Por: Ron Kral (CPA, CMA, CDMA)*
Como muchas empresas de capital abierto están dedicadas a la implementación del Marco Integrado Control Interno COSO 2013, este es el momento ideal para hablar de tres de sus principios más desafiantes.
Si bien la aplicación de cualquiera de los 17 principios (consulte el Resumen Ejecutivo del Marco Executive Summary para un listado de los 17) puede ser desalentadora, algunos están demostrando ser más difíciles que otros. Las grandes empresas públicas también están experimentando un mayor escrutinio por parte de sus auditores pues estos son sometidos a una auditoría externa sobre el Control Interno de la Información Financiera (ICFR).
La información para este artículo se obtuvo mediante la interacción con cientos de responsables de control y encargados de tomar decisiones sobre el nuevo Marco, mientras estuve dictando seminarios y trabajando con clientes en todo Estados Unidos este año. Aunque, en general, abundan las opiniones sobre el Marco, los principios 2, 4 y 13 con frecuencia han alcanzado la cima en términos de preguntas y desafíos. Este artículo comparte algunas de las preocupaciones específicas con respecto a estos tres principios y ofrece importantes consejos para asegurar que estén presentes y funcionando de acuerdo con el Marco.
Principio 2: El Consejo Directivo demuestra la independencia de la gestión y supervisa el desarrollo y desempeño del control interno
Este es un punto destacado, tal vez sólo precedido en importancia por el principio 1 que requiere que las empresas demuestren su compromiso con la integridad y los valores éticos. Sin una supervisión independiente por parte del Comité o Junta Directiva ¿quién le pediría cuentas al CEO y al CFO? Basta con mirar cualquiera de los principales fraudes que han golpeado a los EE.UU. desde el año 2000 como por ejemplo, Enron, Worldcom, HealthSouth, Tyco, y Adelphia Communications entre otros. Una falla que todas estas empresas tuvieron en común fue la falta de supervisión independiente de la Junta sobre el CEO y el CFO. Por supuesto, se pueden señalar las excelentes prácticas de gobierno que muchas de estas compañías tenían, de acuerdo a la documentación, antes de que se detectaran los fraudes; pero ¿existía en realidad una adecuada supervisión independiente por parte de la Junta? Este aspecto introduce un desafío clave. Si se garantiza, a través de los estatutos de la Junta, la implementación de este principio, es más fácil elegir directores independientes y establecer un reglamento sólido para el Comité de Auditoría. Sin embargo, demostrar que el principio está funcionando es el requisito más desafiante del Marco. Puede afirmarse que un principio está presente cuando este se incluye en el diseño y en la implementación del ICFR, y se dice que está funcionando cuando está presente en la conducta del sistema de ICFR.
Para muchos auditores y asesores de gobierno, demostrar el aspecto funcional de este principio va más allá de hacer un recuento de las actividades de supervisión en las actas de las reuniones de los Comités directivos y de auditoría; aunque una revisión de las actas de las reuniones es un buen comienzo. El aspecto más crítico es reunir evidencia que pruebe el buen juicio de los consejeros independientes en el cumplimiento de sus responsabilidades fiduciarias de supervisión de la gestión ejecutiva. La independencia es posiblemente la característica más importante para los Comités Directivos y de Auditoría eficaces ya que se ubica en el centro del análisis objetivo y de la toma de decisiones. Si bien existe una multitud de interpretaciones para el término “director independiente”, una definición purista sería: “alguien cuya función directiva constituye su única conexión con la organización”. El director independiente no trae una visión sesgada a la mesa directiva y no le debe ningún favor al CEO o a su equipo. Tiene el valor de desafiar al CEO y al CFO en las decisiones clave de ICFR vinculadas con la relevancia, la idoneidad de las políticas contables críticas, las estimaciones de la gestión, las conclusiones de la evaluación de riesgos y los planes de auditoría del auditor externo. Como dijo una vez el general George S. Patton, “Si todos piensan igual, alguien no está pensando”.
El Principio 2 se basa en el concepto de que un juicio independiente ayuda a garantizar que el ICFR conducido por el equipo de gestión esté correctamente diseñado y funcione; esto en oposición a un alto grado de riesgos, incluyendo la omisión de la dirección ejecutiva del ICFR con fines fraudulentos. La evidencia de debates saludables entre los directores y la gestión y una buena comprensión de los riesgos de contabilidad e información financiera son indicadores de que este principio está funcionando. Además, el Comité de Auditoría debe solicitar y confirmar los datos y la información utilizando fuentes independientes como, por ejemplo, la auditoría interna.
Los auditores podrían querer discutir los puntos de enfoque del principio 2 directamente con los directores independientes a puerta cerrada. También, es probable que busquen obtener pruebas del Comité de Auditoría (o del Consejo en ausencia de este) de las discusiones abiertas sobre los riesgos del ICFR, la toma de decisiones objetivas y el control de las actividades de ICFR por parte de la gestión. Los auditores quizás incluso cuestionen la experiencia colectiva de los directores independientes que hacen parte del Comité de Auditoría. Los directores independientes con conocimientos especializados que tienen el valor de ser imparciales y escépticos en el desempeño de sus deberes fiduciarios son la esencia del principio 2. Hay varios enfoques prácticos y ejemplos para los 17 principios en el documento de COSO: “Control interno de los informes financieros externos: un compendio de enfoques y ejemplos”, publicado conjuntamente con el Marco pero que técnicamente no hace parte de este.
Principio 4: La organización demuestra un compromiso para atraer, desarrollar y retener a personas competentes en línea con los objetivos
Aparentemente este es uno de los principios fáciles del Marco; sin embargo, está demostrando ser uno de los más desafiantes. ¿Por qué? Porque a pesar de la utilización de controles automatizados; los controles manuales que involucran al personal se siguen utilizando en gran medida y suponen un alto riesgo por varias razones. De hecho, si usted echa un vistazo a las debilidades significativas divulgadas por las empresas públicas en los últimos 10 años, hay una gran probabilidad de que la causas de estas se relacionen con el personal. Las fallas de personal incluyen: escasez de profesionales cualificados, empleados descontentos, habilidades inadecuadas, falta de formación, carga excesiva de trabajo, alta rotación de personal, ausencia de tutoría, mala distribución de tareas y supervisión deficiente. Varias de estas debilidades afectan negativamente el corazón del principio 4 ya que los responsables del control que se encuentran a la cabeza representan un riesgo serio para el cumplimiento de los objetivos. La mayoría de veces no es culpa del responsable del control, sino más bien de una mala alineación de las competencias por parte de la gestión, junto con una formación inadecuada y la falta de supervisión. Estas causas son a menudo desencadenadas en el nombre del ahorro de costes. Otras veces, la condición simplemente se presenta debido a una cultura letárgica o a la ignorancia de los riesgos asociados.
Atraer, desarrollar y retener responsables de control competentes significa seguir el ciclo de vida del empleado desde sus etapas iniciales en el proceso de contratación hasta su jubilación o desvinculación de la empresa. Las compañías son presionadas cada vez más por sus auditores para demostrar cómo evalúan el nivel de competencia de los trabajadores y sus limitaciones. Además, los programas educativos profesionales continuados están recuperando el apoyo de la administración, no como opciones, sino más bien como requisitos para ayudar a garantizar los niveles de competencia en todos los puestos de trabajo. Por otra parte, los auditores están revisando más profundamente los antecedentes y credenciales de los responsables del control del ICFR, y están solicitando las hojas de vida de los nuevos empleados para examinarlas.
Algunas empresas están utilizando sus Comités de Auditoría para revisar y aprobar los requisitos de competencia de los individuos considerados para las funciones principales de ICFR. El director financiero, obviamente, también debe involucrarse en la decisión, lo que aporta otro par de ojos independientes que pueden ayudar a garantizar la idoneidad de los conocimientos, la experiencia, las habilidades y las credenciales necesarias para tener éxito. Los Comités de Auditoría deben considerar utilizar recursos independientes, como la auditoría interna, en este frente.
Otro desafío consiste en abordar adecuadamente los riesgos asociados a los proveedores de servicios externos cuando son traídos para apoyar los objetivos de reporte externo de información financiera y contable de la empresa. Los usos más comunes de terceras partes incluyen tecnología de la información, procesamiento de nóminas, asistencia en la declaración de impuestos y experiencia de valoración. La decisión de subcontratar a un tercero no libera a la gestión de sus objetivos de información financiera, de la evaluación de los riesgos ni de las actividades de control asociados a las áreas externalizadas. Por el contrario, los conceptos del principio 4 y muchos de los otros principios estructurales deben extenderse para cubrir a los proveedores de los servicios externos clave. Los acuerdos contractuales deben especificar los requisitos de idoneidad que permitan a la empresa llevar a cabo los procedimientos de evaluación u obtener otras formas de aseguramiento.
Principio 13: La organización obtiene o genera, y utiliza información relevante y de calidad para apoyar el funcionamiento del control interno
Este principio está ganando impulso a medida que más Consejos, ejecutivos y responsables de control comprenden la importancia que los flujos de datos e información representan para la toma de decisiones contables y para los reportes de información financiera. Es evidente que tal flujo de información no se limita únicamente a los datos estructurados que figuran en el libro mayor, sino que incluye también los datos fuera del sistema ERP [1]referentes a los términos de ventas, las estimaciones contables, las contingencias de pérdida, los impedimentos y las provisiones. Los flujos de datos e información son cada vez más importantes para todos los ciclos de contabilidad. La evolución del GAAP [2] de EE.UU. hacia un sistema de contabilidad basado principios, como el nuevo reconocimiento contable de ingresos, requiere más dependencia de los datos no estructurados y toma de decisiones a partir de estos. Muchas veces, las fuentes de información necesarias se encuentran mucho más allá de la función de control, extendiéndose a las operaciones, las ventas, y los datos externos, legales y de tesorería.
Este es un principio abrumador para las empresas y los auditores por igual, ya que implica capturar y procesar la información relevante, mantener la calidad durante todo el proceso, y culminar con la preparación de los estados financieros de acuerdo a los GAAP de EE.UU. y al Reglamento S-X de la SEC. La información de calidad debe ser accesible, correcta, actual, protegida, retenida, suficiente, oportuna, válida y verificable de acuerdo al Marco.
Dado que muchos responsables de control y auditores tienen antecedentes en contabilidad y auditoría, algunas de estas áreas están a menudo fuera de su zona de confort.
De hecho, la necesidad de conocimientos informáticos profundos exige que alguien con la designación CISA [3] (Auditor Certificado en Sistemas de Información) esté involucrado en el desarrollo del principio. Las personas que entienden los objetivos, riesgos y controles de los flujos de información necesarios para las operaciones contables y para la preparación de los estados financieros son fundamentales, tanto en el equipo de gestión como en el de auditoría externa.
Al igual que en todos los principios, no existe una receta única para tener éxito con el principio 13, ya que la personalización de un enfoque eficaz depende de la industria, el tamaño, las características de funcionamiento y los riesgos asociados de la empresa. Sin embargo, las organizaciones pueden crear un inventario de requisitos de información (de fuentes internas y externas), mantener flujos de datos escritos y repositorios, aplicar controles estrictos sobre las hojas de cálculo e instituir un programa de gobierno de datos. Este programa de gobierno contribuirá en gran medida al establecimiento y a la comunicación de los pilares necesarios para cumplir con el principio 13, incluidas las funciones y las responsabilidades.
Conclusiones
Tenga en cuenta que la profundidad y el rigor del enfoque, la documentación y las pruebas requeridas para la aplicación del Marco cambiarán en gran medida entre las empresas, ya que dependen de muchas variables. En pocas palabras, entre más grande y complejo sea el negocio, más abundantes serán los riesgos relacionados con los reguladores, inversores, acreedores y otros grupos de interés. Como resultado, se espera que las organizaciones grandes y complejas dediquen mayor cantidad recursos para garantizar la implementación y el funcionamiento de los 17 principios del Marco.
Por último, recuerde que los juicios profesionales son una piedra angular en la aplicación efectiva del Marco. Estos incluyen una amplia gama de decisiones, que van desde la selección de los controles y de los esfuerzos de solución hasta la conclusión de que cada componente y principio relevante está implementado y funciona de manera integrada. Los juicios más significativos también entran en juego al determinar la gravedad de las deficiencias en el diseño y en la efectividad operativa. Las empresas públicas deben elevar todas las excepciones al ICFR consideradas deficiencias o debilidades significativas a su Comité de Auditoría y a su auditor externo. Tomar estas decisiones tiene consecuencias importantes en la capacidad de la gestión para concluir sobre la efectividad del ICFR.
Recuperado de: http://corporatecomplianceinsights.com
* Socio y Gerente de Candela Solutions LLC, una firma de contabilidad pública con un enfoque nacional en gobernabilidad, riesgo y controles.
[1] Enterprise Resource Planning. ‘Sistema de Planificación de Recursos Empresarial’.
[2] Generally Accepted Accounting Principles. Principios de Contabilidad Generalmente Aceptados.
[3] Certified Information Systems Auditor.