Mantilla - Auditoría del control interno (3a ed.)

La publicación que el amable lector tiene en sus manos recoge cómo se está desarrollando la auditoría del control interno, principalmente en el contexto de los cambios que se están dando en las estructuras y las prácticas relacionadas con el control interno. Éste, continúa evolucionando en todo el mundo a un ritmo que cada vez se acerca más a la velocidad de los negocios del presente.

Los esfuerzos provienen de múltiples direcciones, destacándose los realizados al interior de los negocios y las organizaciones, los aportes de las asociaciones profesionales y los requerimientos regulatorios en los distintos niveles.

Pueden destacarse dos consecuencias principales:

1. El control interno se ha vuelto cada vez más importante, eficiente y, por consiguiente, requerido. La necesidad de asegurar el logro de los objetivos organizacionales se está volviendo imperativa, esto es, no negociable.
2. El aseguramiento externo, principalmente por la vía de la auditoría, ha llevado a diferenciar cuáles organizaciones realmente lo necesitan (principalmente las entidades de interés público, que cotizan en bolsa, multinacionales, donde están en juego la riqueza y los ahorros de muchos) y cuáles pueden beneficiarse de él pero no requerirlo.

Por lo anterior esta tercera edición, si bien conserva los contenidos y la estructura de la segunda edición, incorpora los desarrollos más importantes que se han dado en el control interno, esto es, los derivados de la actualización a su estructura conceptual del control interno realizada por COSO en mayo de 2013 y de los enfoques de gobierno, riesgo y cumplimiento (GRC) que cada vez se afianzan más. Y al incorporar esos desarrollos previene al lector acerca de las consecuencias que ello tendrá para la auditoría del control interno.

La denominación técnica ‘auditoría del control interno’ es nueva. Surgió como consecuencia de los requerimientos de la Sección 404 de la Ley Sarbanes-Oxley de 2002 (Estados Unidos), concretados principalmente en el Estándar de Auditoría No. 2 de la PCAOB, reemplazado luego por el Estándar de Auditoría No. 5.

Antes de ello, predominaba la expresión ‘evaluación del control interno’, incluida dentro de los estándares de auditoría generalmente aceptados (GAAS/NAGA), y con el objetivo concreto de determinar el alcance de las pruebas de auditoría. Este tipo de evaluación del control interno fue aplicado con bastante éxito por los auditores de estados financieros y sus resultados se concretaron, por una parte, en ahorros para las firmas de contadores (a mejor control interno menos necesidad de aplicar pruebas de auditoría), y por otra en recomendaciones de control dirigidas a la administración (no siempre bien formuladas y pocas veces acatadas). Fue conocida como metodología de ‘riesgo y control’.

En la práctica, tácitamente se reconocía que el control interno era asunto exclusivo de los auditores.

Sin embargo, las cosas cambiaron de manera radical gracias a la introducción de la ‘auditoría del control interno’ por los efectos arriba mencionados de la implementación de la Sección 404. Tal cambio ha implicado una auténtica revolución porque la mencionada Ley:

1. Obliga a que exista un referente para el control interno. Técnicamente a ello se le denomina ‘criterio de control’ (o ‘estructura conceptual’) y se avanza con celeridad hacia ‘estándares internacionales de control interno’. La práctica anterior carecía de tal referente y por lo tanto el control interno se aplicaba según el entendimiento (‘leal saber y entender’) de cada cual.
2. Requiere, como condición para la auditoría del control interno, que previamente la administración realice una valoración del control interno. La consecuencia de esto es que la administración tiene que: (1) usar como referencia un ‘criterio de control’ previamente establecido y aceptado; (2) asumir sus responsabilidades por la implementación, el mantenimiento y la valoración del control interno; y (3) dejar de considerarlo un componente etéreo y definir responsabilidades específicas concretadas en los ‘ejecutivos que firman.’ Este era, posiblemente, el mayor de todos los vacíos existentes en el control interno: los auditores estaban obligados a evaluar el control interno pero la administración no tenía responsabilidades concretas y en consecuencia control interno era ‘cualquier cosa’ (unas veces buena, otras un desastre, a veces efectivo, en muchos casos inútil).
3. Integra la auditoría del control interno con la auditoría de estados financieros. Como parte de un mismo contrato y bajo la responsabilidad del mismo auditor independiente. No se trata de una auditoría integral sino de una integración de dos auditorías diferentes (cada una con sus propios objetivos) con el mismo objeto de análisis (el ente auditado y dentro de éste, principalmente, la información financiera). Los modelos tradicionales de auditoría de estados financieros, marcadamente profesionales, evaluaban el control interno para determinar el alcance de las pruebas de auditoría y ello en la práctica hacía que el control interno no hiciera parte del núcleo auditado.
4. Incorpora el análisis de la cadena de valor, en este caso, la cadena de valor del control interno. Ahora está claro que el control interno es un proceso que implica sub-procesos de diseño, implementación, mejoramiento, evaluación, valoración, auditoría y supervisión del control interno a partir de un mismo ‘criterio de control.’ Ello implica: (1) hay roles diferentes que se tienen que ejercer cada uno vinculado al mismo proceso, esto es, dar seguridad razonable del logro de los objetivos de negocio (eficacia y eficiencia de las operaciones; confiabilidad de la información financiera; y cumplimiento de leyes y obligaciones); y (2) los auditores (contadores públicos) hacen parte del proceso pero no son los únicos dentro de él y mucho menos los ‘propietarios’ del control interno. Con una consecuencia ‘dura’: se insertan como parte del proceso o no tienen nada que hacer dentro del mismo.
5. Conlleva pasar desde enfoques operacionales hacia enfoques estratégicos. Ya no es posible aplicar metodologías operacionales, desde abajo-hacia-arriba, centradas en el detalle (‘riesgo y control’) sino que se convierte en imperativo aplicar enfoques estratégicos, desde arriba-hacia-abajo, basados-en-riesgos, centrados en los controles a nivel-de-entidad. En consecuencia, así como el control interno tiene que ser efectivo, las metodologías de aplicación también tienen que ser efectivas.

La implementación de esto no ha sido asunto sencillo ni carente de dificultades. El principal argumento en contra han sido los altos costos que implica. Ello ha derivado en algunos aplazamientos, principalmente para las entidades medianas y pequeñas.

En el presente, los esfuerzos y, por consiguiente, las discusiones, giran alrededor de las metodologías. Esa ha sido la razón principal para sustituir el AS-2 por el AS-5 a fin de enfatizar que la metodología de auditoría del control interno (pero en general para todo el proceso de control interno) tiene que ser: (1) desde arriba-hacia-abajo; (2) basada-en-riesgos; y (3) centrada en los controles a nivel-de-entidad; pero también, que todo el proceso tiene que ser costo-efectivo (garantizar resultados, que los beneficios sean sustancialmente mayores que los costos necesarios).

En esa nueva metodología se está trabajando con celeridad actualmente y está requiriendo que todos los implicados se vinculen a la cadena de valor del control interno. Ya no es posible seguir con esfuerzos aislados.

En el caso concreto de la auditoría del control interno está conllevando, de manera adicional, modificar el modelo de negocios tradicional de los auditores (contadores públicos): cambian sus prácticas tradicionales o salen del proceso, con consecuencias que hoy no se vislumbran pero que algunos anticipan.