Por: Vladimir Martínez – Director de www.auditool.org
Es usual que los auditores observemos que en las organizaciones en las cuales su sistema de control interno no es maduro o se encuentra en sus primeras etapas de desarrollo, se evidencia que las políticas no son más que recopilaciones escritas creadas hace varios años que solo unos cuantos saben de su existencia, así como el que solo unos pocos conocen su contenido y lo cumplen.
En otros casos, se considera que las políticas no son más que documentos burocráticos creados para no permitir que la operación de la compañía fluya de forma rápida y eficiente y por tanto no se cumplen.
Otras organizaciones consideran que los procedimientos son suficientes y por tanto las políticas no son necesarias, y en otros casos ni si quiera se tienen políticas, por lo cual cada dueño de proceso define a su criterio y de manera informal los lineamientos que debe tener su proceso para cumplir con las metas que le ha establecido la alta gerencia, sin que dichas prácticas sean revisadas por un nivel jerárquico adecuado que defina si las mismas están alineadas con las prácticas que los accionistas y la alta gerencia espera que la organización realice para cumplir sus objetivos dentro del marco de la adecuada administración de la gestión riesgos y su apetito de riesgo.
Así las cosas, para explicar la importancia de las políticas en las organizaciones, debemos partir de las definiciones del Marco de Control Interno COSO, que incluye dentro de las actividades primarias de la gestión de riesgos en el componente de las actividades de control, las políticas, las cuales forman parte de la estrategia que debe desarrollar la Alta Gerencia para asegurar el cumplimiento de sus objetivos y la proyección de su cultura en todos los niveles de la organización, razón por la cual la no existencia y aplicación de las mismas puede llevar a la organización a realizar prácticas que trasponen los principios y valores con la cual fue concebida la organización, exponiéndola a riesgos que pueden inclusive representar su desaparición del mercado.
Es así como las políticas le dan a las organizaciones el marco bajo el cual se espera que sus colaboradores ejecuten su trabajo, definiendo los límites de autoridad, responsabilidad, las conductas tanto permitidas como no permitidas para el cumplimiento de las metas, así como reflejan el apetito de riesgo de la organización en las actividades que desarrolla, pues de las mismas parten los procedimientos implementados y ejecutados en todos los niveles, reduciendo así la exposición al riesgo de que los individuos tomen las acciones que a su criterio consideran a bien desarrollar y las cuales pueden atentar contra los intereses de la organización.
Sin embargo, la alta gerencia de las organizaciones debe tener claro que el objetivo no es tener cientos de políticas, o partir del principio que las mismas eliminan todas las prácticas de fraude y riesgos, pues el propósito de la definición de las políticas debe orientarse a reflejar en las mismas el apetito de riesgo definido por la organización y por tanto las prácticas permitidas desde el marco de la cultura de la organización y las buenas prácticas de un adecuado sistema de control interno, de tal forma que se administre de forma más eficiente y efectiva los riesgos a los que está expuesta la organización.
Teniendo en cuenta lo anterior, la administración deberá desarrollar estrategias de divulgación para el cumplimiento de sus políticas, fortaleciendo su cultura, pues inclusive así se tengan las mejores políticas se desarrollan eventos de fraude y corrupción cuando las mismas no son conocidas en los niveles que corresponde, o las mismas no están diseñadas para los procesos con mayor exposición a la materialización de riesgos.