El Comité de Organizaciones Patrocinadoras de la Comisión Treadway ( COSO ) es una organización que desarrolla pautas para que las empresas evalúen los controles internos, la gestión de riesgos y la disuasión del fraude. En 1992 (y posteriormente reeditado en 2013), COSO publicó el Marco Integrado de Control Interno , comúnmente utilizado por las empresas en los Estados Unidos para diseñar, implementar y llevar a cabo sistemas de control interno sobre los informes financieros y evaluar su eficacia.
En 1985, COSO comenzó como una iniciativa del sector privado para investigar los factores causales que condujeron a la presentación de informes financieros fraudulentos como resultado de una serie de escándalos contables en los años 1970 y mediados de los años 1980. Esta iniciativa se denominó Comisión Nacional sobre Informes Financieros Fraudulentos; el primer presidente de la Comisión fue James C. Treadway, Jr., ex Comisionado de la Comisión de Bolsa y Valores de los Estados Unidos, y por lo tanto la iniciativa se denominó comúnmente "Comisión Treadway". La Comisión Treadway fue patrocinada conjuntamente por cinco importantes asociaciones profesionales con sede en los Estados Unidos:
El COSO examinó por primera vez los informes financieros de octubre de 1985 a septiembre de 1987 y publicó el "Informe de la Comisión Nacional sobre Información Financiera Fraudulenta" [1] . El informe incluía observaciones sobre el alcance de los informes financieros fraudulentos, las causas fundamentales de dicho fraude, el papel de los contadores públicos independientes en la detección del fraude y las medidas que las empresas podían adoptar para prevenir la actividad fraudulenta.
Como una extensión del informe original y para cumplir con su misión de mejorar la información financiera, COSO preparó un conjunto de directrices para gestionar un sistema de controles internos sobre la información financiera. En 1992, COSO publicó "Control interno: marco integrado" [2] , que detallaba cinco componentes clave de un sistema de control interno eficaz, junto con herramientas para evaluar la eficacia de dicho sistema. En 2013, COSO volvió a publicar el Marco integrado, afirmando que los cambios significativos en la tecnología y las tendencias empresariales globales aumentaron la necesidad de sistemas de control interno de calidad y proporcionó una mejor orientación para la aplicación de los principios generales. [3]
Como parte de los cambios de la Ley Sarbanes-Oxley de 2002, las empresas públicas en los Estados Unidos están obligadas a utilizar un sistema de controles internos para evaluar la eficacia de sus propios informes financieros e informar sobre los resultados de esa evaluación a sus inversores en sus estados financieros anuales. [4] El marco COSO es de uso común, dada su amplia aplicabilidad a todas las industrias y tamaños de empresas.
El marco COSO define el control interno como un proceso, llevado a cabo por el directorio, la administración y otro personal de una entidad, diseñado para proporcionar "seguridad razonable" con respecto al logro de los objetivos en las operaciones, la información financiera y el cumplimiento de las leyes y regulaciones aplicables.
El COSO organiza su marco en cinco componentes interrelacionados, subdivididos en 17 principios. El COSO señala que para que un sistema eficaz de control interno reduzca el riesgo de no alcanzar los objetivos de una entidad, (i) cada uno de los cinco componentes del control interno y los principios pertinentes están presentes y funcionando, y (ii) los cinco componentes operan juntos de manera integrada.
El entorno de control marca el tono de una organización, influyendo en la conciencia de control de su gente. Es la base de todos los demás componentes del control interno, proporcionando disciplina y estructura. Los factores del entorno de control incluyen la integridad, los valores éticos, el estilo operativo de la administración, los sistemas de delegación de autoridad, así como los procesos para gestionar y desarrollar a las personas en la organización.
Cada entidad enfrenta una variedad de riesgos de fuentes internas y externas que deben evaluarse. Un requisito previo para la evaluación de riesgos es el establecimiento de objetivos y, por lo tanto, la evaluación de riesgos es la identificación y el análisis de los riesgos relevantes para el logro de los objetivos asignados. La evaluación de riesgos es un requisito previo para determinar cómo se deben gestionar los riesgos. Los cuatro principios subyacentes relacionados con la evaluación de riesgos son que la organización debe tener objetivos claros para poder identificar y evaluar los riesgos relacionados con esos objetivos; debe determinar cómo se deben gestionar los riesgos; debe considerar el potencial de comportamiento fraudulento; y debe monitorear los cambios que podrían afectar los controles internos.
Las actividades de control son las políticas y procedimientos que ayudan a garantizar que las directivas de la dirección se lleven a cabo. Ayudan a garantizar que se tomen las medidas necesarias para abordar los riesgos que puedan obstaculizar el logro de los objetivos de la entidad. Las actividades de control se producen en toda la organización, en todos los niveles y en todas las funciones. Incluyen una gama de actividades tan diversas como aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones del desempeño operativo, seguridad de los activos y segregación de funciones .
Los sistemas de información desempeñan un papel fundamental en los sistemas de control interno, ya que generan informes, incluidos los relacionados con la información operativa, financiera y de cumplimiento normativo, que hacen posible el funcionamiento y el control de la empresa. En un sentido más amplio, la comunicación eficaz debe garantizar que la información fluya hacia abajo, hacia arriba y hacia abajo en la organización. Un ejemplo son los procedimientos formalizados para que las personas denuncien sospechas de fraude. También debe garantizarse una comunicación eficaz con partes externas, como clientes, proveedores, reguladores y accionistas, sobre posiciones políticas relacionadas.
Los sistemas de control interno deben ser monitoreados, un proceso que evalúa la calidad del desempeño del sistema a lo largo del tiempo. Esto se logra mediante actividades de monitoreo continuo o evaluaciones separadas. Las deficiencias de control interno detectadas mediante estas actividades de monitoreo deben ser reportadas en forma anticipada y deben tomarse medidas correctivas para asegurar la mejora continua del sistema.
El control interno implica la acción humana, lo que introduce la posibilidad de errores en el proceso o el juicio. El control interno también puede ser anulado por la colusión entre empleados (véase separación de funciones ) o por la coerción de la alta dirección.
La revista CFO informó que las empresas están teniendo dificultades para aplicar el complejo modelo proporcionado por COSO. "Uno de los mayores problemas: limitar las auditorías internas a uno de los tres objetivos clave del marco. En el modelo COSO, estos objetivos se aplican a cinco componentes clave (entorno de control, evaluación de riesgos, actividades de control, información y comunicación, y monitoreo "Dado el número de matrices posibles, no es sorprendente que el número de auditorías pueda salirse de control". [5] La revista CFO continuó afirmando que muchas organizaciones están creando su propia matriz de riesgo y control tomando el modelo COSO y modificándolo para centrarse en los componentes que se relacionan directamente con la Sección 404 de la Ley Sarbanes-Oxley.
En 2001, COSO inició un proyecto y contrató a PricewaterhouseCoopers para desarrollar un marco que las administraciones pudieran usar fácilmente para evaluar y mejorar la gestión de riesgos empresariales de sus organizaciones. Los escándalos y fracasos comerciales de alto perfil (por ejemplo, Enron , Tyco International , Adelphia , Peregrine Systems y WorldCom ) impulsaron llamados a mejorar la gobernanza corporativa y la gestión de riesgos. Como resultado, se promulgó la Ley Sarbanes-Oxley . Esta ley extiende el requisito de larga data de que las empresas públicas mantengan sistemas de control interno, lo que requiere que la administración certifique y el auditor independiente certifique la efectividad de esos sistemas. El Control Interno - Marco Integrado continúa sirviendo como el estándar ampliamente aceptado [ cita requerida ] para cumplir con esos requisitos de informes; sin embargo, en 2004 COSO publicó "Gestión de Riesgo Empresarial - Marco Integrado". [6] COSO cree que este marco se expande en el control interno, proporcionando un enfoque más sólido y extenso para el tema más amplio de la gestión de riesgos empresariales.
Este marco de gestión de riesgos empresariales sigue teniendo como objetivo alcanzar los objetivos de una entidad; sin embargo, ahora incluye cuatro categorías:
Los ocho componentes de la gestión de riesgos empresariales abarcan los cinco componentes anteriores del Marco de Control Interno Integrado y, al mismo tiempo, amplían el modelo para satisfacer la creciente demanda de gestión de riesgos:
COSO admite en su informe que, aunque la gestión de riesgos empresariales aporta importantes beneficios, existen limitaciones. La gestión de riesgos empresariales depende del criterio humano y, por tanto, es susceptible de toma de decisiones. Los fallos humanos, como errores o equivocaciones simples, pueden dar lugar a respuestas inadecuadas al riesgo. Además, los controles pueden evitarse mediante la colusión de dos o más personas, y la dirección tiene la capacidad de anular las decisiones de gestión de riesgos empresariales. Estas limitaciones impiden que un consejo y una dirección tengan una seguridad absoluta respecto del logro de los objetivos de la entidad.
Filosóficamente, COSO está más orientado a los controles. Por lo tanto, tiene un sesgo hacia los riesgos que podrían tener un impacto negativo en lugar de los riesgos de perder oportunidades. Véase ISO 31000 .
Si bien COSO afirma que su modelo ampliado proporciona una mayor gestión de riesgos, las empresas no están obligadas a cambiar al nuevo modelo si utilizan el Marco de Control Interno Integrado.
Este documento contiene una guía para ayudar a las empresas públicas más pequeñas a aplicar los conceptos del Marco Integrado de Control Interno de 1992. Esta publicación muestra la aplicabilidad de estos conceptos para ayudar a las empresas públicas más pequeñas a diseñar e implementar controles internos para respaldar el logro de los objetivos de información financiera. Destaca 20 principios clave del marco de 1992, proporcionando un enfoque basado en principios para el control interno. Como se explica en la publicación, la guía de 2006 se aplica a entidades de todos los tamaños y tipos. [7]
Las empresas han invertido mucho en mejorar la calidad de sus controles internos; sin embargo, el COSO observó que muchas organizaciones no comprenden plenamente la importancia del componente de seguimiento del marco COSO y el papel que desempeña en la racionalización del proceso de evaluación. En enero de 2009, el COSO publicó su "Guía sobre el seguimiento de los sistemas de control interno" para aclarar el componente de seguimiento del control interno.
Con el tiempo, un seguimiento eficaz puede generar eficiencias organizacionales y reducir los costos asociados con la información pública sobre el control interno porque los problemas se identifican y se abordan de forma proactiva, en lugar de reactiva.
La Guía de seguimiento del COSO se basa en dos principios fundamentales establecidos originalmente en la Guía COSO de 2006:
La guía de seguimiento también sugiere que estos principios se logran mejor mediante un seguimiento basado en tres elementos generales:
Los auditores internos desempeñan un papel importante en la evaluación de la eficacia de los sistemas de control. Como función independiente que informa a la alta dirección, la auditoría interna puede evaluar los sistemas de control interno implementados por la organización y contribuir a su eficacia continua. Como tal, la auditoría interna a menudo desempeña un importante papel de "supervisión". Para preservar su independencia de criterio, la auditoría interna no debe asumir ninguna responsabilidad directa en el diseño, establecimiento o mantenimiento de los controles que se supone que debe evaluar. La auditoría interna sólo puede asesorar sobre posibles mejoras que se deban realizar.
Según la Sección 404 de la Ley Sarbanes-Oxley, la dirección y los auditores externos deben informar sobre la idoneidad del control interno de la empresa sobre la información financiera. La Junta de Supervisión Contable de Empresas Públicas , formada para supervisar la profesión de auditoría externa, publicó la Norma de Auditoría 2201 que exige que los auditores "utilicen el mismo marco de control apropiado y reconocido para realizar su auditoría de control interno sobre la información financiera que utiliza la dirección para su evaluación anual de la eficacia del control interno de la empresa sobre la información financiera". [8] La Sección 143 (3) (i) de la Ley de Sociedades de la India de 2013 también exige que los auditores legales comenten sobre el control interno sobre la información financiera.
{{cite web}}
: CS1 maint: copia archivada como título ( enlace )[ falta el título ]