Jesús Aisa Díez
Ya es oficial, el Committe of Sponsoring Organizations of the Treadway Commission acaba de publicar la esperada actualización del Marco sobre Control Interno editado en 1992. No puede decirse que haya sido una labor breve, pues como en la propia power point que ha sido difundida por el citado Committe las etapas para conseguirlo han sido:
Ya es oficial, el Committe of Sponsoring Organizations of the Treadway Commission acaba de publicar la esperada actualización del Marco sobre Control Interno editado en 1992. No puede decirse que haya sido una labor breve, pues como en la propia power point que ha sido difundida por el citado Committe las etapas para conseguirlo han sido:
2010.
Evaluación y encuestas a las partes interesadas.
2011.
Diseño y estructura marco actualizado
2012.
Exposición pública, evaluación y mejoras
2013.
Finalización.
El
camino recorrido en la actualización ha permitido que se haya podido seguir con
detalle la evolución de los cambios que finalmente se han materializado, por lo
que la primera conclusión es que esta nueva edición no aporta sorpresas, pues
sus previsibles modificaciones la hemos podido conocer a lo largo del proceso,
fundamentalmente desde la exposición pública del borrador sometido a consulta.
Aunque
a continuación podamos verlo con algún detalle, podemos decir que los 5
componentes de Control Interno no varían con respecto al Marco original de
1992. No obstante, los principios y puntos de enfoque sí que han introducido
cambios claves en cada uno de los componentes, todo ello con el objetivo de
mejorar y facilitar la implantación y mantenimiento de Sistema de Control
Interno. A continuación enumeramos dichos cambios:
1) Se
aplica un enfoque basado en 17 principios.
2)
Aclara la necesidad de establecer los objetivos estratégicos como condición
previa a la fijación de los objetivos de Control Interno.
3) Refleja
la relevancia incrementada de la Tecnología de la Información
4)
Fortalece los conceptos de Gobierno Corporativo.
5)
Amplía el objetivo del reporte financiero, pasando a ser reporte en general.
6)
Fortalece la consideración de las expectativas contra el fraude.
7)
Considera los diferentes modelos de negocio y estructuras organizacionales.
A
continuación detallamos estos diecisiete principios con los que implementar un
adecuado Control Interno, relacionándolos con sus correspondientes elementos:
Entorno
de Control
1.- La
Organización ha de demostrar su compromiso con la integridad y los valores
éticos.
2.- El
Consejo de Administración debe demostrar independencia en la gestión y ejercer
la supervisión del desarrollo y ejecución del control interno.
3.- La
alta dirección debe establecer, con la supervisión del Consejo de
Administración: la estructura, líneas de reporting, autoridad y
responsabilidad en la consecución de objetivos.
4.-
En sinfonía con los objetivos, la Organización debe demostrar su
compromiso para atraer, desarrollar, y retener personas competentes.
5.- En
la consecución de los objetivos, la Organización debe disponer de personas
responsables para atender sus responsabilidades de Control Interno.
Evaluación
de Riesgos
6.- La
Organización ha de especificar los objetivos con suficiente claridad para
permitir la identificación y evaluación de los riesgos relacionados.
7.- La
Organización debe identificar y evaluar sus riesgos.
8.- La
Organización gestionará el riesgo de fraude.
9.- La
Organización debe identificar y evalúar los cambios importantes que podrían
impactar en el sistema de control interno.
Actividades
de Control
10.-
La Organización ha de seleccionar y desarrollar actividades de control que
contribuyan a la mitigación de los riesgos para el logro de sus objetivos.
11.-
La Organización seleccionará y desarrollará Controles Generales sobre
Tecnología de la Información
12.-
La Organización implementa sus actividades de control a través de políticas y
procedimientos adecuados
Información
y Comunicación
13.-
La Organización ha de generar la información relevante para respaldar el
funcionamiento de los otros componentes de Control Interno.
14.-
La Organización compartirá internamente la información, incluyendo los
objetivos y responsabilidades para el control interno, necesaria para respaldar
el funcionamiento de los otros componentes de Control Interno.
15.-
La Organización comunicará externamente las materias que afecten al
funcionamiento de los otros componentes de Control Interno.
Actividades
de Monitorización
16.-
La Organización llevará a cabo evaluaciones continuas e individuales, con el
fin de comprobar si los componentes del control interno están presentes y están
funcionando.
17.-
La Organización evalúa y comunica las deficiencias de control interno.
Principios
que lógicamente introducen ciertos cambios en los componentes del Control
Interno, de los que destacaríamos el correspondiente a la evaluación de los
riesgos que, a partir que ahora, han de incluir los conceptos de velocidad
y persistencia de los riesgos como criterios para evaluar la criticidad
de los mismos.
- La velocidad de riesgo se refiere a la rapidez con la que impacta un riesgo en la organización una vez este se ha materializado, es decir, hace referencia al ritmo con el que se espera que la entidad experimente el impacto.
- La persistencia de un riesgo hace referencia a la duración del impacto después de que le riesgo se haya materializado.
Adicionalmente
a la actualización de los 5 componentes de Control Interno, también se ha
modificado la información acerca de los Roles y Responsabilidades de los
distintos participantes en el proceso, tales como:
- Las responsabilidades del CEO y CFO para que formalmente asuman la efectividad del control interno en ciertas jurisdicciones.
- La actividad a desarrollar por los distintos tipos de Comités y su campo de actuación.
- Se insiste en la necesidad de incorporar, aparte de los auditores externos, a otros proveedores de aseguramiento evaluadores con los que completar los diferentes tipos de revisión que puede realizar una entidad sobre su control interno (riesgos medioambientales, prácticas de comercio justo o seguridad laboral, entre otros)..
- Se recogen las exigencias reguladoras y legislativas, como por ejemplo Sarbanes-Oxley o el Sistema de Control Interno de la Información Financiero español, sobre la información distribuida a los mercados, por la que la Gerencia de las compañías deben certificar la eficacia del control interno de su compañía sobre el reporte financiero.
- Se incluye una sección específica para los proveedores externos de servicios, señalando que la Dirección no puede olvidar su responsabilidad en la gestión de los riesgos de los procesos externalizados. Debiendo implantar un programa para evaluar dichas actividades realizadas por otros en su nombre, y evaluar la eficacia del sistema de control interno sobre las actividades realizadas por los proveedores externos de servicios.
Como
vemos los cambios no son complicados de entender, ya que son consecuencia de la
evolución acontecida a lo largo de los 20 años de existencia de este protocolo.
En concreto, y en opinión de los expertos que han opinado sobre el tema, debido
fundamentalmente por:
- La variación de los modelos de negocio como consecuencia de la globalización.
- Una mayor necesidad de información a nivel interno, fruto de los cambios cada vez más rápidos en el entorno.
- El incremento del número y complejidad de las normativas aplicables al mundo empresarial a nivel internacional.
- Las nuevas expectativas sobre la responsabilidad y competencias de los gestores de las organizaciones.
- El incremento de las expectativas de determinados grupos de interés (inversores, los reguladores, etc.) sobre la prevención y detección del fraude.
- El uso de las nuevas tecnologías y su constante desarrollo.
- Las nuevas exigencias de los reguladores y otros grupos de interés en relación a la fiabilidad de la información reportada.
Motivos
por lo que, en mi opinión, el nuevo COSO no nos obligará a introducir cambios
inesperados en los procedimientos de Control Interno aplicables en las
Organizaciones, pues lo que esta nueva edición representa la materialización formal de los cambios que evolutivamente se habían
observado necesarios introducir con los que eficienciar el Control Interno de
nuestras empresas, sin olvidar la inter-relación que existe entre el denominado
COSO II (ERM) y el COSO I, que ahora se ve explícitamente reconocida.
Artículo Publicado en el Blog:
Auditoría Interna del Siglo XXI
http://auditoriainternasiglo21.blogspot.com.es/
Jesús Aisa Díez Ex-Subdirector
General Corporativo de Auditoría Interna de Telefónica SA. Director Proyectos
de Evaluaciones de Calidad del IAI España. Director Técnico de FSH Consulting.
¿Te ha
gustado el post? ¡Compártelo con otro auditor interno!
Muy buen resumen, gracias por la información. Es muy útil para conocer mayores detalles del tema.
ResponderEliminarGracias
Gracias Jorge, lo leer los artículos del Blog y por dejarnos saber tu opinión sobre los temas presentados.
EliminarExcelente reseña y de mucho valor.
ResponderEliminarHola Alejandro,
EliminarMuchas gracias por tu comentario! Pues como siempre los artículos de Don Jesús se caracterizan por ser plurales y abiertos e incorporar ideas magnificas sobre la profesión.
Un abrazo,