El año pasado COSO emitió una actualización del ya famoso “Internal Control- Integrated Framework”, con el objetivo de aumentar la probabilidad de alcanzar los objetivos que cada entidad se marca, así como para adaptarse a los cambios en los entornos empresariales y operativos de forma más rápida.
Un lector con conocimiento del antiguo Marco encontrará que gran parte de los conceptos mencionados en la versión revisada le son muy familiares. A continuación voy a intentar hacer un breve resumen del nuevo Framework o Marco para resaltar los cambios más significativos:
Cambios principales con el Marco de 1992
Las mejoras más importantes incluyen:
- Establecimiento de 17 principios que sustentan los cinco componentes de control interno. Cada principio tiene varios puntos de enfoque.
- Mayor consideración de los cambios en el entorno empresarial.
- El Marco de 2013 ha dado un mayor protagonismo a la consideración de la posibilidad de fraude tal y como demuestra el principio 8.
- Reconocimiento de la importancia cada vez mayor de la tecnología.
- Ampliación de los objetivos de reporting para incorporar tanto la información financiera y no financiera externa como la información financiera y no financiera interna, dando lugar a cuatro tipos de reporting.
Principios que sustentan los cinco componentes de control interno
Los 17 principios se reparten entre los cinco componentes del control interno como sigue:
Ambiente de Control (Principios 1 a 5)
1.- La organización demuestra un compromiso con la integridad y con los valores éticos.
2.-El Consejo de Administración demuestra independencia con la dirección y supervisa el desarrollo y la evaluación del control interno.
3.-La Dirección establece, conjuntamente con el Consejo de Administración, de estructuras, canales de información, así como de autoridades y responsabilidades con el objetivo de lograr los objetivos.
4.-La organización demuestra su compromiso de atraer, desarrollar y retener a personas competentes que se encuentran alineadas con los objetivos.
5.-La organización hace responsables a los individuos de sus responsabilidades de control interno en la búsqueda de los objetivos.
Evaluación de Riesgos (Principios 6 a 9)
6.-La organización especifica objetivos con la nitidez suficiente para permitir la identificación y evaluación de riesgos relacionados con dichos objetivos.
7.-La organización identifica los riesgos al logro de sus objetivos a través de la entidad y de su análisis de los riesgos, como base para la determinación de cómo se deben gestionar dichos riesgos.
8.-La organización considera la posibilidad de fraude en la evaluación de los riesgos al logro de los objetivos.
9.-La organización identifica y evalúa los cambios que podrían afectar significativamente al sistema de control interno.
Actividades de control (principios 10 a 12)
10.-La organización selecciona y realiza actividades de control que contribuyan a la mitigación de los riesgos al logro de los objetivos a un nivel aceptable.
11.-La organización selecciona y desarrolla actividades de control global sobre la tecnología para apoyar el logro de los objetivos.
12.-La organización implementa actividades de control a través de políticas que establecen lo que se espera y procedimientos que ponen en práctica dichas políticas.
Información y Comunicación (principios 13 a 15)stack_of_books_rotated_orange
13.-La organización obtiene o genera y utiliza información relevante y de calidad para apoyar el funcionamiento del control interno.
14.-La organización comunica internamente la información, incluyendo los objetivos y responsabilidades de control interno, necesarios para apoyar el funcionamiento del control interno.
15.- La organización se comunica con terceros sobre asuntos que afectan al funcionamiento de otros componentes del control interno.
Actividades de seguimiento (principios 16 y 17)
16.- La organización selecciona, desarrolla y lleva a cabo evaluaciones continuas y/ o recurrentes para determinar si los componentes del control interno se encuentran presentes y en funcionamiento.
17.- La organización evalúa y comunica las deficiencias de control interno de manera oportuna a las partes responsables de tomar acciones correctivas, incluyendo la alta dirección y el consejo de administración, si procediera.
Evaluación del control interno
Para que un sistema de control interno pueda ser considerado como efectivo, el Marco de 2013 requiere que:
- Cada uno de los cinco componentes y principios relevantes se encuentre presente y en funcionamiento.
- Los cinco componentes funcionen de forma conjunta y en modo integrado.
De este modo, y con el objetivo de documentar hallazgos de control interno, el Marco de 2013 define los siguientes:
- Deficiencia de Control Interno. Un defecto en un componente o componentes y su(s) principio correspondiente(s) que reduce(n) la probabilidad de que la entidad pueda alcanzar su objetivo.
- Deficiencia Mayor (Major Deficiency). Una deficiencia de control interno o una combinación de deficiencias que reducen seriamente la posibilidad de que la entidad pueda alcanzar sus objetivos.
El Marco de 1992 podrá seguir siendo utilizado hasta el 15 de diciembre de 2014. A partir de esa fecha, dicho marco se considerará que es reemplazado por la nueva versión. Para sociedades con cierre a 31 de diciembre, esto significará que deberán transicionar al nuevo marco no más tarde del ejercicio 2014.
Al adoptar el Marco de 2013, la administración de cada sociedad tendrá que evaluar la aplicabilidad de los principios dentro de cada componente del control interno y determinar si se han abordado adecuadamente en el actual sistema de control interno, así como adecuadamente documentado.
Daniel Masferrer
Director de Auditoría y del International Business Centre en Grant Thornton