Cerrar Menú
Las opiniones de los blogueros son de su estricta responsabilidad y no representan la opinión de este portal.
Profile image

Ingrese o regístrese acá para seguir este blog.

Seguir este blog

Por: Jesús Aisa Díez – Colaborador de www.auditool.org

 

Hace apenas unos meses, después de varios años de preparación, ha sido publicado el Marco sobre Control Interno actualizado, pasando a identificarse de forma coloquial como COSO III. Dando así continuidad a la saga de los COSO´s, iniciada en 1992 con el Marco ahora actualizado (COSO I), y posteriormente ampliada con el Enterprice Risk Management (ERM), año 2004, o COSO II.

 

Desde mi perspectiva, si bien COSO I dedicaba toda su atención a la forma de entender, y atender, el control interno de las organizaciones, con el documento del año 2004, es decir con el ERM, se seguía manteniendo la preocupación por el control interno, pero se incidía y ampliaba un aspecto básico para conseguirlo, en concreto, la descripción del  proceso de  gestión de los riesgos, por lo que se detallaban, como nuevos elementos: (I) el establecimiento de los objetivos empresariales, (ii) la identificación de eventos que pudiesen afectarles y (iii) las respuestas a los riesgos. Aparte de considerar que los objetivos deben ser consecuentes con la estrategia fijada por la Organización.

 

Con esta ampliación, creo, que los que tuvimos oportunidad de apoyarnos en estos protocolos, entendimos que la administración de riesgos era uno de los elementos fundamentales del Sistema de Control Interno con el que lograr la eficacia y eficiencia de las operaciones, la confiabilidad de los reportes y el cumplimiento de leyes, normas y reglamentos, ya que dichos sistemas de gestión de riesgos no son independientes del Sistema de Control Interno, sino que forman parte integral del mismo. En sentido inverso la afirmación contraria también es cierta, ya que no puede existir una adecuada gestión de los riesgos, si en la empresa no impera un buen control interno. Por ello la versión de COSO relativa a la Gestión de Riesgos Empresariales, ERM por sus siglas en inglés, la entendimos que era COSO I, ampliado con un sistema de gestión de riesgos. Es decir, que mejorándolo, lo anulaba y sustituía, a todos los efectos.

 

Por todo ello, esta ampliación del año 2004 permitió “corregir” algunos de los aspectos del Marco original que necesitaban mejorarse, por ejemplo: que los objetivos del control interno no debían limitarse a la “fiabilidad de la información financiera”, sino que debía darse cabida a todo tipo de información, no solo la financiera. También que el orden de los elementos, fuesen 5 u 8, debían partir del “entorno de control”, situándolo en el nivel más alto del cubo que gráficamente lo representaba, reconociendo así la validez del criterio “Tone at the top”, que nos indicaba que un buen tono en la parte superior se consideraba como un requisito previo para conseguir un adecuado y sólido gobierno corporativo. Adicionalmente se consideró oportuno señalar que los objetivos, fuesen estos operacionales, de reporting o de cumplimiento normativo, debían fijarse de forma coherente con los objetivos estratégicos previamente definidos, los cuales derivaban de la estrategia de la Organización, que era lo primero que había que conocer.

 

Hasta aquí, al menos, lo que yo entendí, pero debía estar equivocado, puesto que 9 años después de publicarse ERM, se difunde una nueva versión de COSO I, actualizada y mejorada. En ella se admiten todos los cambios/mejoras ya introducidas por COSO II, salvo que los elementos vuelven a quedar reducidos a 5, no haciendo referencia explícita al: Establecimiento de objetivos, Identificación de eventos y Respuesta a los riesgos; aunque el correspondiente a “evaluación de riesgos” sí admite de  manera inequívoca que la evaluación de riesgos debe incluir la identificación de los riesgos, su análisis y la respuesta que sea precisa. Adicionalmente se da entrada a los conceptos de la tolerancia al riesgo en la evaluación de los niveles aceptables de riesgo, e incluyendo como novedad, ahora sí, los conceptos de: velocidad y persistencia de los riesgos como criterios para evaluar la criticidad de los mismos.

 

Además cuando se citan las mejoras que acompañan al nuevo Marco actualizado, se comenta que este ahora viene acompañado de dos nuevos y novedosos documentos: el correspondiente al Control Interno sobre la información financiera externa (ICEFR) y las herramientas de evaluación a emplear para valorar la eficacia del control interno; olvidándose, al parecer, que en el año 2006 el propio COSO publicó el documento “Control Interno para la información financiera para Pequeñas empresas cotizadas”, y en el 2009, la Guía para la Supervisión de Sistemas de Control Interno”.

 

Adicionalmente se expone que se habilita un proceso de transición para la entrada en vigor del nuevo Marco de 18 meses, fijándose esta en el 15 de Diciembre del 2014, siendo  efectiva hasta ese momento COSO I.

 

Algo, o su totalidad, no he debido interpretar adecuadamente, pues: (i) si los cambios son necesarios, por qué el periodo de transición de 18 meses, (ii) desde cuando COSO es de obligado cumplimiento en la gestión del Control Interno/ Sistemas de gestión de Riesgos para que haya que informar si hemos actuado según COSO I o COSO III, (iii) es realmente útil y, sobre todo factible, empezar a emplear mapas de riesgos multidimensionales.

 

Por último, no sé si los cambios de  COSO III conducirán a que pronto aparecerá un nuevo COSO IV, que sería el COSO II con los cambios que se deriven de la nueva versión del  Marco Integrado de Control Interno, o que ERM desaparece por haber sido subsumido en COSO III.

 

Si alguien me lo puede explicar, por favor, le ruego que me lo aclare. Hasta entonces, o al menos hasta el 15 de Diciembre de 2014, seguiré evaluando los riesgos según el método clásico midiendo “solo” su impacto y probabilidad.

 

Del Autor: Jesús Aisa – jesus.aisa@auditool.org

 

Ingeniero Técnico Industrial Universidad Politécnica de Madrid, Licenciado en Ciencias Económicas y Empresariales por la Universidad Complutense de Madrid, Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA., ponente de diversos cursos y workshops sobre materias relacionadas con el control interno. Asesor en control interno. Ponente y conferencista en diversos eventos internacionales, tanto en España, como Iberoamérica. Evaluador certificado de Quality Assurance y director múltiples evaluaciones de calidad de Unidades de Auditoría Interna realizadas en el ámbito iberoamericano, tanto en España, Portugal, como en diversos países latinoamericanos (Chile, Perú y Colombia)». Colaborador de www.auditool.org

 

(Visited 58 times, 2 visits today)

Etiquetas

PERFIL
Profile image

Auditool.org, es una red de conocimientos especializada en temas de auditoría y control interno, creada para permitir la transferencia de conocimiento de buenas prácticas a profesionales que laboran en estas áreas.

    Siga a este bloguero en sus redes sociales:

Más posts de este Blog

Ver más

Lo más leído en Blogs

1

La globalización es un fenómeno mundial, un concepto que apareció a finales(...)

2

Durante años, siempre se ha hablado de los seres angélicos que nos(...)

3

Hace ya cuatro años, en Procultivos nos dimos a la tarea de(...)

0 Comentarios
Ingrese aquí para que pueda comentar este post
Reglamento de comentarios

PORTAFOLIO no se responsabiliza por el uso y tratamiento que los usuarios le den a la información publicada en este espacio de recomendaciones, pero aclara que busca ser la sombrilla de un espacio donde el equilibrio y la tolerancia sean el eje. En ese camino, disponemos de total libertad para eliminar los contenidos que:

  1. Promuevan mensajes tipo spam.
  2. El odio ante una persona o comunidad por su condición social, racial, sexual, religiosa o de situación de discapacidad.
  3. Muestren o impulsen comportamientos o lenguajes sexualmente explícitos, violentos o dañinos.
  4. Vulneren o atenten contra los derechos de los menores de edad.

Además, tenga en cuenta que:

  • - El usuario registrado solo podrá hacer un voto por comentario.
Acepto
¿Encontró un error?

Para PORTAFOLIO las observaciones sobre su contenido son importantes. Permítanos conocerlas para, si es el caso, tomar los correctivos necesarios, o darle trámite ante las instancias pertinentes dentro de nuestra compañía.


Debes escribir el comentario
¡Gracias! Tu comentario ha sido guardado
Su calificación ha sido registrada.
Su participación ya fue registrada.
Haga su reporte
Cerrar
Debe escribir su reporte.
Su reporte ha sido enviado con éxito.
Debe ser un usuario registrado para poder reportar este comentario. Cerrar