El documento describe las principales actualizaciones realizadas por COSO al Enfoque Integrado de Control Interno de 2013 respecto a la versión de 1992. Algunos de los cambios más significativos incluyen: 1) ampliar el objetivo de presentación de informes para incluir informes financieros y no financieros, 2) incluir 17 principios agrupados en torno a los 5 componentes, 3) enfatizar la responsabilidad individual por los controles internos, y 4) considerar explícitamente los riesgos de fraude y de tecnología de la
Coca cola organigrama de proceso empresariales.pptx
COSO 2013: Una actualización necesaria del control interno
1. COSO 2013 UN REFLEJO DEL PASO DELTIEMPO
Larry E. Rittenberg
La tan esperada actualización del Enfoque Integrado de Control Interno ha sido redactada para
ayudar a las organizaciones a diseñar y aplicar mejor sus controles, con la vista puesta en los
desafíos actuales de los negocios.
Han pasado más de 20 años desde que el Comité de Organizaciones Patrocinadoras de la
Comisión Treadway (COSO) empezó a desarrollar su destacado Enfoque Integrado de Control
Interno.
En aquel momento, muchos de los desarrollos de negocios y tecnológicos que hoy son moneda
corriente no se habían notado aún. Las empresas recién comenzaban a conectarse a través del
intercambio electrónico de datos, los teléfonos inteligentes no existían, la crisis financiera global
llegaría varios años después, y China todavía no se había convertido a una economía de
mercado modificada.
Además, en aquel entonces, la evaluación del control interno era relativamente poco sofisticada:
las grandes firmas de contadores públicos mantenían listas de controles para que sus auditores
las chequearan, los auditores internos luchaban por manejar las nuevas redes de cliente-servidor
y muchas de las regulaciones para la presentación de informes contables de la actualidad todavía
no se habían redactado.
Con este escenario, COSO desarrolló un enfoque de control conceptualmente sólido que ha
resistido el paso del tiempo.
Recientemente, el consejo de administración de COSO descubrió que la renovación de algunos
principios fundamentales de control interno podría facilitar aún más el manejo del esquema y su
aplicabilidad al entorno actual en constante cambio. Emprendió entonces un proceso de revisión
de dos años que dio origen al Enfoque Integrado de Control Interno 2013 que se lanzó en mayo.
El enfoque revisado no solo proporciona más pautas para la implementación sino que, si se aplica
correctamente, ayudará a establecer controles internos más eficaces a menores costos para la
organización.
RAZONES PARA LA ACTUALIZACIÓN
Numerosas consideraciones impulsaron al consejo de administración de COSO a volver a revisar
su enfoque de 1992.
Por ejemplo, muchas de las grandes organizaciones fracasaron durante los últimos 20 años a
causa de una gestión de riesgos y sus controles internos relacionados ineficaces. Por otro lado,
más países que nunca -inclusive China, Japón y muchas naciones europeas- exigen ahora la
presentación de informes públicos sobre el control interno de los informes contables a las
grandes empresas que cotizan en bolsa.
Otros factores que influyeron en la decisión del consejo de administración son:
▪ Cambios en la tecnología y sus riesgos asociados.
▪ Cambios en el gobierno corporativo y en las expectativas de las personas encargadas de
este.
▪ Mayor interdependencia de las organizaciones, desde las inversiones conjuntas hasta las
dependencias de las cadenas de suministro.
▪ Mayor demanda de información de control interno, ya sea en los informes públicos o en
los contratos.
2. ▪ Mayor enfoque en la evaluación de riesgos.
▪ Mayor demanda de nuevas formas de presentación de informes sobre el desempeño
organizativo.
▪ Mayor importancia de las actividades operativas y de cumplimiento.
Con estas consideraciones en mente, COSO primero consultó a sus miembros globales sobre si
el esquema debería cambiarse y, en ese caso, qué cambios aplicar. COSO luego reunió a un
equipo de investigación experimentado y a un grupo de asesores de diferentes disciplinas que
incluyeron a representantes de sus principales organizaciones interesadas, como el IIA, así como
a los organismos de control más importantes y a otros que podrían llegar a verse afectados por
los cambios en el esquema.
El grupo realizó un estudio para examinar el enfoque de 1992 y concluyó que se mantenía
conceptualmente sólido.
Pero también consideró que si actualizaban algunos principios fundamentales de COSO, se
podría hacer aún más fácil su uso y aplicación a las organizaciones actuales. Trabajando con el
grupo de asesores y con la opinión de los miembros públicos, el consejo de administración
elaboró entonces la revisión 2013.
LOS CAMBIOS PRINCIPALES DEL ENFOQUE
Debido a que el enfoque original se consideró conceptualmente sólido, una evaluación superficial
de la revisión quizás dé la impresión de que poco se ha cambiado. Sin embargo, existen,
ciertamente, numerosas diferencias clave entre la nueva versión y la anterior.
EL OBJETIVO DE LA PRESENTACIÓN DE INFORMES.
Uno de los objetivos de control interno que contenía COSO 1992 — la confiabilidad de la
información financiera — se ha cambiado por un concepto más amplio de presentación de
informes, a fin de reflejar los grandes cambios con respecto a cómo se expone la información
tanto dentro como fuera de la organización.
El cambio refleja no sólo lo que se informa, sino también los medios a través de los cuales se
difunden los informes.
También incluye tanto los informes financieros como los no financieros.
PRINCIPIOS Y PUNTOS DE ATENCIÓN.
En 2006, COSO adoptó un enfoque basado en principios para el diseño y la evaluación de los
controles internos, como se refleja en su documento guía, Control interno sobre la elaboración
de informes contables: Pautas para las pequeñas empresas con cotización pública.
En función de este concepto, COSO 2013 incluye 17 principios desarrollados alrededor de los
cinco componentes de control interno del enfoque de 1992 (véase “Principios del enfoque” en la
página 63).
Además, la guía presupone explícitamente que si alguno de los principios no es alcanzado, existe
una evidencia de que el componente relacionado no funciona.
El enfoque de COSO siempre ha presupuesto que para que el control interno sea eficaz, todos
los componentes deben estar presentes y funcionar correctamente.
Si un principio no es alcanzado, significa que un componente no está presente y no funciona
correctamente; por ende, el control interno es deficiente.
Otras secciones del documento analizan si una deficiencia se considera o no significativa.
3. El enfoque también incluye “puntos de atención” que enumera características importantes
asociadas con los 17 principios.
COSO considera que los puntos de atención “pueden ayudar a la dirección a diseñar,
implementar y conducir el control interno y a valorar si los principios relevantes efectivamente
están presentes y funcionan correctamente”.
RESPONSABILIDAD POR LOS CONTROLES INTERNOS.
Los 17 principios apuntan aún más a la competencia individual y a la responsabilidad de los
individuos en el rol que cada uno de ellos desempeña para lograr los objetivos de control interno.
Esa responsabilidad comienza a nivel del consejo de administración y se extiende desde la alta
dirección hacia los niveles inferiores, ya que la responsabilidad de un control interno eficaz se
disemina por toda la organización.
CONSIDERACIÓN DEL RIESGO DE FRAUDE.
Como la naturaleza del riesgo de fraude es tan particular, uno de los 17 principios indica que
debe ser evaluado como parte del control interno.
El riesgo de fraude no se limita a los estados contables; también se debe incluir en las
evaluaciones de riesgos de cumplimiento y operaciones.
CONTROLES DE TECNOLOGÍA DE LA INFORMACIÓN (TI).
Los riesgos de la seguridad de la información se han generalizado.
Las empresas dependen cada vez más de los sistemas informáticos en la nube; la conectividad
entre organizaciones se ha expandido a pasos agigantados; la piratería informática es algo
habitual; y los datos a menudo se comparten instantáneamente sin revisión humana.
Todos estos factores llevaron a COSO a concluir que los controles de TI se deben considerar de
manera explícita.
GOBIERNO EFICAZ.
Desde 1992 las principales bolsas de valores y agencias de control se han centrado en mejorar
el gobierno corporativo y la supervisión organizacional.
Por ejemplo, la regulación que trata sobre la competencia y la independencia de los miembros
del consejo de administración se ha intensificado, especialmente para aquellos que se
desempeñan en los comités de auditoría.
Las organizaciones y los auditores internos tienen que evaluar si el gobierno corporativo trabaja
según lo esperado; ya no pueden limitarse a verificar cuadros en el organigrama y decir: “Sí, esta
persona cumple con las regulaciones en materia de independencia”.
Más bien, debe haber una evaluación real de la eficacia y la independencia de la estructura
directiva.
Los miembros del consejo de administración tienen que demostrar competencia e independencia
en la práctica.
JUICIO PROFESIONAL.
Muchos auditores internos se formaron en la época de la contabilidad y la auditoría en la que
podían determinar si las respuestas eran definitivamente correctas o incorrectas.
Si se compraba algo que duraba más de un año, se capitalizaba y se amortizaba.
4. La situación de la contabilidad actual requiere más datos y de mayor variedad para hacer los
cálculos.
Por consiguiente, COSO 2013 pone más énfasis en aplicar el juicio profesional al evaluar si una
compañía ha logrado un control interno eficaz.
CUMPLIMIENTO Y OBJETIVOS OPERATIVOS.
Los fracasos financieros más significativos requirieron la introducción de regulaciones de control
interno en los informes contables.
Poco después, muchos auditores internos se abocaron a ayudar a la gerencia a evaluar estos
controles, aunque en algunos casos esto trajo aparejada una menor atención en los objetivos de
cumplimiento y operaciones.
El enfoque actualizado de COSO reafirma la importancia de estos dos objetivos y presenta
oportunidades para que la auditoría interna amplíe su proposición de valor abordando estos dos
objetivos importantes de la organización.
GUÍA COMPLEMENTARIA SOBRE LOS INFORMES CONTABLES EXTERNOS.
La guía complementaria del enfoque demuestra cómo los 17 principios y sus correspondientes
puntos de atención, se pueden aplicar a los informes contables externos. La guía también incluye
numerosos ejemplos extraídos de la práctica actual.
RELACIONES EXTENDIDAS Y GLOBALIZACIÓN.
La naturaleza de las relaciones organizacionales ha evolucionado.
Ahora existen inversiones conjuntas, una mayor dependencia de los proveedores, y relaciones
contractuales particulares que requieren evaluación de riesgos y controles.
Este enfoque actualizado considera explícitamente estas relaciones y analiza cómo lograr un
control interno eficaz en función de ellas.
ELEMENTOS DE CONTROL
Al igual que en su versión anterior, COSO 2013 pone especial énfasis en tres elementos cruciales
relacionados con la eficacia del control: el control interno es un concepto integrado que incluye
los cinco componentes del enfoque COSO (el ambiente de control, la evaluación de riesgos, las
actividades de control, la información y comunicación, y la vigilancia); se requiere el juicio sobre
la existencia y el funcionamiento del control interno, así como sobre los 17 principios ya que se
relacionan con los cinco componentes; y la evaluación y prueba del control interno comienza con
objetivos y riesgos, no con controles.
INTEGRACIÓN.
Como ejemplo de la naturaleza integradora del control interno, supongamos que uno de los
objetivos de una organización global es ajustarse al cumplimiento de la Ley para Prevenir
Prácticas de Corrupción en el Extranjero de EE. UU. (FCPA, en inglés).
El proceso para lograr dicho objetivo se puede examinar a través de los cinco componentes de
control interno de COSO.
AMBIENTE DE CONTROL.
La imagen de la gerencia de la organización respecto de las operaciones en el extranjero se
comunica a través de su declaración de valores y su compromiso con la conducta ética.
5. Este compromiso abarca contratación y retención de personal eficaz, incluidos los auditores
internos que ayudan a vigilar las actividades de la organización.
EVALUACIÓN DE RIESGOS.
Existen numerosos riesgos asociados con el objetivo de cumplir con la FCPA.
Por ejemplo, un empleado puede deliberadamente hacer caso omiso a la política de la empresa,
un gerente puede no conocer la política, o una sucursal en el extranjero puede contratar a un
agente para procurar los pagos.
Por consiguiente, la empresa debe evaluar su grado de aceptación del riesgo en caso de
violaciones a la FCPA, así como su tolerancia al riesgo asumido.
¿Aplica el principio de tolerancia cero ante violaciones?.
¿La posición de la empresa admite alguna flexibilidad?.
ACTIVIDADES DE CONTROL.
En función de su evaluación de riesgos, la empresa establece las políticas y solicita una revisión
independiente de determinados tipos de comportamiento.
Luego la gerencia desarrolla un sistema de elaboración de informes que identifica montos de
pagos inusuales, o pagos que son revisados habitualmente por los que cuentan con el
conocimiento, la autoridad y la objetividad.
INFORMACIÓN Y COMUNICACIÓN.
La gerencia se asegura de que las políticas se aprueban a nivel del consejo de administración y
luego se comunican a toda la organización.
También establece un proceso de denuncias que incluye el informe inmediato de cualquier
violación a la FCPA tanto a la alta dirección como al presidente del comité de auditoría.
VIGILANCIA.
La gerencia desarrolla una supervisión eficaz a través de la combinación de una vigilancia
continua y evaluaciones independientes, por lo general con la asistencia de la auditoría interna.
Para la vigilancia continua, la empresa utiliza un software para revisiones habituales donde se
identifican pagos que aparecen fuera de parámetros razonables.
La revisión se complementa con evaluaciones periódicas de auditoría interna sobre cumplimiento
con respecto a la FCPA (evaluación/prueba periódica).
Todos los cinco componentes son importantes y necesarios para alcanzar el objetivo de la FCPA.
Por ejemplo, las actividades de control podrían no ser suficientes si la empresa no articula ni
comunica sus políticas, no vigila las actividades ni exige la presentación de informes
significativos.
La eficacia del control integral depende de funcionamiento de todos los componentes como un
todo.
JUICIO PROFESIONAL.
La necesidad de aplicar el juicio profesional al evaluar la eficacia del control se destaca en todo
el documento. Como ejemplo, el Principio N.° 4, que trata sobre el componente del enfoque que
tiene que ver con el ambiente de control, establece que una organización debe demostrar “el
compromiso para atraer, desarrollar y retener a los individuos competentes”. Se requerirá juzgar
6. si el proceso para atraer y desarrollar personal de alta calidad es eficaz y ha facilitado el empleo
de individuos competentes en toda la organización.
Hasta ahora, la necesidad de dicho juicio profesional era implícita; ahora es obligatoria. Los
puntos de atención del enfoque proporcionan pautas adicionales para ayudar a enfrentar el
problema del juicio profesional cuando se relaciona con cada uno de los 17 principios del
enfoque.
EVALUACIÓN Y PRUEBAS DEL CONTROL.
Uno de los elementos centrales del enfoque actualizado de COSO es su permanente énfasis en
la vinculación entre objetivos, riesgo y control.
Las organizaciones buscan alcanzar los objetivos y dichos objetivos deben ser articulados.
Existen riesgos para alcanzar estos objetivos, ya sea que se relacionen con las operaciones, el
cumplimiento o los informes financieros, y dichos riesgos deben ser identificados.
La clave radica en vincular los controles con los riesgos y los objetivos: la única razón de la
existencia de controles es la de mitigar riesgos y de ese modo aumentar la probabilidad de que
la organización alcance sus objetivos. Por lo tanto, el control está subordinado al riesgo; y a los
objetivos que ayuda a alcanzar.
Las organizaciones que realizan un análisis exhaustivo de sus controles, empezando con los
objetivos y las consideraciones de riesgo, a menudo descubren que existe una duplicación de
controles.
En estos casos confían solamente en unos pocos controles clave y no todos los riesgos
significativos están cubiertos por los controles existentes.
El enfoque puede representar un cambio significativo en la manera en que se evalúan y prueban
los controles, y puede ser especialmente beneficioso para las empresas que deben informar de
forma pública la eficacia de sus controles internos sobre la preparación de los informes contables.
Consideremos, por ejemplo, los requerimientos de cumplimiento de la Ley Sarbanes - Oxley de
EE. UU. de 2002 relacionados con los controles de los estados contables.
Las organizaciones que cumplen con esta ley han identificado controles importantes y
seguramente han agregado otros controles con el tiempo.
Sin embargo, probablemente no hayan evaluado nuevamente la cantidad de controles que
sometieron a prueba, lo que ha dado lugar a algunas actividades de prueba innecesarias.
Algunas organizaciones que han adoptado enfoques basados en riesgos para el control interno
(en lugar de enfoques basados en controles) han reducido a la mitad sus pruebas de control sin
hacer peligrar el aseguramiento que la gerencia necesita para evaluar los controles internos.
Muchas de ellas están utilizando nuevas evaluaciones para considerar si se puede obtener mayor
eficiencia en la auditoría y en el control a través de la automatización de controles y el
compromiso de una vigilancia continua del control.
LIDERAZGO ESTRATÉGICO PARA LA AUDITORÍA INTERNA
A menudo los auditores internos son considerados los expertos en control en las organizaciones.
El enfoque actualizado de COSO ofrece un trampolín para mejorar ese liderazgo.
Un grupo de investigación en crecimiento ha descubierto que las organizaciones con mejores
controles internos se desempeñan mejor, tienen menos incertidumbre sobre las ganancias y
gozan de mejores precios por sus acciones.
La auditoría interna debe proporcionar liderazgo en la implementación de los principios del
enfoque actualizado aplicando las siguientes medidas:
7. Ampliar la cobertura de la auditoría interna para incluir objetivos de cumplimiento y operaciones.
Trabajar con el departamento del controlador y con los propietarios del proceso organizacional
para evaluar los controles a través de la implementación de un enfoque basado en riesgos a fin
de identificar la necesidad de controles así como cualquier posible superposición de controles.
Adoptar un rol de liderazgo para entender las características y principios clave que subyacen en
el enfoque actualizado y comunicarlos a la gerencia, a los propietarios del proceso y al comité
de auditoría.
Desarrollar un plan de auditoría respecto de los controles internos — con objetivos específicos,
estrategias y metas mensurables — y presentarlo a la alta dirección y al comité de auditoría para
su tratamiento.
Un tema implícito subyace en todo el enfoque actualizado: las organizaciones necesitan un
liderazgo por parte de auditoría interna para aprovechar las ventajas significativas de COSO
2013. Auditoría interna debe desempeñar un rol de liderazgo — ya sea en capacitación,
evaluación independiente o actividades de consultoría — para ayudar a garantizar que las
organizaciones obtengan el máximo valor del enfoque.
La participación de auditoría interna es clave para implementar con éxito COSO 2013 y para
ayudar a todas las áreas de la empresa a obtener sus muchos beneficios.
PRINCIPIOS DEL ENFOQUE
El enfoque actualizado de COSO enumera 17 principios a través de sus cinco componentes de
control interno, desarrollados a partir de los conceptos existentes en la versión original del
enfoque. Si bien los principios de control estaban implícitos en el enfoque de 1992, no se citaron
explícitamente hasta la publicación de la versión actual. Los principios ayudan a codificar los
principales parámetros de COSO y a explicar lo que constituye un control eficaz.
ENTORNO DE CONTROL
LA ORGANIZACIÓN:
1. La organización demuestra un compromiso con la integridad y los valores éticos.
2. El consejo de administración demuestra independencia de la gerencia y ejerce la
supervisión del desarrollo y el desempeño del control interno.
3. Bajo la supervisión del consejo de administración, la gerencia establece estructuras,
lineamientos para la presentación de informes, y las autoridades y responsabilidades
correspondientes en pos del logro de los objetivos.
4. La organización demuestra su compromiso para atraer, desarrollar y retener a los
individuos competentes en coordinación con los objetivos.
5. La organización exige a los individuos que asuman sus propias responsabilidades por el
control interno en pos del logro de los objetivos.
EVALUACIÓN DE RIESGOS.
LA ORGANIZACIÓN:
6. Establece los objetivos con la claridad suficiente para permitir la identificación y la
evaluación de los riesgos relacionados con los objetivos.
7. Identifica los riesgos relacionados con el logro de sus objetivos en toda la entidad y analiza
los riesgos como punto de partida para determinar cómo se van a gestionar.
8. 8. Considera la posibilidad de fraude al evaluar los riesgos relacionados con el logro de los
objetivos.
9. Identifica y evalúa los cambios que podrían impactar significativamente en el sistema de
control interno.
ACTIVIDADES DE CONTROL
LA ORGANIZACIÓN:
10. Selecciona y desarrolla actividades de control que contribuyen a mitigar los riesgos
relacionados con el logro de los objetivos a niveles aceptables.
11. Selecciona y desarrolla actividades de control general sobre la tecnología para apoyar el
logro de los objetivos.
12. Implementa actividades de control a través de políticas que establecen los pasos a seguir
y los procedimientos que transforman las políticas en acción.
INFORMACIÓN Y COMUNICACIÓN
LA ORGANIZACIÓN:
13. Obtiene o genera y usa información relevante y de calidad que respalde el funcionamiento
del control interno.
14. Comunica la información internamente (incluidos los objetivos y las responsabilidades por
el control interno) necesaria para respaldar el funcionamiento del control interno.
15. Se comunica con terceros externos respecto de asuntos que afectan el funcionamiento del
control interno.
VIGILANCIA DE ACTIVIDADES
LA ORGANIZACIÓN:
16. Selecciona, desarrolla e implementa evaluaciones continuas y/o separadas para asegurar
que los componentes de control interno estén presentes y funcionen correctamente.
17. Evalúa y comunica oportunamente las deficiencias de control interno a las partes
responsables de tomar las medidas correctivas, incluida la alta dirección y el consejo de
administración, según corresponda.