Por: Ron Kral (CPA, CMA, CDMA)*
Dado que muchas empresas que cotizan en bolsa están aplicando el Marco Integrado de Control Interno COSO 2013, es un buen momento para responder algunas preguntas que ayuden a orientar correctamente los esfuerzos de implementación.
Aunque que el Marco puede y debe usarse en una amplia gama de operaciones, informes y logros de cumplimiento; el objetivo principal de las siguientes 10 preguntas son las empresas registradas en la SEC [1], que están haciendo la transición hacia el Marco con el propósito de implementar un medio adecuado y reconocido de control para el informe anual del equipo de gestión sobre el control interno de la información financiera (ICFR [2]) , como indica el artículo 308 del Reglamento SK de la SEC.
1. ¿Sabemos cuándo debe hacer la empresa la transición del marco COSO de 1992 al de 2013?
COSO considera que el marco de 1992 debe ser reemplazado después del 15 de diciembre de 2014. Si bien la SEC puede seguir aceptando la utilización del marco de 1992 después de la fecha establecida de sustitución del COSO, también podría emitir una alerta al funcionario de la SEC responsable de revisar la forma 10 -K.
2. ¿Estamos bien informados sobre el marco?
Este es un aspecto crítico, no sólo para los miembros del equipo de implementación, sino también para el Comité de Auditoría, la gestión, los auditores internos y los responsables del control. Si bien es bueno ver una gran cantidad de seminarios web y grandes cantidades de formación disponibles en estos días, es importante proporcionar los mensajes correctos a los grupos de interés internos. Un esfuerzo simplificado de formación para los Comités de Auditoría y la Dirección Ejecutiva puede ser suficiente; pero los miembros del equipo de implementación, los auditores internos y los responsables del control requieren sesiones de entrenamiento más detalladas para adquirir un conocimiento sólido del Marco. La capacitación debe cubrir las diferencias entre los Marcos de 1992 y 2013, proporcionar una inmersión profunda en los 17 principios, aportar consideraciones sobre el plan de transición, los roles, los objetivos, los riesgos, la nueva terminología, los ejemplos prácticos a través de los puntos de enfoque y la forma de lograr aceptación por parte de los auditores externos.
3. ¿Tenemos un plan de aplicación realista?
Un plan de implementación debe incluir la educación, la planificación, la evaluación para determinar las brechas de control, la mejora de las deficiencias, las conclusiones, la documentación y la comunicación de los resultados a la Dirección ejecutiva, el Comité de Auditoría y los auditores externos. El plan debe incluir detalles suficientes sobre cuándo, quién, por qué, cómo y dónde se realiza la aplicación.
4. ¿Ha dedicado nuestra empresa recursos para la implementación?
Es necesario designar un jefe primario del proyecto que sea responsable de obtener y dirigir los recursos para ejecutar el plan de implementación. Los recursos pueden ser internos, externos o una mezcla de ambos; pero debe haber un líder interno. El director del proyecto debe tener suficiente autoridad y recursos para garantizar la entrega del plan de implementación de una manera oportuna y eficaz.
5. ¿Hemos decidido cuáles son los principios relevantes para nuestra empresa?
El Marco define 17 principios en apoyo de los cinco componentes (ambiente de control, evaluación de riesgos, actividades de control, información y comunicación, y actividades de seguimiento). Todos los principios “relevantes” deben estar implementados y en marcha para que una empresa pueda afirmar que el componente asociado está presente, funciona y contribuye a lograr un ICFR efectivo. Los 17 principios del Marco son considerados adecuados para todas las entidades salvo para industrias, operaciones o situaciones legales excepcionales en las que la gerencia haya determinado que un principio no es pertinente. De otra manera, los 17 principios se presumen relevantes; si la gerencia piensa que uno o más de los 17 principios no lo es, debe tener razones de peso para sustentar su posición ante el Comité de Auditoría y los auditores externos. A menos que usted opere en una situación inusual, esta pregunta se responde fácilmente de forma afirmativa: los 17 principios son relevantes.
6. ¿Tenemos puntos de enfoque adecuados para nuestra empresa?
Adapte sus puntos de enfoque dentro de cada principio relevante para destacar las características de su empresa en respaldo del principio. Recuerde: el Marco proporciona un punto de partida estructurado que debe ser personalizado para adaptarse a diferentes entornos operativos. En consonancia con esto, el equipo de implementación necesita deshacerse de la mentalidad de “lista de verificación” que consiste en tratar de responder a los 17 principios estrictamente a través de los puntos de enfoque propuestos. Los puntos de enfoque se proporcionan como orientación; pero no son una hoja de ruta estricta. Así, una empresa no necesita abordar todos los puntos de enfoque, ni debe sentirse amarrada a ellos. En cambio, la gerencia necesita entender el espíritu de los principios subyacentes y las ideas de aprovechamiento de los enfoques del Marco; mientras, también, añade sus propios puntos de enfoque como le parezca más conveniente.
7. ¿Hemos identificado todos los vacíos importantes para asegurarnos de que los principios pertinentes están presentes?
Un paso de aplicación relativamente temprana es mapear los controles existentes en relación a los 17 principios para ver dónde pueden existir deficiencias de control. Primero, debe terminar el diseño de sus controles antes de trabajar en la efectividad operativa de los mismos. En otras palabras, en primer lugar usted debe garantizar la implementación de los controles adecuados en respaldo a todos los principios relevantes y sus componentes antes de emprender esfuerzos para demostrar que tales controles están “funcionando”. Recuerde que todos los principios relevantes deben estar presentes y en funcionamiento con el fin de que la compañía pueda concluir con seguridad que su ICFR es eficaz. Alinear el diseño de los controles con los 17 principios para identificar los vacíos en una etapa temprana del proceso de implementación, ayudará a garantizar la disponibilidad adecuada de tiempo para remediarlos y para probar la efectividad operativa.
8. ¿Está nuestra documentación debidamente alineada con los 17 principios para facilitar un proceso de auditoría externa sin inconvenientes?
Verifique la adecuación de la documentación y la alineación de los controles a los 17 principios con los auditores externos en los empalmes y puntos de decisión principales. También, considere involucrar a auditoría interna para responder a esta pregunta. Usted no solo necesita tener la seguridad de que la documentación de control está alineada correctamente; también requiere asegurarse de que los controles están operando de manera efectiva. Asumiendo que la función de auditoría interna es competente e independiente de los responsables del control, el auditor externo debe poder aprovechar el trabajo de los auditores internos para emitir una opinión sobre el ICFR.
9. ¿Podemos concluir que nuestros controles están diseñados adecuadamente, que operan de manera efectiva y que los cinco componentes actúan juntos?
Esta es la esencia de cualquier evaluación sólida de control interno. No es simplemente una cuestión de satisfacer los requisitos de documentación y cumplimiento de normas, sino más bien de proteger los intereses de los accionistas. Si los controles están débilmente diseñados o son poco eficaces, se pone en riesgo la consecución de las metas, incluyendo los objetivos de reporte externo de la información financiera necesarios para satisfacer las normas y reglamentos de la SEC y de los GAAP [3] de EE.UU. La gerencia debe decidir sobre cada control clave que respalda los 17 principios del Marco y las directrices de los GAAP de EE.UU teniendo en cuenta la idoneidad de su diseño y su efectividad operativa. Además, el Marco exige que todos los cinco componentes operen juntos de una manera integrada. Lo anterior significa que los cinco componentes reduzcan colectivamente, a un nivel aceptable, el riesgo de no alcanzar los objetivos aplicables. Es necesario que exista un historial de auditoría claro que permita saber cómo se llegó a estas conclusiones; incluyendo quién las elaboró y quién las revisó.
10. ¿Estamos satisfechos con las decisiones profesionales que hemos tomado en lo relativo al Marco?
Esto incluye una amplia gama de decisiones que van desde la selección de los controles y los esfuerzos de solución hasta llegar a la conclusión de que cada componente y principio relevante está implementado y funciona de manera integrada. Las decisiones más significativas también entran en juego al sacar conclusiones sobre la gravedad de las deficiencias en el diseño y la efectividad operativa. Recuerde que si las excepciones de ICFR se consideran deficiencias o debilidades significativas, el CEO y el CFO, o las personas que realizan funciones similares, debe informar a su Comité de Auditoría y al auditor externo de conformidad con los requisitos periódicos de certificación establecidos en el artículo 601 (31) del Reglamento de la SEC. El Marco introduce el término “deficiencia importante” y lo define así: “cuando la administración determina que un componente y uno o más principios pertinentes no están presentes, no funcionan o no están operando de manera conjunta”. La organización no puede concluir que ha cumplido con los requisitos para un sistema efectivo de control interno cuando existe una deficiencia importante. El marco también establece que “si un principio relevante no está presente y funcionando, el componente asociado no puede estar presente y funcionando”. Tomar estas decisiones tiene enormes repercusiones sobre la capacidad de la gerencia para sacar conclusiones sobre la efectividad del ICFR. Tales decisiones deben ser correctas para soportar el escrutinio del auditor y del regulador.
Por último, las empresas tendrán que decidir sobre el alcance de los objetivos sobre los cuales aplicarán el Marco. Aunque la mayoría de las empresas públicas están utilizando el Marco para los objetivos de reporte externo de información financiera en conjunto con su informe de gestión anual de control interno sobre el reporte financiero presentado en el formulario 10-K, también hay una amplia gama de objetivos operativos, de cumplimiento y objetivos adicionales de reporte que deben tenerse en cuenta en la implementación del Marco. La empresa debe tener funciones claramente definidas, estándares de documentación y colaboradores que contribuyan a garantizar que todos los conceptos importantes sean razonables y estén adecuadamente sustentados.
Es cierto que hay inquietudes y factores adicionales a tener en cuenta en el proceso de implementación; pero estas 10 preguntas y puntos de discusión aportan algunos recordatorios para ayudar a allanar el camino de la aplicación para lograr resultados exitosos. Recuerde que todo comienza con la educación.
* Socio y Gerente de Candela Solutions LLC, una firma de contabilidad pública con un enfoque nacional en gobernabilidad, riesgo y controles.
[1] The US Securities and Exchange Commission. ‘La comisión de valores de Estados Unidos’.
[2] Internal Control over Financial Reporting.
[3] Generally Accepted Accounting Principles.‘Principios de Contabilidad Generalmente Aceptados’.
Recuperado de: http://corporatecomplianceinsights.com
Y luego Agregar a la pantalla de inicio.