Cinco muy importantes organizaciones en los Estados Unidos de América (AAA, AICPA, FEI, IMA, IIA) gestaron a COSO. Este incluye una sistematización de los elementos del control interno, con lo cual se facilita su evaluación. Siguiendo al documento Enterprise Risk Management – Integrated Framework, el control interno supone cuatro grupos de objetivos: “• Strategic – high-level goals, aligned with and supporting its mission, ―• Operations – effective and efficient use of its resources, ―• Reporting – reliability of reporting, ―• Compliance – compliance with applicable laws and regulations.”

Por su lado, los elementos de un sistema de administración de riesgos son: Internal Environment, Objective Setting, Event Identification, Risk Assessment, Risk Response, Control Activities, Information and Communication, Monitoring.

De manera que, así como una auditoría de cumplimiento empieza por el conocimiento del cliente y la evaluación de su control interno, ésta se realiza atendiendo a sus elementos y objetivos.

La primera cuestión toca con la integridad de la gerencia y con sus actitudes frente al cumplimiento de las disposiciones. Como se sabe, existe el riesgo, frecuente, por cierto, que los administradores abandonen el cumplimiento de la ley, por favorecerse o beneficiar a los controlantes. Esto no es cuestión de palabras sino de hechos. Las mejores evaluaciones las obtendrán los que destinen recursos humanos, tecnológicos y bibliográficos suficientes y pertinentes a las labores del control interno. Si no hay inversiones de este tipo o son liliputienses, será claro que el control interno es débil, porque no se considera importante.

Deben existir claros objetivos, estrategias y tácticas, que concuerden con los valores y con la misión de la respectiva entidad. Si los objetivos son hacer dinero a toda costa, el control interno será muy débil. Si los objetivos se encuadran en la concepción de responsabilidad social contemplada en la ISO 26000, el panorama resultará mucho más halagador.

Toda empresa está sujeta a riesgos y a oportunidades. Hay que ser eficiente en el aprovechamiento de estas y en la represión de aquellos. Lo primero es ser capaz de identificar los unos y las otras. Esta es tarea que solo pueden hacer personas con conocimiento de la industria y de la empresa y con muchas experiencias. De muy poco vale reunir muchas personas, en varios grupos, para ponerlas a especular en estas materias.

Todos los riesgos deben ser evaluados: ¿cómo se manifestarían? ¿cuál es su probabilidad? ¿cuáles sus efectos? ¿cuáles las formas de evitarlos? ¿cuáles las maneras de reducir su impacto? ¿cuáles los costos de estos procesos? ¿son menores que los beneficios de un buen control? Estas evaluaciones deben resultar de hechos probados (evidencias). No son pálpitos, ni apuestas, ni deben ser el resultado de prejuicios o preconceptos, sino del verdadero conocimiento.

Hernando Bermúdez Gómez