Por J. Stephen McNally, CPA
Muchos profesionales de la contabilidad y las finanzas «descubrieron» por primera vez el marco de controles internos del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) hace unos diez años, con la aprobación de la Ley Sarbanes-Oxley de 2002 (SOX).
Según el artículo 404 de la SOX, los «declarantes acelerados» que cotizan en bolsa deben atestiguar que disponen de un sistema eficaz de control interno sobre la presentación de informes financieros externos. Dado que la Comisión de Valores y Bolsa (SEC) ha permitido a esos declarantes utilizar el COSO para hacer esta evaluación, el marco ha recibido una atención considerable desde entonces. Aun así, el Marco Integrado de Control Interno (ICIF) del COSO se publicó en 1992.
Mucho ha cambiado en veinte años, por lo que el COSO espera publicar una actualización de la ICIF a principios de 2013. La junta del COSO cree que los principios incorporados en la ICIF original de 1992 son intemporales, por lo que un marco actualizado ayudará a las organizaciones a aplicar más eficazmente el control interno sobre las operaciones, la presentación de informes y el cumplimiento.
Este artículo ofrece una visión general del COSO y su marco e incluye una perspectiva de cómo ha sido aprovechado por las empresas, como mi empleador, Campbell Soup. Y lo que es más importante, proporciona una visión del reciente proyecto de actualización de COSO, incluyendo los principales impulsores de la iniciativa, los aspectos más destacados de los cambios propuestos al marco original, los beneficios previstos y las ideas sobre la aplicación.
El marco de 1992
El COSO es una iniciativa conjunta de cinco organizaciones del sector privado: la Asociación Americana de Contabilidad (AAA), el Instituto Americano de Contadores Públicos Certificados (AICPA), la Internacional de Ejecutivos Financieros (FEI), el Instituto de Auditores Internos (IIA) y el Instituto de Contadores Administrativos (IMA). En respuesta al Informe de la Comisión Treadway de 1987, el COSO desarrolló y publicó su ICIF en 1992. El tema principal en ese momento fue el comportamiento fraudulento y la falta de controles en la industria de ahorros y préstamos.
El COSO define el control interno como «un proceso, efectuado por la junta directiva de una entidad, la dirección y otro personal, diseñado para proporcionar una garantía razonable en cuanto al logro de los objetivos». El marco del COSO designa tres conjuntos de objetivos comerciales: operaciones, informes y cumplimiento. Una organización se apoya en sus esfuerzos por lograr esos objetivos en cinco componentes del control interno: entorno de control, evaluación de riesgos, actividades de control, información y comunicación, y vigilancia. El marco COSO es también adaptable â?» desde el nivel de entidad hasta el nivel de división, subsidiaria, unidad operativa o funcional. (Véase el gráfico del «Cubo COSO» más arriba.)
Apalancando el COSO
El marco de 1992 es el más utilizado de su tipo en los Estados Unidos y se utiliza comúnmente en todo el mundo, pero inicialmente se reconoció de forma restringida en los círculos de contabilidad técnica y auditoría. La amplia sensibilización y adopción no se produjo hasta principios del decenio de 2000, cuando Enron, WorldCom y otras debacles financieras impulsaron a los organismos reguladores a abordar el impacto de los débiles controles internos en las quiebras de empresas. El resultado fue el SOX.
En virtud de su artículo 404, la dirección de las empresas públicas debe ahora seleccionar un marco de control interno y evaluar e informar anualmente sobre el diseño y la eficacia de los controles internos.
La SEC estableció cuatro criterios para los marcos aceptables: deben (1) estar libres de sesgo, (2) permitir mediciones cualitativas y cuantitativas razonablemente consistentes del control interno, (3) ser suficientemente completos para que no se omitan aquellos factores relevantes que alterarían una conclusión sobre la efectividad del control interno de una compañía, y (4) ser relevantes para una evaluación del control interno sobre los informes financieros, respectivamente. Desde entonces, la mayoría de las empresas han adoptado el marco del COSO para cumplir sus obligaciones en virtud del artículo 404.
Como miembro del equipo original de Campbell Soup de la SOX Global, jugué un papel clave en la definición de la metodología y el enfoque de Campbell para asegurar el cumplimiento de los requisitos de la SOX. Para empezar, entrenamos a más de 300 asociados multifuncionales de Campbell a nivel mundial. Luego, creamos equipos SOX subsidiarios y funcionales, y luego hicimos que esos equipos comenzaran a documentar el diseño de los controles internos de Campbell por ubicación y proceso de negocios. Después de la fase de documentación, cada equipo probó cada uno de sus controles y remedió las deficiencias identificadas según se necesitaban.
Históricamente, la Sopa Campbell ha abrazado consistentemente la importancia de un fuerte ambiente de control interno. Por lo tanto, el principal desafío del Equipo Global SOX fue asegurar que cada equipo documentara y probara efectivamente los controles que ya tenía en su lugar.
Un aspecto del esfuerzo de cumplimiento fue un poco más desafiante. Específicamente, la SOX requiere que la gerencia seleccione un marco de control interno general y que evalúe el diseño y la efectividad de todos los componentes del marco, no sólo el componente de las actividades de control. Para desarrollar nuestra metodología y enfoque relacionados con el marco general, recurrimos al marco de COSO, revisamos la SOX y obtuvimos información a través de consultores de contabilidad pública. Completamos con éxito nuestra evaluación completa de los controles de la compañía de Campbell en el momento oportuno, pero tuvimos que tamizar a través de resmas de orientación para encontrar los núcleos de la perspicacia aplicable. La orientación disponible, además, a menudo tenía un sesgo centrado en la auditoría en lugar de un enfoque de gestión más práctico.
Conductores detrás del Proyecto de Refresco de la ICIF
Desde que el COSO publicó su ICIF en 1992, las expectativas de las partes interesadas han evolucionado y se han producido cambios significativos en el entorno empresarial. Algunos ejemplos son las expectativas en materia de gobernanza y supervisión, la globalización de los mercados y las operaciones, los cambios en los modelos comerciales, las exigencias y la complejidad de los reglamentos y normas, las expectativas en materia de competencia y rendición de cuentas, la utilización y la dependencia de la tecnología en evolución, y las expectativas en materia de detección y prevención del fraude.
También se han aprendido lecciones en los últimos veinte años en la aplicación del marco original. El marco original incluía un largo debate sobre los conceptos de control interno que se han convertido en conocimiento institucional. Además, aunque designaba tres categorías de objetivos comerciales, la atención principal se ha centrado en el objetivo de la presentación de informes. De hecho, el enfoque se ha limitado a menudo, específicamente a la presentación de informes financieros externos frente a los informes no financieros externos y/o los informes internos. Aunque el concepto de los principios de control interno y los atributos de apoyo se incorporó en el marco original, quedó oculto en los detalles. Así pues, la racionalización del marco original, la codificación de los principios y atributos subyacentes y el aumento de la atención prestada a las operaciones, el cumplimiento y los objetivos de la presentación de informes financieros no externos fueron otros factores que impulsaron la iniciativa de actualización.
Cambios propuestos
Sigue habiendo consenso en que el control interno es un proceso efectuado por personas, diseñado para proporcionar una garantía «razonable» frente a «perfecta», y eficaz para lograr los objetivos operacionales, de presentación de informes y de cumplimiento de una entidad. Por lo tanto, la definición de control interno del COSO, los componentes del control interno, los criterios para evaluar la efectividad del control interno y la necesidad de usar el juicio no están cambiando.
Por lo tanto, el objetivo principal del proyecto de actualización no es reescribir el marco de 1992. Más bien, el COSO quiere actualizarlo y refrescarlo, haciéndolo más útil y relevante para el entorno empresarial actual. Sobre la base de una encuesta realizada a más de 700 interesados del COSO cuando se inició el proyecto, alrededor del 85% de los encuestados optaron por una actualización en lugar de una revisión importante del marco existente.
El primer esfuerzo es codificar los criterios que pueden utilizarse para desarrollar sistemas de control interno y evaluar el diseño y la eficacia de un sistema específico de control interno. La clave de esta codificación son los diecisiete principios que los usuarios pueden aplicar utilizando su criterio, y cada principio se aclara con uno o más atributos de apoyo. Estos principios y atributos, que fueron incorporados en el marco original del COSO, tienen aplicación universal.
El segundo objetivo del COSO es ampliar la orientación sobre la presentación de informes internos y no financieros para apoyar las crecientes demandas de información sobre los objetivos operacionales, de cumplimiento y no financieros. El COSO siempre había tenido la intención de que su marco se utilizara en las tres categorías de objetivos operacionales, pero la versión actualizada trata de subrayar este punto mediante un debate más sólido y ejemplos desde una perspectiva de información financiera no externa, como la conformidad con la norma ISO 9001.
Como reflejo de los cambios en el entorno empresarial, el tercer objetivo es hacer actualizaciones del marco original que mejoren y aclaren su aplicación en el entorno empresarial y de riesgo actual. El componente del entorno de control, por ejemplo, aborda las mayores expectativas reglamentarias y de los interesados en cuanto a la supervisión de la gobernanza. Otros componentes reflejan los efectos de la globalización; el aumento de la utilización y la dependencia de la tecnología en evolución; las mayores expectativas en cuanto a la detección y prevención del fraude; y las nuevas exigencias y la complejidad de las reglas, reglamentaciones y normas. En conjunto, el marco actualizado será mucho más sólido.
El COSO cree que las mejoras del marco original darán lugar en última instancia a un enfoque más flexible, fiable y rentable para diseñar y evaluar los sistemas de control interno.
Codificación de los Principios de Control Interno
Como se ha señalado anteriormente, un cambio clave en la actualización es la codificación de diecisiete principios que se habían incorporado al marco original. Esos principios, por componente de control interno, están redactados provisionalmente de la siguiente manera:
Entorno de control
- La organización demuestra un compromiso con la integridad y los valores éticos.
- El consejo de administración demuestra independencia de gestión y ejerce una supervisión del desarrollo y el desempeño del control interno.
- La administración establece, con la supervisión de la junta, las estructuras, las líneas de reporte, y las autoridades y responsabilidades apropiadas en la búsqueda de los objetivos.
- La organización demuestra un compromiso para atraer, desarrollar y retener a personas competentes en consonancia con los objetivos.
- La organización responsabiliza a las personas de sus responsabilidades de control interno en la consecución de los objetivos.
Evaluación del riesgo
- La organización especifica los objetivos con suficiente claridad para permitir la identificación y evaluación de los riesgos relacionados con los objetivos.
- La organización identifica los riesgos para el logro de sus objetivos en toda la entidad y los analiza como base para determinar cómo deben gestionarse.
- La organización considera el potencial de fraude al evaluar los riesgos para el logro de los objetivos.
- La organización identifica y evalúa los cambios que podrían afectar significativamente al sistema de control interno.
Actividades de control
- La organización selecciona y desarrolla actividades de control que contribuyen a la mitigación de los riesgos para el logro de los objetivos a niveles aceptables.
- La organización selecciona y desarrolla actividades de control general sobre la tecnología para apoyar el logro de los objetivos.
- La organización despliega actividades de control mediante políticas que establecen lo que se espera y mediante procedimientos pertinentes que dan lugar a esas políticas.
Información y comunicación
- La organización obtiene, o genera, y utiliza información pertinente de calidad para apoyar el funcionamiento de otros componentes de control interno.
- La organización comunica internamente la información -incluidos los objetivos y las responsabilidades del control interno- necesaria para apoyar el funcionamiento de otros componentes del control interno.
- La organización se comunica con partes externas en relación con cuestiones que afectan al funcionamiento de otros componentes de la fiscalización interna.
Actividades de vigilancia
- La organización selecciona, desarrolla y realiza evaluaciones continuas y/o separadas para determinar si los componentes de control interno están presentes y funcionan.
- La organización evalúa las deficiencias de control interno y las comunica oportunamente a las partes encargadas de adoptar medidas correctivas, incluidos el personal directivo superior y la junta directiva, según proceda.
La Proposición de Valor
La utilización del marco de control interno actualizado del COSO beneficiará a múltiples interesados, incluidos la administración y las juntas directivas; a partes externas, como los principales proveedores, clientes y otros asociados comerciales; y a otros usuarios, como los auditores independientes, los organismos reguladores, los analistas financieros y los medios de comunicación.
El COSO espera que el marco actualizado ofrezca una serie de beneficios, entre los que se incluyen los siguientes:
- Mejora de la gobernanza
- Uso ampliado más allá de la presentación de informes financieros
- Mejora de la calidad de la evaluación de riesgos
- Fortalecimiento de la lucha contra el fraude
- Capacidad de adaptar los controles a las necesidades cambiantes de las empresas
- Mayor aplicabilidad para varios modelos de negocio
El marco actualizado apoyará mejor los esfuerzos por diseñar y adaptar los sistemas de control interno ofreciendo agilidad, confianza y claridad; concretamente, la agilidad para adaptarse a la creciente complejidad, la confianza para mitigar los riesgos a fin de lograr objetivos importantes, y la claridad para proporcionar información fiable en apoyo de una sólida toma de decisiones. La orientación revisada sobre el control interno se aplica y puede beneficiar a organizaciones de cualquier tamaño, cualquier estructura jurídica, en cualquier lugar del mundo.
El Marco 2012 y SOX
La junta del COSO tiene la intención de que la ICIF actualizada siga siendo coherente con los criterios de idoneidad de la SEC, y espera plenamente que sea un marco aceptado para que la administración y los auditores independientes lo utilicen para cumplir los requisitos de la SOX. Para una compañía como Campbell Soup, que ha estado aprovechando eficazmente el marco de trabajo de COSO de 1992 para cumplir los requisitos de cumplimiento de la SOX, la versión actualizada debería crear poco o ningún trabajo adicional. Dado que el marco actualizado representa una evolución del original, pero sigue siendo coherente con él, no debería imponer un mayor nivel de control. De hecho, al codificar los principios y atributos incorporados en el original, el marco actualizado debería aclarar cómo aplicarlo con mayor éxito en el diseño, la aplicación, el funcionamiento y la evaluación de la eficacia de un sistema de control interno.
En el caso de algunas organizaciones, la mayor atención prestada a los principios puede poner de relieve esferas que antes no abordaban adecuadamente, lo que las lleva a fortalecer algunos componentes de la fiscalización interna. Asimismo, para alinearse con el marco actualizado del COSO, algunas empresas pueden necesitar actualizar su documentación o probar la eficacia del diseño y la operación de su sistema general de control interno.
En cuanto al calendario de aplicación, la junta del COSO está deliberando sobre el plan de transición apropiado y se espera que haga una recomendación basada en las observaciones recibidas durante el período de exposición pública. La junta del COSO prevé que los organismos reguladores proporcionarán orientación sobre la transición y la aplicación después de la publicación del proyecto final del marco actualizado.
Control interno de los informes financieros externos
Como ya se ha mencionado, el marco actualizado amplía el objetivo del marco original en materia de presentación de informes financieros para que represente más ampliamente la presentación de informes en general, reconociendo la existencia de informes externos no financieros, así como de informes financieros y no financieros internos. Algunos han expresado la preocupación de que el énfasis en la presentación de informes financieros que prevalecía en el marco original pudiera perderse o diluirse en la versión actualizada, lo que afectaría negativamente a la presentación de informes reglamentarios.
La junta del COSO tiene la intención de emitir un documento complementario al ICIF general, actualmente titulado Control interno de los enfoques y ejemplos de los informes financieros externos (ICEFR). Este documento complementario proporcionará ejemplos ilustrativos de la aplicación de los principios del marco actualizado a los informes financieros externos. Estos ejemplos prácticos deberían ayudar a la administración a diseñar y aplicar controles internos sobre esta subcategoría del objetivo general de presentación de informes. Sin embargo, el documento del ICEFR no sustituirá, reemplazará o modificará la orientación del marco actualizado.
Al abordar los cambios que se han producido en el entorno empresarial y las nuevas expectativas del mercado, la ICIF actualizada del COSO debería ayudar a la mayoría de las organizaciones a poner en práctica con mayor eficacia los controles internos de las operaciones, la presentación de informes y el cumplimiento. Todas las organizaciones encargadas de aplicar el criterio en la gestión del riesgo y en la mejora del rendimiento en un entorno cada vez más complejo y rápidamente cambiante deberían beneficiarse de la ICIF actualizada del COSO.
La ICIF actualizada del COSO estuvo disponible para la exposición pública y los comentarios desde mediados de diciembre de 2011 hasta marzo de 2012. La junta del COSO espera publicar formalmente el marco actualizado a principios de 2013.
Artículos relacionados:
- Comentarios en el COSO sobre el Control Interno ED
- Supervisión de la Junta y juicio profesional: COSO’s Newest Thought Paper
Sobre el autor:
J. Stephen McNally, CPA, es director financiero y controlador de la Cadena de Suministros de Norteamérica de Campbell Soup – Operaciones Napoleón en Napoleón, Ohio. McNally es miembro de la junta directiva mundial de IMA, representante de IMA en el COSO ICIF Refresh Project Advisory Council, y miembro de la junta editorial del Pennsylvania CPA Journal. Puede ser contactado en [email protegido].
Reimpreso con permiso del Pennsylvania CPA Journal, una publicación del Instituto de Contadores Públicos Certificados de Pennsylvania.