Ya
es oficial, el Committe of Sponsoring Organizations of the Treadway Commission acaba de publicar la esperada
actualización del Marco sobre Control Interno editado en 1992. No puede decirse
que haya sido una labor breve, pues como en la propia power point que ha sido difundida por el citado Committe las etapas para conseguirlo han
sido:
2010.
Evaluación y encuestas a las partes interesadas.
2011.
Diseño y estructura marco actualizado
2012.
Exposición pública, evaluación y mejoras
2013.
Finalización.
El camino recorrido en la actualización ha permitido que se haya podido seguir
con detalle la evolución de los cambios que finalmente se han materializado,
por lo que la primera conclusión es que esta nueva edición no aporta sorpresas,
pues sus previsibles modificaciones la hemos podido conocer a lo largo del
proceso, fundamentalmente desde la exposición pública del borrador sometido a
consulta.
Aunque
a continuación podamos verlo con algún detalle, podemos decir
que los 5 componentes de Control Interno no varían con respecto al Marco
original de 1992. No obstante, los principios y puntos de enfoque sí que han
introducido cambios claves en cada uno de los componentes, todo ello con el objetivo de mejorar
y facilitar la implantación y mantenimiento de Sistema de Control Interno. A
continuación enumeramos dichos cambios:
1) Se aplica
un enfoque basado en 17 principios.
2) Aclara
la necesidad de establecer los objetivos estratégicos como condición previa a
la fijación de los objetivos de Control Interno.
3) Refleja
la relevancia incrementada de la Tecnología de la Información
4) Fortalece
los conceptos de Gobierno Corporativo.
5) Amplía
el objetivo del reporte financiero, pasando a ser reporte en general.
6) Fortalece
la consideración de las expectativas contra el fraude.
7) Considera
los diferentes modelos de negocio y estructuras organizacionales.
A
continuación detallamos estos diecisiete principios con los que
implementar un adecuado Control Interno, relacionándolos con sus
correspondientes elementos:
Entorno
de Control
1.- La
Organización ha de demostrar su compromiso con la integridad y los valores éticos.
2.- El
Consejo de Administración debe demostrar independencia en la gestión y ejercer la supervisión del desarrollo y ejecución del control interno.
3.- La
alta dirección debe establecer, con la supervisión del Consejo de
Administración: la estructura, líneas de reporting, autoridad y responsabilidad en la
consecución de objetivos.
4.- En sinfonía con los objetivos, la Organización debe demostrar su compromiso para
atraer, desarrollar, y retener personas competentes.
5.- En
la consecución de los objetivos, la Organización debe disponer de personas responsables
para atender sus responsabilidades de Control Interno.
Evaluación
de Riesgos
6.- La
Organización ha de especificar los objetivos con suficiente claridad para permitir la
identificación y evaluación de los riesgos relacionados.
7.- La
Organización debe identificar y evaluar sus riesgos.
8.- La
Organización gestionará el riesgo de fraude.
9.- La
Organización debe identificar y evalúar los cambios importantes que podrían impactar
en el sistema de control interno.
Actividades
de Control
10.- La
Organización ha de seleccionar y desarrollar actividades de control que contribuyan a
la mitigación de los riesgos para el logro de sus objetivos.
11.- La
Organización seleccionará y desarrollará Controles Generales sobre Tecnología de la
Información
12.- La
Organización implementa sus actividades de control a través de políticas y
procedimientos adecuados
Información
y Comunicación
13.- La
Organización ha de generar la información relevante para respaldar el funcionamiento de
los otros componentes de Control Interno.
14.- La
Organización compartirá internamente la información, incluyendo los objetivos y
responsabilidades para el control interno, necesaria para respaldar el
funcionamiento de los otros componentes de Control Interno.
15.- La
Organización comunicará externamente las materias que afecten
al funcionamiento de los otros componentes de Control Interno.
Actividades
de Monitorización
16.- La
Organización llevará a cabo evaluaciones continuas e individuales, con el fin
de comprobar si los componentes del control interno están presentes y están
funcionando.
17.- La
Organización evalúa y comunica las deficiencias de control interno.
Principios
que lógicamente introducen ciertos cambios en los componentes del Control
Interno, de los que destacaríamos el correspondiente a la evaluación de los
riesgos que, a partir que ahora, han de incluir los conceptos de velocidad y persistencia de los
riesgos como criterios para evaluar la criticidad de los mismos.
- La velocidad de riesgo se refiere a la rapidez con la que impacta un riesgo en la organización una vez este se ha materializado, es decir, hace referencia al ritmo con el que se espera que la entidad experimente el impacto.
- La persistencia de un riesgo hace referencia a la duración del impacto después de que le riesgo se haya materializado.
Adicionalmente
a la actualización de los 5 componentes de Control Interno, también se ha modificado la información acerca de los Roles y Responsabilidades de los distintos participantes en el proceso, tales como:
- Las responsabilidades del CEO y CFO para que formalmente asuman la efectividad del control interno en ciertas jurisdicciones.
- La actividad a desarrollar por los distintos tipos de Comités y su campo de actuación.
- Se insiste en la necesidad de incorporar, aparte de los auditores externos, a otros proveedores de aseguramiento evaluadores con los que completar los diferentes tipos de revisión que puede realizar una entidad sobre su control interno (riesgos medioambientales, prácticas de comercio justo o seguridad laboral, entre otros)..
- Se recogen las exigencias reguladoras y legislativas, como por ejemplo Sarbanes-Oxley o el Sistema de Control Interno de la Información Financiero español, sobre la información distribuida a los mercados, por la que la Gerencia de las compañías deben certificar la eficacia del control interno de su compañía sobre el reporte financiero.
- Se incluye una sección específica para los proveedores externos de servicios, señalando que la Dirección no puede olvidar su responsabilidad en la gestión de los riesgos de los procesos externalizados. Debiendo implantar un programa para evaluar dichas actividades realizadas por otros en su nombre, y evaluar la eficacia del sistema de control interno sobre las actividades realizadas por los proveedores externos de servicios.
- La variación de los modelos de negocio como consecuencia de la globalización.
- Una mayor necesidad de información a nivel interno, fruto de los cambios cada vez más rápidos en el entorno.
- El incremento del número y complejidad de las normativas aplicables al mundo empresarial a nivel internacional.
- Las nuevas expectativas sobre la responsabilidad y competencias de los gestores de las organizaciones.
- El incremento de las expectativas de determinados grupos de interés (inversores, los reguladores, etc.) sobre la prevención y detección del fraude.
- El uso de las nuevas tecnologías y su constante desarrollo.
- Las nuevas exigencias de los reguladores y otros grupos de interés en relación a la fiabilidad de la información reportada.
Motivos por
lo que, en mi opinión, el nuevo COSO no nos obligará a introducir cambios
inesperados en los procedimientos de Control Interno aplicables en las
Organizaciones, pues lo que esta nueva edición representa la materialización formal de los cambios que evolutivamente se habían
observado necesarios introducir con los que eficienciar el Control Interno de nuestras
empresas, sin olvidar la inter-relación que existe entre el denominado COSO II
(ERM) y el COSO I, que ahora se ve explícitamente reconocida.
Jesús Aisa Díez
20 de Mayo de 2013
No hay comentarios:
Publicar un comentario