Control interno, Gestión de Riesgos y Prácticas de Gobierno Corporativo: excelencia en la gestión, transparencia y creación de valor agregado . (1) (1) Trabajo enmarcado en lo previsto en el literal V) B) de las bases del concurso de oposición y méritos para la provisión efectiva del cargo de Profesor Titular Grado 5 en la asignatura Control Interno y Organización de Sistemas Contables, que incluyeron un trabajo sobre el tema “Estado actual de la disciplina en Uruguay y en el exterior. Revisión crítica de su nivel de desarrollo, de las temáticas en discusión de acuerdo a los diversos enfoques existentes y de sus perspectivas, con conclusiones referidas a las prioridades respecto a la docencia y a la investigación universitaria.” (2) Se publica íntegramente con excepción del último punto, que se reserva para uso interno de la Cátedra. Cr. Luis Sauleda 1 Control interno, Gestión de Riesgos y Prácticas de Gobierno Corporativo: excelencia en la gestión, transparencia y creación de valor agregado. I - Introducción El título del presente trabajo busca destacar facetas importantes que incluyen los enfoques actuales vinculados con control interno y disciplinas relacionadas, que son a la vez los principales aspectos a que un buen control interno contribuye, tanto en materia de dirección empresarial como en materia de administración gubernamental, aspectos que lo hacen un tema de primer orden en ambos ámbitos. También quiere resaltar la relación estrecha que existe entre la excelencia en la gestión, la transparencia en la conducción y la creación y mantenimiento de valor para los interesados en la actividad de una entidad, que dista de ser obvia. En pos de ese objetivo, en primera instancia y como aproximación al tema, se recuerda la importancia del control en la administración y se plantea la evolución del concepto de control interno desde que el término comenzó a ser utilizado hasta hoy. A continuación, se profundiza en el análisis del concepto actual, destacando sus aspectos más relevantes a juicio del autor – con lo que ya se puede vislumbrar la relación a que alude el título- y posteriormente se lo vincula con otras disciplinas también relacionadas con la administración: gobierno corporativo, gestión de riesgos y control de gestión. También en opinión del autor, con la explicitación de estos vínculos se logra fundamentar con claridad la relación de que se trata. Finalmente, se describe la situación actual y se plantean las perspectivas de evolución futura de los principales temas relacionados, tanto a nivel nacional como internacional, perspectivas en las que se percibe que la visión de la relación planteada –en la que buenos sistemas de control interno desempeñan un rol fundamental en la creación de valor- se consolida. II - El control en la Administración Administrar implica planificar, organizar, dirigir, coordinar y controlar las actividades de una entidad y el accionar de sus integrantes. 2 El control, como parte importante de la administración, puede verse como el conocimiento y dominio de lo que está sucediendo para tener seguridad en cuanto a que las operaciones involucradas en las distintas actividades de la entidad y las acciones de los miembros de la organización se orientan realmente a cumplir los objetivos y planes previamente establecidos. La necesidad de control surge naturalmente como consecuencia de la delegación y se fundamenta en por lo menos algunos aspectos principales: • Las organizaciones están integradas por individuos, cada uno de los cuales tiene objetivos personales particulares que no necesariamente concuerdan exactamente con los de la entidad a la que pertenecen. • Tanto la toma de decisiones como la ejecución de lo decidido son llevadas a cabo por seres humanos, una de cuyas características es la falibilidad. A los aspectos antes señalados deben agregarse otros que la agudizan: • Las organizaciones interactúan con un entorno en el que intervienen otros agentes, también con intereses y objetivos diversos, cuyas acciones pueden impactar en la entidad de que se trate. • Ese entorno se caracteriza por su complejidad y por las incertidumbres que plantea, haciendo que siempre exista la posibilidad de que ocurran acontecimientos sobre los que una entidad no tenga capacidad de actuar pero que sí afecten sus posibilidades de alcanzar sus objetivos. Adicionalmente, otros aspectos, ya no provenientes del ámbito interno de la organización, sino de preocupaciones de la comunidad toda, colocan la necesidad de control como tema de primer orden: • Los capitales transnacionales y empresas con ingresos que superan el PBI de países enteros. • Los fraudes corporativos verificados en ellas, que causaron importantes perjuicios no sólo a inversionistas, sino también a otros agentes, tales como sus empleados, que con sus 3 fondos de jubilación colocados en acciones de las empresas involucradas, perdieron todo su dinero. • El surgimiento y afianzamiento de corrientes de opinión alrededor de la idea de que la razón que justifica la existencia de las organizaciones es la creación de valor para todas las partes que tienen intereses en ellas, a las que se alude con el término “stakeholders” Lo expuesto sugiere que se hace imprescindible instrumentar mecanismos de naturaleza variada y cambiante que prevengan desvíos que pongan en peligro el logro de los objetivos de las organizaciones y/o puedan afectar negativamente a quienes tienen intereses en ellas y, si de todos modos esos desvíos efectivamente ocurriesen, los detecten oportunamente para permitir adoptar los correctivos necesarios a tiempo. Lo variado de la necesidad de controles se aprecia intuitivamente pensando en la amplísima casuística vinculada con situaciones a prevenir o detectar. Y la naturaleza cambiante de la necesidad de control se percibe tanto si se reflexiona sobre el camino que recorre una empresa en crecimiento hasta su madurez como si se hace lo propio sobre las transformaciones que ha venido sufriendo el mundo de los negocios desde la antigüedad hasta nuestros días. Una empresa en crecimiento pasa por diversas etapas en las que esa necesidad de control sufre una suerte de proceso evolutivo que se aprecia con claridad si se piensa en una entidad que nace como empresa pequeña o unipersonal y se va transformando hacia una de mayor porte. Al principio es el propio empresario quien, trabajando en forma individual, realiza todas las actividades, pero llega un momento en que el aumento del volumen de las operaciones de su negocio hace que no pueda atenderlas eficientemente por sí solo. Ante esto, es natural que contrate colaboradores y comience a delegar las funciones menos importantes, reservándose para sí las más relevantes. Si la empresa continúa creciendo, ya le va a resultar difícil ser eficiente en la administración y se va a ver en la necesidad de delegar en mayor grado –o totalmente- las actividades operativas, conservando las tareas de coordinación y supervisión directa sobre sus empleados. Y llegará un momento en el que el volumen de las operaciones habrá crecido de tal forma que sobrepase la capacidad de control directo por parte del empresario, surgiendo así la necesidad de establecer procedimientos que permitan que las 4 actividades se autocontrolen, compartimentándolas. Sampietro 1 describe este proceso como una secuencia de “crisis” por las que atraviesa una empresa en crecimiento: crisis de actividad (cuando la cantidad de operaciones torna inviable que el empresario las atienda todas personalmente y debe incorporar colaboradores para llevar a cabo las de carácter rutinario), crisis de dirección (cuando ya tampoco puede atender personalmente las que reservó para sí, tales como compras importantes y similares), crisis de control (cuando en virtud de la delegación que ha debido efectuar pierde la noción de si los resultados están siendo alcanzados y de si sus “delegados” están actuando en aras de los objetivos de la organización) y crisis de burocratización (cuando en respuesta a lo anterior, compartimenta funciones para obtener mayor garantía de ello pero, en cambio, pierde capacidad de reacción oportuna frente a eventos que la requieren por la cantidad de pasos por los que debe pasar la toma de una decisión que responda adecuadamente a ellos). La naturaleza cambiante de la necesidad de controles también puede analizarse desde una perspectiva más global, a través de la consideración de los cambios que se han ido verificando en el mundo de los negocios. Durante mucho tiempo, el comercio fue desarrollado por pequeños empresarios. En ese ambiente, no se manifestaba en forma significativa la necesidad de que éstos fueran asistidos por un número importante de dependientes ni de que se aplicaran sistemas de administración complejos, ya que el mismo propietario centralizaba todas las actividades relacionadas con el negocio. La contabilidad era rudimentaria (su única función era el registro) y la toma de decisiones no se basaba en el uso extensivo de información sino fundamentalmente en la intuición y la experiencia. La administración como disciplina prácticamente no existía. Durante mucho tiempo también, la mayor parte de las empresas surgió en respuesta a demanda de bienes por efecto de necesidades emergentes; no era frecuente ni se hacía necesario que se efectuaran demasiados análisis previos para la creación y organización de una unidad productiva. Ahora bien, desde hace ya bastante tiempo, el desarrollo tecnológico ha venido favoreciendo –y requiriendo- el crecimiento de las empresas. 1 Ramón Sampietro. Auditoría en las pequeñas y medianas empresas. 5 En una primera etapa, el fenómeno provocó una aceleración del proceso productivo, con cambios importantes en el uso de los factores de producción. La llamada revolución industrial generó la posibilidad de obtener economías de escala que derivaron en el auge de las grandes corporaciones. Como consecuencia de esto apareció la necesidad de mejorar la organización y la administración, lo que en primera instancia se buscó por la vía de la compartimentación de actividades. Si bien la evolución en la fase de producción y comercialización se desarrolló en forma más acelerada que en la fase administrativa y organizacional -aspecto si se quiere lógico por ser los primeros los asuntos sustantivos del negocio- de todos modos, el proceso de descentralización necesario para posibilitar la compartimentación de las actividades antes señalada, derivó en el requerimiento de una nueva estructura en la organización que viabilizara que las operaciones fueran cumplidas y controladas en forma eficaz y eficiente. En esta sociedad industrial, tanto los negocios privados como la administración gubernamental se organizaban lentamente; una vez en régimen, quedaban estables por cierto tiempo. Ahora bien, la propia descentralización, una de cuyas características fue la división y despersonalización de las operaciones, dio lugar, frecuentemente, a la existencia de sectores que funcionaban como compartimientos estancos, sin una interrelación adecuada con los demás. Frente a ello, desde hace unos años, muchas empresas han aplicado procesos de reestructura, reingeniería, tercerización de sus servicios, programas de calidad y medidas afines tendientes a mitigar esa situación. Concomitantemente, el mundo continuó cambiando, evolucionando de una sociedad industrial hacia una nueva realidad que algunos denominan “sociedad del conocimiento”. Lo que empezó como una revolución informática, sustentada en que el procesamiento de datos se comenzó a efectuar cada vez más rápida y eficientemente, fue evolucionando hacia un cambio ya no cuantitativo sino cualitativo en la forma de hacer negocios y de conducir la administración de los asuntos de los estados, asignando cada vez más valor a la información de que se dispone, entendida como los datos organizados y la capacidad para interpretarlos. Hoy en día se pueden producir significativas pérdidas o ganancias de bienes materiales por carecer o disponer, respectivamente, de la información apropiada y confiable en el momento oportuno. 6 Paralelamente, los valores de los activos físicos se fueron volviendo cada vez más volátiles y hoy nuevas tecnologías hacen rápidamente obsoletos los bienes que se producen. Pequeñas empresas, dedicadas a la tecnología de la información, crecen en forma exponencial en base a activos intangibles como el capital intelectual, mientras las tradicionales, orientadas a la producción de bienes físicos, trabajosamente mantienen su ritmo de crecimiento histórico. Los controles tradicionales, en gran medida orientados a la protección de activos físicos, se revelan ineficaces para la protección de los activos intangibles. Todos estos efectos se ven potenciados por el fenómeno que se ha denominado “globalización”. Las empresas globales necesitan disponer de información instantánea de todo el mundo para la toma de decisiones que afectan su posición consolidada. En el ámbito gubernamental, por su parte, ahora el público tiene acceso a información instantánea respecto a lo que está sucediendo en otras partes y puede fácilmente comparar la gestión de su gobierno –nacional, estadual, provincial, departamental, municipal, etc.- con la de otros. En todos los ámbitos, las estrategias y las estructuras ya no son estables, deben cambiar constantemente adaptándose a los cambios del contexto y, consecuentemente, aumentan los riesgos de decisiones estratégicas erróneas; dicho de otro modo, los riesgos, que en la realidad anterior se ubicaban predominantemente en el ámbito transaccional, ahora se trasladan también al estratégico. En virtud de ello, se hace necesario que los controles, cuya finalidad siempre fue combatir los riesgos, también vean extendido su ámbito del meramente transaccional al del planeamiento estratégico. Deben constituir un significativo aporte al logro de los objetivos de las organizaciones, aspecto relacionado con la excelencia en la gestión y la creación de valor para sus stakeholders. Para completar el panorama, los capitales transnacionales, los fraudes corporativos, la contabilidad creativa como herramienta al servicio de intereses individuales que difieren de 7 los organizacionales y la consecuente necesidad de transparencia muestran la insuficiencia de los controles tradicionales, puesto que de controles orientados a asegurar el logro de los objetivos de la gerencia se pasa a la necesidad de controles que aseguren que la acción de ésta se oriente a satisfacer los intereses de los distintos agentes involucrados con la entidad que conduce. Enron Corp, comercializadora de energía, séptima compañía de Estados Unidos con un patrimonio declarado de 63 mil 400 millones de dólares, presentó suspensión de pagos en diciembre de 2001. Se comprobó que había falseado sus estados contables durante cuatro años para ocultar pérdidas millonarias y evadir impuestos. Worldcom, la segunda telefónica de Estados Unidos con un activo de 103 mil 800 millones de dólares, fue demandada por la SEC en junio de 2002 por fraude contable, tras descubrirse que registró como inversiones 3 mil 800 millones de dólares que debían figurar como gastos. El Uruguay no fue ajeno a hechos de estas características. El episodio de Granja Moro –que hizo fracasar el incipiente mercado de valores que se pretendía consolidar- y situaciones vinculadas con instituciones financieras que contribuyeron a agudizar la crisis del sistema en 2002, son ejemplos claros. A la luz de estos acontecimientos y otros de naturaleza similar quedaron en evidencia falta de compromiso, objetividad y transparencia en los distintos estamentos de estas entidades y fallas en los sistemas de control sobre ellas. Ha quedado en claro por qué temas tales como transparencia y confiabilidad en la conducción resultan imprescindibles para la confianza de los inversionistas y hasta para el desempeño de las economías y, consecuentemente, la necesidad de mejora continua de los mecanismos de control –en un sentido amplio- en la administración de las organizaciones. III - Orígenes y evolución del concepto “Control Interno”. III - 1 - Las primeras definiciones y su fuente La expresión “Control Interno” como tal comenzó a ser utilizada en el campo de la contabilidad y los negocios a principios del siglo XX, acuñada por profesionales de la auditoría. Ello justifica, para una mejor comprensión del por qué de la fuente de la expresión, formular una breve conceptualización de lo que es la auditoría, o más precisamente, la auditoría de estados contables. 8 Fowler Newton 2 aporta la siguiente definición: “La auditoría de estados contables es el examen de éstos con el propósito de dictaminar si fueron preparados de acuerdo con ciertas normas contables”. Por su parte, Slosse y coautores 3 dicen que “…es el examen de información por parte de una tercera persona, distinta de la que la preparó y del usuario, con la intención de establecer su razonabilidad dando a conocer los resultados de su examen, a fin de aumentar la utilidad que tal información posee”. Whittington y Pany 4 no incluyen en su obra una definición pero señalan que “en una auditoría de estados financieros los auditores se comprometen a reunir evidencia y a proporcionar un alto nivel de seguridad que los estados financieros siguen los principios de contabilidad generalmente aceptados, u otra base apropiada de contabilidad”. De acuerdo a las Normas de Auditoría emitidas por IFAC 5 “El objetivo de una auditoria de estados financieros es facilitar al auditor una opinión respecto de si los estados financieros están preparados, respecto de todo lo importante, de acuerdo con un marco de referencia de información financiera aplicable.” En otras palabras, se trata de un servicio profesional llevado a cabo por un contador público independiente, destinado a obtener evidencias válidas y suficientes que le permitan emitir una opinión fundada respecto a la confiabilidad de los estados contables preparados y presentados por la entidad emisora de los mismos, con el fin de incrementar la confiabilidad que les proporciona a terceros la información que surge de ellos. Conceptualizada la auditoría de estados contables, es más sencillo percibir por qué es en esta especialización profesional que se empieza a utilizar la expresión “control interno”. A comienzos del siglo XX, el aumento en el número de grandes corporaciones, su necesidad de financiamiento de terceros, el afianzamiento de los mercados bursátiles y la creciente exigencia de éstos y de los tradicionales proveedores de financiamiento –los bancos- de información auditada por contadores independientes fueron, entre otros, los motivos que originaron los primeros desarrollos sobre “control interno” en la literatura especializada, los 2 Enrique Fowler Newton. Tratado de Auditoría (2004). Carlos A. Slosse y otros. Auditoría – Un nuevo enfoque empresarial. (1990). 4 O. Ray Whittington – Kart Pany. Auditoría – Un enfoque integral. (2004) 5 Internacional Federation of Accountants.. Norma Internacional de Auditoría 200 – Objetivos y principios generales que gobiernan una auditoría de estados financieros. Traducción del Instituto Mexicano de Contadores Públicos (2006) 3 9 que básicamente –como se dijo previamente y se explicará a continuación- fueron efectuados por auditores. Como señalan Slosse y coautores 6, en virtud de la competencia que comenzó a gestarse entre ellas, las firmas de auditores se vieron obligadas a trabajar en forma más eficiente para poder mantener el nivel de eficacia pero reducir el monto de honorarios. Por otra parte, pero incidiendo en el mismo sentido, al ampliarse el espectro de empresas exigidas de presentar estados contables auditados, a muchas les resultaba gravoso soportar los altos honorarios de una auditoría basada en una extensa revisión de activos y operaciones, con el consiguiente requerimiento de que los costos de una auditoría se redujeran. Esa doble presión hacia la eficiencia llevó a los auditores a buscar formas de realizar el trabajo aplicando menos tiempo pero sin aumentar las probabilidades de dejar de detectar errores u omisiones significativas en los estados contables. Y una de las formas identificadas consistió en depositar confianza –si fuera viable- en los controles de la propia empresa auditada t para prevenir o detectar errores, omisiones o irregularidades en el proceso de elaboración de su información contable. Intuitivamente se percibe que, una vez probados éstos y corroborado que operan adecuadamente, el número de operaciones a revisar para obtener una razonable seguridad en cuanto a lo correcto de las cifras resultantes de ese proceso se reduce sustancialmente, con el consiguiente ahorro de tiempo, principal factor de costo en una auditoría. Por lo tanto, poder confiar en los controles con incidencia en la calidad del proceso contable –y, en consecuencia, hacer viable una auditoría con tal orientación- pasó a ser un objetivo de primer orden para los auditores que, entonces, aplicaron importantes esfuerzos en promover la aplicación de controles idóneos a esos fines, a los que denominaron “controles internos” aludiendo a que no eran controles efectuados por ellos sino internamente en la entidad auditada. En materia de definiciones y/o conceptualizaciones, Gómez Morfin 7 ubica un primer antecedente. Señala que “Parece ser que una de las referencias más antiguas a este vocablo, también denominado por algunos comprobación interna (internal check), se hace por L. R. Dicksee en 1905” y que “El concepto de Dicksee incluía tres elementos: división de labores, utilización de los registros de contabilidad y rotación de personal.”. 6 7 Carlos A. Slosse y otros. Obra ya citada Joaquín Gómez Morfin. “El control en la administración de empresas” 10 En ese mismo contexto se ubican las siguientes definiciones, citadas por Rusenas 8 • “Un sistema de Control Interno puede definirse como la coordinación del sistema de contabilidad y de los procedimientos de oficina, de tal manera que el trabajo de un empleado llevando a cabo sus labores delineadas en una forma independiente, compruebe continuamente el trabajo de otro empleado, hasta determinado punto que pueda involucrar la posibilidad de fraude”. (George Bennett. “Fraud: its control through”, 1930). • “El sistema interno de comprobación y control puede explicarse como la distribución apropiada de funciones del personal, de tal manera que el trabajo de cada empleado pueda coordinarse y comprobarse independientemente del trabajo de otros empleados”. (Victor Stempf. “La influencia del sistema interno de comprobación en los procedimientos de auditoría”, 1936). • “El control interno implica que los libros y métodos de contabilidad, así como la organización general del negocio, están de tal manera establecidos, que ninguna de las cuentas o procedimientos se encuentra bajo el control independiente y absoluto de una sola persona, sino que por el contrario, el trabajo de un empleado es complementario del hecho por otro y se hace una revisión continua de los detalles del negocio”. (Robert H. Montgomery., “Auditing Teory and Practice”, 1934) Se puede apreciar que estos autores enfocan su atención hacia la distribución de funciones del personal a fin de lograr la coordinación y comprobación de los trabajos efectuados. Evidentemente, tales conceptualizaciones presentan únicamente un aspecto particular –y por lo tanto parcial- de lo que el término “control” sugiere. De todos modos, aún desde la óptica parcial en la que el concepto “control interno” surge, se puede apreciar que la existencia de controles que apunten a que la información contable esté libre de errores importantes y a que no se produzcan fraudes que deterioren el patrimonio de una entidad –que es a lo que se orientaron las primeras definiciones- es un aspecto importante aún cuando la entidad en cuestión no deba ser objeto de auditoría sobre las cifras que proporciona a terceros. 8 Oscar Rusenas. “Manual de control interno”. 11 Lo que debería quedar claro de lo expuesto en el párrafo anterior, es que la relación prácticamente directa que se suele establecer entre control interno y auditoría, si bien es falaz, resulta en cierto modo comprensible, dado que como destaca Gómez Morfin9, es curioso observar que prácticamente en ningún libro de administración se menciona la expresión “control interno”, mientras que en todo libro de auditoría la misma sí constituye una referencia casi obligatoria. III - 2 - Hacia un concepto más amplio Retomando la línea de resaltar la parcialidad del concepto subyacente en las primeras definiciones, debe reflexionarse sobre que la necesidad de control no se agota en evitar fraudes y/o errores contables, sino que es sustancialmente más amplia y, de hecho, como se analizó en el apartado II, se relaciona estrechamente con la conducción de las operaciones de cualquier entidad. La compartimentación postulada por las definiciones citadas apunta, básicamente, a que ninguna de las personas en las que se ha delegado reúna el dominio total de una operación, puesto que ello la colocaría en posición de cometer una irregularidad –o simplemente un error importante- y además ocultarlo; la preocupación porque esto no ocurra debe estar presente y ser considerada. El punto es que un empresario, además de por la protección de sus activos, seguramente esté preocupado por obtener resultados satisfactorios, por que sus directivas sean acatadas, por que las reglas de juego que él establezca para las relaciones con terceros sean las que efectivamente se apliquen, por que le llegue información oportuna y confiable sobre el desarrollo de los negocios que le permita tomar decisiones fundadas y, en general, por poder obtener elementos de juicio que le permitan monitorear el desempeño de su empresa y de sus empleados. Probablemente percibiendo esa parcialidad, sobre mediados del siglo pasado el concepto de control interno se amplió. Un mojón importante lo marca un informe especial del Committee on Auditing Procedures. del AICPA (American Institute of Certified Public Accountants) de 1948, que conceptualiza al sistema de control interno a partir de una definición cuya traducción aporta Fowler 12 Newton10: “El control interno comprende el plan de organización y el conjunto coordinado de los métodos y medidas adoptados dentro de una empresa para salvaguardar sus activos, verificar la exactitud y confiabilidad de su información contable, promover la eficiencia operativa y alentar la adhesión a las políticas prescritas por la gerencia”. El mismo informe agrega:” Esta definición es posiblemente más amplia que la que a veces se da a este término. Ella reconoce que un sistema de control interno se extiende más allá de los aspectos que se relacionan directamente con las funciones de los departamentos de contabilidad y finanzas.” El mismo documento identifica cuatro elementos que componen el sistema: a) un plan de organización que provea una separación adecuada de responsabilidades funcionales, b) un adecuado sistema de autorización y procedimientos de registro que provea un control contable razonable sobre activos, pasivos, ingresos y gastos, c) prácticas sanas a seguirse en la ejecución de los deberes y funciones de cada departamento de la organización y d) un grado de calidad del personal proporcional a sus responsabilidades. Nótese que los dos primeros elementos figuran explícitamente en la definición de control interno que da el documento, mientras que los segundos no. Esta definición, mucho más abarcativa que las primeras, generó problemas para los auditores que, en cumplimiento de la normativa profesional reguladora de su función dictaminante, debían evaluar los controles internos presentes en las entidades auditadas. En efecto, la presencia de los objetivos vinculados con la eficacia y eficiencia de las operaciones y con la adhesión a las políticas de la dirección los llevaba a tener que evaluar aspectos con escasa o nula incidencia –salvo casos muy extremos- en la calidad de la información contable, objeto central de su labor. En virtud de ello, rápidamente, un nuevo pronunciamiento del AICPA delimitó los controles a evaluar por el auditor, distinguiendo los conceptos de control interno contable –en el que se insertaron los controles vinculados con la salvaguarda de activos y la confiabilidad de la información contable- y control interno administrativo –que incluyó lo relativo a los otros objetivos- y estableciendo que la obligación profesional del auditor en cuanto a evaluar los controles internos se limitaba al sistema de control interno contable. Más 9 Joaquín Gomez Morfin. Obra ya citada Enrique Fowler Newton. Tratado de auditoría (1984). 10 13 tarde, mediante el SAS 1 11 el AICPA interpretó y delimitó el alcance de los dos objetivos vinculados con el control interno contable. De acuerdo a ese pronunciamiento, el objetivo de salvaguarda de activos está referido a irregularidades, interpretación de alcance reducido que implica dejar fuera del ámbito del objetivo a otros problemas que éste podría cubrir con una interpretación más amplia (como los errores y la toma de decisiones gerenciales inadecuadas que puedan afectar los activos, por ejemplo). En lo que se refiere al objetivo de confiabilidad de la información contable, el SAS 1 optó por establecer que está referido a la información contable a proporcionar a terceros, dejando fuera del ámbito del objetivo, también en este caso, a otros aspectos que podría cubrir con una interpretación más amplia, como la información contable de uso interno. Esta conceptualización tuvo amplia aceptación y fue recogida por una innumerable cantidad de organizaciones en diversos documentos. A nivel internacional, y sólo en carácter de ejemplo, cabe mencionar que fue adoptada por la IFAC en la primera versión de sus Guías Internacionales de Auditoría (hoy Normas Internacionales de Auditoría), por la INTOSAI (sigla en inglés de Organización Internacional de Entidades Financieras Superiores) y por AIC (Asociación Interamericana de Contabilidad) que la recogió en la X Conferencia Interamericana de Contabilidad (1972). Con igual carácter, cabe mencionar que en nuestro país fue adoptada por el Tribunal de Cuentas de la República en sus Ordenanzas y que fue la utilizada como referencia en los cursos de Auditoría de la Facultad de Ciencias Económicas y de Administración hasta hace unos pocos años. El que llamaremos “enfoque tradicional” se consolida entonces con la conjunción de pronunciamientos del AICPA ya citados. A partir de él se desarrollaron aportes profesionales y académicos sobre el tema bajo la óptica de un concepto más amplio que el implícito en las primeras definiciones pero aún en buena medida con el paradigma de la protección de los activos físicos, la segregación de funciones y el control posterior. Bajo este concepto, el aspecto estratégico del negocio se asumía como un dato, es decir, como algo ya analizado y estabilizado y, en consecuencia, el énfasis se ponía en el diseño de 11 AICPA - Statement on Audit Standards 1 14 controles transaccionales. Ello, en buena medida, resulta coherente con las características de la sociedad industrial mencionadas en el apartado II, presentes en el momento en el que nació. El pasaje de la sociedad industrial a la sociedad del conocimiento también descripto en el mismo apartado, determinó que los paradigmas del control interno tradicional no resultaran exitosos en el nuevo contexto, requiriéndose que el control interno también ampliara su ámbito, pasando de considerar sólo el transaccional a incluir el ámbito estratégico. En respuesta a estos requerimientos, el concepto de control interno fue cambiando hacia nuevos enfoques que –entre otros aspectos- destacan su contribución a asegurar al logro de los objetivos de la entidad apoyando un efectivo manejo de riesgos, prestan especial atención también a los activos intangibles y ponen énfasis en quitarle peso a la burocratización que sustentaba implícitamente el modelo o enfoque tradicional, que ya planteaba problemas en la sociedad industrial. III - 3 - El concepto actual de Control Interno Durante mucho tiempo el concepto generalmente aceptado de control interno fue el que hemos denominado tradicional. Más allá del concepto, que incluía objetivos operacionales, interesa recordar que el paradigma de control interno subyacente en los desarrollos técnicos y normativa profesional sobre el tema fue, en ese enfoque, tener bien cubiertos los objetivos vinculados con salvaguardar los activos y asegurar la exactitud y confiabilidad de la información contable. En la última década del siglo pasado, materializando respuestas a la insuficiencia del paradigma anterior, vieron la luz varios modelos conceptuales en la materia mucho más abarcativos y jerarquizantes de los objetivos operacionales, siendo los principales el norteamericano -hoy estándar internacional- conocido como informe COSO 12 (por las siglas en inglés del comité que patrocinó los estudios que lo produjeron), el canadiense COCO 13 12 Committe of sponsoring organizations of the Treadway Commission .Internal Control Integrated Framewok (1992) 13 Canadian Institute of Certified Accountants. Control Concepts (1992) 15 (por las siglas en inglés del documento en que quedó plasmado) y COBIT 14 (focalizado en controles en materia de tecnología de la información, cuyo nombre es la sigla en inglés de la expresión “Objetivos de control para la información y tecnologías relacionadas). COCO y COBIT citan expresamente su compatibilidad con COSO, modelo que tomaremos como principal referencia para el desarrollo de este apartado. Los comienzos de la historia del informe, que fue publicado en 1992, se remontan, según menciona el propio documento, a 1973 –más concretamente, al escándalo de Watergate- y se alimentaron con fraudes bursátiles de envergadura que pusieron en marcha una corriente de opinión que vio en el control interno un medio para procurar evitar la ocurrencia de hechos similares. Uno de los objetivos básicos del estudio fue ayudar a la dirección de empresas y otras entidades a controlar mejor las actividades de sus organizaciones. Como la expresión control interno venía significando diferentes cosas en distintos ámbitos, lo que impedía un entendimiento común del concepto, otra meta importante fue integrar las distintas visiones de control interno en una estructura en la que se estableciera una definición común a todas las partes. COSO define al control interno como un proceso, efectuado por el directorio, la gerencia y el resto del personal, diseñado para proveer una seguridad razonable respecto al logro de los objetivos de las organizaciones, a los que, en forma algo artificial, subdivide en las siguientes tres categorías: • Objetivos relacionados con la efectividad y eficiencia de las operaciones. • Objetivos vinculados con la confiabilidad de la información contable para publicar. • Objetivos relativos a con el cumplimiento con leyes y otras regulaciones aplicables a la entidad. Al mencionar en primer lugar a los objetivos relacionados con eficacia y eficiencia, resalta implícitamente que, además de fortalecer la credibilidad de su información contable y asegurar que cumple cabalmente las leyes y reglas a que esté sujeta evitando daños a su reputación u otras consecuencias negativas, el control interno puede ayudar a una entidad a 14 Information Systems Audit and Control Foundation. Control Objectives on Information and related 16 conseguir sus metas de desempeño y rentabilidad y a evitar el desperdicio de recursos. El mismo documento establece que el control interno consta de cinco componentes interrelacionados entre sí y también con otras actividades inherentes al ejercicio de la gerencia pero que no son control interno: a) Ambiente de control; b) Identificación y evaluación de riesgos; c) Actividades de control; d) Información y comunicación; e) Monitoreo IV - Análisis detallado del concepto moderno de control interno El objetivo del presente apartado es contribuir a una mejor comprensión y contextualización de los conceptos que incluye el informe COSO, pretendiendo enriquecer su lectura, no reemplazarla. Con ese propósito, se centra en destacar algunos aspectos importantes del concepto de control interno que dicho documento plantea y no en una descripción minuciosa de los distintos tópicos que el mismo incluye, aportando algunas reflexiones, comentarios y referencias sobre los puntos en que se focaliza el apartado no presentes explícitamente en el informe que se analiza. Los aspectos sobre los que se profundizará son: • La visión del control interno como un proceso, de carácter continuo e iterativo, susceptible de ser subdividido en múltiples procesos, concebible como un subconjunto de las actividades inherentes al ejercicio de la gerencia de una entidad pero totalmente integrado a ellas e imposible de separar de las mismas. • La importancia que asigna al elemento humano, no sólo porque ya en la definición establece que Involucra a todo el personal sino también porque reconoce expresamente que el control interno de una organización y los individuos que la integran se influyen mutuamente, recíproca y significativamente, sin perder de vista que si bien todos tienen alguna responsabilidad en el control interno, ésta crece con el nivel jerárquico y tiene connotaciones específicas para determinadas posiciones. Technologies (1996) 17 • La distancia que toma de algunos paradigmas del concepto tradicional en temas tales como el menor peso relativo que asigna a la separación de funciones –cuya importancia sigue reconociendo de todos modos- frente a los llamados controles “blandos”, destacando que todo se basa en un buen ambiente de control-. En el mismo sentido, postula el empowerment y enfatiza en controles “dentro” de los procesos y no en controles “sobre” ellos. • La visión de cuándo puede considerarse que un sistema de control interno funciona eficazmente y su vinculación con el reconocimiento de que un sistema de control interno, por mejor que haya sido diseñado y esté operando, sólo puede proporcionar seguridad razonable (por oposición a absoluta) respecto de que los objetivos de la entidad serán alcanzados. • La aplicabilidad de los conceptos del informe a empresas de menor porte y a entidades de naturaleza distinta a la empresarial, tales como las pertenecientes al sector gubernamental u organizaciones sin fines de lucro, a pesar de tratarse de un documento presentado predominantemente en un contexto de empresas de gran porte, cotizantes en bolsa. IV - 1 - El control interno como un proceso continuo, iterativo e integrado a las actividades inherentes al ejercicio de la gerencia La definición que proporciona COSO transmite la idea de que control interno es un proceso, lo que implica que no es un hecho o acto aislado sino una serie de acciones que penetran a través de las actividades de una entidad, acciones que tienen un alcance muy amplio y son inherentes a la forma en que la dirección maneja un negocio. Una herramienta al servicio de la gerencia, subdivisible en múltiples subprocesos. Los procesos de negocios son conducidos a través de unidades o funciones y gestionados mediante subprocesos de planificación, ejecución y control. COSO concibe al control interno como parte de estos procesos e integrado con ellos, facilitando su funcionamiento y monitoreando permanentemente su pertinencia y desempeño, en carácter de herramienta a emplear en el complejo proceso de gerenciamiento y no en el de complemento –y menos en el de sustituto- de éste. 18 Entre otros aspectos, conducir un negocio implica lograr el enlace entre los objetivos de la entidad, los deberes de los individuos que la integran y la forma en que los llevan a cabo. De reflexionar en la vastedad de aspectos que esto último conlleva se desprende que el control interno también puede ser desagregado en múltiples procesos, puesto que ese enlace debe establecerse en todas y cada una de las actividades que se desarrollan en la entidad. También, que por su condición de medio o instrumento para lograr ese alineamiento, resulta más efectivo inserto en los procedimientos y no como algo con vida propia colocado por fuera de éstos, aspecto que será retomado en IV - 3. El control interno en el proceso gerencial A nuestro juicio, entre los principales aportes del informe COSO se destaca la referencia explícita a que el control interno es parte del proceso gerencial y no algo ajeno a él, colocado “por fuera” como un agregado destinado sólo a evitar posibles fraudes que perjudiquen el patrimonio empresarial o errores contables, problemas éstos que conspiran contra la exactitud de la información contable. Recuérdese que esta última siempre fue el aspecto de énfasis del concepto tradicional. Es recién más de cuatro décadas más tarde que COSO plantea una visión diferente, colocando al control interno como algo de particular interés para la alta gerencia, ya no por la carga adicional de responsabilidad por él -que desde un principio le fue adjudicada por los autores del concepto tradicional- sino por su aporte al éxito de la gestión empresarial, aspecto sí considerado desde siempre por el nivel gerencial como su responsabilidad clave. En efecto, COSO concibe al proceso gerencial como una secuencia de etapas que incluye: 1. El establecimiento de objetivos a nivel de la entidad, que implica enunciar su propósito principal -razón de su existencia o misión y valores a respetar para cumplirlo- y su visión de futuro o estado deseado. 2. El planeamiento estratégico, etapa en la que se diseña la forma en que se cumplirá con la misión -teniendo en cuenta factores externos (oportunidades y amenazas) e internos 19 (fortalezas y debilidades)- y se establecen prioridades que a su vez se traducen en la asignación de los recursos disponibles o a obtener. 3. La fijación de los factores del ambiente de control, que constituyen la base para orientar la acción de los recursos humanos que deberán poner en práctica la estrategia; éstos deben conocer esos factores para poder discernir cuál es el marco ético en que deben actuar para cumplir con sus responsabilidades particulares en la ejecución de la estrategia definida. 4. El establecimiento de objetivos a nivel de cada actividad que se desarrolla en la entidad. El plan estratégico debe ser traducido en objetivos específicos para cada actividad, que deben ser consistentes entre sí y -de ser posible- traducidos en forma de metas que ayudarán a identificar los factores críticos de éxito. Conocer estos últimos permite identificar criterios de medición del desempeño que ilustren sobre el grado en que las metas están siendo alcanzadas. 5. La identificación de los riesgos que pueden conspirar contra el logro de los objetivos de cada actividad relevante para el logro de los objetivos globales; debería permitir -tras su subsecuente análisis- tomar decisiones apropiadas para administrarlos adecuadamente. 6. La administración de tales riesgos, esto es, la especificación del grado de riesgo que se está dispuesto a aceptar y el diseño de los mecanismos tendientes a acotarlo por debajo de ese nivel, que implica adoptar medidas apropiadas para evitar que se concrete en perjuicios mayores al nivel aceptado, que deberían ser de dos tipos: las orientadas a evitar su materialización y las orientadas a reducir sus efectos perjudiciales si se materializan pese a las anteriores. 7. La dirección de las actividades de control que apunten a asegurar que esos mecanismos funcionen efectivamente -esto es, en forma regular y de acuerdo a lo previsto- en la práctica. 8. La obtención y empleo (entendiendo por tales la captura, procesamiento, distribución y uso) de información idónea -incluyendo la que ese nivel gerencial requiere para tomar decisiones apropiadas pero también la que cada integrante de la organización necesita para poder cumplir eficazmente con sus responsabilidades- y el establecimiento de canales de comunicación aptos para que cada nivel cuente con la información que le es relevante, incluyendo comunicación con el exterior, puesto que agentes externos pueden proveer elementos valiosos para apreciar oportunidades, amenazas, riesgos, formas de administrar riesgos, etc.. 20 9. El monitoreo de que todo lo anterior está funcionando apropiadamente, esto es, que los mecanismos para asegurar el logro de los objetivos operan en forma continua y eficaz. 10. La adopción de medidas correctivas si ese monitoreo muestra un funcionamiento diferente al esperado o la necesidad de modificar lo previsto; incluyen tanto las orientadas a corregir el rumbo si peligra que la entidad logre los objetivos perseguidos como las que permiten ajustar lo planificado -o aún abandonarlo- si se produjeron cambios en las circunstancias que lo hacen aconsejable. Siguiendo un desarrollo conceptual planteado por Diego Sosa 15 las funciones del proceso descripto pueden ser discriminadas considerando su propósito principal: mientras unas -las mencionadas en los numerales 1,2,4,6 y 10- procuran las opciones más propicias para lograr los objetivos (a nivel entidad o a nivel actividad, según el caso) y deberían traducirse en acciones orientadas a alcanzarlos, otras (3, 5, 7, 8 y 9) buscan brindar una razonable seguridad de éxito en el logro de tales objetivos, apoyando el tránsito del camino elegido. Naturalmente, deben complementarse. Como las segundas constituyen lo que COSO denomina “componentes” del proceso de control interno, ya debería quedar claro que éste integra el proceso gerencial. Pero además, las funciones gerenciales también pueden discriminarse distinguiendo las que “marcan el rumbo” para el logro de los objetivos -que constituyen la parte esencial del primer grupo antes citado- (1 y 2), las que “brindan el soporte” necesario para el ejercicio de las demás -que, dentro del segundo grupo son las relativamente más estructuradas- (3, 8 y 9) y las que componen “la cadena del riesgo” -el resto, que consta de funciones incluidas en ambos grupos de la clasificación anterior- (4, 5, 6, 7 y 10)-. Es en el marco de esta segunda clasificación -y particularmente, analizando el último grupo que distingue- donde se manifiesta más claramente que el control interno no puede separarse del proceso gerencial. En efecto, analizando los eslabones de esta “cadena de riesgo” se aprecia una correspondencia íntima entre las funciones que la integran; esta correspondencia se traduce en una relación de precedencia que muestra que no es posible realizar 15 Cr. Diego Sosa. Profesor Titular de Control Interno y Organización de Sistemas Contables entre 1993 y 2005. 21 apropiadamente cualquiera de esas funciones si no ha sido cumplida la que la precede. No es posible tomar medidas para administrar los riesgos si éstos no han sido previamente identificados y analizados, pero a su vez esto último no es posible si previamente no se conocen los objetivos específicos de cada actividad. Tampoco es posible establecer actividades de control si no se conocen las medidas adoptadas para administrar los riesgos, ni tiene sentido pensar en adoptar medidas correctivas si no se conocen las medidas para administrar riesgos cuya efectividad debe evaluarse. Nótese que las funciones “identificación y análisis de riesgos” y “dirección de actividades de control” -componentes del proceso de control interno según COSO- están tan ligadas al resto de las funciones de la que hemos llamado “cadena del riesgo” que no pueden concebirse con independencia de las demás -que integrando el proceso gerencial no componen el control interno- apreciación que permite sostener que la formulación conceptual de COSO no sólo enuncia sino que permite demostrar que el control interno está tan vinculado al proceso gerencial que no es posible verlo sino como parte de ese proceso. El carácter iterativo del proceso de control interno. Los componentes del control interno son representados gráficamente en el Informe COSO con la forma de una pirámide de cuatro pisos, en la que la base la constituye el ambiente de control, encima de ella el componente identificación y evaluación de riesgos, más arriba las actividades de control y en la cúspide el monitoreo. En las aristas de la pirámide, representado por flechas bidireccionales, se encuentra el quinto componente: información y comunicación, que atraviesa entonces todos los demás, desde la cúspide hasta la base y viceversa. Tal modelización ilustra el dinamismo de los sistemas de control interno, mostrando que no es un proceso serial en el que un componente afecta sólo al siguiente sino un proceso iterativo y multidireccional en el que cualquiera de los componentes puede influir sobre otro. Por ejemplo, la evaluación de riesgos puede mostrar no sólo la necesidad de actividades de control, sino también la necesidad de reconsiderar aspectos vinculados con información y comunicación o el diseño de actividades de monitoreo. 22 IV - 2 - La importancia del factor humano Las personas como ejes del sistema Recuérdese que el documento del AICPA que origina el concepto tradicional ya identificaba al personal como elemento del sistema de control interno, pero no lo incluía en su definición. La definición de COSO, en cambio reconoce explícitamente que el control interno es efectuado por personas, al señalar que involucra al directorio, a las gerencias y al resto del personal. En otros términos, esto significa reconocer que el control interno no consiste únicamente en la existencia de organigramas, flujogramas, formularios y manuales que contengan políticas y procedimientos –como podría inferirse de una lectura rápida de la definición del AICPA- sino también, y fundamentalmente, en acciones de personas en cada nivel de una organización. Son las personas las que establecen los objetivos de la entidad, colocan mecanismos de control en procura de alcanzarlos y ejecutan las actividades que la organización lleva a cabo con ese fin. La influencia mutua entre las personas y el sistema de control interno El control interno es ejecutado por las personas de la organización y, por lo tanto, resulta afectado por lo que las personas hacen o no hacen y por lo que dicen o no dicen. Se debe tener presente que cada individuo trae al lugar de trabajo sus antecedentes y habilidades técnicas particulares y que tiene diferentes necesidades y prioridades personales, así como que la gente no siempre entiende, comunica o se desempeña en forma consistente. La falta de alineamiento de las personas con los objetivos de la organización puede erosionar seriamente el control interno. Ahora bien, el control interno también puede ejercer influencia en las acciones de las personas. En este sentido, resultan claves el liderazgo de la alta gerencia, los mensajes que comunica en forma explícita y los que transmite implícitamente con sus propias actitudes. También, que lo anterior sea acompañado por adecuadas políticas y prácticas en materia de 23 recursos humanos. La relevancia de estos aspectos es destacada en el informe COSO, que les asigna un papel preponderante en el establecimiento del ambiente de control, al que a su vez le asigna –como se analizará en IV – 3 con más detalle- el carácter de base de todo el sistema de control interno. Aspectos vinculados con el componente Información y Comunicación también son importantes. Como cada integrante de la entidad tiene su cuota de responsabilidad en el proceso, es necesario que cada uno conozca los objetivos, sus responsabilidades y sus límites de autoridad para ejercerlas. Roles y responsabilidades Como se vio -más allá de lógicas diferencias del grado, que aumenta conforme se asciende en la escala jerárquica- todos los miembros de una organización tienen responsabilidades en materia de control interno. Interesa destacar algunas, que el propio informe aborda específicamente: • Dirección Ejecutiva El gerente general -o figura equivalente en entidades sin un cargo con tal denominación- es el responsable en última instancia del sistema de control interno. Debe ser consciente de ello, aceptar su mayor responsabilidad y cumplir con ella apropiadamente. Dentro de las múltiples connotaciones que tiene esto último, en particular se destacan que: a) más que cualquier otra persona, debe mostrar integridad, ética y demás elementos propios de un ambiente de control positivo en la empresa o institución que dirija y b) dentro de un esquema de responsabilidades en “cascada”, debe proyectar su liderazgo y dirección hacia los gerentes de área y supervisar la forma en que ellos están controlando el negocio, asignando responsabilidades y estableciendo políticas y procedimientos más específicos de control interno para los funcionarios que tienen a su cargo la operación de las diversas unidades. A su vez, siempre dentro de este esquema de “cascada”, un gerente de área es el “gerente general” de la unidad organizativa que conduce, cabiéndole entonces en relación a la misma, aunque en otra escala o dimensión, idéntica responsabilidad. 24 • Consejo de Administración o Directorio Su rol es particularmente relevante en entidades en que la conducción ejecutiva está separada de la propiedad (empresas que cotizan en bolsa, empresas estatales, etc.). El gerente general debe rendir cuentas al consejo de administración o directorio, que debe velar porque la conducción de las actividades de la entidad sea acorde con los intereses de sus accionistas –en el primero de los casos- o concepto equivalente en otro tipo de entidades. Para que ello sea viable, sus miembros deben tener un conocimiento suficiente de las actividades de la entidad y su entorno, asignar el tiempo necesario para cumplir las responsabilidades inherentes a su cargo y proporcionar gobierno y orientación, adoptando una actitud objetiva, vigilante e inquisidora sobre el accionar de la gerencia ejecutiva. • Auditores internos Juegan un importante papel en la evaluación de la efectividad de los sistemas de control y contribuyen a mantener o mejorar su calidad. Por su posición en la organización la función auditoría interna tiene un importante papel en el proceso de supervisión y seguimiento (monitoreo). • Personal en general El control interno es, en cierto grado, responsabilidad de todos y cada uno de los miembros de cualquier organización. Debiera existir una referencia a ello, explícita o implícita, en la descripción del trabajo de cada uno. Todo empleado debe asumir que debe comunicar a sus superiores los problemas que observe en el curso de las operaciones, casos de falta de cumplimiento al código de conducta u otras violaciones a las políticas de la entidad, así como la comisión de acciones ilegales. IV 3 - El cambio de paradigmas Recuérdese que el documento del AICPA que origina el concepto tradicional identificaba a las “prácticas sanas” como elemento del sistema de control interno, pero no lo incluía en su 25 definición. Este concepto, enunciado allí como relacionado con la ejecución de los deberes y funciones de cada departamento de la organización y conceptualizado por algunos autores como equivalente a que el trabajo de cada individuo fuera realizado en un marco de supervisión y control adecuado, fue un primer esbozo de algo sustancialmente más amplio y considerado por el informe COSO como la base que sustenta la eficacia de todo el sistema de control interno: el ambiente de control. A lo largo del lapso transcurrido entre que fueron emitidos ese documento (1948) y el informe COSO (1992) se fue apreciando paulatinamente la importancia del ambiente o contexto de control. Por ejemplo, el AICPA, al sancionar el SAS 55 prefirió aludir a tres elementos que conforman la que llamó estructura de control interno: a) el contexto de control, b) el sistema contable y c) los procedimientos de control. Según un análisis efectuado por Fowler Newton 16 de este aspecto de dicho pronunciamiento, el contexto de control representa el efecto conjunto que sobre el establecimiento, la mejora o la atenuación de la eficacia de las políticas o procedimientos tienen diversos factores, entre los que el citado autor entiende como más relevantes: a) algunas características del accionar de la gerencia, b) algunos aspectos de la estructura organizativa de la entidad, c) los métodos empleados para el control gerencial del desempeño, d) las políticas en materia de recursos humanos y e) las influencias externas que pueden afectar el sistema de control de una entidad, tales como la frecuencia con que la misma es objeto de inspecciones de organismos reguladores o similares. Slosse y coautores 17 analizan la consideración del control interno por parte del auditor a partir de la definición de 1948, pero aportan una categorización de controles que distingue: a) el ambiente de control, b) los controles generales y c) los controles directos. En su enfoque, conciben que el ambiente de control determina el marco para el control general. Establecen que “en forma previa a cada control específico implantado, el ambiente de control establece las condiciones en que opera el conjunto de los sistemas de información, contabilidad y control y contribuye a su confiabilidad”. Del planteo de estos autores interesa además recoger que entienden que el ambiente de control abarca a) el enfoque hacia el control por parte de la 16 Enrique Fowler Newton. Auditoría aplicada (1989) 26 gerencia o dirección superior y b) la organización y estructura del ente. También que señalan que en muchos casos el ambiente de control no es susceptible de ser medido en forma objetiva. Volviendo a COSO, como se señaló en IV – 1, la base de la pirámide con que modeliza gráficamente al control interno la constituye el componente “Ambiente de Control”. Tal representación gráfica transmite un fuerte mensaje, puesto que si la base de la pirámide es débil o se corroe, se puede derrumbar todo el resto de la estructura. La contundencia de la imagen contrasta con la aparente vaguedad de la expresión, que por cierto implica mucho más que su primer antecedente: la mención a las prácticas sanas entre los elementos identificados en el pronunciamiento que da origen al concepto tradicional. En procura de transformarla en algo más concreto, COSO identifica siete factores que influyen en la calidad del ambiente de control de una entidad. Son ellos: a) La integridad y valores éticos presentes en las actitudes y acciones de los miembros de la organización; b) El compromiso con la aptitud y competencia profesional de quienes se desempeñan en la entidad en sus diferentes estamentos; c) La estructura organizativa y cómo afecta el ágil y seguro desarrollo de las operaciones y la circulación de información relevante entre las distintas unidades; d) Las formas empleadas para asignar responsabilidad y delegar autoridad; e) Las políticas y prácticas seguidas en materia de Recursos Humanos; f) La filosofía y el estilo de conducción de la gerencia; h) El rol de vigilancia sobre la gerencia que ejercen el Directorio y/o –en las entidades en que existe- el Comité de Auditoría El ambiente de control integra, junto con los componentes Información y Comunicación y Monitoreo, el concepto de “controles blandos” con que algunos autores los identifican por oposición a lo que ven como “controles duros”, representados por acciones más concretas y visibles como verificaciones físicas, conciliaciones, punteos, separación de funciones, revisión por un supervisor y similares. 17 Juan Carlos Slosse y otros. Obra ya citada. 27 Sin restarle importancia a los denominados controles “duros”, COSO destaca la importancia de los controles “blandos”. Así, e integrado en forma indivisible con el monitoreo y con la amplitud de formas de ejercerlo que la tecnología de la información ofrece, propone al “empowerment” (término que alude a mayor delegación, presente en programas de mejora de la calidad) monitoreado y a los controles insertos en los propios procesos como alternativa a la separación de funciones y a controles sobre los procesos, tales como que una persona haga y otra revise lo que la primera hizo. IV - 4 - La eficacia del control interno y qué puede esperarse de un sistema de control interno eficaz La eficacia del sistema Los sistemas de control interno pueden operar con diferentes niveles de eficacia en distintas entidades. Pero también, en una entidad en particular, el sistema de control interno puede operar en forma diferente en distintos momentos. Esto indica que es importante distinguir cuándo puede considerarse que el control interno está operando con eficacia. Como se señaló precedentemente, en la definición de COSO subyace que el control interno puede ayudar a una entidad a lograr sus metas en cuanto a desempeño y a prevenir la pérdida de recursos, así como también puede ayudarla a asegurar confiabilidad en la elaboración de información contable y a que cumpla con las leyes y regulaciones que le son aplicables, evitando daños a su reputación y otras consecuencias negativas. En otras palabras, puede ayudar a una entidad a llegar donde quiere ir y a evitar escollos y sorpresas a lo largo del camino. Si efectivamente lo hace, el sistema de control interno vigente en la entidad en cuestión podrá considerarse eficaz. El concepto de eficacia que plantea COSO entonces está vinculado al grado en que el control interno contribuye al logro de los objetivos de la organización, pero adquiere diferente forma según de cuál de las categorías de objetivos que el informe distingue se trate. 28 Objetivos comunes a casi todas las entidades serían, por ejemplo, conseguir y mantener una buena imagen (objetivo categorizable como operacional), proporcionar estados contables confiables a los usuarios de los mismos (objetivo categorizable como vinculado a la confiabilidad de la información) y operar cumpliendo con las leyes y regulaciones (objetivo categorizable como de cumplimiento). Esta categorización permite distinguir entre lo que puede esperarse del control interno -en términos de eficacia- en cada categoría. Puede esperarse que provea seguridad razonable de lograr los objetivos relativos a la confiabilidad de la elaboración de información contable y al cumplimiento con leyes y regulaciones. El logro de esos objetivos -que tienen como referencia estándares impuestos externamente, conocidos previamente y que no presentan cambios bruscos imposibles de anticipar- depende básicamente de cómo se llevan a cabo las actividades relacionadas con ellos dentro de la entidad, por lo que las acciones necesarias para alcanzarlos están bajo el control de la propia entidad. En cambio, el logro de los objetivos relacionados con las operaciones -tales como alcanzar una determinada tasa de rentabilidad o una cierta cuota de participación en el mercado- no está solamente ligado a las acciones y controles que la entidad lleve a cabo para alcanzarlos y el control interno no puede evitar juicios equivocados o decisiones erróneas, ni puede transformar un gerente poco capaz en uno bueno. Pero además, como tales juicios y decisiones son formulados o adoptadas respectivamente en un marco de incertidumbre, interpretaciones del futuro y decisiones -aún efectuadas o tomadas por ejecutivos capaces y aparentemente acertadas a la luz de las circunstancias presentes en ese momento- pueden resultar erróneas a la luz de acontecimientos que ocurran a posteriori, tales como cambios en el entorno económico o desastres naturales no previsibles, por ejemplo. Si bien eventos externos tales como un cambio de gobierno, factores climáticos desfavorables y otros de naturaleza similar pueden incluso haber sido considerados en el proceso de establecimiento de objetivos y haber sido objeto de un plan de contingencias en caso de ocurrir, tal plan solo mitiga o suaviza su impacto, pero no garantiza la consecución de los objetivos. El logro de metas operativas está también expuesto a otros eventos externos que pueden causar que un negocio falle, tales como acciones de la competencia u otros agentes del 29 entorno con el que la entidad interactúa. El control interno tampoco puede evitar estas acciones. Una entidad puede desempeñarse como se lo ha propuesto, pero ser superada por un competidor, por ejemplo. Los aportes del control interno en esta categoría de objetivos se centran principalmente en que: • Ayuda a que exista consistencia de objetivos y metas a lo largo de toda la organización • Ayuda a identificar factores claves de éxito • Puede proveer de información oportuna acerca del desempeño actual y de las expectativas de desempeño futuro. A pesar de que no puede asegurarse el éxito, la gerencia debe contar con una seguridad razonable de ser alertada cuando los objetivos estén en peligro de no ser alcanzados. Es en este aspecto en que el control interno puede realizar su mayor aporte; puede proporcionar información gerencial sobre el progreso de la entidad o la falta de progreso en pos de su logro. Para estos objetivos, el sistema de control interno puede proporcionar una seguridad razonable de que la dirección y, en su rol de vigilancia, el directorio, estén enterados, en forma oportuna, del grado en que la entidad está avanzando hacia esos objetivos. De todo lo anterior se desprende que el control interno puede ser juzgado eficaz en cada una de las tres categorías de objetivos, respectivamente, si la dirección y el directorio tienen seguridad razonable de que: • Son concientes de la medida en que los objetivos relacionados con las operaciones de la entidad están siendo logrados. • Los estados contables publicados por la entidad están siendo preparados en forma confiable • La entidad está cumpliendo con las leyes y regulaciones aplicables. Si bien, como surge de lo anterior, puede esperarse que un sistema de control interno provea seguridad de lograr los objetivos relativos a la confiabilidad de la elaboración de información 30 contable y al cumplimiento con leyes y regulaciones, aún en esos casos la seguridad que puede proveer no es absoluta. Sólo puede esperarse una seguridad razonable El concepto refleja que la probabilidad de lograr los objetivos, aún en las categorías en que las acciones tendientes a alcanzarlos están bajo el control de la entidad, se ve afectada por limitaciones inherentes a todos los sistemas de control interno. El reconocimiento de la existencia de estas limitaciones no es un aporte del informe COSO. Su presencia ya era mencionada en los desarrollos vinculados al concepto tradicional. Se relacionan con el hecho de que las decisiones son tomadas y muchos controles son efectuados por personas y tanto el juicio como los actos humanos pueden tener fallas, con que las personas responsables de establecer los controles necesitan evaluar sus costos y beneficios relativos, con el hecho de que cambios no advertidos o no atacados convenientemente pueden tornar ineficaces controles que antes sí eran eficaces, con el hecho de que los controles basados en la separación de funciones pueden ser burlados por la colusión de dos o más personas y con que la dirección tiene la capacidad de violentar el sistema de control interno. Así, la eficacia de los controles puede verse afectada por la falibilidad humana en la toma de decisiones de negocios, decisiones que deben ser tomadas utilizando el juicio (que puede ser acertado o equivocado) en el tiempo disponible (que puede ser menor al necesario para un adecuado análisis), en base a la información que está al alcance del decidor en ese momento (que puede ser insuficiente o contener errores) y bajo las presiones inherentes al manejo del negocio. Muy vinculado con lo anterior está el hecho de que los decisores deben considerar los costos y beneficios asociados al establecimiento de controles. Carecería de sentido implantar un control cuyo costo exceda los perjuicios que podrían derivarse de su ausencia, pero esto no elimina ni reduce tales perjuicios. Por otra parte, las evaluaciones de costos y beneficios también pueden ser erróneas. 31 Pero además, los recursos siempre son limitados y su empleo debe priorizarse, por lo que no todos los controles que parezcan importantes –que siempre tienen algún costo- pueden ser implantados. Para priorizar qué controles en particular deben ser establecidos, se debería considerar el riesgo de fracaso y el efecto potencial en la entidad de la presencia o ausencia de cada uno, conjuntamente con los costos asociados a establecerlo, mediciones que pueden alcanzar diferentes niveles de precisión. Suele ser más fácil trabajar con el lado del costo de la ecuación, que frecuentemente puede ser cuantificado en forma bastante precisa, considerando los costos directos asociados al establecimiento del control y los indirectos que sea factible medir, pero esto no siempre es sencillo. Puede resultar difícil cuantificar el tiempo y esfuerzos asociados, por ejemplo, a fortalecer ciertos factores del ambiente de control -tales como acciones destinadas a reforzar el compromiso de la dirección con respecto a valores éticos- o a obtener información externa sobre la evolución de las preferencias de los consumidores o a otras cuestiones similares. La estimación de los beneficios puede estar impregnada de una subjetividad aún mayor. Por ejemplo, los beneficios de programas de capacitación y/o entrenamiento son apreciables intuitivamente, pero difíciles de cuantificar. Lo señalado tiene dos efectos que conspiran contra la seguridad que puede proporcionar el control interno: a) controles no implantados por ser de prioridad más baja, dejarán de cubrir los riesgos asociados y b) las dificultades de medición pueden conducir a una priorización inadecuada, dejando sin cobertura riesgos importantes. Pero además, aún cuando la priorización haya sido bien realizada y los principales controles se hayan implantado, el personal que los ejecuta puede fallar por entender incorrectamente las instrucciones o por cometer errores originados en falta de cuidado, distracción o fatiga. Puede ocurrir asimismo que alguien que desarrolle tareas de control en suplencia de personal en uso de licencia o enfermo, no las realice correctamente por falta de conocimiento suficiente. También puede suceder que se implanten cambios en la forma de operar antes de que el personal involucrado haya sido entrenado para reaccionar eficazmente ante signos de funcionamiento incorrecto. 32 Otra limitación la introduce el hecho de que la colusión entre dos o más personas actuando en forma colectiva para cometer y encubrir una irregularidad o un error importante puede hacer fallar los controles, particularmente los basados en la oposición de intereses por la vía de la separación de funciones, puesto que en la hipótesis de colusión tal oposición de intereses desaparece. Y finalmente, aún en entidades eficazmente controladas y con altos niveles de integridad moral y conciencia de control, la gerencia suele tener autoridad como para, si se lo propone, violentar el control interno con fines ilegítimos intentando obtener un beneficio personal para sí. Las prácticas de violación por la gerencia incluyen también declaraciones tergiversadas a terceros y la emisión intencional de documentos falsos (facturas por ventas inexistentes, por ejemplo) para mejorar artificialmente las conclusiones que puedan extraer quienes tengan intereses en la entidad a partir de la información que ésta les proporciona. La existencia de las limitaciones recién mencionadas no significa que los sistemas de control interno fallarán inexorablemente, ni siquiera que fallarán frecuentemente. Simplemente significa que en ocasiones pueden fallar. De ahí el hecho de que el control interno sólo pueda dar seguridad razonable, pero no absoluta, de resultar eficaz. IV - 5 - La aplicabilidad de los conceptos del informe a organizaciones de características diversas. Una de las críticas que suelen formularse sobre el informe COSO es que los conceptos que plantea están concebidos para un determinado escenario: el de empresas de gran porte, multinacionales, cotizantes en bolsa y con una estructura organizativa altamente descentralizada. Si bien es cierto que el documento se ubica primordialmente en ese escenario, también lo es que explícitamente señala que sus conceptos principales resultan de aplicación en otros contextos. 33 Aplicación a pequeñas y medianas organizaciones En este ámbito, lo que seguramente debe variar es la forma de instrumentación de los principios subyacentes en un buen sistema de control interno, pero no los principios en sí mismos. La participación directa del gerente general o dueño-gerente (en adelante, GG/DG) en el negocio y su contacto de primera mano con el personal suele ser un fuerte mecanismo compensatorio de medidas que no resultaría viable implementar con una relación costo – beneficio favorable, a la vez que reduce las necesidades de formalidad en otras que necesariamente deben estar formalizadas en empresas de gran porte. Así, las entidades pequeñas y medianas pueden implementar los factores del ambiente de control en forma diferente a las entidades grandes. Pueden no tener un código de conducta escrito, pero eso no necesariamente significa que no tengan una cultura que enfatice en la importancia de la integridad y el comportamiento ético. El involucramiento directo del GG/DG en el compromiso con la integridad y el comportamiento ético puede ser transmitido en reuniones con el personal y en el trato con proveedores y clientes. Su propia integridad y su propio comportamiento son críticos y deben ser consistentes con el mensaje oral debido al contacto de primera mano que el personal tiene con ellos. Cuanto menos sean los niveles gerenciales, más rápido circula a través de la organización el mensaje sobre qué conducta es aceptable. Las políticas sobre recursos humanos pueden no estar formalizadas como en una entidad de mayor porte, pero igualmente pueden existir y ser conocidas por todo el personal. El GG/DG puede explicitar oralmente sus expectativas sobre el tipo de persona a ser contratada para un trabajo en particular y hasta desempeñar un rol activo en el proceso de contratación. Cuando una organización es dirigida por el dueño y no requiere capital del mercado, el directorio no es esencial para un control interno eficaz. Del mismo modo, es probable que en organizaciones pequeñas el proceso de apreciación de riesgos sea menos formal y estructurado que en las grandes, pero los conceptos básicos de este componente deben estar presentes en todas las entidades, independientemente de su tamaño. Las pequeñas también deben fijar objetivos, aún cuando puedan hacerlo en forma 34 más implícita que explícita. Al estar más centralizadas y tener menos niveles de autoridad, los objetivos pueden ser comunicados fácil y eficazmente al personal de más bajo nivel de un modo más directo y continuo. Probablemente también la vinculación entre los objetivos globales de la entidad y los objetivos a nivel de actividad sea más clara y directa que en las entidades grandes. El proceso de identificación y análisis de riesgos se puede basar en la recepción directa de información por parte de la alta gerencia. Un GG/DG puede tomar conocimiento de riesgos que provienen de factores externos a través del contacto personal con clientes, proveedores, el banco, abogados, contadores y otros asesores y agentes externos. También puede estar al tanto de riesgos provenientes de factores internos a través de su contacto directo con todos los niveles del personal. La evaluación de los riesgos puede ser particularmente eficaz en virtud de su involucramiento con los detalles del negocio, que posibilita que los riesgos sean evaluados por personas que además de tener acceso a información adecuada pueden comprender fácilmente su impacto en la entidad. Las propias reuniones informales que proveen información para identificar riesgos pueden también ser propicias para analizarlos y tomar decisiones sobre cómo deben ser manejados. Tampoco los conceptos que subyacen en el componente actividades de control difieren significativamente por el tamaño de la entidad, que lo que sí puede hacer variar es su instrumentación. En entidades pequeñas puede ocurrir que ciertos controles no sean necesarios porque existen otros derivados de la presencia directa de la dirección, que no es posible en entidades de mayor porte. Así, la participación directa del GG/DG en un nuevo plan de comercialización, en la autorización de ventas a crédito importantes, compras y otras operaciones relevantes, puede proveer un fuerte control sobre esas actividades, reduciendo la necesidad de controles más detallados. Lo que sí suele presentar dificultades en organizaciones pequeñas es lograr una segregación adecuada de funciones. Si ella no fuera posible, una vigilancia directa por parte del GG/DG sobre las funciones que resulten incompatibles puede proveer el control necesario. En las entidades pequeñas es probable que los sistemas de información sean menos formales que en las grandes, pero su rol es igualmente importante. Con la tecnología actual, los datos generados internamente pueden ser procesados eficaz y eficientemente en la mayoría de las organizaciones, sin importar su tamaño. En cambio, la eficacia de los sistemas para capturar 35 información sobre eventos y condiciones externas es, en entidades de menor porte, mucho más dependiente de la habilidad de la dirección superior para obtenerla e interpretarla de lo que lo es en entidades grandes. Por su parte, la eficacia en la comunicación interna entre la dirección y el resto del personal puede ser bastante más fácil de lograr en una entidad pequeña o mediana que en una grande, debido a su menor cantidad de niveles y a que el GG/DG suele estar más visible y accesible. Sin los canales de comunicación formales presentes típicamente en grandes empresas, entidades más pequeñas encuentran que los contactos día a día con el personal, clientes y proveedores, acompañados de una política de puertas abiertas, proveen una comunicación efectiva, tanto interna como externa. También las actividades de monitoreo continuo, en pequeñas y medianas entidades, probablemente sean más informales e involucren directamente al GG/DG. Su monitoreo de los controles es típicamente un subproducto de su monitoreo de los negocios a través de su participación personal en la mayoría de las fases de las operaciones importantes, que puede poner en evidencia variaciones significativas con respecto a las expectativas o inexactitudes en la información contable, por ejemplo. El conocimiento de primera mano de quejas de clientes o proveedores, el contacto directo con organismos de regulación y control y cuestiones similares pueden alertarlo sobre problemas vinculados con objetivos operativos o de cumplimiento que pueden mostrar un debilitamiento en los controles y la necesidad de reforzarlos. La necesidad de evaluaciones separadas de sus sistemas de control interno puede ser compensada con actividades de monitoreo continuo como las descriptas, pero hasta las pequeñas entidades pueden asignar al personal contable ciertas tareas que sirvan para evaluar puntualmente determinados controles. Debido a su estructura organizativa más reducida, las deficiencias emergentes de los procedimientos de monitoreo pueden ser comunicadas fácilmente a la persona indicada. En una entidad pequeña, el personal suele tener claro qué tipo de problemas deben informarse a los niveles superiores. Aplicación al ámbito público o gubernamental y a otras entidades sin fines de lucro Las entidades públicas se caracterizan por tener una compleja estructura organizacional y suelen estar sometidas –al menos en lo formal- a estricto control estatal; en esencia, suelen operar en forma similar a las empresas de gran porte y presentan problemas de naturaleza 36 análoga. Tienen “accionistas” (los contribuyentes), están conducidas por directorios u órganos de naturaleza equivalente y son administradas por gerentes de carrera o figuras de carácter similar. Suelen tener una misión, establecida con mayor o menor claridad en sus cartas orgánicas y para cumplirla deben llevar a cabo una serie de actividades que deberían estar alineadas con ella. Esto evidencia, también claramente, la aplicabilidad de los principios de control interno a ellas. El funcionamiento de algunas organizaciones sin fines de lucro, sindicatos, cooperativas, mutualistas y otras entidades lejanas al mercado de valores está expuesto también a que la orientación de la conducción de sus ejecutivos y los reales intereses de quienes serían el equivalente a sus “accionistas” no estén en sintonía, por lo que también en este caso serían aplicables los principios de un buen sistema de control interno. V - La vinculación del control interno con otras disciplinas relacionadas De lo expuesto en el apartado III – 1 debería haber quedado claro el vínculo existente entre el control interno y la administración, así como que el control interno es parte integrante e indivisible de ésta. Pero existen otras disciplinas, también relacionadas con la administración, con las que el control interno presenta importantes vínculos. Entre las más relevantes –y que por lo tanto, se mencionarán en este apartado- se encuentran la que se conoce como gestión de riesgos del negocio, la que se denomina control de gestión y la que es referenciada como gobierno corporativo. V - 1 - Control interno y gobierno corporativo Concepto de gobierno corporativo La expresión, traducción dada a “Corporate Governance”, no transmite claramente en español la carga conceptual y cultural de la original en inglés. Tan es así que al mismo concepto se hace referencia también como “Gobierno de las Sociedades”, “Gobernabilidad” o “Gobernanza”, aunque todas presentan análogas limitaciones. En adelante se utilizará 37 “Gobierno Corporativo” en razón de que es la expresión más difundida, sin que implique que es la que se considere más apropiada. El concepto es muy amplio y cubre una gran variedad de tópicos; se podría definir como el sistema y los procesos a través de los cuales las entidades son dirigidas y controladas, acotándolo haciendo referencia a que su foco de atención está en las relaciones de una entidad con todos aquellos que tengan algún interés en ella o puedan verse afectados por su actividad y a que su objetivo es asegurar que su conducción esté orientada a contemplar apropiadamente esos intereses. En ese marco, la estructura de gobierno corporativo especifica la distribución de derechos y obligaciones entre diferentes actores relacionados con una entidad tales como accionistas, consejo de administración (o directorio o junta directiva), alta gerencia, clientes, proveedores, organismos reguladores, grupos de interés social (sindicatos, por ejemplo) y hasta la comunidad toda en ciertas circunstancias, a la vez que establece las reglas y los procesos para la toma de decisiones en los asuntos corporativos relacionados. Las llamadas “buenas prácticas de gobierno corporativo” apuntan a que esa estructura asegure que la acción de la alta gerencia y el directorio se oriente a mejorar el desempeño de la entidad en lo que se refiere al valor que, como consecuencia de ese desempeño, reciben los restantes agentes mencionados (stakeholders). En lo que refiere a buenas prácticas de gobierno corporativo pueden distinguirse dos ámbitos o dimensiones: el ámbito de una entidad en particular y el ámbito del mercado en el cual opera. En el ámbito de una entidad en particular, la estructura de gobierno corporativo diseñada es la forma elegida para dirigir las actividades de la organización con el objetivo de agregar valor a todos sus stakeholders. En el ámbito del mercado, se entiende por régimen de gobierno corporativo al conjunto de medidas adoptadas en él para establecer reglas, principios y mecanismos que conduzcan a que las organizaciones operen con una administración eficiente, en un marco institucional 38 apropiado y con formas justas de representación y de control, de legitimación de poder, de aseguramiento de conductas éticas en los negocios y de compromiso y responsabilidad (“accountability”) Esa “accountability” para con los stakeholders es la que las buenas prácticas de gobierno corporativo exigen a la alta gerencia en su carácter de administradora o tomadora de decisiones y al directorio en su carácter de vigilante de la acción de la alta gerencia. El término no tiene uno equivalente en español. Significa que alguien tendrá que asumir la responsabilidad y responder por las consecuencias si un proyecto falla, si el balance de una empresa no conforma o si el servicio que presta un organismo público no satisface a la ciudadanía. Un término utilizado desde hace años para transmitir este concepto en español es “respondabilidad”, concatenando las ideas asociadas a “ser responsable” y “responder por esa responsabilidad”. Vínculos entre control interno y gobierno corporativo Prácticamente todos los desarrollos importantes sobre gobierno corporativo abordan, con mayor o menor énfasis en cada caso, los temas que se listan a continuación: a) Protección de los derechos de los accionistas; b) Consideración de los intereses de otros stakeholders; c) Responsabilidades del directorio y de la cúpula gerencial; d) Integración y funcionamiento de los directorios, incluyendo la mención a la necesidad de directores no ejecutivos e independientes, a la conformación de comités en el seno del directorio y a las funciones y responsabilidades de cada comité; e) Designación y remuneración de los directores y de la cúpula gerencial; préstamos y otras transacciones con ellos; f) Grupos económicos y transacciones con partes relacionadas; g) Relaciones de agencia y potenciales conflictos de interés; h) Códigos de ética; i)Accountability; j) Transparencia; k) Normas contables y otras normas sobre información a proporcionar a terceros, incluyendo referencias a su contenido y su forma; l) Auditoría independiente; m) Control Interno; n) Auditoría interna; o) Ámbito de aplicación de los principios y reglas que establecen. Los más avanzados –también denominados “de la segunda generación”- incluyen asimismo menciones explícitas a: p) Consideración de cuestiones medioambientales; q) Consideración 39 de asuntos de interés de la comunidad y de organizaciones sociales, particularmente de los sindicatos; r) Responsabilidad social corporativa; t) Capital humano; u) Revelación de un análisis de riesgos y de cómo están siendo gestionados en la información a proporcionar a los accionistas. Se aprecia que los precedentemente enumerados –que no conforman una lista taxativa pero sí suficientemente comprehensiva- integran una gama de temas muy numerosa y de naturaleza diversa. No interesa aquí abordarlos con detalle, sino destacar que de su mera enumeración surge claramente que si bien lo conceptualizado por gobierno corporativo va más allá del concepto de control interno –y fundamentalmente del utilizado tradicionalmente- tiene fuertes vínculos con él en su visión moderna, puesto que la mayoría de ellos fueron objeto de análisis –o cuando menos de mención- en el apartado IV. A la vez, los principales códigos, modelos y normas sobre gobierno corporativo enfatizan fuertemente en la importancia de un buen sistema de control interno como uno de los pilares que sustentan el estilo y determinan la calidad del gobierno corporativo de una entidad. Recuérdese que COSO asigna particular relevancia de la existencia de un adecuado tono ético hacia adentro de una organización para que ésta pueda tener un buen control interno. Subraya la importancia del entorno de control, de los códigos de conducta, de la existencia de directorios integrados por directores independientes y de comités de auditoría involucrados y competentes en su rol de vigilancia de la alta gerencia, así como la relevancia de que a esos fines las entidades cuenten con una auditoría interna activa y objetiva. Destaca como relevante la emisión de informes sobre la eficacia del control interno acompañando la información típicamente proporcionada a los accionistas y terceros en general (estados contables, memoria, etc.). Se advierte entonces la existencia de una amplia zona en común entre los conceptos de gobierno corporativo y control interno. La relación fundamental entre ellos radica en que para que directorio y gerencia puedan efectivamente proveer a los stakeholders lo que las buenas prácticas de gobierno corporativo exigen, se requiere, como condición necesaria aunque no suficiente, que existan, dentro de la entidad, adecuados mecanismos de control sustentados por un fuerte marco de valores éticos. 40 Mientras que los desarrollos en materia de control interno se focalizan desde el nivel del directorio hacia abajo dentro de la escala jerárquica, en los desarrollos sobre gobierno corporativo se pone énfasis desde el nivel de la alta gerencia hacia los estamentos superiores de la organización y hacia los terceros con que ésta se vincula. V - 2 - Administración de riesgos Concepto de administración de riesgos El tema riesgo y la relación riesgo – retorno han estado presentes desde hace bastante tiempo en la literatura técnica relacionada con la administración y las finanzas. Sofisticados modelos sustentados en técnicas estadísticas se han venido desarrollando para maximizar esa relación de acuerdo con la propensión al riesgo de quien lo asume, también desde hace bastante tiempo. El tema era visto como de alta especialización e involucraba a un escaso número de miembros de la organización en las relativamente pocas entidades en las que era objeto de tratamiento específico. La rama de actividad en que el manejo del riesgo fue adquiriendo históricamente mayor desarrollo fue la banca, lo cual resulta lógico en virtud de las características del giro, que hacen imprescindible que los riesgos de variada naturaleza inherentes a él sean adecuadamente administrados. Se trata además de un giro que, en virtud del impacto que sobre la economía de un país –y aún la internacional- genera la quiebra de un banco, está fuertemente regulado y en el que el marco normativo se ha venido centrando precisamente en exigencias cada vez mayores para las empresas que lo explotan en cuanto a la forma en que gestionan sus riesgos. En otras ramas de actividad el tema no solía ser objeto de tratamiento específico. Es recién en los últimos años que en todos los ámbitos vinculados con los negocios y el ambiente empresarial, ha aumentado notoriamente la preocupación por el tema “riesgos” y, 41 consecuentemente, por una consideración adecuada de los denominados “riesgos del negocio”. Entre los factores que han incidido en ello se encuentran la denominada globalización, que como consecuencia del avance tecnológico en materia de comunicaciones y del proceso de desregulación de los mercados, ha creado un mundo “más pequeño” en el que las fronteras políticas ya no son el determinante del ámbito de influencia de las grandes corporaciones y el cambio –factor de riesgo identificable intuitivamente- que ha aumentado su velocidad y acentuado su impacto. Ello ha derivado en un proceso en el que constantemente surgen y se actualizan estudios e investigaciones, marcos conceptuales, modelos y estándares de buenas prácticas y normas y regulaciones relacionados con el riesgo o que recogen la importancia que el tema “riesgos” ha adquirido y, a la vez, buscan reconocimiento, aceptación y aplicación a nivel internacional. Se parte de la premisa de que si bien es imposible reducir los riesgos del negocio a cero, puesto que la única forma sería abandonar el negocio, ello no implica asumirlos a ciegas; el grado de riesgo que se acepta debe ser el resultado de una decisión consciente y no de una resignación a correrlo. La administración de riesgos puede verse como un proceso mediante el cual la dirección de una entidad identifica, evalúa, categoriza y procura mantener bajo control los riesgos a que la exponen sus actividades, que puede ser conceptualizado como la estrategia desarrollada para buscar mayor seguridad respecto del logro de los objetivos organizacionales; trata de integrar la gestión de riesgos con la estrategia del negocio, procurando una gestión global del riesgo alineada con esa estrategia. Ya el informe COSO planteaba la necesidad de una administración integral del riesgo. Incluía la identificación y evaluación de riesgos como componente del control interno y explicaba su relación directa con el logro de los objetivos del negocio. El riesgo era conceptualizado allí precisamente como todo hecho o circunstancia de ocurrencia aleatoria con posibilidad de impactar en el logro de los objetivos de la entidad en todos los ámbitos, ya no sólo en lo vinculado con las finanzas. No obstante lo anterior, en virtud de que el establecimiento y la toma de decisiones para el manejo del riesgo no fueron considerados allí como parte del 42 control interno, la administración del riesgo como se la concibe actualmente fue tratada en forma parcial. Consciente de la relevancia del tema, el mismo organismo que emitió el informe COSO sobre control interno en 1992, inició en 2001 un estudio de alcance amplio con el objetivo de elaborar un marco conceptual sobre gerenciamiento de riesgos (en adelante, COSO – ERM) 18 que fue publicado en setiembre de 2004. Durante los doce años transcurridos entre las emisiones de ambos documentos se produjeron incontables artículos, análisis e investigaciones sobre múltiples aspectos vinculados con el tema riesgos y su administración con enfoques diversos, muchos de los cuales COSO – ERM adoptó. COSO – ERM define al gerenciamiento del riesgo como un proceso efectuado por el Directorio, la Gerencia y el resto del personal, aplicado en la formulación de la estrategia y a través de toda la organización, diseñado para identificar eventos potenciales que puedan afectar a la entidad, manejar los riesgos dentro de su propensión al riesgo y proveer razonable seguridad sobre el logro de los objetivos de la entidad, a los que agrupa en cuatro categorías: estratégicos, operacionales vinculados con la confiabilidad de la información y vinculados con el cumplimiento. Plantea que el ERM incluye ocho componentes interrelacionados, integrados al proceso gerencial: a) Ambiente interno; b) Definición de objetivos; c) Identificación de eventos; d) Evaluación de riesgos; e) Respuestas al riesgo f) Actividades de control; g) Información y comunicación; h) Monitoreo. Vínculos entes control interno y gestión de riesgos De la mera lectura de las respectivas definiciones propuestas por COSO y del enunciado de los componentes de ambos procesos que plantea, se advierte, sin mayor análisis, una claro paralelismo entre ambos conceptos, explicable básicamente por el esfuerzo realizado por COSO para compatibilizarlos en forma sistemática. El vínculo entre ellos es explicado por el propio COSO – ERM, que establece que el control interno es una parte integrante del proceso de gestión de riesgos y señala las áreas en que el ERM va más allá que el control interno. 18 Committee of Sponsoring Organizations of de Treadway Comisión – Enterprise Risk Management 43 El documento sobre control interno identifica tres categorías de objetivos, mientras que el documento sobre ERM identifica cuatro, incorporando los objetivos de carácter estratégico. En COSO – ERM la categoría vinculada con la confiabilidad de la información tiene un alcance mayor. En el documento sobre control interno se vincula con la información contable publicable; mientras que en el ERM cubre toda la información elaborada por la entidad, ya sea para ser divulgada externamente como para ser usada en forma interna, y no se refiere sólo a información contable, sino a todo tipo de información. La especificación de una nueva categoría, es, en rigor, en cierto modo artificial, puesto que los objetivos estratégicos van a estar probablemente relacionados con aspectos relativos a la eficacia y eficiencia de las operaciones y, eventualmente, bajo ciertas circunstancias, con aspectos relativos a cumplimiento –si en la hipótesis de incumplimiento con determinadas normas, la entidad no pudiera operar, por ejemplo- o aún con la confiabilidad de la información, fundamentalmente con el alcance extendido que ERM le da a esta categoría. Es a nivel de los componentes que la mayor amplitud del concepto de ERM se aprecia con más claridad. En efecto: • El ERM incluye el establecimiento de objetivos como un componente. El control interno tiene al establecimiento de objetivos como un prerrequisito para que pueda operar el componente identificación y evaluación de riesgos pero no como componente en sí mismo. • En el ERM el componente identificación y evaluación de riesgos del control interno se abre en dos: la identificación de eventos y la evaluación de riesgos. La principal razón de esta apertura explícita (en el marco sobre control interno estaba implícita) es que ERM distingue los eventos que pueden afectar negativamente el logro de los objetivos –a los que califica como riesgos- de los que pueden hacerlo positivamente -a los que denomina oportunidades- y deriva a estos últimos, una vez identificados, al proceso de establecimiento de objetivos, excluyéndolos de las etapas ulteriores del proceso de gestión de riesgos. 44 • ERM incorpora el componente “respuestas al riesgo”. En el documento sobre control interno, las respuestas eran citadas como parte del proceso de dirección pero no como componente del control interno, por lo que no eran desarrolladas, mientras que para el ERM se trata de un componente clave. Con relación al resto de los componentes las diferencias son muy menores. El componente “ambiente de control” es denominado en ERM ambiente interno (diferencia meramente terminológica) e incluye un factor adicional a los siete que conformaban el ambiente de control: el apetito de riesgo, definido como el grado de riesgo que está dispuesta a aceptar la entidad en el camino al logro de sus objetivos. Los componentes “Información y Comunicación” y “Monitoreo” tienen un desarrollo prácticamente idéntico en ambos documentos. V - 3 - Control interno y control de gestión Concepto de control de gestión A diferencia de lo que ocurre con lo relativo a control interno, gestión de riesgos y gobierno corporativo, en materia de control de gestión no existe un documento elaborado con el objetivo de constituirse en un marco de referencia en cuanto a mejores prácticas en la especie. Sí existen importantes aportes de autores que brindan enfoques alternativos, tanto encarando el tema desde una óptica global como desde aspectos específicos vinculados con el mismo y con el diseño y empleo de técnicas y herramientas para llevarlo a cabo con éxito. Una posible explicación de la falta de un marco de referencia o estándar de buenas prácticas generalmente aceptado la constituye el hecho de que el control de gestión en abstracto y los diversos mecanismos e instrumentos que pueden utilizarse para llevarlo a cabo están orientados a apoyar a la gerencia en el logro de los objetivos organizacionales pero no al control de la acción de la gerencia en salvaguarda de los intereses de otros stakeholders. Si bien la literatura técnica en la materia es rica en referencias a la consideración del interés de otros agentes con que la entidad interactúa, el punto es considerado allí predominantemente como 45 dato útil para la toma de decisiones acertadas en el establecimiento de objetivos y en las acciones a llevar a cabo en pos de los mismos antes que como un deber o una responsabilidad. Con carácter general, los distintos autores que se han ocupado del control de gestión plantean que: • Para la formulación de los objetivos empresariales deben considerarse una serie de restricciones que los hacen más amplios y heterogéneos que los intuitivos relacionados con la supervivencia de la entidad, con su crecimiento y con su rentabilidad. El personal tiene objetivos particulares relacionados con su remuneración y su estabilidad laboral; los clientes tienen expectativas en cuanto a calidad, servicio y costo; la comunidad espera que la actividad de la empresa siga determinadas reglas y tenga en cuenta el interés social; otros agentes (el estado, los proveedores, los accionistas, etc.) también tienen intereses particulares relacionados con ella. • Para cubrir adecuadamente este conjunto de intereses, toda empresa establece, más o menos explícitamente y con mayor o menor grado de formalidad, políticas y valores que las enmarcan, a la vez que se organiza en base a una serie de actividades (investigación y desarrollo, marketing, compras, producción, etc.). • La ejecución de esas actividades resulta influenciada tanto por factores internos como por factores externos. Implica obtener y emplear en procesos internos una serie de recursos que provienen del entorno (materias primas, personas, tecnología, información, etc.), al que también se retroalimenta con resultados de esos procesos. • Por consiguiente, es necesario que existan mecanismos de control que faciliten que las actividades internas sean coherentes con los fines de la empresa y las exigencias del entorno. Si bien las grandes corporaciones han venido empleando herramientas de control de gestión desde bastante antes, es desde el último cuarto del siglo XX que se viene percibiendo cada vez más la necesidad de disponer de sistemas más formalizados de gestión que faciliten la dirección y coordinación de las diferentes unidades y de las actividades que se realizan en la empresa. 46 Esa necesidad ha crecido notoriamente por el efecto de varios aspectos entre los cuales hay que dastacar la mayor complejidad organizativa de las empresas modernas (mayor dimensión, mayor diversificación de actividades, mayor internacionalización de sus operaciones y –como consecuencia de lo anterior- mayor descentralización de las decisiones), la creciente profesionalización de su personal, la influencia y difusión de los modelos de gestión de las grandes corporaciones –en particular las multinacionales- y, especialmente, la percepción de que el entorno en que actúan las empresas se ha tornado progresivamente más dinámico y hostil que en el pasado. Estrechamente vinculado con el planeamiento estratégico –que se ocupa predominantemente del largo plazo- del que se deriva, el control de gestión se centra en el mediano y – fundamentalmente- en el corto plazo. Amat 19 lo conceptualiza como el conjunto de mecanismos formales e informales que puede utilizar la dirección para aumentar la probabilidad de que el comportamiento de las personas que forman parte de la entidad sea coherente con los objetivos de la dirección. El citado autor distingue dos perspectivas desde las que se concibe al control de gestión, a las que califica de perspectiva limitada y perspectiva amplia o dinámica. Desde la perspectiva limitada, el control de gestión implicaría el análisis a posteriori de la eficacia de la gestión de los diferentes responsables en relación a lo que deberían haber conseguido, mientras que desde la perspectiva amplia o dinámica, incluiría además un conjunto de procedimientos diseñados para orientar la elección de los que deben tomar decisiones y guiar su comportamiento, a la vez que consideraría también objetivos y recursos al evaluar los resultados de las decisiones adoptadas. Dentro de ese conjunto de procedimientos a que alude Amat –entre los que distingue los más formales como el sistema de información, y los menos formales, como la cultura organizativa, por citar dos ejemplos- se destaca entre los formales el presupuesto por centros de responsabilidad, instrumento que si es bien empleado –dando participación a los distintos centros en su elaboración, previendo metas estimulantes para su logro pero realistas en cuanto a la posibilidad de alcanzarlas y cuestiones similares- puede operar como un 19 Joan Amat. El control de gestión: una pespectiva de dirección (1992) 47 mecanismo muy eficaz para alinear los objetivos personales y departamentales con los organizacionales. 20 Otros autores, sin descuidar ese alineamiento de objetivos, ponen el énfasis en cómo lograr el enlace necesario entre el corto y el largo plazo. Una herramienta muy utilizada con ese fin es la propuesta por Kaplan y Norton 21 conocida como Cuadro de Mando Integral, basada en el uso de indicadores múltiples, tanto de carácter financiero como no financiero, que buscan vincular las expectativas de los propietarios con las capacidades que la empresa debe desarrollar y mantener para satisfacerlas mediante relaciones de causa –efecto que transitan hacia abajo y hacia arriba a través de cuatro perspectivas de análisis: • La perspectiva del accionista, considerada en indicadores predominantemente financieros como la rentabilidad por acción o el valor de la acción pero también en indicadores no financieros como la cuota de mercado alcanzada. • La perspectiva del cliente, que debe ser tenida en cuenta como condición necesaria para alcanzar las metas en la anterior, considerada tanto por medio de indicadores financieros (como tasa de incremento de las ventas, por ejemplo) como por indicadores no financieros tales como la imagen de la entidad frente al cliente o la satisfacción del cliente. • La perspectiva de los procesos internos, ya basada predominantemente en indicadores no financieros que representan lo que la empresa debe hacer bien para, por ejemplo, lograr la imagen o la satisfacción planteadas como metas en la perspectiva anterior (tiempos de respuesta frente a pedidos, calidad de la producción y otros indicadores de naturaleza similar) • La perspectiva de aprendizaje y crecimiento, que incluye indicadores que miden las capacidades que la empresa debe adquirir, desarrollar y mantener para que sus procesos logren los atributos definidos como meta en la perspectiva anterior y están referidos a aspectos de infraestructura, sistemas de información, capacidades de los recursos humanos y otros de naturaleza similar para cuya medición -sin perjuicio del empleo de algunos 20 21 Joan Amat. Control presupuestario (1994) Robert Kaplan y David Norton – The balanced socorecard (1996) 48 indicadores conocidos como puede ser la tasa de rotación del personal- seguramente cada empresa deba diseñar los indicadores idóneos para sus circunstancias particulares. Si bien existe otra multiplicidad de enfoques sobre cómo encarar el control de gestión –el uso del benchmarking podría ser un ejemplo- excede al objetivo de este apartado –explicar en qué consiste el denominado control de gestión- desarrollarlas todas. Vínculos entre control interno y control de gestión Tanto en la precedente conceptualización de control de gestión como en la definición de control interno de COSO figura explícitamente que ambos buscan dar mayor seguridad de que las organizaciones alcancen sus objetivos. Tienen entonces la misma finalidad, lo cual sugiere ya que existen vínculos entre ambas disciplinas. Presentan sí diferencias en los aspectos en que cada una focaliza su atención. Mientras el control de gestión se ocupa del desarrollo de métodos, técnicas e instrumentos para apoyar a la gerencia en pos de lograr los objetivos, el control interno lo hace de los aspectos necesarios para que, en última instancia, tales métodos, técnicas e instrumentos puedan operar en forma eficaz y respetando los intereses de los stakeholders. En el capítulo que analiza el componente actividades de control, COSO hace referencia a una posible clasificación de las mismas. Lo hace sólo a efectos ilustrativos y no para sugerir una categorización particular, pero resulta útil para analizar el vínculo que nos ocupa. Allí distingue: • Revisiones a nivel superior. • Dirección directa funcional o por actividad. • Procesamiento de información. • Controles físicos. • Indicadores de desempeño. • Segregación de funciones. 49 Analizando la descripción que da de tres de ellas se advierte que incluyen el uso de métodos, técnicas y herramientas de control de gestión de la naturaleza de las que aquí se han citado. Cuando desarrolla las “Revisiones a nivel superior” habla de revisiones del desempeño actual versus presupuestos, previsiones, períodos anteriores y competidores. También hace referencia al seguimiento de las iniciativas principales -tales como mejoramiento de los procesos productivos y programas de contención o de reducción de costos- para medir el grado en que las metas están siendo alcanzadas, al monitoreo de la implantación de planes para el desarrollo de nuevos productos y cuestiones afines, destacando que las acciones gerenciales tomadas para analizar esos informes y actuar en consecuencia representan actividades de control. Cuando se refiere a “Dirección directa funcional o por actividad” habla de las revisiones de los informes de desempeño que efectúan los gerentes responsables de determinadas actividades o funciones buscando identificar tendencias y relacionar los resultados con las metas establecidas para su centro de responsabilidad. Si estos gerentes supervisan otros centros de responsabilidad de menor rango, este tipo de actividades de control también incluye el análisis de la información de gestión vinculada con dada uno de ellos. Finalmente, cuando trata los “Indicadores de desempeño” habla de la comparación de diferentes conjuntos de datos -operativos o contables- entre sí, de los análisis de las relaciones y de las acciones correctivas o de investigación de causas de valores no satisfactorios o desvíos, destacando expresamente que sirven como actividades de control, puesto que investigando resultados inesperados o tendencias inusuales, la gerencia identifica circunstancias en las que los objetivos subyacentes en la actividad desarrollada para lograrlos están en peligro de no ser alcanzados. Como ejemplos de indicadores de desempeño incluye variaciones en los precios de compra, porcentaje de órdenes de compra urgentes y el porcentaje de devoluciones con respecto al total de órdenes. Se aprecia entonces que el empleo de presupuestos, el uso de indicadores –agrupados o no en un cuadro de mando integral- y aún determinados aspectos del benchmarking –técnicas y herramientas típicas del control de gestión- son considerados integrando el componente actividades de control, lo que permite fundamentar que el control de gestión es parte del control interno. V - 4 – Vinculando todas las disciplinas relacionadas en la generación de valor agregado 50 Consideramos que lo expuesto en los apartados V - 1 a V - 3 permite sostener, fundadamente, que: • La existencia de un adecuado sistema de control de gestión, independientemente de los métodos, técnicas y herramientas alrededor de las cuales se instrumente, es condición necesaria pero no suficiente para que una entidad pueda afirmar que tiene un buen sistema de control interno. En su ausencia, el sistema de control interno carecería, en el componente “actividades de control”, de un conjunto de ellas que resultan fundamentales para la eficacia del sistema en lo que al logro de objetivos operacionales se refiere. Recuérdese que el concepto de control interno eficaz implica que, en lo que respecta a esa categoría de objetivos, la gerencia tenga razonable seguridad del grado en que los mismos están siendo alcanzados, que es lo que precisamente viabilizan las técnicas de control de gestión. No obstante, el alcance del control interno es más amplio, puesto que incluye apoyar el logro de otras categorías de objetivos (confiabilidad de la información contable para terceros y cumplimiento de normas y regulaciones) que no son objeto de tratamiento específico en la literatura sobre control de gestión. • La existencia de un adecuado sistema de control interno es condición necesaria pero no suficiente para que una entidad pueda afirmar que gestiona eficientemente sus riesgos. COSO – ERM establece explícitamente que el control interno es parte del ERM. Pero quedan fuera del concepto de control interno dos componentes clave del ERM: el establecimiento de objetivos y -fundamentalmente- el diseño de respuestas apropiadas a los riesgos que enfrenta la entidad. • La existencia de un adecuado proceso de gestión de riesgos es condición necesaria pero no suficiente para que una entidad pueda afirmar que tiene un buen gobierno corporativo, ya que éste, además de garantizar un manejo apropiado y responsable de los riesgos del negocio, requiere de otros mecanismos –adecuada protección estatutaria de los derechos de los accionistas, por ejemplo- que quedan fuera del ámbito del ERM. Expresado en otros términos, el sistema de gobierno corporativo de una entidad –que sería el concepto más amplio- requiere estar apoyado por una adecuada administración de los riesgos del negocio que incluya un sistema de control interno fuerte, todo lo cual, además, necesita de 51 mecanismos de control de gestión que proporcionen herramientas concretas que apoyen a la gerencia para que, además de actuar en forma íntegra y honesta y considerando los intereses de todos sus stakeholders, obtenga buenos resultados. Entendemos que la explicitación de estos vínculos –que podría ser vista como un mero ejercicio intelectual- además de útil para el análisis de la situación actual y perspectivas que se efectuará en el apartado siguiente, resulta relevante para fundamentar la estrecha relación de los conceptos vistos con la generación y mantenimiento de valor agregado expuesta en el título del trabajo. Se ha señalado que se ha impuesto el concepto de que todas las organizaciones -con o sin fines de lucro, privadas o públicas- existen para generar valor para sus stakeholders. COSO – ERM y varios marcos de gobierno corporativo lo reconocen explícitamente. Las decisiones que toman quienes conducen una entidad pueden crear, mantener o deteriorar el valor que la misma proporciona a sus grupos de interés. El valor se crea, por ejemplo, empleando en forma eficiente los recursos, de forma que los beneficios que se obtengan superen a los recursos utilizados. En una entidad con fines de lucro esto es más evidente y suele ser más sencillo de medir, pero el concepto es aplicable también en los demás ámbitos en los que otro tipo de organizaciones operan. En el ámbito público, si el valor más intangible representado por una mejora en la atención sanitaria de la población supera la carga impositiva que soportan los contribuyentes –sean o no los que reciben directamente los beneficios de esa mejor atenciónpara sustentarla, habrá creación de valor; si esa mejora no existe o es tenue y no encuentra correlato con el incremento en los impuestos destinados a financiarla, habrá deterioro de valor. Un razonamiento análogo cabe, por ejemplo, también en lo referido a educación. En la esfera privada, pero en el ámbito de las entidades sin fines de lucro, similares ejemplos resultan de aplicación: el aumento en la cuota de una mutualista o de un colegio privado creará valor si se traduce en mejoras en el servicio que las respectivas entidades prestan que superen dichos incrementos, o lo deteriorará en caso contrario. El valor se mantiene cuando una vez creado, perdura porque se han sentado las bases para ello. Una entidad con un régimen de gobierno corporativo apropiado, que gestione adecuadamente los riesgos a que la exponen sus actividades con el respaldo de un sistema de control interno 52 sólido –lo que, como se explicó, lleva implícito el empleo de herramientas de control de gestión idóneas a las características de la organización de que se trate- agrega valor a sus stakeholders de las siguientes formas. • Asegurando un tratamiento equitativo a sus accionistas –o concepto equivalente, incluyendo, por ejemplo los contribuyentes en el ámbito público o los afiliados en el caso de una mutualista- que les asegure que sus derechos serán tenidos en cuenta y respetados. • Proporcionando información oportuna, precisa y confiable en forma transparente respecto a cómo la entidad es conducida, cómo se está desempeñando y cuál es su situación en el momento en que la información se emite. • Aportando seguridad en cuanto a que los riesgos inherentes a la actividad que desarrolla son identificados con precisión, tratados responsablemente y enfrentados con respuestas adecuadas a su probabilidad de ocurrencia e impacto potencial. • Haciendo lo propio en cuanto a que las oportunidades de mejora son consideradas apropiadamente, dando de esta forma y en conjunción con lo anterior, mayor tranquilidad en cuanto a la supervivencia y crecimiento sostenido de la entidad. • Dando suficientes garantías de que todo lo anterior funciona adecuadamente y de que, aún las operaciones rutinarias puntuales, se llevan a cabo en forma adecuada (que todo despacho es facturado y contabilizado, que en toda compra se seleccionó una oferta conveniente, que todo sueldo fue bien liquidado, que la producción fue bien costeada e innumerables ejemplos más de cuestiones similares a que las actividades de control coadyuvan considerablemente), consistente y alineada con los objetivos de más alto rango de la organización. VI - Situación actual y perspectivas sobre los principales temas relacionados a nivel nacional e internacional. V – 1- El marco internacional La relativamente reciente ley Sarbanes Oxley (2002) de EEUU ha colocado al control interno y a su evaluación como tema de primer orden, desencadenando un proceso que ha llevado a que muchas empresas en las que el tema no inquietaba particularmente hayan debido 53 desarrollar y documentar rápidamente sus políticas y procedimientos en la materia. En efecto, la referida norma, que complementa disposiciones de la legislación que regula el mercado de valores norteamericano, estableció para las empresas que recurren a dicho mercado para obtener financiamiento, la obligatoriedad de incluir dentro de la información que publican (estados contables e información conexa) una declaración sobre la eficacia de su sistema de control interno. Su impacto ha sido mundial en virtud de que tal declaración debe estar referida a la empresa en general, independientemente de los países en que desarrolle sus actividades. COSO está afianzado como marco de referencia estándar en materia de control interno en los principales mercados, tales como el estadounidense y el británico, pero también en otra gran cantidad de países, que lo tienen incorporado en leyes y otras normas regulatorias en la especie. A nivel de la profesión contable ocurre lo propio, puesto que es, también, el concepto de control interno adoptado por IFAC en sus normas internacionales de auditoría 22. Otros modelos nacionales tienen reconocimiento como marcos adecuados pero no han sido adoptados por otros países. El citado COCO canadiense es un ejemplo. Cobit está instalado en varios países –incluyendo varios latinoamericanos- como el marco de referencia específico en materia de controles vinculados con tecnología de la información. COSO – ERM aún no tiene igual grado de general aceptación que su antecesor, pero ello resulta explicable teniendo en cuenta el poco tiempo transcurrido desde su publicación en 2004. Si bien en algunos países se han desarrollado marcos propios de gestión de riesgos, los mismos no han tenido un grado de difusión con carácter global que se le aproxime. En lo que refiere a marcos de gobierno corporativo, múltiples países han desarrollado códigos de buenas prácticas –en especial, pero no únicamente- aquéllos con mercados bursátiles desarrollados. Entre los marcos y códigos nacionales frecuentemente tomados como referentes en trabajos de distintos autores sobre el tema se encuentran el Código Combinado del Reino Unido (2003) –resultado de la evolución registrada en ese mercado a partir del 22 IFAC. NIA 315 54 Código de Buenas Prácticas de Cadbury (1992)- y los reportes King I y King II de Sudáfrica por algunas de sus características (al segundo se lo reconoce como el pionero en incorporar la responsabilidad social corporativa) y algunas de sus peculiaridades, producto del país de que se trata (establecen porcentajes mínimos obligatorios de participación de personas de raza negra y de mujeres en la conducción de las compañías). El informe Olivencia y su sucesor, el informe Aldama (españoles) también son frecuentemente citados en la literatura de habla hispana sobre el tema. El que se ha consolidado como marco de referencia para la evaluación de los regimenes de gobierno corporativo es el documento “Principios para el Gobierno de las Sociedades” (emitido en 1999 y actualizado en 2004 por la OCDE). Fue concebido con esa finalidad y en él específicamente se establece que no existe un único modelo de gobierno corporativo ideal, sino que cada país debería desarrollar su propio régimen de gobierno corporativo en función de sus características particulares, aunque alrededor de ciertos principios básicos. Las evaluaciones que realiza el Banco Mundial de los regímenes de gobierno corporativo de los distintos países toman estos principios como sensor. En lo que se refiere a perspectivas de futuro, donde se percibe un proceso más notorio de búsqueda de mejora paulatina y continua es en materia de gobierno corporativo. De los vistos, es el tema que ha venido generando más normativas nuevas y revisiones de normativas preexistentes. Lógicamente, y como consecuencia de los vínculos establecidos en el apartado anterior, es razonable esperar que aumenten concomitantemente las exigencias en materia de gestión de riesgos y control interno, pero no cambios conceptuales importantes en relación a los mismos. Como se dijo, COSO está afianzado y COSO – ERM se encamina a estarlo. Sí puede esperarse un probable cambio de enfoque, más orientado a la gestión de riesgos como concepto más amplio que al control interno como parte de él. Un primer indicio se puede apreciar en las Normas Internacionales de Auditoría de IFAC; en su última versión, con reciente fecha de entrada en vigencia, se unificaron la sección que tenía por título “Control 55 Interno” y la titulada “Planeación” en una única denominada “Evaluación del riesgo y respuesta a los riesgos evaluados”, dentro de la cual se encuentra la citada NIA 315. V - 2 - Situación y perspectivas en Uruguay En materia de control interno, también COSO se está afianzando como modelo a adoptar, aunque aún el tema está presente sólo en un reducido número de empresas y, más recientemente, en el ámbito público. En 1999, el BCU emitió la circular 1664 que incorporó a la Recopilación de Normas de Regulación y Control del Sistema Financiero una sección íntegra dedicada al sistema de control interno en las empresas de intermediación financiera. La conceptualización del control interno efectuada allí es la de COSO, por lo que dichas entidades han debido adoptarlo. A nivel del sector gubernamental, la Auditoría Interna de la Nación ha adoptado -desde 2007el modelo de COSO como referencia para las evaluaciones del control interno en los organismos sujetos a su contralor. En lo que respecta a otras empresas, múltiples trabajos monográficos orientados a evaluar la situación han mostrado que, aunque hay excepciones, no se advierte una preocupación especial por el tema; un caso particular está dado por las filiales de multinacionales, que por el efecto transnacional de la ley Sarbanes Oxley, han debido abocarse a mejorar sustancialmente su situación en la materia por requerimiento de sus casas matrices. En materia de controles específicos en el área de tecnología de la información, es Cobit el modelo que se perfila como estándar de referencia a adoptar; también en este caso, ha sido el BCU el que ha dispuesto su implantación por los bancos, por medio de la comunicación 2003/179 56 En lo que se vincula con la gestión de riesgos, puede decirse que prácticamente el tema aún no está instalado. Los trabajos monográficos orientados a diagnosticar la situación 23 no han identificado empresas que hayan implementado o estén en proceso de implantación de un ERM con las características de integralidad planteadas en COSO – ERM, documento cuya existencia poco se conoce. Sí existen empresas en las cuales el tema riesgos está presente, pero los riesgos predominantemente se analizan y eventualmente gestionan en forma aislada y no integral. En materia de control de gestión, en cambio, si bien no puede decirse que sea con carácter generalizado, el uso de herramientas tales como presupuestos está más extendido, y existen antecedentes de organizaciones que han incursionado en el uso del cuadro de mando integral. En lo que hace a gobierno corporativo, si bien existen disposiciones sobre varios de los aspectos que éste incluye (como la ley 16.060, por ejemplo), los mismos no están integrados en un código de buenas prácticas o documento similar de carácter integral. Una evaluación reciente de la situación en nuestro país en la materia efectuada por el Banco Mundial 24 señala las áreas en las que el Uruguay debería procurar avanzar: • El mejoramiento de la información empresarial, en particular lo referido a revelación de la propiedad de las empresas, a transacciones con partes relacionadas y con la presentación de la información contable • La promoción de directorios efectivos y activos • El fortalecimiento de instituciones tales como un ente regulador y un registro de empresas • La modernización del mercado de valores y las regulaciones relacionadas Ingresando en la consideración de las perspectivas de futuro, se percibe que, al igual que en el ámbito internacional, el motor de cambios en el mediano plazo será lo relativo a gobierno 23 Pueden consultarse los titulados “Gerenciamiento de riesgos: una nueva metodología” (Carla Cassina, Marcela Kalemberg y María José Osorio – Setiembre de 2005) y “ERM: administración del riesgo empresarial” (Alejandra Avellaneda, Andrea Mello y Virginia Rodríguez – Marzo de 2006). 24 Informe sobre el cumplimiento de normas y códigos – Evaluación de la gobernanza corporativa - Uruguay – Septiembre, 2005. (Disponible en la página web del Banco Mundial) 57 corporativo. Asociado con ello, son esperables mayores exigencias en materia de control interno y gestión de riesgos. Ello por dos motivos básicos: a) La globalización, que agudiza las exigencias de adopción de estándares internacionales en múltiples aspectos, entre los que se encuentran los que han sido tratados en este trabajo. b) Uruguay pretende potenciar el mercado de capitales; para ello requiere generar, entre otras condiciones, un marco de gobierno corporativo que inspire confianza a los inversores. El informe del Banco Mundial es claro en este aspecto. Cambios a más corto plazo pueden dispararse en el sector público a partir de la adopción de COSO por la Auditoría Interna de la Nación, pero aún es prematuro evaluar su efecto. En nuestro país aún no existen empresas u otras entidades a las que se les exija efectuar autoevaluaciones y declaraciones públicas sobre su sistema de control interno, pero tal requerimiento podría comenzar a estar presente en breve lapso, teniendo en cuenta lo antes apuntado sobre el impacto de la globalización. Ya en 1999 el BCU estableció que los bancos deben presentarle un informe exhaustivo sobre su sistema de control interno en lo que refiere a los objetivos vinculados con la confiabilidad de su información contable y el cumplimiento de las normas que les son aplicables, pero éste debe ser preparado por el auditor externo y no por la propia institución, en forma trienal y con informes de seguimiento anuales sobre las debilidades detectadas. Nota: lo establecido sobre marco normativo local responde a la situación a la fecha de elaboración del trabajo (junio de 2007). En abril de 2008, el BCU emitió la circular 1.987, por medio de la cual se sustituyen las disposiciones sobre “Control interno en las instituciones de intermediación financiera” por disposiciones más amplias sobre “Gobierno Corporativo” que incluyen, además, la obligatoriedad, para esas instituciones, de contar con un sistema de gestión integral de riesgos (Arts. 34 y siguientes de la Recopilación de Normas de Regulación y Control del Sistema Financiero). 58 59