Ingrese o regístrese acá para seguir este blog.
Por: Jesús Aisa Díez
El pasado 14 de mayo se publicó la actualización de COSO I.
Ya es oficial, el Committe of Sponsoring Organizations of the Treadway Commission acaba de publicar la esperada actualización del Marco sobre Control Interno editado en 1992. No puede decirse que haya sido una labor breve, pues como en la propia power point que ha sido difundida por el citado Committe las etapas para conseguirlo han sido:
2010. Evaluación y encuestas a las partes interesadas.
2011. Diseño y estructura marco actualizado
2012. Exposición pública, evaluación y mejoras
2013. Finalización.
El camino recorrido en la actualización ha permitido que se haya podido seguir con detalle la evolución de los cambios que finalmente se han materializado, por lo que la primera conclusión es que esta nueva edición no aporta sorpresas, pues sus previsibles modificaciones la hemos podido conocer a lo largo del proceso, fundamentalmente desde la exposición pública del borrador sometido a consulta.
Aunque a continuación podamos verlo con algún detalle, podemos decir que los 5 componentes de Control Interno no varían con respecto al Marco original de 1992. No obstante, los principios y puntos de enfoque sí que han introducido cambios claves en cada uno de los componentes, todo ello con el objetivo de mejorar y facilitar la implantación y mantenimiento de Sistema de Control Interno. A continuación enumeramos dichos cambios:
1) Se aplica un enfoque basado en 17 principios.
2) Aclara la necesidad de establecer los objetivos estratégicos como condición previa a la fijación de los objetivos de Control Interno.
3) Refleja la relevancia incrementada de la Tecnología de la Información
4) Fortalece los conceptos de Gobierno Corporativo.
5) Amplía el objetivo del reporte financiero, pasando a ser reporte en general.
6) Fortalece la consideración de las expectativas contra el fraude.
7) Considera los diferentes modelos de negocio y estructuras organizacionales.
A continuación detallamos estos diecisiete principios con los que implementar un adecuado Control Interno, relacionándolos con sus correspondientes elementos:
Entorno de Control
1.- La Organización ha de demostrar su compromiso con la integridad y los valores éticos.
2.- El Consejo de Administración debe demostrar independencia en la gestión y ejercer la supervisión del desarrollo y ejecución del control interno.
3.- La alta dirección debe establecer, con la supervisión del Consejo de Administración: la estructura, líneas de reporting, autoridad y responsabilidad en la consecución de objetivos.
4.- En sinfonía con los objetivos, la Organización debe demostrar su compromiso para atraer, desarrollar, y retener personas competentes.
5.- En la consecución de los objetivos, la Organización debe disponer de personas responsables para atender sus responsabilidades de Control Interno.
Evaluación de Riesgos
6.- La Organización ha de especificar los objetivos con suficiente claridad para permitir la identificación y evaluación de los riesgos relacionados.
7.- La Organización debe identificar y evaluar sus riesgos.
8.- La Organización gestionará el riesgo de fraude.
9.- La Organización debe identificar y evaluar los cambios importantes que podrían impactar en el sistema de control interno.
Actividades de Control
10.- La Organización ha de seleccionar y desarrollar actividades de control que contribuyan a la mitigación de los riesgos para el logro de sus objetivos.
11.- La Organización seleccionará y desarrollará Controles Generales sobre Tecnología de la Información
12.- La Organización implementa sus actividades de control a través de políticas y procedimientos adecuados
Información y Comunicación
13.- La Organización ha de generar la información relevante para respaldar el funcionamiento de los otros componentes de Control Interno.
14.- La Organización compartirá internamente la información, incluyendo los objetivos y responsabilidades para el control interno, necesaria para respaldar el funcionamiento de los otros componentes de Control Interno.
15.- La Organización comunicará externamente las materias que afecten al funcionamiento de los otros componentes de Control Interno.
Actividades de Monitorización
16.- La Organización llevará a cabo evaluaciones continuas e individuales, con el fin de comprobar si los componentes del control interno están presentes y están funcionando.
17.- La Organización evalúa y comunica las deficiencias de control interno.
Principios que lógicamente introducen ciertos cambios en los componentes del Control Interno, de los que destacaríamos el correspondiente a la evaluación de los riesgos que, a partir que ahora, han de incluir los conceptos de velocidad y persistencia de los riesgos como criterios para evaluar la criticidad de los mismos.
– La velocidad de riesgo se refiere a la rapidez con la que impacta un riesgo en la organización una vez este se ha materializado, es decir, hace referencia al ritmo con el que se espera que la entidad experimente el impacto.
– La persistencia de un riesgo hace referencia a la duración del impacto después de que le riesgo se haya materializado.
Adicionalmente a la actualización de los 5 componentes de Control Interno, también se ha modificado la información acerca de los Roles y Responsabilidades de los distintos participantes en el proceso, tales como:
– Las responsabilidades del CEO y CFO para que formalmente asuman la efectividad del control interno en ciertas jurisdicciones.
– La actividad a desarrollar por los distintos tipos de Comités y su campo de actuación.
– Se insiste en la necesidad de incorporar, aparte de los auditores externos, a otros proveedores de aseguramiento evaluadores con los que completar los diferentes tipos de revisión que puede realizar una entidad sobre su control interno (riesgos medioambientales, prácticas de comercio justo o seguridad laboral, entre otros)..
– Se recogen las exigencias reguladoras y legislativas, como por ejemplo Sarbanes-Oxley o el Sistema de Control Interno de la Información Financiero español, sobre la información distribuida a los mercados, por la que la Gerencia de las compañías deben certificar la eficacia del control interno de su compañía sobre el reporte financiero.
– Se incluye una sección específica para los proveedores externos de servicios, señalando que la Dirección no puede olvidar su responsabilidad en la gestión de los riesgos de los procesos externalizados. Debiendo implantar un programa para evaluar dichas actividades realizadas por otros en su nombre, y evaluar la eficacia del sistema de control interno sobre las actividades realizadas por los proveedores externos de servicios.
Como vemos los cambios no son complicados de entender, ya que son consecuencia de la evolución acontecida a lo largo de los 20 años de existencia de este protocolo. En concreto, y en opinión de los expertos que han opinado sobre el tema, debido fundamentalmente por:
– La variación de los modelos de negocio como consecuencia de la globalización.
Una mayor necesidad de información a nivel interno, fruto de los cambios cada vez más rápidos en el entorno.
– El incremento del número y complejidad de las normativas aplicables al mundo empresarial a nivel internacional.
– Las nuevas expectativas sobre la responsabilidad y competencias de los gestores de las organizaciones.
– El incremento de las expectativas de determinados grupos de interés (inversores, los reguladores, etc.) sobre la prevención y detección del fraude.
– El uso de las nuevas tecnologías y su constante desarrollo.
– Las nuevas exigencias de los reguladores y otros grupos de interés en relación a la fiabilidad de la información reportada.
Motivos por lo que, en mi opinión, el nuevo COSO no nos obligará a introducir cambios inesperados en los procedimientos de Control Interno aplicables en las Organizaciones, pues lo que esta nueva edición representa la materialización formal de los cambios que evolutivamente se habían observado necesarios introducir con los que eficienciar el Control Interno de nuestras empresas, sin olvidar la inter-relación que existe entre el denominado COSO II (ERM) y el COSO I, que ahora se ve explícitamente reconocida.
Del Autor: Jesús Aisa Díez
Ingeniero Técnico Industrial Universidad Politécnica de Madrid, Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA. En el Instituto de Auditores Internos de España colaborador en la evaluaciones de calidad, y articulista y Director de la Revista institucional, ponente de diversos cursos y workshops sobre materias relacionadas con el control interno. Asesor en control interno, tutor de cursos on-line y articulista frecuente en la revista de la Institución en la Asociación Hispanoamericana de Centros de Investigación y Empresas de Telecomunicaciones (AHCIET). Ponente y conferencista en diversos eventos internacionales, tanto en España, como Iberoamérica. Colaborador de www.auditool.org
Blog de Don Jesús Aisa: http://auditoriainternasiglo21.blogspot.com.es/
