Por: CP Iván Rodríguez. Colaborador de Auditool
Una de las actividades que son habituales en el trabajo de la auditoría y asesoría es el diseño de controles. En ocasiones, hay que partir de cero y en otras, hay que mejorar o reforzar controles previamente existentes. Sea cual fuere la situación, hay que tener en cuenta ciertos elementos para crear controles efectivos y pertinentes. A continuación, algunos de ellos:
1. Priorizar los riesgos:
Cada industria y cada sector económico tienen riesgos típicos. Así mismo, cada empresa en particular tiene sus propios riesgos. Una de las primeras acciones al diseñar controles es, luego de la identificación de riesgos, priorizarlos. Existen diversas metodologías para este propósito. Normalmente se sigue un proceso en el que se clasifican en función de su probabilidad de ocurrencia junto con el impacto que pueda tener su materialización en los activos de la compañía y/o en el cumplimiento de los objetivos empresariales.
2. Clasificar los controles:
Usualmente se acostumbra a clasificar los controles en preventivos, detectivos y reactivos o posteriores. Un proceso debería contar con diferentes tipos de controles, de manera que se busque la mayor cobertura de las causas que originan los riesgos y así mitigar su probabilidad de ocurrencia.
3. Costo del control:
Es necesario (aunque a veces no se tiene en cuenta) que el costo de implementar y usar un control sea menor al costo de solucionar el problema que origine la materialización del riesgo que se está mitigando. No hay que olvidar que los costos de usar un control incluyen diversos gastos, tales como su compra o desarrollo, la instalación, configuración, operación y mantenimiento, así como la capacitación y supervisión. Hay que hacer un análisis de costos para decidir la bondad de su implementación.
4. Evitar la redundancia:
Un apropiado conocimiento del proceso que debe auditarse permite identificar los puntos de control y facilita determinar que tipo de control puede implementarse. Hay que evitar la redundancia en los controles, pues esto incrementa los costos, consumen mucho tiempo y no dan valor agregado. Su resultado es un trabajo duplicado. Debe haber claridad sobre que riesgos específicos son cubiertos por los controles en cada proceso.
5. Fortalecer la segregación de funciones:
A pesar de la existencia de controles, si no hay una apropiada segregación de funciones, es más factible que ocurra un fraude. En los casos en que hay concentración de funciones que deberían estar separadas, así existan los controles, esta indebida concentración puede ser nociva. Sin embargo, siguen siendo frecuentes los fraudes en empresas donde las funciones de contabilidad y tesorería o contabilidad y recursos humanos no están separadas, no hay segregación ni revisiones cruzadas.
6. Automatizar:
En cuanto sea posible, es conveniente automatizar los controles, con el propósito de evitar el error humano. Obviamente se requiere una acertada parametrización de los sistemas, reportes oportunos y labores de seguimiento y monitoreo. Para efectos de la gestión de riesgos, es conveniente el uso de aplicativos y programas que faciliten las labores repetitivas tales como actualización de contraseñas, perfiles de usuario, límites y atribuciones para operaciones, validación de accesos, cifras totales de control, horarios, generación de reportes, etc.
7. Supervisión:
Los controles deben supervisarse con cierta periodicidad. Bien sea que esta labor la ejecute el líder del proceso o la auditoría, debe haber evidencia de que el control funciona al como está concebido y que, en caso de alguna excepción o falla, se ha efectuado la revisión y evaluación correspondiente acerca de lo sucedido. Para el efecto es importante que haya documentación del control, valores típicos de respuesta, margen de error, excepciones, etc.
Aunque las anteriores consideraciones no son totalmente exhaustivas, el tenerlas en cuenta garantiza que los controles diseñados o evaluados contribuyen al fortalecimiento del sistema de control interno de la empresa y orientan la labor del auditor.
CP Iván Rodríguez
Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool
Bogotá DC, Colombia