Jesús Aisa Díez
No
hace mucho tiempo me propusieron dar una charla, que no acepté, para difundir
el contenido del mal llamado COSO III, o como realmente se denomina Control Interno-Marco Integrado. Versión
2013, ya que entendí, y sigo pensándolo, que para difundir algo el primer
requisito que debe cumplirse es el de compartir y asumir lo que estés
exponiendo. Circunstancia que no se producía en esta ocasión, y ello por diversos
motivos, como expondré a continuación:
En
primer lugar, debido a que con esta nueva versión del Marco sobre Control
Interno, que no viene acompañada en paralelo de los correspondientes cambios en
el Marco COSO sobre Gestión de Riesgos (ERM), de lo que se podría interpretar
que existe una aparente desvinculación entre el Proceso de Control Interno y el
de Gestión de Riesgos, lo cual, desde mi perspectiva, no es correcto, puesto
que estoy convencido que no puede haber una correcta gestión de riesgos sin la
existencia de un buen control interno, pero en sentido contrario también
sucedería lo mismo, ya que no es posible que exista un buen control interno sin
la existencia de una buena gestión de riesgos. Esta mutua interrelación viene a
ser reconocida incluso en la nueva versión del 2013 cuando en su Prólogo se
señala que el Marco sobre Control Interno y el Marco ERM son complementarios.
Siendo
así, y analizando los alcances y explicaciones que se citan respecto de los 17
principios que ahora han de guiar el proceso de Control Interno, se pueden
observar algunos aspectos de dudosa oportunidad, que citaremos en forma
secuencial según aparecen en el texto del Marco, como por ejemplo:
“Que el establecimiento del nivel
general del riesgo aceptable y el apetito al riesgo relacionado forma parte de
la planificación estratégica y de la gestión de riesgos corporativos, y no
forma parte del control interno. De igual manera, el establecimiento de los
niveles de tolerancia al riesgo en relación con los objetivos específicos tampoco
forma parte del control interno.”
Ante
esta posición podríamos preguntarnos cómo será posible que el control interno
pretenda conseguir una seguridad razonable en la consecución de los objetivos
de las organizaciones, si previamente no están concretados, definidos o fijados
los niveles de los riesgos que sean
compatibles con las metas a alcanzar, dado que ello es lo que nos permitirá
decidir las actividades de control que debamos aplicar.
Otro
aspecto que tampoco comparto es el comentario que se cita en el apartado 3. Efectividad
del Control Interno, en su epígrafe Otras
Consideraciones, cuando señala que “…
los auditores externos y los reguladores no son parte del sistema de control
interno de la organización y, por tanto, no pueden formar parte del
proceso de evaluación de un control interno efectivo por parte de la dirección.”
No
hablemos de los reguladores, que también, pero que el Marco considere que los
auditores externos no son parte de control interno, es negar que habitualmente la
fiabilidad de la información financiera en gran medida está encargada a estos
supervisores, ya que son a los que les asigna garantizar razonablemente el que
los estados financieros elaborados y difundidos por las organizaciones se
corresponde con la imagen fiel de la compañía. Asimismo, y a mayor
abundamiento, en nuestra opinión, cuando se evalúe la eficacia del control
interno de las organizaciones, se hace imprescindible valorar también la
efectividad de la labor de los auditores internos. En este sentido bastaría con
recordar la función del PCAOB (Public
Company Accounting Oversight Board) que, como corporación sin fines de lucro
establecida por el Congreso de Estados Unidos, debe supervisar la actividad de
los auditores externos, velando por la bondad y oportunidad de sus informes.
En
el apartado 6 correspondiente al elemento Evaluación de Riesgos, cuando se
refiere a la Importancia del Riesgo, señala
que:
“Como parte del análisis de riesgos, la
organización evalúa la importancia de los riesgos de cara a la consecución de
los objetivos y de los subobjetivos. Las organizaciones pueden evaluar la
importancia de los riesgos utilizando criterios tales como los siguientes:
·
Probabilidad
de ocurrencia de un riesgo y su impacto.
·
Velocidad o
rapidez del impacto una vez que se produce el riesgo
·
Persistencia
o duración en el tiempo del impacto una vez que se materialice el riesgo.”
Surgiéndome
una gran duda; estas formas de evaluar son alternativas o acumulativas.
No
importa, en cualquier caso estaría en total desacuerdo, ya que si son
alternativas se estaría incidiendo en un aspecto básico del Marco ERM, según el
cual los riesgos se calculan según la estimación de su impacto y su
probabilidad. Pero si fuese acumulativa, ello significaría que los riesgos de
cuantifican ahora mediante 4 atributos: Probabilidad, Impacto, Velocidad y
Persistencia, por lo que nuevamente estaríamos corrigiendo a ERM, y dado que
según se cita el Marco sobre Control Interno, al no sustituirse entre sí ambos
Marcos, tendríamos dos formas diferentes de estimar los riesgos según estemos
desarrollando el proceso de control interno, o el de gestión de riesgos.
Lo
que no parece oportuno.
Esto
que acabamos de comentar no invalida la necesidad de considerar los aspectos
relativos a la velocidad y persistencia, pero en ambos casos como
características de los riesgos que estemos evaluando, no como atributos, lo que
nos permitirá poder estimar con mayor precisión el impacto del riesgo, al igual
que sucede con las otras diferentes características de las amenazas que
debamos combatir, como por ejemplo: el
ambiente en el que se desarrolla la amenaza (urbana, rural, fluvial, etc), ya
que el perjuicio que se pueda producir será diferente en unos caos y en otros.
Aparte
de estos comentarios que inciden en temas relevantes, entiendo que el nuevo
Marco es una buena actualización, pero que estimo se podrían haber incluido
revisando ERM, ya que en él tendrían cabida todas las modificaciones, y
adicionalmente, como yo lo veo: ERM es el Marco de Control Interno más el
correspondiente a un Sistema de Gestión de Riesgos, por lo que adaptando COSO
II, es decir ERM, estaríamos actualizando el Marco de Control Interno.
En cualquier caso espero que estas opiniones puedan ser de interés, y que permitan reflexionar sobre los aspectos teóricos afectados.
¿Te ha gustado la información?
¡Compártela con otro auditor interno!
No hay comentarios:
Publicar un comentario