Investigaciones y Publicaciones 2012 (III)

Actualización COSO I Análisis del borrador del Marco de Control Interno actualizado Ramón Abella Rubio Joaquín Guerola Gonzálvez Ana Cendón Cubero

Actualización COSO I Análisis del borrador del Marco de Control Interno actualizado

1

Ramón Abella Rubio Joaquín Guerola Gonzálvez Ana Cendón Cubero

ÍNDICE

Antecedentes .................................................................................................................................................................................................................. pág. 3 ¿Por qué actualizar COSO I?...................................................................................................................................................................... pág. 5

2

A. Motivos para una actualización del Marco de Control Interno original ........................................ pág. 5 B. Objetivos de la actualización ...................................................................................................................................................... pág. 7 C. Beneficios esperados ............................................................................................................................................................................ pág. 9 Proceso de actualización COSO I .................................................................................................................................................... pág. 10 COSO I vs. Marco Actualizado COSO ...................................................................................................................................... pág. 12 A. ¿Qué se mantiene del Informe COSO I? .................................................................................................................... pág. 13 B. ¿Qué varía tras la actualización? ............................................................................................................................................ pág. 14 C. Actualización/adaptación de documentos .................................................................................................................. pág. 41 Anexos .............................................................................................................................................................................................................................. pág. 46 A. Autores del informe .......................................................................................................................................................................... pág. 46 B. Bibliografía y Fuentes ...................................................................................................................................................................... pág. 47

Actualización COSO I Análisis del borrador del Marco de Control Interno actualizado

ANTECEDENTES Desde su publicación en 1992, el Marco COSO I ha sido reconocido a nivel internacional como una Mejor Práctica en materia de Control Interno, sirviendo de base para el diseño, implementación y evaluación de los Sistemas de Control Interno de distintos tipos de organizaciones. Dicho Informe fue publicado por el Committee of Sponsoring Organizations of the Treadway Commission (en adelante, COSO), el cual está formado por representantes de cinco organismos profesionales diferentes: • AAA – Asociación Americana de Contabilidad. • AICPA – Instituto Americano de Contables Públicos Autorizados. • FEI – Instituto de Ejecutivos Financieros. • IIA – Instituto de Auditores Internos. • IMA – Instituto de Contables de Gestión. PwC participó en el desarrollo del Marco COSO I original (en adelante, Marco original o Marco COSO I) y actualmente forma parte del equipo que lidera el proceso de elaboración del Marco COSO I actualizado (en adelante, Marco actualizado). En los últimos veinte años, los cambios sufridos por los modelos de negocio y el mercado, así como la globalización de la economía, han aumentando la complejidad de las operaciones y en consecuencia, sus riesgos asociados y el control de los mismos. En este contexto de cambio, COSO tomó la determinación de actualizar el Marco original a finales de 2010, con el objetivo de clarificar conceptos, adaptándolos a las nuevas características del mercado y facilitando su aplicación en los diferentes tipos de organizaciones. En consecuencia, el Marco actualizado incluye modificaciones que pretenden facilitar la comprensión del proceso de implantación y mantenimiento de un Sistema de Control Interno. En este sentido, el Marco actualizado está compuesto por tres volúmenes: a) Resumen ejecutivo dirigido a directores, ejecutivos y reguladores. b) Marco integrado de Control Interno actualizado. c) Herramientas de evaluación a usar en la revisión de la eficacia del Sistema de Control Interno.

Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

3

De manera adicional, el Marco actualizado incluye el “Internal Control over External Financial Reporting: A Compendium of Approaches and Examples” (ICEFR), que consiste en una guía con ejemplos prácticos sobre el Control Interno del reporting financiero externo. El presente informe tiene como objetivo el análisis del borrador del Marco actualizado en tres ámbitos fundamentales: • Los motivos que han llevado a la actualización del Marco COSO I. • El proceso de actualización actualmente en curso. • Los principales cambios identificados respecto al Marco original y el análisis del impacto que dichos cambios han tenido en el Gobierno Corporativo, los órganos de gestión, las funciones de supervisión y otros Grupos de Interés relevantes.

4

Actualización COSO I Análisis del borrador del Marco de Control Interno actualizado

1. ¿POR QUÉ ACTUALIZAR COSO I? Temas tratados · Motivos para una actualización · Objetivos de la actualización · Beneficios esperados A. Motivos para una actualización del Marco de Control Interno original En 1992, el Marco COSO fue creado con el objeto de fijar una definición común de Control Interno que sirviera de base a los diferentes Grupos de Interés, estableciendo un modelo estándar a nivel internacional para la gestión del Control Interno y la evaluación del mismo. Sin embargo, desde la implementación del Marco original hace veinte años, los modelos de negocio han sufrido cambios significativos. La globalización de los mercados y el incremento de las relaciones de todo tipo entre organizaciones de diferentes localizaciones geográficas han aumentando la complejidad de los negocios y en consecuencia, los riesgos asociados a los mismos. En concreto, algunos de los factores más relevantes que han contribuido a la necesidad de actualización del Sistema de Control Interno han sido los siguientes: • Variación de los modelos de negocio como consecuencia de la globalización. • Mayor necesidad de información a nivel interno, fruto de los cambios cada vez más rápidos en el entorno. • Incremento del número y complejidad de las normativas aplicables al mundo empresarial a nivel internacional. • Nuevas expectativas sobre la responsabilidad y competencias de los gestores de las organizaciones. • Incremento de las expectativas de determinados Grupos de Interés (inversores, el regulador, etc.) sobre la prevención y detección del fraude. • Aumento del uso de las nuevas tecnologías y su constante desarrollo. • Nuevas exigencias del regulador y otros Grupos de Interés en relación a la fiabilidad de la información reportada.

Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

5

Estos nuevos desafíos surgidos en los últimos años requieren una mejor gestión de las operaciones internas y el control de las mismas y, en consecuencia, un Sistema de Control Interno actualizado, dinámico, flexible a los cambios del mercado y aplicable a todo tipo de organizaciones. Atendiendo a los componentes del Control Interno definidos en COSO I, los principales motivos que han llevado a la actualización podrían resumirse en los siguientes: • Entorno de Control: Hoy en día, los modelos de Gobierno Corporativo deben adaptarse a los distintos tipos de estructuras organizativas coexistentes (por línea de producto, por geografía, etc.) dentro de cada compañía. Por otro lado, los Grupos de Interés requieren cada vez mayor transparencia sobre los órganos de gobierno y el control de las compañías. En este sentido, es necesario informar no sólo sobre magnitudes financieras, sino también sobre otros aspectos clave de las compañías (Responsabilidad Social Corporativa, Gobierno Corporativo, estrategia, etc.), ya que los Grupos de Interés están interesados en una mayor variedad de información.

6

• Evaluación de riesgos: Algunas de las dificultades surgidas en la aplicación del Marco original hacen necesario mejorar la manera de entender y evaluar los riesgos a gestionar por el Sistema de Control Interno. Adicionalmente, en la actualidad, las organizaciones se están viendo obligadas a realizar mayores esfuerzos para evitar el fraude. • Actividades de control: La tecnología ha cobrado mayor importancia en la implementación de actividades de control desde que se publicó el Marco COSO I en 1992. Actualmente está mucho más integrada en los procesos de negocio. Asimismo, es necesario destacar que gran parte de dichas tecnologías exigen la externalización de determinados procesos, lo que añade complejidad a su control. • Información y Comunicación: Actualmente, la gestión de la información en las organizaciones es mucho más compleja que en 1992. Dicha complejidad es consecuencia de diversos aspectos clave: - El volumen de información a gestionar ha aumentado de manera exponencial en los últimos años. Por ejemplo, la información para la toma de decisiones es cada vez más abundante. - Las fuentes y los destinatarios de la información también se han multiplicado. Cabe destacar la necesidad de gestionar la información a compartir y recibir de proveedores / socios externos clave. - El regulador y otros Grupos de Interés muestran cada vez mayores exigencias en relación a la calidad y fiabilidad de la información reportada. - Las tecnologías de la información han provocado la aparición de las redes sociales, que requieren mecanismos de control específicos.

Actualización COSO I Análisis del borrador del Marco de Control Interno actualizado

• Actividades de monitorización: Los cambios regulatorios de los últimos años otorgan cada vez mayor relevancia al Control Interno y la fiabilidad de la información reportada. Esta circunstancia ha provocado que las funciones de supervisión de las organizaciones hayan empezado a considerar la monitorización en su contexto más amplio, ayudando a la gestión a entender cómo debe operar un Sistema de Control Interno eficaz.

B. Objetivos de la actualización El siguiente cuadro expone de manera resumida los principales objetivos perseguidos con la actualización del Marco COSO I, tal y como ha expuesto la propia Comisión Treadway:

Cuadro 1.1 Áreas de Cambio

Objetivos

Proceso de implantación

Aumentar la claridad del proceso de implantación definido en el Marco original, con el objetivo de incrementar la efectividad del Sistema de Control Interno.

Desarrollo de componentes de COSO I en principios

Desarrollar los cinco componentes del Marco COSO a través de 17 principios y puntos de enfoque que faciliten la implantación, mantenimiento y supervisión de un Sistema de Control Interno efectivo.

Ampliación del objetivo de reporting

Ampliar el alcance del Marco de Control Interno original, para no centrarse únicamente en el reporting financiero externo, sino también en reporting interno y externo de índole no financiera.

Proceso de implantación COSO ha introducido determinados cambios en los componentes de COSO I (Entorno de Control, Evaluación de Riesgos, Actividades de Control, Información y Comunicación, Monitorización) encaminados a facilitar la implantación de un Sistema de Control Interno efectivo. Por otro lado, junto a los tres volúmenes que configuran el Marco actualizado, COSO ha puesto al día el Compendium1 que consiste en una guía con ejemplos prácticos para facilitar la implantación de un Sistema de Control Interno sobre el Reporting Financiero Externo.

1

Internal Control over External Financial Reporting: A Compendium of Approaches and Examples” (ICEFR).

Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

7

Desarrollo de cada componente de Control Interno en principios y puntos de enfoque El Marco actualizado incluye ciertas mejoras y aclaraciones que tienen el objetivo de facilitar su uso y aplicación. Una de las mejoras más significativas es la formalización de principios que desarrollan los componentes de COSO I. Dichos principios estaban implícitos pero no formalizados en el Marco original. Aportan claridad para el usuario a la hora de diseñar e implementar Sistemas de Control Interno y ayudan a entender los requisitos para un Control Interno efectivo. Ampliación del objetivo de reporting En contraste con el Marco original, el Marco actualizado se refiere no sólo al reporting financiero externo, sino también al reporting no financiero y al interno:

A continuación se presenta un cuadro reflejando la relación entre las cuatro sub-categorías: Figura 1.2. Relación del Reporting Financiero / No Financiero

I n ter rn no/ Exter rn no

8

• Reporting financiero externo: Las entidades necesitan cumplir con la creciente y cambiante normativa aplicable, además de con las crecientes exigencias de los Grupos de Interés externos sobre la información financiera. En este sentido, podemos destacar el número cada vez mayor de interesados en los estados financieros (agencias de rating, inversores, organismos públicos, proveedores, organizaciones sectoriales, etc.). • Reporting no financiero externo: La dirección debe cumplir con las regulaciones y estándares aplicables en la realización y publicación de informes no financieros externos (por ejemplo, Memoria de sostenibilidad, planes estratégicos, etc.). • Reporting interno financiero y no financiero: Los informes internos para la Alta Dirección deben incluir la información necesaria para la toma de decisiones.

Características

Actualización COSO I Análisis del borrador del Marco de Control Interno actualizado

En definitiva, las lecciones aprendidas en la aplicación del Marco COSO I durante los últimos años, así como la evolución experimentada por los mercados, modelos de negocio y riesgos, llevaron en 2010 a la Comisión Treadway (COSO) a decidir la actualización del mencionado Marco COSO I, con el objetivo de hacerlo más práctico y adaptable a las nuevas necesidades de control de las organizaciones.

C. Beneficios esperados Los beneficios esperados del Marco actualizado se centran en la mejora de la eficacia de los Sistemas de Control Interno. Dicha mejora debe traducirse en una mayor agilidad en su implantación, mantenimiento y supervisión, mejorando la claridad y fiabilidad del reporting y, en consecuencia, la confianza de los Grupos de Interés. En esta línea, los principales beneficios esperados de la actualización del Marco son: • Mejorar el Gobierno Corporativo. • Mejorar la fiabilidad de la información más allá de la meramente financiera. • Incrementar la calidad de la evaluación de riesgos. • Reforzar las actuaciones en la lucha contra el fraude. • Adaptar los controles a las necesidades cambiantes del negocio. • Mejorar la flexibilidad de los Sistemas de Control Interno, para que sea aplicable a diversas tipologías de organización. Órganos de Gobierno y Dirección

Eficacia

Agentes externos

Confianza

Función de supervisión

Asimismo, se espera que el Marco actualizado apoye a la Dirección, Consejos de Administración, Comités de Auditoría y funciones de Auditoría Interna en el desempeño de sus responsabilidades en cuanto al diseño, implantación y supervisión de los Sistemas de Control Interno.

Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

9

2. PROCESO DE ACTUALIZACIÓN COSO I Temas tratados · Pasos de la Comisión Treadway (COSO) en la actualización del Marco de Control Interno

10

Figura 2.1. Proceso y calendario de actualización - Informe del Marco COSO actualizado

Descripción detallada de las fases en la actualización del Informe: 1. Diseño y creación del borrador de actualización COSO anunció en Noviembre de 2010 su intención de revisar y actualizar el COSO - Internal Control - Integrated Framework (Framework) con el objetivo de hacer más relevantes tanto el Marco, como las herramientas de evaluación, en un entorno de negocio que es cada vez más complejo, para que las organizaciones puedan diseñar e implementar un Sistema de Control más efectivo. 2. Primera Consulta Pública El 19 de Diciembre de 2011, COSO sometió a consulta pública hasta el 31 de marzo de 2012 el borrador del Marco de Control Interno actualizado. En dicho período, el interés en la actualización del informe ha sido notorio en organizaciones de diferentes partes del mundo y de todos los tamaños, de carácter público y privado.

Actualización COSO I Análisis del borrador del Marco de Control Interno actualizado

Concretamente, el borrador del Informe se descargó en 162 países para su revisión. Del total de descargas, aproximadamente el 60% corresponden a Norte América, donde ha tenido mayor trascendencia, seguido de Europa (17%) y Asia (13%). 3. Consideración de los comentarios en el borrador COSO, junto con PwC y su consejo asesor formado por representantes de la industria, instituciones académicas, agencias gubernamentales y organizaciones sin fines de lucro, tuvieron en cuenta todas las observaciones obtenidas de la primera consulta pública para la elaboración del nuevo Marco. 4. Segunda Consulta Pública COSO ha publicado en Septiembre de 2012 un borrador del Internal Control over External Financial Reporting (ICEFR): A Compendium of Approaches and Examples para someterlo a consulta pública.

11

Este Compendium se ha elaborado como complemento al Marco para ayudar a los usuarios en la aplicación de los objetivos de reporting financiero externo. Es una guía para el Control Interno sobre el reporting financiero externo, que plantea ejemplos que ayudarán a las organizaciones en la preparación de documentos financieros que vayan a ser publicados. Sustituye a la “Internal Control over Financial Reporting - Guidance over Smaller Public Companies”2, originalmente emitida en 2006. Debe tenerse en cuenta que, tal y como establece la Comisión Treadway en el prólogo del Marco actualizado, esta guía es de carácter orientativo y en ningún caso tiene prioridad sobre el propio Marco. Junto con la publicación del Compendium para consulta pública, COSO ha puesto a disposición del público la versión revisada del Marco actualizado, el cual incorpora revisiones sacadas de los comentarios recibidos durante la primera consulta pública de más de 200 organizaciones y profesionales. Después de la segunda consulta pública, abierta hasta principios de Diciembre de 2012, se revisarán los documentos con los comentarios recibidos. Se espera que la versión definitiva del Marco actualizado se publique en el primer trimestre de 2013. 2

Internal Control over Financial Reporting - Guidance over Smaller Public Companies: Control Interno sobre la presentación de informes financieros – Guía para las compañías públicas más pequeñas.

Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

3. COSO I VS. MARCO ACTUALIZADO COSO Temas tratados · Materias que permanecen con respecto a COSO I · Cambios introducidos en el borrador de la actualización · Actualización de documentos 12

El Marco actualizado de Control Interno ha nacido con el objetivo de adaptar el Marco existente al nuevo contexto en el que las organizaciones desarrollan su actividad y a las características actuales de las compañías. El objetivo no es cambiar los conceptos centrales ya desarrollados en el Marco original, sino profundizar en los ya existentes y añadir algunos nuevos para facilitar la evaluación de un Sistema de Control Interno. A través de la consideración de las condiciones actuales del mercado, de la economía global y de la importancia de la tecnología en las organizaciones, el Marco actualizado permite una mayor cobertura de los riesgos a los que se enfrentan actualmente las organizaciones. Se perfila, por tanto, como una base óptima para que el Sistema de Control Interno contribuya a la consecución de los objetivos de las compañías en el ámbito de las operaciones, el reporting y el cumplimiento. En este sentido, antes de implantar un Sistema de Control Interno, la Dirección deberá establecer los objetivos de Control Interno, en línea con la estrategia y objetivos de la organización y el apetito al riesgo de la compañía. De esta manera, se sentarán las bases para el diseño e implantación de Sistemas de Control Interno eficaces, eficientes y alineados con los objetivos estratégicos de las organizaciones. A continuación se detallan, a modo de resumen introductorio, las principales variaciones y aspectos conservados en el proceso de actualización de COSO, desarrollados en mayor detalle en los apartados expuestos más adelante en el mismo epígrafe:

Actualización COSO I Análisis del borrador del Marco de Control Interno actualizado

Cuadro 3.1. ¿Qué se mantiene del COSO I?

¿Qué cambia?

- Definición del concepto de Control Interno

- Ampliación y aclaración de conceptos con el objetivo de abarcar las actuales condiciones del mercado y la economía global.

- Cinco componentes de Control Interno

- Codificación de principios con aplicación internacional para el desarrollo y evaluación de la eficacia del Sistema de Control Interno.

- Criterios a utilizar en el proceso de evaluación de la eficacia del Sistema de Control Interno

- Extensión de los objetivos de reporting más allá de los informes financieros externos, a los de carácter interno y a los no financieros, tanto externos como internos.

- Uso de juicio profesional para la evaluación de la eficacia de los Sistemas de Control Interno

- Inclusión de una guía orientativa para facilitar la supervisión del Control Interno sobre las operaciones, el cumplimiento y los objetivos de reporting. 13

A. ¿Qué se mantiene del Informe COSO I? Los siguientes puntos, ya contemplados en el informe COSO I, permanecen invariables: • La definición del concepto de Control Interno: “El Control Interno es un proceso llevado a cabo por el personal de una organización, diseñado con el fin de proporcionar un grado de seguridad “razonable” sobre el logro de los objetivos de las siguientes categorías: - Eficacia y eficiencia de las operaciones - Confiabilidad de los informes realizados - Cumplimiento de la ley y regulación aplicable”. • El informe COSO actualizado mantiene los cinco componentes del Control Interno ya establecidos en el informe COSO I: 1) Ambiente de control 2) Evaluación de riesgos 3) Actividades de control 4) Información y comunicación 5) Actividades de monitorización

Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

A pesar de que la descripción de los mismos y su desarrollo en el Marco actualizado han sido puestos al día, las variaciones introducidas no modifican la base de los conceptos ya contemplados en la versión original de 1992. • Se conservan los criterios fundamentales establecidos para la evaluación del Sistema de Control Interno. • El uso de juicio profesional a la hora de evaluar la efectividad del Sistema de Control Interno sigue considerándose un elemento indispensable en el Marco actualizado, al igual que ya lo era en el Marco de 1992.

B. ¿Qué varía tras la actualización? Los cambios más relevantes pueden clasificarse de la siguiente forma:

14

A continuación detallamos las principales modificaciones, indicando para cada una de ellas el impacto a nivel de órganos de gestión, funciones de supervisión y otros Grupos de Interés relevantes.

OBJETIVOS Aclaración de la necesidad de establecer objetivos de negocio como condición previa a los objetivos de Control Interno Ya el Marco original trataba de aclarar que la fijación de objetivos de negocio es una condición previa del Sistema de Control Interno y no parte del mismo. Con el propósito de enfatizar este punto, la versión actualizada profundiza en el análisis del establecimiento de objetivos a nivel de operaciones, cumplimiento y reporting. En este sentido, en el Marco actualizado se establece que no es práctico diseñar e implementar un Sistema de Control Interno, a menos que los objetivos de negocio a distintos niveles (operaciones,

Actualización COSO I Análisis del borrador del Marco de Control Interno actualizado

cumplimiento y reporting) estén definidos de forma previa. Establecer los objetivos de negocio es parte de la planificación estratégica de la organización, que debe tener en cuenta tanto las decisiones de la Dirección, como las leyes, regulaciones y otros estándares aplicables. El siguiente diagrama (Figura 3.2) ilustra las dos grandes fases en relación a los objetivos. Figura 3.2. Definir Objetivos y Especificar Objetivos en el contexto de Reporting Financiero Externo Planiffiicación estratégica y gestión

Entorno, normativa y estándares que podrán afectar a las operaciones, al cumplimiento y a los objetivos de reporting.

Considerando el marco externo, a nivel interno, se deben definir los objetivos de negocio y actuaciones en distintos ámbitos. Entre dichos ámbitos se encuentras las operaciones, el reporting y el cumplimiento.

Control Interno

La compañía debe evaluar los siguientes aspectos en relación a los objetivos: ‡ Son medibles, alcanzables y relevantes. ‡ Encajan con los requerimientos y estándares de Control Interno aplicables. ‡ Están adecuadamente comunicados.

La compañía debe utilizar los objetivos de negocio como base para la evaluación de Riesgos a cubrir por el Sistema de Control Interno.

IMPACTO Es necesario fijar los objetivos de negocio a nivel de operaciones, cumplimiento y reporting con carácter previo al diseño e implantación del Sistema de Control Interno. De esta forma, se puede proporcionar un grado de seguridad razonable sobre los objetivos en las siguientes categorías: eficacia y eficiencia de las operaciones, confiabilidad de los informes realizados, cumplimiento de la ley y regulación aplicable. En este sentido, conviene considerar los siguientes aspectos: • El Consejo de Administración y la Alta Dirección deben establecer los objetivos de negocio a nivel de operaciones, cumplimiento y reporting, para posteriormente ser capaces de diseñar e implantar un Sistema de Control Interno orientado a controlar y mitigar de manera adecuada los riesgos que afectan a dichos objetivos. • La supervisión del Sistema de Control Interno debe considerar en qué medida este último está ligado a los objetivos de negocio a nivel de operaciones, cumplimiento y reporting, como una de las condiciones previas más relevantes para su eficacia. El plan de supervisión del Comité de Auditoría y de la función de auditoría interna deberá considerar este aspecto.

Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

15

Ampliación del objetivo de reporting financiero COSO ha mantenido los tres objetivos del Marco original (operaciones, reporting y cumplimiento), ampliando el alcance que inicialmente se había establecido para el objetivo de reporting. De este modo, mientras que el primer y el tercer objetivo3 se mantienen sin variaciones, el segundo, la confiabilidad del reporting financiero, se amplía en el Marco actualizado para contemplar el reporting tanto de carácter financiero como no financiero y el reporting a nivel externo e interno. En este sentido, de acuerdo con el Marco actualizado, la presentación de informes a nivel externo da respuesta principalmente a las regulaciones y normativas establecidas y a las solicitudes de los Grupos de Interés, mientras que el reporting interno atienden a las necesidades internas de las organizaciones.

Figura 3.3. Cubo COSO actualizado

Cubo COSO original

16

Entorno de Control

3

Primer objetivo: eficacia y eficiencia de las operaciones. Tercer objetivo: cumplimiento de las leyes y regulación aplicables.

Ac cttivid da ad 1

Evaluación de Riesgo gos os

Activid da ad 2

Activida ad des de Control

Unidad A

Información y Comunicca ación

Un U nidad B

Monitorización

Actualización COSO I Análisis del borrador del Marco de Control Interno actualizado

IMPACTO Tal y como se refleja en el Informe “Corporate Reporting: A critical system at Risk”4, cada vez son mayores las exigencias de los Grupos de Interés en lo referente a la transparencia y fiabilidad de la información reportada, tanto hacia el exterior, como a nivel interno. Asimismo, la Encuesta de la Alta Dirección en España 20115 refleja la previsión de cambios en el modelo de gestión de la información por parte de las compañías, para hacer énfasis en la comunicación y la reputación corporativa durante el año 2012. En este sentido, no conviene olvidar las actuales tendencias de reporting integrado, muy asentadas en el mundo anglosajón y con un auge reciente en países como España. Dichas tendencias abogan por ofrecer a los Grupos de Interés, no sólo información financiera, sino toda aquella información relevante para explicar cómo crea valor una organización. Dichas tendencias quedan también reflejadas en el mencionado “Corporate Reporting: A critical system at Risk”6. El Marco actualizado contribuye a la satisfacción de las exigencias de transparencia y fiabilidad en relación a la información, ampliando el alcance del Sistema de Control Interno en cuanto a la fiabilidad de la información reportada. De esta forma, el Marco actualizado sigue, en cierto modo, la misma línea que el Grupo de Trabajo de Control Interno (GTCI) de la CNMV7, que ya en junio 2010 recomendaba ampliar el alcance del análisis de riesgos sobre la fiabilidad de la información financiera, para incluir otra tipología de riesgos. En línea con el Código Unificado de Buen Gobierno, el Consejo de Administración es el responsable de la aprobación y el seguimiento periódico de los sistemas de información y de Control Interno. La Alta Dirección, como responsable de su mantenimiento, deberá analizar si su Sistema de Control Interno abarca toda la información relevante, haciendo especial hincapié en la información utilizada para la toma de decisiones. En línea con la Alta Dirección, el Comité de Auditoría deberá supervisar si el Sistema de Control Interno tiene un alcance adecuado a nivel de fiabilidad de la información. Para ello, lo habitual es que se apoye en la función de auditoría interna, que deberá diseñar un plan que incluya el análisis del alcance del Sistema de Control Interno, teniendo en cuenta los Grupos de Interés clave (externos e internos) y la tipología de información más relevante para cada uno de ellos.

Informe “Corporate Reporting: A critical system at Risk”, elaborado en 2011 por el Chartered Institute of Management Accountants en colaboración con PwC. 5 4.ª Encuesta de Alta Dirección en España 2011: Reinventando el crecimiento. 6 Informe “Corporate Reporting: A critical system at Risk”, elaborado en 2011 por el Chartered Institute of Management Accountants en colaboración con PwC. 7 Informe sobre el Control Interno de la Información Financiera del grupo de Trabajo sobre Control Interno de la CNMV, de Junio 2010. 4

Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

17

COMPONENTES, NUEVOS PRINCIPIOS Y PUNTOS DE ENFOQUE Componentes Los cinco componentes de Control Interno no varían con respecto al Marco original de 1992. No obstante, en el Marco actualizado se introducen cambios clave en aspectos relacionados con ellos: • Desarrollo de los componentes en 17 principios formalizados. Las principales características y ejemplos de cada principio están reflejadas en los puntos de enfoque (ver epígrafe siguiente: “Formalización de principios”) • Variación del orden de los componentes en el cubo COSO I, apareciendo ahora en orden inverso al que estaban en el Marco original. Con la presente modificación, COSO pretende que el orden de funcionamiento de cada uno de los componentes se adapte al orden ya incluido en el cubo de COSO II o “Enterprise Risk Management - Integrated Framework” (ver figura 3.14). De esta forma, ambos Marcos parten del componente más general, responsabilidad de los órganos de gobierno y de la Alta Dirección, para descender a componentes más transaccionales y terminar en la supervisión y monitorización. Por otro lado, se facilita la comparación entre ambos Marcos (de hecho, en el Marco actualizado se incluye una breve comparación entre ambos). 18

Actividades de control

Información y comunicación

Actividades de monitorización

Función

Evaluación de riesgos

Nivel de Entidad

Entorno de control

División Unidad operativa

Figura 3.4. Cubo COSO actualizado

Actualización COSO I Análisis del borrador del Marco de Control Interno actualizado

Formalización de principios El Marco actualizado incorpora un total de 17 principios codificados asociados a los cinco componentes de Control Interno, así como puntos de enfoque para cada uno de ellos. Dichos principios y puntos de enfoque comprenden criterios que pueden ayudar a la Dirección en el diseño de un Sistema Control Interno efectivo y al supervisor a evaluar dicho Sistema y su efectividad. Los principios establecidos representan los conceptos fundamentales asociados a cada uno de los cinco componentes. Todos ellos son de aplicación a los tres objetivos de Control Interno establecidos y pretenden ampliar dicha aplicación a todo tipo de organizaciones: cotizadas o no, públicas y privadas, con y sin ánimo de lucro, etc. Los puntos de enfoque representan las principales características de cada uno de los principios, con el objetivo de ayudar a las organizaciones a comprender y aplicar el Marco actualizado, abarcando todos los aspectos relevantes de un Sistema de Control Interno. La figura 3.5 detalla los diecisiete principios incorporados en la estructura actualizada:

Figura 3.5. Cubo COSO actualizado

Principios y Componentes

Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

19

IMPACTO Además de formalizar los 17 principios clave que desarrollan los componentes del control interno, el Marco actualizado define formalmente dos criterios clave para que un Sistema de Control Interno sea efectivo: • Los cinco componentes deben estar integrados. • Los 17 principios que los desarrollan deben ser adecuadamente aplicados en la organización. Por tanto, gracias a la formalización de principios y puntos de enfoque (implícitos en el Marco original y explícitos en el Marco actualizado), la Dirección, el Consejo de Administración y el Comité de Auditoría cuentan con una descripción más detallada de los aspectos que pueden ser relevantes (puntos de enfoque) para el diseño, mantenimiento y supervisión de un Sistema de Control Interno efectivo. En este sentido, el Marco actualizado facilita la labor de diseño y supervisión del Sistema de Control Interno y permite comprender con más claridad el contenido, el significado y el impacto que los Sistemas de Control Interno implementados tienen a la hora de mitigar los riesgos de la compañía. 20

Los principios y puntos de enfoque han introducido cambios clave en cada uno de los componentes, con el objetivo de mejorar y facilitar la implantación y mantenimiento del Sistema de Control Interno. Dichos cambios se enumeran a continuación:

Actualización COSO I Análisis del borrador del Marco de Control Interno actualizado

Cuadro 3.6. Cambios clave

Componentes Entorno de Control

x Se recogen en 5 principios la relevancia de la integridad y los valores éticos, la importancia de la filosofía de la Dirección y su manera de operar, la necesidad de una estructura organizativa, la adecuada asignación de responsabilidades y la importancia de las políticas de recursos humanos. x Se explican las relaciones entre los componentes del Control Interno para destacar la importancia del Entorno de Control. x Se reflejan las lecciones aprendidas sobre la integridad y los comportamientos éticos. x Se amplía la información sobre el Gobierno Corporativo de la organización, reconociendo diferencias en las estructuras, requisitos, y retos a lo largo de diferentes jurisdicciones, sectores y tipos de entidades. x Se enfatiza la supervisión del riesgo y la relación entre riesgo y la respuesta al mismo. x Se enfatiza la necesidad de adaptar el entorno de control a la estructura organizativa. 21

Evaluación de Riesgos

x Se amplía la categoría de objetivos de reporting, considerando todas las tipologías de reporting internos y externos. x Se aclara de manera explícita que la evaluación de riesgos incluye la identificación de riesgos, su análisis y la respuesta. x Se incluyen los conceptos de velocidad y persistencia de los riesgos como criterios para evaluar la criticidad de los mismos. x Se considera la tolerancia al riesgo en la evaluación de los niveles aceptables de riesgo. x Se incluyen los cambios en los factores internos y externos de cada organización, como elementos a gestionar por la Dirección para diseñar el Sistema de Control. Considera de manera específica el riesgo asociado a las fusiones, adquisiciones y externalizaciones. x Se amplía la consideración del riesgo de fraude.

Actividades de Control

x Se indica que las actividades de control son acciones establecidas por políticas y procedimientos. x Se considera la evolución de la tecnología desde 1992. x Se enfatiza la diferenciación entre controles automáticos y Controles Generales de Tecnología.

Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

22

Información y Comunicación

x Se enfatiza la relevancia de la calidad de la información dentro del Sistema de Control Interno. x Se profundiza en la necesidad de información y comunicación entre la empresa y terceras partes. x Se enfatiza el impacto de los requisitos regulatorios sobre la seguridad y protección de la información. x Se refleja el impacto que tienen la tecnología y otros mecanismos de comunicación en la rapidez y calidad del flujo de información.

Actividades de Monitorización

x Se clarifica la terminología, definiendo dos categorías clave de actividades de monitorización: ³evaluaciones continuas´ \ ³evaluaciones independientes´ x Se añade la necesidad de entender cómo establecer y evaluar las evaluaciones continuas y las independientes. x Se profundiza en la relevancia del uso de la tecnología y los proveedores de servicios externos.

Entre los cambios clave introducidos en los componentes, a través de los nuevos principios y puntos de enfoque, conviene profundizar en los siguientes:

Lecciones aprendidas en cuanto a integridad y valores éticos Según el Marco actualizado, una organización que establece y mantiene un adecuado entorno de control es más fuerte a la hora de afrontar riesgos y conseguir sus objetivos. Esto lo consigue gracias a: • Actitudes congruentes con su integridad y valores éticos. • Procesos y estructuras adecuados para la evaluación de conductas. • Asignación adecuada de responsabilidades (por ejemplo, respetando la segregación de funciones). • Un elevado grado de competencia y un fuerte sentido de la responsabilidad para la consecución de los objetivos.

Actualización COSO I Análisis del borrador del Marco de Control Interno actualizado

IMPACTO En línea con las lecciones aprendidas sobre la integridad y los valores éticos que refleja el Marco actualizado, la CNMV recomienda contar con un Código Ético y un canal de denuncias a diseñar e implantar por la Alta Dirección. El Código Ético supone una declaración de intenciones clara para toda la organización. Sin embargo, es importante considerar la posible dicotomía entre los valores éticos realmente promovidos y aplicados y los valores éticos incluidos formalmente en el Código Ético, dado que no siempre están alineados, lo que puede dificultar el funcionamiento de los Sistemas de Control Interno. Para mejorar en este sentido, el Consejo de Administración y la Dirección deberán acometer, tal y como refleja el Marco actualizado, las siguientes actuaciones: • El Consejo de Administración y la Dirección deberán demostrar, a través de sus directrices, acciones y comportamientos, la importancia de la integridad y los valores éticos para el funcionamiento del Sistema de Control Interno. • Las expectativas del Consejo de Administración y de la Alta Dirección, referentes a la integridad y los valores éticos, deberán estar definidas en los estándares de conducta de la organización (por ejemplo, el Código de Conducta) y deberán ser entendidas por todos los niveles de la organización, así como por los socios clave y proveedores de servicios externos. • Será necesario contar con procesos para evaluar la actuación de los empleados y de los equipos dentro de la organización, en lo relativo a los estándares de conducta de la compañía. • Las desviaciones con respecto a dichos estándares deberán estar identificadas y solucionadas en un espacio de tiempo y modo adecuados.

Aspectos de Gobierno Corporativo El Marco actualizado incluye una descripción detallada del Consejo de Administración y sus comités o comisiones delegadas (Comité de Auditoría, Comité de Retribuciones, Comité de Nombramientos). El Consejo de Administración es el responsable de supervisar el Sistema de Control Interno. En este sentido, asume un rol fundamental en la definición de las expectativas en cuanto a la integridad y los valores éticos, la transparencia y la responsabilidad en el marco del funcionamiento del Sistema de Control Interno. A menudo, el Consejo de Administración actúa a través de comités o comisiones delegadas, si bien, dependiendo de la jurisdicción y la naturaleza de la organización, la estructura de gobierno puede variar. En aquellos casos en los que no se haya creado un comité en concreto, las funciones atribuibles al mismo deberán ser realizadas directamente desde el Consejo de Administración.

Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

23

La figura 3.7. muestra un ejemplo de estructura de Consejo de Administración y sus comités o comisiones delegadas. En la figura 3.8. se detallan las funciones de cada uno de los comités del Consejo. Figura 3.7. Ejemplo de Consejo de Administración y sus comités

Cuadro 3.8.

24

Actualización COSO I Análisis del borrador del Marco de Control Interno actualizado

Si bien actualmente, en España existen únicamente dos empresas del IBEX que tienen diferenciadas las Comisiones de Retribuciones y Nombramientos, las nuevas competencias asignadas en materia de retribución harán, que en un futuro próximo, aumente el número de empresas que tengan estas Comisiones separadas.

IMPACTO El marco describe los roles y responsabilidades del Consejo y sus comités o comisiones delegadas. Asimismo, reconoce la diferencia de estructuras dependiendo de las distintas jurisdicciones, sectores y tipos de entidades. El Marco actualizado ha querido reflejar la creciente relevancia del Consejo de Administración en el Sistema de Control Interno. En este sentido, conviene destacar que, según recientes encuestas a consejeros de compañías cotizadas españolas , los Consejos de Administración cada vez dedican mayor parte de su tiempo a la Gestión de Riesgos y Control Interno. En esta misma línea, de acuerdo con una Encuesta anual de PwC a consejeros de las principales empresas a nivel mundial, un 57% de los entrevistados manifestó la necesidad de reforzar el área de gestión de riesgos. El Principio 3 establece que la Dirección y el Consejo de Administración tienen que considerar la estructura organizativa de la empresa (incluyendo unidades operativas, entidades legales, distribución geográfica y proveedores de servicios externalizados) para lograr la consecución de los objetivos de control interno y la gestión de riesgos. Asimismo, deberán establecer las líneas de reporting adecuadas para planificar, ejecutar, controlar, y evaluar periódicamente las actividades de la entidad. En este sentido, el Marco reconoce que la comunicación entre el Consejo, sus Comisiones delegadas y la Dirección deberá ser fluida y continua. En el Estudio sobre Comités de Auditoría 2012, se pone de manifiesto que los Comités de Auditoría dan cada vez más relevancia, no sólo a la comunicación con el Consejo, sino también su relación con la función de auditoría interna y con el auditor externo. Por otro lado, de acuerdo con el Informe sobre “El futuro de la Comisión de Nombramientos y Retribuciones”, esta Comisión pasará a asumir un papel clave en la supervisión de los riesgos; especialmente en aquellos relacionados con los riesgos financieros (entre los que se encuentran los relativos a planes retributivos, de pensiones, …) y estratégicos (sucesión, nombramientos, …). Esta situación tendrá una clara incidencia en la relación que mantenga la Comisión de Nombramientos y Retribuciones con los órganos responsables de la gestión de riesgos y control interno.

Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

25

Criterios de evaluación de riesgos El nuevo Marco aclara que la gestión de riesgos incluye la identificación, el análisis y la respuesta a los mismos, incluyendo nuevos criterios de análisis, tales como “velocidad” y “persistencia”: • La velocidad del riesgo se refiere a la rapidez con la que impacta un riesgo en la organización una vez se ha materializado; es decir, hace referencia al ritmo con el que se espera que la entidad experimente el impacto. • La persistencia de un riesgo hace referencia a la duración del impacto después de que el riesgo se haya materializado. IMPACTO De acuerdo con los puntos de enfoque recogidos en el principio 7, la Dirección debe entender la tolerancia al riesgo de la organización y evaluar si existen mecanismos adecuados para la identificación y el análisis de riesgos. Por otro lado, la Dirección debe evaluar la consideración de factores externos e internos en la identificación de los riesgos que afectan a los objetivos, analizar la relevancia potencial de los riesgos identificados y determinar la respuesta a los mismos. 26

En Julio de 2010, el Grupo de Trabajo de Control Interno de la CNMV emitió un informe8 en el que se recomendaba identificar y analizar los riesgos asociados al logro de los objetivos como base para determinar qué controles deben ser implantados. A partir de la evaluación y selección de los riesgos relevantes que afectan a los objetivos de la compañía, la Dirección determinará cuáles son los procesos relevantes que requieren la implantación de actividades de control y seleccionará mecanismos de control para mitigarlos. Para ello, debe considerar aspectos clave específicos de la organización, como por ejemplo, la naturaleza y complejidad de las operaciones, y diseñar la actividad de control más adecuada para cada uno de los riesgos a gestionar mediante el Sistema de Control Interno.

Riesgos derivados del crecimiento, las fusiones y adquisiciones En el entorno actual, las organizaciones se expanden más allá del mercado doméstico. En este sentido, el crecimiento inorgánico se convierte en un mecanismo de apoyo para la generación de valor. El Marco actualizado considera específicamente los riesgos derivados del crecimiento internacional, de las fusiones y de las adquisiciones. Tanto las adquisiciones como las desinversiones de negocios pueden impactar en el alineamiento entre los Sistemas de Control Interno y los objetivos de las entidades, lo que se deberá tener en cuenta a la hora de evaluar su efectividad. 8

Informe sobre el Control Interno de la Información Financiera del grupo de Trabajo sobre Control Interno de la CNMV, de Junio 2010.

Actualización COSO I Análisis del borrador del Marco de Control Interno actualizado

IMPACTO Los mercados cambian y las organizaciones tienen que adaptarse y evolucionar. Como parte de la evaluación de riesgos, la Dirección debe identificar los cambios que pueden impactar significativamente en el Sistema de Control Interno de la entidad y tomar medidas. Este proceso se ejecuta en paralelo, o es una parte del proceso de evaluación de riesgos, lo cual requiere la identificación y comunicación de los cambios que puedan afectar a los objetivos de la entidad, para así evaluar los riesgos asociados. El crecimiento inorgánico normalmente conlleva nuevos riesgos, por tanto la Dirección debe tomar las medidas necesarias para adaptar su Sistema de Control Interno y para planificar e integrar nuevas adquisiciones. De este modo, recae en ellos la responsabilidad de la reevaluación de riesgos y la actualización del perímetro de control. De hecho, la CNMV ya considera esta posibilidad entre los indicadores básicos de información y sus recomendaciones9. Por otro lado, es necesario destacar que la Encuesta de Auditoría Interna 201210 refleja que más del 50% de los Directores de Auditoría Interna y Grupos de Interés relevantes consideran que el riesgo relativo a las fusiones y adquisiciones no está siendo bien gestionado en su compañía. En cuanto al crecimiento internacional, desarrollar negocios en nuevas geografías puede ayudar a la compañía a crecer y/o reducir costes, pero también puede presentar nuevos retos y alterar los tipos y extensión de los riesgos. Operar en mercados desconocidos conlleva también riesgos nuevos. De hecho, el Sistema de Control Interno se suele ver afectado e influenciado por la cultura y costumbres locales (principio 9). Cuando las operaciones se expanden rápida y significativamente, las estructuras existentes, los procesos de negocio, los sistemas de información o los recursos pueden verse afectados hasta el punto en el que el Sistema de Control Interno deje de ser efectivo. Este aspecto cobra especial relevancia en España, donde la mayoría de las grandes empresas piensa en el crecimiento internacional, tal y como queda reflejado en la Encuesta a la Alta Dirección en España 201111.

Informe de Control Interno de la Información Financiera del grupo de Trabajo sobre Control Interno de la CNMV, de Junio 2010. Encuesta de la función de Auditoría Interna 2012 de PwC ¿Se están cubriendo las expectativas sobre la función de auditoría interna? 11 4.ª Encuesta de Alta Dirección en España 2011 elaborada por PwC: Reinventando el crecimiento. 9

10

Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

27

Ampliación del concepto de fraude El Marco de 1992 ya recogía el concepto de fraude en el apartado dedicado a la evaluación de riesgos, haciendo referencia a la importancia de la existencia de una adecuada estructura organizativa y actividades de supervisión que garantizasen la preparación de estados financieros fiables y libres de errores materiales o información fraudulenta. La versión actualizada incrementa de manera considerable el análisis del fraude y lo incluye además como uno de los diecisiete principios de Control Interno, ampliándolo de manera explícita. Concretamente, el Marco actualizado establece la necesidad de considerar el riesgo de fraude potencial que pueda afectar a la consecución de los objetivos de la organización en el principio 8: “Gestión del riesgo de fraude”. Así, mientras que en el Marco de 1992 sólo se contemplaba el concepto de fraude en el reporting, en el Marco actualizado se amplía este concepto en el citado principio 8, en el que se hace referencia a la consideración de varios tipos de fraude, enfatizando así el análisis y gestión del fraude dentro del Marco de Control Interno de las organizaciones. Se aportan una serie de puntos de enfoque para que la Dirección evalúe si este principio está presente y funcionando:

28

• La evaluación del fraude considera el reporting fraudulento, posible pérdida de activos, y corrupción; • La evaluación de riesgo de fraude evalúa incentivos y presiones; • La evaluación de riesgo de fraude tiene en consideración el riesgo de fraude por adquisiciones no autorizadas, uso o enajenación de activos, alteración de los registros de información, u otros actos inapropiados; • La evaluación del riesgo de fraude considera cómo la Dirección u otros empleados participan en o justifican acciones inapropiadas. El Marco actualizado define varios tipos de fraude: • Reporting fraudulento; • Custodia de activos; • Corrupción. Las organizaciones pueden mitigar la probabilidad de los riesgos relacionados con el fraude a través de actuaciones en otros componentes del Sistema Control Interno o haciendo cambios en las unidades operativas de la entidad, procesos de negocio o actividades desarrolladas.

Actualización COSO I Análisis del borrador del Marco de Control Interno actualizado

La segregación de funciones, por ejemplo, es fundamental a la hora de mitigar el riesgo de fraude, ya que reduce la probabilidad de actuaciones fraudulentas por parte de una sola persona.

IMPACTO Un punto que preocupa hoy en día a los distintos Grupos de Interés y en especial a los Comités de Auditoría, es el riesgo de fraude. Así queda reflejado en todos los estudios relacionados con el Control Interno o similares que se han realizado en los últimos años.12 El Marco actualizado refleja asimismo su relevancia, definiendo tipos de fraude y estableciendo puntos de enfoque para la identificación del riesgo y el establecimiento de mecanismos de control. Los mismos principios y puntos de enfoque ayudarán a su vez a los Comités de Auditoría y a las funciones de auditoría interna a evaluar si la Dirección ha considerado todos ellos a la hora de diseñar los controles mitigadores del riesgo de fraude y, en consecuencia, la existencia de un Sistema de Control Interno efectivo en lo que a fraude se refiere. Dada la categorización del riesgo de fraude como un principio por sí mismo, las empresas que demuestren contar con Sistemas de Control Interno efectivos, aportarán una mayor fiabilidad hacia los distintos Grupos de Interés, puesto que un Sistema de Control Interno efectivo presupone haber considerado todos los principios en el Sistema de Control Interno diseñado e implementado.

Formalización de los controles en políticas y procedimientos El Marco actualizado, a través del principio 12 y sus puntos de enfoque, establece cómo la Dirección puede evaluar si la organización está desarrollando actividades de control a través de políticas. Dichas políticas deben marcar las líneas generales de actuación para toda la organización y deben estar desarrolladas en procedimientos con mayor nivel de detalle. Las políticas establecen las declaraciones de lo que la Dirección quiere hacer para alcanzar un nivel de control adecuado. Deben estar documentadas, aparecer de manera explícita en las comunicaciones o implícitas en las acciones y decisiones de la Dirección. Los procedimientos consisten en documentos a través de los cuales se implementan las políticas.

12

Informe sobre el Control Interno de la Información Financiera del grupo de Trabajo sobre Control Interno de la CNMV, de Junio 2010. Encuesta de la función de Auditoría Interna 2012 de PwC ¿Se están cubriendo las expectativas sobre la función de auditoría interna? Estudio sobre los Comités de Auditoría del 2012: Contexto Regulatorio, Buenas Prácticas y Tendencias del Centro de Gobierno Corporativo en colaboración con PwC.

Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

29

IMPACTO Los controles deben estar reflejados en políticas y procedimientos, ya que el Marco actualizado insiste en la necesidad de formalización. En este sentido, es necesario contraponer formalización a burocratización, ya que muchas veces se considera que van de la mano. Nada más lejos de la realidad, una formalización adecuada, evita la burocratización y aporta eficacia y eficiencia en las operaciones y la toma de decisiones, además de aportar confort a los órganos de gobierno en la cobertura de sus responsabilidades. La Alta Dirección debe considerar la formalización de sus controles, evitando el control informal y la confianza como método de control. Dicha formalización ayuda a cumplir con los objetivos de negocio y del Sistema de Control Interno y aporta facilidad y eficiencia a las tareas de supervisión.

La tecnología Por su relevancia y amplitud, el cambio a nivel de tecnología se ha tratado en un punto específico más adelante dentro del presente epígrafe. Modelo de supervisión por parte del Consejo de Administración y la Alta Dirección 30

El Marco actualizado formaliza el principio 2 del componente “Entorno de Control”, en el que se establece que “el Consejo de Administración debe demostrar independencia de la Dirección de la compañía y ejercitar la supervisión del Sistema de Control Interno”. Como en el resto de principios, existen puntos de enfoque para ayudar a determinar si el principio está funcionando adecuadamente: • Responsabilidades de supervisión: El Consejo de Administración debe identificar y formalizar sus responsabilidades de supervisión. Para ello, debe considerar la normativa aplicable y las expectativas de los Grupos de Interés clave. • Expertise relevante: El Consejo de Administración debe definir y mantener actualizadas las habilidades y el expertise necesarios para cumplir con sus responsabilidades de supervisión. Para ello, periódicamente debe evaluar las habilidades de sus miembros. • Independencia: El Consejo debe contar con un número suficiente de miembros independientes y ser independiente y objetivo a la hora de ejercer la supervisión. • Supervisión del Sistema de Control Interno: El Consejo de Administración tiene la responsabilidad última de supervisión sobre el Sistema de Control Interno. A continuación (Cuadro 3.9) se muestra un ejemplo de las actividades de supervisión del Consejo de Administración, elaborado a partir de las responsabilidades clave incluidas en el Marco actualizado:

Actualización COSO I Análisis del borrador del Marco de Control Interno actualizado

Cuadro 3.9. Actividades de Supervisión del Consejo

Componentes

13

Entorno de Control

x Actuar con independencia y objetividad en representación de los accionistas y otros inversores clave. x Definir una estructura de supervisión adecuada a las necesidades de la organización. x Supervisar la definición de los estándares de conducta de la organización y evaluar su nivel de aplicación. x Evaluar la actuación del CEO13 y la Alta Dirección en materia de Control Interno en función de las expectativas y objetivos pre-definidos. x Evaluar la efectividad de los Controles Generales de la Organización e identificar oportunidades de mejora. x Realizar seguimiento de las mejoras identificadas y solicitar información a la Alta Dirección sobre la implantación de las mismas.

Evaluación de Riesgos

x Considerar factores externos e internos que pueden suponer riesgos relevantes para la consecución de los objetivos. x Supervisar y aprobar las evaluaciones de riesgos realizadas por la Dirección. x Evaluar la proactividad de la organización en relación al control frente a cambios relevantes (por ejemplo, innovación, cambios tecnológicos, etc.)

Actividades de Control

x Solicitar información sobre el diseño, desarrollo, implantación y funcionamiento de las actividades de control en las áreas con mayor nivel de riesgo. x Evaluar el desempeño de la Alta Dirección en relación a las actividades de control clave.

Información y Comunicación

x Comunicar adecuadamente la visión, misión y valores a la RUJDQL]DFLyQ³7RQHDWWKH7RS´  x Solicitar la información necesaria para supervisar el nivel de consecución de los objetivos de Control Interno. x Examinar la información recibida de la organización y presentar diferentes puntos de vista. x Revisar el reporting externo para que cumpla con los objetivos de Control Interno (totalidad, exactitud, etc.) x Promover la comunicación hacia la Dirección y viceversa. x Supervisar el reporting interno que sea relevante para la toma de decisiones.

Chief Executive Officer o Consejero Dejegado.

Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

31

Por otro lado, en el principio 16 (del componente “Monitorización de Actividades”), se introducen los conceptos de “evaluaciones continuas” (ongoing evaluations) y “evaluaciones independientes” (separate evaluations). Este principio, y sus 7 puntos de enfoque, establecen que la Dirección es la responsable de decidir el equilibrio entre dichas evaluaciones y el alcance y frecuencia de las mismas en función de los riesgos. Las evaluaciones continuas se refieren generalmente a operaciones periódicas realizadas por los propios responsables de los procesos de negocio. Permiten una supervisión en tiempo real y gran rapidez de adaptación. Las evaluaciones independientes se llevan a cabo periódicamente por personal independiente dentro de la Dirección, auditores internos y/o terceros. El objetivo y la frecuencia de las evaluaciones independientes dependen de la decisión de la Dirección. Generalmente, la Dirección utiliza un mix de ambos tipos de evaluaciones para asegurarse de que los cinco componentes están funcionando adecuadamente.

IMPACTO 32

El Marco actualizado delimita más claramente que el original las responsabilidades de supervisión del Consejo de Administración y define explícitamente las actividades que este último debe ejecutar. Este cambio tiene una doble vertiente para los Consejos de Administración. Por un lado, ayuda a la planificación de sus actividades de supervisión del Sistema de Control Interno, normalmente realizadas a través de la Comisión de Auditoría. En este sentido, ahora dichos Comités cuentan con una herramienta más clara para cumplir con su responsabilidad de supervisión de la eficacia del Sistema de Control Interno, tal y como se establece de manera implícita en la legislación española. Por otro lado, de manera implícita, se delimitan más claramente las obligaciones en relación a la supervisión del Sistema de Control Interno, entre las que podemos destacar las siguientes: • La supervisión del Consejo debe estar apoyada por funciones de soporte y procesos en la propia organización. • El Consejo de Administración debe ser independiente de la Dirección y debe demostrar las habilidades y expertise necesarios para llevar a cabo sus responsabilidades. • La composición del Consejo debe adaptarse a las necesidades de cada organización y las expectativas de los Grupos de Interés clave. • Etc.

Actualización COSO I Análisis del borrador del Marco de Control Interno actualizado

La mayor parte de estas obligaciones ya están incluidas en la legislación aplicable o ya son asumidas de manera expresa por la mayor parte de los Consejos de Administración y Comisiones de Auditoría, tal y como puede desprenderse de estudios recientes sobre la materia.14 Por otro lado, aunque el Marco actualizado establece de forma detallada las actividades de supervisión del Consejo de Administración a través del Comité de Auditoría, no resalta la relevancia de la función de auditoría interna como punto de apoyo clave de este último. Tal y como queda reflejado en el Estudio sobre los Comités de Auditoría del 2012, es necesario destacar la relevancia que dan los Comités de Auditoría a la labor de la función de auditoría interna, así como al hecho de tener con ella una adecuada y fluida comunicación. Además, siguiendo la línea de las recomendaciones de los reguladores de la mayoría de países en Europa y Estados Unidos, es previsible que las actividades de supervisión incluidas en el Marco actualizado sean delegadas en su mayoría en la función de auditoría interna. En cuanto a la supervisión por parte de la Dirección, con la introducción de los conceptos de “evaluaciones continuas” y “evaluaciones independientes”, el Marco actualizado facilita la eficiencia de las evaluaciones soporte a la responsabilidad de supervisión del Consejo de Administración. El Marco actualizado establece la necesidad de que la Dirección se responsabilice de definir la opción más conveniente entre el mix de acciones de supervisión continuas e independientes. Aunque no se incluye de manera explícita en el Marco actualizado, es necesario destacar el papel de la función de auditoría interna en dicha definición, tal y como se refleja en el Marco Internacional para la Práctica Profesional de la Auditoría Interna. En la misma línea, la Encuesta de la función de Auditoría Interna 201215 refleja que tanto los Directores de Auditoría Interna como sus Grupos de Interés clave, otorgan cada vez mayor relevancia a dicha función en la evaluación de riesgos y la delimitación de las actividades de supervisión.

ÁMBITO DE APLICACIÓN Ampliación del ámbito de aplicación del Sistema de Control Interno La estructura de la organización, representada en la tercera dimensión del cubo, tanto en el Marco original como en el actualizado, está directamente relacionada con los objetivos y con los componentes del Sistema de Control Interno, y representa el ámbito de aplicación del mismo.

Por ejemplo, el Estudio sobre los Comités de Auditoría del 2012: Contexto Regulatorio, Buenas Prácticas y Tendencias del Centro de Gobierno Corporativo en colaboración con PwC. 15 Encuesta de la función de Auditoría Interna 2012 de PwC ¿Se están cubriendo las expectativas sobre la función de auditoría interna? 14

Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

33

El Marco actualizado amplía el ámbito de aplicación, para incluir todos los niveles de la organización de manera explícita: entidad, divisiones, unidades operativas y funciones. Esta modificación se visualiza en el nuevo cubo de COSO actualizado, presentado en la figura 3.10: Figura 3.10. Cubo COSO actualizado

Cubo de COSO original

Ac cttivida ad d1

Actividad 2

Actividades de Control

U id Un da ad A

Informació ón n y Comunicca ació ón n

Un U nidad B

Monitorización

Evaluación de Riesgo gos os

Entorno de Control

34

Adicionalmente, el Marco actualizado contempla la relevancia que los procesos externalizados han cobrado en las organizaciones en los últimos años. Así, incluye responsabilidades en lo referente al Control Interno, no sólo para las operaciones llevadas a cabo internamente, sino también para aquellas que han sido externalizadas.

IMPACTO El Marco actualizado, se desglosa de una manera más detallada y amplía la estructura de la entidad para lograr un mejor entendimiento de la relación existente entre la matriz, sus divisiones, sus unidades operativas y sus funciones transversales (tanto internas como externas). Con esta nueva distribución se pretende mostrar la estrecha relación entre todas las partes que forman la entidad y la necesidad de establecer un Sistema de Control Interno que aplique al negocio, considerándolo de manera amplia (incluyendo actividades y funciones externalizadas). La ampliación del alcance también impacta en los órganos de supervisión (Comité de Auditoría), que deberá incluir entre sus planes de revisión el Control Interno en las nuevas adquisiciones y en las actividades externalizadas que sean relevantes para la creación de valor y la consecución de los objetivos por parte del negocio. En la misma línea, la CNMV16 recomienda que el Sistema de Control Interno incluya las operaciones externalizadas que son clave para el negocio o pueden representar riesgos relevantes.

16

Informe sobre el Control Interno de la Información Financiera del grupo de Trabajo sobre Control Interno de la CNMV, de Junio 2010.

Actualización COSO I Análisis del borrador del Marco de Control Interno actualizado

TECNOLOGÍA La versión actualizada tiene en cuenta el considerable aumento del uso de la tecnología en los últimos años, así como la consideración de que los cambios tecnológicos pueden impactar en la manera en la que se implementan los componentes del Control Interno dentro de las organizaciones. Por ello, el Marco actualizado incluye principios que abordan de forma detallada los Controles Generales de Tecnología. Las actividades de control y la tecnología se relacionan de dos formas: • La tecnología apoya a los procesos de negocio: cuando la tecnología está integrada en los procesos de negocio, se necesitan actividades de control para mitigar el riesgo de que deje de funcionar correctamente. • La tecnología se utiliza para automatizar las actividades de control: muchas actividades de control dentro de una organización están parcial o completamente automatizadas. Las actividades de control sobre la tecnología, que son diseñadas para apoyar su continuidad y otras actividades de control automatizadas, se denominan Controles Generales de Tecnología. El principio 11 (del componente “Actividades de Control”) dice que “la organización selecciona y desarrolla las actividades de control generales sobre la tecnología para apoyar la consecución de los objetivos”. Existen determinados criterios para determinar si este principio está presente y funcionando: • La Dirección entiende y determina la dependencia y la vinculación entre los procesos de negocio, las actividades de control automatizadas y los Controles Generales de Tecnología. • La Dirección selecciona y desarrolla actividades de control diseñadas e implementadas para ayudar a asegurar la completitud, precisión y disponibilidad de la tecnología. • La Dirección selecciona y desarrolla actividades de control diseñadas e implementadas para restringir los derechos de acceso, con el fin de proteger los activos de la empresa de amenazas externas. • La Dirección selecciona y desarrolla actividades de control sobre la adquisición, desarrollo y mantenimiento de la tecnología y su infraestructura. La tecnología necesita una infraestructura en la que operar, la cual puede ser compleja y puede ser compartida por diferentes unidades de negocio de la organización. Estas complejidades presentan riesgos que necesitan entenderse y localizarse. Los Controles Generales de Tecnología incluyen actividades de control sobre la infraestructura de la tecnología, la gestión de la seguridad, y la adquisición, el desarrollo y el mantenimiento de la misma. Estos controles, una vez, incluidos en una metodología de desarrollo, variarán dependiendo de los riesgos específicos de la tecnología disponible. Un entorno tecnológico complejo tendrá, generalmente, mayores riesgos que uno más sencillo.

Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

35

Figura 3.11.

IMPACTO En el contexto actual, la infraestructura tecnológica de las organizaciones puede ser muy compleja y, dependiendo de la compañía, las unidades de negocio pueden compartir la tecnología o contar con una infraestructura distinta. Asimismo, muchas compañías optan por externalizar servicios relacionados con la tecnología de la información. Esta complejidad requiere que la Dirección entienda los riesgos existentes e implemente actividades de control adecuadas. Para ello, es importante que entienda la dependencia entre los procesos de negocio, los llamados controles automáticos y los Controles Generales de Tecnología de la información.

36

En este sentido, cabe destacar que la efectividad de los controles automáticos dependerá de la efectividad de los Controles Generales de Tecnología de la información. A modo de ejemplo, las revisiones periódicas de los derechos de acceso a las aplicaciones contribuyen a proteger a la entidad de un uso no autorizado. Del mismo modo, los controles relacionados con la introducción de cambios en las aplicaciones pueden afectar a parametrizaciones en las que se basen los controles automáticos. Por tanto la Dirección deberá entender el impacto que el diseño y funcionamiento de los Controles Generales de Tecnología tienen en el funcionamiento de los controles automáticos. De la misma manera, el Marco actualizado resalta la relevancia de los riesgos tecnológicos en las organizaciones, proporcionando, a través de los principios y los puntos de enfoque, información que sirva de guía a la hora de diseñar, garantizar y supervisar el funcionamiento de los mecanismos de control de riesgos tecnológicos. Cabe destacar la importancia que se le da al análisis de la integración de la tecnología en los diferentes procesos a la hora de evaluar los riesgos. Dicha importancia está en línea con los resultados obtenidos en la Encuesta de la Profesión de la Auditoría Interna 2012, que realiza PwC cada año17. En dicha encuesta, tanto los responsables de auditoría interna como los miembros de los Comités de Auditoría consultados, otorgan una gran relevancia a los riesgos tecnológicos y esperan una mayor dedicación por parte de la función de auditoría interna en los próximos años. 17

Encuesta de la función de Auditoría Interna 2012 de PwC ¿Se están cubriendo las expectativas sobre la función de auditoría interna?

Actualización COSO I Análisis del borrador del Marco de Control Interno actualizado

NORMATIVA Y ESTÁNDARES EXTERNOS Adaptación a la mayor complejidad de las leyes, normas, regulaciones y estándares El objetivo de los reguladores u otras organizaciones a la hora de establecer, cambiar y aprobar leyes y estándares es defender y proteger a los diferentes Grupos de Interés y aumentar la confiabilidad del reporting de las organizaciones. Los cambios en materia de regulación pueden estar potenciados por circunstancias muy distintas, como pueden ser las experiencias en cuanto a fallos de cumplimiento por parte de las organizaciones, las necesidades en materia de reporting de diferentes Grupos de Interés, etc. Los cambios regulatorios pueden tener a su vez implicaciones que las organizaciones necesitarán analizar, para evaluar posibles impactos en sus Sistemas de Control Interno.

IMPACTO Los cambios legislativos que se han producido en los últimos años han derivado en un incremento de las exigencias a los Comités de Auditoría en materia de supervisión de los mecanismos de control de riesgos y los Sistemas de Control Interno de la información financiera. Gracias a la inclusión de principios y puntos de enfoque en el Marco actualizado, los Comités de Auditoría van a contar con pautas más detalladas que podrán utilizar como hilo conductor a la hora de evaluar la efectividad de los Sistemas de Control Interno, tanto desde el punto de vista del diseño, como de su funcionamiento. Cambios recientes en la regulación española: • La Directiva 2006/43/CE del Parlamento Europeo y del Consejo establece que el Comité de Auditoría deberá supervisar la eficacia del Control Interno de la empresa, así como los sistemas de Gestión de Riesgos. • La disposición adicional 18ª de la Ley del Mercado de Valores incorpora la obligación por parte de los Comités de Auditoría de supervisar la eficacia del Control Interno de la sociedad, la auditoría interna, en su caso, y los sistemas de Gestión de Riesgos, así como discutir con los auditores de cuentas o sociedades de auditoría las debilidades significativas del Sistema de Control Interno detectadas en el desarrollo de la auditoría. • La publicación en el Boletín Oficial del Estado de la Ley 2/2011, de 4 de Marzo, de Economía Sostenible introdujo el artículo 61bis en la Ley del Mercado de Valores, derogando los artículos 116 y 116bis de la misma ley. Este artículo obliga a las sociedades anónimas cotizadas a hacer público anualmente un informe de Gobierno Corporativo, que incluya, entre otros, una descripción de las principales características de los sistemas de Control Interno y Gestión de Riesgos en relación con el proceso de emisión de la información financiera.

Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

37

• El Código Unificado de Buen Gobierno recomienda que las sociedades cotizadas cuenten con un departamento de auditoría interna, supervisado por el Comité de Auditoría, con el objetivo de velar por el buen funcionamiento de los sistemas de información y Control Interno. El Comité tiene que supervisar el proceso de elaboración y la integridad de la información financiera; revisar los sistemas de Control Interno y Gestión de Riesgos, para identificar y gestionar los principales riesgos; velar por la independencia y eficacia de la función de auditoría interna; y establecer y supervisar un sistema de comunicación interna para informar de deficiencias a la Dirección. En este contexto, la CNMV constituyó un Grupo de Trabajo de Control Interno sobre la Información Financiera (GTCI), que publicó en 2010 un documento18 con recomendaciones, una guía para la preparación de la descripción del Sistema de Control Interno, pautas de actuación para llevar a cabo la supervisión de los Sistemas de Control Interno de la información financiera (SCIIF) y un modelo de procedimientos para la revisión por el auditor externo. Para la elaboración de este documento, el GTCI tomó el informe COSO para establecer el Marco de referencia de Control Interno sobre la información financiera.

38

OTROS CAMBIOS RELEVANTES Comparación de COSO con Enterprise Risk Management- Integrated Framework (COSO II) En 2004, COSO publicó el “Enterprise Risk Management - Integrated Framework” (también conocido como Marco ERM o COSO II), el cual establece un Marco para la Gestión Integral de Riesgos y sirve como guía para ayudar a empresas y otras entidades a aplicar sus actividades de Gestión de Riesgos. El Marco identifica y describe ocho componentes necesarios para una Gestión Integral de Riesgos efectiva. ERM define la Gestión Integral de Riesgos como un proceso aplicado a la manera de definir la estrategia de la empresa y diseñado para identificar los eventos más relevantes que puedan afectar a la gestión del riesgo. El Control Interno está integrado dentro de la Gestión Integral de Riesgos, mientras el cual, a su vez, es parte del proceso global de gobierno y planificación estratégica, como muestra la siguiente figura.

18

Informe sobre el Control Interno de la Información Financiera del grupo de Trabajo sobre Control Interno de la CNMV, de Junio 2010.

86

En este sentido puede verse el Informe del Gabinete Jurídico de la Agencia Española de Protección de Datos núm. 0342/2008

8.

Actualización COSO I Análisis del borrador del Marco de Control Interno actualizado

Figura 3.12. Gobierno

Gestión Integral de Riesgos

Control Interno

Tanto el Marco actualizado como ERM especifican las tres categorías de objetivos (operaciones, reporting y cumplimiento), aunque las tratan de diferente forma. Adicionalmente, ERM introduce una cuarta categoría: objetivos estratégicos. Ésta, opera a un nivel superior que el resto de categorías y fluye de la misión o la visión de la empresa, mientras que los otros tres objetivos deben estar alineados con ellas. ERM se utiliza a la hora de establecer estrategias, así como para la consecución de las otras tres categorías de objetivos. La Gestión Integral de Riesgos (COSO II) va más allá, ya que considera el establecimiento de los objetivos de negocio y el nivel de riesgo que está dispuesta a asumir la compañía, cómo se crean y mitigan los riesgos a través de las elecciones de estrategias y cómo los riesgos emergentes impactan en la organización. Sin embargo, el Control Interno (COSO I) se centra en si la organización está mitigando los riesgos para conseguir los objetivos. Esta diferencia está en línea con el cambio introducido en el Marco actualizado sobre la aclaración de la necesidad de establecer los objetivos de negocio como condición previa a los objetivos de Control Interno (ver figura 3.2.). En el Marco COSO II de Gestión de Riesgos se introducen los conceptos de apetito y tolerancia al riesgo a la hora de establecer los objetivos: • Apetito al riesgo: nivel de riesgo que una empresa está dispuesta a asumir en la consecución de su misión/visión. Sirve como herramienta para establecer estrategias y para elegir determinados objetivos. • Tolerancia al riesgo: está incluida en el Marco como una pre-condición del Control Interno, pero no como una parte del mismo. Se define como un nivel aceptable de variación relativa a la consecución de objetivos. A la hora de establecer niveles de tolerancia al riesgo, la Dirección considera la importancia relativa de los objetivos relacionados y alinea la tolerancia al riesgo con el apetito al riesgo. Establecer el apetito y la tolerancia al riesgo son principios clave de la Gestión Integral de Riesgos. Sin embargo, desde la perspectiva de Control Interno se ve el establecimiento de objetivos y la tolerancia al riesgo como pre-condiciones de un Sistema de Control Interno efectivo.

Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

39

El siguiente cuadro (cuadro 3.13) muestra las similitudes y diferencias entre los componentes: Cuadro 3.13.

40

La siguiente figura (3.14.) muestra, por un lado, la ampliación del componente de evaluación de riesgos que hace el Marco COSO II de Gestión de Riesgos, introduciendo otros tres componentes (identificación de eventos, evaluación de riesgos y respuesta al riesgo); y por otro lado, la adaptación del ámbito de aplicación del cubo de Control Interno al introducido en ERM. Figura 3.14. Cubo COSO Marco Actualizado

Cubo ERM

Actualización COSO I Análisis del borrador del Marco de Control Interno actualizado

Limitaciones El Marco actualizado enumera, al igual que el original, las limitaciones del Control Interno. El Control Interno puede aportar un asesoramiento razonable a la Dirección y al Consejo de Administración para lograr los objetivos de la organización, pero la probabilidad de conseguirlo está afectada por limitaciones inherentes en todos los Sistemas del Control Interno que incluyen aquellas relativas al juicio profesional (posibilidad de que las decisiones tomadas sean incorrectas), disfunciones del sistema (por colapsos del sistema de gestión o simplemente la ocurrencia de errores), o elusión de los controles por parte de la alta Dirección y la confabulación entre dos o más personas dentro de la organización. El Marco actualizado, al contrario que el Marco COSO original, no contempla como limitación la necesidad de considerar con carácter previo al establecimiento de controles la relación coste/beneficio. En el Marco actualizado, la consideración de los beneficios y costes del Control Interno se incluye dentro del apartado de “consideraciones adicionales” por lo que establece la relación coste/beneficio como un aspecto a tener en cuenta y no como algo excluyente.

Uso del Marco El Marco actualizado establece, al igual que el original, el uso que los diferentes grupos de interés pueden hacer del Sistema de Control Interno establecido en el informe COSO, sin embargo, añade algunas responsabilidades. Por ejemplo, establece que es necesario considerar las modificaciones del Marco COSO original a la hora de decidir si se realizan cambios en la gestión del Control Interno ya implantada: planes de revisión, herramientas de evaluación, etc.

Ámbito de aplicación por tipos de organizaciones El Marco actualizado ha sido elaborado con el objetivo de ser aplicable a cualquier tipo de organización, independientemente de su estructura, tamaño, zona geográfica o sector.

C. Actualización/adaptación de documentos COSO presenta el nuevo Marco en tres volúmenes: • “Executive Summary” (resumen ejecutivo). • “Framework and Appendices” (Marco y apéndices). • “Illustrative Tools” (herramientas ilustrativas)

Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

41

Adicionalmente, COSO ha publicado • “Internal Control over External Financial Reporting: A Compendium of Approaches and Examples (Compendium)”. Este último documento proporciona distintos enfoques y ejemplos para ilustrar cómo se pueden aplicar los componentes y los principios. Así como el Marco se ha visto modificado debido a cambios en el entorno desde su publicación inicial en 1992, el resto de documentos también han sufrido variaciones y actualizaciones. A continuación se detallan los principales cambios que han sufrido tanto el documento “Illustrative Tools”, como el “Compendium”.

ILLUSTRATIVE TOOLS

42

“Illustrative Tools” es la actualización de “Evaluation Tools”, documento que se publicó como apoyo al Marco de 1992. Este documento pretende servir como guía para la evaluación de la efectividad del Sistema de Control Interno tanto a las entidades que ya utilizaban el Marco COSO original, como a aquellas que decidan implantar el Marco actualizado. El contenido del documento puede ayudar a la Dirección a evaluar si: • Cada uno de los cinco componentes y los principios más relevantes están presentes y funcionado. • Los cinco componentes están funcionando a la vez de una manera integrada. El documento se basa en tres partes: introducción, plantillas y escenarios: a) La introducción explica los conceptos de escenarios y plantillas, así como sus aplicaciones para el Control Interno. b) Las plantillas se pueden utilizar para evaluar la efectividad del Sistema de Control Interno y para documentar esa evaluación. c) Los escenarios ilustran modos de empleo de las plantillas para apoyar una evaluación de la efectividad del Sistema de Control Interno. Estas herramientas no están diseñadas con la intención de cumplir con los requisitos regulatorios, jurisdiccionales o estándares, sino para evaluar la gravedad de las deficiencias asociadas con un objetivo particular.

Actualización COSO I Análisis del borrador del Marco de Control Interno actualizado

Plantillas Las plantillas están diseñadas con el objetivo de presentar un resumen de los resultados de la evaluación. No son una parte integral del Marco, y pueden no abordar todos los temas que tienen que considerarse en la evaluación de un Sistema de Control Interno para la consecución de un objetivo específico. Su objetivo se limita a ilustrar un posible proceso de evaluación basado en los requisitos expuestos en el Marco. La Dirección puede utilizar estas plantillas con diferentes finalidades: • Apoyar la determinación de si los componentes y los principios están presentes y funcionando correctamente. • Apoyar la evaluación de si los cinco componentes del Sistema de Control Interno están operando al mismo tiempo de una manera integrada. • Apoyar la evaluación de la eficacia del Sistema de Control Interno en relación con una o más categorías de objetivos. • Documentar la evaluación general de la Dirección en relación con la efectividad de un Sistema de Control Interno considerando los componentes y los principios. • Documentar las deficiencias encontradas durante el proceso de evaluación. Las plantillas aportan una estructura lógica para que la Dirección analice y documente la evaluación que hace la organización de la efectividad del Sistema de Control Interno, incluyendo la presencia y el funcionamiento de los componentes y principios como aparecen en el Marco utilizando los puntos de enfoque como apoyo. Adicionalmente, estas plantillas se organizan para apoyar el enfoque topdown, basado en el criterio de evaluación de riesgos. Existen cuatro tipos de plantillas: • Evaluación general: resume la decisión de la Dirección sobre si los cinco componentes están presentes, funcionando y operando de una manera integrada, incluyendo la gravedad de las deficiencias del Control Interno o una combinación de deficiencias cuando se consideren colectivamente a lo largo de los componentes. • Componentes: resume la decisión de la Dirección sobre si cada componente, incluyendo sus principios, están presentes y funcionando. • Principios: resume la decisión de la Dirección sobre si cada principio está presente y funcionando. Se aportan los puntos de enfoque para apoyar a la Dirección en su decisión. • Resumen de las deficiencias del Control Interno: aporta un registro de todas las deficiencias del Control Interno que se han encontrado, y que se pueden aprovechar en la evaluación de los componentes y los principios. La siguiente figura muestra a continuación muestra la relación entre cada plantilla y el flujo esperado de información clave.

Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

43

Figura 3.15. Diagrama del flujo de información* Evaluación General

Resumen de la evaluación de los Componentes

Actualizar la gravedad de las deficiencias de Control Interno

Evaluación de los Componentes x5

Registro de las deficiencias del Control Interno

Resumen de la evaluación de cada Principio

Evaluación de los Principios x17

44 Resumen de Deficiencias del Control Interno

* Diagrama obtenido del Marco COSO actualizado “Internal Control-Integrated Framework”

Escenarios Los escenarios presentan ejemplos de cómo se pueden utilizar las plantillas para apoyar la evaluación de la efectividad del Sistema de Control Interno, basándose en los requisitos establecidos en el Marco. Cada escenario está diseñado para ilustrar un aspecto en particular, o un conjunto de aspectos relacionados en cuanto al proceso de evaluación. Cada uno consiste en dos partes: • Antecedentes para aportar un contexto al escenario. • Las plantillas cumplimentadas. Los escenarios subrayan consideraciones importantes a tener en cuenta cuando se realice la evaluación. No presentan una visión integral de cómo la organización debería actuar en la evaluación general del Sistema de Control Interno porque no muestran todos los posibles aspectos del proceso de evaluación.

Actualización COSO I Análisis del borrador del Marco de Control Interno actualizado

COMPENDIUM El “Internal Control over External Financial Reporting: A Compendium of Approaches and Examples” es la actualización del “Internal Control over Financial Reporting” publicado en 2006 como guía de apoyo en la utilización del Marco COSO I. Este documento aporta enfoques y ejemplos para ilustrar cómo las entidades pueden aplicar, en un Sistema de Control Interno, los principios que se establecen sobre el reporting financiero externo en el Marco. El Compendium, al igual que el Marco, requería una actualización por diversos motivos, tales como: las expectativas de la supervisión del gobierno de la organización, la globalización de los mercados y las operaciones, la mayor complejidad de las leyes, regulaciones, reglas y estándares, el uso de nuevas tecnologías, y las crecientes expectativas relativas a la prevención y la detección del fraude. Este documento se estructura partiendo de los cinco componentes del Control Interno aportando consideraciones específicas sobre el reporting financiero externo. En cada uno de los capítulos, ligados a cada uno de los componentes, se presentan los principios con una serie de enfoques y ejemplos para la aplicación de los mismos.

45

Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

ANEXOS A. Autores del informe

46

Ramón Abella Rubio Socio PwC Governance Risk and Compliance • Licenciado en Ciencias Económicas y Empresariales. Universidad Complutense de Madrid. • Executive MBA. Instituto Empresa. • Máster en tributación y Fiscalidad. CETE-Universidad Complutense de Madrid. • Miembro del Instituto de Auditores Internos. • Certificación en Aseguramiento de la Gestión de Riesgos (CRMA: Certification in Risk Management Assurance) • Miembro Ramón es experto en el análisis de riesgos y Control Interno, siendo especialista en las metodologías de Entreprise Risk Management y Control Interno promulgadas en los informes COSO I y COSO II, formando parte del equipo internacional encargado de la adaptación de las mismas. Joaquín Guerola Gonzálvez Senior Manager PwC Governance Risk and Compliance • Licenciado en Dirección y Administración de Empresas y Derecho. Universidad Pontificia de Comillas. • Executive MBA. ESADE. • Máster en Dirección de Empresas Familiares. Instituto Empresa. Joaquín es experto en Gestión de Riesgos, Control Interno y Auditoría Interna. Ha participado en la implantación, evaluación y mejora de sistemas de Gestión de Riesgos y Control Interno, siendo el responsable en España de coordinar la red global de PwC de Auditoría Interna y Gestión de Riesgos. Ana Cendón Cubero Gerente PwC Governance Risk and Compliance • Licenciada en Dirección y Administración de Empresas. Universidad de Valladolid.

Actualización COSO I Análisis del borrador del Marco de Control Interno actualizado

• Máster en Sostenibilidad y RSC. Universidad Jaume I, UNED. • CIA (Certificado de Excelencia), CISA. Ana cuenta experiencia en los campos de Gestión de Proyectos, Auditoría de Procesos, Gestión de Riesgos, Control Interno y Auditoría Interna. Ha formado parte del equipo de PwC Alemania, participando en auditorías y mejoras de procesos, control interno y auditorías informáticas. Previamente a PwC, ha trabajado para Siemens AG (Alemania) en gestión y control de proyectos internacionales. B. Bibliografía y Fuentes • COSO I Report: Internal Control – An Integrated Framework - Año 1992. • Enterprise Risk Management (ERM) COSO Framework - Año 2004. • “Internal Control - Integrated Framework. Framework and Appendices”. Septiembre 2012. • “Internal Control - Integrated Framework. Executive Summary”. Septiembre 2012. • “Internal Control - Integrated Framework. Illustrative Tools for Assesing Effectiveness of a System of Internal Control”. Septiembre 2012. • “Internal Control - Integrated Framework. Internal Control over External Financial Reporting: A Compendium of Approaches and Examples” (ICEFR). Septiembre 2012. • Internal Control over Financial Reporting - Guidance over Smaller Public Companies: Control Interno sobre la presentación de informes financieros - Guía para las compañías públicas más pequeñas. • Informe “Corporate Reporting: A critical system at Risk”, elaborado en 2011 por el Chartered Institute of Management Accountants en colaboración con PwC • 4.ª Encuesta de Alta Dirección en España 2011 elaborada por PwC: Reinventando el crecimiento. • Informe sobre el Control Interno de la Información Financiera del grupo de Trabajo sobre Control Interno de la CNMV, de Junio 2010 • Encuesta de la función de Auditoría Interna 2012 de PwC ¿Se están cubriendo las expectativas sobre la función de auditoría interna? • Estudio sobre los Comités de Auditoría del 2012: Contexto Regulatorio, Buenas Prácticas y Tendencias del Centro de Gobierno Corporativo en colaboración con PwC.

Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

47

Reconocimientos FINANCIAL TIMES, 25 de enero de 2010 MBA Ranking, 3ª posición en Europa y 6ª posición mundial FINANCIAL TIMES, 25 de octubre de 2010 Executive MBA Ranking, 7ª posición mundial THE ECONOMIST, septiembre de 2010 MBA Ranking, 22ª posición mundial AMÉRICA ECONOMÍA, junio 2010 MBA Ranking, 3ª posición mundial

http://centrogobiernocorporativo.ie.edu

María de Molina, 12 - 5ª planta 28006 Madrid Tel.: (34) 91 568 96 00 [email protected]

ARTES GRÁFICAS

desde 1918