Comité de Organizaciones Patrocinadoras de la Comisión Treadway

Comité de directrices empresariales

El Comité de Organizaciones Patrocinadoras de la Comisión Treadway ( COSO ) es una organización que desarrolla pautas para que las empresas evalúen los controles internos, la gestión de riesgos y la disuasión del fraude. En 1992 (y posteriormente reeditado en 2013), COSO publicó el Marco Integrado de Control Interno , comúnmente utilizado por las empresas en los Estados Unidos para diseñar, implementar y llevar a cabo sistemas de control interno sobre los informes financieros y evaluar su eficacia.

Historia

En 1985, COSO comenzó como una iniciativa del sector privado para investigar los factores causales que condujeron a la presentación de informes financieros fraudulentos como resultado de una serie de escándalos contables en los años 1970 y mediados de los años 1980. Esta iniciativa se denominó Comisión Nacional sobre Informes Financieros Fraudulentos; el primer presidente de la Comisión fue James C. Treadway, Jr., ex Comisionado de la Comisión de Bolsa y Valores de los Estados Unidos, y por lo tanto la iniciativa se denominó comúnmente "Comisión Treadway". La Comisión Treadway fue patrocinada conjuntamente por cinco importantes asociaciones profesionales con sede en los Estados Unidos:

• Instituto Americano de Contadores Públicos Certificados (AICPA)
• Ejecutivos Financieros Internacionales (FEI)
• Asociación Estadounidense de Contabilidad (AAA)
• Instituto de Auditores Internos (IIA)
• Instituto de Contadores de Gestión (IMA)

La COSO examinó por primera vez los informes financieros de octubre de 1985 a septiembre de 1987 y publicó el "Informe de la Comisión Nacional sobre Información Financiera Fraudulenta" ^[1] . El informe incluía observaciones sobre el alcance de los informes financieros fraudulentos, las causas fundamentales de dicho fraude, el papel de los contadores públicos independientes en la detección del fraude y las medidas que las empresas podían adoptar para prevenir la actividad fraudulenta.

Como una extensión del informe original y para cumplir con su misión de mejorar la información financiera, COSO preparó un conjunto de directrices para gestionar un sistema de controles internos sobre la información financiera. En 1992, COSO publicó "Control interno: marco integrado" ^[2] , que detallaba cinco componentes clave de un sistema de control interno eficaz, junto con herramientas para evaluar la eficacia de dicho sistema. En 2013, COSO volvió a publicar el Marco integrado, indicando que los cambios significativos en la tecnología y las tendencias empresariales globales aumentaron la necesidad de sistemas de control interno de calidad y proporcionó una mejor orientación para la aplicación de los principios generales. ^[3]

Como parte de los cambios de la Ley Sarbanes-Oxley de 2002, las empresas públicas en los Estados Unidos están obligadas a utilizar un sistema de controles internos para evaluar la eficacia de sus propios informes financieros e informar sobre los resultados de esa evaluación a sus inversores en sus estados financieros anuales. ^[4] El marco COSO es de uso común, dada su amplia aplicabilidad a todas las industrias y tamaños de empresas.

Control interno – marco integrado

Visualización del marco COSO

Conceptos clave del marco COSO

El marco COSO define el control interno como un proceso, llevado a cabo por el directorio, la administración y otro personal de una entidad, diseñado para proporcionar "seguridad razonable" con respecto al logro de los objetivos en las operaciones, la información financiera y el cumplimiento de las leyes y regulaciones aplicables.

El COSO organiza su marco en cinco componentes interrelacionados, subdivididos en 17 principios. El COSO señala que para que un sistema eficaz de control interno reduzca el riesgo de no alcanzar los objetivos de una entidad, (i) cada uno de los cinco componentes del control interno y los principios pertinentes están presentes y funcionando, y (ii) los cinco componentes operan juntos de manera integrada.

Entorno de control

El entorno de control marca el tono de una organización, influyendo en la conciencia de control de su gente. Es la base de todos los demás componentes del control interno, proporcionando disciplina y estructura. Los factores del entorno de control incluyen la integridad, los valores éticos, el estilo operativo de la administración, los sistemas de delegación de autoridad, así como los procesos para gestionar y desarrollar a las personas en la organización.

Evaluación de riesgos

Cada entidad enfrenta una variedad de riesgos de fuentes internas y externas que deben evaluarse. Un requisito previo para la evaluación de riesgos es el establecimiento de objetivos y, por lo tanto, la evaluación de riesgos es la identificación y el análisis de los riesgos relevantes para el logro de los objetivos asignados. La evaluación de riesgos es un requisito previo para determinar cómo se deben gestionar los riesgos. Los cuatro principios subyacentes relacionados con la evaluación de riesgos son que la organización debe tener objetivos claros para poder identificar y evaluar los riesgos relacionados con esos objetivos; debe determinar cómo se deben gestionar los riesgos; debe considerar el potencial de comportamiento fraudulento; y debe monitorear los cambios que podrían afectar los controles internos.

Actividades de control

Las actividades de control son las políticas y procedimientos que ayudan a garantizar que las directivas de la dirección se lleven a cabo. Ayudan a garantizar que se tomen las medidas necesarias para abordar los riesgos que puedan obstaculizar el logro de los objetivos de la entidad. Las actividades de control se producen en toda la organización, en todos los niveles y en todas las funciones. Incluyen una gama de actividades tan diversas como aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones del rendimiento operativo, seguridad de los activos y segregación de funciones .

Información y comunicación

Los sistemas de información desempeñan un papel fundamental en los sistemas de control interno, ya que generan informes, incluidos los relacionados con la información operativa, financiera y de cumplimiento normativo, que hacen posible el funcionamiento y el control de la empresa. En un sentido más amplio, la comunicación eficaz debe garantizar que la información fluya hacia abajo, hacia arriba y hacia abajo en la organización. Un ejemplo son los procedimientos formalizados para que las personas denuncien sospechas de fraude. También debe garantizarse una comunicación eficaz con partes externas, como clientes, proveedores, reguladores y accionistas, sobre posiciones políticas relacionadas.

Escucha

Los sistemas de control interno deben ser monitoreados, un proceso que evalúa la calidad del desempeño del sistema a lo largo del tiempo. Esto se logra mediante actividades de monitoreo continuo o evaluaciones separadas. Las deficiencias de control interno detectadas mediante estas actividades de monitoreo deben ser reportadas en forma anticipada y deben tomarse medidas correctivas para asegurar la mejora continua del sistema.

Limitaciones

El control interno implica la acción humana, lo que introduce la posibilidad de errores en el proceso o el juicio. El control interno también puede ser anulado por la colusión entre empleados (véase separación de funciones ) o por la coerción de la alta dirección.

La revista CFO informó que las empresas están teniendo dificultades para aplicar el complejo modelo proporcionado por COSO. "Uno de los mayores problemas: limitar las auditorías internas a uno de los tres objetivos clave del marco. En el modelo COSO, estos objetivos se aplican a cinco componentes clave (entorno de control, evaluación de riesgos, actividades de control, información y comunicación, y monitoreo "Dado el número de matrices posibles, no es sorprendente que el número de auditorías pueda salirse de control". ^[5] La revista CFO continuó afirmando que muchas organizaciones están creando su propia matriz de riesgo y control tomando el modelo COSO y modificándolo para centrarse en los componentes que se relacionan directamente con la Sección 404 de la Ley Sarbanes-Oxley.

Gestión de riesgos empresariales

En 2001, COSO inició un proyecto y contrató a PricewaterhouseCoopers para desarrollar un marco que las administraciones pudieran usar fácilmente para evaluar y mejorar la gestión de riesgos empresariales de sus organizaciones. Los escándalos y fracasos comerciales de alto perfil (por ejemplo, Enron , Tyco International , Adelphia , Peregrine Systems y WorldCom ) impulsaron llamados a mejorar la gobernanza corporativa y la gestión de riesgos. Como resultado, se promulgó la Ley Sarbanes-Oxley . Esta ley extiende el requisito de larga data de que las empresas públicas mantengan sistemas de control interno, lo que requiere que la administración certifique y el auditor independiente certifique la efectividad de esos sistemas. El Control Interno - Marco Integrado continúa sirviendo como el estándar ampliamente aceptado ^{[ cita requerida ]} para cumplir con esos requisitos de informes; sin embargo, en 2004 COSO publicó "Gestión de Riesgo Empresarial - Marco Integrado". ^[6] COSO cree que este marco se expande en el control interno, proporcionando un enfoque más sólido y extenso para el tema más amplio de la gestión de riesgos empresariales.

Cuatro categorías de objetivos empresariales

Este marco de gestión de riesgos empresariales sigue teniendo como objetivo alcanzar los objetivos de una entidad; sin embargo, ahora incluye cuatro categorías:

• Estratégico: objetivos de alto nivel, alineación de políticas y apoyo a su misión.
• Operaciones: uso efectivo y eficiente de los recursos.
• Informes: fiabilidad de los informes
• Cumplimiento: cumplimiento de las leyes y regulaciones aplicables

Ocho componentes del marco

Los ocho componentes de la gestión de riesgos empresariales abarcan los cinco componentes anteriores del Marco de Control Interno Integrado y, al mismo tiempo, amplían el modelo para satisfacer la creciente demanda de gestión de riesgos:

• 'Entorno interno': El entorno interno abarca el tono de una organización y establece la base de cómo las personas de una entidad ven y abordan el riesgo, incluida la filosofía de gestión del riesgo y el apetito por el riesgo, la integridad y los valores éticos, y el entorno en el que operan.
• 'Establecer objetivos': Los objetivos deben existir antes de que la dirección pueda identificar eventos potenciales que afecten su consecución. La gestión de riesgos empresariales garantiza que la dirección haya implementado un proceso para establecer objetivos y que los objetivos elegidos respalden y se alineen con la misión de la entidad y sean coherentes con su tolerancia al riesgo.
• 'Identificación de eventos': Se deben identificar los eventos internos y externos que afectan el logro de los objetivos de una entidad, distinguiendo entre riesgos y oportunidades. Las oportunidades se reencauzan hacia la estrategia de gestión o hacia los procesos de establecimiento de metas.
• 'Evaluación de riesgos': Se analizan los riesgos, considerando la probabilidad y el impacto, como base para determinar cómo deben gestionarse. Los riesgos se evalúan de forma inherente y residual.
• 'Respuesta al riesgo:' La dirección selecciona las respuestas al riesgo, evitándolo, aceptándolo, reduciéndolo o compartiéndolo, desarrollando un conjunto de acciones para alinear los riesgos con el apetito de riesgo de la entidad.
• 'Actividades de control': Se establecen e implementan políticas y procedimientos para ayudar a garantizar que las respuestas al riesgo se lleven a cabo de manera eficaz.
• 'Información y comunicación': La información relevante se identifica, se captura y se comunica de una manera y en un plazo que permita a las personas cumplir con sus responsabilidades. La comunicación eficaz también se produce en un sentido más amplio, fluyendo hacia abajo, a través y hacia arriba de la entidad.
• 'Seguimiento': Se realiza un seguimiento de toda la gestión de riesgos empresariales y se realizan modificaciones según sea necesario. El seguimiento se logra mediante actividades de gestión continuas, evaluaciones independientes o ambas.

Limitaciones

COSO admite en su informe que, aunque la gestión de riesgos empresariales aporta importantes beneficios, existen limitaciones. La gestión de riesgos empresariales depende del criterio humano y, por tanto, es susceptible de toma de decisiones. Los fallos humanos, como errores o equivocaciones simples, pueden dar lugar a respuestas inadecuadas al riesgo. Además, los controles pueden evitarse mediante la colusión de dos o más personas, y la dirección tiene la capacidad de anular las decisiones de gestión de riesgos empresariales. Estas limitaciones impiden que un consejo y una dirección tengan una seguridad absoluta respecto del logro de los objetivos de la entidad.

Filosóficamente, COSO está más orientado a los controles. Por lo tanto, tiene un sesgo hacia los riesgos que podrían tener un impacto negativo en lugar de los riesgos de perder oportunidades. Véase ISO 31000 .

Si bien COSO afirma que su modelo ampliado proporciona una mayor gestión de riesgos, las empresas no están obligadas a cambiar al nuevo modelo si utilizan el Marco de Control Interno Integrado.

Control interno de la información financiera: guía para pequeñas empresas públicas

Este documento contiene una guía para ayudar a las empresas públicas más pequeñas a aplicar los conceptos del Marco Integrado de Control Interno de 1992. Esta publicación muestra la aplicabilidad de estos conceptos para ayudar a las empresas públicas más pequeñas a diseñar e implementar controles internos para respaldar el logro de los objetivos de información financiera. Destaca 20 principios clave del marco de 1992, proporcionando un enfoque basado en principios para el control interno. Como se explica en la publicación, la guía de 2006 se aplica a entidades de todos los tamaños y tipos. ^[7]

Orientación sobre el seguimiento de los sistemas de control interno

Las empresas han invertido mucho en mejorar la calidad de sus controles internos; sin embargo, el COSO observó que muchas organizaciones no comprenden plenamente la importancia del componente de seguimiento del marco COSO y el papel que desempeña en la racionalización del proceso de evaluación. En enero de 2009, el COSO publicó su "Guía sobre el seguimiento de los sistemas de control interno" para aclarar el componente de seguimiento del control interno.

Con el tiempo, un seguimiento eficaz puede generar eficiencias organizacionales y reducir los costos asociados con la información pública sobre el control interno porque los problemas se identifican y se abordan de forma proactiva, en lugar de reactiva.

La Guía de seguimiento del COSO se basa en dos principios fundamentales establecidos originalmente en la Guía COSO de 2006:

• Las evaluaciones continuas y/o separadas permiten a la administración determinar si los demás componentes del control interno continúan funcionando a lo largo del tiempo, y
• Las deficiencias del control interno se identifican y se comunican oportunamente a las partes responsables de tomar medidas correctivas y a la administración y al directorio, según corresponda.

La guía de seguimiento también sugiere que estos principios se logran mejor mediante un seguimiento basado en tres elementos generales:

• Establecer una base para el seguimiento, que incluya (a) un tono superior apropiado ; (b) una estructura organizativa eficaz que asigne funciones de seguimiento a personas con capacidades, objetividad y autoridad apropiadas; y (c) un punto de partida o "línea de base" de control interno eficaz conocido a partir del cual se pueda implementar un seguimiento continuo y evaluaciones separadas;
• Diseñar y ejecutar procedimientos de monitoreo enfocados a “información persuasiva” sobre el funcionamiento de “controles clave” que aborden “riesgos significativos” para los objetivos organizacionales;
• Evaluar e informar los resultados, incluida la evaluación de la gravedad de cualquier deficiencia identificada y la notificación de los resultados del monitoreo al personal apropiado y a la junta para que se tomen las medidas oportunas y se haga un seguimiento si es necesario.

El papel de la auditoría interna

Los auditores internos desempeñan un papel importante en la evaluación de la eficacia de los sistemas de control. Como función independiente que informa a la alta dirección, la auditoría interna puede evaluar los sistemas de control interno implementados por la organización y contribuir a su eficacia continua. Como tal, la auditoría interna a menudo desempeña un importante papel de "supervisión". Para preservar su independencia de criterio, la auditoría interna no debe asumir ninguna responsabilidad directa en el diseño, establecimiento o mantenimiento de los controles que se supone que debe evaluar. La auditoría interna sólo puede asesorar sobre posibles mejoras que se deban realizar.

Papel de la auditoría externa

Según la Sección 404 de la Ley Sarbanes-Oxley, la dirección y los auditores externos deben informar sobre la idoneidad del control interno de la empresa sobre la información financiera. La Junta de Supervisión Contable de Empresas Públicas , formada para supervisar la profesión de auditoría externa, publicó la Norma de Auditoría 2201 que exige que los auditores "utilicen el mismo marco de control apropiado y reconocido para realizar su auditoría de control interno sobre la información financiera que utiliza la dirección para su evaluación anual de la eficacia del control interno de la empresa sobre la información financiera". ^[8] La Sección 143 (3) (i) de la Ley de Sociedades de la India de 2013 también exige que los auditores legales comenten sobre el control interno sobre la información financiera.

Véase también

• Maiden Lane II LLC

Referencias

1. "Informe de la Comisión Nacional sobre Información Financiera Fraudulenta". Docslib . Archivado desde el original el 2022-10-12 . Consultado el 2022-10-12 .
2. "Control interno – Marco integrado". Archivado desde el original el 28 de febrero de 2009. Consultado el 21 de abril de 2009 .
3. "Preguntas frecuentes de COSO de mayo de 2013" (PDF) . COSO.org . Archivado (PDF) del original el 12 de octubre de 2022 . Consultado el 12 de octubre de 2022 .
4. "Norma final: Informe de la administración sobre el control interno de los informes financieros y la certificación de la divulgación en los informes periódicos de la Ley de Bolsa; Rel. No. 33-8238". www.sec.gov . Archivado desde el original el 2019-08-10 . Consultado el 2022-10-12 .
5. "CFO: Finanzas corporativas para el liderazgo ejecutivo". CFO . Archivado desde el original el 14 de junio de 2011 . Consultado el 23 de marzo de 2011 .
6. "Gestión de riesgos empresariales: marco integrado" Archivado el 3 de noviembre de 2016 en Wayback Machine , consultado el 23 de marzo de 2011.
7. "Copia archivada". www.coso.org . Archivado desde el original el 21 de noviembre de 2016 . Consultado el 28 de diciembre de 2012 .{{cite web}}: CS1 maint: copia archivada como título ( enlace )^{[ falta el título ]}
8. "PCAOB Rulemaking Docket Matter No. 021" (PDF) . Archivado desde el original (PDF) el 2007-10-07 . Consultado el 2009-04-21 ., (AS No. 5.5), recuperado el 23 de marzo de 2011.

Enlaces externos

• Sitio web oficial
• www.cpa2biz.com/COSOEvalTools, plantilla de evaluación COSO.