Ad imageAd image
OpiniónGrandes empresas

Sostenibilidad, control interno, reputación: El papel silencioso de la auditoría interna

Este artículo de Isabel Moreno, Directora de Auditoría Control y Riesgos en Repsol, forma parte del Dosier Corresponsables: Sostenibilidad en el sector de la Auditoría Interna

8 minutos de lectura
Isabel Moreno, Directora de Auditoría Control y Riesgos en Repsol.
Titulares
  • Repsol, empresa asociada al Instituto de Auditores Internos.
💡 Selecciona tu IA preferida para generar en segundos un análisis completo del contenido y una propuesta de post optimizado para redes sociales:
ClaudeChatGPTGoogle AIGeminiGrokPerplexity

En el ámbito de la sostenibilidad solemos hablar de compromisos, indicadores ESG y marcos de reporte. Sin embargo, uno de los factores que puede condicionar la viabilidad de una organización —su reputación— es un activo intangible, difícil de medir y, con frecuencia, invisible. Precisamente por eso, su correcta gestión exige algo más que buenas intenciones: requiere una cultura que impregne a la organización, un control interno sólido y proporcionado, integrado en la gestión operativa y supervisado desde el gobierno corporativo.

Contenidos

Desde la perspectiva de COSO ERM, la reputación no se concibe como un riesgo aislado, sino como una consecuencia transversal de cómo la organización identifica, evalúa y gestiona sus riesgos, tanto internos como externos. Y es en ese punto donde el control interno y la función de auditoría interna aportan un valor diferencial.

Cuando el riesgo parece estar fuera: una gestión que funciona

Imaginemos una compañía industrial con una estrategia ESG bien definida y un firme compromiso público con la sostenibilidad ambiental. Sus informes reflejan avances consistentes en eficiencia energética y reducción de emisiones, y el Consejo recibe información periódica sobre su desempeño.

Consciente de que una parte relevante de sus riesgos ESG se encuentran en la cadena de suministro, la compañía ha incorporado la gestión de terceros críticos a su sistema de control interno. No se limita a exigir certificaciones: evalúa de forma sistemática los riesgos operativos y reputacionales, integrándolos en su mapa de riesgos, y ajusta los controles en función del impacto potencial.

Un día, uno de sus proveedores es objeto de una sanción ambiental. El incidente no se produce en las instalaciones de la compañía, pero atrae la atención de los medios. Sin embargo, la organización puede reaccionar con rapidez y solvencia: conoce el riesgo, dispone de controles documentados, ha realizado evaluaciones periódicas y puede demostrar que el proveedor estaba sujeto a mecanismos de supervisión proporcionados.

Cuando surge el incidente, la pregunta no es “¿cómo ha podido pasar?”, sino “¿qué controles tenemos y cómo están funcionando?”. La situación se gestiona con transparencia y credibilidad, y el impacto reputacional se contiene.

La credibilidad no se protege solo con compromisos públicos y bien enunciados, sino con control interno bien diseñado, capaz de anticipar escenarios y sostener la confianza de los grupos de interés.

Cuando el riesgo está dentro de casa: controles que evolucionan

Pensemos ahora en una entidad de servicios con una cultura consolidada de buen gobierno. Cuenta con un código ético claro, canales de denuncia activos y un mensaje coherente desde la alta dirección sobre conducta responsable.

Lejos de considerar estos elementos como estáticos, la organización revisa periódicamente su entorno de control interno. Procesos sensibles —como la toma de decisiones relevantes, la segregación de funciones o las revisiones independientes— se analizan no solo desde una óptica de cumplimiento, sino también desde su impacto reputacional potencial.

En un contexto de creciente exposición pública, la entidad detecta que ciertos procesos, aun siendo formalmente correctos, podrían generar percepciones negativas si no cuentan con contrapesos eficaces. Antes de que surja ningún incidente, y tras una revisión de auditoría interna sobre el proceso, refuerza los controles, clarifica responsabilidades y mejora la trazabilidad de las decisiones críticas.

Gracias a ello, cuando se adopta una decisión controvertida desde el punto de vista externo, la organización puede explicar con claridad cómo se tomó, qué controles intervinieron y qué principios del código ético se aplicaron.

Control interno: ni exceso ni carencia

Con frecuencia, se tiende a asumir que más controles equivalen a menos riesgo, pero la experiencia demuestra que, a menudo, no es así. Cuando las organizaciones reaccionan a incidentes añadiendo capas sucesivas de validaciones, firmas o reportes, suelen generar procesos más lentos, costosos y difíciles de cumplir. Paradójicamente, este esquema puede incentivar atajos informales y debilitar el propio sistema.

Un control interno eficiente no busca eliminar todos los riesgos, sino cubrir razonablemente los riesgos relevantes, de forma proporcional y coherente con la estrategia, el apetito al riesgo y la realidad operativa del negocio.

Controlar de forma efectiva no es controlar más, sino controlar mejor. Ninguna estrategia sostenible es viable si compromete la capacidad de competir en el corto plazo. Proyectos y compromisos ESG o de cumplimiento diseñados al margen de los procesos reales del negocio pueden generar rechazo interno, sobrecarga burocrática y riesgos operativos y reputacionales adicionales.

Aquí, el control interno debe actuar como facilitador: controles claros, bien explicados, apoyados en tecnología y centrados en riesgos reales.

El papel silencioso —pero decisivo— de la auditoría interna

En todos los casos mencionados, el elemento común es un buen gobierno corporativo asentado en una cultura de rigor, eficiencia y mejora continua. La reputación se protege con anticipación, con decisiones que contemplen los riesgos y en las que intervengan los actores necesarios y, cuando es necesario, sabiendo reaccionar y comunicar con rigor, transparencia e integridad.

Desde un enfoque alineado con COSO ERM, la auditoría interna actúa como proveedor de aseguramiento para la alta dirección u órganos de gobierno de la entidad sobre:

  • La adecuada identificación de riesgos con impacto reputacional,
  • Su integración efectiva en la evaluación y priorización,
  • Y la eficacia de los controles diseñados para gestionarlos.

No se trata de buscar fallos, sino de confirmar que los controles evolucionan al ritmo de las expectativas sociales, regulatorias y de los grupos de interés, tomando en consideración tanto factores internos como la intervención de terceros en los procesos.

En materia de sostenibilidad y reputación, es fundamental reforzar la consistencia entre lo que la entidad es, lo que comunica y lo que hace. Es necesario poder demostrar, de forma consistente y creíble, que la organización está alienada y que existen controles suficientes para que las cosas sigan haciéndose bien. Porque cuando el control interno funciona, la reputación no solo mantiene su valor, sino que se convierte en un elemento clave para la continuidad a largo plazo de la entidad.

Este artículo forma parte del Dosier Corresponsables: Sostenibilidad en Auditoría Interna, en alianza con el Instituto de Auditores Internos de España

💡 Selecciona tu IA preferida para generar en segundos un análisis completo del contenido y una propuesta de post optimizado para redes sociales:
ClaudeChatGPTGoogle AIGeminiGrokPerplexity
ETIQUETADO:
Compartir este artículo
Artículo anterior Nuestro compromiso con una cadena de suministro sostenible
Artículo siguiente ¿Por qué la función de Auditoría Interna es clave en el Sistema de Control Interno de la Información de Sostenibilidad (SCIIS)?
- Publicidad -

Quizás también te guste