Mantente actualizado de lo que pasa en el mundo de la Auditoría y el Control Interno

REGÍSTRATE GRATIS EN NUESTRO BOLETÍN

ISSN IMPRESO: 2665-1696 - ISSN ONLINE: 2665-3508

Ratio: 5 / 5

Inicio activadoInicio activadoInicio activadoInicio activadoInicio activado
 

Por: Ron Kral (CPA, CMA, CDMA)*

A pesar de que los pilares fundamentales siguen siendo los mismos en los marcos de 1992 y 2013, las diferencias trascienden lo superficial y es necesario comprenderlas claramente para lograr una transición adecuada.

Enfóquese en los 17 principios

Aunque ciertamente hay varias mejoras en el marco de 2013, el requisito más significativo consiste en abordar los 17 principios específicos. ¿Por qué? Porque COSO es muy claro al afirmar que todos los principios “relevantes” deben estar presentes y funcionando para que una empresa pueda concluir que su ICFR [1]es efectivo. El marco de 2013 considera que los 17 principios son adecuados para todas las entidades excepto en raras situaciones industriales, operativas o regulatorias en las que la Dirección determine que un principio no es relevante. La Dirección debe tener argumentos y pruebas suficientes para demostrar que alguno de estos principios no es relevante para su empresa.

Ambiente de control

1. La organización demuestra un compromiso con la integridad y los valores éticos.
2. El Consejo Directivo demuestra independencia de la gestión y supervisa el desarrollo y desempeño del control interno.
3. La Dirección establece, con la supervisión del Comité, estructuras y líneas de información, y designa apropiadamente las responsabilidades para lograr los objetivos.
4. La organización demuestra compromiso para atraer, desarrollar y retener a individuos competentes de acuerdo con los objetivos.
5. La organización hace responsables a los individuos de sus respectivas obligaciones de control interno en la consecución de los objetivos.

Evaluación de riesgos

6. La organización especifica los objetivos con suficiente claridad para permitir la identificación y evaluación de los riesgos relacionados con ellos.
7. La organización identifica los riesgos para el logro de sus objetivos en toda la entidad y los analiza para determinar cómo se deben gestionar.
8. La organización considera la posibilidad de fraude en la evaluación de los riesgos para el logro de los objetivos.
9. La organización identifica y evalúa los cambios que podrían tener un impacto significativo en el sistema de control interno.

Actividades de control

10. La organización selecciona y desarrolla actividades de control que contribuyen a mitigar el riesgo y a lograr los objetivos en niveles aceptables.
11. La empresa escoge y lleva a cabo actividades de control general sobre la tecnología para apoyar la consecución de los objetivos.
12. La organización despliega actividades de control a través de políticas que establecen ciertas expectativas y procedimientos.

Información y comunicación

13. La organización obtiene, o genera, y utiliza información relevante y de calidad para apoyar el funcionamiento del control interno.
14. La organización provee internamente la información necesaria, incluidos los objetivos y las responsabilidades, para apoyar el funcionamiento del control interno.
15. La organización se comunica con las partes externas interesadas sobre asuntos que afectan el funcionamiento del control interno.

Actividades de monitoreo

16. La organización selecciona, desarrolla y realiza evaluaciones continuas y/o separadas para determinar si los componentes del control interno están presentes y funcionando.
17. La organización evalúa y comunica las deficiencias de control interno de manera oportuna a los responsables de tomar medidas correctivas, incluyendo la Dirección y el Comité Directivo, según corresponda.

He trabajado con cientos de empresas a lo largo de mi carrera y no puedo recordar un solo caso en el que uno de estos 17 principios no fuera relevante. Por lo tanto, de acuerdo con el marco de 2013, una falla que afecte la implementación y el funcionamiento de cualquiera de estos principios en el FYE significa que existe una deficiencia “importante” y que la empresa no cumple con los requisitos de un sistema efectivo de control interno.

Enfoque descendente basado en el riesgo

La belleza del marco de 2013 radica en que los 17 principios encajan muy bien en un enfoque descendente (top-down) basado en el riesgo, que idealmente debe adoptarse como precursor de planes de evaluación de gestión más detallados, de programas de auditoría interna y de planes de auditoría externa. De hecho, la Alerta # 11 de Prácticas del Personal de Auditoría del PCAOB le recuerda a los auditores externos que deben comprender los riesgos generales del ICFR concentrándose en los controles a nivel de la entidad (es decir, los 17 principios) y luego trabajando en las cuentas significativas, en las divulgaciones y en sus declaraciones relevantes. La evaluación del riesgo es el elemento clave del enfoque descendente y los 17 principios son el punto de partida lógico para que los equipos de gestión, auditoría interna y auditoría externa comiencen a aplicar sus enfoques. Franzel, miembro del consejo del PCAOB, declaró el 26 de marzo de 2014: “Creo que es necesario y productivo revisar el proceso de la administración a la luz del Marco COSO 2013, para que todo el sistema funcione eficazmente. Y, por supuesto, los auditores y los emisores necesitan establecer un diálogo productivo sobre estas cuestiones”.

Juicio

No hay que insistir en el debate de si nos debemos basar en reglas o en principios; pero, es necesario recordar que el marco de 2013, al igual que la mayoría de los otros marcos profesionales recientes, proporciona un punto de partida estructurado que debe ser personalizado para adaptarse a diferentes entornos operativos. La adhesión al espíritu de este concepto nos aleja de un enfoque de “lista de verificación” que intenta responder a los 17 principios estrictamente a través de los puntos de enfoque sugeridos dentro de cada uno. Estos puntos son una guía y no una hoja de ruta inamovible. Siendo este el caso, una empresa no tiene que abordar todos los puntos de enfoque, ni debe sentirse atada a ellos. Por el contrario, la Dirección necesita comprender el espíritu del principio y extraer ideas útiles de los puntos propuestos; así como también, añadir sus propios puntos de enfoque de acuerdo a su criterio. Como resultado, no hay dos compañías que tengan la misma documentación; esta debe personalizarse para que se adapte al entorno de cada empresa.

Adaptabilidad

Al igual que el tema de juicio, la profundidad del rigor y de la documentación en la adopción del marco 2013 variará mucho entre las empresas dependiendo de sus industrias, tamaños, ubicaciones, riesgos, y de las regulaciones de la SEC aplicables, entre otras variables. En pocas palabras, cuanto más grande y complejo sea el negocio, más riesgos para los inversionistas, y más recursos y documentación se requieren para cumplir con el marco de 2013 (como también fue el caso del marco de 1992). Como ocurre en cualquier proyecto, es necesario comprender claramente qué, quién, cuándo, dónde, por qué y cómo abordarlo. La Dirección y el Comité Directivo a través de su Comité de Auditoría deben estar en sintonía. También, deben entender que la implementación es un proyecto continuo en el que el diseño de los controles deberá ser constante y duradero para mantenerse al día con los entornos cambiantes.

Conclusiones

La transición al marco de 2013 implica mucho más trabajo que simplemente cambiar el “1992” a “2013”. Este cambio conlleva una cantidad razonable de documentación que debe estar alineada con los cinco componentes y los 17 principios del marco de 2013. Los documentos deben trascender el enfoque de “lista de verificación” que simplemente afirma que la empresa cumplió con cada uno de los 17 principios; ya que debe mostrar ejemplos y evidenciar una intención sincera por parte de la compañía de cumplir con los componentes y principios. Los auditores externos se enfrentan a un mayor escrutinio por parte del PCAOB con respecto al rigor y a la evidencia que presentan para cumplir con las normas cuando dan sus conceptos sobre ICFR. Se espera que tanto la SEC como el PCAOB incrementen el escrutinio respecto al ICFR, especialmente en los 17 principios; y por lo tanto, aumenten la exigencia y la vigilancia sobre la Dirección y los auditores.

Un comentario más de despedida: no caigan en la idea limitada de que el marco de 2013 es sólo para el ICFR. Sin duda, se refiere a los objetivos y controles de la información financiera; pero también puede y debe utilizarse voluntariamente para lograr las metas operativas y de cumplimiento.

Recuperado de: http://corporatecomplianceinsights.com /

* Socio y Gerente de Candela Solutions LLC, una firma de contabilidad pública con un enfoque nacional en gobernabilidad, riesgo y controles.

[1] Internal Control over Financial Reporting.


Comentarios   

+1 #1 Hernan Valdebenito 12-11-2016 03:23
Los 17 principios de COSO 2013 deben ser entendidos en su espíritu, para lograr los objetivos. Los Auditores somos el pilar fundamental del éxito y proyección empresarial, en la medida que nos dejen hacer nuestro trabajo. Nuestra principal tarea es implementar el enfoque, nuestro mayor esfuerzo, es el llevar a la práctica la teoría, con transparencia y capacidad de integración de cada miembro de la organización en el desafío de construir el mejor Sistema de Control Interno, la mejor Gestión de Riesgos y la mayor realización personal de cada miembro de la empresa.

Regístrese para que pueda comentar este documento

Auditool.org

Como miembro de Auditool accedes a Cursos Virtuales de Auditoría y Control Interno CPE, y a una completa Caja de Herramientas de Auditoría, permitiendo mejorar las habilidades de los Auditores, ahorrando tiempo y recursos, y creando y protegiendo valor en las organizaciones.

📰 SUSCRÍBETE EN NUESTRO BOLETÍN

Mantente actualizado de lo que pasa en el mundo de la Auditoría y el Control Interno.

 

lateralG3.2