¿Qué es el grado de madurez de un sistema de control interno?
Todo buen accionista, miembros de junta directiva, directores, gerentes y empleados tienen conocimiento que toda organización estable, documenta y comunica objetivos empresariales sostenibles.
Los objetivos empresariales se resumen en LOGRAR EL ÉXITO SOSTENIDO.
Ahora bien, en el contexto empresarial existen factores que influyen ese éxito sostenible y que básicamente se resumen en tres:
- Partes interesadas (Son aquellas que pueden afectar, verse afectadas o percibirse como afectadas por las decisiones o actividades de la organización. Es tarea de la organización identificar las partes interesadas y establecer las relaciones continuas para lograr beneficios).
- Cuestiones externas (Son aquellos factores externos que puedan afectar la capacidad de la organización para lograr el éxito sostenido).
- Cuestiones internas (Son aquellas que existen dentro de la organización que pueden afectar a la capacidad de la organización para lograr el éxito sostenido).
Y es en las cuestiones internas donde se encuentran el factor de la madurez del sistema de control interno de la organización.
Existen ocasiones en que el tamaño, complejidad de operaciones y hasta falta de presupuesto en las organizaciones puedan limitar la implementación, desarrollo y corrección de un sistema de control interno, pero como el objetivo principal es el éxito sostenido, los responsables deberán adecuarse a estas limitaciones.
¿Quiénes son los responsables?
Siempre se dice que los responsables los comprenden tanto la alta gerencia como el último eslabón de la organización, pero en la práctica siembre se delega esta responsabilidad a una sola persona o departamento: AUDITORÍA INTERNA.
Sea un departamento, grupo de personas o hasta una sola persona, el responsable de las tareas inherentes de AUDITORÍA INTERNA, siempre se recomienda la participación de un tercero, fuera de la organización e independiente para que proporcione un aseguramiento independiente en el ámbito de los reportes de información financiera, es decir el AUDITOR EXTERNO.
¿Cómo puedo medir el logro del éxito sostenido?
El departamento, grupo de personas, o externo de la organización que tienen las funciones de AUDITORÍA INTERNÓ puede determinar si los controles internos son eficaces y eficientes gracias a unas métricas producto de la recopilación, procesamiento y análisis de datos obtenidos a través de las diferentes métodos o técnicas documentales con las que se pueden contar.
Existe una herramienta de evaluación que permite medir la evolución de un sistema a lo largo de un espectro estructurado, que se encarga de evaluar los cinco componentes que conforman el Marco COSO-CI-2013, vale decir:
- Ambiente de control.
- Evaluación de riesgos.
- Actividades de control.
- Información y comunicación.
- Actividades de supervisión.
Para esa evaluación, se utiliza unas escalas que van del 0 al 5, donde se determina:
| Nivel | Descripción |
| Inexistente | No hay evidencia de controles sistemáticos. |
| Inicial (Ad hoc) | Controles improvisados o individuales, no estandarizados. |
| Repetible | Algunos controles formales, pero son coherencia ni evaluación. |
| Definido | Políticas, procedimientos y controles están documentados y aplicados |
| Gestionado | El desempeño de los controles se mide y ajusta periódicamente |
| Optimizado | Control interno integrado a la estrategia, con mejora continua y automatizado. |
Vamos a evaluar nuestra organización
A continuación, se va a realizar una evaluación interina de una organización, y para ello contaremos con el siguiente cuestionario:
| 1. Ambiente de control | ||
| Nivel | Características | Puntaje |
| 0 | No existen códigos de ética ni tono organizacional claro. | |
| 1 | La ética depende del líder de turno; hay reglas implícitas. | |
| 2 | Existe un código de conducta, pero es desconocido o ignorado. | |
| 3 | Hay políticas claras, comunicadas y estructuras formales. | |
| 4 | La cultura de control es promovida por líderes y evaluada regularmente. | |
| 5 | Valores éticos son parte del ADN organizacional; el control es compartido y medido en clima. | |
| 2. Evaluación de riesgos | ||
| Nivel | Características | Puntaje |
| 0 | Los riesgos no se identifican ni gestionan. | |
| 1 | Se habla de riesgos, pero sin metodología. | |
| 2 | Se hacen matrices de riesgo de forma aislada y poco actualizada. | |
| 3 | Hay un proceso formal de identificación, valoración y tratamiento de riesgos. | |
| 4 | Se monitorean riesgos clave; se vinculan a decisiones y controles. | |
| 5 | Riesgos emergentes se analizan con herramientas predictivas; se anticipan escenarios. | |
| 3. Actividades de control | ||
| Nivel | Características | Puntaje |
| 0 | No existen controles definidos. | |
| 1 | Controles improvisados, ejecutados según experiencia del operador. | |
| 2 | Hay controles documentados en algunas áreas, pero sin consistencia. | |
| 3 | Controles están integrados en los procesos, con responsabilidades claras. | |
| 4 | Se prueban regularmente, se mejora su diseño y se ajustan según eventos. | |
| 5 | Automatización avanzada, control embebido en procesos digitales, con autoevaluación continua. | |
| 4. Información y comunicación | ||
| Nivel | Características | Puntaje |
| 0 | La información fluye de forma informal o no fluye. | |
| 1 | Se comunican datos críticos, pero sin estructura ni trazabilidad. | |
| 2 | Existen reportes formales, pero no siempre relevantes ni oportunos. | |
| 3 | Se comunica la información adecuada a las personas adecuadas. | |
| 4 | Comunicación vertical y horizontal, con sistemas de retroalimentación. | |
| 5 | Comunicación integrada a herramientas tecnológicas, con monitoreo de calidad de datos. | |
| 5. Actividades de monitoreo | ||
| Nivel | Características | Puntaje |
| 0 | Nadie revisa si los controles existen o funcionan. | |
| 1 | Revisión reactiva tras errores o hallazgos externos. | |
| 2 | Auditoría interna monitorea ciertos procesos. | |
| 3 | Existe un plan formal de monitoreo y retroalimentación de controles. | |
| 4 | Los resultados del monitoreo generan acciones de mejora concretas. | |
| 5 | Se aplican tableros de control, indicadores, alertas y revisiones continuas por áreas de negocio. | |
La forma, lugar o momento para llevar a cabo esta evaluación introductoria es evaluado por el responsable designado. Las herramientas tecnológicas asumen un papel importante, ya que se debe dejar documentado, tanto en físico como electrónicamente, el levantamiento de información.
Una vez llevado a cabo el levantamiento de información de carácter introductoria, se procede a reflejar los resultados en una gráfica tipo RADAR.
Producto de este levantamiento introductoria del sistema de control interno de la organización, se planificarán y ejecutarán las próximas acciones a emprender.
