¿Son las políticas de la empresa Controles?

A los auditores (internos o externos) siempre nos asaltan inquietudes de tipo técnico que aparentemente tienen una respuesta obvia, pero que conllevan un juicio de valor riguroso. 

El tema de los controles es uno de los ejes en los procesos, pues permiten asegurar su éxito mitigando situaciones imprevistas e indeseables (las conocemos como Riesgos). Ahora bien, muchos auditores cuando realizan un diagnóstico del control interno de la Organización recopilan el mayor acervo probatorio posible: los manuales, procedimientos, protocolos etc, contentivos de políticas que rigen el hacer, o dan directrices para abordar ciertas transacciones o actividades. Al parecer, el sólo hecho de que esta información exista, los lleva la mayoría de veces a concluir y dar por descontado que existen controles en la Empresa para ciertas circunstancias (ej: las comunicaciones, la ética, el Gobierno Corporativo entre otras).

Lastimosamente, es bastante apresurado y aventurado sentenciar que “El sistema de control interno de la Compañía cuenta con controles que ayudan a mitigar riesgos relacionados con…” ¿por qué?, la respuesta es que todo se reduce a la esencia de un control. Aquí me voy a permitir hacer una rápida analogía derivada de la anatomía. El cuerpo humano tiene huesos, éstos están recubiertos por los músculos, los cuales a su vez están cubiertos con piel (el órgano más extenso), y todo este conjunto engranado es lo que le da forma a nuestro ser físico (y aunque seas un “chancho” o un “ñurido”, nunca vas a parecer Ameba o cualquier ser amorfo). Nunca verás en la calle un esqueleto sólo andando, o los músculos al descubierto andando, verás el cuerpo humano en su máxima expresión. Sucede lo mismo con los controles, cuya anatomía se sintetiza en: Diseño, Implementación y Eficacia Operativa. Definamos rápidamente estos términos para comprender el punto:

• Diseño: cuando los controles están operando como están prescritos, por personas que poseen la autoridad necesaria y competencia para ejecutarlos efectivamente, satisfaciendo los objetivos de control de la Compañía y que puedan efectivamente prevenir, o detectar errores o fraude que pudieran resultar en errores materiales. 
• Implementación: formalmente equivale a la prueba piloto “en vivo” o replicable acerca del funcionamiento del control en un instante determinado o escogido según las características del mismo.
• Eficacia Operativa: cuando se determina que el control está operando tal cual su diseño, es ejecutado por la persona que posee la autoridad necesaria y competencia para ponerlo en funcionamiento efectivamente. 

Ahora bien, una vez aclarado el cuerpo y espíritu de un control, verifiquemos la respuesta a la pregunta de este artículo: ¿son las políticas de una Compañía Controles?...para lograrlo, planteo un contra-ejemplo, que si bien puede resultar obvio, ayuda al propósito de la respuesta:

¿Un arqueo es un control?.... si

¿Una conciliación es un control?...si

Pero, ¿por qué lo son?... pues debido a que son empleados (entiéndase, operan) para un propósito específico en la Compañía (Manejo del efectivo y comprobación de la exactitud de saldos de cuentas respectivamente). Si ese “para qué” no existiera o no se contemplara, estaríamos ante una letra muerta o inocua. Imagine que un carro viniera con instrucciones. Se sabe que el control de aceleración es el freno. Desde luego, está escrito, pero si el carro en realidad no tuviera frenos, o si éstos no funcionaran, el control poco o nada puede hacer, y esto no es otra cosa que “no hay control”.

En este orden de ideas, sólo podríamos decir que las políticas de una empresa son controles SI Y SOLO SI estas, además de tener un propósito, son realmente empleadas dentro de los procesos. Rápidamente hagamos referencia a REFICAR u ODEBRETCH. De seguro tenían su código de Gobierno Corporativo y en él, controles contra la corrupción y el soborno. ¿son políticas?, por supuesto, pero, ¿fueron adecuadamente implementadas y operaron?, todo indica que no, por lo cual se infiere que no necesariamente son controles.

Conclusión: Si un control tiene su anatomía completa y cumple con los propósitos para los cuales fue creado dentro de los procesos (para el caso que nos ocupa, las políticas), se pueden considerar controles realmente, de lo contrario, hablamos sólo de “Buenas Intenciones”.

Imagenes tomadas de: 1) weissdesign.com y 2) sites.google.com