación de los trabajos efectuados.
Evidentemente, tales conceptualizaciones presentan únicamente un aspecto particular –y por
lo tanto parcial- de lo que el término “control” sugiere.
De todos modos, aún desde la óptica parcial en la que el concepto “control interno” surge, se
puede apreciar que la existencia de controles que apunten a que la información contable esté
libre de errores importantes y a que no se produzcan fraudes que deterioren el patrimonio de
una entidad –que es a lo que se orientaron las primeras definiciones- es un aspecto importante
aún cuando la entidad en cuestión no deba ser objeto de auditoría sobre las cifras que
proporciona a terceros.
8
Oscar Rusenas. “Manual de control interno”.
11
Lo que debería quedar claro de lo expuesto en el párrafo anterior, es que la relación
prácticamente directa que se suele establecer entre control interno y auditoría, si bien es falaz,
resulta en cierto modo comprensible, dado que como destaca Gómez Morfin9, es curioso
observar que prácticamente en ningún libro de administración se menciona la expresión
“control interno”, mientras que en todo libro de auditoría la misma sí constituye una
referencia casi obligatoria.
III - 2 - Hacia un concepto más amplio
Retomando la línea de resaltar la parcialidad del concepto subyacente en las primeras
definiciones, debe reflexionarse sobre que la necesidad de control no se agota en evitar
fraudes y/o errores contables, sino que es sustancialmente más amplia y, de hecho, como se
analizó en el apartado II, se relaciona estrechamente con la conducción de las operaciones de
cualquier entidad. La compartimentación postulada por las definiciones citadas apunta,
básicamente, a que ninguna de las personas en las que se ha delegado reúna el dominio total
de una operación, puesto que ello la colocaría en posición de cometer una irregularidad –o
simplemente un error importante- y además ocultarlo; la preocupación porque esto no ocurra
debe estar presente y ser considerada. El punto es que un empresario, además de por la
protección de sus activos, seguramente esté preocupado por obtener resultados satisfactorios,
por que sus directivas sean acatadas, por que las reglas de juego que él establezca para las
relaciones con terceros sean las que efectivamente se apliquen, por que le llegue información
oportuna y confiable sobre el desarrollo de los negocios que le permita tomar decisiones
fundadas y, en general, por poder obtener elementos de juicio que le permitan monitorear el
desempeño de su empresa y de sus empleados.
Probablemente percibiendo esa parcialidad, sobre mediados del siglo pasado el concepto de
control interno se amplió.
Un mojón importante lo marca un informe especial del Committee on Auditing Procedures.
del AICPA (American Institute of Certified Public Accountants) de 1948, que conceptualiza
al sistema de control interno a partir de una definición cuya traducción aporta Fowler
12
Newton10: “El control interno comprende el plan de organización y el conjunto coordinado de
los métodos y medidas adoptados dentro de una empresa para salvaguardar sus activos,
verificar la exactitud y confiabilidad de su información contable, promover la eficiencia
operativa y alentar la adhesión a las políticas prescritas por la gerencia”. El mismo informe
agrega:” Esta definición es posiblemente más amplia que la que a veces se da a este término.
Ella reconoce que un sistema de control interno se extiende más allá de los aspectos que se
relacionan directamente con las funciones de los departamentos de contabilidad y finanzas.”
El mismo documento identifica cuatro elementos que componen el sistema: a) un plan de
organización que provea una separación adecuada de responsabilidades funcionales, b) un
adecuado sistema de autorización y procedimientos de registro que provea un control contable
razonable sobre activos, pasivos, ingresos y gastos, c) prácticas sanas a seguirse en la
ejecución de los deberes y funciones de cada departamento de la organización y d) un grado
de calidad del personal proporcional a sus responsabilidades.
Nótese que los dos primeros elementos figuran explícitamente en la definición de control
interno que da el documento, mientras que los segundos no.
Esta definición, mucho más abarcativa que las primeras, generó problemas para los auditores
que, en cumplimiento de la normativa profesional reguladora de su función dictaminante,
debían evaluar los controles internos presentes en las entidades auditadas. En efecto, la
presencia de los objetivos vinculados con la eficacia y eficiencia de las operaciones y con la
adhesión a las políticas de la dirección los llevaba a tener que evaluar aspectos con escasa o
nula incidencia –salvo casos muy extremos- en la calidad de la información contable, objeto
central de su labor. En virtud de ello, rápidamente, un nuevo pronunciamiento del AICPA
delimitó los controles a evaluar por el auditor, distinguiendo los conceptos de control interno
contable –en el que se insertaron los controles vinculados con la salvaguarda de activos y la
confiabilidad de la información contable- y control interno administrativo –que incluyó lo
relativo a los otros objetivos- y estableciendo que la obligación profesional del auditor en
cuanto a evaluar los controles internos se limitaba al sistema de control interno contable. Más
9
Joaquín Gomez Morfin. Obra ya citada
Enrique Fowler Newton. Tratado de auditoría (1984).
10
13
tarde, mediante el SAS 1
11
el AICPA interpretó y delimitó el alcance de los dos objetivos
vinculados con el control interno contable. De acuerdo a ese pronunciamiento, el objetivo de
salvaguarda de activos está referido a irregularidades, interpretación de alcance reducido que
implica dejar fuera del ámbito del objetivo a otros problemas que éste podría cubrir con una
interpretación más amplia (como los errores y la toma de decisiones gerenciales inadecuadas
que puedan afectar los activos, por ejemplo). En lo que se refiere al objetivo de confiabilidad
de la información contable, el SAS 1 optó por establecer que está referido a la información
contable a proporcionar a terceros, dejando fuera del ámbito del objetivo, también en este
caso, a otros aspectos que podría cubrir con una interpretación más amplia, como la
información contable de uso interno.
Esta conceptualización tuvo amplia aceptación y fue recogida por una innumerable cantidad
de organizaciones en diversos documentos. A nivel internacional, y sólo en carácter de
ejemplo, cabe mencionar que fue adoptada por la IFAC en la primera versión de sus Guías
Internacionales de Auditoría (hoy Normas Internacionales de Auditoría), por la INTOSAI
(sigla en inglés de Organización Internacional de Entidades Financieras Superiores) y por
AIC (Asociación Interamericana de Contabilidad) que la recogió en la X Conferencia
Interamericana de Contabilidad (1972). Con igual carácter, cabe mencionar que en nuestro
país fue adoptada por el Tribunal de Cuentas de la República en sus Ordenanzas y que fue la
utilizada como referencia en los cursos de Auditoría de la Facultad de Ciencias Económicas y
de Administración hasta hace unos pocos años.
El que llamaremos “enfoque tradicional” se consolida entonces con la conjunción de
pronunciamientos del AICPA ya citados. A partir de él se desarrollaron aportes profesionales
y académicos sobre el tema bajo la óptica de un concepto más amplio que el implícito en las
primeras definiciones pero aún en buena medida con el paradigma de la protección de los
activos físicos, la segregación de funciones y el control posterior.
Bajo este concepto, el aspecto estratégico del negocio se asumía como un dato, es decir, como
algo ya analizado y estabilizado y, en consecuencia, el énfasis se ponía en el diseño de
11
AICPA - Statement on Audit Standards 1
14
controles transaccionales. Ello, en buena medida, resulta coherente con las características de
la sociedad industrial mencionadas en el apartado II, presentes en el momento en el que nació.
El pasaje de la sociedad industrial a la sociedad del conocimiento también descripto en el
mismo apartado, determinó que los paradigmas del control interno tradicional no resultaran
exitosos en el nuevo contexto, requiriéndose que el control interno también ampliara su
ámbito, pasando de considerar sólo el transaccional a incluir el ámbito estratégico.
En respuesta a estos requerimientos, el concepto de control interno fue cambiando hacia
nuevos enfoques que –entre otros aspectos- destacan su contribución a asegurar al logro de los
objetivos de la entidad apoyando un efectivo manejo de riesgos, prestan especial atención
también a los activos intangibles y ponen énfasis en quitarle peso a la burocratización que
sustentaba implícitamente el modelo o enfoque tradicional, que ya planteaba problemas en la
sociedad industrial.
III - 3 - El concepto actual de Control Interno
Durante mucho tiempo el concepto generalmente aceptado de control interno fue el que
hemos denominado tradicional. Más allá del concepto, que incluía objetivos operacionales,
interesa recordar que el paradigma de control interno subyacente en los desarrollos técnicos y
normativa profesional sobre el tema fue, en ese enfoque, tener bien cubiertos los objetivos
vinculados con
salvaguardar los activos y asegurar la exactitud y confiabilidad de la
información contable.
En la última década del siglo pasado, materializando respuestas a la insuficiencia del
paradigma anterior, vieron la luz varios modelos conceptuales en la materia mucho más
abarcativos y jerarquizantes de los objetivos operacionales, siendo los principales el
norteamericano -hoy estándar internacional- conocido como informe COSO
12
(por las siglas
en inglés del comité que patrocinó los estudios que lo produjeron), el canadiense COCO
13
12
Committe of sponsoring organizations of the Treadway Commission .Internal Control Integrated Framewok
(1992)
13
Canadian Institute of Certified Accountants. Control Concepts (1992)
15
(por las siglas en inglés del documento en que quedó plasmado) y COBIT
14
(focalizado en
controles en materia de tecnología de la información, cuyo nombre es la sigla en inglés de la
expresión “Objetivos de control para la información y tecnologías relacionadas). COCO y
COBIT citan expresamente su compatibilidad con COSO, modelo que tomaremos como
principal referencia para el desarrollo de este apartado.
Los comienzos de la historia del informe, que fue publicado en 1992, se remontan, según
menciona el propio documento, a 1973 –más concretamente, al escándalo de Watergate- y se
alimentaron con fraudes bursátiles de envergadura que pusieron en marcha una corriente de
opinión que vio en el control interno un medio para procurar evitar la ocurrencia de hechos
similares. Uno de los objetivos básicos del estudio fue ayudar a la dirección de empresas y
otras entidades a controlar mejor las actividades de sus organizaciones. Como la expresión
control interno venía significando diferentes cosas en distintos ámbitos, lo que impedía un
entendimiento común del concepto, otra meta importante fue integrar las distintas visiones de
control interno en una estructura en la que se estableciera una definición común a todas las
partes.
COSO define al control interno como un proceso, efectuado por el directorio, la gerencia y el
resto del personal, diseñado para proveer una seguridad razonable respecto al logro de los
objetivos de las organizaciones, a los que, en forma algo artificial, subdivide en las siguientes
tres categorías:
•
Objetivos relacionados con la efectividad y eficiencia de las operaciones.
•
Objetivos vinculados con la confiabilidad de la información contable para publicar.
•
Objetivos relativos a con el cumplimiento con leyes y otras regulaciones aplicables a la
entidad.
Al mencionar en primer lugar a los objetivos relacionados con eficacia y eficiencia, resalta
implícitamente que, además de fortalecer la credibilidad de su información contable y
asegurar que cumple cabalmente las leyes y reglas a que esté sujeta evitando daños a su
reputación u otras consecuencias negativas, el control interno puede ayudar a una entidad a
14
Information Systems Audit and Control Foundation. Control Objectives on Information and related
16
conseguir sus metas de desempeño y rentabilidad y a evitar el desperdicio de recursos. El
mismo documento establece que el control interno consta de cinco componentes
interrelacionados entre sí y también con otras actividades inherentes al ejercicio de la gerencia
pero que no son control interno: a) Ambiente de control; b) Identificación y evaluación de
riesgos; c) Actividades de control; d) Información y comunicación; e) Monitoreo
IV - Análisis detallado del concepto moderno de control interno
El objetivo del presente apartado es contribuir a una mejor comprensión y contextualización
de los conceptos que incluye el informe COSO, pretendiendo enriquecer su lectura, no
reemplazarla.
Con ese propósito, se centra en destacar algunos aspectos importantes del concepto de control
interno que dicho documento plantea y no en una descripción minuciosa de los distintos
tópicos que el mismo incluye, aportando algunas reflexiones, comentarios y referencias sobre
los puntos en que se focaliza el apartado no presentes explícitamente en el informe que se
analiza.
Los aspectos sobre los que se profundizará son:
•
La visión del control interno como un proceso, de carácter continuo e iterativo, susceptible
de ser subdividido en múltiples procesos, concebible como un subconjunto de las
actividades inherentes al ejercicio de la gerencia de una entidad pero totalmente integrado
a ellas e imposible de separar de las mismas.
•
La importancia que asigna al elemento humano, no sólo porque ya en la definición
establece que Involucra a todo el personal sino también porque reconoce expresamente
que el control interno de una organización y los individuos que la integran se influyen
mutuamente, recíproca y significativamente, sin perder de vista que si bien todos tienen
alguna responsabilidad en el control interno, ésta crece con el nivel jerárquico y tiene
connotaciones específicas para determinadas posiciones.
Technologies (1996)
17
•
La distancia que toma de algunos paradigmas del concepto tradicional en temas tales
como el menor peso relativo que asigna a la separación de funciones –cuya importancia
sigue reconociendo de todos modos- frente a los llamados controles “blandos”, destacando
que todo se basa en un buen ambiente de control-. En el mismo sentido, postula el
empowerment y enfatiza en controles “dentro” de los procesos y no en controles “sobre”
ellos.
•
La visión de cuándo puede considerarse que un sistema de control interno funciona
eficazmente y su vinculación con el reconocimiento de que un sistema de control interno,
por mejor que haya sido diseñado y esté operando, sólo puede proporcionar seguridad
razonable (por oposición a absoluta) respecto de que los objetivos de la entidad serán
alcanzados.
•
La aplicabilidad de los conceptos del informe a empresas de menor porte y a entidades de
naturaleza distinta a la empresarial, tales como las pertenecientes al sector gubernamental
u organizaciones sin fines de lucro, a pesar de tratarse de un documento presentado
predominantemente en un contexto de empresas de gran porte, cotizantes en bolsa.
IV - 1 - El control interno como un proceso continuo, iterativo e integrado a las actividades
inherentes al ejercicio de la gerencia
La definición que proporciona COSO transmite la idea de que control interno es un proceso,
lo que implica que no es un hecho o acto aislado sino una serie de acciones que penetran a
través de las actividades de una entidad, acciones que tienen un alcance muy amplio y son
inherentes a la forma en que la dirección maneja un negocio.
Una herramienta al servicio de la gerencia, subdivisible en múltiples subprocesos.
Los procesos de negocios son conducidos a través de unidades o funciones y gestionados
mediante subprocesos de planificación, ejecución y control. COSO concibe al control interno
como parte de estos procesos e integrado con ellos, facilitando su funcionamiento y
monitoreando permanentemente su pertinencia y desempeño, en carácter de herramienta a
emplear en el complejo proceso de gerenciamiento y no en el de complemento –y menos en el
de sustituto- de éste.
18
Entre otros aspectos, conducir un negocio implica lograr el enlace entre los objetivos de la
entidad, los deberes de los individuos que la integran y la forma en que los llevan a cabo. De
reflexionar en la vastedad de aspectos que esto último conlleva se desprende que el control
interno también puede ser desagregado en múltiples procesos, puesto que ese enlace debe
establecerse en todas y cada una de las actividades que se desarrollan en la entidad. También,
que por su condición de medio o instrumento para lograr ese alineamiento, resulta más
efectivo inserto en los procedimientos y no como algo con vida propia colocado por fuera de
éstos, aspecto que será retomado en IV - 3.
El control interno en el proceso gerencial
A nuestro juicio, entre los principales aportes del informe COSO se destaca la referencia
explícita a que el control interno es parte del proceso gerencial y no algo ajeno a él, colocado
“por fuera” como un agregado destinado sólo a evitar posibles fraudes que perjudiquen el
patrimonio empresarial o errores contables, problemas éstos que conspiran contra la exactitud
de la información contable. Recuérdese que esta última siempre fue el aspecto de énfasis del
concepto tradicional.
Es recién más de cuatro décadas más tarde que COSO plantea una visión diferente, colocando
al control interno como algo de particular interés para la alta gerencia, ya no por la carga
adicional de responsabilidad por él -que desde un principio le fue adjudicada por los autores
del concepto tradicional- sino por su aporte al éxito de la gestión empresarial, aspecto sí
considerado desde siempre por el nivel gerencial como su responsabilidad clave.
En efecto, COSO concibe al proceso gerencial como una secuencia de etapas que incluye:
1. El establecimiento de objetivos a nivel de la entidad, que implica enunciar su propósito
principal -razón de su existencia o misión y valores a respetar para cumplirlo- y su visión
de futuro o estado deseado.
2. El planeamiento estratégico, etapa en la que se diseña la forma en que se cumplirá con la
misión -teniendo en cuenta factores externos (oportunidades y amenazas) e internos
19
(fortalezas y debilidades)- y se establecen prioridades que a su vez se traducen en la
asignación de los recursos disponibles o a obtener.
3. La fijación de los factores del ambiente de control, que constituyen la base para orientar la
acción de los recursos humanos que deberán poner en práctica la estrategia; éstos deben
conocer esos factores para poder discernir cuál es el marco ético en que deben actuar para
cumplir con sus responsabilidades particulares en la ejecución de la estrategia definida.
4. El establecimiento de objetivos a nivel de cada actividad que se desarrolla en la entidad.
El plan estratégico debe ser traducido en objetivos específicos para cada actividad, que
deben ser consistentes entre sí y -de ser posible- traducidos en forma de metas que
ayudarán a identificar los factores críticos de éxito. Conocer estos últimos permite
identificar criterios de medición del desempeño que ilustren sobre el grado en que las
metas están siendo alcanzadas.
5. La identificación de los riesgos que pueden conspirar contra el logro de los objetivos de
cada actividad relevante para el logro de los objetivos globales; debería permitir -tras su
subsecuente análisis- tomar decisiones apropiadas para administrarlos adecuadamente.
6. La administración de tales riesgos, esto es, la especificación del grado de riesgo que se
está dispuesto a aceptar y el diseño de los mecanismos tendientes a acotarlo por debajo de
ese nivel, que implica adoptar medidas apropiadas para evitar que se concrete en
perjuicios mayores al nivel aceptado, que deberían ser de dos tipos: las orientadas a evitar
su materialización y las orientadas a reducir sus efectos perjudiciales si se materializan
pese a las anteriores.
7. La dirección de las actividades de control que apunten a asegurar que esos mecanismos
funcionen efectivamente -esto es, en forma regular y de acuerdo a lo previsto- en la
práctica.
8. La obtención y empleo (entendiendo por tales la captura, procesamiento, distribución y
uso) de información idónea -incluyendo la que ese nivel gerencial requiere para tomar
decisiones apropiadas pero también la que cada integrante de la organización necesita para
poder cumplir eficazmente con sus responsabilidades- y el establecimiento de canales de
comunicación aptos para que cada nivel cuente con la información que le es relevante,
incluyendo comunicación con el exterior, puesto que agentes externos pueden proveer
elementos valiosos para apreciar oportunidades, amenazas, riesgos, formas de administrar
riesgos, etc..
20
9. El monitoreo de que todo lo anterior está funcionando apropiadamente, esto es, que los
mecanismos para asegurar el logro de los objetivos operan en forma continua y eficaz.
10. La adopción de medidas correctivas si ese monitoreo muestra un funcionamiento diferente
al esperado o la necesidad de modificar lo previsto; incluyen tanto las orientadas a
corregir el rumbo si peligra que la entidad logre los objetivos perseguidos como las que
permiten ajustar lo planificado -o aún abandonarlo- si se produjeron cambios en las
circunstancias que lo hacen aconsejable.
Siguiendo un desarrollo conceptual planteado por Diego Sosa
15
las funciones del proceso
descripto pueden ser discriminadas considerando su propósito principal: mientras unas -las
mencionadas en los numerales 1,2,4,6 y 10- procuran las opciones más propicias para lograr
los objetivos (a nivel entidad o a nivel actividad, según el caso) y deberían traducirse en
acciones orientadas a alcanzarlos, otras (3, 5, 7, 8 y 9) buscan brindar una razonable seguridad
de éxito en el logro de tales objetivos, apoyando el tránsito del camino elegido. Naturalmente,
deben complementarse.
Como las segundas constituyen lo que COSO denomina “componentes” del proceso de
control interno, ya debería quedar claro que éste integra el proceso gerencial.
Pero además, las funciones gerenciales también pueden discriminarse distinguiendo las que
“marcan el rumbo” para el logro de los objetivos -que constituyen la parte esencial del primer
grupo antes citado- (1 y 2), las que “brindan el soporte” necesario para el ejercicio de las
demás -que, dentro del segundo grupo son las relativamente más estructuradas- (3, 8 y 9) y las
que componen “la cadena del riesgo” -el resto, que consta de funciones incluidas en ambos
grupos de la clasificación anterior- (4, 5, 6, 7 y 10)-.
Es en el marco de esta segunda clasificación -y particularmente, analizando el último grupo
que distingue- donde se manifiesta más claramente que el control interno no puede separarse
del proceso gerencial. En efecto, analizando los eslabones de esta “cadena de riesgo” se
aprecia una correspondencia íntima entre las funciones que la integran; esta correspondencia
se traduce en una relación de precedencia que muestra que no es posible realizar
15
Cr. Diego Sosa. Profesor Titular de Control Interno y Organización de Sistemas Contables entre 1993 y 2005.
21
apropiadamente cualquiera de esas funciones si no ha sido cumplida la que la precede. No es
posible tomar medidas para administrar los riesgos si éstos no han sido previamente
identificados y analizados, pero a su vez esto último no es posible si previamente no se
conocen los objetivos específicos de cada actividad. Tampoco es posible establecer
actividades de control si no se conocen las medidas adoptadas para administrar los riesgos, ni
tiene sentido pensar en adoptar medidas correctivas si no se conocen las medidas para
administrar riesgos cuya efectividad debe evaluarse. Nótese que las funciones “identificación
y análisis de riesgos” y “dirección de actividades de control” -componentes del proceso de
control interno según COSO- están tan ligadas al resto de las funciones de la que hemos
llamado “cadena del riesgo” que no pueden concebirse con independencia de las demás -que
integrando el proceso gerencial no componen el control interno- apreciación que permite
sostener que la formulación conceptual de COSO no sólo enuncia sino que permite demostrar
que el control interno está tan vinculado al proceso gerencial que no es posible verlo sino
como parte de ese proceso.
El carácter iterativo del proceso de control interno.
Los componentes del control interno son representados gráficamente en el Informe COSO con
la forma de una pirámide de cuatro pisos, en la que la base la constituye el ambiente de
control, encima de ella el componente identificación y evaluación de riesgos, más arriba las
actividades de control y en la cúspide el monitoreo. En las aristas de la pirámide, representado
por flechas bidireccionales, se encuentra el quinto componente: información y comunicación,
que atraviesa entonces todos los demás, desde la cúspide hasta la base y viceversa.
Tal modelización ilustra el dinamismo de los sistemas de control interno, mostrando que no es
un proceso serial en el que un componente afecta sólo al siguiente sino un proceso iterativo y
multidireccional en el que cualquiera de los componentes puede influir sobre otro. Por
ejemplo, la evaluación de riesgos puede mostrar no sólo la necesidad de actividades de
control, sino también la necesidad de reconsiderar aspectos vinculados con información y
comunicación o el diseño de actividades de monitoreo.
22
IV - 2 - La importancia del factor humano
Las personas como ejes del sistema
Recuérdese que el documento del AICPA que origina el concepto tradicional ya identificaba
al personal como elemento del sistema de control interno, pero no lo incluía en su definición.
La definición de COSO, en cambio reconoce explícitamente que el control interno es
efectuado por personas, al señalar que involucra al directorio, a las gerencias y al resto del
personal.
En otros términos, esto significa reconocer que el control interno no consiste únicamente en la
existencia de organigramas, flujogramas, formularios y manuales que contengan políticas y
procedimientos –como podría inferirse de una lectura rápida de la definición del AICPA- sino
también, y fundamentalmente, en acciones de personas en cada nivel de una organización.
Son las personas las que establecen los objetivos de la entidad, colocan mecanismos de
control en procura de alcanzarlos y ejecutan las actividades que la organización lleva a cabo
con ese fin.
La influencia mutua entre las personas y el sistema de control interno
El control interno es ejecutado por las personas de la organización y, por lo tanto, resulta
afectado por lo que las personas hacen o no hacen y por lo que dicen o no dicen. Se debe tener
presente que cada individuo trae al lugar de trabajo sus antecedentes y habilidades técnicas
particulares y que tiene diferentes necesidades y prioridades personales, así como que la gente
no siempre entiende, comunica o se desempeña en forma consistente. La falta de alineamiento
de las personas con los objetivos de la organización puede erosionar seriamente el control
interno.
Ahora bien, el control interno también puede ejercer influencia en las acciones de las
personas. En este sentido, resultan claves el liderazgo de la alta gerencia, los mensajes que
comunica en forma explícita y los que transmite implícitamente con sus propias actitudes.
También, que lo anterior sea acompañado por adecuadas políticas y prácticas en materia de
23
recursos humanos. La relevancia de estos aspectos es destacada en el informe COSO, que les
asigna un papel preponderante en el establecimiento del ambiente de control, al que a su vez
le asigna –como se analizará en IV – 3 con más detalle- el carácter de base de todo el sistema
de control interno. Aspectos vinculados con el componente Información y Comunicación
también son importantes. Como cada integrante de la entidad tiene su cuota de
responsabilidad en el proceso, es
necesario que cada uno conozca los objetivos, sus
responsabilidades y sus límites de autoridad para ejercerlas.
Roles y responsabilidades
Como se vio -más allá de lógicas diferencias del grado, que aumenta conforme se asciende en
la escala jerárquica- todos los miembros de una organización tienen responsabilidades en
materia de control interno. Interesa destacar algunas, que el propio informe aborda
específicamente:
•
Dirección Ejecutiva
El gerente general -o figura equivalente en entidades sin un cargo con tal denominación- es el
responsable en última instancia del sistema de control interno. Debe ser consciente de ello,
aceptar su mayor responsabilidad y cumplir con ella apropiadamente. Dentro de las múltiples
connotaciones que tiene esto último, en particular se destacan que: a) más que cualquier otra
persona, debe mostrar integridad, ética y demás elementos propios de un ambiente de control
positivo en la empresa o institución que dirija y b) dentro de un esquema de responsabilidades
en “cascada”, debe proyectar su liderazgo y dirección hacia los gerentes de área y supervisar
la forma en que ellos están controlando el negocio, asignando responsabilidades y
estableciendo políticas y procedimientos más específicos de control interno para los
funcionarios que tienen a su cargo la operación de las diversas unidades. A su vez, siempre
dentro de este esquema de “cascada”, un gerente de área es el “gerente general” de la unidad
organizativa que conduce, cabiéndole entonces en relación a la misma, aunque en otra escala
o dimensión, idéntica responsabilidad.
24
•
Consejo de Administración o Directorio
Su rol es particularmente relevante en entidades en que la conducción ejecutiva está separada
de la propiedad (empresas que cotizan en bolsa, empresas estatales, etc.). El gerente general
debe rendir cuentas al consejo de administración o directorio, que debe velar porque la
conducción de las actividades de la entidad sea acorde con los intereses de sus accionistas –en
el primero de los casos- o concepto equivalente en otro tipo de entidades. Para que ello sea
viable, sus miembros deben tener un conocimiento suficiente de las actividades de la entidad
y su entorno, asignar el tiempo necesario para cumplir las responsabilidades inherentes a su
cargo y proporcionar gobierno y orientación, adoptando una actitud objetiva, vigilante e
inquisidora sobre el accionar de la gerencia ejecutiva.
•
Auditores internos
Juegan un importante papel en la evaluación de la efectividad de los sistemas de control y
contribuyen a mantener o mejorar su calidad. Por su posición en la organización la función
auditoría interna tiene un importante papel en el proceso de supervisión y seguimiento
(monitoreo).
•
Personal en general
El control interno es, en cierto grado, responsabilidad de todos y cada uno de los miembros de
cualquier organización. Debiera existir una referencia a ello, explícita o implícita, en la
descripción del trabajo de cada uno. Todo empleado debe asumir que debe comunicar a sus
superiores los problemas que observe en el curso de las operaciones, casos de falta de
cumplimiento al código de conducta u otras violaciones a las políticas de la entidad, así como
la comisión de acciones ilegales.
IV 3 - El cambio de paradigmas
Recuérdese que el documento del AICPA que origina el concepto tradicional identificaba a
las “prácticas sanas” como elemento del sistema de control interno, pero no lo incluía en su
25
definición. Este concepto, enunciado allí como relacionado con la ejecución de los deberes y
funciones de cada departamento de la organización y conceptualizado por algunos autores
como equivalente a que el trabajo de cada individuo fuera realizado en un marco de
supervisión y control adecuado, fue un primer esbozo de algo sustancialmente más amplio y
considerado por el informe COSO como la base que sustenta la eficacia de todo el sistema de
control interno: el ambiente de control.
A lo largo del lapso transcurrido entre que fueron emitidos ese documento (1948) y el informe
COSO (1992) se fue apreciando paulatinamente la importancia del ambiente o contexto de
control.
Por ejemplo, el AICPA, al sancionar el SAS 55 prefirió aludir a tres elementos que conforman
la que llamó estructura de control interno: a) el contexto de control, b) el sistema contable y c)
los procedimientos de control. Según un análisis efectuado por Fowler Newton
16
de este
aspecto de dicho pronunciamiento, el contexto de control representa el efecto conjunto que
sobre el establecimiento, la mejora o la atenuación de la eficacia de las políticas o
procedimientos tienen diversos factores, entre los que el citado autor entiende como más
relevantes: a) algunas características del accionar de la gerencia, b) algunos aspectos de la
estructura organizativa de la entidad, c) los métodos empleados para el control gerencial del
desempeño, d) las políticas en materia de recursos humanos y e) las influencias externas que
pueden afectar el sistema de control de una entidad, tales como la frecuencia con que la
misma es objeto de inspecciones de organismos reguladores o similares.
Slosse y coautores 17 analizan la consideración del control interno por parte del auditor a partir
de la definición de 1948, pero aportan una categorización de controles que distingue: a) el
ambiente de control, b) los controles generales y c) los controles directos. En su enfoque,
conciben que el ambiente de control determina el marco para el control general. Establecen
que “en forma previa a cada control específico implantado, el ambiente de control establece
las condiciones en que opera el conjunto de los sistemas de información, contabilidad y
control y contribuye a su confiabilidad”. Del planteo de estos autores interesa además recoger
que entienden que el ambiente de control abarca a) el enfoque hacia el control por parte de la
16
Enrique Fowler Newton. Auditoría aplicada (1989)
26
gerencia o dirección superior y b) la organización y estructura del ente. También que señalan
que en muchos casos el ambiente de control no es susceptible de ser medido en forma
objetiva.
Volviendo a COSO, como se señaló en IV – 1, la base de la pirámide con que modeliza
gráficamente al control interno la constituye el componente “Ambiente de Control”. Tal
representación gráfica transmite un fuerte mensaje, puesto que si la base de la pirámide es
débil o se corroe, se puede derrumbar todo el resto de la estructura.
La contundencia de la imagen contrasta con la aparente vaguedad de la expresión, que por
cierto implica mucho más que su primer antecedente: la mención a las prácticas sanas entre
los elementos identificados en el pronunciamiento que da origen al concepto tradicional.
En procura de transformarla en algo más concreto, COSO identifica siete factores que
influyen en la calidad del ambiente de control de una entidad. Son ellos: a) La integridad y
valores éticos presentes en las actitudes y acciones de los miembros de la organización; b) El
compromiso con la aptitud y competencia profesional de quienes se desempeñan en la entidad
en sus diferentes estamentos; c) La estructura organizativa y cómo afecta el ágil y seguro
desarrollo de las operaciones y la circulación de información relevante entre las distintas
unidades; d) Las formas empleadas para asignar responsabilidad y delegar autoridad; e) Las
políticas y prácticas seguidas en materia de Recursos Humanos; f) La filosofía y el estilo de
conducción de la gerencia; h) El rol de vigilancia sobre la gerencia que ejercen el Directorio
y/o –en las entidades en que existe- el Comité de Auditoría
El ambiente de control integra, junto con los componentes Información y Comunicación y
Monitoreo, el concepto de “controles blandos” con que algunos autores los identifican por
oposición a lo que ven como “controles duros”, representados por acciones más concretas y
visibles como verificaciones físicas, conciliaciones, punteos, separación de funciones,
revisión por un supervisor y similares.
17
Juan Carlos Slosse y otros. Obra ya citada.
27
Sin restarle importancia a los denominados controles “duros”, COSO destaca la importancia
de los controles “blandos”. Así, e integrado en forma indivisible con el monitoreo y con la
amplitud de formas de ejercerlo que la tecnología de la información ofrece, propone al
“empowerment” (término que alude a mayor delegación, presente en programas de mejora de
la calidad) monitoreado y a los controles insertos en los propios procesos como alternativa a
la separación de funciones y a controles sobre los procesos, tales como que una persona haga
y otra revise lo que la primera hizo.
IV - 4 - La eficacia del control interno y qué puede esperarse de un sistema de control interno
eficaz
La eficacia del sistema
Los sistemas de control interno pueden operar con diferentes niveles de eficacia en distintas
entidades. Pero también, en una entidad en particular, el sistema de control interno puede
operar en forma diferente en distintos momentos. Esto indica que es importante distinguir
cuándo puede considerarse que el control interno está operando con eficacia.
Como se señaló precedentemente, en la definición de COSO subyace que el control interno
puede ayudar a una entidad a lograr sus metas en cuanto a desempeño y a prevenir la pérdida
de recursos, así como también puede ayudarla a asegurar confiabilidad en la elaboración de
información contable y a que cumpla con las leyes y regulaciones que le son aplicables,
evitando daños a su reputación y otras consecuencias negativas. En otras palabras, puede
ayudar a una entidad a llegar donde quiere ir y a evitar escollos y sorpresas a lo largo del
camino. Si efectivamente lo hace, el sistema de control interno vigente en la entidad en
cuestión podrá considerarse eficaz.
El concepto de eficacia que plantea COSO entonces está vinculado al grado en que el control
interno contribuye al logro de los objetivos de la organización, pero adquiere diferente forma
según de cuál de las categorías de objetivos que el informe distingue se trate.
28
Objetivos comunes a casi todas las entidades serían, por ejemplo, conseguir y mantener una
buena imagen (objetivo categorizable como operacional), proporcionar estados contables
confiables a los usuarios de los mismos (objetivo categorizable como vinculado a la
confiabilidad de la información) y operar cumpliendo con las leyes y regulaciones (objetivo
categorizable como de cumplimiento). Esta categorización permite distinguir entre lo que
puede esperarse del control interno -en términos de eficacia- en cada categoría.
Puede esperarse que provea seguridad razonable de lograr los objetivos relativos a la
confiabilidad de la elaboración de información contable y al cumplimiento con leyes y
regulaciones. El logro de esos objetivos -que tienen como referencia estándares impuestos
externamente, conocidos previamente y que no presentan cambios bruscos imposibles de
anticipar- depende básicamente de cómo se llevan a cabo las actividades relacionadas con
ellos dentro de la entidad, por lo que las acciones necesarias para alcanzarlos están bajo el
control de la propia entidad.
En cambio, el logro de los objetivos relacionados con las operaciones -tales como alcanzar
una determinada tasa de rentabilidad o una cierta cuota de participación en el mercado- no
está solamente ligado a las acciones y controles que la entidad lleve a cabo para alcanzarlos y
el control interno no puede evitar juicios equivocados o decisiones erróneas, ni puede
transformar un gerente poco capaz en uno bueno. Pero además, como tales juicios y
decisiones son formulados o adoptadas respectivamente en un marco de incertidumbre,
interpretaciones del futuro y decisiones -aún efectuadas o tomadas por ejecutivos capaces y
aparentemente acertadas a la luz de las circunstancias presentes en ese momento- pueden
resultar erróneas a la luz de acontecimientos que ocurran a posteriori, tales como cambios en
el entorno económico o desastres naturales no previsibles, por ejemplo. Si bien eventos
externos tales como un cambio de gobierno, factores climáticos desfavorables y otros de
naturaleza similar pueden incluso haber sido considerados en el proceso de establecimiento de
objetivos y haber sido objeto de un plan de contingencias en caso de ocurrir, tal plan solo
mitiga o suaviza su impacto, pero no garantiza la consecución de los objetivos.
El logro de metas operativas está también expuesto a otros eventos externos que pueden
causar que un negocio falle, tales como acciones de la competencia u otros agentes del
29
entorno con el que la entidad interactúa. El control interno tampoco puede evitar estas
acciones. Una entidad puede desempeñarse como se lo ha propuesto, pero ser superada por un
competidor, por ejemplo.
Los aportes del control interno en esta categoría de objetivos se centran principalmente en
que:
•
Ayuda a que exista consistencia de objetivos y metas a lo largo de toda la organización
•
Ayuda a identificar factores claves de éxito
•
Puede proveer de información oportuna acerca del desempeño actual y de las expectativas
de desempeño futuro.
A pesar de que no puede asegurarse el éxito, la gerencia debe contar con una seguridad
razonable de ser alertada cuando los objetivos estén en peligro de no ser alcanzados. Es en
este aspecto en que el control interno puede realizar su mayor aporte; puede proporcionar
información gerencial sobre el progreso de la entidad o la falta de progreso en pos de su logro.
Para estos objetivos, el sistema de control interno puede proporcionar una seguridad razonable
de que la dirección y, en su rol de vigilancia, el directorio, estén enterados, en forma oportuna,
del grado en que la entidad está avanzando hacia esos objetivos.
De todo lo anterior se desprende que el control interno puede ser juzgado eficaz en cada una
de las tres categorías de objetivos, respectivamente, si la dirección y el directorio tienen
seguridad razonable de que:
•
Son concientes de la medida en que los objetivos relacionados con las operaciones de la
entidad están siendo logrados.
•
Los estados contables publicados por la entidad están siendo preparados en forma
confiable
•
La entidad está cumpliendo con las leyes y regulaciones aplicables.
Si bien, como surge de lo anterior, puede esperarse que un sistema de control interno provea
seguridad de lograr los objetivos relativos a la confiabilidad de la elaboración de información
30
contable y al cumplimiento con leyes y regulaciones, aún en esos casos la seguridad que
puede proveer no es absoluta.
Sólo puede esperarse una seguridad razonable
El concepto refleja que la probabilidad de lograr los objetivos, aún en las categorías en que las
acciones tendientes a alcanzarlos están bajo el control de la entidad, se ve afectada por
limitaciones inherentes a todos los sistemas de control interno.
El reconocimiento de la existencia de estas limitaciones no es un aporte del informe COSO.
Su presencia ya era mencionada en los desarrollos vinculados al concepto tradicional.
Se relacionan con el hecho de que las decisiones son tomadas y muchos controles son
efectuados por personas y tanto el juicio como los actos humanos pueden tener fallas, con que
las personas responsables de establecer los controles necesitan evaluar sus costos y beneficios
relativos, con el hecho de que cambios no advertidos o no atacados convenientemente pueden
tornar ineficaces controles que antes sí eran eficaces, con el hecho de que los controles
basados en la separación de funciones pueden ser burlados por la colusión de dos o más
personas y con que la dirección tiene la capacidad de violentar el sistema de control interno.
Así, la eficacia de los controles puede verse afectada por la falibilidad humana en la toma de
decisiones de negocios, decisiones que deben ser tomadas utilizando el juicio (que puede ser
acertado o equivocado) en el tiempo disponible (que puede ser menor al necesario para un
adecuado análisis), en base a la información que está al alcance del decidor en ese momento
(que puede ser insuficiente o contener errores) y bajo las presiones inherentes al manejo del
negocio.
Muy vinculado con lo anterior está el hecho de que los decisores deben considerar los costos
y beneficios asociados al establecimiento de controles. Carecería de sentido implantar un
control cuyo costo exceda los perjuicios que podrían derivarse de su ausencia, pero esto no
elimina ni reduce tales perjuicios. Por otra parte, las evaluaciones de costos y beneficios
también pueden ser erróneas.
31
Pero además, los recursos siempre son limitados y su empleo debe priorizarse, por lo que no
todos los controles que parezcan importantes –que siempre tienen algún costo- pueden ser
implantados. Para priorizar qué controles en particular deben ser establecidos, se debería
considerar el riesgo de fracaso y el efecto potencial en la entidad de la presencia o ausencia de
cada uno, conjuntamente con los costos asociados a establecerlo, mediciones que pueden
alcanzar diferentes niveles de precisión. Suele ser más fácil trabajar con el lado del costo de la
ecuación, que frecuentemente puede ser cuantificado en forma bastante precisa, considerando
los costos directos asociados al establecimiento del control y los indirectos que sea factible
medir, pero esto no siempre es sencillo. Puede resultar difícil cuantificar el tiempo y esfuerzos
asociados, por ejemplo, a fortalecer ciertos factores del ambiente de control -tales como
acciones destinadas a reforzar el compromiso de la dirección con respecto a valores éticos- o a
obtener información externa sobre la evolución de las preferencias de los consumidores o a
otras cuestiones similares. La estimación de los beneficios puede estar impregnada de una
subjetividad aún mayor. Por ejemplo, los beneficios de programas de capacitación y/o
entrenamiento son apreciables intuitivamente, pero difíciles de cuantificar. Lo señalado tiene
dos efectos que conspiran contra la seguridad que puede proporcionar el control interno: a)
controles no implantados por ser de prioridad más baja, dejarán de cubrir los riesgos
asociados y b) las dificultades de medición pueden conducir a una priorización inadecuada,
dejando sin cobertura riesgos importantes.
Pero además, aún cuando la priorización haya sido bien realizada y los principales controles
se hayan implantado, el personal que los ejecuta puede fallar por entender incorrectamente las
instrucciones o por cometer errores originados en falta de cuidado, distracción o fatiga. Puede
ocurrir asimismo que alguien que desarrolle tareas de control en suplencia de personal en uso
de licencia o enfermo, no las realice correctamente por falta de conocimiento suficiente.
También puede suceder que se implanten cambios en la forma de operar antes de que el
personal involucrado haya sido entrenado para reaccionar eficazmente ante signos de
funcionamiento incorrecto.
32
Otra limitación la introduce el hecho de que la colusión entre dos o más personas actuando en
forma colectiva para cometer y encubrir una irregularidad o un error importante puede hacer
fallar los controles, particularmente los basados en la oposición de intereses por la vía de la
separación de funciones, puesto que en la hipótesis de colusión tal oposición de intereses
desaparece.
Y finalmente, aún en entidades eficazmente controladas y con altos niveles de integridad
moral y conciencia de control, la gerencia suele tener autoridad como para, si se lo propone,
violentar el control interno con fines ilegítimos intentando obtener un beneficio personal para
sí. Las prácticas de violación por la gerencia incluyen también declaraciones tergiversadas a
terceros y la emisión intencional de documentos falsos (facturas por ventas inexistentes, por
ejemplo) para mejorar artificialmente las conclusiones que puedan extraer quienes tengan
intereses en la entidad a partir de la información que ésta les proporciona.
La existencia de las limitaciones recién mencionadas no significa que los sistemas de control
interno fallarán inexorablemente, ni siquiera que fallarán frecuentemente. Simplemente
significa que en ocasiones pueden fallar. De ahí el hecho de que el control interno sólo pueda
dar seguridad razonable, pero no absoluta, de resultar eficaz.
IV - 5 - La aplicabilidad de los conceptos del informe a organizaciones de características
diversas.
Una de las críticas que suelen formularse sobre el informe COSO es que los conceptos que
plantea están concebidos para un determinado escenario: el de empresas de gran porte,
multinacionales, cotizantes en bolsa y con una estructura organizativa altamente
descentralizada. Si bien es cierto que el documento se ubica primordialmente en ese
escenario, también lo es que explícitamente señala que sus conceptos principales resultan de
aplicación en otros contextos.
33
Aplicación a pequeñas y medianas organizaciones
En este ámbito, lo que seguramente debe variar es la forma de instrumentación de los
principios subyacentes en un buen sistema de control interno, pero no los principios en sí
mismos.
La participación directa del gerente general o dueño-gerente (en adelante, GG/DG) en el
negocio y su contacto de primera mano con el personal suele ser un fuerte mecanismo
compensatorio de medidas que no resultaría viable implementar con una relación costo –
beneficio favorable, a la vez que reduce las necesidades de formalidad en otras que
necesariamente deben estar formalizadas en empresas de gran porte.
Así, las entidades pequeñas y medianas pueden implementar los factores del ambiente de
control en forma diferente a las entidades grandes. Pueden no tener un código de conducta
escrito, pero eso no necesariamente significa que no tengan una cultura que enfatice en la
importancia de la integridad y el comportamiento ético. El involucramiento directo del
GG/DG en el compromiso con la integridad y el comportamiento ético puede ser transmitido
en reuniones con el personal y en el trato con proveedores y clientes. Su propia integridad y
su propio comportamiento son críticos y deben ser consistentes con el mensaje oral debido al
contacto de primera mano que el personal tiene con ellos. Cuanto menos sean los niveles
gerenciales, más rápido circula a través de la organización el mensaje sobre qué conducta es
aceptable. Las políticas sobre recursos humanos pueden no estar formalizadas como en una
entidad de mayor porte, pero igualmente pueden existir y ser conocidas por todo el personal.
El GG/DG puede explicitar oralmente sus expectativas sobre el tipo de persona a ser
contratada para un trabajo en particular y hasta desempeñar un rol activo en el proceso de
contratación. Cuando una organización es dirigida por el dueño y no requiere capital del
mercado, el directorio no es esencial para un control interno eficaz.
Del mismo modo, es probable que en organizaciones pequeñas el proceso de apreciación de
riesgos sea menos formal y estructurado que en las grandes, pero los conceptos básicos de
este componente deben estar presentes en todas las entidades, independientemente de su
tamaño. Las pequeñas también deben fijar objetivos, aún cuando puedan hacerlo en forma
34
más implícita que explícita. Al estar más centralizadas y tener menos niveles de autoridad,
los objetivos pueden ser comunicados fácil y eficazmente al personal de más bajo nivel de un
modo más directo y continuo. Probablemente también la vinculación entre los objetivos
globales de la entidad y los objetivos a nivel de actividad sea más clara y directa que en las
entidades grandes. El proceso de identificación y análisis de riesgos se puede basar en la
recepción directa de información por parte de la alta gerencia. Un GG/DG puede tomar
conocimiento de riesgos que provienen de factores externos a través del contacto personal con
clientes, proveedores, el banco, abogados, contadores y otros asesores y agentes externos.
También puede estar al tanto de riesgos provenientes de factores internos a través de su
contacto directo con todos los niveles del personal. La evaluación de los riesgos puede ser
particularmente eficaz en virtud de su involucramiento con los detalles del negocio, que
posibilita que los riesgos sean evaluados por personas que además de tener acceso a
información adecuada pueden comprender fácilmente su impacto en la entidad. Las propias
reuniones informales que proveen información para identificar riesgos pueden también ser
propicias para analizarlos y tomar decisiones sobre cómo deben ser manejados.
Tampoco los conceptos que subyacen en el componente actividades de control difieren
significativamente por el tamaño de la entidad, que lo que sí puede hacer variar es su
instrumentación. En entidades pequeñas puede ocurrir que ciertos controles no sean
necesarios porque existen otros derivados de la presencia directa de la dirección, que no es
posible en entidades de mayor porte. Así, la participación directa del GG/DG en un nuevo
plan de comercialización, en la autorización de ventas a crédito importantes, compras y otras
operaciones relevantes, puede proveer un fuerte control sobre esas actividades, reduciendo la
necesidad de controles más detallados. Lo que sí suele presentar dificultades en
organizaciones pequeñas es lograr una segregación adecuada de funciones. Si ella no fuera
posible, una vigilancia directa por parte del GG/DG sobre las funciones que resulten
incompatibles puede proveer el control necesario.
En las entidades pequeñas es probable que los sistemas de información sean menos formales
que en las grandes, pero su rol es igualmente importante. Con la tecnología actual, los datos
generados internamente pueden ser procesados eficaz y eficientemente en la mayoría de las
organizaciones, sin importar su tamaño. En cambio, la eficacia de los sistemas para capturar
35
información sobre eventos y condiciones externas es, en entidades de menor porte, mucho
más dependiente de la habilidad de la dirección superior para obtenerla e interpretarla de lo
que lo es en entidades grandes. Por su parte, la eficacia en la comunicación interna entre la
dirección y el resto del personal puede ser bastante más fácil de lograr en una entidad pequeña
o mediana que en una grande, debido a su menor cantidad de niveles y a que el GG/DG suele
estar más visible y accesible. Sin los canales de comunicación formales presentes típicamente
en grandes empresas, entidades más pequeñas encuentran que los contactos día a día con el
personal, clientes y proveedores, acompañados de una política de puertas abiertas, proveen
una comunicación efectiva, tanto interna como externa.
También las actividades de monitoreo continuo, en pequeñas y medianas entidades,
probablemente sean más informales e involucren directamente al GG/DG. Su monitoreo de
los controles es típicamente un subproducto de su monitoreo de los negocios a través de su
participación personal en la mayoría de las fases de las operaciones importantes, que puede
poner en evidencia variaciones significativas con respecto a las expectativas o inexactitudes
en la información contable, por ejemplo. El conocimiento de primera mano de quejas de
clientes o proveedores, el contacto directo con organismos de regulación y control y
cuestiones similares pueden alertarlo sobre problemas vinculados con objetivos operativos o
de cumplimiento que pueden mostrar un debilitamiento en los controles y la necesidad de
reforzarlos. La necesidad de evaluaciones separadas de sus sistemas de control interno puede
ser compensada con actividades de monitoreo continuo como las descriptas, pero hasta las
pequeñas entidades pueden asignar al personal contable ciertas tareas que sirvan para evaluar
puntualmente determinados controles. Debido a su estructura organizativa más reducida, las
deficiencias emergentes de los procedimientos de monitoreo pueden ser comunicadas
fácilmente a la persona indicada. En una entidad pequeña, el personal suele tener claro qué
tipo de problemas deben informarse a los niveles superiores.
Aplicación al ámbito público o gubernamental y a otras entidades sin fines de lucro
Las entidades públicas se caracterizan por tener una compleja estructura organizacional y
suelen estar sometidas –al menos en lo formal- a estricto control estatal; en esencia, suelen
operar en forma similar a las empresas de gran porte y presentan problemas de naturaleza
36
análoga. Tienen “accionistas” (los contribuyentes), están conducidas por directorios u órganos
de naturaleza equivalente y son administradas por gerentes de carrera o figuras de carácter
similar. Suelen tener una misión, establecida con mayor o menor claridad en sus cartas
orgánicas y para cumplirla deben llevar a cabo una serie de actividades que deberían estar
alineadas con ella. Esto evidencia, también claramente, la aplicabilidad de los principios de
control interno a ellas.
El funcionamiento de algunas organizaciones sin fines de lucro, sindicatos, cooperativas,
mutualistas y otras entidades lejanas al mercado de valores está expuesto también a que la
orientación de la conducción de sus ejecutivos y los reales intereses de quienes serían el
equivalente a sus “accionistas” no estén en sintonía, por lo que también en este caso serían
aplicables los principios de un buen sistema de control interno.
V - La vinculación del control interno con otras disciplinas relacionadas
De lo expuesto en el apartado III – 1 debería haber quedado claro el vínculo existente entre el
control interno y la administración, así como que el control interno es parte integrante e
indivisible de ésta. Pero existen otras disciplinas, también relacionadas con la administración,
con las que el control interno presenta importantes vínculos. Entre las más relevantes –y que
por lo tanto, se mencionarán en este apartado- se encuentran la que se conoce como gestión de
riesgos del negocio, la que se denomina control de gestión y la que es referenciada como
gobierno corporativo.
V - 1 - Control interno y gobierno corporativo
Concepto de gobierno corporativo
La expresión, traducción dada a “Corporate Governance”, no transmite claramente en español
la carga conceptual y cultural de la original en inglés. Tan es así que al mismo concepto se
hace referencia también como “Gobierno de las Sociedades”, “Gobernabilidad” o
“Gobernanza”, aunque todas presentan análogas limitaciones. En adelante se utilizará
37
“Gobierno Corporativo” en razón de que es la expresión más difundida, sin que implique que
es la que se considere más apropiada.
El concepto es muy amplio y cubre una gran variedad de tópicos; se podría definir como el
sistema y los procesos a través de los cuales las entidades son dirigidas y controladas,
acotándolo haciendo referencia a que su foco de atención está en las relaciones de una entidad
con todos aquellos que tengan algún interés en ella o puedan verse afectados por su actividad
y a que su objetivo es asegurar que su conducción esté orientada a contemplar
apropiadamente esos intereses.
En ese marco, la estructura de gobierno corporativo especifica la distribución de derechos y
obligaciones entre diferentes actores relacionados con una entidad tales como accionistas,
consejo de administración (o directorio o junta directiva), alta gerencia, clientes, proveedores,
organismos reguladores, grupos de interés social (sindicatos, por ejemplo) y hasta la
comunidad toda en ciertas circunstancias, a la vez que establece las reglas y los procesos para
la toma de decisiones en los asuntos corporativos relacionados. Las llamadas “buenas
prácticas de gobierno corporativo” apuntan a que esa estructura asegure que la acción de la
alta gerencia y el directorio se oriente a mejorar el desempeño de la entidad en lo que se
refiere al valor que, como consecuencia de ese desempeño, reciben los restantes agentes
mencionados (stakeholders).
En lo que refiere a buenas prácticas de gobierno corporativo pueden distinguirse dos ámbitos
o dimensiones: el ámbito de una entidad en particular y el ámbito del mercado en el cual
opera.
En el ámbito de una entidad en particular, la estructura de gobierno corporativo diseñada es la
forma elegida para dirigir las actividades de la organización con el objetivo de agregar valor a
todos sus stakeholders.
En el ámbito del mercado, se entiende por régimen de gobierno corporativo al conjunto de
medidas adoptadas en él para establecer reglas, principios y mecanismos que conduzcan a que
las organizaciones operen con una administración eficiente, en un marco institucional
38
apropiado y con formas justas de representación y de control, de legitimación de poder, de
aseguramiento de conductas éticas en los negocios y de compromiso y responsabilidad
(“accountability”)
Esa “accountability” para con los stakeholders es la que las buenas prácticas de gobierno
corporativo exigen a la alta gerencia en su carácter de administradora o tomadora de
decisiones y al directorio en su carácter de vigilante de la acción de la alta gerencia. El
término no tiene uno equivalente en español. Significa que alguien tendrá que asumir la
responsabilidad y responder por las consecuencias si un proyecto falla, si el balance de una
empresa no conforma o si el servicio que presta un organismo público no satisface a la
ciudadanía. Un término utilizado desde hace años para transmitir este concepto en español es
“respondabilidad”, concatenando las ideas asociadas a “ser responsable” y “responder por esa
responsabilidad”.
Vínculos entre control interno y gobierno corporativo
Prácticamente todos los desarrollos importantes sobre gobierno corporativo abordan, con
mayor o menor énfasis en cada caso, los temas que se listan a continuación: a) Protección de
los derechos de los accionistas; b) Consideración de los intereses de otros stakeholders; c)
Responsabilidades del directorio y de la cúpula gerencial; d) Integración y funcionamiento de
los directorios, incluyendo la mención a la necesidad de directores no ejecutivos e
independientes, a la conformación de comités en el seno del directorio y a las funciones y
responsabilidades de cada comité; e) Designación y remuneración de los directores y de la
cúpula gerencial; préstamos y otras transacciones con ellos; f) Grupos económicos y
transacciones con partes relacionadas; g) Relaciones de agencia y potenciales conflictos de
interés; h) Códigos de ética; i)Accountability; j) Transparencia; k) Normas contables y otras
normas sobre información a proporcionar a terceros, incluyendo referencias a su contenido y
su forma; l) Auditoría independiente; m) Control Interno; n) Auditoría interna; o) Ámbito de
aplicación de los principios y reglas que establecen.
Los más avanzados –también denominados “de la segunda generación”- incluyen asimismo
menciones explícitas a: p) Consideración de cuestiones medioambientales; q) Consideración
39
de asuntos de interés de la comunidad y de organizaciones sociales, particularmente de los
sindicatos; r) Responsabilidad social corporativa; t) Capital humano; u) Revelación de un
análisis de riesgos y de cómo están siendo gestionados en la información a proporcionar a los
accionistas.
Se aprecia que los precedentemente enumerados –que no conforman una lista taxativa pero sí
suficientemente comprehensiva- integran una gama de temas muy numerosa y de naturaleza
diversa. No interesa aquí abordarlos con detalle, sino destacar que de su mera enumeración
surge claramente que si bien lo conceptualizado por gobierno corporativo va más allá del
concepto de control interno –y fundamentalmente del utilizado tradicionalmente-
tiene
fuertes vínculos con él en su visión moderna, puesto que la mayoría de ellos fueron objeto de
análisis –o cuando menos de mención- en el apartado IV.
A la vez, los principales códigos, modelos y normas sobre gobierno corporativo enfatizan
fuertemente en la importancia de un buen sistema de control interno como uno de los pilares
que sustentan el estilo y determinan la calidad del gobierno corporativo de una entidad.
Recuérdese que COSO asigna particular relevancia de la existencia de un adecuado tono
ético hacia adentro de una organización para que ésta pueda tener un buen control interno.
Subraya la importancia del entorno de control, de los códigos de conducta, de la existencia de
directorios integrados por directores independientes y de comités de auditoría involucrados y
competentes en su rol de vigilancia de la alta gerencia, así como la relevancia de que a esos
fines las entidades cuenten con una auditoría interna activa y objetiva. Destaca como
relevante la emisión de informes sobre la eficacia del control interno acompañando la
información típicamente proporcionada a los accionistas y terceros en general (estados
contables, memoria, etc.).
Se advierte entonces la existencia de una amplia zona en común entre los conceptos de
gobierno corporativo y control interno. La relación fundamental entre ellos radica en que para
que directorio y gerencia puedan efectivamente proveer a los stakeholders lo que las buenas
prácticas de gobierno corporativo exigen, se requiere, como condición necesaria aunque no
suficiente, que existan, dentro de la entidad, adecuados mecanismos de control sustentados
por un fuerte marco de valores éticos.
40
Mientras que los desarrollos en materia de control interno se focalizan desde el nivel del
directorio hacia abajo dentro de la escala jerárquica, en los desarrollos sobre gobierno
corporativo se pone énfasis desde el nivel de la alta gerencia hacia los estamentos superiores
de la organización y hacia los terceros con que ésta se vincula.
V - 2 - Administración de riesgos
Concepto de administración de riesgos
El tema riesgo y la relación riesgo – retorno han estado presentes desde hace bastante tiempo
en la literatura técnica relacionada con la administración y las finanzas. Sofisticados modelos
sustentados en técnicas estadísticas se han venido desarrollando para maximizar esa relación
de acuerdo con la propensión al riesgo de quien lo asume, también desde hace bastante
tiempo.
El tema era visto como de alta especialización e involucraba a un escaso número de miembros
de la organización en las relativamente pocas entidades en las que era objeto de tratamiento
específico.
La rama de actividad en que el manejo del riesgo fue adquiriendo históricamente mayor
desarrollo fue la banca, lo cual resulta lógico en virtud de las características del giro, que
hacen imprescindible que los riesgos de variada naturaleza inherentes a él sean
adecuadamente administrados. Se trata además de un giro que, en virtud del impacto que
sobre la economía de un país –y aún la internacional- genera la quiebra de un banco, está
fuertemente regulado y en el que el marco normativo se ha venido centrando precisamente en
exigencias cada vez mayores para las empresas que lo explotan en cuanto a la forma en que
gestionan sus riesgos. En otras ramas de actividad el tema no solía ser objeto de tratamiento
específico.
Es recién en los últimos años que en todos los ámbitos vinculados con los negocios y el
ambiente empresarial, ha aumentado notoriamente la preocupación por el tema “riesgos” y,
41
consecuentemente, por una consideración adecuada de los denominados “riesgos del
negocio”. Entre los factores que han incidido en ello se encuentran la denominada
globalización, que como consecuencia del avance tecnológico en materia de comunicaciones
y del proceso de desregulación de los mercados, ha creado un mundo “más pequeño” en el
que las fronteras políticas ya no son el determinante del ámbito de influencia de las grandes
corporaciones y el cambio –factor de riesgo identificable intuitivamente- que ha aumentado su
velocidad y acentuado su impacto.
Ello ha derivado en un proceso en el que constantemente surgen y se actualizan estudios e
investigaciones, marcos conceptuales, modelos y estándares de buenas prácticas y normas y
regulaciones relacionados con el riesgo o que recogen la importancia que el tema “riesgos” ha
adquirido y, a la vez, buscan reconocimiento, aceptación y aplicación a nivel internacional. Se
parte de la premisa de que si bien es imposible reducir los riesgos del negocio a cero, puesto
que la única forma sería abandonar el negocio, ello no implica asumirlos a ciegas; el grado de
riesgo que se acepta debe ser el resultado de una decisión consciente y no de una resignación
a correrlo.
La administración de riesgos puede verse como un proceso mediante el cual la dirección de
una entidad identifica, evalúa, categoriza y procura mantener bajo control los riesgos a que la
exponen sus actividades, que puede ser conceptualizado como la estrategia desarrollada para
buscar mayor seguridad respecto del logro de los objetivos organizacionales; trata de integrar
la gestión de riesgos con la estrategia del negocio, procurando una gestión global del riesgo
alineada con esa estrategia.
Ya el informe COSO planteaba la necesidad de una administración integral del riesgo. Incluía
la identificación y evaluación de riesgos como componente del control interno y explicaba su
relación directa con el logro de los objetivos del negocio. El riesgo era conceptualizado allí
precisamente como todo hecho o circunstancia de ocurrencia aleatoria con posibilidad de
impactar en el logro de los objetivos de la entidad en todos los ámbitos, ya no sólo en lo
vinculado con las finanzas. No obstante lo anterior, en virtud de que el establecimiento y la
toma de decisiones para el manejo del riesgo no fueron considerados allí como parte del
42
control interno, la administración del riesgo como se la concibe actualmente fue tratada en
forma parcial.
Consciente de la relevancia del tema, el mismo organismo que emitió el informe COSO sobre
control interno en 1992, inició en 2001 un estudio de alcance amplio con el objetivo de
elaborar un marco conceptual sobre gerenciamiento de riesgos (en adelante, COSO – ERM) 18
que fue publicado en setiembre de 2004. Durante los doce años transcurridos entre las
emisiones de ambos documentos se produjeron incontables artículos, análisis e
investigaciones sobre múltiples aspectos vinculados con el tema riesgos y su administración
con enfoques diversos, muchos de los cuales COSO – ERM adoptó.
COSO – ERM define al gerenciamiento del riesgo como un proceso efectuado por el
Directorio, la Gerencia y el resto del personal, aplicado en la formulación de la estrategia y a
través de toda la organización, diseñado para identificar eventos potenciales que puedan
afectar a la entidad, manejar los riesgos dentro de su propensión al riesgo y proveer razonable
seguridad sobre el logro de los objetivos de la entidad, a los que agrupa en cuatro categorías:
estratégicos, operacionales vinculados con la confiabilidad de la información y vinculados
con el cumplimiento. Plantea que el ERM incluye ocho componentes interrelacionados,
integrados al proceso gerencial: a) Ambiente interno; b) Definición de objetivos; c)
Identificación de eventos; d) Evaluación de riesgos; e) Respuestas al riesgo f) Actividades de
control; g) Información y comunicación; h) Monitoreo.
Vínculos entes control interno y gestión de riesgos
De la mera lectura de las respectivas definiciones propuestas por COSO y del enunciado de
los componentes de ambos procesos que plantea, se advierte, sin mayor análisis, una claro
paralelismo entre ambos conceptos, explicable básicamente por el esfuerzo realizado por
COSO para compatibilizarlos en forma sistemática. El vínculo entre ellos es explicado por el
propio COSO – ERM, que establece que el control interno es una parte integrante del proceso
de gestión de riesgos y señala las áreas en que el ERM va más allá que el control interno.
18
Committee of Sponsoring Organizations of de Treadway Comisión – Enterprise Risk Management
43
El documento sobre control interno identifica tres categorías de objetivos, mientras que el
documento sobre ERM identifica cuatro, incorporando los objetivos de carácter estratégico.
En COSO – ERM la categoría vinculada con la confiabilidad de la información tiene un
alcance mayor. En el documento sobre control interno se vincula con la información contable
publicable; mientras que en el ERM cubre toda la información elaborada por la entidad, ya
sea para ser divulgada externamente como para ser usada en forma interna, y no se refiere
sólo a información contable, sino a todo tipo de información.
La especificación de una nueva categoría, es, en rigor, en cierto modo artificial, puesto que los
objetivos estratégicos van a estar probablemente relacionados con aspectos relativos a la
eficacia y eficiencia de las operaciones y, eventualmente, bajo ciertas circunstancias, con
aspectos relativos a cumplimiento –si en la hipótesis de incumplimiento con determinadas
normas, la entidad no pudiera operar, por ejemplo- o aún con la confiabilidad de la
información, fundamentalmente con el alcance extendido que ERM le da a esta categoría.
Es a nivel de los componentes que la mayor amplitud del concepto de ERM se aprecia con
más claridad. En efecto:
•
El ERM incluye el establecimiento de objetivos como un componente. El control interno
tiene al establecimiento de objetivos como un prerrequisito para que pueda operar el
componente identificación y evaluación de riesgos pero no como componente en sí
mismo.
•
En el ERM el componente identificación y evaluación de riesgos del control interno se
abre en dos: la identificación de eventos y la evaluación de riesgos. La principal razón de
esta apertura explícita (en el marco sobre control interno estaba implícita) es que ERM
distingue los eventos que pueden afectar negativamente el logro de los objetivos –a los
que califica como riesgos- de los que pueden hacerlo positivamente -a los que denomina
oportunidades- y deriva a estos últimos, una vez identificados, al proceso de
establecimiento de objetivos, excluyéndolos de las etapas ulteriores del proceso de gestión
de riesgos.
44
•
ERM incorpora el componente “respuestas al riesgo”. En el documento sobre control
interno, las respuestas eran citadas como parte del proceso de dirección pero no como
componente del control interno, por lo que no eran desarrolladas, mientras que para el
ERM se trata de un componente clave.
Con relación al resto de los componentes las diferencias son muy menores. El componente
“ambiente de control” es denominado en ERM ambiente interno (diferencia meramente
terminológica) e incluye un factor adicional a los siete que conformaban el ambiente de
control: el apetito de riesgo, definido como el grado de riesgo que está dispuesta a aceptar la
entidad en el camino al logro de sus objetivos. Los componentes “Información y
Comunicación” y “Monitoreo” tienen un desarrollo prácticamente idéntico en ambos
documentos.
V - 3 - Control interno y control de gestión
Concepto de control de gestión
A diferencia de lo que ocurre con lo relativo a control interno, gestión de riesgos y gobierno
corporativo, en materia de control de gestión no existe un documento elaborado con el
objetivo de constituirse en un marco de referencia en cuanto a mejores prácticas en la especie.
Sí existen importantes aportes de autores que brindan enfoques alternativos, tanto encarando
el tema desde una óptica global como desde aspectos específicos vinculados con el mismo y
con el diseño y empleo de técnicas y herramientas para llevarlo a cabo con éxito. Una posible
explicación de la falta de un marco de referencia o estándar de buenas prácticas generalmente
aceptado la constituye el hecho de que el control de gestión en abstracto y los diversos
mecanismos e instrumentos que pueden utilizarse para llevarlo a cabo están orientados a
apoyar a la gerencia en el logro de los objetivos organizacionales pero no al control de la
acción de la gerencia en salvaguarda de los intereses de otros stakeholders. Si bien la
literatura técnica en la materia es rica en referencias a la consideración del interés de otros
agentes con que la entidad interactúa, el punto es considerado allí predominantemente como
45
dato útil para la toma de decisiones acertadas en el establecimiento de objetivos y en las
acciones a llevar a cabo en pos de los mismos antes que como un deber o una responsabilidad.
Con carácter general, los distintos autores que se han ocupado del control de gestión plantean
que:
•
Para la formulación de los objetivos empresariales deben considerarse una serie de
restricciones que los hacen más amplios y heterogéneos que los intuitivos relacionados
con la supervivencia de la entidad, con su crecimiento y con su rentabilidad. El personal
tiene objetivos particulares relacionados con su remuneración y su estabilidad laboral; los
clientes tienen expectativas en cuanto a calidad, servicio y costo; la comunidad espera que
la actividad de la empresa siga determinadas reglas y tenga en cuenta el interés social;
otros agentes (el estado, los proveedores, los accionistas, etc.) también tienen intereses
particulares relacionados con ella.
•
Para cubrir adecuadamente este conjunto de intereses, toda empresa establece, más o
menos explícitamente y con mayor o menor grado de formalidad, políticas y valores que
las enmarcan, a la vez que se organiza en base a una serie de actividades (investigación y
desarrollo, marketing, compras, producción, etc.).
•
La ejecución de esas actividades resulta influenciada tanto por factores internos como por
factores externos. Implica obtener y emplear en procesos internos una serie de recursos
que provienen del entorno (materias primas, personas, tecnología, información, etc.), al
que también se retroalimenta con resultados de esos procesos.
•
Por consiguiente, es necesario que existan mecanismos de control que faciliten que las
actividades internas sean coherentes con los fines de la empresa y las exigencias del
entorno.
Si bien las grandes corporaciones han venido empleando herramientas de control de gestión
desde bastante antes, es desde el último cuarto del siglo XX que se viene percibiendo cada vez
más la necesidad de disponer de sistemas más formalizados de gestión que faciliten la
dirección y coordinación de las diferentes unidades y de las actividades que se realizan en la
empresa.
46
Esa necesidad ha crecido notoriamente por el efecto de varios aspectos entre los cuales hay
que dastacar la mayor complejidad organizativa de las empresas modernas (mayor dimensión,
mayor diversificación de actividades, mayor internacionalización de sus operaciones y –como
consecuencia de lo anterior- mayor descentralización de las decisiones), la creciente
profesionalización de su personal, la influencia y difusión de los modelos de gestión de las
grandes corporaciones –en particular las multinacionales- y, especialmente, la percepción de
que el entorno en que actúan las empresas se ha tornado progresivamente más dinámico y
hostil que en el pasado.
Estrechamente vinculado con el planeamiento estratégico –que se ocupa predominantemente
del largo plazo- del que se deriva, el control de gestión se centra en el mediano y –
fundamentalmente- en el corto plazo.
Amat
19
lo conceptualiza como el conjunto de mecanismos formales e informales que puede
utilizar la dirección para aumentar la probabilidad de que el comportamiento de las personas
que forman parte de la entidad sea coherente con los objetivos de la dirección. El citado autor
distingue dos perspectivas desde las que se concibe al control de gestión, a las que califica de
perspectiva limitada y perspectiva amplia o dinámica. Desde la perspectiva limitada, el
control de gestión implicaría el análisis a posteriori de la eficacia de la gestión de los
diferentes responsables en relación a lo que deberían haber conseguido, mientras que desde la
perspectiva amplia o dinámica, incluiría además un conjunto de procedimientos diseñados
para orientar la elección de los que deben tomar decisiones y guiar su comportamiento, a la
vez que consideraría también objetivos y recursos al evaluar los resultados de las decisiones
adoptadas. Dentro de ese conjunto de procedimientos a que alude Amat –entre los que
distingue los más formales como el sistema de información, y los menos formales, como la
cultura organizativa, por citar dos ejemplos- se destaca entre los formales el presupuesto por
centros de responsabilidad, instrumento que si es bien empleado –dando participación a los
distintos centros en su elaboración, previendo metas estimulantes para su logro pero realistas
en cuanto a la posibilidad de alcanzarlas y cuestiones similares- puede operar como un
19
Joan Amat. El control de gestión: una pespectiva de dirección (1992)
47
mecanismo muy eficaz para alinear los objetivos personales y departamentales con los
organizacionales. 20
Otros autores, sin descuidar ese alineamiento de objetivos, ponen el énfasis en cómo lograr el
enlace necesario entre el corto y el largo plazo.
Una herramienta muy utilizada con ese fin es la propuesta por Kaplan y Norton
21
conocida
como Cuadro de Mando Integral, basada en el uso de indicadores múltiples, tanto de carácter
financiero como no financiero, que buscan vincular las expectativas de los propietarios con
las capacidades que la empresa debe desarrollar y mantener para satisfacerlas mediante
relaciones de causa –efecto que transitan hacia abajo y hacia arriba a través de cuatro
perspectivas de análisis:
•
La perspectiva del accionista, considerada en indicadores predominantemente financieros
como la rentabilidad por acción o el valor de la acción pero también en indicadores no
financieros como la cuota de mercado alcanzada.
•
La perspectiva del cliente, que debe ser tenida en cuenta como condición necesaria para
alcanzar las metas en la anterior, considerada tanto por medio de indicadores financieros
(como tasa de incremento de las ventas, por ejemplo) como por indicadores no financieros
tales como la imagen de la entidad frente al cliente o la satisfacción del cliente.
•
La perspectiva de los procesos internos, ya basada predominantemente en indicadores no
financieros que representan lo que la empresa debe hacer bien para, por ejemplo, lograr la
imagen o la satisfacción planteadas como metas en la perspectiva anterior (tiempos de
respuesta frente a pedidos, calidad de la producción y otros indicadores de naturaleza
similar)
•
La perspectiva de aprendizaje y crecimiento, que incluye indicadores que miden las
capacidades que la empresa debe adquirir, desarrollar y mantener para que sus procesos
logren los atributos definidos como meta en la perspectiva anterior y están referidos a
aspectos de infraestructura, sistemas de información, capacidades de los recursos humanos
y otros de naturaleza similar para cuya medición -sin perjuicio del empleo de algunos
20
21
Joan Amat. Control presupuestario (1994)
Robert Kaplan y David Norton – The balanced socorecard (1996)
48
indicadores conocidos como puede ser la tasa de rotación del personal- seguramente cada
empresa deba diseñar los indicadores idóneos para sus circunstancias particulares.
Si bien existe otra multiplicidad de enfoques sobre cómo encarar el control de gestión –el uso
del benchmarking podría ser un ejemplo- excede al objetivo de este apartado –explicar en qué
consiste el denominado control de gestión- desarrollarlas todas.
Vínculos entre control interno y control de gestión
Tanto en la precedente conceptualización de control de gestión como en la definición de
control interno de COSO figura explícitamente que ambos buscan dar mayor seguridad de que
las organizaciones alcancen sus objetivos. Tienen entonces la misma finalidad, lo cual sugiere
ya que existen vínculos entre ambas disciplinas.
Presentan sí diferencias en los aspectos en que cada una focaliza su atención. Mientras el
control de gestión se ocupa del desarrollo de métodos, técnicas e instrumentos para apoyar a
la gerencia en pos de lograr los objetivos, el control interno lo hace de los aspectos necesarios
para que, en última instancia, tales métodos, técnicas e instrumentos puedan operar en forma
eficaz y respetando los intereses de los stakeholders.
En el capítulo que analiza el componente actividades de control, COSO hace referencia a una
posible clasificación de las mismas. Lo hace sólo a efectos ilustrativos y no para sugerir una
categorización particular, pero resulta útil para analizar el vínculo que nos ocupa. Allí
distingue:
• Revisiones a nivel superior.
• Dirección directa funcional o por actividad.
• Procesamiento de información.
• Controles físicos.
• Indicadores de desempeño.
• Segregación de funciones.
49
Analizando la descripción que da de tres de ellas se advierte que incluyen el uso de métodos,
técnicas y herramientas de control de gestión de la naturaleza de las que aquí se han citado.
Cuando desarrolla las “Revisiones a nivel superior” habla de revisiones del desempeño actual
versus presupuestos, previsiones, períodos anteriores y competidores. También hace
referencia al seguimiento de las iniciativas principales -tales como mejoramiento de los
procesos productivos y programas de contención o de reducción de costos- para medir el
grado en que las metas están siendo alcanzadas, al monitoreo de la implantación de planes
para el desarrollo de nuevos productos y cuestiones afines, destacando que las acciones
gerenciales tomadas para analizar esos informes y actuar en consecuencia representan
actividades de control. Cuando se refiere a “Dirección directa funcional o por actividad” habla
de las revisiones de los informes de desempeño que efectúan los gerentes responsables de
determinadas actividades o funciones buscando identificar tendencias y relacionar los
resultados con las metas establecidas para su centro de responsabilidad. Si estos gerentes
supervisan otros centros de responsabilidad de menor rango, este tipo de actividades de
control también incluye el análisis de la información de gestión vinculada con dada uno de
ellos. Finalmente, cuando trata los “Indicadores de desempeño” habla de la comparación de
diferentes conjuntos de datos -operativos o contables- entre sí, de los análisis de las relaciones
y de las acciones correctivas o de investigación de causas de valores no satisfactorios o
desvíos, destacando expresamente que sirven como actividades de control, puesto que
investigando resultados inesperados o tendencias inusuales, la gerencia identifica
circunstancias en las que los objetivos subyacentes en la actividad desarrollada para lograrlos
están en peligro de no ser alcanzados. Como ejemplos de indicadores de desempeño incluye
variaciones en los precios de compra, porcentaje de órdenes de compra urgentes y el
porcentaje de devoluciones con respecto al total de órdenes.
Se aprecia entonces que el empleo de presupuestos, el uso de indicadores –agrupados o no en
un cuadro de mando integral- y aún determinados aspectos del benchmarking –técnicas y
herramientas típicas del control de gestión- son considerados integrando el componente
actividades de control, lo que permite fundamentar que el control de gestión es parte del
control interno.
V - 4 – Vinculando todas las disciplinas relacionadas en la generación de valor agregado
50
Consideramos que lo expuesto en los apartados V - 1 a V - 3 permite sostener, fundadamente,
que:
•
La existencia de un adecuado sistema de control de gestión, independientemente de los
métodos, técnicas y herramientas alrededor de las cuales se instrumente, es condición
necesaria pero no suficiente para que una entidad pueda afirmar que tiene un buen sistema
de control interno. En su ausencia, el sistema de control interno carecería, en el
componente “actividades de control”, de un conjunto de ellas que resultan fundamentales
para la eficacia del sistema en lo que al logro de objetivos operacionales se refiere.
Recuérdese que el concepto de control interno eficaz implica que, en lo que respecta a esa
categoría de objetivos, la gerencia tenga razonable seguridad del grado en que los mismos
están siendo alcanzados, que es lo que precisamente viabilizan las técnicas de control de
gestión. No obstante, el alcance del control interno es más amplio, puesto que incluye
apoyar el logro de otras categorías de objetivos (confiabilidad de la información contable
para terceros y cumplimiento de normas y regulaciones) que no son objeto de tratamiento
específico en la literatura sobre control de gestión.
•
La existencia de un adecuado sistema de control interno es condición necesaria pero no
suficiente para que una entidad pueda afirmar que gestiona eficientemente sus riesgos.
COSO – ERM establece explícitamente que el control interno es parte del ERM. Pero
quedan fuera del concepto de control interno dos componentes clave del ERM: el
establecimiento de objetivos y -fundamentalmente- el diseño de respuestas apropiadas a
los riesgos que enfrenta la entidad.
•
La existencia de un adecuado proceso de gestión de riesgos es condición necesaria pero no
suficiente para que una entidad pueda afirmar que tiene un buen gobierno corporativo, ya
que éste, además de garantizar un manejo apropiado y responsable de los riesgos del
negocio, requiere de otros mecanismos –adecuada protección estatutaria de los derechos
de los accionistas, por ejemplo- que quedan fuera del ámbito del ERM.
Expresado en otros términos, el sistema de gobierno corporativo de una entidad –que sería el
concepto más amplio- requiere estar apoyado por una adecuada administración de los riesgos
del negocio que incluya un sistema de control interno fuerte, todo lo cual, además, necesita de
51
mecanismos de control de gestión que proporcionen herramientas concretas que apoyen a la
gerencia para que, además de actuar en forma íntegra y honesta y considerando los intereses
de todos sus stakeholders, obtenga buenos resultados.
Entendemos que la explicitación de estos vínculos –que podría ser vista como un mero
ejercicio intelectual- además de útil para el análisis de la situación actual y perspectivas que se
efectuará en el apartado siguiente, resulta relevante para fundamentar la estrecha relación de
los conceptos vistos con la generación y mantenimiento de valor agregado expuesta en el
título del trabajo.
Se ha señalado que se ha impuesto el concepto de que todas las organizaciones -con o sin
fines de lucro, privadas o públicas- existen para generar valor para sus stakeholders. COSO –
ERM y varios marcos de gobierno corporativo lo reconocen explícitamente. Las decisiones
que toman quienes conducen una entidad pueden crear, mantener o deteriorar el valor que la
misma proporciona a sus grupos de interés. El valor se crea, por ejemplo, empleando en forma
eficiente los recursos, de forma que los beneficios que se obtengan superen a los recursos
utilizados. En una entidad con fines de lucro esto es más evidente y suele ser más sencillo de
medir, pero el concepto es aplicable también en los demás ámbitos en los que otro tipo de
organizaciones operan. En el ámbito público, si el valor más intangible representado por una
mejora en la atención sanitaria de la población supera la carga impositiva que soportan los
contribuyentes –sean o no los que reciben directamente los beneficios de esa mejor atenciónpara sustentarla, habrá creación de valor; si esa mejora no existe o es tenue y no encuentra
correlato con el incremento en los impuestos destinados a financiarla, habrá deterioro de
valor. Un razonamiento análogo cabe, por ejemplo, también en lo referido a educación. En la
esfera privada, pero en el ámbito de las entidades sin fines de lucro, similares ejemplos
resultan de aplicación: el aumento en la cuota de una mutualista o de un colegio privado
creará valor si se traduce en mejoras en el servicio que las respectivas entidades prestan que
superen dichos incrementos, o lo deteriorará en caso contrario. El valor se mantiene cuando
una vez creado, perdura porque se han sentado las bases para ello.
Una entidad con un régimen de gobierno corporativo apropiado, que gestione adecuadamente
los riesgos a que la exponen sus actividades con el respaldo de un sistema de control interno
52
sólido –lo que, como se explicó, lleva implícito el empleo de herramientas de control de
gestión idóneas a las características de la organización de que se trate- agrega valor a sus
stakeholders de las siguientes formas.
•
Asegurando un tratamiento equitativo a sus accionistas –o concepto equivalente,
incluyendo, por ejemplo los contribuyentes en el ámbito público o los afiliados en el caso
de una mutualista- que les asegure que sus derechos serán tenidos en cuenta y respetados.
•
Proporcionando información oportuna, precisa y confiable en forma transparente respecto
a cómo la entidad es conducida, cómo se está desempeñando y cuál es su situación en el
momento en que la información se emite.
•
Aportando seguridad en cuanto a que los riesgos inherentes a la actividad que desarrolla
son identificados con precisión, tratados responsablemente y enfrentados con respuestas
adecuadas a su probabilidad de ocurrencia e impacto potencial.
•
Haciendo lo propio en cuanto a que las oportunidades de mejora son consideradas
apropiadamente, dando de esta forma y en conjunción con lo anterior, mayor tranquilidad
en cuanto a la supervivencia y crecimiento sostenido de la entidad.
•
Dando suficientes garantías de que todo lo anterior funciona adecuadamente y de que, aún
las operaciones rutinarias puntuales, se llevan a cabo en forma adecuada (que todo
despacho es facturado y contabilizado, que en toda compra se seleccionó una oferta
conveniente, que todo sueldo fue bien liquidado, que la producción fue bien costeada e
innumerables ejemplos más de cuestiones similares a que las actividades de control
coadyuvan considerablemente), consistente y alineada con los objetivos de más alto rango
de la organización.
VI - Situación actual y perspectivas sobre los principales temas relacionados a nivel
nacional e internacional.
V – 1- El marco internacional
La relativamente reciente ley Sarbanes Oxley (2002) de EEUU ha colocado al control interno
y a su evaluación como tema de primer orden, desencadenando un proceso que ha llevado a
que muchas empresas en las que el tema no inquietaba particularmente hayan debido
53
desarrollar y documentar rápidamente sus políticas y procedimientos en la materia. En efecto,
la referida norma, que complementa disposiciones de la legislación que regula el mercado de
valores norteamericano, estableció para las empresas que recurren a dicho mercado para
obtener financiamiento, la obligatoriedad de incluir dentro de la información que publican
(estados contables e información conexa) una declaración sobre la eficacia de su sistema de
control interno. Su impacto ha sido mundial en virtud de que tal declaración debe estar
referida a la empresa en general, independientemente de los países en que desarrolle sus
actividades.
COSO está afianzado como marco de referencia estándar en materia de control interno en los
principales mercados, tales como el estadounidense y el británico, pero también en otra gran
cantidad de países, que lo tienen incorporado en leyes y otras normas regulatorias en la
especie. A nivel de la profesión contable ocurre lo propio, puesto que es, también, el concepto
de control interno adoptado por IFAC en sus normas internacionales de auditoría 22.
Otros modelos nacionales tienen reconocimiento como marcos adecuados pero no han sido
adoptados por otros países. El citado COCO canadiense es un ejemplo.
Cobit está instalado en varios países –incluyendo varios latinoamericanos- como el marco de
referencia específico en materia de controles vinculados con tecnología de la información.
COSO – ERM aún no tiene igual grado de general aceptación que su antecesor, pero ello
resulta explicable teniendo en cuenta el poco tiempo transcurrido desde su publicación en
2004. Si bien en algunos países se han desarrollado marcos propios de gestión de riesgos, los
mismos no han tenido un grado de difusión con carácter global que se le aproxime.
En lo que refiere a marcos de gobierno corporativo, múltiples países han desarrollado códigos
de buenas prácticas –en especial, pero no únicamente- aquéllos con mercados bursátiles
desarrollados. Entre los marcos y códigos nacionales frecuentemente tomados como
referentes en trabajos de distintos autores sobre el tema se encuentran el Código Combinado
del Reino Unido (2003) –resultado de la evolución registrada en ese mercado a partir del
22
IFAC. NIA 315
54
Código de Buenas Prácticas de Cadbury (1992)- y los reportes King I y King II de Sudáfrica
por algunas de sus características (al segundo se lo reconoce como el pionero en incorporar la
responsabilidad social corporativa) y algunas de sus peculiaridades, producto del país de que
se trata (establecen porcentajes mínimos obligatorios de participación de personas de raza
negra y de mujeres en la conducción de las compañías). El informe Olivencia y su sucesor, el
informe Aldama (españoles) también son frecuentemente citados en la literatura de habla
hispana sobre el tema.
El que se ha consolidado como marco de referencia para la evaluación de los regimenes de
gobierno corporativo es el documento “Principios para el Gobierno de las Sociedades”
(emitido en 1999 y actualizado en 2004 por la OCDE). Fue concebido con esa finalidad y en
él específicamente se establece que no existe un único modelo de gobierno corporativo ideal,
sino que cada país debería desarrollar su propio régimen de gobierno corporativo en función
de sus características particulares, aunque alrededor de ciertos principios básicos. Las
evaluaciones que realiza el Banco Mundial de los regímenes de gobierno corporativo de los
distintos países toman estos principios como sensor.
En lo que se refiere a perspectivas de futuro, donde se percibe un proceso más notorio de
búsqueda de mejora paulatina y continua es en materia de gobierno corporativo. De los vistos,
es el tema que ha venido generando más normativas nuevas y revisiones de normativas
preexistentes.
Lógicamente, y como consecuencia de los vínculos establecidos en el apartado anterior, es
razonable esperar que aumenten concomitantemente las exigencias en materia de gestión de
riesgos y control interno, pero no cambios conceptuales importantes en relación a los mismos.
Como se dijo, COSO está afianzado y COSO – ERM se encamina a estarlo.
Sí puede esperarse un probable cambio de enfoque, más orientado a la gestión de riesgos
como concepto más amplio que al control interno como parte de él. Un primer indicio se
puede apreciar en las Normas Internacionales de Auditoría de IFAC; en su última versión, con
reciente fecha de entrada en vigencia, se unificaron la sección que tenía por título “Control
55
Interno” y la titulada “Planeación” en una única denominada “Evaluación del riesgo y
respuesta a los riesgos evaluados”, dentro de la cual se encuentra la citada NIA 315.
V - 2 - Situación y perspectivas en Uruguay
En materia de control interno, también COSO se está afianzando como modelo a adoptar,
aunque aún el tema está presente sólo en un reducido número de empresas y, más
recientemente, en el ámbito público.
En 1999, el BCU emitió la circular 1664 que incorporó a la Recopilación de Normas de
Regulación y Control del Sistema Financiero una sección íntegra dedicada al sistema de
control interno en las empresas de intermediación financiera. La conceptualización del control
interno efectuada allí es la de COSO, por lo que dichas entidades han debido adoptarlo.
A nivel del sector gubernamental, la Auditoría Interna de la Nación ha adoptado -desde 2007el modelo de COSO como referencia para las evaluaciones del control interno en los
organismos sujetos a su contralor.
En lo que respecta a otras empresas, múltiples trabajos monográficos orientados a evaluar la
situación han mostrado que, aunque hay excepciones, no se advierte una preocupación
especial por el tema; un caso particular está dado por las filiales de multinacionales, que por el
efecto transnacional de la ley Sarbanes Oxley, han debido abocarse a mejorar sustancialmente
su situación en la materia por requerimiento de sus casas matrices.
En materia de controles específicos en el área de tecnología de la información, es Cobit el
modelo que se perfila como estándar de referencia a adoptar; también en este caso, ha sido el
BCU el que ha dispuesto su implantación por los bancos, por medio de la comunicación
2003/179
56
En lo que se vincula con la gestión de riesgos, puede decirse que prácticamente el tema aún
no está instalado. Los trabajos monográficos orientados a diagnosticar la situación
23
no han
identificado empresas que hayan implementado o estén en proceso de implantación de un
ERM con las características de integralidad planteadas en COSO – ERM, documento cuya
existencia poco se conoce. Sí existen empresas en las cuales el tema riesgos está presente,
pero los riesgos predominantemente se analizan y eventualmente gestionan en forma aislada y
no integral.
En materia de control de gestión, en cambio, si bien no puede decirse que sea con carácter
generalizado, el uso de herramientas tales como presupuestos está más extendido, y existen
antecedentes de organizaciones que han incursionado en el uso del cuadro de mando integral.
En lo que hace a gobierno corporativo, si bien existen disposiciones sobre varios de los
aspectos que éste incluye (como la ley 16.060, por ejemplo), los mismos no están integrados
en un código de buenas prácticas o documento similar de carácter integral.
Una evaluación reciente de la situación en nuestro país en la materia efectuada por el Banco
Mundial 24 señala las áreas en las que el Uruguay debería procurar avanzar:
•
El mejoramiento de la información empresarial, en particular lo referido a revelación de la
propiedad de las empresas, a transacciones con partes relacionadas y con la presentación
de la información contable
•
La promoción de directorios efectivos y activos
•
El fortalecimiento de instituciones tales como un ente regulador y un registro de empresas
•
La modernización del mercado de valores y las regulaciones relacionadas
Ingresando en la consideración de las perspectivas de futuro, se percibe que, al igual que en el
ámbito internacional, el motor de cambios en el mediano plazo será lo relativo a gobierno
23
Pueden consultarse los titulados “Gerenciamiento de riesgos: una nueva metodología” (Carla Cassina, Marcela
Kalemberg y María José Osorio – Setiembre de 2005) y “ERM: administración del riesgo empresarial”
(Alejandra Avellaneda, Andrea Mello y Virginia Rodríguez – Marzo de 2006).
24
Informe sobre el cumplimiento de normas y códigos – Evaluación de la gobernanza corporativa - Uruguay –
Septiembre, 2005. (Disponible en la página web del Banco Mundial)
57
corporativo. Asociado con ello, son esperables mayores exigencias en materia de control
interno y gestión de riesgos.
Ello por dos motivos básicos:
a) La globalización, que agudiza las exigencias de adopción de estándares internacionales en
múltiples aspectos, entre los que se encuentran los que han sido tratados en este trabajo.
b) Uruguay pretende potenciar el mercado de capitales; para ello requiere generar, entre otras
condiciones, un marco de gobierno corporativo que inspire confianza a los inversores. El
informe del Banco Mundial es claro en este aspecto.
Cambios a más corto plazo pueden dispararse en el sector público a partir de la adopción de
COSO por la Auditoría Interna de la Nación, pero aún es prematuro evaluar su efecto.
En nuestro país aún no existen empresas u otras entidades a las que se les exija efectuar
autoevaluaciones y declaraciones públicas sobre su sistema de control interno, pero tal
requerimiento podría comenzar a estar presente en breve lapso, teniendo en cuenta lo antes
apuntado sobre el impacto de la globalización. Ya en 1999 el BCU estableció que los bancos
deben presentarle un informe exhaustivo sobre su sistema de control interno en lo que refiere
a los objetivos vinculados con la confiabilidad de su información contable y el cumplimiento
de las normas que les son aplicables, pero éste debe ser preparado por el auditor externo y no
por la propia institución, en forma trienal y con informes de seguimiento anuales sobre las
debilidades detectadas.
Nota: lo establecido sobre marco normativo local responde a la situación a la fecha de
elaboración del trabajo (junio de 2007). En abril de 2008, el BCU emitió la circular 1.987,
por medio de la cual se sustituyen las disposiciones sobre “Control interno en las
instituciones de intermediación financiera” por disposiciones más amplias sobre “Gobierno
Corporativo” que incluyen, además, la obligatoriedad, para esas instituciones, de contar con
un sistema de gestión integral de riesgos (Arts. 34 y siguientes de la Recopilación de Normas
de Regulación y Control del Sistema Financiero).
58
59