EL CUBO DEL MARCO INTEGRADO DE CONTROL INTERNO PUEDE SER TAN ABRUMADOR COMO UN CUBO MÁGICO (RUBIK´S CUBE)
PERSPECTIVA DE UN AUDITOR
Quienes firman y archivan los documentos de representación de control interno ante los reguladores, como la SEC, por lo general se guían del Marco Integrado de control Interno. Este marco es publicado por el Comité de organizaciones patrocinadoras de la Comisión Treadway - The Committee of Sponsoring Organizations of the Treadway Commission (COSO), el cual tiene la misión de proporcionar un conocimiento líder a través del desarrollo de marcos y guías completas e integrales para la administración del riesgo empresarial, el control interno y la disuasión del fraude. Frecuentemente considerado como el estándar de oro a nivel mundial de los marcos de control interno. El Marco Integrado de COSO presenta el abrumador desafío de tres dimensiones a combinar y entrelazar, similar a un cubo mágico.
El marco integrado de COSO tiene un resumen ejecutivo disponible al público, que contiene un diagrama del cubo en la página 6. Centrándose en los principios y puntos de enfoque explicados en la versión del 2013, el cubo de COSO tiene cerca de 1.000 posibles combinaciones a considerar. Por lo tanto, identificar los objetivos principales para luego decidir dónde comenzar y cuál es la mejor forma de proceder, es la clave para utilizar el marco apropiadamente. Un CPA (Contador Público Certificado) con entrenamiento, como el certificado del programa de control interno de COSO, puede ser un compañero valioso.
LOS LADOS DEL CUBO Y SUS PUNTOS PRÁCTICOS PARA INICIAR
La parte superior del cubo tiene tres objetivos de control interno: Operaciones, reporte y cumplimiento. Esto cambia en el cubo para una evaluación de la Administración anual de la efectividad de los Controles Internos sobre el Reporte Financiero (ICFR), por los requerimientos de la SEC debe iniciar con el objetivo del Reporte Financiero Externo. Una simple razón es que el público depende del reporte financiero externo de la empresa pública y los ejecutivos, específicamente el CEO y el CFO (o el equivalente), para certificar que ellos han evaluado la efectividad de los controles de revelaciones, los cuales incluyen Controles Internos sobre el Reporte Financiero - ICFR (por ejemplo, los firmantes). Esto no disminuye la importancia de los objetivos operativos, los cuales abordan las metas de rendimiento y la protección de los activos. Además, los objetivos de cumplimiento están relacionados con el respeto a leyes y regulaciones, que definitivamente merecen una adecuada atención.
El lado derecho del cubo se aborda la estructura de una organización descendentemente, desde la entidad, la división y la unidad operativa hasta las funciones. Normalmente, el firmante es un ejecutivo con clara visibilidad de las actividades relevantes del Marco desde el nivel de la entidad hasta el nivel de unidad operativa. Frecuentemente en el nivel de funciones es donde la visibilidad no es tan clara para el firmante, debido a los detalles, volumen y falta de tiempo para direccionar las eventualidades. Por lo tanto, es más difícil evaluar el riesgo.
Los informes principales de la SEC no permiten al ejecutivo detectar deficiencias significativas del ICFR, así sea un lector astuto de un balance y una declaración de ingresos. Los controles para evitar errores materiales relacionados con el reconocimiento de ingresos, el inventario, las valuaciones justas y el capital frente a los costos del período, y demás, generalmente ocurren a nivel funcional dentro del componente de actividades de control y sus respectivos principios. Por consiguiente, este es un buen lado del cubo para empezar.
La cara frontal del cubo tiene cinco niveles conocidos como componentes: Entorno de control, Evaluación de Riesgos, Actividades de control, Información y Comunicaciones, y Actividades de Supervisión. El segundo nivel, que no es visible en el cubo del Marco, son los 17 Principios en apoyo de los cinco componentes. Finalmente, en promedio, cada Principio tiene 5 Puntos de Enfoque.
Para el lado final del cubo, las actividades de control son nuestro punto de partida. Esto se explicará a medida que avancemos y tomemos la iniciativa de las Normas de la Junta de Supervisión de Contabilidad de Empresas Públicas (PCAOB) desde una perspectiva de auditoría externa.
PALABRAS DE PRECAUCIÓN
Antes de seguir adelante, es sumamente importante señalar que los objetivos, niveles de organización, componentes y principios del cubo están interconectados y son interdependientes. Y si alguno de los 17 Principios relevantes no está adecuadamente diseñado o no funciona correctamente (el Marco lo refiere como “presente” y “funcionando”), todo el componente asociado no puede estar presente y funcionando. Además, el Marco define una “deficiencia importante” cuando la empresa no puede concluir que un Principio relevante está presente y funcionando. Cuando esto sucede, la empresa no puede llegar a la conclusión de que ha cumplido con los requisitos de un sistema efectivo de control interno, que es similar a una “deficiencia material”, según lo definido por la SEC y PCAOB. Comenzando con el cubo del Marco establecido en el reporte financiero externo, la función y la actividad de control, se puede asumir con seguridad que cualquier deficiencia conducirá a girar el cubo y explorar desde un paradigma diferente pero relacionado para abordar la causa de las deficiencias. Por ejemplo, las deficiencias en el control interno de la actividad de control de contabilidad están casi siempre relacionadas con debilidades en el Entorno de control, como las competencias y las responsabilidades.
CÓMO PROCEDER DE LA MEJOR FORMA
Con un CPA con experiencia en el Marco Integrado de COSO como socio, el mejor lugar para comenzar con el cubo establecido en el Reporte Financiero Externo, la función y la actividad de control es el balance de prueba de la empresa.
Al principio, el balance de prueba puede parecer sólo una lista de números, usualmente voluminoso, en formato de débito y crédito. Sin embargo, representa la culminación de la actividad económica de una empresa que reporta en un período de tiempo. Los informes financieros más básicos que muestran la situación financiera (balance) y los resultados de las operaciones (estado de resultados) de la empresa se derivan directamente del balance de prueba. Bajo cada cuenta enumerada están las actividades que capturan los eventos económicos desde el punto de origen hasta la suma total comprensible. Muchas empresas de contabilidad se refieren al balance de prueba como el “calendario principal – lead schedule”, ya que contempla desde las finanzas hasta la actividad subyacente.
REPORTE DE ASEVERACIONES Y EVALUACIÓN DE RIESGOS DE LA ADMINISTRACIÓN
Cuando la administración afirma al público que los estados financieros de su empresa están libres de errores significativos y que el ICFR está libre de deficiencias materiales, esto sólo puede basarse en un entendimiento de las afirmaciones. Las aseveraciones se hacen con respecto a las cuentas que podrían individual o colectivamente causar un error significativo, junto con otros requisitos. Las afirmaciones o aseveraciones son definidas por las Normas PCAOB en la Sección AU 326 como:
- La existencia u ocurrencia: Los activos o pasivos de la empresa existen en una fecha determinada, y las transacciones registradas han ocurrido durante un período dado.
- Integridad: Todas las transacciones y cuentas que deben presentarse en los estados financieros están incluidas en los estados financieros con las cantidades apropiadas.
- Valoración o asignación: Los componentes de activo, pasivo, patrimonio, ingresos y gastos han sido incluidos en los estados financieros en las cantidades apropiadas.
- Derechos y obligaciones: La empresa posee o controla los derechos sobre los activos, y los pasivos son obligaciones de la empresa en una fecha determinada.
- Presentación y revelación: Los componentes de los estados financieros están debidamente clasificados, descritos y divulgados.Las fechas de corte son correctas.
Un paso logístico importante para crear orden y reducir el volumen de la cuenta a un nivel práctico es aplicar las aseveraciones por cuentas agrupadas por función y actividades de control relacionadas, además del orden de los estados financieros. Por ejemplo:
- Grupo del ciclo de ingresos: Ingresos, cuentas por cobrar, ingresos diferidos, deudas incobrables.
- Ciclo de compras: Inventario, cuentas por pagar, gastos.
- Obligaciones contractuales: Contratación de servicios, arrendamientos, adquisiciones.
- Recursos humanos: Compensación, beneficios, impuestos.
- Contabilidad tributaria: Activos diferidos, pasivos, gastos.
- Contabilidad general: Activos fijos, depreciación, provisiones.
Un requisito de auditoría es obtener una comprensión de los controles internos de la empresa, que es similar a “están presentes” en los términos del Marco Integrado de COSO. La clave es identificar aquellas políticas y procedimientos que contienen las actividades de control seleccionadas y desarrolladas para mitigar el riesgo de un error significativo en el reporte. Esto incluye controles generales de tecnología de la información (TI), así como controles de aplicaciones de software. En consecuencia, las preguntas que se deben hacer para cada grupo de cuentas funcionales identificadas son:
- ¿Qué políticas y procedimientos constituyen un diseño que pueda impedir que se produzca un error significativo en el curso normal del negocio?
- ¿Están presentes?
- ¿Están funcionando?
Algunas políticas y procedimientos deben considerarse “obligatorios” para que los controles internos se consideren adecuados, como los controles de crédito. Otros deben ser evaluados por costo beneficio, por ejemplo la cancelación manual de las facturas pagadas.
Refiriéndose nuevamente a la guía del PCAOB, cada grupo de cuentas debe ser evaluado para el riesgo de declaración errónea significativa, como el nivel de aseveración por parte de la administración, como se establece a continuación:
- Riesgo inherente, que se refiere a la susceptibilidad de una afirmación a una declaración errónea, debido a error o fraude, que podría ser material, individualmente o en combinación con otras declaraciones erróneas, antes de considerar cualquier control relacionado.
- El riesgo de control, que es el riesgo de que una declaración errónea debida a error o fraude pudiera ocurrir en una aseveración y que pudiera ser material, individualmente o en combinación con otras declaraciones erróneas, que no sea prevenida o detectada oportunamente por el control interno de la empresa. El riesgo de control es una función de la efectividad del diseño y funcionamiento del control interno, que, de nuevo, es similar al “presente” y el “funcionando” según el Marco.
Por supuesto, si el diseño no es adecuado, se debe proceder con acciones correctivas utilizando el Marco Integrado de COSO y las normas de la SEC como guía, junto con la ayuda de un CPA con la experiencia y conocimiento tanto en el Marco como en las regulaciones de la SEC.
CONCLUSIÓN
El proceso del Marco Integrado de COSO es repetitivo, sistémico y continuo. El primer giro del cubo, reporte, función y actividades de control, debería hacer que el proceso avance en una dirección positiva. En el análisis final, el cubo completo del Marco debería girarse y evaluarse desde cada lado, de la misma manera en que los colores coinciden en el cubo mágico. La misión es evaluar los riesgos a través del cubo entero y reaccionar hasta que los riesgos se reduzcan a un nivel aceptablemente bajo a juicio de la administración y los encargados del gobierno antes de firmar al público.
NEIL DELLA TORRE
http://www.corporatecomplianceinsights.com
Traducido por: Tatyana Martínez