El problema de la administración: El control interno

Cuando era estudiante e iniciaba mi carrera profesional, me enseñaron una definición de control interno que iba más o menos como sigue: “… es el plan de organización, métodos y procedimientos adoptados por la empresa para salvaguardar sus activos, verificar la corrección y confiabilidad de la información financiara, promover la eficacia operacional y fomentar la adherencia a las políticas establecidas por la dirección.” Dicha definición fue evolucionando conforme la realidad hacía necesario revisar lo que se sabía al respecto.

Desde los años setentas, se conocieron de escándalos financieros que afectaron los mercados bursátiles, entonces por iniciativa de ciertas organizaciones profesionales de Estados Unidos de América, incluyendo representantes de la Securities and Exchange Commission - SEC, (Comisión de Valores en Estados Unidos), en 1985 se creó un comité patrocinador de una comisión de investigación técnica dirigida a determinar los factores que originan la publicación de información financiera fraudulenta (National Commission on Fraudulent Financial Reporting), promover un nuevo marco conceptual para el control interno. Dicha comisión se llamaba “Committee of Sponsoring Organizations of the Treadway Commission – COSO”, dado su nombre por el primer presidente de ese comité el Sr. James C. Treadway, Jr., quien entre otros puestos había sido miembro de la SEC.

Derivado de las conclusiones que alcanzó la comisión nacional de información financiera fraudulenta, el COSO se dedicó a investigar las causas y generar soluciones para evitar los fraudes, enfocando sus esfuerzos a generar soluciones dirigidas a tres áreas principales dentro de las instituciones: administración del riesgo empresarial, control interno y prevención del fraude.

Posteriormente, a principios de los años 2000, otra ola de fraudes financieros y contables surgió, y el congreso de Estados Unidos por iniciativa de un senador demócrata Paul Sarbanes y un congresista (diputado) republicano Michael G. Oxley, creó la Ley para proteger a los inversionistas mediante la mejora de la exactitud y confiabilidad de las declaraciones corporativas conforme a las leyes de valores y otros objetivos, en corto la Ley Sarbanes-Oxley.

Dicha Ley entre otras cosas establecía la obligatoriedad de los funcionarios ejecutivo y financiero de mayor nivel de una empresa a declarar que se han cerciorado que tienen implementado un sistema adecuado de control interno y que verificaron que durante el período de reporte, este funcionó adecuadamente. Un poco en broma y un poco en serio, les comento a mis colaboradores y clientes, que cuando los directores generales de las empresas obligadas, que siempre presumían de tener un buen control interno, se enteraron de la obligación de declararlo y firmarlo, le preguntaron a sus contadores ¿Qué es el control interno y como me aseguro que lo tengo y funciona?

En el año de 1992, COSO publicó un documento titulado “Internal Control – Integrated Framework” (Control Interno – Marco Integrado), mediante el cual recomienda una estructura de diseño de control interno para las instituciones, sobre todo empresas que cotizan en el mercado de valores. No es el único marco conceptual de control interno, pero es el de mayor aceptación. En 2009 publicó una guía para el monitoreo del control interno y en 2013 publicó una actualización al marco COSO. Adicionalmente en 2006 publicó una guía de aplicación del marco para compañías públicas más pequeñas.

Por otro lado para temas de tecnología de información, el “Information Systems Audit and Control Association – ISACA” publicó un marco de control interno llamado “Control Objectives for Information and related Technology – COBIT”, que también recomienda una estructura básica de control interno para todos los procesos de tecnología de información.

El marco COSO establece que el control interno “…es un proceso establecido por el consejo de administración, la gerencia y otro personal designado para suministrar seguridad razonable respecto al cumplimiento de los objetivos relativos a operaciones, información reportada y cumplimiento”.

Por lo tanto este marco está basado en el cumplimiento de objetivos, estos objetivos están divididos en objetivos operativos, objetivos de reporte de información y objetivos de cumplimiento de leyes, reglamentos y normatividad.

Adicionalmente el marco COSO define cinco componentes integrados del control interno como son: Ambiente de Control, Evaluación del Riesgo, Actividades de Control, Información y Comunicación y Actividades de Monitoreo.

Todos estos componentes, interactúan entre ellos y atraviesan la entidad mediante el cumplimiento de los objetivos operativos, de reporte y de cumplimiento.