Control Interno como base de la confianza y sostenibilidad

jueves, 8 de septiembre de 2022

Control Interno como base de la confianza y sostenibilidad

jueves, 8 de septiembre de 2022

La transparencia y la confianza se han convertido en valores fundamentales para asegurar la continuidad de las organizaciones y la creación de valor económico y social.

Se ha pasado de un modelo de creación de valor unidimensional (resultado económico) a multidimensional (que responde a las necesidades de los diferentes grupos de interés) y dando paso al capitalismo de los stakeholders:

- Para conseguir inversores tienen que contar con la confianza de los accionistas y aportar rentabilidad suficiente,

- Para conseguir clientes deben tener un producto que cumpla con sus necesidades y que este alineado con sus valores,

- Un entorno de trabajo justo y constructivo, con un propósito compartido, para contar con el compromiso y la milla adicional de los empleados

- Y cumplir criterios de sostenibilidad y aportar desarrollo a la comunidad donde desarrollan su actividad

En este contexto ( y apoyado por la mayores exigencias regulatorias), el contar con modelos de control interno robustos se ha convertido en un "must" . En este artículo comparto algunas ideas (sin ánimo de crear un artículo académico) para implantar un sistema de control interno que ayude a minimizar la probabilidad de enfrentarse a problemas de reputación, multas, fraudes, pérdidas, actos delictivos o que incluso causen la disolución de la sociedad.

A diario en la prensa económica aparecen noticias sobre organizaciones de diferente tamaño afectadas por escándalos producidos por una falta de control interno:

¿Qué es el control interno?

El control interno abarca una serie de procesos, políticas, controles, proceso de toma de decisiones...,que de forma coordinada permiten asegurar una buena gestión de los recursos de la organización y facilitar la consecución de objetivos de manera eficaz y ética.

En la práctica, los sistema de control Interno, se basan en personas, procesos y sistemas, siendo el más importante de ellos las personas que son capaces de identificar irregularidades en casos habitualmente no previstos.

¿Cómo crear un cultura de control?

El primer paso para crear una cultura de Control es conseguir la concienciación por parte de la dirección de establecer este tipo de sistemas, liderando con el ejemplo y expandiendo esta corresponsabilidad en toda la organización. Algunas ideas concretas para tangibilizar este tipo de cultura serían:

· Aplicando y comunicando el modelo de las tres líneas de defensa (el control interno está muy vinculado a la forma de trabajar de las áreas operativas por lo que es necesario que conozcan su responsabilidad y que esta quede formalizada en la descripción de puestos).

· Dotar a la organización con los recursos adecuados en las diferentes líneas de defensa para poder llevar a cabo el control interno y su supervisión. Establecimiento de los diferentes roles, comités…

· Estableciendo incentivos específicos

· Teniendo en cuenta los riesgos asociados en la toma de decisiones

· Realizando píldoras formativas sobre el marco de gestión de riesgos establecido, apetito de riesgo, responsabilidad de cada empleado y ejemplos prácticos del impacto de no llevarlo a cabo para el colaborador y para la empresa.

· Estableciendo canales de comunicación para el reporte de riesgos o conductas irregulares (canal de denuncias)

· Creando un sistema de Control que ayude al negocio sin estrangularlo con controles innecesarios que resten eficacia y competitividad: mantener un buen equilibrio cote /beneficio.

¿Cuándo establecer un sistema de Control Interno?

El mejor momento para implantar este tipo de sistemas es cuando la organización esta en fase de crecimiento, y se empieza a perder el control por parte de los socios fundadores ya que la delegación es cada vez mayor y también la complejidad de actividades y sistemas.

La sofisticación del mismo dependerá del tamaño, la madurez de la organización, la regulación del sector y la complejidad de sus operaciones.

¿Cómo establecer un sistema de Control Interno?

La implantación de un Sistema de control interno nace del establecimiento de unos objetivos que llevan asociados unos riesgos para su consecución. El Sistema de Control interno, intenta minimizar esos riesgos y captar las oportunidades asociadas mediante medidas preventivas o mitigadoras.

Más allá de las recomendaciones establecidas en los diferentes marcos de referencia (Coso / ISO 31000):

1. Identificar los principales riesgos internos y externos (siempre bajo el foco de hechos que creen incertidumbres en la consecución de los objetivos), evaluar probabilidad e impacto (inherente y residual) y establecer el tratamiento más adecuado. Se trata de identificar los riesgos más significativos y agruparlos por familias.

2. El Consejo a propuesta de la alta dirección debe aprobar el apetito de riesgo de la organización en cada uno de los riesgos, realizando un seguimiento periódico del mismo a través de KRI’s de los que se define un objetivo (Target), Trigger (momento al partir del cual es necesario realizar acciones) y Limit (máximo riesgo que la organización puede soportar).

3. La identificación de riesgos conlleva la asignación de responsables para su seguimiento, mitigación y prevención. Estos responsables están en la primera línea de defensa.

4. Para asegurar el buen funcionamiento de las operaciones es necesario realizar un análisis continuo de procesos, identificando riesgos asociados, evaluando su impacto y adicionalmente su desempeño (el proceso optimo es aquel que minimiza la probabilidad de error con unos costes menores medidos en tiempo y recursos). Es necesario identificar los procesos que tienen un mayor impacto en la actividad de la organización y realizar medición de los KPI’s críticos para medir tanto su eficiencia como calidad.

5. El sistema de control debe estar reflejado en los sistemas en los que están basadas las operaciones y la relación con los clientes: asegurar la calidad de la información, la seguridad, definición de perfiles, segregación de funciones, políticas de 4 ojos, planes de contingencia…

6. Definir la responsabilidad en la toma de decisiones operativas, tácticas y estratégicas, evitando el conflicto de intereses, segregando funciones y estableciendo un sistema de gobierno que permita el debate y la consideración de diferentes puntos de vista.

7. Asegurar el conocimiento y cumplimiento de las políticas, procedimientos y normas establecidas por la organización, además de la legislación vigente que afecte a la actividad. Tener procesos formalizados y actualizados es crítico para asegurar la gestión del conocimiento en la organización, al igual que revisión periódica de la normativa aplicable.

8. Establecer sistemas y controles específicos para asegurar que la información financiera refleja la imagen fiel de la organización y que no se producen errores que puedan tener impacto significativo.

9. Establecer un sistema de Control de Gestión que ayude a la organización a tener una mayor visibilidad de las desviaciones y que analice la creación de valor de forma sistémica.

10. Revisar si la cultura de la organización, el código de conducta y los incentivos establecidos apoyan el sistema de control interno y su mejora continua: un sistema de control interno que no es compartido y que no evoluciona con la organización no cumplirá su cometido.

¿Cómo convencer a la alta dirección de la necesidad de implantar un sistema de control interno?

· Dando visibilidad del impacto que pueden tener estas situaciones para la organización y su equipo directivo en base a lo ocurrido en compañías de diferentes sectores.

· Cuantificando el impacto que tiene en la organización el carecer de un sistema robusto de control interno:

· Pérdidas y riesgos operacionales

· Multas

· Falta de calidad en el servicio prestado

· Bajo compromiso de los empleados

· Pérdida de clientes por mala reputación

· Coste de oportunidad

¿Quién es el responsable del sistema de Control interno?

El responsable último del sistema de control interno es el Consejo y la alta dirección.

¿Cómo comunicar y dar visibilidad al sistema de Control Interno?

Publicar información acerca del sistema de control interno, es algo cada vez más común en organizaciones de diferente tamaño. La sociedad cada vez es más sensible y menos permisiva ante los escándalos, haciendo necesario un paso más por parte de las organizaciones para ganarse la confianza del mercado.

Las sociedades cotizadas por su impacto y visibilidad son las que sistemáticamente aportan una mayor información (en muchas ocasiones por encima de lo exigido por ley) y sirven de espejo para el resto de organizaciones.

Algunos ejemplos de cómo las empresas comunican su control interno son:

Informes de Buen Gobierno Corporativo,

Informes de sostenibilidad,

Sistema de Control interno de la información Financiera,

Informes de transparencia fiscal,

Sistemas de Compliance o Certificaciones de diversa índole (Ej: ISO 37301 Sistema de Gestión de Compliance, ISO 37001 Gestión de Riesgos, Compliance y Control interno, ISO 9001 Gestión de calidad…)

Conclusiones

1. El sistema de Control interno debe tener en cuenta a los diferentes grupos de interés en su definición y monitorización e incluir también las actividades subcontratadas.

2. El establecimiento de un sistema de Control robusto depende del compromiso de la alta dirección y requiere comunicación, responsabilidad y formación de toda la organización.

3. El riesgo cero no existe: es necesario establecer un sistema de control que evolucione con la sociedad y que reevalúe periódicamente los riesgos y las acciones preventivas /mitigadoras necesarias.

4. El sistema de control interno es la base para generar confianza con accionistas, clientes, empleados y resto de grupos de interés, por este motivo, es necesario realizar una comunicación adecuada mediante un reporting detallado y/o certificaciones específicas.

Espero que estas reflexiones os sean de utilidad para mejorar el sistema de control interno de vuestras organizaciones.

Un abrazo