Story Transcript
Marco Integrado de Control Interno. Modelo COSO III Manual del Participante Autor: C. P. Rafael González Martínez
Contenido Capítulo
Página
Introducción
2
Capítulo I. Committee of Sponsoring Organizations of Treadway Commission (COSO)
4
Capítulo II. Marco Integrado COSO III. Generalidades
8
Capítulo III. Marco Integrado COSO III. Objetivos y Componentes
12
Capítulo IV. Marco Integrado COSO III.Principios y puntos de enfoque
20
Capítulo V. Marco Integrado COSO III. Responsabilidades en el Sistema
34
Capítulo VI. Marco Integrado COSO III. Implementación y Herramientas de evaluación
36
Bibliografía
39
Introducción El Comité de organizaciones patrocinadoras de la Comisión Treadway (COSO, por sus siglas en inglés) presentó en 1992 la primera versión del Marco Integrado de Control Interno, que ha sido aceptado alrededor del mundo y se ha convertido en un marco líder en diseño, implementación y conducción de control interno y evaluación de su efectividad. El Comité tenía como principal objetivo definir un nuevo marco conceptual capaz de integrar las diversas definiciones y conceptos utilizados en el campo del control interno. Teniendo en cuenta los grandes cambios que han tenido la industria y los avances tecnológicos, el Comité lanzó en mayo de 2013 una versión actualizada que permitirá que las empresas desarrollen y mantengan efectiva y eficientemente sistemas de control interno que ayuden en el proceso de adaptación a los cambios, cumplimiento de los objetivos de la empresa, mitigación de los riesgos a un nivel aceptable, y apoyo a la toma de decisiones y al gobierno. Este modelo presentado por COSO ha enfocado la atención hacia el mejoramiento del control interno y del gobierno corporativo, y responde a la presión pública para un mejor manejo de los recursos públicos o privados en cualquier tipo de organización, como consecuencia de los numerosos escándalos, la crisis financiera y los fraudes presentados. Un sistema de control interno efectivo requiere la toma de decisiones y es diseñado con el fin de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos en relación con la eficacia y la eficiencia de las operaciones, la confiabilidad de la información financiera, y el cumplimento de leyes y normas aplicables. El Marco Integrado de Control Interno abarca cada una de las áreas de la empresa, y engloba cinco componentes relacionados entre sí: el entorno de control, la evaluación del riesgo, el sistema de información y comunicación, las actividades de control, y la supervisión del sistema de control. De la misma manera, el marco apoya la administración, la dirección, los accionistas y demás partes que interactúan con la entidad, ofreciendo un entendimiento de lo que constituye un sistema de control interno efectivo. Un sistema de control interno debe verse como un proceso integrado y dinámico y se caracteriza por las siguientes propiedades:
Permite aplicar el control interno a cualquier tipo de entidad y de acuerdo con sus necesidades.
Presenta un enfoque basado en principios que proporcionan flexibilidad y se pueden aplicar a nivel de entidad, a nivel operativo y a nivel funcional.
Establece los requisitos para un sistema de control interno efectivo, considerando los componentes y principios existentes, cómo funcionan y cómo interactúan.
Qualpro Consulting, S. C.
Página 2
Proporciona un método para identificar y analizar los riesgos, así como para desarrollar y gestionar respuestas adecuadas a dichos riesgos dentro de unos niveles aceptables y con un mayor enfoque sobre las medidas antifraude.
Constituye una oportunidad para ampliar el alcance de control interno más allá de la información financiera, a otras formas de presentación de la información, operaciones y objetivos de cumplimiento.
Es una oportunidad para eliminar controles ineficientes, redundantes o inefectivos que proporcionan un valor mínimo en la reducción de riesgos para la consecución de los objetivos de la entidad.
Brinda una mayor confianza en la supervisión efectuada por el consejo sobre los sistemas de control interno.
Ofrece mayor confianza con respecto al cumplimiento de los objetivos de la entidad.
Genera mayor confianza en la capacidad de la entidad para identificar, analizar y responder a los riesgos y a los cambios que se produzcan en el entorno operativo y de negocios.
Permite lograr una mayor comprensión de la necesidad de un sistema de control interno efectivo.
Facilita el entendimiento de que mediante la aplicación de un criterio profesional oportuno la dirección puede eliminar controles no efectivos, redundantes o ineficientes.
Qualpro Consulting, S. C.
Página 3
Capítulo I. Committee of Sponsoring Organizations of Treadway Commission (COSO) El Comité de organizaciones patrocinadoras de la Comisión Treadway fue conformado en 1985 con la finalidad de identificar los factores que originaban la presentación de información financiera falsa o fraudulenta, y emitir las recomendaciones que garantizaran la máxima transparencia informativa en ese sentido. COSO se dedica a desarrollar marcos y orientaciones generales sobre el control interno, la gestión del riesgo empresarial y la prevención del fraude, diseñados para mejorar el desempeño organizacional y la supervisión, y reducir el riesgo de fraude en las organizaciones. Asimismo, el Comité sustenta que una buena gestión del riesgo y un sistema de control interno son necesarios para el éxito a largo plazo de las organizaciones. El Comité está conformado por cinco instituciones representativas en Estados Unidos en el campo de la contabilidad, las finanzas y la auditoria interna:
American AccountingAssociation (AAA) – Asociación de Contadores Públicos Norteamericanos
American Institute of CertifiedPublicAccountants (AICPA) – Instituto Norteamericano de Contadores Públicos Certificados (Contadores CPA que forman parte de empresas de contabilidad que hacen auditorías externas de estados financieros).
FinancialExecutiveInstitute (FEI) – Asociación Internacional de Ejecutivos de Finanzas.
Institute of InternalAuditors (IIA) – Instituto de Auditores Internos (Auditores encargados de la evaluación de los sistemas de control interno en el interior de las organizaciones).
Institute of Management Accountants (IMA) – Instituto de Contadores Empresariales (Contadores que trabajan en empresas).
En septiembre de 1992, el Comité COSO emitió en los Estados Unidosel informe:Internal Control-Integrated Framework (Marco Integrado de ControlInterno, COSO I), orientado a estableceruna definición común de control interno y proveer una guía para la creación y elmejoramiento de la estructura de control interno de las entidades. Este Marco fue publicado para las empresas de los Estados Unidos.Sin embargo,ha sido utilizado y aceptado a nivel mundial. Fue creado para facilitar a las empresaslos procesos de evaluación y mejoramiento continuo de sus sistemas de controlinterno. Además, ha sido incluido en las políticas, reglas y regulaciones, para que lasempresas mejoren sus actividades de control hacia el logro de sus objetivos. Qualpro Consulting, S. C.
Página 4
Es elcaso de la Ley SarbarnesOxley, según la cual las empresas que cotizan en bolsatienen que cumplir con una sección de control interno (sección 404), que solicita laimplementación y evaluación de un sistema de control interno en las organizaciones. Enseptiembre de 2004, el Comité COSO publicó el Enterprise Risk Management-Integrated Framework y sus aplicaciones técnicas asociadas (COSO-ERM, o COSO II), en el cual seamplía el concepto de control interno, y se proporciona un enfoque más completo yextenso sobre la identificación, evaluación y gestión integral del riesgo. Este nuevo enfoque no sustituye COSO I sino que lo incorporacomo parte de él, y permite a las compañías mejorar sus prácticas de control internoo decidir encaminarse hacia un proceso más completo de gestión de riesgo. Adicionalmente, dado que COSO-ERM se encuentra completamente alineado con el COSO I,las mejoras en la gestión de riesgo permiten optimizar un trabajo eficaz en controlinterno bajo las disposiciones de la Ley Sarbanes-Oxley. En mayo de 2013 el Comité COSO publicó la actualización del Marco Integrado deControl Interno (COSO III), cuyos objetivos son: aclarar los requerimientos del control interno;actualizar el contexto de la aplicación del control interno a muchos cambios en lasempresas y ambientes operativos; y ampliar su aplicación al expandir los objetivosoperativos y de emisión de informes. Este nuevo Marco Integrado permite una mayorcobertura de los riesgos a los que se enfrentan actualmente las organizaciones. Algunos de los factores más relevantes que contribuyeron a la actualización del MarcoIntegrado de Control Interno son:
Variación de los modelos de negocio como consecuencia de la globalización.
Mayor necesidad de información a nivel interno debido a los entornoscambiantes.
Incremento del número y complejidad mundoempresarial a nivel internacional.
Nuevas expectativas sobre la responsabilidad y competencias de los gestoresde las organizaciones.
Incremento de las expectativas de los grupos de interés (inversores,reguladores) en la prevención y detección del fraude.
Aumento del uso de las nuevas tecnologías, y su desarrollo constante.
Exigencias en la fiabilidad de la información reportada.
de
las
normativas
aplicables
al
Los siguientes cuadros presentan los cambios más significativos presentes en elMarco Integrado de Control Interno 2013, a nivel general y en cada componente: Qualpro Consulting, S. C.
Página 5
I. A nivel General COSO 1992 Se mantiene:
COSO 2013 Cambia:
Definición del concepto de Control Ampliación y aclaración de conceptos con el objetivo de Interno abarcar las actuales condiciones del mercado y la economía global Cinco componentes del control Codificación de principios y puntos de enfoque con interno aplicación internacional para el desarrollo y evaluación de la eficacia del Sistema de Control Interno Aclaración de la necesidad de establecer objetivos de negocio como condición previa a los objetivos de control interno Criterios a utilizar en el proceso de Extensión de los objetivos de Reporte más allá de los evaluación de la eficacia del informes financieros externos, a los de carácter interno y Sistema de Control Interno a los no financieros, tanto externos como internos Uso del Juicio profesional para la Inclusión de una guía orientadora para facilitar la evaluación de la eficacia del supervisión del Control Interno sobre las operaciones, el Sistema de Control Interno cumplimiento y los objetivos de reporte
II. A nivel de Componentes Componentes
Cambios Representativos
Entorno de Control
Se recogen en cinco principios la relevancia de la integridad y los valores éticos, la importancia de la filosofía de la administración y su manera de operar, la necesidad de una estructura organizativa, la adecuada asignación de responsabilidades y la importancia de las políticas de recursos humanos
Evaluación de Riesgos
Qualpro Consulting, S. C.
Se explican las relaciones entre los componentes del Control Interno para destacar la importancia del Entorno de Control Se amplía la información sobre el Gobierno Corporativo de la organización, reconociendo diferencias en las estructuras, requisitos, y retos a lo largo de diferentes jurisdicciones, sectores y tipos de entidades Se enfatiza la supervisión del riesgo y la relación entre el riesgo y la respuesta al mismo Se amplía la categoría de objetivos de Reporte, considerando todas las tipologías de reporte internos y externos Página 6
Actividades de Control
Información y Comunicación
Actividades de Monitoreo – Supervisión
Qualpro Consulting, S. C.
Se aclara que la evaluación de riesgos incluye la identificación, análisis y respuesta a los riesgos Se incluyen los conceptos de velocidad y persistencia de los riesgos como criterios para evaluar la criticidad de los mismos Se considera la tolerancia al riesgo en la evaluación de los niveles aceptables de riesgo Se considera el riesgo asociado a las fusiones, adquisiciones y externalizaciones Se amplía la consideración del riesgo al fraude Se indica que las actividades de control son acciones establecidas por políticas y procedimientos Se considera el rápido cambio y evolución de la tecnología Se enfatiza la diferenciación entre controles automáticos y Controles Generales de Tecnología Se enfatiza la relevancia de la calidad de información dentro del Sistema de Control Interno Se profundiza en la necesidad de información y comunicación entre la entidad y terceras partes Se enfatiza el impacto de los requisitos regulatorios sobre la seguridad y protección de la información Se refleja el impacto que tiene la tecnología y otros mecanismos de comunicación en la rapidez y calidad del flujo de información Se clarifica la terminología definiendo dos categorías de actividades de monitoreo: evaluaciones continuas y evaluaciones independientes Se profundiza en la relevancia del uso de la tecnología y los proveedores de servicios externos
Página 7
Capítulo II. Marco Integrado COSO III. Generalidades Las empresas deben implementar un sistema de control interno eficiente que lespermita enfrentarse a los rápidos cambios del mundo de hoy. Es responsabilidad de laadministración y de los directivos desarrollar un sistema que garantice el cumplimientode los objetivos de la empresa y se convierta en una parte esencial de la culturaorganizacional. El control interno es definido como un proceso integrado y dinámico llevado a cabopor la administración, la dirección y demás personal de una entidad, diseñado con elpropósito de proporcionar un grado de seguridad razonable en cuanto a laconsecución de los objetivos relacionados con las operaciones, lainformación y el cumplimiento. De esta manera, el control interno seconvierte en una función inherente a la administración, integrada al funcionamientoorganizacional y a la dirección institucional y deja, así, de ser una función que seasigne a un área específica de una empresa. En este sentido, el sistema de control interno debe orientarse a promover todas lascondiciones necesarias para que el equipo de trabajo dé su mayor esfuerzo con el finde lograr los resultados deseados, debido a que promueve el buen funcionamiento dela organización. El concepto de responsabilidad toma gran importancia y se convierteen un factor clave para el gobierno de las organizaciones, teniendo en cuenta que elprincipal propósito del sistema de control interno es detectar oportunamente cualquierdesviación significativa en el cumplimiento de las metas y objetivos establecidos. La implementación de un sistema de control interno eficiente debe proporcionar:
Consecución de objetivos de rentabilidad y rendimiento para prevenir lapérdida de recursos.
Operaciones eficaces y eficientes.
Desarrollo de tareas y actividades continuas, establecidas como un medio parallegar a un fin.
Control interno efectuado por las personas de la entidad y las acciones queestas aplican en cada nivel de la entidad.
Producción de informes financieros confiables para la toma de decisiones.
Seguridad razonable, no absoluta, al consejo y la alta dirección de la entidad.
Cumplimiento de las leyes y regulaciones pertinentes.
Qualpro Consulting, S. C.
Página 8
Adaptación a la estructura de la entidad.
Promoción, evaluación y preocupación por la seguridad, calidad y mejoracontinua de todos los procesos de la entidad.
El modelo de control interno COSO2013 (COSO III) está compuesto por los cincocomponentes establecidos en el marco anterior, y 17 principios y puntos de enfoqueque presentan las características fundamentales de cada componente. Se caracterizapor tener en cuenta los siguientes aspectos y generar diferentes beneficios:
Mayores expectativas del gobierno corporativo.
Globalización de mercados y operaciones.
Cambio continuo en mayor complejidad en los negocios.
Mayor demanda y complejidad en leyes, reglas, regulaciones y estándares.
Expectativas de competencias y responsabilidades.
Uso y mayor nivel de confianza en tecnologías que evolucionan rápidamente.
Expectativas relacionadas con prevenir, desalentar y detectar el fraude.
La efectividad del sistema de control interno depende de las características de claridad, agilidad, y confianza, y deesta manera se puede obtener una certeza razonable sobre el logro de los objetivos de laentidad. Un sistema de control interno efectivo reduce a un nivel aceptable el riesgo deno alcanzar un objetivo de la entidad. Para esto es indispensable que los componentes y principios esténpresentes y en funcionamiento. Esto quiere decir que los componentes y principiosrelevantes existen en el diseño e implementación del sistema de control interno paraalcanzar los objetivos especificados. Además, los componentes y principios deben seraplicados en el sistema de control interno y funcionar de manera integrada. Sin embargo, es importante aclarar que un eficaz sistema de control interno nogarantiza el éxito de una entidad. Éste puede ayudar a la consecución de los objetivosy suministrar información sobre el progreso de la entidad, pero el desempeño de laadministración y directivas, así como factores externos, como condiciones económicas, tienengran influencia en el éxito de la entidad.
Qualpro Consulting, S. C.
Página 9
El control interno no puede evitar que seaplique un deficiente criterio profesional o se adopten malas decisiones. Además, elsistema de control interno puede garantizar sólo una seguridad razonable en relacióncon el cumplimiento de los objetivos de la organización. Las limitaciones siempre estánpresentes e impiden que el Consejo de Administración y la Dirección tengan unaseguridad absoluta. Sin embargo, estas limitaciones tienen que ser tomadas en cuentaal momento de seleccionar, desarrollar y desplegar los controles, para que minimicenen lo posible dichas limitaciones. Las limitaciones pueden originarse por los siguientes factores:
La falta de adecuación de los objetivos establecidos como condición previapara el control interno.
El criterio profesional de las personas en la toma de decisiones puede sererróneo y estar sujeto a sesgos.
Fallas humanas conscientes e inconscientes.
La capacidad de la dirección de anular el control interno.
La capacidad de la dirección y demás miembros del personal para eludir loscontroles mediante confabulación entre ellos.
Acontecimientos externos que escapan al control de la organización.
Conspiraciones o complots.
Por esta razón, el Marco Integrado de Control Interno requiere de un criterioprofesional en el diseño, implementación, y conducción del control interno y laevaluación de su efectividad. El uso del criterio profesional ayuda a la administración atomar mejores decisiones con respecto al sistema de control interno, teniendo encuenta que esto no garantiza resultados perfectos. La administración hace uso del criterio profesional en diferentes momentos:
Aplicación de los componentes de control interno en relación con lascategorías de los objetivos.
Aplicación de los componentes y principios de control interno dentro de laestructura de la entidad.
Especificación de objetivos generales y específicos apropiados y evaluaciónde riesgos para su cumplimiento.
Qualpro Consulting, S. C.
Página 10
Selección, desarrollo y despliegue de los controles necesarios para llevar acabo los principios.
Evaluar si los componentes y principios están presentes, funcionando yoperando de manera integrada en la entidad.
Evaluación de la severidad de una o más deficiencias de control interno deacuerdo con las leyes, reglas, regulaciones y estándares externos pertinentes.
Qualpro Consulting, S. C.
Página 11
Capítulo III. Marco Integrado COSO III. Objetivos y Componentes Cada entidad tiene una misión, la cual determina los objetivos y las estrategiasnecesarias para cumplirla. Los objetivos pueden ser establecidos mediante unproceso estructurado o informal dependiendo de la entidad, y junto con la evaluaciónde los puntos fuertes y débiles de la entidad, y de las oportunidades y amenazas delentorno, define una estrategia global.
I. Objetivos Es responsabilidad de la Administración y la Alta Dirección establecer los objetivos delnegocio y es necesario fijar los objetivos con carácter previo al diseño eimplementación del sistema de control interno, con el fin de controlar y mitigar demanera adecuada los riesgos que afectan a dichos objetivos. Los objetivos debencomplementarse, estar relacionados entre sí y ser coherentes con las capacidades yexpectativas de la entidad y las unidades empresariales y sus funciones. Establecerobjetivos es un requisito previo para un control interno eficaz. Los objetivosproporcionan las metas medibles hacia las que la entidad se mueve al desarrollar susactividades. Esta responsabilidad está establecida en los procesos de la administración, como sepresenta a continuación:
Determinar los objetivos estratégicos y seleccionar la estrategia dentro delcontexto de la entidad establecido en su misión y visión.
Establecer los objetivos de la entidad y desarrollar la tolerancia al riesgo conbase en los requerimientos de la entidad según las circunstancias.
Alinear los objetivos con la estrategia de la entidad y el apetito general delriesgo.
Establecer los objetivos generales y específicos para la entidad y sus nivelessegún sean las circunstancias.
El Marco Integrado de Control Interno establece tres categorías de objetivos quepermiten a las organizaciones centrarse en diferentes aspectos del control interno.Estas son: 1. Objetivos operativos: estos objetivos se relacionan con el cumplimiento de lamisión y visión de la entidad. Hacen referencia a la efectividad y eficiencia delas operaciones, incluidos sus objetivos de rendimiento financiero yoperacional, y la protección de sus activos frente a posibles pérdidas.
Qualpro Consulting, S. C.
Página 12
Por lotanto, estos objetivos constituyen la base para la evaluación del riesgo enrelación con la protección de los activos de la entidad, y la selección ydesarrollo de los controles necesarios para mitigar dichos riesgos. Los objetivos operativos deben reflejar el entorno empresarial, industrial yeconómico en que se involucra la entidad; y están relacionados con elmejoramiento del desempeño financiero, la productividad, la calidad, lasprácticas ambientales, y la innovación y satisfacción de empleados y clientes. 2. Objetivos de información: estos objetivos se refieren a lapreparación de reportes para uso de la organización y los accionistas, teniendoen cuenta la veracidad, oportunidad y transparencia. Estos reportes relacionan la información financiera y no financiera interna y externa y abarcan aspectos de confiabilidad, oportunidad, transparencia y demás conceptos establecidos por los reguladores, organismos reconocidos o políticas de la entidad. La presentación de informes a nivel externo da respuesta a las regulaciones y normativas establecidas y a las solicitudes de los grupos de interés, y los informes a nivel interno atienden a las necesidades al interior de la organización tales como: la estrategia de la entidad, plan operativo y métricas de desempeño. Reportes Financiero Externo • Cuentas anuales
Reportes No Financiero Externo • Informe de Control Interno
• Estados financieros intermedios
• Memoria de sostenibilidad
• Publicación de resultados
• Plan estratégico
• Distribución de utilidades
• Custodia de activos
Reportes Financiero Interno • Estados financieros de las divisiones
Reportes No Financiero Interno • Utilización de activos
• Cash-flow / Presupuesto
• Encuestas de satisfacción del cliente
• Cálculos de Covenants
• Indicadores clave de riesgo • Reportes al consejo
Los Reportes ºa