Los sistemas de control interno y, en particular, sobre la información financiera (denominados comúnmente como SCIIF) fueron establecidos por muchas organizaciones para dar cumplimiento a requerimientos regulatorios desde hace ya más de una década y han permanecido en muchos casos perennes y sin muchos cambios. Comprender las tendencias, retos y estrategias de estos SCIIF puede ayudar a las organizaciones a identificar oportunidades para su desarrollo o mejora.
Una de estas tendencias que se ha observado en los últimos años es la racionalización de controles y reducción de los costes de su testeo. Esto es ya una realidad que se confirma en el el informe ‘Internal Controls Survey 2018’ elaborado por KPMG, donde se muestra que el 60% de las organizaciones encuestadas han incrementado la racionalización de controles. No obstante, un aspecto relevante es que, a pesar de ello, un 42% sigue manteniendo los mismos costes que en 2017. Esto constata la importancia de no sólo tener en cuenta el factor cuantitativo sino que hay que considerar con especial atención las estrategias de identificación de controles clave adecuados. En este punto volvemos a tener resultados contradictorios dado que el 61% de estas organizaciones afirma incluir en sus matrices de riesgos y controles tanto los controles clave como los que no lo son.
Una vez seleccionados los controles más adecuados, otro aspecto que consideramos importante es su documentación con la precisión, detalle y profundidad apropiada. En este punto, hemos visto una tendencia reciente al incremento de las soluciones tecnológicas específicas para gestionar la documentación y testeo del SCIIF en organizaciones de diversos tamaños. En el citado estudio, el 52% de las organizaciones han implementado estas soluciones en los dos últimos años. A pesar de ello, sigue existiendo margen de mejora para la reducción en el coste/esfuerzo tanto de la ejecución como testeo del control, debido fundamentalmente a la insuficiente calidad de las evidencias de ejecución del control.
Finalmente, de cara a optimizar el portfolio de controles, es importante analizar los otros posibles riesgos que estos controles pueden cubrir, con un enfoque de “SCIIF ampliado” que contribuyan a aportar valor al negocio y aprovechar un mismo control para poder cubrir riesgos de distintas tipologías.
Otras áreas de desarrollo que hemos observado en la práctica de estas funciones de control interno en los últimos años ha sido el incremento del uso de la tecnología y la automatización de controles. En esta línea, el 71% de las organizaciones encuestadas busca incrementar la automatización de controles, incluyendo el incremento en el uso de la analítica de datos y la robótica. Este incremento se percibe como una oportunidad significativa para ayudar a las organizaciones a optimizar su portfolio de controles. No obstante, sólo un 21% aproximadamente del portfolio total de controles son automáticos, estando en su mayoría concentrados en los procesos de Controles Generales de Tecnología de la Información (CGTIs) (39%), en el de compras-pagos (37%) y en el de ventas-cobros (33%). Las aplicaciones relevantes para el SCIIF objeto de revisión suelen ser entre 1 y 10 (40%) y entre 11-25 (otro 40%).
Por último, pero no menos relevante, la coordinación de las funciones de Control Interno/SCIIF con otros proveedores de aseguramiento, ya sean internos (compliance, gestión de riesgos, etc) como externos (auditor externo) es clave para conseguir un modelo integrado de control interno/SCIIF eficiente. En este sentido, aún queda mucho margen de mejora dado que en algunas ocasiones esta falta de coordinación puede conllevar esfuerzos adicionales o duplicidades. Así lo muestra dicho estudio en el que más del 50% de las organizaciones encuestadas afirma disponer de más controles en el alcance de su testeo que el auditor externo.
En resumen, conseguir un modelo de control interno/SCIIF efectivo y eficiente es un ejercicio que debe realizarse a partir de un profundo análisis, considerando un portfolio de controles clave adecuado en términos cuantitativos (adaptado al tamaño y contexto de la organización) y cualitativos (documentación apropiada y aportando calidad en la evidencia de su ejecución), valorando el potencial de automatización y escalabilidad y aprovechando al máximo la coordinación con otros proveedores de aseguramiento para optimizar al máximo el modelo de control interno.
La certificación tipo es un procedimiento reconoc...
La gestión de riesgos es hoy crítica para la fij...
Si piensas en productos de consumo, es probable qu...
