COSO Metodologa de mejores prcticas para el control

interno

El Instituto de Auditores Internos define al control interno como el proceso diseado para proveer
una seguridad razonable, en relacin con el logro de los objetivos de la organizacin. El
tema de control interno, desde su enfoque moderno y de clase mundial se est discutiendo desde
hace ms de 16 aos; al menos en los EE.UU., y con la definicin del Committee of Sponsoring
Organizations of the Treadway Commission (COSO)
Al comparar los recientes escndalos financieros (septiembre 2008) y no tan recientes (2002),
tanto en los EE.UU., como en el mundo, el resultado es que el control interno tiene gran valor; sin
embargo, las organizaciones no han logrado su eficiente, proactiva y oportuna implementacin.
Grandes inversiones se han dado para definirlo e implementarlo, los ejecutivos y
rganos degobierno
corporativo
lo
definen
como
un
tema
prioritario,
las
leyes/regulaciones de reporteo en bolsas lo tienen como punto fundamental. Sin embargo, siguen
generndose sorpresas desagradables e inesperadas en el ambiente empresarial. En
temas de alto impacto, en reas donde al parecer todo estaba gestionado.
La realidad es que existe una gran confusin en cuanto al verdadero significado de lo que es el
control interno. Al menos a lo que yo le llamo el nuevo control interno.1
Qu es control interno?
Los inicios del control interno se dieron primordialmente en aspectos contables. Asimismo, se habl
mucho sobre el tema en mbitos de evaluacin/alcances, en relacin con aspectos deplaneacin y
eficiencia durante la auditora de estados financieros. Con el paso del tiempo, el
concepto de control interno se ha transformado en algo ms robusto, en un concepto integral a
travs del negocio, donde no solo las reas financieras tienen responsabilidades y beneficios sobre
el mismo.
Para ejemplificar lo anterior, podemos analizar en forma breve la definicin de control interno. Para
estos efectos y como resultado de las muchas opciones que tenemos en cuanto a definiciones,
citaremos al Instituto de Auditores Internos 2 que define al control interno como: 3 el proceso
diseado para proveer una seguridad razonable en relacin con el logro de los objetivos de la
organizacin.
Como se puede observar, el alcance
generacin deinformacin financiera.

del

mismo

es

mucho

mayor

la

mera

En el marco de la definicin citada, si pudiramos definir los objetivos para el control interno,
podramos establecer los siguientes tres:

Promover la eficiencia y eficacia en las operaciones. Hacer las cosas en menos tiempo, al
menor costo y con el estndar de calidad esperado.
Asegurar la confiabilidad en la informacin financiera. Presentacin y revelaciones bajo
principios contables aplicables.
Mantener el cumplimiento con las leyes y regulaciones aplicables. Evitar pasivos y
obligaciones extraordinarias que pudiesen interferir en el logro de objetivos y en el
concepto de negocio en marcha.

El segundo objetivo es el ms familiar para el grueso de las empresas; sin embargo, pocas
identifican a los otros dos como parte de un control interno.
Aun bajo este esquema, realmente estn cubriendo en forma eficiente el segundo objetivo? Por
medio de esfuerzos de cumplimiento para Sarbanes-Oxley, las empresas filiales deempresas
americanas que cotizan en SEC, han observado que tenan reas de oportunidad en control
interno, que previamente desconocan.
Como resultado de lo complejo que es el control interno, y para evitar el menor grado dedesviacin
en interpretaciones personales, se han establecido diversos marcos de control interno aceptados
en el mundo.
COSO
Para efectos de homologar criterios y como resultado del acercamiento e influencia comercial con
los EE.UU., hablaremos de su marco de control, el COSO.4
A continuacin se muestra el cubo de COSO donde se puede apreciar el enfoque en los tres
mbitos del negocio arriba mencionados, as como sus distintas fases de aplicacin.

Para efectos de identificacin, es importante aclarar que el COSO, aunque en esencia es similar a
otros marcos de control en el mundo, puede llegar a tener ciertas diferencias 5 contra otros
marcos de control aceptados.
Haciendo un alto y resumiendo las conclusiones que hasta el momento tenemos, vemos lo
siguiente:

El control interno tiene un mbito de actuacin mayor que meramente la

generacin deinformacin financiera. Actualmente un gran nmero de empresas no han
evaluado/integrado este concepto en sus operaciones diarias. Es decir, el control interno

se sigue viendo como parte de finanzas (limitado a) y no existe una figura que integre el
esfuerzo de controles existentes, tanto operativos, financieros como de cumplimiento.
Cuando hablamos de control interno, existen reglas claras al respecto, metodologas y
pasos especficos a seguir. Muchas empresas insisten en tener control interno, aunque
este no est alineado a ningn marco de control aceptado.
Estas reglas pueden cambiar, si es el caso, dependiendo de las regiones o zonas donde
se tuviera que reportar la implementacin de dichos marcos de control (como lo es con
Sarbanes-Oxley en empresas que cotizan bajo SEC).
El resultado de los logros de objetivos del negocio, al menos en aspectos cotidianos y
recurrentes, puede ser influenciado por la calidad y suficiencia del control interno. Sin
embargo, pocas empresas han logrado asimilar la idea de que el control interno debe ser
una inversin y no un gasto.

Conforme se ha comentado, las organizaciones realmente cuentan con control interno. Sin
embargo, cabe preguntarse si dicho control es eficiente y lograr su cometido.
Muchas de estas empresas, se han sorprendido de las grandes reas de oportunidad y resultados
inesperados existentes en cuanto a control interno que se revelaron tras los esfuerzos
resultantes de la obligacin de la Ley Sarbanes-Oxley. Ahora bien, sera interesante saber si se
daran las mismas sorpresas en caso de realizarse un esfuerzo del anlisis al control interno en
aspectos de operacin.
Los montos en juego con una revisin de este estilo pudieran llegar a ser muy trascendentes. Tan
es as, que ya existen en algunos sectores y regiones, obligaciones de cumplimiento para
documentar y evaluar este tipo de controles, como lo es la iniciativa de Solvency en Europa, para
las compaas de seguros o Basilea II para sector financiero.
Control interno en la pequea y mediana empresa
Segregacin de funciones
Un factor primordial en el control interno, es la segregacin de funciones. Los mejores
procedimientos pueden ser establecidos en una empresa, pero las desviaciones en cuanto
asegregacin de funciones, pueden traducirse en grandes fraudes y malversaciones.
Este factor es importante, considerando que gran parte de la industria est en las medianas y
pequeas empresas, las cuales no tienen los recursos para contratar personal suficiente que
permita generar una sana segregacin de funciones.
Esta situacin es corregible mediante la identificacin de factores crticos de xito en la operacin,
los cuales sean vigilados de forma cercana por el personal de confianza. No obstante, regresamos
a la necesidad de tener un proceso de evaluacin de riesgos en forma previa a definir un control.
Barrera cultural y de costumbre
Las empresas medianas y pequeas enfrentan la barrera que denomino: uso y costumbre. Es
decir, cuando se establecen nuevas formas de trabajo, normalmente mayores restricciones y
requisitos, el personal se rebela ante las mismas y pone trabas/obstculos para su implementacin,
lo cual es considerado normal, pero es conveniente considerarlo en implementaciones de nuevos
controles y buscar por medio del convencimiento y ejemplo, y lograr una cultura de control en la
organizacin.
Control interno y el Comit de Auditora

El Comit de Auditora es un organismo que reporta directamente al Consejo deAdministracin, y

cuya funcin, entre otras, es desarrollar un esfuerzo de vigilancia sobre los avances y logro de los
objetivos previamente definidos por el Consejo de Administracin. El Comit normalmente realiza
estas tareas mediante la direccin y supervisin de la suficiencia y enfoque del
esfuerzo de vigilancia, efectuado por los auditores internos y externos.
La funcin de este Comit es de vigilancia y no de implementacin. Por lo tanto, el Comit no
debiera definir aspectos puntuales en cuanto a la implementacin de controles, sin embargo, si
debiese estar fuertemente ligado con la supervisin de aspectos crticos del negocio, y por lo tanto
actividades que den mayor certeza de que no existirn sorpresas en el camino.
Se
observa
que
muchos de estos
comits
han
sido
creados
considerando
requerimientos decumplimiento, sin embargo, no han logrado crear una dinmica eficiente en la
organizacin que otorgue valor agregado. Cuentan con los miembros suficientes, se renen en los
periodos marcados bajo las mejores prcticas, sus miembros cuentan con los perfiles requeridos,
sin embargo, no cuentan con las herramientas suficientes para realmente vigilar el
cumplimientode los aspectos crticos del negocio.
Para ello, las organizaciones debiesen contar con procesos de administracin de riesgos, que
otorgaran documentacin formalizada, para que los comits realizaran sus anlisis y tomaran
decisiones en las circunstancias.
Ahora bien, y nuevamente cerrando el crculo, como resultado de la falta de dichos
procesosde administracin de riesgos, sera complejo que el Comit pudiera dar un seguimiento
razonable al control interno, ya que se vuelve subjetivo el saber si las actividades de control estn
cubriendo todos los riesgos y si lo estn haciendo en forma eficiente.
Control Interno y Sistemas de Informacin
No debemos olvidar a los sistemas de informacin. Actualmente la tecnologa forma parte
significativa de los procesos y actividades de cualquier negocio.
En muchas ocasiones se observa que una actividad se considera controlada por el simple
hecho de que se realiza va sistemas de informacin.
Ahora ms que nunca, debido a la gran influencia de los sistemas de informacin en todos los
procesos de la empresa (operativos, financieros, administrativos, estratgicos, entre otros) es
necesario lograr una certeza razonable de que dichos sistemas tambin cuentan con el
ambiente de control necesario y complementan el mismo.
Existe un marco de control aceptado para sistemas, el cual es llamado COBIT. El mismo
bsicamente cubre los siguientes aspectos, que deben ser considerados como parte integral del
control interno: planeacin y organizacin, adquisicin e implementacin, entrega y soporte,
monitoreo.
En general se observa que las empresas ven a la tecnologa de informacin como algo
completamente independiente al control interno; sin observar que un anlisis integral decontrol,
tiene un alto componente tecnolgico.
Conclusin
Las empresas conocen el concepto bsico de control interno, y consideran en su gran mayora,
que tiene control en sus organizaciones. Sin embargo, no han logrado traducir el
esfuerzo decontrol interno como un generador de valor. Todava consideran doloroso invertir en

estos conceptos, ya que se siguen considerando un gasto. Lo cual es cierto, si se considera que al
no tener un control interno bajo mejores prcticas no se puede lograr un retorno por el mismo (ej.
reduccin/mantenimiento de costos, satisfaccin del cliente, incremento de actividades, entre
otros).
El control interno se ve como un tema nicamente contable, siendo que debiese estar ligado a
todas las iniciativas del negocio (ej. implementacin de sistemas, mejora de procesos, entre otros).
De cualquier forma, cada vez ms, las empresas entienden ms del tema y se convencen desus
beneficios.
El mayor porcentaje de empresas son Pequeas y Medianas. Y en muchas ocasiones esto es
causal para considerar que estos conceptos no aplican a estas organizaciones. Sin embargo,
tienen los mismos requerimientos de gestionar sus riesgos e impactos, empresas medianas y
pequeas, que empresas grandes.
El objetivo no es implementar muchos controles, sino realmente entender qu le puede doler a mi
negocio, para que, proactiva y anticipadamente, definir un control a la medida, que sin tener que
ser costoso, puede significar el que la organizacin siga operando.
Referencias
1 COSO es publicado en 1992, por lo que no es nuevo; sin embargo, para gran parte de las
empresas, toma fuerza como resultado de la emisin de la Ley Sarbanes-Oxley en 2002.
2

The Institute of Internal Auditors (The IIA). Para mayor informacin ver: www.theiia.org

Seccin 300.02.4 del Standards for the Professional Practice of Internal Auditing del IIA.

Committee of Sponsoring Organizations of the Treadway Commission (COSO).

5 Como ejemplo est el Criteria of Control (COCO), que es el marco de control aceptado en
Canad, el cual no reconoce dentro del marco de control la existencia de la fase deinformacin y
comunicacin.
6

Security and Exchange Commission en los EE.UU.

C.P. Jess Gonzlez Arellano

Socio de Risk Advisory Services (IARCS) KPMG Mxico
Miembro de la Comisin de Consultora del IMCP
Fuente:
Revista
Contadura
Pblica www.contaduriapublica.org.mx del
Mexicano deContadores Pblicos www.imcp.org.mx

Instituto