10 consejos para reducir los costes de los controles internos

Los riesgos de compliance y ciberseguridad dominaron la agenda de los consejos y de auditoría interna en los últimos años. Después de numerosas implementaciones para abordar estos riesgos en constante evolución, las estructuras de control interno resultaron en una gran variedad de capas de controles que aumentan los gastos y las cargas de trabajo. Los costes por transacción aumentaron debido a aprobaciones adicionales, conciliaciones y seguridad de datos, así como sus testeos. También, con tantas piezas en movimiento, el marco de control interno se volvió inflexible para soportar cambios en muchas organizaciones. La planificación del programa de auditoría es el momento adecuado para considerar la eficiencia y el coste de los controles internos. Este artículo proporciona 10 sugerencias prácticas destinadas a ayudar a los auditores internos en la racionalización de controles.

1. Uso del modelo RACI para formular políticas claras: el modelo RACI ( Responsable / Autoridad de Rendir Cuentas / Consultado / Informado) se desarrolló inicialmente en funciones de reingeniería y especialistas en gestión de proyectos para definir las responsabilidades en la realización de actividades específicas por personas y departamentos. Auditoría interna puede usar este poderoso modelo para facilitar el diseño de políticas y controles fáciles de seguir. En el modelo RACI, cada actividad en un proceso de negocio se mapea secuencialmente en una matriz para coordinar la forma en que los gerentes y los empleados interactúan. Auditoría Interna puede usar el enfoque de las matrices RACI para identificar y remediar tareas duplicadas, controles faltantes y procesos sin supervisión. El modelo ayuda a evitar disputas sobre roles y responsabilidades de control que inevitablemente crean ineficiencias.
2. Políticas basadas en principios de control: las políticas muy detalladas no solamente conducen a la “microgestión”, sino también son susceptibles de elusión mediante la creación de excepciones innecesarias. Las políticas centradas en simples objetivos de control son más fáciles de seguir y de auditar su cumplimiento. Desarrollar marañas de controles intrincados y completamente detallados en las políticas no reduce mejor los riesgos involucrados en los procesos. Por el contrario, disminuyen el sentido de responsabilidad y crean oportunidades para eludir controles y complican el entrenamiento. Los controles basados en principios producen políticas que son económicas y más fáciles de cumplir. También simplifican la alineación de incentivos para controlar el rendimiento y facilitan desarrollar listas de verificación para autoevaluaciones de controles. Auditoría Interna puede evaluar la eficiencia y relevancia de las políticas para sugerir mejoras al negocio, incluyendo simplificar la redacción de controles y plantillas de cumplimiento.
3. Acortar las cadenas de aprobaciones: las capas de aprobaciones se acumulan a lo largo del tiempo como una evidencia arqueológica de las disputas de poder en las funciones de gestión. Las aprobaciones individuales e independientes solamente deberían ser necesarias cuando se inician las transacciones o cuando ocurren excepciones. Por ejemplo, una vez que se aprueba una orden de compra y se completa el pedido con éxito, no tiene sentido pedir aprobaciones adicionales en la factura o el pago al proveedor relacionado. Enfocar las aprobaciones a los riesgos de colusión y excepciones simplifica la delegación de autoridad mientras que reduce el tiempo de procesamiento de las transacciones. Auditoría Interna puede usar el análisis de datos, las técnicas de interrogación de archivos y las entrevistas con dueños de procesos para identificar retrasos e ineficiencias en las cadenas de aprobación.
4. Aumentar los umbrales de control: los límites de aprobación se pueden aumentar para las transacciones con menor riesgo de fraude o mayores costes de control. Por ejemplo, no tiene sentido crear una disputa con un proveedor cuando el monto a reclamar es menor que los costos de procesamiento, contabilización y gestión de la disputa. Los controles compensatorios y el monitoreo de detección de excepciones también ayudan para poder aumentar los umbrales de control. Auditoría Interna puede usar técnicas de estratificación para comparar los costes de controles con las exposición al riesgo a través de umbrales en transaccionales.
5. Limitar los canales de pago: Las empresas que usan transferencias bancarias (y a veces incluso cheques) sobre múltiples cuentas aumentan los costos de control y crean nuevos riesgos de fraude. Los controles se pueden optimizar al consolidar los canales de pago y desviar las compras de bajo riesgo para utilizar tarjetas de compras corporativas. Auditoría Interna puede analizar el número de transacciones y su valor acumulado para los diferentes canales de pago con el objetivo de evaluar los costes y los riesgos asociados.
6. Racionalizar el plan de cuentas: los planes de cuentas contables y de gestión mal diseñados o inconsistentes dificultan conciliar y controlar saldos, y además limitan la capacidad de proporcionar información sobre desempeño. El aseguramiento de la integridad y la consistencia de saldos en cuadros de cuentas complejos requieren controles innecesarios en la manipulación de datos para informes financieros, administrativos, fiscales y operativos. Las consolidaciones deben poder rastrearse fácilmente para controlar y prevenir errores de clasificación contable. Auditoría Interna puede entrevistar a las partes interesadas sobre cómo perciben el plan de cuentas y cómo se abordan las necesidades de toma de decisiones del negocio.
7. Consolidar transacciones: el agrupar el procesamiento, la contabilización y la aprobación de transacciones similares se reduce el número de controles necesarios. Hay muchas estrategias para reducir el número de eventos control mediante la agrupación de transacciones, por ejemplo, mediante el uso de contratos marco para suministros, órdenes de compra abiertas y limitando las compras o los pagos urgentes. Auditoría Interna puede entrevistar a los dueños de procesos para considerar alternativas para reducir el número de eventos a controlar.
8. Coordinar las funciones de aseguramiento: la falta de coordinación entre las funciones de aseguramiento resulta en la superposición de responsabilidades y definiciones de roles. Los planes de remediación de controles implementados ad hoc luego de fraudes o de hallazgos detectados por diferentes los tipos de auditorías terminan generando controles redundantes basados en políticas y herramientas superpuestas para abordar el mismo riesgo. El modelo de aseguramiento integrado hace que sea más fácil abordar la causa raíz de las deficiencias para organizar los planes de remediación. Un mapa de aseguramiento integrado permite la estrecha colaboración entre las funciones de riesgo, control y compliance, resultando en controles alineados con los riesgos de negocio. Estos mapas de aseguramiento funcionan bien al integrar las líneas de defensa. Auditoría interna puede involucrar otras funciones de aseguramiento para desarrollar un marco común con el soporte del consejo de administración y sus comités.
9. Maximizar las funcionalidades del ERP: las implementaciones de sistemas contables y administrativos mal gestionadas no terminan activando todos los controles automáticos disponibles en los ERPs modernos. Los controles básicos, como evitar pagos duplicados o pagos sin recepciones, son configuraciones predeterminadas en todos los ERPs. Sin embargo, las funcionalidades complejas pueden quedar relegadas durante las instalaciones de los sistemas. Las funcionalidades infrautilizadas generalmente incluyen validar datos de entrada, establecer entradas contables recurrentes, operacionalizar actividades de cierre, registrar preliminarmente documentos hasta su aprobación, controlar los límites de crédito, asegurar la compatibilidad accesos de usuarios, monitorear controles, documentar y validar cambios en datos maestros y prevenir el fraccionamiento de transacciones para evitar aprobaciones por montos. Si las funcionalidades no abordan las necesidades de información, tanto del departamento financiero como los sectores operativos, terminan creando hojas de cálculo complejas para convertir, conciliar y controlar datos transaccionales. Al trabajar con hojas de cálculo manuales en lugar de utilizar directamente los informes de los ERPs quedan controles susceptibles de errores humanos al usar información obsoleta y generan ineficiencias de costes. Auditoría Interna puede trabajar con dueños de los procesos y otras partes interesadas para evaluar cómo todas las funcionalidades de ERP se han implementado.
10. Considerar nuevas soluciones de negocios: hoy en día, hay muchas soluciones que permiten automatizar controles y acciones previstas en las políticas. Estas soluciones reducen los costes de procesamiento al reducir el tiempo consumido por los procesos manuales y la propensión a errores. Estas aplicaciones generalmente ofrecen automatizar el cierre contable, realizar conciliaciones automáticas, procesar rendiciones de gastos de viaje, utilizar facturación electrónica, escanear documentos, usar interfaces con portales de compras, administrar créditos para clientes, registrar el tiempo y la asistencia de los empleados, y detectar fraudes. Por ejemplo, soluciones para la gestión de flujos de trabajo pueden administrar acciones pendientes, recordatorios, rechazos y alertas, y también mantener los documentos del cierre contable en la nube para mejorar la comunicación. Analytics merece una mención especial aquí. Los controles se pueden automatizar mediante advertencias en tiempo real e informes de excepción, basados en analytics y combinándolos con el profundo conocimiento de los auditores internos. Auditoría Interna puede ser parte consultiva para identificar e implementar soluciones para automatizar los controles.

La responsabilidad del diseño y la operación de un marco de riesgo y control interno descansa en las funciones de gestión, por ejemplo, el CFO para abordar el fraude contable y los riesgos por la inexacta presentación de informes financieros. En muchos casos, las funciones de gestión todavía dependen en gran medida de los controles manuales y complejos. Este es un problema tangible para Auditoría Interna ya que los controles manuales son difíciles de auditar y aumentan el número de los hallazgos por falta de cumplimiento. Los auditores internos impactan en el ambiente de control no solamente evaluando su adecuación y funcionamiento, sino también ayudando a los gerentes para justificar y mejorar controles en las operaciones. Auditoría Interna puede tener discusiones francas con la alta gerencia acerca de su aspiraciones, los "estándares de oro" de calidad y las inversiones disponibles en las áreas de control. Al final, los controles existen para generar un flujo de ingresos sostenible, para ahorrar dinero al reducir el fraude y las desviaciones sobre los planes de negocios abordando las necesidades del cliente.

Hernan Huwyler

Hernan Huwyler es Director Académico del Programa Superior en Compliance y especialista en gobierno, riesgo y compliance en empresas multinacionales. Trabaja desarrollando controles internos para abordar riesgos de negocios y requerimientos legales en corporaciones Europeas y en las Américas. Actualmente es Senior Manager de Compliance and Risk Center of Excellence en  ISS World Management. Previamente, trabajó en Deloitte en Copenhague para desarrollar la práctica de consultoría de riesgos y frecuentemente imparte conferencias sobre cumplimiento, gestión de riesgos, privacidad de datos, RGPD y auditoría en universidades y escuelas de negocios reconocidas.

Este artículo fue publicado originalmente en la revista INFO del IIA de Dinamarca