III COSO

Investigacionesy Publicaciones

2012 (III)

Actualizacin COSO I

Anlisis del borrador del Marco de Control Interno actualizado

Ramn Abella RubioJoaqun Guerola Gonzlvez

Ana Cendn Cubero

1Actualizacin COSO IAnlisis del borrador del Marcode Control Interno actualizado

Ramn Abella RubioJoaqun Guerola GonzlvezAna Cendn Cubero

NDICE

Antecedentes .................................................................................................................................................................................................................. pg. 3

Por qu actualizar COSO I?...................................................................................................................................................................... pg. 5

A. Motivos para una actualizacin del Marco de Control Interno original ........................................ pg. 5B. Objetivos de la actualizacin ...................................................................................................................................................... pg. 7C. Beneficios esperados ............................................................................................................................................................................ pg. 9

Proceso de actualizacin COSO I .................................................................................................................................................... pg. 10

COSO I vs. Marco Actualizado COSO ...................................................................................................................................... pg. 12

A. Qu se mantiene del Informe COSO I? .................................................................................................................... pg. 13B. Qu vara tras la actualizacin?............................................................................................................................................ pg. 14C. Actualizacin/adaptacin de documentos .................................................................................................................. pg. 41

Anexos .............................................................................................................................................................................................................................. pg. 46

A. Autores del informe .......................................................................................................................................................................... pg. 46B. Bibliografa y Fuentes ...................................................................................................................................................................... pg. 47

2

Actualizacin COSO IAnlisis del borrador del Marco de Control Interno actualizado

ANTECEDENTES

Desde su publicacin en 1992, el Marco COSO I ha sido reconocido a nivel internacional como unaMejor Prctica en materia de Control Interno, sirviendo de base para el diseo, implementacin yevaluacin de los Sistemas de Control Interno de distintos tipos de organizaciones.

Dicho Informe fue publicado por el Committee of Sponsoring Organizations of the TreadwayCommission (en adelante, COSO), el cual est formado por representantes de cinco organismosprofesionales diferentes:

AAA Asociacin Americana de Contabilidad. AICPA Instituto Americano de Contables Pblicos Autorizados. FEI Instituto de Ejecutivos Financieros. IIA Instituto de Auditores Internos. IMA Instituto de Contables de Gestin.

PwC particip en el desarrollo del Marco COSO I original (en adelante, Marco original o MarcoCOSO I) y actualmente forma parte del equipo que lidera el proceso de elaboracin del Marco COSOI actualizado (en adelante, Marco actualizado).

En los ltimos veinte aos, los cambios sufridos por los modelos de negocio y el mercado, as como laglobalizacin de la economa, han aumentando la complejidad de las operaciones y en consecuencia, susriesgos asociados y el control de los mismos. En este contexto de cambio, COSO tom la determinacinde actualizar el Marco original a finales de 2010, con el objetivo de clarificar conceptos, adaptndolos alas nuevas caractersticas del mercado y facilitando su aplicacin en los diferentes tipos de organizaciones.En consecuencia, el Marco actualizado incluye modificaciones que pretenden facilitar la comprensin delproceso de implantacin y mantenimiento de un Sistema de Control Interno.

En este sentido, el Marco actualizado est compuesto por tres volmenes:

a) Resumen ejecutivo dirigido a directores, ejecutivos y reguladores.b) Marco integrado de Control Interno actualizado.c) Herramientas de evaluacin a usar en la revisin de la eficacia del Sistema de Control Interno.

3

Investigaciones y publicaciones del Centro de Gobierno Corporativo ao 2012

De manera adicional, el Marco actualizado incluye el Internal Control over External FinancialReporting: A Compendium of Approaches and Examples (ICEFR), que consiste en una gua conejemplos prcticos sobre el Control Interno del reporting financiero externo.

El presente informe tiene como objetivo el anlisis del borrador del Marco actualizado en tres mbitosfundamentales:

Los motivos que han llevado a la actualizacin del Marco COSO I. El proceso de actualizacin actualmente en curso. Los principales cambios identificados respecto al Marco original y el anlisis del impacto que

dichos cambios han tenido en el Gobierno Corporativo, los rganos de gestin, las funcionesde supervisin y otros Grupos de Inters relevantes.

4


1. POR QU ACTUALIZAR COSO I?

Temas tratados

Motivos para una actualizacin Objetivos de la actualizacin Beneficios esperados

A. Motivos para una actualizacin del Marco de Control Interno original

En 1992, el Marco COSO fue creado con el objeto de fijar una definicin comn de Control Internoque sirviera de base a los diferentes Grupos de Inters, estableciendo un modelo estndar a nivelinternacional para la gestin del Control Interno y la evaluacin del mismo. Sin embargo, desde laimplementacin del Marco original hace veinte aos, los modelos de negocio han sufrido cambiossignificativos. La globalizacin de los mercados y el incremento de las relaciones de todo tipo entreorganizaciones de diferentes localizaciones geogrficas han aumentando la complejidad de los negociosy en consecuencia, los riesgos asociados a los mismos.

En concreto, algunos de los factores ms relevantes que han contribuido a la necesidad deactualizacin del Sistema de Control Interno han sido los siguientes:

Variacin de los modelos de negocio como consecuencia de la globalizacin. Mayor necesidad de informacin a nivel interno, fruto de los cambios cada vez ms rpidos

en el entorno. Incremento del nmero y complejidad de las normativas aplicables al mundo empresarial a

nivel internacional. Nuevas expectativas sobre la responsabilidad y competencias de los gestores de las

organizaciones. Incremento de las expectativas de determinados Grupos de Inters (inversores, el regulador,

etc.) sobre la prevencin y deteccin del fraude. Aumento del uso de las nuevas tecnologas y su constante desarrollo. Nuevas exigencias del regulador y otros Grupos de Inters en relacin a la fiabilidad de la

informacin reportada.

5


Estos nuevos desafos surgidos en los ltimos aos requieren una mejor gestin de las operacionesinternas y el control de las mismas y, en consecuencia, un Sistema de Control Interno actualizado,dinmico, flexible a los cambios del mercado y aplicable a todo tipo de organizaciones.

Atendiendo a los componentes del Control Interno definidos en COSO I, los principales motivos quehan llevado a la actualizacin podran resumirse en los siguientes:

Entorno de Control: Hoy en da, los modelos de Gobierno Corporativo deben adaptarse alos distintos tipos de estructuras organizativas coexistentes (por lnea de producto, porgeografa, etc.) dentro de cada compaa.Por otro lado, los Grupos de Inters requieren cada vez mayor transparencia sobre los rganosde gobierno y el control de las compaas. En este sentido, es necesario informar no slo sobremagnitudes financieras, sino tambin sobre otros aspectos clave de las compaas(Responsabilidad Social Corporativa, Gobierno Corporativo, estrategia, etc.), ya que losGrupos de Inters estn interesados en una mayor variedad de informacin.

Evaluacin de riesgos: Algunas de las dificultades surgidas en la aplicacin del Marco originalhacen necesario mejorar la manera de entender y evaluar los riesgos a gestionar por el Sistemade Control Interno. Adicionalmente, en la actualidad, las organizaciones se estn viendoobligadas a realizar mayores esfuerzos para evitar el fraude.

Actividades de control: La tecnologa ha cobrado mayor importancia en la implementacinde actividades de control desde que se public el Marco COSO I en 1992. Actualmente estmucho ms integrada en los procesos de negocio. Asimismo, es necesario destacar que granparte de dichas tecnologas exigen la externalizacin de determinados procesos, lo que aadecomplejidad a su control.

Informacin y Comunicacin: Actualmente, la gestin de la informacin en lasorganizaciones es mucho ms compleja que en 1992. Dicha complejidad es consecuencia dediversos aspectos clave:

- El volumen de informacin a gestionar ha aumentado de manera exponencial en losltimos aos. Por ejemplo, la informacin para la toma de decisiones es cada vez msabundante.

- Las fuentes y los destinatarios de la informacin tambin se han multiplicado. Cabedestacar la necesidad de gestionar la informacin a compartir y recibir de proveedores /socios externos clave.

- El regulador y otros Grupos de Inters muestran cada vez mayores exigencias en relacina la calidad y fiabilidad de la informacin reportada.

- Las tecnologas de la informacin han provocado la aparicin de las redes sociales, querequieren mecanismos de control especficos.

6


Actividades de monitorizacin: Los cambios regulatorios de los ltimos aos otorgan cadavez mayor relevancia al Control Interno y la fiabilidad de la informacin reportada. Estacircunstancia ha provocado que las funciones de supervisin de las organizaciones hayanempezado a considerar la monitorizacin en su contexto ms amplio, ayudando a la gestin aentender cmo debe operar un Sistema de Control Interno eficaz.

B. Objetivos de la actualizacin

El siguiente cuadro expone de manera resumida los principales objetivos perseguidos con laactualizacin del Marco COSO I, tal y como ha expuesto la propia Comisin Treadway:

Cuadro 1.1

Proceso de implantacin

COSO ha introducido determinados cambios en los componentes de COSO I (Entorno de Control,Evaluacin de Riesgos, Actividades de Control, Informacin y Comunicacin, Monitorizacin)encaminados a facilitar la implantacin de un Sistema de Control Interno efectivo. Por otro lado,junto a los tres volmenes que configuran el Marco actualizado, COSO ha puesto al da elCompendium1 que consiste en una gua con ejemplos prcticos para facilitar la implantacin de unSistema de Control Interno sobre el Reporting Financiero Externo.

7


reas de Cambio Objetivos

Proceso de implantacin Aumentar la claridad del proceso de implantacin definido en el Marco original, con el objetivo de incrementar la efectividad del Sistema de Control Interno.

Desarrollo de componentes de COSO I en principios

Desarrollar los cinco componentes del Marco COSO a travs de 17 principios y puntos de enfoque que faciliten la implantacin, mantenimiento y supervisin de un Sistema de Control Interno efectivo.

Ampliacin del objetivo de reporting

Ampliar el alcance del Marco de Control Interno original, para no centrarse nicamente en el reporting financiero externo, sino tambin en reporting interno y externo de ndole no financiera.

1 Internal Control over External Financial Reporting: A Compendium of Approaches and Examples (ICEFR).

Desarrollo de cada componente de Control Interno en principios y puntos de enfoque

El Marco actualizado incluye ciertas mejoras y aclaraciones que tienen el objetivo de facilitar su uso yaplicacin. Una de las mejoras ms significativas es la formalizacin de principios que desarrollan loscomponentes de COSO I. Dichos principios estaban implcitos pero no formalizados en el Marcooriginal. Aportan claridad para el usuario a la hora de disear e implementar Sistemas de ControlInterno y ayudan a entender los requisitos para un Control Interno efectivo.

Ampliacin del objetivo de reporting

En contraste con el Marco original, el Marco actualizado se refiere no slo al reporting financieroexterno, sino tambin al reporting no financiero y al interno:

Reporting financiero externo: Las entidades necesitan cumplir con la creciente y cambiantenormativa aplicable, adems de con las crecientes exigencias de los Grupos de Inters externossobre la informacin financiera. En este sentido, podemos destacar el nmero cada vez mayorde interesados en los estados financieros (agencias de rating, inversores, organismos pblicos,proveedores, organizaciones sectoriales, etc.).

Reporting no financiero externo: La direccin debe cumplir con las regulaciones y estndaresaplicables en la realizacin y publicacin de informes no financieros externos (por ejemplo,Memoria de sostenibilidad, planes estratgicos, etc.).

Reporting interno financiero y no financiero: Los informes internos para la Alta Direccin debenincluir la informacin necesaria para la toma de decisiones.

A continuacin se presenta un cuadro reflejando la relacin entre las cuatro sub-categoras:

Figura 1.2.Relacin del Reporting

8

FoNNo/ oreicnaniFFi

oreicnaniFFi

sacitsretcarCa

rnrn

onretx

E/oo/

nretnIIn


En definitiva, las lecciones aprendidas en la aplicacin del Marco COSO I durante los ltimos aos,as como la evolucin experimentada por los mercados, modelos de negocio y riesgos, llevaron en 2010a la Comisin Treadway (COSO) a decidir la actualizacin del mencionado Marco COSO I, con elobjetivo de hacerlo ms prctico y adaptable a las nuevas necesidades de control de las organizaciones.

C. Beneficios esperados

Los beneficios esperados del Marco actualizado se centran en la mejora de la eficacia de los Sistemasde Control Interno. Dicha mejora debe traducirse en una mayor agilidad en su implantacin,mantenimiento y supervisin, mejorando la claridad y fiabilidad del reporting y, en consecuencia, laconfianza de los Grupos de Inters.

En esta lnea, los principales beneficios esperados de la actualizacin del Marco son:

Mejorar el Gobierno Corporativo. Mejorar la fiabilidad de la informacin ms all de la meramente financiera. Incrementar la calidad de la evaluacin de riesgos. Reforzar las actuaciones en la lucha contra el fraude. Adaptar los controles a las necesidades cambiantes del negocio. Mejorar la flexibilidad de los Sistemas de Control Interno, para que sea aplicable a diversas

tipologas de organizacin.

Asimismo, se espera que el Marco actualizado apoye a la Direccin, Consejos de Administracin,Comits de Auditora y funciones de Auditora Interna en el desempeo de sus responsabilidades encuanto al diseo, implantacin y supervisin de los Sistemas de Control Interno.

9


Confianza

rganos de Gobierno y Direccin

Funcin de supervisin

Agentesexternos

Eficacia

2. PROCESO DE ACTUALIZACIN COSO I

Temas tratados

Pasos de la Comisin Treadway (COSO) en la actualizacin del Marco de Control Interno

Figura 2.1.Proceso y calendario de actualizacin - Informe del Marco COSO actualizado

Descripcin detallada de las fases en la actualizacin del Informe:

1. Diseo y creacin del borrador de actualizacin

COSO anunci en Noviembre de 2010 su intencin de revisar y actualizar el COSO - InternalControl - Integrated Framework (Framework) con el objetivo de hacer ms relevantes tanto el Marco,como las herramientas de evaluacin, en un entorno de negocio que es cada vez ms complejo, paraque las organizaciones puedan disear e implementar un Sistema de Control ms efectivo.

2. Primera Consulta Pblica

El 19 de Diciembre de 2011, COSO someti a consulta pblica hasta el 31 de marzo de 2012 elborrador del Marco de Control Interno actualizado. En dicho perodo, el inters en la actualizacindel informe ha sido notorio en organizaciones de diferentes partes del mundo y de todos los tamaos,de carcter pblico y privado.

10


Concretamente, el borrador del Informe se descarg en 162 pases para su revisin. Del total dedescargas, aproximadamente el 60% corresponden a Norte Amrica, donde ha tenido mayortrascendencia, seguido de Europa (17%) y Asia (13%).

3. Consideracin de los comentarios en el borrador

COSO, junto con PwC y su consejo asesor formado por representantes de la industria, institucionesacadmicas, agencias gubernamentales y organizaciones sin fines de lucro, tuvieron en cuenta todas lasobservaciones obtenidas de la primera consulta pblica para la elaboracin del nuevo Marco.

4. Segunda Consulta Pblica

COSO ha publicado en Septiembre de 2012 un borrador del Internal Control over External FinancialReporting (ICEFR): A Compendium of Approaches and Examples para someterlo a consulta pblica.

Este Compendium se ha elaborado como complemento al Marco para ayudar a los usuarios en laaplicacin de los objetivos de reporting financiero externo. Es una gua para el Control Interno sobreel reporting financiero externo, que plantea ejemplos que ayudarn a las organizaciones en lapreparacin de documentos financieros que vayan a ser publicados. Sustituye a la Internal Controlover Financial Reporting - Guidance over Smaller Public Companies2, originalmente emitida en 2006.Debe tenerse en cuenta que, tal y como establece la Comisin Treadway en el prlogo del Marcoactualizado, esta gua es de carcter orientativo y en ningn caso tiene prioridad sobre el propio Marco.

Junto con la publicacin del Compendium para consulta pblica, COSO ha puesto a disposicin delpblico la versin revisada del Marco actualizado, el cual incorpora revisiones sacadas de los comentariosrecibidos durante la primera consulta pblica de ms de 200 organizaciones y profesionales.

Despus de la segunda consulta pblica, abierta hasta principios de Diciembre de 2012, se revisarnlos documentos con los comentarios recibidos.

Se espera que la versin definitiva del Marco actualizado se publique en el primer trimestre de 2013.

11


2 Internal Control over Financial Reporting - Guidance over Smaller Public Companies: Control Interno sobre la presentacin de informes financieros Gua para las compaas pblicas ms pequeas.

3. COSO I VS. MARCO ACTUALIZADO COSO

Temas tratados

Materias que permanecen con respecto a COSO I Cambios introducidos en el borrador de la actualizacin Actualizacin de documentos

El Marco actualizado de Control Interno ha nacido con el objetivo de adaptar el Marco existente alnuevo contexto en el que las organizaciones desarrollan su actividad y a las caractersticas actuales delas compaas. El objetivo no es cambiar los conceptos centrales ya desarrollados en el Marco original,sino profundizar en los ya existentes y aadir algunos nuevos para facilitar la evaluacin de un Sistemade Control Interno.

A travs de la consideracin de las condiciones actuales del mercado, de la economa global y de laimportancia de la tecnologa en las organizaciones, el Marco actualizado permite una mayor coberturade los riesgos a los que se enfrentan actualmente las organizaciones. Se perfila, por tanto, como unabase ptima para que el Sistema de Control Interno contribuya a la consecucin de los objetivos delas compaas en el mbito de las operaciones, el reporting y el cumplimiento.

En este sentido, antes de implantar un Sistema de Control Interno, la Direccin deber establecerlos objetivos de Control Interno, en lnea con la estrategia y objetivos de la organizacin y el apetitoal riesgo de la compaa. De esta manera, se sentarn las bases para el diseo e implantacin deSistemas de Control Interno eficaces, eficientes y alineados con los objetivos estratgicos de lasorganizaciones.

A continuacin se detallan, a modo de resumen introductorio, las principales variaciones y aspectosconservados en el proceso de actualizacin de COSO, desarrollados en mayor detalle en los apartadosexpuestos ms adelante en el mismo epgrafe:

12


Cuadro 3.1.

A. Qu se mantiene del Informe COSO I?

Los siguientes puntos, ya contemplados en el informe COSO I, permanecen invariables:

La definicin del concepto de Control Interno: El Control Interno es un proceso llevado a cabo por elpersonal de una organizacin, diseado con el fin de proporcionar un grado de seguridad razonablesobre el logro de los objetivos de las siguientes categoras:

- Eficacia y eficiencia de las operaciones - Confiabilidad de los informes realizados - Cumplimiento de la ley y regulacin aplicable.

El informe COSO actualizado mantiene los cincocomponentes del Control Interno ya establecidos en elinforme COSO I:

1) Ambiente de control2) Evaluacin de riesgos3) Actividades de control4) Informacin y comunicacin5) Actividades de monitorizacin

13


Qu se mantiene del COSO I? Qu cambia?

- Definicin del concepto de Control Interno

- Ampliacin y aclaracin de conceptos con el objetivo de abarcar las actuales condiciones del mercado y la economa global.

- Cinco componentes de Control Interno

- Codificacin de principios con

aplicacin internacional para el desarrollo y evaluacin de la eficacia del Sistema de Control Interno.

- Criterios a utilizar en el proceso de evaluacin de la eficacia del Sistema de Control Interno

- Extensin de los objetivos de reporting ms all de los informes financieros externos, a los de carcter interno y a los no financieros, tanto externos como internos.

- Uso de juicio profesional para la evaluacin de la eficacia de los Sistemas de Control Interno

- Inclusin de una gua orientativa para facilitar la supervisin del Control Interno sobre las operaciones, el cumplimiento y los objetivos de reporting.

A pesar de que la descripcin de los mismos y su desarrollo en el Marco actualizado han sidopuestos al da, las variaciones introducidas no modifican la base de los conceptos yacontemplados en la versin original de 1992.

Se conservan los criterios fundamentales establecidos para la evaluacin del Sistema deControl Interno.

El uso de juicio profesional a la hora de evaluar la efectividad del Sistema de Control Internosigue considerndose un elemento indispensable en el Marco actualizado, al igual que ya lo eraen el Marco de 1992.

B. Qu vara tras la actualizacin?

Los cambios ms relevantes pueden clasificarse de la siguiente forma:

A continuacin detallamos las principales modificaciones, indicando para cada una de ellas el impactoa nivel de rganos de gestin, funciones de supervisin y otros Grupos de Inters relevantes.

OBJETIVOS

Aclaracin de la necesidad de establecer objetivos de negocio como condicin previa a losobjetivos de Control Interno

Ya el Marco original trataba de aclarar que la fijacin de objetivos de negocio es una condicin previadel Sistema de Control Interno y no parte del mismo. Con el propsito de enfatizar este punto, laversin actualizada profundiza en el anlisis del establecimiento de objetivos a nivel de operaciones,cumplimiento y reporting.

En este sentido, en el Marco actualizado se establece que no es prctico disear e implementar unSistema de Control Interno, a menos que los objetivos de negocio a distintos niveles (operaciones,

14


cumplimiento y reporting) estn definidos de forma previa. Establecer los objetivos de negocio es partede la planificacin estratgica de la organizacin, que debe tener en cuenta tanto las decisiones de laDireccin, como las leyes, regulaciones y otros estndares aplicables.

El siguiente diagrama (Figura 3.2) ilustra las dos grandes fases en relacin a los objetivos.

Figura 3.2.Definir Objetivos y Especificar Objetivos en el contexto de Reporting Financiero Externo

IMPACTO

Es necesario fijar los objetivos de negocio a nivel de operaciones, cumplimiento y reporting concarcter previo al diseo e implantacin del Sistema de Control Interno. De esta forma, se puedeproporcionar un grado de seguridad razonable sobre los objetivos en las siguientes categoras:eficacia y eficiencia de las operaciones, confiabilidad de los informes realizados, cumplimiento dela ley y regulacin aplicable. En este sentido, conviene considerar los siguientes aspectos:

El Consejo de Administracin y la Alta Direccin deben establecer los objetivos de negocioa nivel de operaciones, cumplimiento y reporting, para posteriormente ser capaces de diseare implantar un Sistema de Control Interno orientado a controlar y mitigar de maneraadecuada los riesgos que afectan a dichos objetivos.

La supervisin del Sistema de Control Interno debe considerar en qu medida este ltimoest ligado a los objetivos de negocio a nivel de operaciones, cumplimiento y reporting,como una de las condiciones previas ms relevantes para su eficacia. El plan de supervisindel Comit de Auditora y de la funcin de auditora interna deber considerar este aspecto.

15


aicniffialP

nrotnEdanstendrpo

nstigeyagictastren cia

yavitamron,onueqs erdaratceffean s laa

ardesinoCetxeocram

retnil evin

rIntelontroC

l edonaa,onre

se,onr

aapmocaLissolraulavernesotcctepsa

s:ovitejbbjos ol

nor

ebedasetneiugianicaler

s:

ebedaapmocLavtiejbbjos olraziltiu

omocoicogenedalarapseab

es ov

icarpeoplimuc

ovitejbbjoitrpoer

l a,senoisloayotneimpli

deso.gn

iffidenebdesovitejbo deoicautcayy s otnistdihci dertnEses otibmartneucneenoicarpeo

gnitrpoereimpliumc

s:slorinioicogende

nesens.otibm

s ohse

slasl e,se

l eyy.otne

ovitejbbjos ol idemnoS

baznaclaetnaveler

najaajcEnmireuqerradnsteInlortnoCelbacilpa

nEstadauceda

i

s:,selbi

yselbs.e

solnocysotneim

eds eronretIn

.se

etnemad

alarapseabednicaulave

prirbucas osgeiRedamestSile

.onrteInlotrnoC

rop

acinumoc

soda .

Ampliacin del objetivo de reporting financiero

COSO ha mantenido los tres objetivos del Marco original (operaciones, reporting ycumplimiento), ampliando el alcance que inicialmente se haba establecido para el objetivo dereporting. De este modo, mientras que el primer y el tercer objetivo3 se mantienen sin variaciones,el segundo, la confiabilidad del reporting financiero, se ampla en el Marco actualizado paracontemplar el reporting tanto de carcter financiero como no financiero y el reporting a nivelexterno e interno.

En este sentido, de acuerdo con el Marco actualizado, la presentacin de informes a nivel externoda respuesta principalmente a las regulaciones y normativas establecidas y a las solicitudes de losGrupos de Inters, mientras que el reporting interno atienden a las necesidades internas de lasorganizaciones.

Figura 3.3.Cubo COSO actualizado Cubo COSO original

16

3 Primer objetivo: eficacia y eficiencia de las operaciones.Tercer objetivo: cumplimiento de las leyes y regulacin aplicables.

tt zaiiiioo io irotinnnnnnoM

dt

aada

ctttt

iiiUn

UUnn

cn

cAAA

tA

cA

n

nnnicza addddi

vitccccc

Avi

tcAAAAA

UUU

o

i

e

i

nn

diiiu

dd

oo

d

i

ddadi

nn

uu

d

Cc cc

donrrrotnE

nccccccaalaalvE

sedaaaaadddvviitcA

yniiiiiicamroffonI

2a

n

da

11ddddd

daB

dda

n

nd

sgoso

r

go

lll

gos

oolo

AA

r

gos

Add

go

drrn o

cac

d

ic

aadii

s

da

UUUUccn ac

r

UU

n

UUUUUUi

nn

ooorrtnoC

gooseiRed

orrttno

a

Ced

caiiinu UmoC da

dd

dddddi

nUdaaaa

din


IMPACTO

Tal y como se refleja en el Informe Corporate Reporting: A critical system at Risk4, cada vez sonmayores las exigencias de los Grupos de Inters en lo referente a la transparencia y fiabilidad de lainformacin reportada, tanto hacia el exterior, como a nivel interno.

Asimismo, la Encuesta de la Alta Direccin en Espaa 20115 refleja la previsin de cambios en elmodelo de gestin de la informacin por parte de las compaas, para hacer nfasis en lacomunicacin y la reputacin corporativa durante el ao 2012. En este sentido, no convieneolvidar las actuales tendencias de reporting integrado, muy asentadas en el mundo anglosajn ycon un auge reciente en pases como Espaa. Dichas tendencias abogan por ofrecer a los Gruposde Inters, no slo informacin financiera, sino toda aquella informacin relevante para explicarcmo crea valor una organizacin. Dichas tendencias quedan tambin reflejadas en el mencionadoCorporate Reporting: A critical system at Risk6.

El Marco actualizado contribuye a la satisfaccin de las exigencias de transparencia y fiabilidad enrelacin a la informacin, ampliando el alcance del Sistema de Control Interno en cuanto a lafiabilidad de la informacin reportada. De esta forma, el Marco actualizado sigue, en cierto modo,la misma lnea que el Grupo de Trabajo de Control Interno (GTCI) de la CNMV7, que ya en junio2010 recomendaba ampliar el alcance del anlisis de riesgos sobre la fiabilidad de la informacinfinanciera, para incluir otra tipologa de riesgos.

En lnea con el Cdigo Unificado de Buen Gobierno, el Consejo de Administracin es elresponsable de la aprobacin y el seguimiento peridico de los sistemas de informacin y deControl Interno.

La Alta Direccin, como responsable de su mantenimiento, deber analizar si su Sistema deControl Interno abarca toda la informacin relevante, haciendo especial hincapi en lainformacin utilizada para la toma de decisiones.

En lnea con la Alta Direccin, el Comit de Auditora deber supervisar si el Sistema de ControlInterno tiene un alcance adecuado a nivel de fiabilidad de la informacin. Para ello, lo habitual esque se apoye en la funcin de auditora interna, que deber disear un plan que incluya el anlisisdel alcance del Sistema de Control Interno, teniendo en cuenta los Grupos de Inters clave(externos e internos) y la tipologa de informacin ms relevante para cada uno de ellos.

17


4 Informe Corporate Reporting: A critical system at Risk, elaborado en 2011 por el Chartered Institute of Management Accountants en colaboracincon PwC.

5 4. Encuesta de Alta Direccin en Espaa 2011: Reinventando el crecimiento.6 Informe Corporate Reporting: A critical system at Risk, elaborado en 2011 por el Chartered Institute of Management Accountants en colaboracin

con PwC.7 Informe sobre el Control Interno de la Informacin Financiera del grupo de Trabajo sobre Control Interno de la CNMV, de Junio 2010.

COMPONENTES, NUEVOS PRINCIPIOS Y PUNTOS DE ENFOQUE

Componentes

Los cinco componentes de Control Interno no varan con respecto al Marco original de 1992. Noobstante, en el Marco actualizado se introducen cambios clave en aspectos relacionados con ellos:

Desarrollo de los componentes en 17 principios formalizados. Las principales caractersticas yejemplos de cada principio estn reflejadas en los puntos de enfoque (ver epgrafe siguiente:Formalizacin de principios)

Variacin del orden de los componentes en el cubo COSO I, apareciendo ahora en ordeninverso al que estaban en el Marco original. Con la presente modificacin, COSO pretendeque el orden de funcionamiento de cada uno de los componentes se adapte al orden yaincluido en el cubo de COSO II o Enterprise Risk Management - Integrated Framework (verfigura 3.14). De esta forma, ambos Marcos parten del componente ms general,responsabilidad de los rganos de gobierno y de la Alta Direccin, para descender acomponentes ms transaccionales y terminar en la supervisin y monitorizacin. Por otrolado, se facilita la comparacin entre ambos Marcos (de hecho, en el Marco actualizado seincluye una breve comparacin entre ambos).

Figura 3.4.Cubo COSO actualizado

18

Nivel

de Entid

ad

Div

isin

Un

idad

oper

ativa

Funci

n

Entorno de control

Evaluacin de riesgos

Actividades de control

Informacin y comunicacin

Actividades de monitorizacin


Formalizacin de principios

El Marco actualizado incorpora un total de 17 principios codificados asociados a los cincocomponentes de Control Interno, as como puntos de enfoque para cada uno de ellos. Dichosprincipios y puntos de enfoque comprenden criterios que pueden ayudar a la Direccin en el diseode un Sistema Control Interno efectivo y al supervisor a evaluar dicho Sistema y su efectividad. Losprincipios establecidos representan los conceptos fundamentales asociados a cada uno de los cincocomponentes. Todos ellos son de aplicacin a los tres objetivos de Control Interno establecidos ypretenden ampliar dicha aplicacin a todo tipo de organizaciones: cotizadas o no, pblicas y privadas,con y sin nimo de lucro, etc.

Los puntos de enfoque representan las principales caractersticas de cada uno de los principios, con elobjetivo de ayudar a las organizaciones a comprender y aplicar el Marco actualizado, abarcando todoslos aspectos relevantes de un Sistema de Control Interno.

La figura 3.5 detalla los diecisiete principios incorporados en la estructura actualizada:

Figura 3.5.Cubo COSO actualizado Principios y Componentes

19


IMPACTO

Adems de formalizar los 17 principios clave que desarrollan los componentes del control interno,el Marco actualizado define formalmente dos criterios clave para que un Sistema de ControlInterno sea efectivo:

Los cinco componentes deben estar integrados. Los 17 principios que los desarrollan deben ser adecuadamente aplicados en la organizacin.

Por tanto, gracias a la formalizacin de principios y puntos de enfoque (implcitos en el Marcooriginal y explcitos en el Marco actualizado), la Direccin, el Consejo de Administracin y elComit de Auditora cuentan con una descripcin ms detallada de los aspectos que pueden serrelevantes (puntos de enfoque) para el diseo, mantenimiento y supervisin de un Sistema deControl Interno efectivo.

En este sentido, el Marco actualizado facilita la labor de diseo y supervisin del Sistema deControl Interno y permite comprender con ms claridad el contenido, el significado y el impactoque los Sistemas de Control Interno implementados tienen a la hora de mitigar los riesgos de lacompaa.

Los principios y puntos de enfoque han introducido cambios clave en cada uno de los componentes,con el objetivo de mejorar y facilitar la implantacin y mantenimiento del Sistema de Control Interno.

Dichos cambios se enumeran a continuacin:

20

Cuadro 3.6.

x Se enfatiza la diferenciacin entre controles automticos y Controles Generales de Tecnologa.


21


Componentes Cambios clave

Entorno de Control x Se recogen en 5 principios la relevancia de la integridad y los valores ticos, la importancia de la filosofa de la Direccin y su manera de operar, la necesidad de una estructura organizativa, la adecuada asignacin de responsabilidades y la importancia de las polticas de recursos humanos.

x Se explican las relaciones entre los componentes del Control Interno para destacar la importancia del Entorno de Control.

x Se reflejan las lecciones aprendidas sobre la integridad y los comportamientos ticos.

x Se ampla la informacin sobre el Gobierno Corporativo de la organizacin, reconociendo diferencias en las estructuras, requisitos, y retos a lo largo de diferentes jurisdicciones, sectores y tipos de entidades.

x Se enfatiza la supervisin del riesgo y la relacin entre riesgo y la respuesta al mismo.

x Se enfatiza la necesidad de adaptar el entorno de control a la estructura organizativa.

Evaluacin de Riesgos x Se ampla la categora de objetivos de reporting, considerando todas las tipologas de reporting internos y externos.

x Se aclara de manera explcita que la evaluacin de riesgos incluye la identificacin de riesgos, su anlisis y la respuesta.

x Se incluyen los conceptos de velocidad y persistencia de los riesgos como criterios para evaluar la criticidad de los mismos.

x Se considera la tolerancia al riesgo en la evaluacin de los niveles aceptables de riesgo.

x Se incluyen los cambios en los factores internos y externos de cada organizacin, como elementos a gestionar por la Direccin para disear el Sistema de Control. Considera de manera especfica el riesgo asociado a las fusiones, adquisiciones y externalizaciones.

x Se ampla la consideracin del riesgo de fraude.

Actividades de Control x Se indica que las actividades de control son acciones establecidas por polticas y procedimientos.

x Se considera la evolucin de la tecnologa desde 1992.

Entre los cambios clave introducidos en los componentes, a travs de los nuevos principios y puntosde enfoque, conviene profundizar en los siguientes:

Lecciones aprendidas en cuanto a integridad y valores ticos

Segn el Marco actualizado, una organizacin que establece y mantiene un adecuado entorno decontrol es ms fuerte a la hora de afrontar riesgos y conseguir sus objetivos. Esto lo consigue gracias a:

Actitudes congruentes con su integridad y valores ticos. Procesos y estructuras adecuados para la evaluacin de conductas. Asignacin adecuada de responsabilidades (por ejemplo, respetando la segregacin de

funciones). Un elevado grado de competencia y un fuerte sentido de la responsabilidad para la

consecucin de los objetivos.

22

Informacin y Comunicacin

x Se enfatiza la relevancia de la calidad de la informacin dentro del Sistema de Control Interno.

x Se profundiza en la necesidad de informacin y comunicacin entre la empresa y terceras partes.

x Se enfatiza el impacto de los requisitos regulatorios sobre la seguridad y proteccin de la informacin.

x Se refleja el impacto que tienen la tecnologa y otros mecanismos de comunicacin en la rapidez y calidad del flujo de informacin.

Actividades de Monitorizacin

x Se clarifica la terminologa, definiendo dos categoras clave de actividades de monitorizacin: evaluaciones continuas \ evaluaciones independientes

x Se aade la necesidad de entender cmo establecer y evaluar las evaluaciones continuas y las independientes.

x Se profundiza en la relevancia del uso de la tecnologa y los proveedores de servicios externos.


IMPACTO

En lnea con las lecciones aprendidas sobre la integridad y los valores ticos que refleja el Marcoactualizado, la CNMV recomienda contar con un Cdigo tico y un canal de denuncias a diseare implantar por la Alta Direccin. El Cdigo tico supone una declaracin de intenciones clarapara toda la organizacin. Sin embargo, es importante considerar la posible dicotoma entre losvalores ticos realmente promovidos y aplicados y los valores ticos incluidos formalmente en elCdigo tico, dado que no siempre estn alineados, lo que puede dificultar el funcionamiento delos Sistemas de Control Interno.

Para mejorar en este sentido, el Consejo de Administracin y la Direccin debern acometer, tal ycomo refleja el Marco actualizado, las siguientes actuaciones:

El Consejo de Administracin y la Direccin debern demostrar, a travs de sus directrices,acciones y comportamientos, la importancia de la integridad y los valores ticos para elfuncionamiento del Sistema de Control Interno.

Las expectativas del Consejo de Administracin y de la Alta Direccin, referentes a laintegridad y los valores ticos, debern estar definidas en los estndares de conducta de laorganizacin (por ejemplo, el Cdigo de Conducta) y debern ser entendidas por todos losniveles de la organizacin, as como por los socios clave y proveedores de servicios externos.

Ser necesario contar con procesos para evaluar la actuacin de los empleados y de losequipos dentro de la organizacin, en lo relativo a los estndares de conducta de lacompaa.

Las desviaciones con respecto a dichos estndares debern estar identificadas y solucionadasen un espacio de tiempo y modo adecuados.

Aspectos de Gobierno Corporativo

El Marco actualizado incluye una descripcin detallada del Consejo de Administracin y sus comitso comisiones delegadas (Comit de Auditora, Comit de Retribuciones, Comit de Nombramientos).

El Consejo de Administracin es el responsable de supervisar el Sistema de Control Interno. En estesentido, asume un rol fundamental en la definicin de las expectativas en cuanto a la integridad y losvalores ticos, la transparencia y la responsabilidad en el marco del funcionamiento del Sistema deControl Interno.

A menudo, el Consejo de Administracin acta a travs de comits o comisiones delegadas, si bien,dependiendo de la jurisdiccin y la naturaleza de la organizacin, la estructura de gobierno puedevariar. En aquellos casos en los que no se haya creado un comit en concreto, las funciones atribuiblesal mismo debern ser realizadas directamente desde el Consejo de Administracin.

23


La figura 3.7. muestra un ejemplo de estructura de Consejo de Administracin y sus comits ocomisiones delegadas. En la figura 3.8. se detallan las funciones de cada uno de los comits del Consejo.

Figura 3.7.Ejemplo de Consejo de Administracin y sus comits

Cuadro 3.8.

24


Si bien actualmente, en Espaa existen nicamente dos empresas del IBEX que tienen diferenciadaslas Comisiones de Retribuciones y Nombramientos, las nuevas competencias asignadas en materia deretribucin harn, que en un futuro prximo, aumente el nmero de empresas que tengan estasComisiones separadas.

IMPACTO

El marco describe los roles y responsabilidades del Consejo y sus comits o comisiones delegadas.Asimismo, reconoce la diferencia de estructuras dependiendo de las distintas jurisdicciones, sectoresy tipos de entidades. El Marco actualizado ha querido reflejar la creciente relevancia del Consejo deAdministracin en el Sistema de Control Interno. En este sentido, conviene destacar que, segnrecientes encuestas a consejeros de compaas cotizadas espaolas , los Consejos de Administracincada vez dedican mayor parte de su tiempo a la Gestin de Riesgos y Control Interno.

En esta misma lnea, de acuerdo con una Encuesta anual de PwC a consejeros de las principalesempresas a nivel mundial, un 57% de los entrevistados manifest la necesidad de reforzar el reade gestin de riesgos.

El Principio 3 establece que la Direccin y el Consejo de Administracin tienen que considerar laestructura organizativa de la empresa (incluyendo unidades operativas, entidades legales,distribucin geogrfica y proveedores de servicios externalizados) para lograr la consecucin de losobjetivos de control interno y la gestin de riesgos.

Asimismo, debern establecer las lneas de reporting adecuadas para planificar, ejecutar, controlar,y evaluar peridicamente las actividades de la entidad.

En este sentido, el Marco reconoce que la comunicacin entre el Consejo, sus Comisionesdelegadas y la Direccin deber ser fluida y continua.

En el Estudio sobre Comits de Auditora 2012, se pone de manifiesto que los Comits deAuditora dan cada vez ms relevancia, no slo a la comunicacin con el Consejo, sino tambin surelacin con la funcin de auditora interna y con el auditor externo.

Por otro lado, de acuerdo con el Informe sobre El futuro de la Comisin de Nombramientos yRetribuciones, esta Comisin pasar a asumir un papel clave en la supervisin de los riesgos;especialmente en aquellos relacionados con los riesgos financieros (entre los que se encuentran losrelativos a planes retributivos, de pensiones, ) y estratgicos (sucesin, nombramientos, ). Estasituacin tendr una clara incidencia en la relacin que mantenga la Comisin de Nombramientosy Retribuciones con los rganos responsables de la gestin de riesgos y control interno.

25


Criterios de evaluacin de riesgos

El nuevo Marco aclara que la gestin de riesgos incluye la identificacin, el anlisis y la respuesta a losmismos, incluyendo nuevos criterios de anlisis, tales como velocidad y persistencia:

La velocidad del riesgo se refiere a la rapidez con la que impacta un riesgo en la organizacinuna vez se ha materializado; es decir, hace referencia al ritmo con el que se espera que laentidad experimente el impacto.

La persistencia de un riesgo hace referencia a la duracin del impacto despus de que el riesgose haya materializado.

IMPACTODe acuerdo con los puntos de enfoque recogidos en el principio 7, la Direccin debe entender latolerancia al riesgo de la organizacin y evaluar si existen mecanismos adecuados para laidentificacin y el anlisis de riesgos.

Por otro lado, la Direccin debe evaluar la consideracin de factores externos e internos en laidentificacin de los riesgos que afectan a los objetivos, analizar la relevancia potencial de losriesgos identificados y determinar la respuesta a los mismos.

En Julio de 2010, el Grupo de Trabajo de Control Interno de la CNMV emiti un informe8 en elque se recomendaba identificar y analizar los riesgos asociados al logro de los objetivos como basepara determinar qu controles deben ser implantados. A partir de la evaluacin y seleccin de losriesgos relevantes que afectan a los objetivos de la compaa, la Direccin determinar cules sonlos procesos relevantes que requieren la implantacin de actividades de control y seleccionarmecanismos de control para mitigarlos. Para ello, debe considerar aspectos clave especficos de laorganizacin, como por ejemplo, la naturaleza y complejidad de las operaciones, y disear laactividad de control ms adecuada para cada uno de los riesgos a gestionar mediante el Sistema deControl Interno.

Riesgos derivados del crecimiento, las fusiones y adquisiciones

En el entorno actual, las organizaciones se expanden ms all del mercado domstico. En este sentido,el crecimiento inorgnico se convierte en un mecanismo de apoyo para la generacin de valor. ElMarco actualizado considera especficamente los riesgos derivados del crecimiento internacional, de lasfusiones y de las adquisiciones. Tanto las adquisiciones como las desinversiones de negocios puedenimpactar en el alineamiento entre los Sistemas de Control Interno y los objetivos de las entidades, loque se deber tener en cuenta a la hora de evaluar su efectividad.

26

8 Informe sobre el Control Interno de la Informacin Financiera del grupo de Trabajo sobre Control Interno de la CNMV, de Junio 2010.


IMPACTO

Los mercados cambian y las organizaciones tienen que adaptarse y evolucionar. Como parte de laevaluacin de riesgos, la Direccin debe identificar los cambios que pueden impactarsignificativamente en el Sistema de Control Interno de la entidad y tomar medidas. Este procesose ejecuta en paralelo, o es una parte del proceso de evaluacin de riesgos, lo cual requiere laidentificacin y comunicacin de los cambios que puedan afectar a los objetivos de la entidad, paraas evaluar los riesgos asociados.

El crecimiento inorgnico normalmente conlleva nuevos riesgos, por tanto la Direccin debetomar las medidas necesarias para adaptar su Sistema de Control Interno y para planificar eintegrar nuevas adquisiciones. De este modo, recae en ellos la responsabilidad de la reevaluacinde riesgos y la actualizacin del permetro de control. De hecho, la CNMV ya considera estaposibilidad entre los indicadores bsicos de informacin y sus recomendaciones9.

Por otro lado, es necesario destacar que la Encuesta de Auditora Interna 201210 refleja que ms del50% de los Directores de Auditora Interna y Grupos de Inters relevantes consideran que el riesgorelativo a las fusiones y adquisiciones no est siendo bien gestionado en su compaa.

En cuanto al crecimiento internacional, desarrollar negocios en nuevas geografas puede ayudar ala compaa a crecer y/o reducir costes, pero tambin puede presentar nuevos retos y alterar lostipos y extensin de los riesgos. Operar en mercados desconocidos conlleva tambin riesgosnuevos. De hecho, el Sistema de Control Interno se suele ver afectado e influenciado por la culturay costumbres locales (principio 9).

Cuando las operaciones se expanden rpida y significativamente, las estructuras existentes, losprocesos de negocio, los sistemas de informacin o los recursos pueden verse afectados hastael punto en el que el Sistema de Control Interno deje de ser efectivo. Este aspecto cobraespecial relevancia en Espaa, donde la mayora de las grandes empresas piensa en elcrecimiento internacional, tal y como queda reflejado en la Encuesta a la Alta Direccin enEspaa 201111.

27


9 Informe de Control Interno de la Informacin Financiera del grupo de Trabajo sobre Control Interno de la CNMV, de Junio 2010.10 Encuesta de la funcin de Auditora Interna 2012 de PwC Se estn cubriendo las expectativas sobre la funcin de auditora interna?11 4. Encuesta de Alta Direccin en Espaa 2011 elaborada por PwC: Reinventando el crecimiento.

Ampliacin del concepto de fraude

El Marco de 1992 ya recoga el concepto de fraude en el apartado dedicado a la evaluacin de riesgos,haciendo referencia a la importancia de la existencia de una adecuada estructura organizativa yactividades de supervisin que garantizasen la preparacin de estados financieros fiables y libres deerrores materiales o informacin fraudulenta. La versin actualizada incrementa de maneraconsiderable el anlisis del fraude y lo incluye adems como uno de los diecisiete principios de ControlInterno, amplindolo de manera explcita. Concretamente, el Marco actualizado establece la necesidadde considerar el riesgo de fraude potencial que pueda afectar a la consecucin de los objetivos de laorganizacin en el principio 8: Gestin del riesgo de fraude. As, mientras que en el Marco de 1992slo se contemplaba el concepto de fraude en el reporting, en el Marco actualizado se ampla esteconcepto en el citado principio 8, en el que se hace referencia a la consideracin de varios tipos defraude, enfatizando as el anlisis y gestin del fraude dentro del Marco de Control Interno de lasorganizaciones.

Se aportan una serie de puntos de enfoque para que la Direccin evale si este principio est presentey funcionando:

La evaluacin del fraude considera el reporting fraudulento, posible prdida de activos, ycorrupcin;

La evaluacin de riesgo de fraude evala incentivos y presiones; La evaluacin de riesgo de fraude tiene en consideracin el riesgo de fraude por adquisiciones

no autorizadas, uso o enajenacin de activos, alteracin de los registros de informacin, u otrosactos inapropiados;

La evaluacin del riesgo de fraude considera cmo la Direccin u otros empleados participanen o justifican acciones inapropiadas.

El Marco actualizado define varios tipos de fraude:

Reporting fraudulento; Custodia de activos; Corrupcin.

Las organizaciones pueden mitigar la probabilidad de los riesgos relacionados con el fraude a travs deactuaciones en otros componentes del Sistema Control Interno o haciendo cambios en las unidadesoperativas de la entidad, procesos de negocio o actividades desarrolladas.

28


La segregacin de funciones, por ejemplo, es fundamental a la hora de mitigar el riesgo de fraude, yaque reduce la probabilidad de actuaciones fraudulentas por parte de una sola persona.

IMPACTO

Un punto que preocupa hoy en da a los distintos Grupos de Inters y en especial a los Comitsde Auditora, es el riesgo de fraude. As queda reflejado en todos los estudios relacionados con elControl Interno o similares que se han realizado en los ltimos aos.12

El Marco actualizado refleja asimismo su relevancia, definiendo tipos de fraude y estableciendopuntos de enfoque para la identificacin del riesgo y el establecimiento de mecanismos de control.Los mismos principios y puntos de enfoque ayudarn a su vez a los Comits de Auditora y a lasfunciones de auditora interna a evaluar si la Direccin ha considerado todos ellos a la hora dedisear los controles mitigadores del riesgo de fraude y, en consecuencia, la existencia de unSistema de Control Interno efectivo en lo que a fraude se refiere.

Dada la categorizacin del riesgo de fraude como un principio por s mismo, las empresas quedemuestren contar con Sistemas de Control Interno efectivos, aportarn una mayor fiabilidadhacia los distintos Grupos de Inters, puesto que un Sistema de Control Interno efectivopresupone haber considerado todos los principios en el Sistema de Control Interno diseado eimplementado.

Formalizacin de los controles en polticas y procedimientos

El Marco actualizado, a travs del principio 12 y sus puntos de enfoque, establece cmo la Direccinpuede evaluar si la organizacin est desarrollando actividades de control a travs de polticas. Dichaspolticas deben marcar las lneas generales de actuacin para toda la organizacin y deben estardesarrolladas en procedimientos con mayor nivel de detalle.

Las polticas establecen las declaraciones de lo que la Direccin quiere hacer para alcanzar un nivel decontrol adecuado. Deben estar documentadas, aparecer de manera explcita en las comunicaciones oimplcitas en las acciones y decisiones de la Direccin. Los procedimientos consisten en documentosa travs de los cuales se implementan las polticas.

29


12 Informe sobre el Control Interno de la Informacin Financiera del grupo de Trabajo sobre Control Interno de la CNMV, de Junio 2010.Encuesta de la funcin de Auditora Interna 2012 de PwC Se estn cubriendo las expectativas sobre la funcin de auditora interna?Estudio sobre los Comits de Auditora del 2012: Contexto Regulatorio, Buenas Prcticas y Tendencias del Centro de Gobierno Corporativo encolaboracin con PwC.

IMPACTO

Los controles deben estar reflejados en polticas y procedimientos, ya que el Marco actualizadoinsiste en la necesidad de formalizacin. En este sentido, es necesario contraponer formalizacin aburocratizacin, ya que muchas veces se considera que van de la mano. Nada ms lejos de larealidad, una formalizacin adecuada, evita la burocratizacin y aporta eficacia y eficiencia en lasoperaciones y la toma de decisiones, adems de aportar confort a los rganos de gobierno en lacobertura de sus responsabilidades. La Alta Direccin debe considerar la formalizacin de suscontroles, evitando el control informal y la confianza como mtodo de control. Dichaformalizacin ayuda a cumplir con los objetivos de negocio y del Sistema de Control Interno yaporta facilidad y eficiencia a las tareas de supervisin.

La tecnologa

Por su relevancia y amplitud, el cambio a nivel de tecnologa se ha tratado en un punto especfico msadelante dentro del presente epgrafe.

Modelo de supervisin por parte del Consejo de Administracin y la Alta Direccin

El Marco actualizado formaliza el principio 2 del componente Entorno de Control, en el que seestablece que el Consejo de Administracin debe demostrar independencia de la Direccin de lacompaa y ejercitar la supervisin del Sistema de Control Interno. Como en el resto de principios,existen puntos de enfoque para ayudar a determinar si el principio est funcionandoadecuadamente:

Responsabilidades de supervisin: El Consejo de Administracin debe identificar y formalizarsus responsabilidades de supervisin. Para ello, debe considerar la normativa aplicable y lasexpectativas de los Grupos de Inters clave.

Expertise relevante: El Consejo de Administracin debe definir y mantener actualizadas lashabilidades y el expertise necesarios para cumplir con sus responsabilidades de supervisin.Para ello, peridicamente debe evaluar las habilidades de sus miembros.

Independencia: El Consejo debe contar con un nmero suficiente de miembrosindependientes y ser independiente y objetivo a la hora de ejercer la supervisin.

Supervisin del Sistema de Control Interno: El Consejo de Administracin tiene laresponsabilidad ltima de supervisin sobre el Sistema de Control Interno.

A continuacin (Cuadro 3.9) se muestra un ejemplo de las actividades de supervisin del Consejode Administracin, elaborado a partir de las responsabilidades clave incluidas en el Marcoactualizado:

30


Cuadro 3.9.

31


Componentes Actividades de Supervisin del Consejo

Entorno de Control x Actuar con independencia y objetividad en representacin de los accionistas y otros inversores clave.

x Definir una estructura de supervisin adecuada a las necesidades de la organizacin.

x Supervisar la definicin de los estndares de conducta de la organizacin y evaluar su nivel de aplicacin.

x Evaluar la actuacin del CEO13 y la Alta Direccin en materia de Control Interno en funcin de las expectativas y objetivos pre-definidos.

x Evaluar la efectividad de los Controles Generales de la Organizacin e identificar oportunidades de mejora.

x Realizar seguimiento de las mejoras identificadas y solicitar informacin a la Alta Direccin sobre la implantacin de las mismas.

Evaluacin de Riesgos x Considerar factores externos e internos que pueden suponer riesgos relevantes para la consecucin de los objetivos.

x Supervisar y aprobar las evaluaciones de riesgos realizadas por la Direccin.

x Evaluar la proactividad de la organizacin en relacin al control frente a cambios relevantes (por ejemplo, innovacin, cambios tecnolgicos, etc.)

Actividades de Control x Solicitar informacin sobre el diseo, desarrollo, implantacin y funcionamiento de las actividades de control en las reas con mayor nivel de riesgo.

x Evaluar el desempeo de la Alta Direccin en relacin a las actividades de control clave.

Informacin y Comunicacin

x Comunicar adecuadamente la visin, misin y valores a la RUJDQL]DFLyQ7RQHDWWKH7RS

x Solicitar la informacin necesaria para supervisar el nivel de consecucin de los objetivos de Control Interno.

x Examinar la informacin recibida de la organizacin y presentar diferentes puntos de vista.

x Revisar el reporting externo para que cumpla con los objetivos de Control Interno (totalidad, exactitud, etc.)

x Promover la comunicacin hacia la Direccin y viceversa. x Supervisar el reporting interno que sea relevante para la

toma de decisiones.

13 Chief Executive Officer o Consejero Dejegado.

Por otro lado, en el principio 16 (del componente Monitorizacin de Actividades), se introducen losconceptos de evaluaciones continuas (ongoing evaluations) y evaluaciones independientes(separate evaluations). Este principio, y sus 7 puntos de enfoque, establecen que la Direccin es laresponsable de decidir el equilibrio entre dichas evaluaciones y el alcance y frecuencia de las mismasen funcin de los riesgos.

Las evaluaciones continuas se refieren generalmente a operaciones peridicas realizadas por los propiosresponsables de los procesos de negocio. Permiten una supervisin en tiempo real y gran rapidez deadaptacin. Las evaluaciones independientes se llevan a cabo peridicamente por personalindependiente dentro de la Direccin, auditores internos y/o terceros. El objetivo y la frecuencia delas evaluaciones independientes dependen de la decisin de la Direccin.

Generalmente, la Direccin utiliza un mix de ambos tipos de evaluaciones para asegurarse de que loscinco componentes estn funcionando adecuadamente.

IMPACTO

El Marco actualizado delimita ms claramente que el original las responsabilidades de supervisindel Consejo de Administracin y define explcitamente las actividades que este ltimo debe ejecutar.

Este cambio tiene una doble vertiente para los Consejos de Administracin. Por un lado, ayuda ala planificacin de sus actividades de supervisin del Sistema de Control Interno, normalmenterealizadas a travs de la Comisin de Auditora. En este sentido, ahora dichos Comits cuentancon una herramienta ms clara para cumplir con su responsabilidad de supervisin de la eficaciadel Sistema de Control Interno, tal y como se establece de manera implcita en la legislacinespaola.

Por otro lado, de manera implcita, se delimitan ms claramente las obligaciones en relacin a lasupervisin del Sistema de Control Interno, entre las que podemos destacar las siguientes:

La supervisin del Consejo debe estar apoyada por funciones de soporte y procesos en lapropia organizacin.

El Consejo de Administracin debe ser independiente de la Direccin y debe demostrar lashabilidades y expertise necesarios para llevar a cabo sus responsabilidades.

La composicin del Consejo debe adaptarse a las necesidades de cada organizacin y lasexpectativas de los Grupos de Inters clave.

Etc.

32


La mayor parte de estas obligaciones ya estn incluidas en la legislacin aplicable o ya son asumidasde manera expresa por la mayor parte de los Consejos de Administracin y Comisiones deAuditora, tal y como puede desprenderse de estudios recientes sobre la materia.14

Por otro lado, aunque el Marco actualizado establece de forma detallada las actividades desupervisin del Consejo de Administracin a travs del Comit de Auditora, no resalta larelevancia de la funcin de auditora interna como punto de apoyo clave de este ltimo. Tal y comoqueda reflejado en el Estudio sobre los Comits de Auditora del 2012, es necesario destacar larelevancia que dan los Comits de Auditora a la labor de la funcin de auditora interna, as comoal hecho de tener con ella una adecuada y fluida comunicacin. Adems, siguiendo la lnea de lasrecomendaciones de los reguladores de la mayora de pases en Europa y Estados Unidos, esprevisible que las actividades de supervisin incluidas en el Marco actualizado sean delegadas ensu mayora en la funcin de auditora interna.

En cuanto a la supervisin por parte de la Direccin, con la introduccin de los conceptos deevaluaciones continuas y evaluaciones independientes, el Marco actualizado facilita laeficiencia de las evaluaciones soporte a la responsabilidad de supervisin del Consejo deAdministracin.

El Marco actualizado establece la necesidad de que la Direccin se responsabilice de definir laopcin ms conveniente entre el mix de acciones de supervisin continuas e independientes.Aunque no se incluye de manera explcita en el Marco actualizado, es necesario destacar el papelde la funcin de auditora interna en dicha definicin, tal y como se refleja en el MarcoInternacional para la Prctica Profesional de la Auditora Interna. En la misma lnea, la Encuestade la funcin de Auditora Interna 201215 refleja que tanto los Directores de Auditora Internacomo sus Grupos de Inters clave, otorgan cada vez mayor relevancia a dicha funcin en laevaluacin de riesgos y la delimitacin de las actividades de supervisin.

MBITO DE APLICACIN

Ampliacin del mbito de aplicacin del Sistema de Control Interno

La estructura de la organizacin, representada en la tercera dimensin del cubo, tanto en el Marcooriginal como en el actualizado, est directamente relacionada con los objetivos y con los componentesdel Sistema de Control Interno, y representa el mbito de aplicacin del mismo.

33


14 Por ejemplo, el Estudio sobre los Comits de Auditora del 2012: Contexto Regulatorio, Buenas Prcticas y Tendencias del Centro de GobiernoCorporativo en colaboracin con PwC.

15 Encuesta de la funcin de Auditora Interna 2012 de PwC Se estn cubriendo las expectativas sobre la funcin de auditora interna?

El Marco actualizado ampla el mbito de aplicacin, para incluir todos los niveles de la organizacinde manera explcita: entidad, divisiones, unidades operativas y funciones. Esta modificacin sevisualiza en el nuevo cubo de COSO actualizado, presentado en la figura 3.10:

Figura 3.10.Cubo COSO actualizado Cubo de COSO original

Adicionalmente, el Marco actualizado contempla la relevancia que los procesos externalizados hancobrado en las organizaciones en los ltimos aos. As, incluye responsabilidades en lo referente alControl Interno, no slo para las operaciones llevadas a cabo internamente, sino tambin para aquellasque han sido externalizadas.

IMPACTO

El Marco actualizado, se desglosa de una manera ms detallada y ampla la estructura de la entidadpara lograr un mejor entendimiento de la relacin existente entre la matriz, sus divisiones, susunidades operativas y sus funciones transversales (tanto internas como externas). Con esta nuevadistribucin se pretende mostrar la estrecha relacin entre todas las partes que forman la entidady la necesidad de establecer un Sistema de Control Interno que aplique al negocio, considerndolode manera amplia (incluyendo actividades y funciones externalizadas).

La ampliacin del alcance tambin impacta en los rganos de supervisin (Comit de Auditora),que deber incluir entre sus planes de revisin el Control Interno en las nuevas adquisiciones y enlas actividades externalizadas que sean relevantes para la creacin de valor y la consecucin de losobjetivos por parte del negocio.

En la misma lnea, la CNMV16 recomienda que el Sistema de Control Interno incluya lasoperaciones externalizadas que son clave para el negocio o pueden representar riesgos relevantes.

34

a

M

mrofnI

aa2

tttd

adaa

cttdd

iiidda

Un

n

Unnn

cnd

nc

AAAAt

Ac

A

nn c i cac UU UUca

tt

c n a

n

UUUUUc

iio

c

n

c

n

o i ni

n

o nn

cainu UmoCyniic

iczairotinnnnno daddddi

vitccccc

Aa

ddivi

tcAAAAA

in

UUU

o

u

i

a

tnE

lavE

vitcA

mrofnI

n

1dd

n dddaB

d

i

o

i go

r

i

nn

sgooogo

lll

iiiu

dd

gogo

o

i s

ra

i

oolo

AA

r

gos

Add

go

daaai

n

u

rr

u

d n o

i

d

c i

daa

c

dii

a

s

dd

Uiii na ic iin ac

r

U

n

UUUUdi

nn

ooortnoCedonrrro

goseiRRiednccccccccaa

orrttno

a

Cedsedaaaddd

canu UmoCync d

daddddi

Un

Udaaaa

d



TECNOLOGA

La versin actualizada tiene en cuenta el considerable aumento del uso de la tecnologa en los ltimosaos, as como la consideracin de que los cambios tecnolgicos pueden impactar en la manera en la quese implementan los componentes del Control Interno dentro de las organizaciones. Por ello, el Marcoactualizado incluye principios que abordan de forma detallada los Controles Generales de Tecnologa.

Las actividades de control y la tecnologa se relacionan de dos formas:

La tecnologa apoya a los procesos de negocio: cuando la tecnologa est integrada en losprocesos de negocio, se necesitan actividades de control para mitigar el riesgo de que deje defuncionar correctamente.

La tecnologa se utiliza para automatizar las actividades de control: muchas actividades decontrol dentro de una organizacin estn parcial o completamente automatizadas.

Las actividades de control sobre la tecnologa, que son diseadas para apoyar su continuidad y otrasactividades de control automatizadas, se denominan Controles Generales de Tecnologa.

El principio 11 (del componente Actividades de Control) dice que la organizacin selecciona ydesarrolla las actividades de control generales sobre la tecnologa para apoyar la consecucin de losobjetivos. Existen determinados criterios para determinar si este principio est presente y funcionando:

La Direccin entiende y determina la dependencia y la vinculacin entre los procesos denegocio, las actividades de control automatizadas y los Controles Generales de Tecnologa.

La Direccin selecciona y desarrolla actividades de control diseadas e implementadas paraayudar a asegurar la completitud, precisin y disponibilidad de la tecnologa.

La Direccin selecciona y desarrolla actividades de control diseadas e implementadas pararestringir los derechos de acceso, con el fin de proteger los activos de la empresa de amenazasexternas.

La Direccin selecciona y desarrolla actividades de control sobre la adquisicin, desarrollo ymantenimiento de la tecnologa y su infraestructura.

La tecnologa necesita una infraestructura en la que operar, la cual puede ser compleja y puede sercompartida por diferentes unidades de negocio de la organizacin. Estas complejidades presentanriesgos que necesitan entenderse y localizarse.

Los Controles Generales de Tecnologa incluyen actividades de control sobre la infraestructura de latecnologa, la gestin de la seguridad, y la adquisicin, el desarrollo y el mantenimiento de la misma.Estos controles, una vez, incluidos en una metodologa de desarrollo, variarn dependiendo de losriesgos especficos de la tecnologa disponible. Un entorno tecnolgico complejo tendr,generalmente, mayores riesgos que uno ms sencillo.

35


Figura 3.11.

IMPACTO

En el contexto actual, la infraestructura tecnolgica de las organizaciones puede ser muy complejay, dependiendo de la compaa, las unidades de negocio pueden compartir la tecnologa o contarcon una infraestructura distinta. Asimismo, muchas compaas optan por externalizar serviciosrelacionados con la tecnologa de la informacin. Esta complejidad requiere que la Direccinentienda los riesgos existentes e implemente actividades de control adecuadas. Para ello, esimportante que entienda la dependencia entre los procesos de negocio, los llamados controlesautomticos y los Controles Generales de Tecnologa de la informacin.

En este sentido, cabe destacar que la efectividad de los controles automticos depender de laefectividad de los Controles Generales de Tecnologa de la informacin. A modo de ejemplo, lasrevisiones peridicas de los derechos de acceso a las aplicaciones contribuyen a proteger a la entidadde un uso no autorizado. Del mismo modo, los controles relacionados con la introduccin decambios en las aplicaciones pueden afectar a parametrizaciones en las que se basen los controlesautomticos. Por tanto la Direccin deber entender el impacto que el diseo y funcionamiento delos Controles Generales de Tecnologa tienen en el funcionamiento de los controles automticos.

De la misma manera, el Marco actualizado resalta la relevancia de los riesgos tecnolgicos en lasorganizaciones, proporcionando, a travs de los principios y los puntos de enfoque, informacinque sirva de gua a la hora de disear, garantizar y supervisar el funcionamiento de los mecanismosde control de riesgos tecnolgicos. Cabe destacar la importancia que se le da al anlisis de laintegracin de la tecnologa en los diferentes procesos a la hora de evaluar los riesgos. Dichaimportancia est en lnea con los resultados obtenidos en la Encuesta de la Profesin de laAuditora Interna 2012, que realiza PwC cada ao17. En dicha encuesta, tanto los responsables deauditora interna como los miembros de los Comits de Auditora consultados, otorgan una granrelevancia a los riesgos tecnolgicos y esperan una mayor dedicacin por parte de la funcin deauditora interna en los prximos aos.

36

17 Encuesta de la funcin de Auditora Interna 2012 de PwC Se estn cubriendo las expectativas sobre la funcin de auditora interna?


NORMATIVA Y ESTNDARES EXTERNOS

Adaptacin a la mayor complejidad de las leyes, normas, regulaciones y estndares

El objetivo de los reguladores u otras organizaciones a la hora de establecer, cambiar y aprobar leyes yestndares es defender y proteger a los diferentes Grupos de Inters y aumentar la confiabilidad delreporting de las organizaciones.

Los cambios en materia de regulacin pueden estar potenciados por circunstancias muy distintas,como pueden ser las experiencias en cuanto a fallos de cumplimiento por parte de las organizaciones,las necesidades en materia de reporting de diferentes Grupos de Inters, etc. Los cambios regulatoriospueden tener a su vez implicaciones que las organizaciones necesitarn analizar, para evaluar posiblesimpactos en sus Sistemas de Control Interno.

IMPACTO

Los cambios legislativos que se han producido en los ltimos aos han derivado en un incrementode las exigencias a los Comits de Auditora en materia de supervisin de los mecanismos decontrol de riesgos y los Sistemas de Control Interno de la informacin financiera.

Gracias a la inclusin de principios y puntos de enfoque en el Marco actualizado, los Comits deAuditora van a contar con pautas ms detalladas que podrn utilizar como hilo conductor a lahora de evaluar la efectividad de los Sistemas de Control Interno, tanto desde el punto de vista deldiseo, como de su funcionamiento.

Cambios recientes en la regulacin espaola: La Directiva 2006/43/CE del Parlamento Europeo y del Consejo establece que el Comit de

Auditora deber supervisar la eficacia del Control Interno de la empresa, as como lossistemas de Gestin de Riesgos.

La disposicin adicional 18 de la Ley del Mercado de Valores incorpora la obligacin porparte de los Comits de Auditora de supervisar la eficacia del Control Interno de lasociedad, la auditora interna, en su caso, y los sistemas de Gestin de Riesgos, as comodiscutir con los auditores de cuentas o sociedades de auditora las debilidades significativasdel Sistema de Control Interno detectadas en el desarrollo de la auditora.

La publicacin en el Boletn Oficial del Estado de la Ley 2/2011, de 4 de Marzo, de EconomaSostenible introdujo el artculo 61bis en la Ley del Mercado de Valores, derogando los artculos116 y 116bis de la misma ley. Este artculo obliga a las sociedades annimas cotizadas a hacerpblico anualmente un informe de Gobierno Corporativo, que incluya, entre otros, unadescripcin de las principales caractersticas de los sistemas de Control Interno y Gestin deRiesgos en relacin con el proceso de emisin de la informacin financiera.

37


El Cdigo Unificado de Buen Gobierno recomienda que las sociedades cotizadas cuentencon un departamento de auditora interna, supervisado por el Comit de Auditora, con elobjetivo de velar por el buen funcionamiento de los sistemas de informacin y ControlInterno. El Comit tiene que supervisar el proceso de elaboracin y la integridad de lainformacin financiera; revisar los sistemas de Control Interno y Gestin de Riesgos, paraidentificar y gestionar los principales riesgos; velar por la independencia y eficacia de lafuncin de auditora interna; y establecer y supervisar un sistema de comunicacin internapara informar de deficiencias a la Direccin.

En este contexto, la CNMV constituy un Grupo de Trabajo de Control Interno sobre laInformacin Financiera (GTCI), que public en 2010 un documento18 con recomendaciones, unagua para la preparacin de la descripcin del Sistema de Control Interno, pautas de actuacin parallevar a cabo la supervisin de los Sistemas de Control Interno de la informacin financiera(SCIIF) y un modelo de procedimientos para la revisin por el auditor externo. Para la elaboracinde este documento, el GTCI tom el informe COSO para establecer el Marco de referencia deControl Interno sobre la informacin financiera.

OTROS CAMBIOS RELEVANTES

Comparacin de COSO con Enterprise Risk Management- Integrated Framework (COSO II)

En 2004, COSO public el Enterprise Risk Management - Integrated Framework (tambin conocidocomo Marco ERM o COSO II), el cual establece un Marco para la Gestin Integral de Riesgos y sirvecomo gua para ayudar a empresas y otras entidades a aplicar sus actividades de Gestin de Riesgos.El Marco identifica y describe ocho componentes necesarios para una Gestin Integral de Riesgosefectiva.

ERM define la Gestin Integral de Riesgos como un proceso aplicado a la manera de definir laestrategia de la empresa y diseado para identificar los eventos ms relevantes que puedan afectar a lagestin del riesgo.

El Control Interno est integrado dentro de la Gestin Integral de Riesgos, mientras el cual, a suvez, es parte del proceso global de gobierno y planificacin estratgica, como muestra la siguientefigura.

38

86 En este sentido puede verse el Informe del Gabinete Jurdico de la Agencia Espaola de Proteccin de Datos nm. 0342/2008



Figura 3.12.

Tanto el Marco actualizado como ERM especifican las tres categoras de objetivos (operaciones,reporting y cumplimiento), aunque las tratan de diferente forma. Adicionalmente, ERM introduceuna cuarta categora: objetivos estratgicos. sta, opera a un nivel superior que el resto de categoras yfluye de la misin o la visin de la empresa, mientras que los otros tres objetivos deben estar alineadoscon ellas. ERM se utiliza a la hora de establecer estrategias, as como para la consecucin de las otrastres categoras de objetivos.

La Gestin Integral de Riesgos (COSO II) va ms all, ya que considera el establecimiento de losobjetivos de negocio y el nivel de riesgo que est dispuesta a asumir la compaa, cmo se crean ymitigan los riesgos a travs de las elecciones de estrategias y cmo los riesgos emergentes impactan enla organizacin. Sin embargo, el Control Interno (COSO I) se centra en si la organizacin estmitigando los riesgos para conseguir los objetivos.

Esta diferencia est en lnea con el cambio introducido en el Marco actualizado sobre la aclaracin dela necesidad de establecer los objetivos de negocio como condicin previa a los objetivos de ControlInterno (ver figura 3.2.).

En el Marco COSO II de Gestin de Riesgos se introducen los conceptos de apetito y tolerancia alriesgo a la hora de establecer los objetivos:

Apetito al riesgo: nivel de riesgo que una empresa est dispuesta a asumir en la consecucin desu misin/visin. Sirve como herramienta para establecer estrategias y para elegirdeterminados objetivos.

Tolerancia al riesgo: est incluida en el Marco como una pre-condicin del Control Interno,pero no como una parte del mismo. Se define como un nivel aceptable de variacin relativa ala consecucin de objetivos. A la hora de establecer niveles de tolerancia al riesgo, la Direccinconsidera la importancia relativa de los objetivos relacionados y alinea la tolerancia al riesgocon el apetito al riesgo.

Establecer el apetito y la tolerancia al riesgo son principios clave de la Gestin Integral de Riesgos. Sinembargo, desde la perspectiva de Control Interno se ve el establecimiento de objetivos y la toleranciaal riesgo como pre-condiciones de un Sistema de Control Interno efectivo.

39

Investigaciones y publicaciones del Centro de Gobierno Corporativo ao 20128.

Gobierno

Gestin Integral de Riesgos

Control Interno

El siguiente cuadro (cuadro 3.13) muestra las similitudes y diferencias entre los componentes:

Cuadro 3.13.

La siguiente figura (3.14.) muestra, por un lado, la ampliacin del componente de evaluacin deriesgos que hace el Marco COSO II de Gestin de Riesgos, introduciendo otros tres componentes(identificacin de eventos, evaluacin de riesgos y respuesta al riesgo); y por otro lado, la adaptacindel mbito de aplicacin del cubo de Control Interno al introducido en ERM.

Figura 3.14.Cubo COSO Marco Actualizado Cubo ERM

40


Limitaciones

El Marco actualizado enumera, al igual que el original, las limitaciones del Control Interno. El ControlInterno puede aportar un asesoramiento razonable a la Direccin y al Consejo de Administracin paralograr los objetivos de la organizacin, pero la probabilidad de conseguirlo est afectada por limitacionesinherentes en todos los Sistemas del Control Interno que incluyen aquellas relativas al juicio profesional(posibilidad de que las decisiones tomadas sean incorrectas), disfunciones del sistema (por colapsos delsistema de gestin o simplemente la ocurrencia de errores), o elusin de los controles por parte de laalta Direccin y la confabulacin entre dos o ms personas dentro de la organizacin.

El Marco actualizado, al contrario que el Marco COSO original, no contempla como limitacin lanecesidad de considerar con carcter previo al establecimiento de controles la relacin coste/beneficio.En el Marco actualizado, la consideracin de los beneficios y costes del Control Interno se incluyedentro del apartado de consideraciones adicionales por lo que establece la relacin coste/beneficiocomo un aspecto a tener en cuenta y no como algo excluyente.

Uso del Marco

El Marco actualizado establece, al igual que el original, el uso que los diferentes grupos de interspueden hacer del Sistema de Control Interno establecido en el informe COSO, sin embargo, aadealgunas responsabilidades. Por ejemplo, establece que es necesario considerar las modificaciones delMarco COSO original a la hora de decidir si se realizan cambios en la gestin del Control Interno yaimplantada: planes de revisin, herramientas de evaluacin, etc.

mbito de aplicacin por tipos de organizaciones

El Marco actualizado ha sido elaborado con el objetivo de ser aplicable a cualquier tipo deorganizacin, independientemente de su estructura, tamao, zona geogrfica o sector.

C. Actualizacin/adaptacin de documentos

COSO presenta el nuevo Marco en tres volmenes:

Executive Summary (resumen ejecutivo). Framework and Appendices (Marco y apndices). Illustrative Tools (herramientas ilustrativas)

41


Adicionalmente, COSO ha publicado

Internal Control over External Financial Reporting: A Compendium of Approaches and Examples(Compendium).

Este ltimo documento proporciona distintos enfoques y ejemplos para ilustrar cmo se puedenaplicar los componentes y los principios.

As como el Marco se ha visto modificado debido a cambios en el entorno desde su publicacin inicialen 1992, el resto de documentos tambin han sufrido variaciones y actualizaciones. A continuacin sedetallan los principales cambios que han sufrido tanto el documento Illustrative Tools, como elCompendium.

ILLUSTRATIVE TOOLS

Illustrative Tools es la actualizacin de Evaluation Tools, documento que se public como apoyo alMarco de 1992. Este documento pretende servir como gua para la evaluacin de la efectividad delSistema de Control Interno tanto a las entidades que ya utilizaban el Marco COSO original, como aaquellas que decidan implantar el Marco actualizado. El contenido del documento puede ayudar a laDireccin a evaluar si:

Cada uno de los cinco componentes y los principios ms relevantes estn presentes yfuncionado.

Los cinco componentes estn funcionando a la vez de una manera integrada.

El documento se basa en tres partes: introduccin, plantillas y escenarios:

a) La introduccin explica los conceptos de escenarios y plantillas, as como sus aplicacionespara el Control Interno.

b) Las plantillas se pueden utilizar para evaluar la efectividad del Sistema de Control Interno ypara documentar esa evaluacin.

c) Los escenarios ilustran modos de empleo de las plantillas para apoyar una evaluacin de laefectividad del Sistema de Control Interno.

Estas herramientas no estn diseadas con la intencin de cumplir con los requisitosregulatorios, jurisdiccionales o estndares, sino para evaluar la gravedad de las deficiencias asociadascon un objetivo particular.

42


Plantillas

Las plantillas estn diseadas con el objetivo de presentar un resumen de los resultados de laevaluacin. No son una parte integral del Marco, y pueden no abordar todos los temas que tienen queconsiderarse en la evaluacin de un Sistema de Control Interno para la consecucin de un objetivoespecfico. Su objetivo se limita a ilustrar un posible proceso de evaluacin basado en los requisitosexpuestos en el Marco.La Direccin puede utilizar estas plantillas con diferentes finalidades:

Apoyar la determinacin de si los componentes y los principios estn presentes y funcionandocorrectamente.

Apoyar la evaluacin de si los cinco componentes del Sistema de Control Interno estnoperando al mismo tiempo de una manera integrada.

Apoyar la evaluacin de la eficacia del Sistema de Control Interno en relacin con una o mscategoras de objetivos.

Documentar la evaluacin general de la Direccin en relacin con la efectividad de un Sistemade Control Interno considerando los componentes y los principios.

Documentar las deficiencias encontradas durante el proceso de evaluacin.

Las plantillas aportan una estructura lgica para que la Direccin analice y documente la evaluacinque hace la organizacin de la efectividad del Sistema de Control Interno, incluyendo la presencia yel funcionamiento de los componentes y principios como aparecen en el Marco utilizando los puntosde enfoque como apoyo. Adicionalmente, estas plantillas se organizan para apoyar el enf

III COSO

Documents

Transcript of III COSO