Con el fin evitar gravísimas fallas de los controles, estos son los cuatro pasos que debe seguir al crear su sistema de control interno.
1) Evalúe dónde se encuentra (planificar)
Para comprender y definir el estado actual del control interno, observe cómo se están logrando los objetivos de la empresa en Operaciones, Reportes y Cumplimiento. Las evaluaciones deben incluir el estado del entorno de control, la cultura corporativa en relación con los riesgos y controles (comenzando por arriba), las actividades de gestión y control de riesgos y las actividades de monitoreo. Los hallazgos le ayudarán a definir el grado de madurez de su compañía.
2) Asegúrese de tener lo necesario y comience (asignar recursos e implementar)
En esta etapa, es fundamental asegurarse de tener los recursos necesarios para desarrollar e implementar el plan. ¿Tiene el presupuesto? ¿La gente? ¿El tiempo? ¿La tecnología? Identificar y asegurar estos recursos puede ser muy trabajoso.
3) Acuerde a dónde desea llegar (comunicar y alinear)
Decida dónde debe utilizar el modelo de madurez como guía (informal/ad hoc, estándar, gestionado y monitoreado, optimizado). Esta decisión debe tomarla la alta gerencia; preferentemente, en consulta con los auditores. Los auditores siempre reportan el estado de los controles internos, por eso, son un excelente recurso y una guía para comenzar a crear un plan de acción.
4) Implementar y refinar el plan (revisar y probar)
Según lo que involucre su plan, la implementación puede llevar un tiempo. La revisión y pruebas deben realizarse de manera continua; este no es un tipo de programa que se pueda “instalar y olvidar”.
El futuro del control interno
¿Cómo es el futuro del control interno? Está siendo modelado por las amenazas y vulnerabilidades — y en última instancia, por los riesgos — que enfrentan las organizaciones. Por eso, es tan importante intentar predecir los riesgos e iniciar medidas de protección mediante controles.
La exposición a los riesgos está aumentando gracias a la nueva tecnología, Internet y la conectividad, la digitalización y las nuevas formas de trabajo. Con el aumento de la conectividad y la dependencia de Internet, la debilidad de los controles de la infraestructura puede paralizar organizaciones enteras.
Las tecnologías como el aprendizaje automático, la inteligencia artificial, la cadena de bloques, la conectividad global y las plataformas móviles han generado nuevas dependencias.
Trabajamos en un mundo nuevo y desafiante que incluye un uso casi total de dispositivos móviles, transacciones y operaciones bancarias en línea, teletrabajo, personal temporal contratado para cada proyecto, horarios flexibles y tercerización. Todos estos aspectos hacen que sea difícil exigir responsabilidad y todos requieren controles rigurosos y adecuados para mitigar el riesgo inherente.
Súmele la tendencia de facilitarnos las cosas cuando usamos la tecnología (único inicio de sesión, identificación del usuario en el sistema y sesiones siempre abiertas en las aplicaciones) y una pequeña brecha o falla en un sistema puede dar acceso al sistema completo. Un software maligno y autodidacta inyectado en un sistema causaría estragos. Ya hemos visto virus o bots que aprenden y cambian junto con los entornos en los que se introdujeron. Los controles también deben ser automatizados y autodidactas para observar, aprender y predecir los comportamientos de las potenciales amenazas.
Así, utilizando tecnologías de vanguardia, junto a las mejores prácticas y un enfoque estratégico, podrá iniciar el recorrido hacia su propia utopía de control interno.
