Control interno empresarial: sus elementos, objetivos e importancia

Nadie conoce como tú a tu empresa: sabes de principio a fin sus funciones, objetivos, los departamentos que la conforman y la gente involucrada para que todo marche bien día a día. Pero, ¿puedes estar seguro de que tienes un control interno intacto?

Aún es común encontrar que muchas empresas tomen decisiones de negocio con base en suposiciones o corazonadas. Si bien esto puede funcionar algunas veces, puede atentar con el buen andar y hacer que las decisiones tomadas no sean siempre las mejores para la productividad y rentabilidad del negocio.

Mantener algo en control es influir sobre algo para obtener un resultado deseado. En la gestión empresarial, los objetivos del control interno son justamente poner en orden cada una de las áreas y actividades que forman parte de tu organización y hacerlas funcionar según se espera. 

Si para este momento aún no cuentas con un control interno empresarial, estás a tiempo de conocer por qué es tan importante y qué tipos existen para así hacer los ajustes necesarios en tu empresa. 

Entre algunos de los fallos más importantes que un control interno puede evitar se incluyen: 

• Riesgos estratégicos 
• Riesgos operativos 
• Fraudes internos/externos
• Dependencia de personal en áreas específicas
• Fuga de información sensible
• Riesgos técnicos o legales 
• Riesgos en la reputación
• Riesgos financieros 

Por ello, es importante establecer un control en las actividades que se integran diariamente en la gestión empresarial de un negocio para la constante protección de los activos. Además, para minimizar errores de operación y cumplir con los objetivos del control interno de una organización.  

Importancia del control interno empresarial 

Llevar a cabo un buen control interno empresarial permite tener un mejor aprovechamiento de todos los recursos administrativos para lograr un equilibrio y una estabilidad financiera que aumenten la productividad de la organización. 

Además, si cada área interna de un negocio es dotada de buenas prácticas y tecnología adecuada, la toma de decisiones se vuelve mucho más rápida y eficiente. De igual forma, ayuda a que existan menos errores humanos que puedan costar pérdidas financieras, que retrasen o impidan el cumplimiento de los objetivos de la empresa. 

Como lo mencionamos al inicio de este artículo, es común que aún haya empresas, sobre todo pequeñas y medianas, que no cuenten con un control interno empresarial. Por lo tanto, su manejo de negocio es totalmente empírico. Es decir que buscan las soluciones que consideran mejores, conforme se presentan situaciones o problemas. 

Esto puede ser funcional durante un tiempo, pero a la hora de crecer un negocio, la falta de organización y control simplemente hará que las piezas del Jenga se vengan abajo. 

Esta es precisamente la importancia de establecer por escrito un sistema de control interno en el que toda empresa, según sus objetivos, sea capaz de consultar para saber cómo actuar ante alguna situación. Y aún más importante, saber cómo se deben hacer las cosas para evitar negligencias, mal uso del recursos o fraudes. 

3 objetivos del control interno empresarial

En primer lugar, un control interno se divide en tres tipos de objetivos: 

1. Objetivos operacionales. Buscan la eficiencia y eficacia de las operaciones y están relacionados directamente con el rendimiento y la rentabilidad de la empresa. 
2. Objetivos financieros. Mantienen en orden los estados financieros para gozar de equilibrio financiero y buscan evitar pérdidas, falsificaciones o fraudes. 
3. Objetivos de cumplimiento. Estos objetivos están enfocados en el tema legal; es decir, al acatamientos de leyes, normas, disposiciones y regulaciones que la empresa debe cumplir. 

En conjunto, cumplen las siguientes funciones: 

• Asegurar la adherencia de las políticas internas establecidas.
• Promover y asegurar la eficiencia de las operaciones.
• Asegurar la confiabilidad e integridad de la información generada en la empresa.
• Proteger adecuadamente los activos y recursos de la compañía.

Una vez entendidos los objetivos del control interno, demos paso a conocer un poco más de su estructura y todos aquellos elementos y aspectos vitales que deben incorporarse para que funcione de manera correcta.

1. Ambiente de control 

El ambiente de control es el cimiento del control interno y aporta disciplina, estructura, entidad, conciencia y acciones de la administración. El buen desarrollo inicial de este elemento es crucial para que todos los demás puedan ser seguros y confiables. Si el ambiente de control presenta irregularidades o fallas, entonces todo el resto del control interno no podrá brindar los resultados deseados. 

El ambiente de control se conforma de los siguientes aspectos: 

• Conciencia de control y estilo operativo. La conciencia de control está influida directamente por las decisiones y acciones de la administración con respecto al funcionamiento del control interno, los errores informados, la atención a las áreas y sistemas, las acciones tomadas ante cualquier problemática o presión presentada. En cuanto al estilo operativo, este se influye por las capacidades, habilidades y aptitudes de la administración ante las operaciones diarias. 
• Integridad y valores éticos. Con este aspecto se busca evitar cualquier tipo de conducta inapropiada y se construye con base en las acciones de la administración y su integridad. Un ejemplo de ello pueden ser los códigos de conducta regulados en muchas empresas para expresar lo que los colaboradores deben cumplir, con el fin de estar alineados a la visión y valores del negocio. 
• Compromiso con la competencia. Este aspecto determina las medidas que el personal operativo, administrativo y directivos deben cumplir para realizar su trabajo con eficacia. 
• Estructura organizacional. La estructura organizacional es el panorama general. Dentro de ella, se encuentran las áreas, funciones y objetivos a cumplir para el buen andar de la empresa. Es importante que todo negocio cuente con este elemento, ya que facilita el conocimiento de los colaboradores líderes, así como las líneas de comunicación directa entre cada área.
• Asignación de autoridad y responsabilidad. Además de una estructura organizacional general de toda la empresa, también se requiere un documento detallado en el que se destaque la asignación de autoridades y responsables de las áreas que conforman el negocio. Dentro de este aspecto deben encontrarse diferentes tipos de políticas empresariales que ayuden a los empleados a saber cómo, de qué y por qué son responsables de cierta entidad. 
• Políticas y prácticas de recursos humanos. Este elemento, tal como su nombre lo indica, debe incluir todas las actividades a realizar por parte del departamento de recursos humanos. Es importante que el control interno establezca las normas de contratación de personal, así como estrategias de capacitación y retención de talento humano.

2. Evaluación de riesgos

Ninguna empresa está exenta de riesgos, por ello es vital que dentro del control interno se establezca todo lo necesario para crear un protocolo o matriz de riesgos, donde se determinen las acciones, así como los responsables de tomar el liderazgo cuando surja una situación complicada. 

La evaluación de riesgos suele enfocarse en aspectos de cambio importantes:

• Cambios de entorno operativo
• Nuevas tecnologías
• Crecimiento desmedido
• Nuevos modelos de negocio
• Producto o actividades
• Nuevo personal de alto mando 
• Ubicación geográfica de la empresa
• Nivel de complejidad de las operaciones

La probabilidad de que este tipo de riesgos en una empresa aumenten se debe a diversas razones. Entre ellas pueden estar el aceptar compromisos sin considerar los riesgos que podría conllevar, no cumplir con requerimientos legales o hacer inversiones con base en especulaciones sin considerar la cobertura de riesgos. 

Para lograr una evaluación de riesgos efectiva, se debe cumplir con su proceso de desarrollo: identificación de riesgos, probabilidad de ocurrencia y establecimiento de controles. 

3. Información y comunicación

Este elemento consiste en analizar los sistemas de información utilizados por la empresa. Estos pueden ser desde software hasta personas y procedimientos. El propósito es comprobar la calidad de la información y comunicación de la empresa, la cual es vital mantener saludable para una mejor toma de decisiones. 

Los sistemas de información deben aportar informes de desempeño, reportes emitidos a detalle en tiempo oportuno, actualización de sistemas (software), facilidad de acceso y plan de recuperación de desastres. 

En cuanto a los sistemas de información financiera estos deben identificar y registrar todas las operaciones, cuantificar su valor, determinar periodos y generar reportes detallados.

El sistema de comunicación, por su parte, debe contener controles que aseguren la responsabilidad de cada miembro de la empresa, los mecanismos y canales para reportar irregularidades, controles de manejo para situaciones inesperadas, controles para la comunicación con entidades externas, así como las normas y políticas de la empresa tanto internas como externas. 

4. Actividades de control

En las actividades de control se establecen los procedimientos a seguir en las operaciones para el cumplimiento efectivo de objetivos de la empresa; estos pueden ser preventivos, de detección y correctivos (de los que te hablaremos más adelante) y tienen por función lograr resultados saludables y eficaces para toda la organización. Entre estos aspectos se destacan: 

• Buen procesamiento de la información empresarial. Toda la información que entra y sale de un negocio debe ser confiable. Por ejemplo, el control interno debe encargarse de que todas las operaciones deben ser reales y estén siendo contabilizadas y registradas dentro de sus periodos y clasificaciones correspondientes.
• Segregación de funciones adecuada. Un control interno también tiene la misión de determinar una división adecuada de funciones para que todos aquellos empleados y colaboradores se desenvuelvan en las áreas y actividades correspondientes a su experiencia. El fin es evitar errores o irregularidades. 
• Responsabilidad de activos. Otro de los objetivos del control interno es asegurar el acceso de activos solo a personas autorizadas. 
• Verificación del control interno. En la gestión empresarial, conforme una empresa va creciendo, es necesario crear nuevas regulaciones o mejoras al mismo control interno para que ninguna norma establecida pierda efectividad. Algunas tendrán que dejar de aplicarse y otras más deberán ser expuestas y analizadas para considerar si son funcionales o no en la actualidad. Este análisis del control interno debe realizarse periódicamente. 

5. Supervisión o monitoreo

El seguimiento es pieza clave para el buen funcionamiento del control interno empresarial. Este se encarga de asegurar que todas las operaciones se realicen adecuadamente y los objetivos estén cumpliéndose en tiempo y forma. En caso contrario, este constante monitoreo les brinda a las empresas la oportunidad de hacer mejoras oportunas. 

Esta supervisión se da por medio de evaluaciones periódicas realizadas por los directivos. Dentro de este chequeo regular, también se pueden (o deben) tomar en cuenta aspectos externos como la evaluación de un auditor o consultora, comentarios de terceros o las mismas quejas de los clientes. 

1. Control interno preventivo 

Este tipo de control interno, como su nombre lo indica, busca prevenir errores o fraudes dentro de una organización. Sin embargo, un control preventivo debe ir más allá de solo evaluar las áreas financieras; esta prevención debe tomar en cuenta todos los departamentos que hacen que la operación diaria funcione. 

Entre las ventajas del control interno preventivo se encuentran: 

• Actuar de manera oportuna antes de que un problema se suscite.
• Controlar la calidad de las operaciones y disminuir los errores. 
• Acelerar acciones correctivas más eficaces.
• Permite el autocontrol de la organización. 
• Mejora la toma de decisiones estratégicas.
• Permite detectar posibles errores futuros. 

Para implementar correctamente un control interno preventivo, es necesario establecer la visión y misión de la empresa, acompañadas de un código de conducta que determine las normas que todos los colaboradores deben acatar. 

De igual forma, en este tipo de control interno se deben desarrollar las divisiones de áreas y departamentos con sus funciones y responsables correspondientes. La finalidad es que cada empleado conozca lo que debe hacer y cómo lo tiene que realizar. 

2. Control interno de detección 

El control de detección ayuda a descubrir posibles riesgos, errores, omisiones o actos deliberados que podrían suponer una amenaza para cualquier organización. Son un complemento del control interno preventivo; es decir, ve aquello que en la primera evaluación no fue percibido. 

Los controles de detección pueden enfocarse en: 

• Supervisión 
• Revisión de registros
• Auditorías de sistemas
• Archivos que comprueben la integridad

Algunos de los aspectos que pueden evaluarse para determinar posibles fallas son: 

• Falta de transparencia en transacciones.
• Registros inadecuados.
• Inexistencia de políticas y procedimientos internos.
• Exceso de confianza en colaboradores.
• Ausencia de códigos de ética y conducta.

Realizar un control interno de detección es importante para descubrir a tiempo cualquier comportamiento o suceso fuera de lo común que pudiera afectar la productividad y rentabilidad de una empresa. Además, durante este proceso se pueden tomar más medidas de prevención para evitar cualquier problema en el futuro. 

3. Control interno correctivo

El control interno correctivo lleva a cabo las acciones necesarias para revertir un evento no deseado. En otras palabras, este tipo de control establece las soluciones adecuadas a aquellos problemas o situaciones que surgieron y fallaron. Además de esto, tiene que ofrecer nuevas medidas que ayuden a que no vuelva a suceder. 

Las auditorías suelen ser un estupendo recurso para apoyar a las empresas a fin de crear nuevas normas de control interno. Su principal labor será analizar las áreas afectadas de primera instancia y también el resto para prevenir otros riesgos no detectados anteriormente. 

3 modelos de control interno 

Algunas estadísticas han destacado que 8 de cada 10 empresas sufrieron fraudes en 2020, y el 61 % de estos fueron detectados por controles internos. Esto es, sin duda, una cifra alarmante, pero a la vez prueba el valor e importancia de contar con un control interno que ayude a conocer todo lo que está mal. 

Esto ha hecho que los controles internos se fortalezcan a través de modelos informáticos con una amplia concepción de la organización a nivel mundial. Entre los modelos de control internos más conocidos en el continente americano se encuentran COSO, COCO y Cadbury, que explicaremos a continuación. 

1. Modelo de control interno COSO

Si bien fue definido en 1992 para destacar la necesidad de que la alta dirección y el resto de la empresa comprendan la trascendencia del control interno, actualmente existen tres modelos: COSO 1, COSO 2 y COSO 3. 

Entre las ventajas de aplicar el modelo COSO se encuentran: 

• Poseer una visión global del riesgo.
• Accionar planes adecuados para la gestión de riesgos.
• Posibilitar la priorización de objetivos empresariales. 
• Alinear los objetivos generales con las diferentes áreas del negocio. 
• Dar soporte a las actividades de planificación estratégica y control interno. 
• Fomentar la gestión de riesgos a la cultura organizacional.

Las pautas para establecer cada uno de estos modelos son las siguientes: 

Componentes de COSO 1 

• Ambiente de control 
• Evaluación de riesgos 
• Actividades de control 
• Información y comunicación 
• Supervisión 

Componentes de COSO 2 

• Ambiente de control 
• Establecimiento de objetivos 
• Identificación de eventos de alto impacto 
• Evaluación de riesgos
• Respuesta a los riesgos 
• Actividades de control 
• Información y comunicación 

Componentes de COSO 3 

El entorno de control cuenta con 17 principios que fundamentan lo siguiente: 

• Principio 1. Compromiso con la integridad y los valores éticos
• Principio 2. Responsabilidad de supervisión
• Principio 3. Estructura, autoridad y responsabilidad
• Principio 4. Compromiso para la competencia
• Principio 5. Cumplir con la responsabilidad
• Principio 6. Especificar objetivos relevantes
• Principio 7. Identificar y analizar riesgos
• Principio 8. Evaluar el riesgo de fraude
• Principio 9. Identificar y analizar riesgos importantes

Actividades de control

• Principio 10. Seleccionar y desarrollar actividades de control 
• Principio 11. Seleccionar y desarrollar actividades de controles generales sobre tecnología
• Principio 12. Implementación de políticas y procedimientos 
• Principio 13. Uso de información relevante

Sistemas de información 

• Principio 14. Comunicación interna
• Principio 15. Comunicación externa

Supervisión del sistema de control-monitoreo

• Principio 16. Evaluaciones continuas y/o independientes 
• Principio 17. Evaluación y comunicación de deficiencias 

El modelo COSO diseña y aplica estas estrategias para proporcionar la seguridad de que los objetivos de control interno serán aplicados correctamente. 

2. Modelo de control interno COCO 

El modelo COCO se deriva de una profunda revisión al modelo COSO con el objetivo de presentar un reporte más sencillo, comprensible y al alcance de cualquier organización. Si bien define su modelo de control interno, igual que el modelo COSO, su diferencia radica en la referencia de 20 criterios agrupados en 4 componentes que una empresa puede utilizar para desarrollar, evaluar y modificar su control interno. 

Estos componentes o pautas para implementarlo son las siguientes: 

• Propósito. Se incluyen la misión, visión, estrategia, riesgos y oportunidades, políticas, objetivos e indicadores de desempeño. 
• Compromiso. Se consideran todos los aspectos relativos a la identidad y los valores de una organización. 
• Capacidad. Cubre aspectos de conocimiento, habilidades y herramientas, información, coordinación y actividades de control. 
• Evaluación y aprendizaje. Toma en cuenta la evolución de la empresa a través del monitoreo constante de su entorno, desempeño y seguimiento de procedimientos. 

El modelo COCO requiere una alta creatividad para su interpretación y aplicación. La buena noticia es que es muy adaptable a cualquier tipo de organización y se adecua a la perfección a las necesidades e intereses de una empresa. 

3. Modelo de control interno Cadbury 

El modelo Cadbury fue el primer modelo de control interno del Reino Unido y es reconocido a nivel mundial. Su objetivo principal es abordar aspectos de gobierno corporativo y financieros y ha servido para dar certeza, sobre todo a aquellas empresas que cotizan en dichos mercados. 

Este modelo toma como referencia el modelo COSO y comienza con una revisión de la estructura organizacional y plantea exigencias sobre las responsabilidades de los altos mandos de una empresa. Además, propone la actuación de contadores y auditores internos para incrementar la confianza en la información financiera generada. 

Las pautas para implementarlo son las siguientes: 

• Consejo de administración. Establece que toda compañía debe ser dirigida por un gobierno capaz de controlarla, constituido por la combinación de miembros ejecutivos y miembros externos no ejecutivos. 
• Comités. Recomienda la creación de diversos comités y consejeros externos como comités de administración y de auditoría. 
• Cualidades de los miembros. El modelo Cadbury establece que los miembros del comité deben ser personas con profundo conocimiento del control interno, procesos de auditoría externa e interna, así como del sistema de información. 
• Auditoría externa. Se enfatiza la importancia de la auditoria externa al ser un proceso independiente y objetivo. 
• Auditoría interna. Se establece que este recurso es una buena medida para evaluar y analizar la eficacia del control interno. 

Ahora ya conoces todo acerca del control interno empresarial. Determina qué es lo que necesita tu empresa en estos momentos y considera tus opciones.