¿Qué implica implementar COSO III en una

organización?
ARTÍCULOS
CONTROL INTERNO
CREADO: 23 NOVIEMBRE 2016
VISTO: 17601
Ratio: 5 / 5

Voto 5 Votar
Por favor, vote
Por: Ron Kral (CPA, CMA, CDMA)*
A pesar de que los pilares fundamentales siguen siendo los mismos en los marcos de 1992
y 2013, las diferencias trascienden lo superficial y es necesario comprenderlas claramente
para lograr una transición adecuada.
Enfóquese en los 17 principios
Aunque ciertamente hay varias mejoras en el marco de 2013, el requisito más significativo
consiste en abordar los 17 principios específicos. ¿Por qué? Porque COSO es muy claro al
afirmar que todos los principios “relevantes” deben estar presentes y funcionando para que
una empresa pueda concluir que su ICFR [1]es efectivo. El marco de 2013 considera que los
17 principios son adecuados para todas las entidades excepto en raras situaciones
industriales, operativas o regulatorias en las que la Dirección determine que un principio no
es relevante. La Dirección debe tener argumentos y pruebas suficientes para demostrar que
alguno de estos principios no es relevante para su empresa.
Ambiente de control
1. La organización demuestra un compromiso con la integridad y los valores éticos.
2. El Consejo Directivo demuestra independencia de la gestión y supervisa el desarrollo y
desempeño del control interno.
3. La Dirección establece, con la supervisión del Comité, estructuras y líneas de
información, y designa apropiadamente las responsabilidades para lograr los objetivos.
4. La organización demuestra compromiso para atraer, desarrollar y retener a individuos
competentes de acuerdo con los objetivos.
5. La organización hace responsables a los individuos de sus respectivas obligaciones de
control interno en la consecución de los objetivos.
Evaluación de riesgos
6. La organización especifica los objetivos con suficiente claridad para permitir la
identificación y evaluación de los riesgos relacionados con ellos.
7. La organización identifica los riesgos para el logro de sus objetivos en toda la entidad y
los analiza para determinar cómo se deben gestionar.
8. La organización considera la posibilidad de fraude en la evaluación de los riesgos para el
logro de los objetivos.
9. La organización identifica y evalúa los cambios que podrían tener un impacto
significativo en el sistema de control interno.
Actividades de control
10. La organización selecciona y desarrolla actividades de control que contribuyen a
mitigar el riesgo y a lograr los objetivos en niveles aceptables.
11. La empresa escoge y lleva a cabo actividades de control general sobre la tecnología
para apoyar la consecución de los objetivos.
12. La organización despliega actividades de control a través de políticas que establecen
ciertas expectativas y procedimientos.
Información y comunicación
13. La organización obtiene, o genera, y utiliza información relevante y de calidad para
apoyar el funcionamiento del control interno.
14. La organización provee internamente la información necesaria, incluidos los objetivos y
las responsabilidades, para apoyar el funcionamiento del control interno.
15. La organización se comunica con las partes externas interesadas sobre asuntos que
afectan el funcionamiento del control interno.
Actividades de monitoreo
16. La organización selecciona, desarrolla y realiza evaluaciones continuas y/o separadas
para determinar si los componentes del control interno están presentes y funcionando.
17. La organización evalúa y comunica las deficiencias de control interno de manera
oportuna a los responsables de tomar medidas correctivas, incluyendo la Dirección y el
Comité Directivo, según corresponda.
He trabajado con cientos de empresas a lo largo de mi carrera y no puedo recordar un solo
caso en el que uno de estos 17 principios no fuera relevante. Por lo tanto, de acuerdo con el
marco de 2013, una falla que afecte la implementación y el funcionamiento de cualquiera
de estos principios en el FYE significa que existe una deficiencia “importante” y que la
empresa no cumple con los requisitos de un sistema efectivo de control interno.
Enfoque descendente basado en el riesgo
La belleza del marco de 2013 radica en que los 17 principios encajan muy bien en un
enfoque descendente (top-down) basado en el riesgo, que idealmente debe adoptarse como
precursor de planes de evaluación de gestión más detallados, de programas de auditoría
interna y de planes de auditoría externa. De hecho, la Alerta # 11 de Prácticas del Personal
de Auditoría del PCAOB le recuerda a los auditores externos que deben comprender los
riesgos generales del ICFR concentrándose en los controles a nivel de la entidad (es decir,
los 17 principios) y luego trabajando en las cuentas significativas, en las divulgaciones y en
sus declaraciones relevantes. La evaluación del riesgo es el elemento clave del enfoque
descendente y los 17 principios son el punto de partida lógico para que los equipos de
gestión, auditoría interna y auditoría externa comiencen a aplicar sus enfoques. Franzel,
miembro del consejo del PCAOB, declaró el 26 de marzo de 2014: “Creo que es necesario
y productivo revisar el proceso de la administración a la luz del Marco COSO 2013, para
que todo el sistema funcione eficazmente. Y, por supuesto, los auditores y los emisores
necesitan establecer un diálogo productivo sobre estas cuestiones”.
Juicio
No hay que insistir en el debate de si nos debemos basar en reglas o en principios; pero, es
necesario recordar que el marco de 2013, al igual que la mayoría de los otros marcos
profesionales recientes, proporciona un punto de partida estructurado que debe ser
personalizado para adaptarse a diferentes entornos operativos. La adhesión al espíritu de
este concepto nos aleja de un enfoque de “lista de verificación” que intenta responder a los
17 principios estrictamente a través de los puntos de enfoque sugeridos dentro de cada uno.
Estos puntos son una guía y no una hoja de ruta inamovible. Siendo este el caso, una
empresa no tiene que abordar todos los puntos de enfoque, ni debe sentirse atada a ellos.
Por el contrario, la Dirección necesita comprender el espíritu del principio y extraer ideas
útiles de los puntos propuestos; así como también, añadir sus propios puntos de enfoque de
acuerdo a su criterio. Como resultado, no hay dos compañías que tengan la misma
documentación; esta debe personalizarse para que se adapte al entorno de cada empresa.
Adaptabilidad
Al igual que el tema de juicio, la profundidad del rigor y de la documentación en la
adopción del marco 2013 variará mucho entre las empresas dependiendo de sus industrias,
tamaños, ubicaciones, riesgos, y de las regulaciones de la SEC aplicables, entre otras
variables. En pocas palabras, cuanto más grande y complejo sea el negocio, más riesgos
para los inversionistas, y más recursos y documentación se requieren para cumplir con el
marco de 2013 (como también fue el caso del marco de 1992). Como ocurre en cualquier
proyecto, es necesario comprender claramente qué, quién, cuándo, dónde, por qué y cómo
abordarlo. La Dirección y el Comité Directivo a través de su Comité de Auditoría deben
estar en sintonía. También, deben entender que la implementación es un proyecto continuo
en el que el diseño de los controles deberá ser constante y duradero para mantenerse al día
con los entornos cambiantes.
Conclusiones
La transición al marco de 2013 implica mucho más trabajo que simplemente cambiar el
“1992” a “2013”. Este cambio conlleva una cantidad razonable de documentación que debe
estar alineada con los cinco componentes y los 17 principios del marco de 2013. Los
documentos deben trascender el enfoque de “lista de verificación” que simplemente afirma
que la empresa cumplió con cada uno de los 17 principios; ya que debe mostrar ejemplos y
evidenciar una intención sincera por parte de la compañía de cumplir con los componentes
y principios. Los auditores externos se enfrentan a un mayor escrutinio por parte del
PCAOB con respecto al rigor y a la evidencia que presentan para cumplir con las normas
cuando dan sus conceptos sobre ICFR. Se espera que tanto la SEC como el PCAOB
incrementen el escrutinio respecto al ICFR, especialmente en los 17 principios; y por lo
tanto, aumenten la exigencia y la vigilancia sobre la Dirección y los auditores.
Un comentario más de despedida: no caigan en la idea limitada de que el marco de 2013 es
sólo para el ICFR. Sin duda, se refiere a los objetivos y controles de la información
financiera; pero también puede y debe utilizarse voluntariamente para lograr las metas
operativas y de cumplimiento.
Recuperado de: http://corporatecomplianceinsights.com /
* Socio y Gerente de Candela Solutions LLC, una firma de contabilidad pública con un
enfoque nacional en gobernabilidad, riesgo y controles.
[1] Internal Control over Financial Reporting.

 ANTERIOR
 SIGUIENTE
Comentarios
+1#1 Hernan Valdebenito 12-11-2016 03:23
Los 17 principios de COSO 2013 deben ser entendidos en su espíritu, para lograr los
objetivos. Los Auditores somos el pilar fundamental del éxito y proyección empresarial, en la
medida que nos dejen hacer nuestro trabajo. Nuestra principal tarea es implementar el
enfoque, nuestro mayor esfuerzo, es el llevar a la práctica la teoría, con transparencia y
capacidad de integración de cada miembro de la organización en el desafío de construir el
mejor Sistema de Control Interno, la mejor Gestión de Riesgos y la mayor realización personal
de cada miembro de la empresa.
Marco Integrado de Control Interno, con
enfoque COSO III, 2013
Publicada porAlfredo Olivares CastilloModificado hace 3 años
Ins ertar

Desc argar l a pres entaci ón

Presentación del tema: "Marco Integrado de Control Interno, con

enfoque COSO III, 2013"— Transcripción de la presentación:
1 Marco Integrado de Control Interno, con enfoque COSO III, 2013
José Arnoldo CalderónGuatemala, 2015

2 AntecedentesEl Comité de Organizaciones Patrocinadoras de la Comisión Treadway

(COSO, por sus siglas en inglés) presentó la primera versión del MARCO INTEGRADO DE
CONTROL INTERNO en 1992.Teniendo en cuenta los grandes cambios que ha tenido la
industria y los avances tecnológicos, el Comité lanzo en mayo la versión 2013.

3 COSO 2013

4 Sistema de Control Interno (SCI)

Un SCI efectivo requiere la toma de decisiones y es diseñado con el fin de proporcionar un
grado de seguridad razonable en cuanto a la consecución de los objetivos en relación con la
eficacia y la eficiencia de las operaciones, la confiabilidad de la información financiera, y el
cumplimento de leyes y normas aplicables.El Marco Integrado de Control Interno abarca cada
una de las áreas de la empresa, y engloba cinco componentes relacionados entre si:́ el
entorno de control, la evaluación del riesgo, el sistema de información y comunicación, las
actividades de control, y la supervisión del sistema de control.

5 Cambios Representativos
ComponenteCambios representativosAmbiente de ControlSe enfatiza en la integridad y
valores por lo que se establecen 5 principios vinculados a su importancia y responsabilidad.Se
armoniza la relevancia entre entorno de control y todos los demás componentesSe destaca la
supervisión del riesgo y respuesta al mismo.Evaluación del RiesgoSe definen categóricamente
los objetivos de los reportes.Se aclara y detallan los tipos de riesgos y que la evaluación de
riesgo incluye identificación, análisis y respuesta al riesgo.Actividades de ControlSe formaliza
que las actividades de control son acciones establecidas a través de políticas y
procedimientos.Se establece la importancia y uso de la tecnología y control de la
misma.Información y comunicaciónSe da relevancia a la calidad de la información, dentro de
las instituciones, entre instituciones y terceras partes.Se enfatiza el impacto e importancia de
la seguridad y protección de la información, así como también su rapidez y calidad de
flujo.Monitoreo - SupervisiónSe clarifica la actividad de monitoreo en dos categorías:
evaluaciones continuas y evaluaciones independientes.Se destaca la importancia del uso de la
tecnología y los proveedores de servicios externos.
6 Aspectos relevantes COSO 2013
Proceso de ImplantaciónAumentar la claridad del proceso de implementación definido en el
marco original, con objetivo de incrementar la efectividad del SCIDesarrollo de Componentes
en PrincipiosDesarrollar los componentes a con principios y puntos de enfoque que faciliten la
implantación, mantenimiento y supervisión del SCISe consideren cambios en los negocios, de
operación y regulatorios.Se prevea ampliar el objetivo de la información financiera.Ampliación
del objetivo de informaciónAmpliar el alcance a visualizar información financiera interna y
externa de índole financiera y NO FINANCERA

7 Relación de la información financiera y no financiera

El Marco Integrado de Control Interno establece tres categorías de objetivos que permiten a
las ENTIDADES centrarse en diferentes aspectos del control interno.REPORTE FINANCIERO
EXTERNOCuentas anualesSe utiliza para cumplir con los requisitos regulatorios y las
expectativas de los grupos de interés.Estados Financieros intermediosPublicación de
resultadosDistribución de utilidades.REPORTE NO FINANCIERO EXTERNOInforme de
Control InternoSe prepara de acuerdo a estándares y exigencias externas.Memoria de
laboresPlan estratégicoCustodia de activosREPORTE FINANCIERO INTERNOEstados
FinancierosSe utiliza para el desarrollo de las funciones y la toma de decisiones.Cash- flow /
PresupuestoREPORTE NO FINANCIERO INTERNOUtilización de activosDeben cubrir las
necesidades y expectativas de la Máxima Autoridad y la Administración.Encuestas de
satisfacción de servicioIndicadores claves de riesgosInformes a los Altos mandos.

8 Estructura - COSO 2013Los cinco componentes deben funcionar de manera integrada para
reducir a un nivel aceptable el riesgo de no alcanzar un objetivo.Los componentes son
interdependientes, ya que existe una gran cantidad de interrelaciones y vínculos entre
ellos.Dentro de cada componente el marco establece 17 principios que representan los
conceptos fundamentales y son aplicables a los objetivos operativos, de información y de
cumplimiento.Los principios permiten evaluar la efectividad del sistema de control interno.

9 Principios y Puntos de Enfoque

Los COMPONENTES que define el modelo de Control Interno COSO: Entorno de Control,
Evaluación de riesgos, Actividades de Control, Información y Comunicación y Actividades de
supervisión – monitoreo.Para cada componente se tienen establecidos una serie de
PRINCIPIOS que representan los conceptos fundamentales del mismo. Cada Principio es
fundamental por lo que si uno no está presente y funcionando, en consecuencia el
Componente relacionado no está presente ni funcionando.Los principios cuentan con una
serie de PUNTOS DE ENFOQUE que detallan las características de cada principio, y servirán
para determinar la efectividad del control interno.Componentes (5)Principios (17)Puntos de
Enfoque (79)

10 Principios - COSO 2013Principios que abarca el componente: Entorno de ControlLa

organización demuestra compromiso con la integridad y los valores éticosEl consejo de
administración demuestra independencia de la dirección y ejerce la supervisión del
desempeño del sistema de control interno.La dirección estable con la supervisión del consejo,
las estructuras, líneas de reporte y los niveles de autoridad y responsabilidad apropiados para
la consecución de los objetivos.La organización demuestra compromiso para atraer,
desarrollar y retener a profesionales competentes, en concordancia con los objetivos de la
organización.La organización define las responsabilidades de las personas a nivel de control
interno para la consecución de los objetivos
11 Principios - COSO 2013Principios que abarca el componente: Evaluación de RiesgosLa
organización define los objetivos con suficiente claridad para permitir la identificación y
evaluación de los riesgos relacionadosLa organización identifica los riesgos para la
consecución de sus objetivos en todos los niveles de la entidad y los analiza como base sobre
la cual determina como se deben gestionarLa organización considera la probabilidad de fraude
al evaluar los riesgos para la consecución de los objetivosLa organización identifica y evalúa
los cambios que podrían afectar significativamente al sistema de control interno

12 Principios - COSO 2013Principios que abarca el componente: Actividad de ControlLa

organización define y desarrolla actividades de control que contribuyen a la mitigación de los
riegos hasta niveles aceptables para la consecución de los objetivos.La organización define y
desarrolla actividades de control a nivel de entidad sobre la tecnología para apoyar la
consecución de los objetivosLa organización despliega las actividades de control a través de
políticas que establecen las líneas generales de control interno y procedimientos que llevan
dichas políticas.

13 Principios - COSO 2013Principios que abarca el componente: Información y

comunicaciónLa organización obtiene o genera y utiliza información relevante y de calidad
para apoyar el funcionamiento del control interno.La organización comunica la información
internamente, incluidos los objetivos y responsabilidades que son necesarios para apoyar el
funcionamiento del sistema de control interno.La organización se comunica con los grupos de
interés externos sobre los aspectos clave que afectan al funcionamiento del control interno.

14 Principios - COSO 2013Principios que abarca el componente: Actividades de Supervisión

- MonitoreoLa organización seleccionada, desarrolla y realiza evaluaciones continuas y/o
independientes para determinar si los componentes del sistema de control interno están
presentes y en funcionamiento.La organización evalúa y comunica las deficiencias de control
interno de forma oportuna a las partes responsables de aplicar medidas correctivas,
incluyendo la alta dirección y el consejo, según corresponda.

15 Beneficios - COSO 2013Es aplicable a cualquier entidad y de acuerdo con sus

necesidades.Enfoque basado en principios que proporciona flexibilidad.Establece requisitos
para un sistema de control interno efectivo.Proporciona un método para identificar y analizar
los riesgos, así como la gestión del mismo.Brinda una oportunidad para ampliar el alcance de
control interno más allá de la información financiera.Oportunidad para eliminar controles
ineficientes, redundantes.Brinda una mayor confianza en la supervisión efectuada por las
Máximas Autoridades de la Organización.Permite una mayor comprensión de la necesidad de
un sistema de control interno efectivo.

16 COSO 2013José Arnoldo Calderón¡Muchas Gracias!