24 ago. 2009

NUEVAS TENDENCIAS Y METODOLOGÍAS EN CONTROL INTERNO

Desde Junio de 2002 -sanción en EEUU de Sarbanes Oxley Act –SOX- y de otras leyes similares en todo el mundo, las compañías que cotizan en las principales bolsas de las ciudades más importantes, inclusive en nuestro país, están preocupadas y ocupadas por el funcionamiento de su Sistema de Control Interno.

Hace muy pocos meses la Securities and Exchange Commission (SEC), organismo de contralor de las compañías listadas que hacen oferta pública de sus acciones, lanzó la “Guía para el Management” para el cumplimiento de la sección 404 de SOX (relacionada con el Control Interno sobre el Reporte Financiero).

Sabemos que COSO (standard de control interno más utilizado por las compañías en todo el mundo) proporciona el criterio para un control interno efectivo. Sin perjuicio de ello, esta guía de la SEC pone foco en la forma de efectuar un análisis del control interno sobre el reporte financiero.

El nuevo standard está organizado contemplando los siguientes grandes temas:

• Cómo identificar los riesgos asociados al reporte financiero
• Cómo identificar los controles que tratan en forma adecuada los riesgos detectados que están asociados al reporte financiero
• Cómo evaluar la evidencia de que los controles identificados están operando en forma efectiva
• Cómo reportar los resultados sobre la Evaluación del Management sobre el funcionamiento integral de su sistema de control interno

¿En qué se caracterizaba el panorama de cumplimiento de la sección 404 hasta la fecha?

Tal vez el foco en el cumplimiento de esta sección era la eficacia en el cumplimiento (o sea que el cumplimiento sin reporte de debilidades materiales a la sociedad era un objetivo en si mismo). Podemos, con una mirada general, resumir nuestra visión basada en la experiencia en trabajos efectivamente realizados, y mencionar que hasta la fecha las compañías cumplían bajo las siguientes características comunes:

• Focalización en el resultado del reporte (eficacia), más que en proceso y recursos invertidos hasta llegar a dicho resultado (eficiencia).
• Falta de alineación en las estrategias de cumplimiento del management con la del auditor externo.
• Insuficiencia de tiempo dedicada al mejoramiento del sistema de control interno por parte de la línea.
• Excesiva cantidad de controles, o bien, falta de racionalización en la selección de los mismos.
• Excesiva asignación de recursos para el análisis de diseño y testeo de efectividad de los controles (motivado principalmente por lo citado en el punto anterior).
• Falta de coordinación y/o armonización de esfuerzos entre todos los participantes involucrados en el cumplimiento.

En este orden de cosas, las compañías que ya han tenido experiencia en reportar en forma positiva y sin salvedades el estado de sus controles, están comenzando a poner foco en la eficiencia, para lo cual el nuevo standard de cumplimiento de la SEC llega en un momento muy oportuno.

Algunos consejos para lograr el ansiado objetivo de eficiencia en la aplicación de recursos para el cumplimiento de la sección 404.

Podemos decir que el nuevo paradigma de cumplimiento debería estar basado en la flexibilidad del management en cumplir con los requerimientos de esta sección de la ley.

Para cumplir con esta premisa el management debería comenzar el abordaje de arriba abajo (“top-down”) basado en el riesgo (“risk based”) cuando analiza los controles internos. Esto es un avance muy positivo, ya que el management puede adaptar el enfoque de cumplimiento a una realidad que en teoría resulta conocida, pero en la práctica no tan aplicada: los controles deben ser analizados y probados con mayor énfasis mientras mayor sea el riesgo que están intentando mitigar.

En cuanto al enfoque “top down”, no hay otra forma más efectiva de abordar el análisis que comenzando por los “controles a nivel entidad”. No deberíamos ocuparnos del control interno a nivel proceso, transacción y aplicación si previamente no logramos una acabada comprensión acerca del funcionamiento de los Controles Internos a nivel entidad.

Recordemos también que la evaluación del control interno a nivel entidad debería llevar a una organización a plantearse las siguientes preguntas clave, para luego estar en condiciones de darles respuesta:

¿Ha creado la alta dirección de la compañía un entorno de control en el que motiva al personal a cumplir con controles en lugar de ignorarlos o burlarlos?; ¿Ha implantado la organización los mecanismos de control necesarios para monitorear el sistema y corregir las faltas de cumplimiento?; ¿Esos mecanismos están funcionando eficazmente?

De esta manera el análisis propuesto comienza con la evaluación del control interno a nivel entidad, y su interrelación con el resto de la organización; es decir la manera en que desciende el clima de control desde la cima y fluye a través de los canales de información y comunicación, cual torrente sanguíneo, por todos los rincones de la compañía.

La Guía para el Management de la SEC provee una buena orientación para diseñar un proceso 404 más eficiente, pero carece de instrucciones detalladas. Ante esta deficiencia, ¿cómo debería realizar el management un programa de cumplimiento más eficiente?

Entendemos que debería diseñar su propio programa basado en dicha Guía, para lo cual podría utilizar 3 importantes elementos o herramientas:

• Toda su experiencia acumulada a lo largo de los primeros años de cumplimiento (si es que ya estuvieron reportando bajo la normativa en cuestión).
• La propia Guía de Cumplimiento SEC.
• Mejores prácticas o benchmarking (que se obtienen en general mediante asesoría o consultoría independiente al management de la Compañía).

El Control Interno Instantáneo


Partiremos de la base que, como reaseguro de un cumplimiento sin salvedades, muchas compañías no pusieron énfasis en limitar su trabajo sobre las actividades de control más relevantes ni basándose en el riesgo y terminaron implementando programas de control interno que van más lejos de lo necesario para proveer al management una seguridad razonable sobre la efectividad de los controles internos sobre el reporte financiero. Es por eso que entendemos que las compañías ahora deben aplicar un enfoque de racionalización de los controles.

Mediante el título de “Control Interno Instantáneo” no se pretende entregar un polvo para diluir dentro del sistema de control interno en la compañía y obtener un set de controles que funcione en forma eficaz y eficiente en solo pocos días. No obstante sí se pretende comenzar a transitar un camino mediante el cual la sección 404 de la ley SOX deje de ser una carga tan costosa, que insume recursos de todo tipo y que sus beneficios comiencen a materializarse vía mejoras evidentes.

Esta metodología surge como respuesta a la necesidad de acelerar y eficientizar el enfoque de acuerdo con los lineamientos de la nueva guía SEC y las buenas prácticas de control interno, y se basa en un modelo denominado C-R-I-M (Comprensión – Racionalización – Implementación – Monitoreo). Las mencionadas constituyen etapas en la aplicación de la metodología y tienen sub-componentes dentro de cada una, a saber:


C – Comprensión (revalidación acelerada de rutinas) – Enfoque “top down”:
En esta fase la compañía deberá tomar total conocimiento de la situación actual (“AS IS”). Deberá tener la capacidad de “subirse y mirar su sistema de control interno desde lo alto de un balcón” (es decir con total objetividad) para poder estar en condiciones de redefinir en la etapa el modelo)


R – Racionalización:
Esta fase equivale a un “rediseño” que aplicaríamos en un enfoque de Mejora de Procesos. Mientras que en la fase 1 analizábamos el modelo actual “AS IS”, en este redefinimos el “TO BE” o cómo debería ser y emprendemos la racionalización de controles en forma rápida pero muy cuidadosa.


I – Implementación:
Todo nuevo modelo debe ser implementado en forma cuidadosa para asegurar que funcione tal como fue concebido.


M – Monitoreo:
La supervisión o monitoreo del modelo no es una fase creada por la metodología C.R.I.M., sino que se basa en incorporar las buenas prácticas de control para asegurar que existan adecuados y efectivos mecanismos de supervisión continuada por parte del management en todos sus niveles, como así también una función de auditoría interna efectiva cuyas revisiones y recomendaciones alimenten en forma continua el modelo.
Un momento para reflexionar sobre su Sistema de Control Interno y desarrollar un Modelo Propio (el más conveniente para cada compañía).
El tiempo de correr fue importante para llegar, pero ha cesado. Ahora es momento de parar la pelota, levantar la mirada, analizar el campo de juego y recién entonces seguir jugando. Es un partido ya ganado; ahora hay que mantener el resultado, pero a costa de esfuerzos razonables. Y eso, aunque planteado en términos menos futbolísticos es lo que el Nuevo Standard de la SEC está proponiendo a las compañías.



Es tiempo de DESAFIAR los paradigmas de control que muchas compañías habían autodiseñado;
DEJAR de duplicar esfuerzos; y DISEÑAR una estrategia propia. Es tiempo de comenzar a ser más eficientes y a sacarle jugo a la implementación del Control Interno sobre el Reporte Financiero.

Por Carlos Rozen, Socio de BDO Becher y Asociados, responsable de Auditoría Interna y Mejora de Procesos (Risk Advisory Services).

No hay comentarios:

Publicar un comentario

Gracias por sus comentarios. Nos serán muy útiles para mejorar nuestros contenidos.