Al realizar una auditoría de cuentas, uno de los aspectos esenciales que hay que contemplar es la revisión del control interno de la entidad, concepto que es aplicable a cualquier tipo de organización, ya sea auditada o no, con independencia del tamaño de la misma. La importancia del control interno radica en que tiene un significado que no debe entenderse como sinónimo de vigilancia, inspección o supervisión, aunque estos elementos formen parte del mismo. Es bastante más. El control interno es "un proceso efectuado por el Consejo de Administración, la Dirección y el resto del personal, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos".

Esta es la definición que consensuaron expertos profesionales y académicos en el año 1997 (Informe COSO1) y que, aunque ha sido actualizada posteriormente, resulta de fácil comprensión para cualquiera que no sea experto en esta materia. La relevancia de esta idea se deduce al analizar los graves problemas que puede acarrear la inexistencia de un debido control. Valgan como ejemplo las desastrosas consecuencias que tuvo la desregulación financiera en la reciente crisis, como muestra de lo que sucede cuando los controles y las normas se reducen de forma significativa.

Los componentes del control interno son cinco, aunque en posteriores definiciones han sido ampliados por el desarrollo de alguno de ellos: entorno de control, evaluación de riesgos, actividades de control, información/comunicación y supervisión. La representación gráfica de estos elementos es una pirámide, cuya base es el entorno de control, aspecto esencial en cualquier institución porque incluye la integridad, los valores éticos, la competencia de las personas, la filosofía de la dirección y el estilo operativo. Es evidente que la cultura corporativa y la concienciación de todo el personal inciden de forma primordial en este proceso, como elementos claves sobre los que pivota todo el desarrollo de la entidad.

Con la evaluación de riesgo se tratan de identificar y analizar los riesgos importantes que pueden interferir en el logro de los objetivos. Se deben conocer las amenazas a las que hay que enfrentarse y fijar objetivos integrados en todas las áreas, para que la organización funcione de forma coordinada. A tal fin, deben establecerse mecanismos para detectar, examinar y tratar los riesgos correspondientes. La tipología de riesgos a los que se está expuesto es muy variada y contempla algunos que son generales y que pueden acaecer en cualquier entidad, así como otros propios de la actividad específica de la misma. Los riesgos a los que se enfrenta son de diversa índole: legal, financiero, ambiental, tecnológico, humano, de competencia… que se deben gestionar convenientemente.

El siguiente aspecto a considerar es la definición de las actividades de control, que son las políticas y procedimientos que ayudan a asegurar que se llevan a cabo las directrices de la dirección. Por medio de estas actividades se establece la metodología precisa para conseguir una seguridad razonable de que se efectúan las acciones necesarias para abordar las contingencias que puedan surgir respecto a la consecución de los objetivos.

A la vez, se ha de establecer un sistema de información y comunicación que fluye a lo largo de toda la pirámide que representa a la entidad. La información pertinente tiene que ser identificada, recogida y comunicada, en forma y plazo, de forma que permita a las personas llevar a cabo sus responsabilidades. Es imprescindible que la información circule tanto en sentido horizontal como vertical, que permita a los trabajadores llegar a los niveles superiores, lo que contribuye al mejor desarrollo, gestión y control de las operaciones.

Finalmente, el vértice de la pirámide se concreta en la supervisión, porque es necesario que se evalúe la calidad de los resultados del sistema a lo largo del tiempo. Esto se consigue mediante actividades de vigilancia continua y de evaluaciones independientes, o bien una combinación de ambas. La revisión permite introducir las modificaciones pertinentes, cuando las circunstancias lo requieren, de forma que el sistema tiene capacidad para reaccionar ágilmente y cambiar, de acuerdo con los acontecimientos.

El proceso culmina con la auditoría, ya sea interna o externa o, en su defecto, si se trata de una pequeña empresa (normalmente sin departamento de auditoría interna) mediante el ejercicio de la función de control por la propia dirección. Es preciso resaltar que la existencia de control interno es un requisito imprescindible para auditarse, aunque cualquier entidad, incluyendo la pyme, puede y debe establecer un adecuado sistema, cuyo nivel de eficacia se determina en función de una relación coste/beneficio.

Existen dos tipos de costes opuestos: de una parte, los derivados de mantener un sistema de control interno (costes de auditoría interna y externa) y de otra los previsibles costes de pérdidas en los que se podría incurrir por un déficit de control, con la materialización de algunos riesgos, cuya minimización es el beneficio que se obtiene. Un grado máximo de control implica unos costes de auditoría muy elevados, mientras que la ausencia de control conlleva la posibilidad de que los costes por pérdidas, derivadas de riesgos incurridos, sean enormes.

El punto óptimo es aquel en el que son equivalentes los costes de los riesgos potenciales y el coste de evaluación del control interno. Por ello, cada entidad, según su tamaño, su volumen de negocio, la tipología de riesgos… deberá determinar el grado de control que le permita cumplir sus objetivos con un grado de seguridad razonable.