La pregunta entonces es, ¿qué se requiere para lograr un grado de madurez en el control, que lo haga permanentemente confiable para terceros? La respuesta se puede encontrar en un decálogo de conceptos prácticos para demostrar con hechos lo que se establece como tono de la organización a los más altos niveles. 

1.- Establecer un proceso formal de diseño y evaluación periódica de controles. Es frecuente que cuando se analiza un proceso con controles evidentemente débiles, surja la curiosidad de conocer quién los diseñó de ese modo, y la respuesta suele ser: “No puedes conocerlo, nadie ha sido”. Muchas veces los controles establecidos son el resultado de una sucesión de cambios, incluyendo alguno que otro proceso de rightsizing de la organización, en resumen, de la historia. Esta situación lleva a que el diseño, que quizás alguna vez fue apropiado para algún volumen de negocios, con otro sistema de datos, con negocios diferentes o con más personal, ahora ya no lo es. Los problemas que esto pueda generar se evitan con la simple tarea de repensar los controles con posterioridad a cada cambio relevante y con tener un revisor interno no solamente del cumplimiento de políticas, sino también de la adecuación de éstas a la realidad actual en los negocios, sistemas y personal de la empresa.

2.- Identificar y mitigar con tenacidad los temas que tienen mayor riesgo para la operación y la confiabilidad de la información. Ninguna empresa puede asignar recursos ilimitados para ejercer controles, por eso siempre se deben destinar los recursos disponibles a las áreas importantes. Para esto, lo primero es identificar los riesgos y después diseñar controles más fuertes ‒y posiblemente invertir más en éstos para las áreas a las cuales se tiene la intención de proteger más. Implementar un sistema de inspección o asignar más personal para control de un área o riesgo importante en la empresa puede justificarse fácilmente en lo económico. Para ello es necesario identificar los posibles escenarios de error o fraude, y atacarlos hasta disminuir el riesgo a niveles aceptables. En las áreas de menor riesgo, se espera que existan ciertos controles, pero siempre deberían estar relacionados con la dimensión de lo que se intenta proteger.

3.-Introducir capas en el modelo de control, para que cada una opere como complemento o alternativa de la otra. Revisiones, monitoreo y control de gestión, conciliaciones contables, revisiones y autorizaciones de transacciones, validaciones en los sistemas y segregación de funciones, entre otras, son algunas de las capas de control que conviene establecer, con la idea de que cada una opere como respaldo de la otra. Por ejemplo, si por una inapropiada segregación de funciones alguien tuviera actividades que incrementan el riesgo de fraude, un buen modelo de autorización puede cubrir el mismo objetivo. También las transacciones más alejadas de los parámetros típicos serían detenidas por las  validaciones del sistema. Además, si todo eso falla, el control de gestión mensual detectaría transacciones inusuales de cierta relevancia.

4.-Asignar las tareas al personal pensando en la segregación de funciones incompatibles. El criterio principal para asignar tareas al personal suele estar asociado con áreas, responsabilidades, equilibrio de cargas de trabajo o relación costo-beneficio, considerando el volumen de negocios y el costo del personal para operarlo. Para fortalecer los procesos de control es importante que dentro de esos lineamientos se introduzca una apropiada segregación de funciones incompatibles. En un entorno donde se logre determinar a detalle las funciones que deben limitarse para mitigar los riesgos de fraude en las áreas donde otros controles no son tan efectivos, se logra equilibrar el costo-beneficio del control basado en riesgos, y se evita hacer énfasis en la segregación de funciones de áreas, transacciones o aspectos sin tanto riesgo.

5.-Diseñar controles preventivos lo más automáticos como sea posible. La confiabilidad en una maquinaria es inversamente proporcional al número e importancia de las personas que la manejan (Ley de Watson del libro Las Leyes de Murphy). Más allá del tono de humor en el comentario, existen temas asociados a la fatiga en el ejercicio de controles preventivos, que en última instancia los debilitan. Un ejemplo es el proceso de autorización de compras, precios, notas de crédito y pagos, entre otros aspectos, que impactan en la organización.

Cuando para cada transacción se requiere preparar, firmar, distribuir y archivar documentos en papel para que, dado el caso, deba buscarse, recuperarse y exhibirse como muestra de que fue una transacción o cambio autorizado, hay que considerar que se puede llegar a ahorros cercanos a 90% si se automatizan los procesos mediante workflows; pero además, se garantiza que una transacción no se lleve a cabo sin autorización.

6.-Asegurar que los controles en el área de Tecnología de la Información (TI) sean muy fuertes y formales. Todas las empresas tienden a confiaren mayor o menor medida en sus sistemas informáticos. Los sistemas  apoyan el control en los negocios desde varios puntos de vista:

• Hacer el trabajo por nosotros sin susceptibilidad de error aleatorio (por ejemplo, calculan las facturas y las contabilizan automáticamente sin intervención humana). 2
• Prevenir que se ejecuten transacciones fuera de los parámetros establecidos (por ejemplo, pedidos de clientes inexistentes o entregas sin una petición aprobada).
• Proveer la información necesaria para ejercer los controles y monitorear la gestión del negocio (por ejemplo, reportes de sistemas transaccionales, cubos de Inteligencia de Negocios).
• Ayudar a poner en práctica la segregación de funciones definiendo permisos de acceso a tareas en los sistemas que procesan las transacciones.

 Pero la confiabilidad de todo lo que los sistemas hacen por nosotros depende directamente de los controles para la implementación, mantenimiento y operación dentro del área de TI. Hay tres temas que son particularmente críticos a la hora de evaluar qué tan robustos son los controles de TI: 

• La prohibición absoluta de modificar datos directamente de las bases donde se almacenan (por fuera de las funciones que proveen los propios sistemas) sin una supervisión extremadamente cercana del área usuaria.
• El establecimiento de controles sólidos que impidan al área de TI modificar los programas que componen a los sistemas, sin una autorización o sin un proceso detallado y formal de prueba por parte de las áreas usuarias.
• La asignación de permisos para acceso a datos y sistemas solamente con las autorizaciones y análisis previos de las áreas usuarias, para asegurar que procedan, pero también que sean aceptables desde el punto de vista de la segregación de funciones.

7.-Introducir válvulas de escape a los procesos, eliminando los controles rígidos que nadie cumple. En modo simple, si se establecen restricciones que impiden trabajar, es más probable que éstas sean violadas a que el negocio deje de operar. Eso nos lleva a la necesidad de establecer buenos controles, tan rígidos como se requieran, pero también a implementar regímenes de excepción bien monitoreados, que hagan razonable su cumplimiento.

Si pensamos en ejemplos de esto surgen las transacciones urgentes, en las que comúnmente se requieren similares autorizaciones, pero no previas a la ejecución, sino inmediatamente después, a modo de monitoreo. El tema a cuidar en todos los casos es asegurar que las excepciones y las urgencias se mantengan suficientemente esporádicas y no se llegue al abuso del procedimiento alterno.

8.- Asegurar que los procedimientos  de cierre y conciliación contable se cumplan al pie de la letra. Dentro de las diversas capas de control en las empresas, y por ser parte de los procesos naturales, no suelen valorarse del todo algunas acciones críticas como:

• Conciliar los saldos bancarios que aseguran que no existen pendientes antiguos.
• Inspeccionar los inventarios para poder identificar obsoletos, faltantes u otros temas con impacto financiero.
• Coordinar cuentas en general para identificar las fuentes de discrepancias y atacar las causas de las mismas.
• Eliminar la sensación de desorden que puede ser la cuna y la oportunidad para el fraude.

Esta categoría de control puede ser un termómetro válido para determinar qué tan saludables están muchos procesos operativos y financieros relevantes, y si sirven de base para divulgar información confiable a quien resulte apropiado, promoviendo un ambiente de transparencia.

9.- Utilizar únicamente información que procede de fuentes confiables. El título cae fácilmente en lo obvio si no se intenta especificar qué características hacen que las fuentes de la información utilizada puedan ser consideradas confiables. En términos simples, deben al menos darse las siguientes condiciones:

• No puede ser manipulada por quienes pudieran tener interés en hacerlo.
• Debe estar basada en los sistemas formales que procesan datos dentro de la organización o en fuentes externas  validadas.
• Tiene que conciliar con la contabilidad cuando sea pertinente.
• Debe someterse a controles y revisiones adecuados, incluyendo un análisis previo.

10.-Establecer controles de monitoreo del desempeño y gestión del negocio “Al ojo del amo engorda el ganado”, y el monitoreo del negocio no solamente lo hace más productivo, sino que permite tomar acciones correctivas oportunas. Además, en el camino para identificar oportunidades que mejoren el negocio, surgen temas relativos a la forma de operar y controlar transacciones individuales, y se pueden detectar errores en la propia información.

Los controles suelen ser también una herramienta sólida para detectar situaciones fraudulentas por montos importantes. Un ejemplo típico es el análisis del margen bruto sobre ventas que, cuando se realiza con el grado de detalle adecuado ‒siendo producto o familia, región, canal y se analiza con suficiente precisión, tolerando variaciones inexplicables solamente cuando sean por montos poco importantes‒ permite identificar precios o descuentos sobre ventas  contrarios a las políticas, compras a costos no autorizados e ineficiencias o mermas en planta.

Cualquiera puede sentirse más o menos identificado con algunos de los temas expuestos, pero al final, lo relevante no es solamente en qué información se confía, sino estar convencido de que se tienen sólidas y probadas razones para creer en ésta. Es común que las administraciones reciban informes de los auditores internos o externos con comentarios y recomendaciones para mejorar los procesos y los controles, con la expectativa de que sean resueltos. Mi sugerencia es que se mantenga un control centralizado del estado actual del análisis e implementación de recomendaciones.

Con ello se asegura que aquellas que requieren un tratamiento multidisciplinario no queden en una zona gris, así como tampoco la calidad y oportunidad de las respuestas y soluciones adoptadas.  

Cualquiera puede sentirse más o menos identificado con algunos de los temas expuestos, pero al final, lo relevante no es solamente en qué información se confía, sino estar convencido de que se tienen sólidas y probadas razones para creer en ésta.