La Comisión de Auditoría desempeñan un destacado papel a la hora de supervisar los procesos de control interno de una organización, la cuestión que abordamos hoy en este nuevo artículo de la serie Comisión de Auditoría: cuestiones clave para una supervisión eficaz.
En el desempeño de esta función, aquellas que lo hacen de forma eficiente ejecutan su labor de control solicitando información relevante, pertinente y precisa al equipo directivo, a los auditores interno y externo, además de formulando preguntas directas y complejas.
La dirección es responsable de establecer y mantener un sistema efectivo de control interno. La Comisión de Auditoría debe supervisar estos controles y revisar la efectividad del sistema en su conjunto. Un sistema de control interno efectivo aporta seguridad razonable acerca de que las políticas, procesos, tareas, comportamientos y demás aspectos de una organización —considerados en su conjunto— propician su funcionamiento efectivo y eficiente, contribuyen a garantizar la calidad de la información presentada a nivel interno y externo, y ayudan a garantizar el cumplimiento de la legislación aplicable.
Deben utilizarse controles internos para mantener los riesgos a los que se enfrenta la organización dentro de los niveles de tolerancia definidos por el consejo, teniendo en cuenta la relación coste/beneficio. La Comisión de Auditoría ha de constatar que se han establecido políticas, actividades y procedimientos adecuados, y que estos funcionan según lo previsto. Un sistema efectivo de control interno gira en torno a la pauta marcada desde la dirección de la empresa, y en este sentido, tanto el consejo como la Comisión de Auditoría deben lanzar el claro mensaje de que las responsabilidades de control interno han de tomarse muy en serio en la organización.
La Comisión de Auditoría desempeña un destacado papel a la hora de supervisar los procesos de control interno de una organización
El rendimiento del sistema de control interno debe evaluarse mediante actividades de monitorización continuas, evaluaciones separadas como auditorías internas o una combinación de ambas. Los procedimientos para supervisar la adecuación y efectividad de los controles identificados deben estar integrados en las operaciones habituales de la organización. Aunque los procedimientos de monitorización forman parte del sistema de control general, estos son independientes en gran medida de los elementos que comprueban. Si bien la monitorización efectiva en toda la organización es un componente esencial de un sistema de control interno robusto, el consejo no puede confiar únicamente en los procesos de monitorización integrados para cumplir sus responsabilidades. El consejo, con la ayuda de la Comisión de Auditoría, debería recibir y revisar regularmente los informes sobre el control interno y estar informado acerca de cómo se han llevado a cabo las comprobaciones en las que se basan los informes.
Los informes de la dirección deberían ofrecer una valoración equilibrada en relación con la efectividad del sistema de control interno de las áreas cubiertas. Cualquier deficiencia o fallo de control significativo identificado debe abordarse en los informes, incluido el efecto que han tenido, podrían haber tenido o podrían tener en la organización, así como las acciones que se están adoptando para corregirlos. Es fundamental mantener un diálogo directo, continuo y abierto entre la dirección y la Comisión de Auditoría sobre los riesgos y los controles de la organización.
La Comisión de Auditoría debería definir el proceso que ha de adoptarse para la revisión (anual) de la efectividad de los sistemas de control interno y gestión de riesgos. El ejercicio de revisión anual debe considerar los temas abordados en los informes que se revisan durante el año, junto con la información adicional necesaria para garantizar que el consejo haya tenido en cuenta todos los aspectos importantes del control interno.
A continuación señalamos algunos indicios de que el control interno no está funcionando según lo previsto y deberían actuar como señales de alerta:
Los ejecutivos y los equipos de negocio no participan en los procesos de evaluación de riesgos y controles
- Los debates formales sobre riesgos y controles suelen posponerse
- Los procesos de riesgos y controles no se enmarcan en la actividad habitual
El desarrollo del sistema de control interno se percibe como el objetivo último
- Escaso debate o aportaciones adicionales
- La información presentada se centra solo en el riesgo cubierto
La supervisión y el cuestionamiento no son sólidos
- Las evaluaciones de riesgo y control, y los informes/procesos apenas cambian
- No se cuestiona a los “business owners” y estos reciben escaso feedback
El papel de la función de riesgos es confuso; en el mejor de los casos, se malinterpreta y, en el peor, se ignora
- Escasa potestad para cuestionar la estrategia y los riesgos relacionados
- Se percibe como simples consolidadores de la información
Rendición de cuentas poco clara en materia de riesgo
- Los riesgos no se abordan a tiempo y es difícil determinar donde encajarlos
- La auditoría interna «domina» en exceso el proceso
Las garantías son desiguales: elevadas para los riesgos tradicionales e insuficientes para los riesgos emergentes
- No existe una hoja de ruta clara en materia de garantías
- Los planes de auditoría interna giran en torno a los mismos temas
- Los equipos ejecutivos dependen en gran medida solo de las garantías que da la propia dirección
Preguntas clave para la Comisión de Auditoría
Identificación y monitorización de controles
-
- ¿Tiene la dirección estrategias claras para abordar los riesgos significativos identificados? ¿Se han definido acciones de control interno para todos los riesgos significativos identificados?
- ¿Cómo se ajustan los procesos/controles para reflejar deficiencias operativas o riesgos nuevos o en proceso de cambio?
- ¿Son suficientes los recursos de la empresa para realizar adecuadamente todas las actividades de control interno? ¿Qué especialistas participarán en la evaluación de controles sobre procesos complejos, que conlleven juicios de valor y dependan de las tecnologías?
- ¿Apoyan la cultura, el código de conducta, las políticas de recursos humanos y los sistemas de incentivos de la organización sus objetivos y el sistema de control interno?
- Mediante sus acciones y políticas, ¿demuestra la dirección el compromiso necesario con la competencia y la integridad en la organización?
- ¿Están la autoridad y responsabilidad claramente definidas y segregadas? ¿Se coordinan apropiadamente las decisiones y acciones de las diferentes partes de la compañía? ¿Existen controles adecuados sobre la aprobación y monitorización de transacciones especiales o extraordinarias?
- ¿La dirección y el consejo reciben informes oportunos, relevantes y fiables en materia de riesgo y control interno? ¿Se han configurado indicadores clave de riesgos para supervisar los riesgos significativos y las acciones mitigadoras?
- ¿Existen áreas en las operaciones de la empresa que auditoría interna u otras partes encargadas de facilitar garantías no entienden completamente?
- ¿Está el proceso de autoevaluación de la dirección adecuadamente gestionado, formalizado y comprobado por auditoría interna? ¿Se incorpora al proceso el nivel adecuado de cuestionamiento independiente?
- ¿Se utilizan las visitas cíclicas de auditoría interna y/o las revisiones especiales de auditores externos en la mayor medida posible en el proceso de monitorización?
Revisión y Valoración del control interno
-
- ¿Existen procesos de revisión continuados integrados en las operaciones de la organización, con vistas a supervisar la aplicación efectiva de las políticas, los procesos y las actividades vinculadas al control interno y la gestión de riesgos?
- ¿Supervisan estos procesos la capacidad de la organización para reevaluar los riesgos y ajustar los controles de manera efectiva en respuesta a cambios en sus objetivos, negocios, entorno externo y demás cambios en las evaluaciones de riesgos y control?
- ¿Existe una comunicación adecuada al consejo (y a las comisiones) acerca de la efectividad de los procesos de monitorización continuados sobre aspectos de riesgo y control interno, incluida información sobre cualquier debilidad o fallo significativo de manera puntual?
- ¿Algún hallazgo o debilidad de control interno refleja la necesidad de ejecutar una supervisión más exhaustiva de dicho sistema?
- ¿Se recibe información incoherente sobre riesgo y control interno de diversas funciones opuestas y, en su caso, hacen falta medidas para garantizar que la dirección aporte una visión única al respecto?
Deja un comentario