Marco de Control Interno COSO III. ¿Cuál es su alcance?
Por: Jesús Aisa Díez – Colaborador de www.auditool.org
Hace apenas unos meses, después de varios años de preparación, ha sido publicado el Marco sobre Control Interno actualizado, pasando a identificarse de forma coloquial como COSO III. Dando así continuidad a la saga de los COSO´s, iniciada en 1992 con el Marco ahora actualizado (COSO I), y posteriormente ampliada con el Enterprice Risk Management (ERM), año 2004, o COSO II.
Desde mi perspectiva, si bien COSO I dedicaba toda su atención a la forma de entender, y atender, el control interno de las organizaciones, con el documento del año 2004, es decir con el ERM, se seguía manteniendo la preocupación por el control interno, pero se incidía y ampliaba un aspecto básico para conseguirlo, en concreto, la descripción del proceso de gestión de los riesgos, por lo que se detallaban, como nuevos elementos: (I) el establecimiento de los objetivos empresariales, (ii) la identificación de eventos que pudiesen afectarles y (iii) las respuestas a los riesgos. Aparte de considerar que los objetivos deben ser consecuentes con la estrategia fijada por la Organización.
Con esta ampliación, creo, que los que tuvimos oportunidad de apoyarnos en estos protocolos, entendimos que la administración de riesgos era uno de los elementos fundamentales del Sistema de Control Interno con el que lograr la eficacia y eficiencia de las operaciones, la confiabilidad de los reportes y el cumplimiento de leyes, normas y reglamentos, ya que dichos sistemas de gestión de riesgos no son independientes del Sistema de Control Interno, sino que forman parte integral del mismo. En sentido inverso la afirmación contraria también es cierta, ya que no puede existir una adecuada gestión de los riesgos, si en la empresa no impera un buen control interno. Por ello la versión de COSO relativa a la Gestión de Riesgos Empresariales, ERM por sus siglas en inglés, la entendimos que era COSO I, ampliado con un sistema de gestión de riesgos. Es decir, que mejorándolo, lo anulaba y sustituía, a todos los efectos.
Por todo ello, esta ampliación del año 2004 permitió “corregir” algunos de los aspectos del Marco original que necesitaban mejorarse, por ejemplo: que los objetivos del control interno no debían limitarse a la “fiabilidad de la información financiera”, sino que debía darse cabida a todo tipo de información, no solo la financiera. También que el orden de los elementos, fuesen 5 u 8, debían partir del “entorno de control”, situándolo en el nivel más alto del cubo que gráficamente lo representaba, reconociendo así la validez del criterio “Tone at the top”, que nos indicaba que un buen tono en la parte superior se consideraba como un requisito previo para conseguir un adecuado y sólido gobierno corporativo. Adicionalmente se consideró oportuno señalar que los objetivos, fuesen estos operacionales, de reporting o de cumplimiento normativo, debían fijarse de forma coherente con los objetivos estratégicos previamente definidos, los cuales derivaban de la estrategia de la Organización, que era lo primero que había que conocer.
Hasta aquí, al menos, lo que yo entendí, pero debía estar equivocado, puesto que 9 años después de publicarse ERM, se difunde una nueva versión de COSO I, actualizada y mejorada. En ella se admiten todos los cambios/mejoras ya introducidas por COSO II, salvo que los elementos vuelven a quedar reducidos a 5, no haciendo referencia explícita al: Establecimiento de objetivos, Identificación de eventos y Respuesta a los riesgos; aunque el correspondiente a “evaluación de riesgos” sí admite de manera inequívoca que la evaluación de riesgos debe incluir la identificación de los riesgos, su análisis y la respuesta que sea precisa. Adicionalmente se da entrada a los conceptos de la tolerancia al riesgo en la evaluación de los niveles aceptables de riesgo, e incluyendo como novedad, ahora sí, los conceptos de: velocidad y persistencia de los riesgos como criterios para evaluar la criticidad de los mismos.
Además cuando se citan las mejoras que acompañan al nuevo Marco actualizado, se comenta que este ahora viene acompañado de dos nuevos y novedosos documentos: el correspondiente al Control Interno sobre la información financiera externa (ICEFR) y las herramientas de evaluación a emplear para valorar la eficacia del control interno; olvidándose, al parecer, que en el año 2006 el propio COSO publicó el documento “Control Interno para la información financiera para Pequeñas empresas cotizadas”, y en el 2009, la Guía para la Supervisión de Sistemas de Control Interno”.
Adicionalmente se expone que se habilita un proceso de transición para la entrada en vigor del nuevo Marco de 18 meses, fijándose esta en el 15 de Diciembre del 2014, siendo efectiva hasta ese momento COSO I.
Algo, o su totalidad, no he debido interpretar adecuadamente, pues: (i) si los cambios son necesarios, por qué el periodo de transición de 18 meses, (ii) desde cuando COSO es de obligado cumplimiento en la gestión del Control Interno/ Sistemas de gestión de Riesgos para que haya que informar si hemos actuado según COSO I o COSO III, (iii) es realmente útil y, sobre todo factible, empezar a emplear mapas de riesgos multidimensionales.
Por último, no sé si los cambios de COSO III conducirán a que pronto aparecerá un nuevo COSO IV, que sería el COSO II con los cambios que se deriven de la nueva versión del Marco Integrado de Control Interno, o que ERM desaparece por haber sido subsumido en COSO III.
Si alguien me lo puede explicar, por favor, le ruego que me lo aclare. Hasta entonces, o al menos hasta el 15 de Diciembre de 2014, seguiré evaluando los riesgos según el método clásico midiendo “solo” su impacto y probabilidad.
Del Autor: Jesús Aisa – jesus.aisa@auditool.org
Ingeniero Técnico Industrial Universidad Politécnica de Madrid, Licenciado en Ciencias Económicas y Empresariales por la Universidad Complutense de Madrid, Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA., ponente de diversos cursos y workshops sobre materias relacionadas con el control interno. Asesor en control interno. Ponente y conferencista en diversos eventos internacionales, tanto en España, como Iberoamérica. Evaluador certificado de Quality Assurance y director múltiples evaluaciones de calidad de Unidades de Auditoría Interna realizadas en el ámbito iberoamericano, tanto en España, Portugal, como en diversos países latinoamericanos (Chile, Perú y Colombia)». Colaborador de www.auditool.org
Comentarios