COSO 2013 UN REFLEJO DEL PASO DELTIEMPO
Larry E. Rittenberg
La tan esperada actualización del Enfoque Integrado de Control...
▪ Mayor enfoque en la evaluación de riesgos.
▪ Mayor demanda de nuevas formas de presentación de informes sobre el desempe...
El enfoque también incluye “puntos de atención” que enumera características importantes
asociadas con los 17 principios.
C...
La situación de la contabilidad actual requiere más datos y de mayor variedad para hacer los
cálculos.
Por consiguiente, C...
Este compromiso abarca contratación y retención de personal eficaz, incluidos los auditores
internos que ayudan a vigilar ...
si el proceso para atraer y desarrollar personal de alta calidad es eficaz y ha facilitado el empleo
de individuos compete...
Ampliar la cobertura de la auditoría interna para incluir objetivos de cumplimiento y operaciones.
Trabajar con el departa...
8. Considera la posibilidad de fraude al evaluar los riesgos relacionados con el logro de los
objetivos.
9. Identifica y e...
Upcoming SlideShare
Loading in...5
×

COSO 2013 UN REFLEJO DEL PASO DELTIEMPO - 10.AGO.2014

121

Published on

La tan esperada actualización del Enfoque Integrado de Control Interno ha sido redactada para ayudar a las organizaciones a diseñar y aplicar mejor sus controles, con la vista puesta en los desafíos actuales de los negocios.

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
121
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

COSO 2013 UN REFLEJO DEL PASO DELTIEMPO - 10.AGO.2014

  1. 1. COSO 2013 UN REFLEJO DEL PASO DELTIEMPO Larry E. Rittenberg La tan esperada actualización del Enfoque Integrado de Control Interno ha sido redactada para ayudar a las organizaciones a diseñar y aplicar mejor sus controles, con la vista puesta en los desafíos actuales de los negocios. Han pasado más de 20 años desde que el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) empezó a desarrollar su destacado Enfoque Integrado de Control Interno. En aquel momento, muchos de los desarrollos de negocios y tecnológicos que hoy son moneda corriente no se habían notado aún. Las empresas recién comenzaban a conectarse a través del intercambio electrónico de datos, los teléfonos inteligentes no existían, la crisis financiera global llegaría varios años después, y China todavía no se había convertido a una economía de mercado modificada. Además, en aquel entonces, la evaluación del control interno era relativamente poco sofisticada: las grandes firmas de contadores públicos mantenían listas de controles para que sus auditores las chequearan, los auditores internos luchaban por manejar las nuevas redes de cliente-servidor y muchas de las regulaciones para la presentación de informes contables de la actualidad todavía no se habían redactado. Con este escenario, COSO desarrolló un enfoque de control conceptualmente sólido que ha resistido el paso del tiempo. Recientemente, el consejo de administración de COSO descubrió que la renovación de algunos principios fundamentales de control interno podría facilitar aún más el manejo del esquema y su aplicabilidad al entorno actual en constante cambio. Emprendió entonces un proceso de revisión de dos años que dio origen al Enfoque Integrado de Control Interno 2013 que se lanzó en mayo. El enfoque revisado no solo proporciona más pautas para la implementación sino que, si se aplica correctamente, ayudará a establecer controles internos más eficaces a menores costos para la organización. RAZONES PARA LA ACTUALIZACIÓN Numerosas consideraciones impulsaron al consejo de administración de COSO a volver a revisar su enfoque de 1992. Por ejemplo, muchas de las grandes organizaciones fracasaron durante los últimos 20 años a causa de una gestión de riesgos y sus controles internos relacionados ineficaces. Por otro lado, más países que nunca -inclusive China, Japón y muchas naciones europeas- exigen ahora la presentación de informes públicos sobre el control interno de los informes contables a las grandes empresas que cotizan en bolsa. Otros factores que influyeron en la decisión del consejo de administración son: ▪ Cambios en la tecnología y sus riesgos asociados. ▪ Cambios en el gobierno corporativo y en las expectativas de las personas encargadas de este. ▪ Mayor interdependencia de las organizaciones, desde las inversiones conjuntas hasta las dependencias de las cadenas de suministro. ▪ Mayor demanda de información de control interno, ya sea en los informes públicos o en los contratos.
  2. 2. ▪ Mayor enfoque en la evaluación de riesgos. ▪ Mayor demanda de nuevas formas de presentación de informes sobre el desempeño organizativo. ▪ Mayor importancia de las actividades operativas y de cumplimiento. Con estas consideraciones en mente, COSO primero consultó a sus miembros globales sobre si el esquema debería cambiarse y, en ese caso, qué cambios aplicar. COSO luego reunió a un equipo de investigación experimentado y a un grupo de asesores de diferentes disciplinas que incluyeron a representantes de sus principales organizaciones interesadas, como el IIA, así como a los organismos de control más importantes y a otros que podrían llegar a verse afectados por los cambios en el esquema. El grupo realizó un estudio para examinar el enfoque de 1992 y concluyó que se mantenía conceptualmente sólido. Pero también consideró que si actualizaban algunos principios fundamentales de COSO, se podría hacer aún más fácil su uso y aplicación a las organizaciones actuales. Trabajando con el grupo de asesores y con la opinión de los miembros públicos, el consejo de administración elaboró entonces la revisión 2013. LOS CAMBIOS PRINCIPALES DEL ENFOQUE Debido a que el enfoque original se consideró conceptualmente sólido, una evaluación superficial de la revisión quizás dé la impresión de que poco se ha cambiado. Sin embargo, existen, ciertamente, numerosas diferencias clave entre la nueva versión y la anterior. EL OBJETIVO DE LA PRESENTACIÓN DE INFORMES. Uno de los objetivos de control interno que contenía COSO 1992 — la confiabilidad de la información financiera — se ha cambiado por un concepto más amplio de presentación de informes, a fin de reflejar los grandes cambios con respecto a cómo se expone la información tanto dentro como fuera de la organización. El cambio refleja no sólo lo que se informa, sino también los medios a través de los cuales se difunden los informes. También incluye tanto los informes financieros como los no financieros. PRINCIPIOS Y PUNTOS DE ATENCIÓN. En 2006, COSO adoptó un enfoque basado en principios para el diseño y la evaluación de los controles internos, como se refleja en su documento guía, Control interno sobre la elaboración de informes contables: Pautas para las pequeñas empresas con cotización pública. En función de este concepto, COSO 2013 incluye 17 principios desarrollados alrededor de los cinco componentes de control interno del enfoque de 1992 (véase “Principios del enfoque” en la página 63). Además, la guía presupone explícitamente que si alguno de los principios no es alcanzado, existe una evidencia de que el componente relacionado no funciona. El enfoque de COSO siempre ha presupuesto que para que el control interno sea eficaz, todos los componentes deben estar presentes y funcionar correctamente. Si un principio no es alcanzado, significa que un componente no está presente y no funciona correctamente; por ende, el control interno es deficiente. Otras secciones del documento analizan si una deficiencia se considera o no significativa.
  3. 3. El enfoque también incluye “puntos de atención” que enumera características importantes asociadas con los 17 principios. COSO considera que los puntos de atención “pueden ayudar a la dirección a diseñar, implementar y conducir el control interno y a valorar si los principios relevantes efectivamente están presentes y funcionan correctamente”. RESPONSABILIDAD POR LOS CONTROLES INTERNOS. Los 17 principios apuntan aún más a la competencia individual y a la responsabilidad de los individuos en el rol que cada uno de ellos desempeña para lograr los objetivos de control interno. Esa responsabilidad comienza a nivel del consejo de administración y se extiende desde la alta dirección hacia los niveles inferiores, ya que la responsabilidad de un control interno eficaz se disemina por toda la organización. CONSIDERACIÓN DEL RIESGO DE FRAUDE. Como la naturaleza del riesgo de fraude es tan particular, uno de los 17 principios indica que debe ser evaluado como parte del control interno. El riesgo de fraude no se limita a los estados contables; también se debe incluir en las evaluaciones de riesgos de cumplimiento y operaciones. CONTROLES DE TECNOLOGÍA DE LA INFORMACIÓN (TI). Los riesgos de la seguridad de la información se han generalizado. Las empresas dependen cada vez más de los sistemas informáticos en la nube; la conectividad entre organizaciones se ha expandido a pasos agigantados; la piratería informática es algo habitual; y los datos a menudo se comparten instantáneamente sin revisión humana. Todos estos factores llevaron a COSO a concluir que los controles de TI se deben considerar de manera explícita. GOBIERNO EFICAZ. Desde 1992 las principales bolsas de valores y agencias de control se han centrado en mejorar el gobierno corporativo y la supervisión organizacional. Por ejemplo, la regulación que trata sobre la competencia y la independencia de los miembros del consejo de administración se ha intensificado, especialmente para aquellos que se desempeñan en los comités de auditoría. Las organizaciones y los auditores internos tienen que evaluar si el gobierno corporativo trabaja según lo esperado; ya no pueden limitarse a verificar cuadros en el organigrama y decir: “Sí, esta persona cumple con las regulaciones en materia de independencia”. Más bien, debe haber una evaluación real de la eficacia y la independencia de la estructura directiva. Los miembros del consejo de administración tienen que demostrar competencia e independencia en la práctica. JUICIO PROFESIONAL. Muchos auditores internos se formaron en la época de la contabilidad y la auditoría en la que podían determinar si las respuestas eran definitivamente correctas o incorrectas. Si se compraba algo que duraba más de un año, se capitalizaba y se amortizaba.
  4. 4. La situación de la contabilidad actual requiere más datos y de mayor variedad para hacer los cálculos. Por consiguiente, COSO 2013 pone más énfasis en aplicar el juicio profesional al evaluar si una compañía ha logrado un control interno eficaz. CUMPLIMIENTO Y OBJETIVOS OPERATIVOS. Los fracasos financieros más significativos requirieron la introducción de regulaciones de control interno en los informes contables. Poco después, muchos auditores internos se abocaron a ayudar a la gerencia a evaluar estos controles, aunque en algunos casos esto trajo aparejada una menor atención en los objetivos de cumplimiento y operaciones. El enfoque actualizado de COSO reafirma la importancia de estos dos objetivos y presenta oportunidades para que la auditoría interna amplíe su proposición de valor abordando estos dos objetivos importantes de la organización. GUÍA COMPLEMENTARIA SOBRE LOS INFORMES CONTABLES EXTERNOS. La guía complementaria del enfoque demuestra cómo los 17 principios y sus correspondientes puntos de atención, se pueden aplicar a los informes contables externos. La guía también incluye numerosos ejemplos extraídos de la práctica actual. RELACIONES EXTENDIDAS Y GLOBALIZACIÓN. La naturaleza de las relaciones organizacionales ha evolucionado. Ahora existen inversiones conjuntas, una mayor dependencia de los proveedores, y relaciones contractuales particulares que requieren evaluación de riesgos y controles. Este enfoque actualizado considera explícitamente estas relaciones y analiza cómo lograr un control interno eficaz en función de ellas. ELEMENTOS DE CONTROL Al igual que en su versión anterior, COSO 2013 pone especial énfasis en tres elementos cruciales relacionados con la eficacia del control: el control interno es un concepto integrado que incluye los cinco componentes del enfoque COSO (el ambiente de control, la evaluación de riesgos, las actividades de control, la información y comunicación, y la vigilancia); se requiere el juicio sobre la existencia y el funcionamiento del control interno, así como sobre los 17 principios ya que se relacionan con los cinco componentes; y la evaluación y prueba del control interno comienza con objetivos y riesgos, no con controles. INTEGRACIÓN. Como ejemplo de la naturaleza integradora del control interno, supongamos que uno de los objetivos de una organización global es ajustarse al cumplimiento de la Ley para Prevenir Prácticas de Corrupción en el Extranjero de EE. UU. (FCPA, en inglés). El proceso para lograr dicho objetivo se puede examinar a través de los cinco componentes de control interno de COSO. AMBIENTE DE CONTROL. La imagen de la gerencia de la organización respecto de las operaciones en el extranjero se comunica a través de su declaración de valores y su compromiso con la conducta ética.
  5. 5. Este compromiso abarca contratación y retención de personal eficaz, incluidos los auditores internos que ayudan a vigilar las actividades de la organización. EVALUACIÓN DE RIESGOS. Existen numerosos riesgos asociados con el objetivo de cumplir con la FCPA. Por ejemplo, un empleado puede deliberadamente hacer caso omiso a la política de la empresa, un gerente puede no conocer la política, o una sucursal en el extranjero puede contratar a un agente para procurar los pagos. Por consiguiente, la empresa debe evaluar su grado de aceptación del riesgo en caso de violaciones a la FCPA, así como su tolerancia al riesgo asumido. ¿Aplica el principio de tolerancia cero ante violaciones?. ¿La posición de la empresa admite alguna flexibilidad?. ACTIVIDADES DE CONTROL. En función de su evaluación de riesgos, la empresa establece las políticas y solicita una revisión independiente de determinados tipos de comportamiento. Luego la gerencia desarrolla un sistema de elaboración de informes que identifica montos de pagos inusuales, o pagos que son revisados habitualmente por los que cuentan con el conocimiento, la autoridad y la objetividad. INFORMACIÓN Y COMUNICACIÓN. La gerencia se asegura de que las políticas se aprueban a nivel del consejo de administración y luego se comunican a toda la organización. También establece un proceso de denuncias que incluye el informe inmediato de cualquier violación a la FCPA tanto a la alta dirección como al presidente del comité de auditoría. VIGILANCIA. La gerencia desarrolla una supervisión eficaz a través de la combinación de una vigilancia continua y evaluaciones independientes, por lo general con la asistencia de la auditoría interna. Para la vigilancia continua, la empresa utiliza un software para revisiones habituales donde se identifican pagos que aparecen fuera de parámetros razonables. La revisión se complementa con evaluaciones periódicas de auditoría interna sobre cumplimiento con respecto a la FCPA (evaluación/prueba periódica). Todos los cinco componentes son importantes y necesarios para alcanzar el objetivo de la FCPA. Por ejemplo, las actividades de control podrían no ser suficientes si la empresa no articula ni comunica sus políticas, no vigila las actividades ni exige la presentación de informes significativos. La eficacia del control integral depende de funcionamiento de todos los componentes como un todo. JUICIO PROFESIONAL. La necesidad de aplicar el juicio profesional al evaluar la eficacia del control se destaca en todo el documento. Como ejemplo, el Principio N.° 4, que trata sobre el componente del enfoque que tiene que ver con el ambiente de control, establece que una organización debe demostrar “el compromiso para atraer, desarrollar y retener a los individuos competentes”. Se requerirá juzgar
  6. 6. si el proceso para atraer y desarrollar personal de alta calidad es eficaz y ha facilitado el empleo de individuos competentes en toda la organización. Hasta ahora, la necesidad de dicho juicio profesional era implícita; ahora es obligatoria. Los puntos de atención del enfoque proporcionan pautas adicionales para ayudar a enfrentar el problema del juicio profesional cuando se relaciona con cada uno de los 17 principios del enfoque. EVALUACIÓN Y PRUEBAS DEL CONTROL. Uno de los elementos centrales del enfoque actualizado de COSO es su permanente énfasis en la vinculación entre objetivos, riesgo y control. Las organizaciones buscan alcanzar los objetivos y dichos objetivos deben ser articulados. Existen riesgos para alcanzar estos objetivos, ya sea que se relacionen con las operaciones, el cumplimiento o los informes financieros, y dichos riesgos deben ser identificados. La clave radica en vincular los controles con los riesgos y los objetivos: la única razón de la existencia de controles es la de mitigar riesgos y de ese modo aumentar la probabilidad de que la organización alcance sus objetivos. Por lo tanto, el control está subordinado al riesgo; y a los objetivos que ayuda a alcanzar. Las organizaciones que realizan un análisis exhaustivo de sus controles, empezando con los objetivos y las consideraciones de riesgo, a menudo descubren que existe una duplicación de controles. En estos casos confían solamente en unos pocos controles clave y no todos los riesgos significativos están cubiertos por los controles existentes. El enfoque puede representar un cambio significativo en la manera en que se evalúan y prueban los controles, y puede ser especialmente beneficioso para las empresas que deben informar de forma pública la eficacia de sus controles internos sobre la preparación de los informes contables. Consideremos, por ejemplo, los requerimientos de cumplimiento de la Ley Sarbanes - Oxley de EE. UU. de 2002 relacionados con los controles de los estados contables. Las organizaciones que cumplen con esta ley han identificado controles importantes y seguramente han agregado otros controles con el tiempo. Sin embargo, probablemente no hayan evaluado nuevamente la cantidad de controles que sometieron a prueba, lo que ha dado lugar a algunas actividades de prueba innecesarias. Algunas organizaciones que han adoptado enfoques basados en riesgos para el control interno (en lugar de enfoques basados en controles) han reducido a la mitad sus pruebas de control sin hacer peligrar el aseguramiento que la gerencia necesita para evaluar los controles internos. Muchas de ellas están utilizando nuevas evaluaciones para considerar si se puede obtener mayor eficiencia en la auditoría y en el control a través de la automatización de controles y el compromiso de una vigilancia continua del control. LIDERAZGO ESTRATÉGICO PARA LA AUDITORÍA INTERNA A menudo los auditores internos son considerados los expertos en control en las organizaciones. El enfoque actualizado de COSO ofrece un trampolín para mejorar ese liderazgo. Un grupo de investigación en crecimiento ha descubierto que las organizaciones con mejores controles internos se desempeñan mejor, tienen menos incertidumbre sobre las ganancias y gozan de mejores precios por sus acciones. La auditoría interna debe proporcionar liderazgo en la implementación de los principios del enfoque actualizado aplicando las siguientes medidas:
  7. 7. Ampliar la cobertura de la auditoría interna para incluir objetivos de cumplimiento y operaciones. Trabajar con el departamento del controlador y con los propietarios del proceso organizacional para evaluar los controles a través de la implementación de un enfoque basado en riesgos a fin de identificar la necesidad de controles así como cualquier posible superposición de controles. Adoptar un rol de liderazgo para entender las características y principios clave que subyacen en el enfoque actualizado y comunicarlos a la gerencia, a los propietarios del proceso y al comité de auditoría. Desarrollar un plan de auditoría respecto de los controles internos — con objetivos específicos, estrategias y metas mensurables — y presentarlo a la alta dirección y al comité de auditoría para su tratamiento. Un tema implícito subyace en todo el enfoque actualizado: las organizaciones necesitan un liderazgo por parte de auditoría interna para aprovechar las ventajas significativas de COSO 2013. Auditoría interna debe desempeñar un rol de liderazgo — ya sea en capacitación, evaluación independiente o actividades de consultoría — para ayudar a garantizar que las organizaciones obtengan el máximo valor del enfoque. La participación de auditoría interna es clave para implementar con éxito COSO 2013 y para ayudar a todas las áreas de la empresa a obtener sus muchos beneficios. PRINCIPIOS DEL ENFOQUE El enfoque actualizado de COSO enumera 17 principios a través de sus cinco componentes de control interno, desarrollados a partir de los conceptos existentes en la versión original del enfoque. Si bien los principios de control estaban implícitos en el enfoque de 1992, no se citaron explícitamente hasta la publicación de la versión actual. Los principios ayudan a codificar los principales parámetros de COSO y a explicar lo que constituye un control eficaz. ENTORNO DE CONTROL LA ORGANIZACIÓN: 1. La organización demuestra un compromiso con la integridad y los valores éticos. 2. El consejo de administración demuestra independencia de la gerencia y ejerce la supervisión del desarrollo y el desempeño del control interno. 3. Bajo la supervisión del consejo de administración, la gerencia establece estructuras, lineamientos para la presentación de informes, y las autoridades y responsabilidades correspondientes en pos del logro de los objetivos. 4. La organización demuestra su compromiso para atraer, desarrollar y retener a los individuos competentes en coordinación con los objetivos. 5. La organización exige a los individuos que asuman sus propias responsabilidades por el control interno en pos del logro de los objetivos. EVALUACIÓN DE RIESGOS. LA ORGANIZACIÓN: 6. Establece los objetivos con la claridad suficiente para permitir la identificación y la evaluación de los riesgos relacionados con los objetivos. 7. Identifica los riesgos relacionados con el logro de sus objetivos en toda la entidad y analiza los riesgos como punto de partida para determinar cómo se van a gestionar.
  8. 8. 8. Considera la posibilidad de fraude al evaluar los riesgos relacionados con el logro de los objetivos. 9. Identifica y evalúa los cambios que podrían impactar significativamente en el sistema de control interno. ACTIVIDADES DE CONTROL LA ORGANIZACIÓN: 10. Selecciona y desarrolla actividades de control que contribuyen a mitigar los riesgos relacionados con el logro de los objetivos a niveles aceptables. 11. Selecciona y desarrolla actividades de control general sobre la tecnología para apoyar el logro de los objetivos. 12. Implementa actividades de control a través de políticas que establecen los pasos a seguir y los procedimientos que transforman las políticas en acción. INFORMACIÓN Y COMUNICACIÓN LA ORGANIZACIÓN: 13. Obtiene o genera y usa información relevante y de calidad que respalde el funcionamiento del control interno. 14. Comunica la información internamente (incluidos los objetivos y las responsabilidades por el control interno) necesaria para respaldar el funcionamiento del control interno. 15. Se comunica con terceros externos respecto de asuntos que afectan el funcionamiento del control interno. VIGILANCIA DE ACTIVIDADES LA ORGANIZACIÓN: 16. Selecciona, desarrolla e implementa evaluaciones continuas y/o separadas para asegurar que los componentes de control interno estén presentes y funcionen correctamente. 17. Evalúa y comunica oportunamente las deficiencias de control interno a las partes responsables de tomar las medidas correctivas, incluida la alta dirección y el consejo de administración, según corresponda.

×