Beruflich Dokumente
Kultur Dokumente
organización?
ARTÍCULOS
CONTROL INTERNO
CREADO: 23 NOVIEMBRE 2016
VISTO: 17601
Ratio: 5 / 5
Voto 5 Votar
Por favor, vote
Por: Ron Kral (CPA, CMA, CDMA)*
A pesar de que los pilares fundamentales siguen siendo los mismos en los marcos de 1992
y 2013, las diferencias trascienden lo superficial y es necesario comprenderlas claramente
para lograr una transición adecuada.
Enfóquese en los 17 principios
Aunque ciertamente hay varias mejoras en el marco de 2013, el requisito más significativo
consiste en abordar los 17 principios específicos. ¿Por qué? Porque COSO es muy claro al
afirmar que todos los principios “relevantes” deben estar presentes y funcionando para que
una empresa pueda concluir que su ICFR [1]es efectivo. El marco de 2013 considera que los
17 principios son adecuados para todas las entidades excepto en raras situaciones
industriales, operativas o regulatorias en las que la Dirección determine que un principio no
es relevante. La Dirección debe tener argumentos y pruebas suficientes para demostrar que
alguno de estos principios no es relevante para su empresa.
Ambiente de control
1. La organización demuestra un compromiso con la integridad y los valores éticos.
2. El Consejo Directivo demuestra independencia de la gestión y supervisa el desarrollo y
desempeño del control interno.
3. La Dirección establece, con la supervisión del Comité, estructuras y líneas de
información, y designa apropiadamente las responsabilidades para lograr los objetivos.
4. La organización demuestra compromiso para atraer, desarrollar y retener a individuos
competentes de acuerdo con los objetivos.
5. La organización hace responsables a los individuos de sus respectivas obligaciones de
control interno en la consecución de los objetivos.
Evaluación de riesgos
6. La organización especifica los objetivos con suficiente claridad para permitir la
identificación y evaluación de los riesgos relacionados con ellos.
7. La organización identifica los riesgos para el logro de sus objetivos en toda la entidad y
los analiza para determinar cómo se deben gestionar.
8. La organización considera la posibilidad de fraude en la evaluación de los riesgos para el
logro de los objetivos.
9. La organización identifica y evalúa los cambios que podrían tener un impacto
significativo en el sistema de control interno.
Actividades de control
10. La organización selecciona y desarrolla actividades de control que contribuyen a
mitigar el riesgo y a lograr los objetivos en niveles aceptables.
11. La empresa escoge y lleva a cabo actividades de control general sobre la tecnología
para apoyar la consecución de los objetivos.
12. La organización despliega actividades de control a través de políticas que establecen
ciertas expectativas y procedimientos.
Información y comunicación
13. La organización obtiene, o genera, y utiliza información relevante y de calidad para
apoyar el funcionamiento del control interno.
14. La organización provee internamente la información necesaria, incluidos los objetivos y
las responsabilidades, para apoyar el funcionamiento del control interno.
15. La organización se comunica con las partes externas interesadas sobre asuntos que
afectan el funcionamiento del control interno.
Actividades de monitoreo
16. La organización selecciona, desarrolla y realiza evaluaciones continuas y/o separadas
para determinar si los componentes del control interno están presentes y funcionando.
17. La organización evalúa y comunica las deficiencias de control interno de manera
oportuna a los responsables de tomar medidas correctivas, incluyendo la Dirección y el
Comité Directivo, según corresponda.
He trabajado con cientos de empresas a lo largo de mi carrera y no puedo recordar un solo
caso en el que uno de estos 17 principios no fuera relevante. Por lo tanto, de acuerdo con el
marco de 2013, una falla que afecte la implementación y el funcionamiento de cualquiera
de estos principios en el FYE significa que existe una deficiencia “importante” y que la
empresa no cumple con los requisitos de un sistema efectivo de control interno.
Enfoque descendente basado en el riesgo
La belleza del marco de 2013 radica en que los 17 principios encajan muy bien en un
enfoque descendente (top-down) basado en el riesgo, que idealmente debe adoptarse como
precursor de planes de evaluación de gestión más detallados, de programas de auditoría
interna y de planes de auditoría externa. De hecho, la Alerta # 11 de Prácticas del Personal
de Auditoría del PCAOB le recuerda a los auditores externos que deben comprender los
riesgos generales del ICFR concentrándose en los controles a nivel de la entidad (es decir,
los 17 principios) y luego trabajando en las cuentas significativas, en las divulgaciones y en
sus declaraciones relevantes. La evaluación del riesgo es el elemento clave del enfoque
descendente y los 17 principios son el punto de partida lógico para que los equipos de
gestión, auditoría interna y auditoría externa comiencen a aplicar sus enfoques. Franzel,
miembro del consejo del PCAOB, declaró el 26 de marzo de 2014: “Creo que es necesario
y productivo revisar el proceso de la administración a la luz del Marco COSO 2013, para
que todo el sistema funcione eficazmente. Y, por supuesto, los auditores y los emisores
necesitan establecer un diálogo productivo sobre estas cuestiones”.
Juicio
No hay que insistir en el debate de si nos debemos basar en reglas o en principios; pero, es
necesario recordar que el marco de 2013, al igual que la mayoría de los otros marcos
profesionales recientes, proporciona un punto de partida estructurado que debe ser
personalizado para adaptarse a diferentes entornos operativos. La adhesión al espíritu de
este concepto nos aleja de un enfoque de “lista de verificación” que intenta responder a los
17 principios estrictamente a través de los puntos de enfoque sugeridos dentro de cada uno.
Estos puntos son una guía y no una hoja de ruta inamovible. Siendo este el caso, una
empresa no tiene que abordar todos los puntos de enfoque, ni debe sentirse atada a ellos.
Por el contrario, la Dirección necesita comprender el espíritu del principio y extraer ideas
útiles de los puntos propuestos; así como también, añadir sus propios puntos de enfoque de
acuerdo a su criterio. Como resultado, no hay dos compañías que tengan la misma
documentación; esta debe personalizarse para que se adapte al entorno de cada empresa.
Adaptabilidad
Al igual que el tema de juicio, la profundidad del rigor y de la documentación en la
adopción del marco 2013 variará mucho entre las empresas dependiendo de sus industrias,
tamaños, ubicaciones, riesgos, y de las regulaciones de la SEC aplicables, entre otras
variables. En pocas palabras, cuanto más grande y complejo sea el negocio, más riesgos
para los inversionistas, y más recursos y documentación se requieren para cumplir con el
marco de 2013 (como también fue el caso del marco de 1992). Como ocurre en cualquier
proyecto, es necesario comprender claramente qué, quién, cuándo, dónde, por qué y cómo
abordarlo. La Dirección y el Comité Directivo a través de su Comité de Auditoría deben
estar en sintonía. También, deben entender que la implementación es un proyecto continuo
en el que el diseño de los controles deberá ser constante y duradero para mantenerse al día
con los entornos cambiantes.
Conclusiones
La transición al marco de 2013 implica mucho más trabajo que simplemente cambiar el
“1992” a “2013”. Este cambio conlleva una cantidad razonable de documentación que debe
estar alineada con los cinco componentes y los 17 principios del marco de 2013. Los
documentos deben trascender el enfoque de “lista de verificación” que simplemente afirma
que la empresa cumplió con cada uno de los 17 principios; ya que debe mostrar ejemplos y
evidenciar una intención sincera por parte de la compañía de cumplir con los componentes
y principios. Los auditores externos se enfrentan a un mayor escrutinio por parte del
PCAOB con respecto al rigor y a la evidencia que presentan para cumplir con las normas
cuando dan sus conceptos sobre ICFR. Se espera que tanto la SEC como el PCAOB
incrementen el escrutinio respecto al ICFR, especialmente en los 17 principios; y por lo
tanto, aumenten la exigencia y la vigilancia sobre la Dirección y los auditores.
Un comentario más de despedida: no caigan en la idea limitada de que el marco de 2013 es
sólo para el ICFR. Sin duda, se refiere a los objetivos y controles de la información
financiera; pero también puede y debe utilizarse voluntariamente para lograr las metas
operativas y de cumplimiento.
Recuperado de: http://corporatecomplianceinsights.com /
* Socio y Gerente de Candela Solutions LLC, una firma de contabilidad pública con un
enfoque nacional en gobernabilidad, riesgo y controles.
[1] Internal Control over Financial Reporting.
ANTERIOR
SIGUIENTE
Comentarios
+1#1 Hernan Valdebenito 12-11-2016 03:23
Los 17 principios de COSO 2013 deben ser entendidos en su espíritu, para lograr los
objetivos. Los Auditores somos el pilar fundamental del éxito y proyección empresarial, en la
medida que nos dejen hacer nuestro trabajo. Nuestra principal tarea es implementar el
enfoque, nuestro mayor esfuerzo, es el llevar a la práctica la teoría, con transparencia y
capacidad de integración de cada miembro de la organización en el desafío de construir el
mejor Sistema de Control Interno, la mejor Gestión de Riesgos y la mayor realización personal
de cada miembro de la empresa.
Marco Integrado de Control Interno, con
enfoque COSO III, 2013
Publicada porAlfredo Olivares CastilloModificado hace 3 años
Ins ertar
3 COSO 2013
5 Cambios Representativos
ComponenteCambios representativosAmbiente de ControlSe enfatiza en la integridad y
valores por lo que se establecen 5 principios vinculados a su importancia y responsabilidad.Se
armoniza la relevancia entre entorno de control y todos los demás componentesSe destaca la
supervisión del riesgo y respuesta al mismo.Evaluación del RiesgoSe definen categóricamente
los objetivos de los reportes.Se aclara y detallan los tipos de riesgos y que la evaluación de
riesgo incluye identificación, análisis y respuesta al riesgo.Actividades de ControlSe formaliza
que las actividades de control son acciones establecidas a través de políticas y
procedimientos.Se establece la importancia y uso de la tecnología y control de la
misma.Información y comunicaciónSe da relevancia a la calidad de la información, dentro de
las instituciones, entre instituciones y terceras partes.Se enfatiza el impacto e importancia de
la seguridad y protección de la información, así como también su rapidez y calidad de
flujo.Monitoreo - SupervisiónSe clarifica la actividad de monitoreo en dos categorías:
evaluaciones continuas y evaluaciones independientes.Se destaca la importancia del uso de la
tecnología y los proveedores de servicios externos.
6 Aspectos relevantes COSO 2013
Proceso de ImplantaciónAumentar la claridad del proceso de implementación definido en el
marco original, con objetivo de incrementar la efectividad del SCIDesarrollo de Componentes
en PrincipiosDesarrollar los componentes a con principios y puntos de enfoque que faciliten la
implantación, mantenimiento y supervisión del SCISe consideren cambios en los negocios, de
operación y regulatorios.Se prevea ampliar el objetivo de la información financiera.Ampliación
del objetivo de informaciónAmpliar el alcance a visualizar información financiera interna y
externa de índole financiera y NO FINANCERA
8 Estructura - COSO 2013Los cinco componentes deben funcionar de manera integrada para
reducir a un nivel aceptable el riesgo de no alcanzar un objetivo.Los componentes son
interdependientes, ya que existe una gran cantidad de interrelaciones y vínculos entre
ellos.Dentro de cada componente el marco establece 17 principios que representan los
conceptos fundamentales y son aplicables a los objetivos operativos, de información y de
cumplimiento.Los principios permiten evaluar la efectividad del sistema de control interno.