¿Qué implica implementar COSO III

en una organización?
ARTÍCULOS

CONTROL INTERNO

CREADO: 23 NOVIEMBRE 2016

Por: Ron Kral (CPA, CMA, CDMA)*

A pesar de que los pilares fundamentales siguen siendo los mismos en los marcos de 1992 y
2013, las diferencias trascienden lo superficial y es necesario comprenderlas claramente
para lograr una transición adecuada.

Enfóquese en los 17 principios

Aunque ciertamente hay varias mejoras en el marco de 2013, el requisito más significativo
consiste en abordar los 17 principios específicos. ¿Por qué? Porque COSO es muy claro al
afirmar que todos los principios “relevantes” deben estar presentes y funcionando para que
una empresa pueda concluir que su ICFR [1]es efectivo. El marco de 2013 considera que los
17 principios son adecuados para todas las entidades excepto en raras situaciones
industriales, operativas o regulatorias en las que la Dirección determine que un principio no
es relevante. La Dirección debe tener argumentos y pruebas suficientes para demostrar que
alguno de estos principios no es relevante para su empresa.

Ambiente de control

1. La organización demuestra un compromiso con la integridad y los valores éticos.

2. El Consejo Directivo demuestra independencia de la gestión y supervisa el desarrollo y
desempeño del control interno.
3. La Dirección establece, con la supervisión del Comité, estructuras y líneas de
información, y designa apropiadamente las responsabilidades para lograr los objetivos.
4. La organización demuestra compromiso para atraer, desarrollar y retener a individuos
competentes de acuerdo con los objetivos.
5. La organización hace responsables a los individuos de sus respectivas obligaciones de
control interno en la consecución de los objetivos.
Evaluación de riesgos

6. La organización especifica los objetivos con suficiente claridad para permitir la

identificación y evaluación de los riesgos relacionados con ellos.
7. La organización identifica los riesgos para el logro de sus objetivos en toda la entidad y
los analiza para determinar cómo se deben gestionar.
8. La organización considera la posibilidad de fraude en la evaluación de los riesgos para el
logro de los objetivos.
9. La organización identifica y evalúa los cambios que podrían tener un impacto
significativo en el sistema de control interno.

Actividades de control

10. La organización selecciona y desarrolla actividades de control que contribuyen a

mitigar el riesgo y a lograr los objetivos en niveles aceptables.
11. La empresa escoge y lleva a cabo actividades de control general sobre la tecnología
para apoyar la consecución de los objetivos.
12. La organización despliega actividades de control a través de políticas que establecen
ciertas expectativas y procedimientos.

Información y comunicación

13. La organización obtiene, o genera, y utiliza información relevante y de calidad para

apoyar el funcionamiento del control interno.
14. La organización provee internamente la información necesaria, incluidos los objetivos y
las responsabilidades, para apoyar el funcionamiento del control interno.
15. La organización se comunica con las partes externas interesadas sobre asuntos que
afectan el funcionamiento del control interno.

Actividades de monitoreo

16. La organización selecciona, desarrolla y realiza evaluaciones continuas y/o separadas

para determinar si los componentes del control interno están presentes y funcionando.
17. La organización evalúa y comunica las deficiencias de control interno de manera
oportuna a los responsables de tomar medidas correctivas, incluyendo la Dirección y el
Comité Directivo, según corresponda.

He trabajado con cientos de empresas a lo largo de mi carrera y no puedo recordar un solo

caso en el que uno de estos 17 principios no fuera relevante. Por lo tanto, de acuerdo con el
marco de 2013, una falla que afecte la implementación y el funcionamiento de cualquiera
de estos principios en el FYE significa que existe una deficiencia “importante” y que la
empresa no cumple con los requisitos de un sistema efectivo de control interno.

Enfoque descendente basado en el riesgo

La belleza del marco de 2013 radica en que los 17 principios encajan muy bien en un
enfoque descendente (top-down) basado en el riesgo, que idealmente debe adoptarse como
precursor de planes de evaluación de gestión más detallados, de programas de auditoría
interna y de planes de auditoría externa. De hecho, la Alerta # 11 de Prácticas del Personal
de Auditoría del PCAOB le recuerda a los auditores externos que deben comprender los
riesgos generales del ICFR concentrándose en los controles a nivel de la entidad (es decir,
los 17 principios) y luego trabajando en las cuentas significativas, en las divulgaciones y en
sus declaraciones relevantes. La evaluación del riesgo es el elemento clave del enfoque
descendente y los 17 principios son el punto de partida lógico para que los equipos de
gestión, auditoría interna y auditoría externa comiencen a aplicar sus enfoques. Franzel,
miembro del consejo del PCAOB, declaró el 26 de marzo de 2014: “Creo que es necesario
y productivo revisar el proceso de la administración a la luz del Marco COSO 2013, para
que todo el sistema funcione eficazmente. Y, por supuesto, los auditores y los emisores
necesitan establecer un diálogo productivo sobre estas cuestiones”.

Juicio

No hay que insistir en el debate de si nos debemos basar en reglas o en principios; pero, es
necesario recordar que el marco de 2013, al igual que la mayoría de los otros marcos
profesionales recientes, proporciona un punto de partida estructurado que debe ser
personalizado para adaptarse a diferentes entornos operativos. La adhesión al espíritu de
este concepto nos aleja de un enfoque de “lista de verificación” que intenta responder a los
17 principios estrictamente a través de los puntos de enfoque sugeridos dentro de cada uno.
Estos puntos son una guía y no una hoja de ruta inamovible. Siendo este el caso, una
empresa no tiene que abordar todos los puntos de enfoque, ni debe sentirse atada a ellos.
Por el contrario, la Dirección necesita comprender el espíritu del principio y extraer ideas
útiles de los puntos propuestos; así como también, añadir sus propios puntos de enfoque de
acuerdo a su criterio. Como resultado, no hay dos compañías que tengan la misma
documentación; esta debe personalizarse para que se adapte al entorno de cada empresa.

Adaptabilidad

Al igual que el tema de juicio, la profundidad del rigor y de la documentación en la

adopción del marco 2013 variará mucho entre las empresas dependiendo de sus industrias,
tamaños, ubicaciones, riesgos, y de las regulaciones de la SEC aplicables, entre otras
variables. En pocas palabras, cuanto más grande y complejo sea el negocio, más riesgos
para los inversionistas, y más recursos y documentación se requieren para cumplir con el
marco de 2013 (como también fue el caso del marco de 1992). Como ocurre en cualquier
proyecto, es necesario comprender claramente qué, quién, cuándo, dónde, por qué y cómo
abordarlo. La Dirección y el Comité Directivo a través de su Comité de Auditoría deben
estar en sintonía. También, deben entender que la implementación es un proyecto continuo
en el que el diseño de los controles deberá ser constante y duradero para mantenerse al día
con los entornos cambiantes.

Conclusiones

La transición al marco de 2013 implica mucho más trabajo que simplemente cambiar el
“1992” a “2013”. Este cambio conlleva una cantidad razonable de documentación que debe
estar alineada con los cinco componentes y los 17 principios del marco de 2013. Los
documentos deben trascender el enfoque de “lista de verificación” que simplemente afirma
que la empresa cumplió con cada uno de los 17 principios; ya que debe mostrar ejemplos y
evidenciar una intención sincera por parte de la compañía de cumplir con los componentes
y principios. Los auditores externos se enfrentan a un mayor escrutinio por parte del
PCAOB con respecto al rigor y a la evidencia que presentan para cumplir con las normas
cuando dan sus conceptos sobre ICFR. Se espera que tanto la SEC como el PCAOB
incrementen el escrutinio respecto al ICFR, especialmente en los 17 principios; y por lo
tanto, aumenten la exigencia y la vigilancia sobre la Dirección y los auditores.

Un comentario más de despedida: no caigan en la idea limitada de que el marco de 2013 es

sólo para el ICFR. Sin duda, se refiere a los objetivos y controles de la información
financiera; pero también puede y debe utilizarse voluntariamente para lograr las metas
operativas y de cumplimiento.

Recuperado de: http://corporatecomplianceinsights.com /

* Socio y Gerente de Candela Solutions LLC, una firma de contabilidad pública con un
enfoque nacional en gobernabilidad, riesgo y controles.

[1] Internal Control over Financial Reporting.

https://www.auditool.org/blog/control-interno/4731-que-implica-implementar-coso-iii-en-
una-organizacion