No
hace mucho tiempo me propusieron dar una charla, que no acepté, para difundir
el contenido del mal llamado COSO III, o como realmente se denomina Control
Interno-Marco Integrado. Versión 2013,
ya que entendí, y sigo pensándolo, que para difundir algo el primer requisito
que debe cumplirse es el de compartir y asumir lo que estés exponiendo.
Circunstancia que no se producía en esta ocasión, y ello por diversos motivos,
como expondré a continuación:
En
primer lugar, debido a que con esta nueva versión del Marco sobre Control
Interno, que no viene acompañada en paralelo de los correspondientes cambios en
el Marco COSO sobre Gestión de Riesgos (ERM), de lo que se podría interpretar
que existe una aparente desvinculación entre el Proceso de Control Interno y el
de Gestión de Riesgos, lo cual, desde mi perspectiva, no es correcto, puesto
que estoy convencido que no puede haber una correcta gestión de riesgos sin la
existencia de un buen control interno, pero en sentido contrario también
sucedería lo mismo, ya que no es posible que exista un buen control interno sin
la existencia de una buena gestión de riesgos. Esta mutua interrelación viene a
ser reconocida incluso en la nueva versión del 2013 cuando en su Prólogo se
señala que el Marco sobre Control Interno y el Marco ERM son complementarios.
Siendo
así, y analizando los alcances y explicaciones que se citan respecto de los 17
principios que ahora han de guiar el proceso de Control Interno, se pueden
observar algunos aspectos de dudosa oportunidad, que citaremos en forma
secuencial según aparecen en el texto del Marco, como por ejemplo:
“Que el establecimiento del nivel
general del riesgo aceptable y el apetito al riesgo relacionado forma parte de
la planificación estratégica y de la gestión de riesgos corporativos, y
no forma parte del control interno. De igual manera, el
establecimiento de los niveles de tolerancia al riesgo en relación con los
objetivos específicos tampoco
forma parte del control interno.”
Ante
esta posición podríamos preguntarnos cómo será posible que el control interno
pretenda conseguir una seguridad razonable en la consecución de los objetivos
de las organizaciones, si previamente no están concretados, definidos o fijados
los niveles de los riesgos que sean
compatibles con las metas a alcanzar, dado que ello es lo que nos permitirá
decidir las actividades de control que debamos aplicar.
Otro
aspecto que tampoco comparto es el comentario que se cita en el apartado 3. Efectividad del Control Interno, en su epígrafe Otras
Consideraciones,
cuando señala que “…
los auditores externos y los reguladores no
son parte del sistema de control interno de la organización y,
por tanto, no pueden formar parte del proceso
de evaluación de un control interno efectivo por parte de la dirección.”
No
hablemos de los reguladores, que también, pero que el Marco considere que los
auditores externos no son parte de control interno, es negar que habitualmente
la fiabilidad de la información financiera en gran medida está encargada a
estos supervisores, ya que son a los que les asigna garantizar razonablemente
el que los estados financieros elaborados y difundidos por las organizaciones
se corresponde con la imagen fiel de la compañía. Asimismo, y a mayor
abundamiento, en nuestra opinión, cuando se evalúe la eficacia del control
interno de las organizaciones, se hace imprescindible valorar también la
efectividad de la labor de los auditores internos. En este sentido bastaría con
recordar la función del PCAOB (Public Company Accounting Oversight Board) que, como corporación sin fines
de lucro establecida por el Congreso de Estados Unidos, debe supervisar la
actividad de los auditores externos, velando por la bondad y oportunidad de sus
informes.
En
el apartado 6 correspondiente al elemento Evaluación de Riesgos, cuando se
refiere a la Importancia
del Riesgo, señala
que:
“Como
parte del análisis de riesgos, la organización evalúa la importancia de los
riesgos de cara a la consecución de los objetivos y de los subobjetivos. Las
organizaciones pueden evaluar la importancia de los riesgos utilizando
criterios tales como los siguientes:
- Probabilidad de ocurrencia de un riesgo y su impacto
- Velocidad o rapidez del impacto una vez que se produce el riesgo
- Persistencia o duración en el tiempo del impacto una vez que se materialice el riesgo.”
Surgiéndome
una gran duda; estas formas de evaluar son alternativas o acumulativas.
No
importa, en cualquier caso estaría en total desacuerdo, ya que si son
alternativas se estaría incidiendo en un aspecto básico del Marco ERM, según el
cual los riesgos se calculan según la estimación de su impacto y su
probabilidad. Pero si fuese acumulativa, ello significaría que los riesgos de
cuantifican ahora mediante 4 atributos: Probabilidad, Impacto, Velocidad y
Persistencia, por lo que nuevamente estaríamos corrigiendo a ERM, y dado que
según se cita el Marco sobre Control Interno, al no sustituirse entre sí ambos
Marcos, tendríamos dos formas diferentes de estimar los riesgos según estemos
desarrollando el proceso de control interno, o el de gestión de riesgos. Lo que
no parece oportuno.
Esto
que acabamos de comentar no invalida la necesidad de considerar los aspectos
relativos a la velocidad y persistencia, pero en ambos casos como
características de los riesgos que estemos evaluando, no como atributos, lo que
nos permitirá poder estimar con mayor precisión el impacto del riesgo, al igual
que sucede con las otras diferentes características de las amenazas que
debamos combatir, como por ejemplo: el
ambiente en el que se desarrolla la amenaza (urbana, rural, fluvial, etc),
ya que el perjuicio que se pueda producir será diferente en unos caos y en
otros.
Aparte
de estos comentarios que inciden en temas relevantes, entiendo que el nuevo
Marco es una buena actualización, pero que estimo se podrían haber incluido
revisando ERM, ya que en él tendrían cabida todas las modificaciones, y
adicionalmente, como yo lo veo: ERM es el Marco de Control Interno más el
correspondiente a un Sistema de Gestión de Riesgos, por lo que adaptando COSO
II, es decir ERM, estaríamos actualizando el Marco de Control Interno.
En
cualquier caso espero que estas opiniones puedan ser de interés, y que permitan
reflexionar sobre los aspectos teóricos afectados.
Jesús Aisa Díez
10 de febrero de 2015
No hay comentarios:
Publicar un comentario