En un mundo en constante evolución, la implementación de un sistema sólido y eficaz de control interno en las organizaciones (públicas y privadas) se ha vuelto esencial para garantizar el éxito y la sostenibilidad de una organización. Un control interno sólido y eficaz permite afrontar y mitigar los riesgos existentes a los que se debe dar una respuesta, ayuda a promover la transparencia y la rendición de cuentas y asegura la salvaguarda de los activos y de los intereses de todas las partes involucradas.
¿Qué nos puede reportar el tener implantado un adecuado sistema de control interno?
Un adecuado sistema de control interno permite a una organización tener un mayor control sobre los riesgos a los que se enfrenta. Esto implica identificar y evaluar los riesgos potenciales, establecer controles y medidas para mitigarlos, y monitorear continuamente su efectividad. El proceso de gestión de riesgos implica identificar posibles amenazas, evaluar su impacto y probabilidad de ocurrencia, y establecer controles y medidas preventivas para minimizar los riesgos.
En cuanto a la responsabilidad, no debemos olvidar nunca que la responsabilidad del control interno en una entidad pública recae en el órgano gestor de dicha entidad (1ª línea de defensa). Este órgano, que puede ser una consejería, una dirección general, un ministerio, pleno de un Ayuntamiento, director de un organismo u otra entidad similar, tiene la responsabilidad de establecer y mantener un sistema efectivo de control interno en toda la organización. El órgano gestor de la entidad pública debe asegurarse de que se implementen políticas y procedimientos adecuados para gestionar y mitigar los riesgos asociados a las actividades de la entidad, así como promover una cultura de control interno, fomentando la ética, la transparencia y la rendición de cuentas en todas las áreas de la organización.
El órgano gestor tiene también asignada la responsabilidad de supervisar la efectividad del control interno, realizar evaluaciones periódicas y asegurarse de que se tomen medidas correctivas cuando se identifiquen deficiencias, informando regularmente a las autoridades superiores competentes y a los órganos de control externo sobre el estado del control interno en la entidad pública.
Al gestionar los riesgos de manera proactiva:
- La organización puede evitar pérdidas financieras, daños a la reputación y otros impactos negativos, lo que contribuye a garantizar el éxito y una rendición positiva de la gestión llevada a cabo.
- Responder de manera adecuada y reducir los incumplimientos normativos (en un entorno empresarial cada vez más regulado, el cumplimiento de las leyes, regulaciones y normativas es crucial. La robustez del sistema permitirá a la organización cumplir con todas las obligaciones legales y regulatorias aplicables evitando así posibles sanciones, multas o posibles daños a la reputación de la organización (el cumplimiento normativo mejora la confianza y la percepción pública de la organización).
- Ayuda proteger los activos de una organización. Los activos pueden ser recursos financieros, equipos, inventarios, datos y cualquier otro elemento valioso para la organización. El control interno garantiza que estos activos se utilicen de manera eficiente y se protejan contra robos, pérdidas o mal uso. Al proteger los activos, una organización puede mantener su estabilidad financiera y operativa.
- Y, por último, contribuye a la eficiencia operativa de una organización. Al establecer políticas, procedimientos y controles claros, se optimizan los procesos internos y se minimizan los errores, retrabajos y desperdicios. Esto se traduce en una mayor productividad, menores costos operativos y una mejor asignación de recursos (eficiencia operativa).
Todos estos elementos se encuentran alineados con el proceso de toma de decisiones, y es que un sistema de control interno sólido proporciona información confiable y oportuna sobre las operaciones de la organización. Esto permite a los responsables contar con datos precisos y relevantes para evaluar el desempeño, identificar áreas de mejora y tomar decisiones fundamentadas. Una toma de decisiones informada y respaldada por un control interno adecuado contribuye al crecimiento y la sostenibilidad de la organización.
Podemos señalar ahora algunos pasos clave para implantar un sistema de control interno sólido y eficaz que se adapte a las necesidades y objetivos de nuestra organización pueden ser:
Evaluación de riesgos:
El primer paso para establecer un sistema de control interno sólido es realizar una evaluación exhaustiva de los riesgos a los que se enfrenta la organización. Esto implica identificar los riesgos internos y externos que podrían afectar el logro de los objetivos de la organización. Al comprender los riesgos específicos, es posible desarrollar controles adecuados para mitigarlos y garantizar la continuidad del negocio.
Se debe a cabo una evaluación exhaustiva de los riesgos a los que nos enfrentamos. Identifica y prioriza los riesgos clave que podrían afectar el logro de nuestros objetivos estratégicos y operativos. Esta evaluación de riesgos servirá como base para diseñar los controles internos necesarios.
Establecimiento de políticas y procedimientos:
Una vez identificados los riesgos, es importante establecer políticas y procedimientos claros que guíen las operaciones de la organización. Estas políticas deben estar alineadas con los objetivos estratégicos y los valores de la organización. Es fundamental que todos los miembros de la organización estén informados y entiendan las políticas y procedimientos establecidos, así como las consecuencias de su incumplimiento.
En este ámbito es de vital importancia establecer el tono desde la cima (TONE AT THE TOP). Los líderes (responsables) de la organización deben mostrar un compromiso claro con el control interno y establecer expectativas sólidas sobre la importancia de un ambiente de control eficiente. Es fundamental comunicar los valores éticos, establecer políticas y normas claras, y demostrar un comportamiento ejemplar en términos de cumplimiento y gestión de riesgos.
Para perseguir la máxima efectividad de las políticas y procedimientos debemos tener presente la importancia que tiene el llevar a cabo una adecuada segregación de funciones. La segregación adecuada de funciones es esencial para prevenir fraudes y errores. Esto implica asignar responsabilidades de manera que ninguna persona tenga control exclusivo sobre una transacción o proceso completo. Al separar las tareas de autorización, registro y custodia, se reduce el riesgo de manipulación indebida y se aumenta la integridad de los procesos internos.
Establecimiento de controles internos concretos/específicos:
Una parte fundamental de un sistema de control interno sólido es el establecimiento de controles internos efectivos. Estos pueden incluir controles preventivos, detectivos y correctivos. Los controles preventivos se diseñan para evitar errores y fraudes antes de que ocurran, como la implementación de aprobaciones y revisiones de procesos.
Los controles detectivos se centran en identificar errores y fraudes que ya han ocurrido, mediante la realización de controles regulares, el análisis y técnicas de minería de datos (para identificar patrones y anomalías en grandes conjuntos de datos y establecer reglas y modelos de detección para identificar transacciones sospechosas o comportamientos inusuales), revisión de las autorizaciones y aprobaciones de las operaciones/transacciones o el seguimiento de denuncias y quejas.
Los controles correctivos, por otro lado, se implementan para corregir cualquier problema identificado y evitar su repetición en el futuro, como, por ejemplo: tomar medidas disciplinarias y colaborar con las autoridades competentes; implementar mecanismos para asegurar la restitución de los fondos y garantizar que se devuelvan a las arcas públicas. Todo esto debe ayudar además a mejorar los controles y procesos implantados (y que han fallado) identificando las debilidades y deficiencias, y a revisar y actualizar las políticas y procedimientos existentes, incorporando medidas adicionales de control y supervisión para prevenir futuros incidentes
Basándonos en la evaluación de riesgos, debemos desarrollar y documentar los controles internos necesarios para mitigar los riesgos identificados. Estos controles pueden incluir políticas, procedimientos, procesos operativos estandarizados, segregación de funciones, autorizaciones etc. Para llevar esto a cabo, la organización debe asegurarse de que los controles estén claramente definidos, sean adecuados para mitigar los riesgos y estén alineados con nuestros objetivos organizacionales.
Para cerrar convenientemente el ciclo, es fundamental comunicar los controles internos a todos los niveles de la organización. Esto implica capacitar a los empleados sobre los controles relevantes, las políticas y los procedimientos, y promover una cultura de cumplimiento y responsabilidad compartida. En definitiva, la comunicación y la capacitación deben ser constantes y adaptarse a medida que cambien los riesgos y las circunstancias operativas.
Supervisión y proceso de mejora continua:
La implementación de un sistema de control interno no se trata solo de establecer políticas y procedimientos, sino también de monitorear continuamente su efectividad. Para ello, se deben llevar a cabo revisiones periódicas, controles/auditorías internas y evaluaciones de riesgos para garantizar que los controles internos estén funcionando como se esperaba (previsto/realizado). Además, es importante fomentar una cultura de cumplimiento y ética dentro de la organización, donde todos los miembros se sientan responsables de mantener los controles internos y reportar cualquier irregularidad.
El control interno es un proceso en constante evolución: deben realizarse evaluaciones periódicas del sistema para identificar áreas de mejora y oportunidades de fortalecimiento, al objeto de aprender de los errores y debilidades identificados para así realizar los ajustes y mejoras que fuesen necesarios.
ALGUNAS MEDIDAS/PROPUESTAS DE DESARROLLO Y AVANCE EN EL MODELO DE LAS TRES LÍNEAS DE DEFENSA
Como ya es sabido, el modelo de las «tres líneas de defensa» es un concepto ampliamente utilizado en la gestión de riesgos y control interno en las organizaciones. Sin embargo, debemos contextualizar siempre la implantación de actuaciones o medidas concretas en función de la entidad en la que queremos aplicarlas y desarrollarlas.
a. Fomentar una mayor integración y colaboración entre las tres líneas de defensa. Esto implica una comunicación y coordinación más estrecha entre las funciones de gestión de riesgos, cumplimiento y control (auditoria) interna. Al trabajar juntos de manera más efectiva, se pueden identificar y abordar los riesgos y controles de manera más eficiente y eficaz. La integración y colaboración entre las tres líneas de defensa (gestión de riesgos, cumplimiento y auditoría interna) puede mejorar significativamente la eficiencia y la eficacia de los esfuerzos de control interno en una organización. Algunas acciones específicas que pueden fomentar esta integración incluyen:
- Establecer reuniones regulares y estructuradas entre los responsables de cada línea de defensa para compartir información, discutir problemas y coordinar actividades.
- Desarrollar un enfoque común para identificar y evaluar riesgos en toda la organización, evitando duplicaciones innecesarias y garantizando una cobertura adecuada.
- Establecer canales de comunicación claros y abiertos para facilitar el intercambio de información y conocimientos entre las líneas de defensa.
- Coordinar esfuerzos para desarrollar y mantener un marco de control interno unificado, incluyendo la identificación y evaluación de controles clave y su seguimiento periódico.
b. Otra área de mejora podría ser enfocarse más en la cultura organizacional y su impacto en la gestión de riesgos y control interno. Esto implica comprender y abordar los aspectos culturales que influyen en el comportamiento de los empleados en relación con el riesgo y el cumplimiento. Se podrían implementar medidas para fortalecer una cultura de control interno sólida y fomentar la responsabilidad y la transparencia en toda la organización
La cultura organizacional, por tanto, desempeña un papel crucial en la efectividad de los controles internos y la gestión de riesgos. Para mejorar este aspecto, se pueden considerar las siguientes acciones:
- Evaluar la cultura organizacional actual mediante encuestas, entrevistas y evaluaciones para identificar las fortalezas y debilidades en relación con la gestión de riesgos y el control interno.
- Establecer normas y valores claros relacionados con la gestión de riesgos y el cumplimiento ético.
- Fomentar la responsabilidad individual y colectiva en relación con la gestión de riesgos y el cumplimiento mediante programas de capacitación, comunicaciones efectivas y ejemplos prácticos.
- Establecer un proceso de retroalimentación y reconocimiento para reforzar los comportamientos y acciones alineados con una cultura sólida de control interno.
- Integrar consideraciones éticas y de cumplimiento en los procesos de toma de decisiones y evaluación del desempeño.
c. Aprovechar el potencial que nos ofrece el uso de tecnología avanzada para fortalecer los procesos de gestión de riesgos y control interno. En este proceso de análisis se debe valorar la implementación de herramientas de análisis de datos, automatización de controles, monitoreo continuo de riesgos y detección de fraudes etc. La tecnología puede mejorar la eficiencia y la efectividad de las actividades de control y proporcionar una visión más precisa y en tiempo real de los riesgos y controles en la organización (eficiencia y efectividad en la gestión de riesgos y el control interno), por eso la importancia de este proceso (etapa).
Algunas acciones concretas que se pueden considerar incluyen:
- Implementar herramientas de análisis de datos y minería de datos para identificar patrones y tendencias significativas en grandes volúmenes de datos relacionados con riesgos y controles.
- Automatizar controles rutinarios mediante el uso de sistemas y aplicaciones que ejecuten y monitoreen los controles de manera continua y consistente.
- Utilizar inteligencia artificial y aprendizaje automático para mejorar la detección y prevención de fraudes y comportamientos inusuales.
- Implementar soluciones de gestión de riesgos y cumplimiento basadas en la nube para facilitar el acceso y el intercambio de información entre las líneas de defensa y mejorar la colaboración.
- Examinar la posibilidad de utilizar tecnologías emergentes como blockchain para mejorar la trazabilidad y la integridad de los registros en los diferentes ámbitos de gestión y de cumplimiento.
d. Trabajar en la mejora de la capacidad de la organización para adaptarse y responder de manera efectiva a los riesgos y eventos disruptivos, esto es, para anticiparse, prepararse, responder y adaptarse a los cambios y desafíos en el entorno (fortalecer la capacidad de recuperación, la planificación de la continuidad o la gestión de crisis o eventualidades).
Para mejorar este aspecto, se pueden considerar las siguientes acciones:
- Realizar evaluaciones de riesgos y pruebas (de estrés) periódicas para identificar los escenarios de riesgo y sus posibles impactos en la organización.
- Desarrollar y mantener planes de continuidad o resiliencia que aborden la recuperación rápida y efectiva después de eventos adversos; definir roles y responsabilidades claros, así como un proceso estructurado para tomar decisiones rápidas y efectivas en momentos adversos o de cambio.
La capacidad de adaptación y respuesta efectiva de la entidad pública a los riesgos y eventos disruptivos es fundamental. Esto implica anticiparse, prepararse, responder y adaptarse a los cambios y desafíos del entorno. La entidad pública debe contar con mecanismos ágiles y flexibles para hacer frente a situaciones inesperadas, implementar medidas preventivas y mitigar riesgos potenciales. En un entorno dinámico, es crucial ajustar políticas, procedimientos y recursos de manera oportuna y eficiente. Además, se debe mantener una vigilancia constante sobre los riesgos emergentes y establecer estrategias proactivas. Fortalecer la capacidad de adaptación y respuesta permitirá una gestión efectiva de los desafíos y riesgos en el ejercicio de las funciones de la entidad pública.
- Fomentar la capacidad de aprendizaje y adaptación mediante la revisión y mejora continua de los procesos de gestión de riesgos y control interno.
Objetivos: realizar evaluaciones periódicas de los procesos de gestión de riesgos y control interno; investigar las causas de los incidentes y eventos adversos para identificar áreas de mejora; fomentar la retroalimentación y recopilar opiniones de los miembros del equipo y otras partes interesadas; comparar las prácticas actuales con las mejores prácticas de otras entidades públicas o privadas (benckmarking); evaluar el uso de herramientas y tecnologías para mejorar la eficiencia y eficacia de los procesos; establecer planes de acción claros y medibles para abordar las áreas de mejora identificadas y mecanismos de seguimiento continuos para evaluar la efectividad de las mejoras implementadas.
- Establecer alianzas estratégicas con terceros (expertos, académicos, órganos especializados etc.) y mantenerse actualizado sobre las mejores prácticas y tendencias en gestión de riesgos y control interno.
A modo de resumen, en un mundo en constante evolución, es fundamental contar con un sistema sólido y eficaz de control interno en las organizaciones para garantizar su éxito y sostenibilidad. Este sistema ayuda a mitigar riesgos, promover la transparencia y salvaguardar los activos de la organización. Además, contribuye a la eficiencia operativa y respalda la toma de decisiones informada. Algunos pasos clave para implementar un sistema de control interno sólido incluyen la evaluación de riesgos, el establecimiento de políticas y procedimientos claros, el establecimiento de controles internos efectivos y la supervisión continua del sistema. Para mejorar el modelo de las «tres líneas de defensa», se pueden fomentar la integración y colaboración entre las funciones de gestión de riesgos, cumplimiento y control (auditoría) interna, enfocarse en la cultura organizacional, utilizar tecnología avanzada y demostrar capacidad de adaptación y respuesta efectiva a los riesgos y eventos disruptivos.
Ejemplo de medida de control interno en la lucha contra el fraude y la corrupción en el empleo de los recursos públicos:
| Diseño de la medida de control interno | Implementación de la medida de control interno: | Supervisión de la medida de control interno | Comunicación de la medida de control interno |
| Establecimiento de políticas y procedimientos claros: definir políticas y procedimientos específicos para prevenir el fraude y la corrupción en el manejo de los fondos públicos. Esto incluye establecer controles en áreas clave como contrataciones, adquisiciones, gestión financiera y control de activos. | Capacitación y sensibilización: diseñar un plan de formación (reciclaje) y de capacitaciones periódicas a todos los empleados involucrados en la gestión de fondos públicos, con énfasis en la importancia de prevenir y detectar fraudes y actos de corrupción. Esto ayudará a crear conciencia y fortalecer la cultura de integridad en la organización. | Realización de controles de forma periódica para evaluar la efectividad de los controles internos implementados y detectar posibles vulnerabilidades o desviaciones. | Transparencia: Es importante promover la transparencia en la gestión de los fondos públicos, asegurando que la información financiera y los informes de auditoría estén disponibles para el público en general. Esto fomenta la rendición de cuentas y disuade actos de fraude y corrupción. |
| Separación de funciones: establecer controles que aseguren una clara separación de funciones y responsabilidades, evitando concentraciones de poder. Por ejemplo, se debe asignar diferentes roles a diferentes personas en el proceso de autorización, ejecución y registro de transacciones y operaciones. | Verificación y seguimiento: Se deben implementar mecanismos de verificación y seguimiento para asegurar que los controles establecidos estén siendo efectivamente aplicados. Esto puede incluir revisiones periódicas, auditorías internas y la designación de un responsable encargado de monitorear y reportar posibles irregularidades. | Conformación de unidades o comités de supervisión encargados de monitorear y evaluar el sistema de control interno. Este comité debe contar con miembros expertos y tener acceso a información relevante para cumplir con su función de supervisión. | Canal de denuncias: Se debe establecer un canal de denuncias confidencial y accesible para que los empleados y ciudadanos puedan reportar cualquier sospecha de fraude o corrupción. La comunicación sobre la existencia y el funcionamiento de este canal debe ser ampliamente difundida. |
Reflexiones de un interventor 
1 comentario