Sistema de control interno: consecuencias para la empresa si no se cuenta con uno eficaz
Cuando una organización no cuenta con un sistema de control interno, corre el riesgo de incurrir en sobrecostos, deficiencias en la calidad y multas.
En la evaluación del sistema de control interno el auditor o revisor fiscal podría incurrir en un riesgo de error al no comprobar todas las operaciones.
Cuando una organización no cuenta con un sistema de control interno, corre el riesgo de incurrir en sobrecostos, deficiencias en la calidad y multas.
En la evaluación del sistema de control interno el auditor o revisor fiscal podría incurrir en un riesgo de error al no comprobar todas las operaciones.
Farley Zuluaga, socio de Riesgos y Tecnología de OCH Group, afirma que un sistema de control interno ineficaz representa un riesgo mayor para alcanzar los objetivos de la organización.
Por falta de control interno a nivel organizacional se podrían presentar:
- Sobrecostos o costos innecesarios por controles excesivos o trabajo redundante.
- Deficiencias en la calidad.
- Impactos negativos en la reputación de la organización.
- Multas o sanciones impuestas por los entes reguladores.
- Afectación a la integridad de la información.
- Resultados con errores.
- Estados financieros incorrectos, entre otros.
Zuluaga explica que el sistema de control interno, sin importar el modelo bajo el cual es diseñado (COSO I, COSO 2013, COSO II, COSO 2017 o COSO ERM), sirve para mitigar o minimizar el riesgo de que una organización no cumpla sus objetivos.
Potenciales consecuencias de no tener un sistema de control interno eficaz
Cuando una organización no cuenta con un sistema de control interno eficaz, se pueden presentar riesgos para cumplir los objetivos, entre estos:
- Objetivo operacional: sobrecostos o costos innecesarios por controles excesivos o trabajo redundante, deficiencias en la calidad, impactos negativos en la reputación de la organización, entre otros.
- Objetivo de cumplimiento: multas o sanciones impuestas por los entes reguladores.
- Objetivo de información: afectación a la integridad de la información, resultados con errores, estados financieros incorrectos, entre otros.
Papel del revisor fiscal en la evaluación del control interno
El control interno es responsabilidad de la administración de la empresa, sin embargo, la evaluación del control interno constituye una responsabilidad del revisor fiscal o del auditor externo.
En la etapa de planeación de la auditoría, el revisor fiscal deberá obtener un conocimiento de la entidad y su entorno, el primero de ellos incluye un conocimiento acerca del control interno.
En esta evaluación el revisor fiscal podrá tener en cuenta lo establecido en el Committee of Sponsoring Organizations –COSO– y sus cinco componentes:
- Ambiente de control.
- Evaluación de riesgos.
- Actividades de control.
- Información y comunicación.
- Actividades de monitoreo.
Esto permitirá al revisor fiscal realizar pruebas de cumplimiento, las cuales determinarán el riesgo y, por ende, el alcance de los procedimientos del revisor fiscal.
En la evaluación del sistema de control interno el auditor o revisor fiscal podría incurrir en un riesgo de error al no comprobar todas las operaciones. Al respecto, Roberto Valencia, especialista en Estándares Internacionales, profundiza en este tema:
Elementos para que un sistema de control interno sea efectivo
ISOTools Excellence indica que en todos los sistemas hay un alto grado de implicación del componente humano, por lo que quienes desempeñan un cargo deben tener la competencia para ello.
Otro punto por considerar es tener lineamientos bien definidos para tomar decisiones. Explica esta entidad:
Es primordial que se conozca hacia dónde va la organización, cómo lo va a lograr, la estructura del talento humano y que todo esté documentado para que sea de conocimiento oportuno de todos los interesados y así lograr una adecuada aplicación.
Por otra parte, la empresa debe tener clara la estrategia que aplicará para conseguir los objetivos trazados, llevándolos a planes e indicadores que se puedan medir para identificar desviaciones y que se tomen decisiones oportunas.
También se deben evaluar los riesgos, identificar los puntos en el desarrollo de los procesos sobre los cuales se deben establecer controles, por lo que se deben identificar cuáles serían las posibles desviaciones y cuáles de estas impactan en la consecución de los objetivos.
De la mano de lo anterior, se debe hacer un monitoreo constante, una revisión periódica que permita identificar si los controles implementados son efectivos. En caso de no serlos, se deben establecer los cambios necesarios para lograr el éxito de los controles e informar a la dirección de la organización cuando hay desviaciones para que se tomen las medidas a tiempo.