COSO, un mecanismo para control interno de las empresas

Una iniciativa para combatir el fraude empresarial.

El Comité de Organizaciones Patrocinadoras de la Comisión Treadway, COSO (por sus siglas en inglés) es una iniciativa para combatir el fraude empresarial; establecido en Estados Unidos por cinco organizaciones del sector privado, dedicadas a orientar a la gerencia ejecutiva y entidades gubernamentales en aspectos de gobierno organizacional, ética empresarial, control interno, gestión de riesgos empresariales, fraude e informes financieros.


Ha establecido un modelo de control interno con el que empresas y organizaciones pueden evaluar sus sistemas de control. Cuenta con el apoyo de cinco organizaciones: Instituto Estadounidense de Contadores Públicos Certificados (AICPA), Asociación Estadounidense de Contabilidad (AAA), Ejecutivos Financieros Internacionales (FEI),Instituto de Auditores Internos (IIA) e Instituto de Contadores de Gestión (IMA).


Conceptos clave del marco COSO


  • El control interno es un "proceso". Es un medio para un fin, no un fin en sí mismo.

  • El control interno lo llevan a cabo "personas". No se trata de políticas, manuales y formularios, sino de personas en todos los niveles de una organización.

  • Se puede esperar que el control interno proporcione sólo "seguridad razonable", no seguridad absoluta, a la administración y directorio de una entidad.

  • El control interno tiene como objetivo lograr "objetivos" en una o más categorías separadas pero superpuestas.


Cinco componentes del marco


El marco de control interno de COSO consta de cinco componentes interrelacionados derivados de la forma en que la administración gestiona un negocio:


1. Entorno de control: Establece el tono de una organización, influyendo en la conciencia de control de su gente. Es la base de todos los demás componentes del control interno, proporcionando disciplina y estructura. Incluye integridad, valores éticos, estilo operativo de administración, sistemas de delegación de autoridad, así como procesos de gestión y desarrollo de las personas en la organización.


2. Evaluación de riesgos: Cada entidad enfrenta una variedad de riesgos de fuentes externas e internas que deben evaluarse. Un requisito previo para la evaluación de riesgos es el establecimiento de objetivos.


3. Actividades de control: Son las políticas y procedimientos que ayudan a garantizar que se lleven a cabo las directivas de gestión. Ayudan a asegurar que se tomen las medidas para hacer frente a los riesgos que puedan obstaculizar la consecución de los objetivos de la entidad.


4. Información y comunicación: Los sistemas de información producen informes, incluida información operativa, financiera y relacionada con el cumplimiento, que hacen posible la operación y el control del negocio. La comunicación eficaz debe garantizar que la información fluya hacia abajo, a través y hacia arriba de la organización. También debe garantizar la comunicación efectiva con externos: clientes, proveedores, reguladores y accionistas.


5. Monitoreo : Los sistemas de control interno deben ser monitoreados, esto se logra mediante actividades de seguimiento continuo o evaluaciones independientes. Las deficiencias de control interno detectadas deben informarse en sentido ascendente y tomarse medidas correctivas para garantizar la mejora continua del sistema.


Limitaciones


El control interno involucra la acción humana, lo que introduce la posibilidad de errores en el procesamiento o juicio. El control interno también puede ser anulado por la colusión entre los empleados o la coacción por parte de la alta dirección.


Uno de los mayores problemas: limitar las auditorías internas a uno de los tres objetivos clave del marco. Estos objetivos se aplican a cinco componentes (entorno de control, evaluación de riesgos, actividades de control, información y comunicación, y seguimiento) Dada la cantidad de matrices posibles, no es sorprendente que las auditorías puedan salirse de control.


Categorías de objetivos comerciales


Este marco de gestión de riesgos comerciales tiene como objetivo lograr los objetivos de una entidad; incluye cuatro categorías:


1. Estratégico: objetivos de alto nivel, alineación de políticas y apoyo a su misión.

2. Operaciones: uso eficaz y eficiente de sus recursos.

3. Informes: fiabilidad de los informes

4. Cumplimiento: cumplimiento de las leyes y regulaciones aplicables


Ocho componentes del marco


Los ocho componentes de la gestión de riesgos empresariales abarcan los cinco componentes anteriores del Marco de Control Interno Integrado al tiempo que amplían el modelo para satisfacer la creciente demanda de gestión de riesgos:


1. Entorno interno: El entorno interno abarca el tono de una organización y establece la base de cómo las personas de una entidad ven y abordan el riesgo, incluida la filosofía de gestión del riesgo y el apetito por el riesgo, la integridad y los valores éticos, y el entorno en que operan.

2. Establecimiento de objetivos: Los objetivos deben existir antes de que la gerencia pueda identificar eventos potenciales que afectan su logro. La gestión del riesgo empresarial asegura que la dirección ha implementado un proceso para establecer objetivos y que los objetivos elegidos apoyan y se alinean con la misión de la entidad y son consistentes con su apetito por el riesgo.

3. Identificación de eventos: Se deben identificar los eventos internos y externos que afectan el logro de los objetivos de una entidad, distinguiendo entre riesgos y oportunidades. Las oportunidades se vuelven a canalizar hacia la estrategia de gestión o los procesos de establecimiento de objetivos.

4. Evaluación de riesgos: Los riesgos se analizan, considerando la probabilidad y el impacto, como base para determinar cómo deben ser gestionados. Los riesgos se evalúan de forma inherente y residual.

5. Respuesta al riesgo: La administración selecciona las respuestas al riesgo, evitando, aceptando, reduciendo o compartiendo el riesgo, desarrollando un conjunto de acciones para alinear los riesgos con el apetito por el riesgo y el apetito por el riesgo de la entidad.

6. Actividades de control: Se establecen e implementan políticas y procedimientos para ayudar a garantizar que las respuestas a los riesgos se lleven a cabo de manera eficaz.

7. Información y comunicación: La información relevante se identifica, captura y comunica de una manera y un marco de tiempo que permite a las personas cumplir con sus responsabilidades. La comunicación efectiva también ocurre en un sentido más amplio, fluyendo hacia abajo, a través y hacia arriba de la entidad.

8. Monitoreo: Se monitorea toda la gestión de riesgos comerciales y se realizan las modificaciones necesarias. El seguimiento se logra mediante actividades de gestión en curso, evaluaciones independientes o ambas.


Limitaciones


La gestión de riesgos empresariales depende del juicio humano y, por tanto, es susceptible de toma de decisiones. Las fallas humanas pueden dar lugar a respuestas de riesgo inadecuadas. Además, los controles pueden evitarse mediante la conveniencia de dos o más personas, y la administración tiene la capacidad de anular las decisiones de administración de riesgos comerciales.


Filosóficamente, COSO está más orientado a los controles. Por lo tanto, tiene un sesgo hacia los riesgos que podrían tener un impacto negativo.


Orientación sobre el seguimiento de los sistemas de control interno


Las empresas han realizado grandes inversiones para mejorar la calidad de sus controles internos; con el tiempo, el monitoreo efectivo puede conducir a eficiencias organizacionales y costos reducidos asociados con la información pública sobre el control interno porque los problemas se identifican y abordan de manera proactiva, en lugar de reactiva.


Las deficiencias de control interno se identifican y comunican de manera oportuna a las partes responsables de tomar las medidas correctivas y a la administración y al directorio, según corresponda.


Papel de la auditoría interna


Los auditores internos juegan un papel importante en la evaluación de la efectividad de los sistemas de control. Como función independiente que informa a la alta dirección, puede evaluar los sistemas de control interno implementados por la organización y contribuir a la eficacia continua.


Papel de la auditoría externa


La gerencia y los auditores externos deben informar sobre la idoneidad del control interno de la empresa sobre la información financiera.

0 comentarios

Entradas Recientes

Ver todo