El control interno es el conjunto de procesos, políticas y controles que una empresa usa para prevenir fraudes, errores y abusos antes de que ocurran.
El día que FEMSA encontró un problema que nadie esperaba
En el área de compras de una subsidiaria de FEMSA, un analista llamado Roberto notó algo extraño un lunes por la mañana. Tres proveedores distintos habían recibido pagos duplicados en el mismo trimestre. El monto total: poco más de $2,400,000. Lo curioso no era el error en sí. Lo curioso era que ninguno de los tres proveedores lo había reportado.
Roberto no lo sabía en ese momento, pero acababa de activar uno de los mecanismos más importantes del gobierno corporativo moderno: el sistema de control interno. Ese sistema existe precisamente para detectar situaciones como esa, antes de que escalen a un fraude mayor o lleguen a los titulares de los periódicos.
Pero aquí viene la parte que sorprende a muchos directivos: según estudios de la Association of Certified Fraud Examiners, las empresas pierden en promedio el 5% de sus ingresos anuales por fraude ocupacional. En una empresa con ingresos de $10,000,000,000, eso representa $500,000,000 al año. Y en más del 40% de los casos detectados, el fraude existió durante más de 18 meses antes de ser descubierto.
Qué es realmente el control interno
El control interno no es un departamento ni una persona. Es una arquitectura. Está formada por políticas escritas, procedimientos operativos, segregación de funciones, sistemas tecnológicos y una cultura organizacional que premia la integridad.
El marco más usado en México y en el mundo para diseñar este sistema es el modelo COSO, desarrollado por el Committee of Sponsoring Organizations. COSO define cinco componentes que todo sistema de control interno debe tener: ambiente de control, evaluación de riesgos, actividades de control, información y comunicación, y monitoreo continuo.
El ambiente de control es el más difícil de construir y el más fácil de destruir. Se refiere a los valores que practica la dirección, no solo los que publica en su código de ética. Si el director general de una empresa aprueba gastos sin justificación, el mensaje real que recibe toda la organización es que las reglas son opcionales.
Cómo se diseña un sistema de auditoría en la práctica
Imagina que eres directora de Auditoría Interna en Liverpool. Tu trabajo no es simplemente revisar si los números cuadran. Tu trabajo es mapear todos los procesos críticos de la empresa, identificar dónde están los riesgos más altos y diseñar controles que los mitiguen antes de que se conviertan en pérdidas.
El primer paso es construir un universo de auditoría. Eso significa catalogar cada proceso relevante: compras, nómina, tesorería, logística, tecnología, cumplimiento regulatorio. Después, cada proceso recibe una calificación de riesgo basada en dos variables: probabilidad de que algo falle y el impacto que tendría ese fallo.
Los procesos con riesgo alto se auditan con mayor frecuencia, a veces dos veces al año. Los de riesgo bajo pueden auditarse cada dos o tres años. Esto no es negligencia; es eficiencia. Los recursos de auditoría son limitados y deben concentrarse donde el daño potencial es mayor.
El segundo paso es separar la auditoría interna de la auditoría externa. La auditoría interna trabaja dentro de la empresa, de forma continua, y reporta directamente al Comité de Auditoría del Consejo de Administración, no a la dirección general. Esa línea de reporte es crucial. Si el director de Auditoría Interna le reporta al CEO, pierde independencia. Y sin independencia, pierde credibilidad.
La auditoría externa, por otro lado, es realizada por un despacho independiente, como Deloitte, KPMG, EY o PwC, y su objetivo principal es emitir una opinión sobre si los estados financieros presentan razonablemente la situación financiera de la empresa. En México, la Ley del Mercado de Valores obliga a las empresas listadas en la Bolsa Mexicana de Valores a que sus estados financieros anuales sean auditados por un auditor externo independiente.
El Comité de Auditoría: la pieza que más importa
Aquí está la clave que muchos pasan por alto. Un sistema de control interno puede ser técnicamente impecable, pero si no tiene un supervisor con poder real e independencia genuina, se convierte en papel. Ese supervisor es el Comité de Auditoría.
El Comité de Auditoría es un subcomité del Consejo de Administración. Está formado exclusivamente por consejeros independientes, es decir, personas que no tienen relación laboral, comercial o familiar con la empresa. En México, la Ley del Mercado de Valores exige que al menos un miembro del Comité sea un experto financiero, con conocimiento real en contabilidad, auditoría o finanzas corporativas.
Sus responsabilidades son concretas y exigentes. Supervisa la contratación y el desempeño del auditor externo. Revisa los hallazgos de la auditoría interna. Aprueba las políticas de control interno. Y tiene la facultad de investigar cualquier irregularidad reportada, incluso si involucra a la alta dirección.
En empresas como Bimbo, que opera en más de 30 países, el Comité de Auditoría gestiona también los riesgos de cumplimiento en múltiples jurisdicciones. No es solo una cuestión de números: es una cuestión de reputación global.
Los errores que destruyen sistemas de control
El primer error más común es confundir cumplimiento con control. Tener políticas escritas no significa que el sistema funciona. Una empresa puede tener un código de ética de 40 páginas y al mismo tiempo carecer de mecanismos reales para detectar si alguien lo viola.
El segundo error es diseñar controles sin considerar la operación real. Un control que tarda tres días en aprobar una compra urgente de $5,000 no va a funcionar. Los empleados encontrarán la forma de evitarlo, y eso crea vulnerabilidades que nadie documentó.
El tercer error, quizás el más peligroso, es tener un Comité de Auditoría que existe solo en el organigrama. Si sus miembros no leen los reportes, no hacen preguntas difíciles y aprueban todo lo que la dirección propone, el Comité es una ilusión de gobierno. Mercado Libre, por ejemplo, publica en su reporte anual un resumen de las actividades del Comité de Auditoría, incluyendo cuántas reuniones tuvo y qué temas revisó. Esa transparencia es precisamente lo que diferencia a un Comité activo de uno decorativo.
El cuarto error es no tener un canal de denuncias efectivo. El 43% de los fraudes detectados en empresas, según datos globales, se descubren gracias a denuncias internas. Si los empleados no confían en que su reporte será confidencial y no tendrá represalias, no denuncian. Y si no denuncian, el fraude dura meses más de lo necesario.
El regreso de Roberto
Volvamos al lunes por la mañana de Roberto. Los pagos duplicados que encontró no eran un fraude deliberado. Eran un error de proceso: dos sistemas distintos de cuentas por pagar no estaban sincronizados correctamente. El equipo de auditoría interna documentó el hallazgo, identificó la causa raíz y diseñó un control automatizado para evitar que volviera a ocurrir.
El Comité de Auditoría recibió el reporte en su siguiente sesión trimestral. Hizo preguntas. Exigió un seguimiento en 60 días. Y ese seguimiento quedó registrado en las minutas del Consejo.
Eso es el control interno funcionando como debe. No es dramático. No sale en las noticias. Pero es exactamente lo que evita que una empresa de $10,000,000,000 pierda $500,000,000 sin que nadie se entere durante 18 meses.
La diferencia entre una empresa con gobierno sólido y una sin él no siempre se mide en grandes escándalos. A veces se mide en los lunes por la mañana donde alguien nota algo raro y el sistema está diseñado para que esa persona pueda hacer algo al respecto.