Actualización de COSO I
Es oficial, el Committe of Sponsoring Organizations of the Treadway Commission público en mayo pasado la esperada actualización del Marco sobre Control Interno editado en 1992. No fue una labor breve, como en la propia presentación difundida por el citado Committelas las etapas para conseguirlo han sido:
2010. Evaluación y encuestas a las partes interesadas.
2011. Diseño y estructura marco actualizado
2012. Exposición pública, evaluación y mejoras
2013. Finalización.
El camino recorrido en la actualización ha permitido que se haya podido seguir con detalle la evolución de los cambios que finalmente se han materializado, por lo que la primera conclusión es que esta nueva edición no aporta sorpresas, pues sus previsibles modificaciones la hemos podido conocer a lo largo del proceso, fundamentalmente desde la exposición pública del borrador sometido a consulta.
Aunque a continuación podamos verlo con algún detalle, podemos decir que los 5 componentes de Control Interno no varían con respecto al Marco original de 1992. No obstante, los principios y puntos de enfoque sí que han introducido cambios claves en cada uno de los componentes, todo ello con el objetivo de mejorar y facilitar la implantación y mantenimiento de Sistema de Control Interno. A continuación enumeramos dichos cambios:
- Se aplica un enfoque basado en 17 principios.
- Aclara la necesidad de establecer los objetivos estratégicos como condición previa a la fijación de los objetivos de Control Interno.
- Refleja la relevancia incrementada de la Tecnología de la Información
- Fortalece los conceptos de Gobierno Corporativo.
- Amplía el objetivo del reporte financiero, pasando a ser reporte en general.
- Fortalece la consideración de las expectativas contra el fraude.
- Considera los diferentes modelos de negocio y estructuras organizacionales.
A continuación detallamos estos diecisiete principios con los que implementar un adecuado Control Interno, relacionándolos con sus correspondientes elementos:
Entorno de Control
- La Organización ha de demostrar su compromiso con la integridad y los valores éticos.
- El Consejo de Administración debe demostrar independencia en la gestión y ejercer la supervisión del desarrollo y ejecución del control interno.
- La alta dirección debe establecer, con la supervisión del Consejo de Administración: la estructura, líneas de reporting, autoridad y responsabilidad en la consecución de objetivos.
- En sinfonía con los objetivos, la Organización debe demostrar su compromiso para atraer, desarrollar, y retener personas competentes.
- En la consecución de los objetivos, la Organización debe disponer de personas responsables para atender sus responsabilidades de Control Interno.
- La Organización ha de especificar los objetivos con suficiente claridad para permitir la identificación y evaluación de los riesgos relacionados.
- La Organización debe identificar y evaluar sus riesgos.
- La Organización gestionará el riesgo de fraude.
- La Organización debe identificar y evalúar los cambios importantes que podrían impactar en el sistema de control interno.
- La Organización ha de seleccionar y desarrollar actividades de control que contribuyan a la mitigación de los riesgos para el logro de sus objetivos.
- La Organización seleccionará y desarrollará Controles Generales sobre Tecnología de la Información
- La Organización implementa sus actividades de control a través de políticas y procedimientos adecuados
- La Organización ha de generar la información relevante para respaldar el funcionamiento de los otros componentes de Control Interno.
- La Organización compartirá internamente la información, incluyendo los objetivos y responsabilidades para el control interno, necesaria para respaldar el funcionamiento de los otros componentes de Control Interno.
- La Organización comunicará externamente las materias que afecten al funcionamiento de los otros componentes de Control Interno.
- La Organización llevará a cabo evaluaciones continuas e individuales, con el fin de comprobar si los componentes del control interno están presentes y están funcionando.
- La Organización evalúa y comunica las deficiencias de control interno.
- La velocidad de riesgo se refiere a la rapidez con la que impacta un riesgo en la organización una vez este se ha materializado, es decir, hace referencia al ritmo con el que se espera que la entidad experimente el impacto.
- La persistencia de un riesgo hace referencia a la duración del impacto después de que le riesgo se haya materializado.
- Adicionalmente a la actualización de los 5 componentes de Control Interno, también se ha modificado la información acerca de los Roles y Responsabilidades de los distintos participantes en el proceso, tales como:
- Las responsabilidades del CEO y CFO para que formalmente asuman la efectividad del control interno en ciertas jurisdicciones.
- La actividad a desarrollar por los distintos tipos de Comités y su campo de actuación.
- Se insiste en la necesidad de incorporar, aparte de los auditores externos, a otros proveedores de aseguramiento evaluadores con los que completar los diferentes tipos de revisión que puede realizar una entidad sobre su control interno (riesgos medioambientales, prácticas de comercio justo o seguridad laboral, entre otros)..
- Se recogen las exigencias reguladoras y legislativas, como por ejemplo Sarbanes-Oxley o el Sistema de Control Interno de la Información Financiero español, sobre la información distribuida a los mercados, por la que la Gerencia de las compañías deben certificar la eficacia del control interno de su compañía sobre el reporte financiero.
- Se incluye una sección específica para los proveedores externos de servicios, señalando que la Dirección no puede olvidar su responsabilidad en la gestión de los riesgos de los procesos externalizados. Debiendo implantar un programa para evaluar dichas actividades realizadas por otros en su nombre, y evaluar la eficacia del sistema de control interno sobre las actividades realizadas por los proveedores externos de servicios.
- La variación de los modelos de negocio como consecuencia de la globalización.
- Una mayor necesidad de información a nivel interno, fruto de los cambios cada vez más rápidos en el entorno.
- El incremento del número y complejidad de las normativas aplicables al mundo empresarial a nivel internacional.
- Las nuevas expectativas sobre la responsabilidad y competencias de los gestores de las organizaciones.
- El incremento de las expectativas de determinados grupos de interés (inversores, los reguladores, etc.) sobre la prevención y detección del fraude.
- El uso de las nuevas tecnologías y su constante desarrollo.
- Las nuevas exigencias de los reguladores y otros grupos de interés en relación a la fiabilidad de la información reportada.
El nuevo COSO no nos obligará a introducir cambios inesperados en los procedimientos de Control Interno aplicables en las Organizaciones, pues lo que esta nueva edición representa la materialización formal de los cambios que evolutivamente se habían observado necesarios introducir con los que eficienciar el Control Interno de nuestras empresas, sin olvidar la inter-relación que existe entre el denominado COSO II (ERM) y el COSO I, que ahora se ve explícitamente reconocida.
Fuente: Auditoría Interna del Siglo XXI
No hay comentarios:
Publicar un comentario