Documentos de Académico
Documentos de Profesional
Documentos de Cultura
y Publicaciones
2012 (III)
Actualizacin COSO I
Anlisis del borrador del Marco de Control Interno actualizado
Ramn Abella Rubio
Joaqun Guerola Gonzlvez
Ana Cendn Cubero
Actualizacin COSO I
Anlisis del borrador del Marco
de Control Interno actualizado
NDICE
A. Motivos para una actualizacin del Marco de Control Interno original ........................................ pg. 5
B. Objetivos de la actualizacin ...................................................................................................................................................... pg. 7
C. Beneficios esperados ............................................................................................................................................................................ pg. 9
Proceso de actualizacin COSO I .................................................................................................................................................... pg. 10
COSO I vs. Marco Actualizado COSO ...................................................................................................................................... pg. 12
A. Qu se mantiene del Informe COSO I? .................................................................................................................... pg. 13
B. Qu vara tras la actualizacin? ............................................................................................................................................ pg. 14
C. Actualizacin/adaptacin de documentos .................................................................................................................. pg. 41
Anexos .............................................................................................................................................................................................................................. pg. 46
A. Autores del informe .......................................................................................................................................................................... pg. 46
B. Bibliografa y Fuentes ...................................................................................................................................................................... pg. 47
Actualizacin COSO I
Anlisis del borrador del Marco de Control Interno actualizado
ANTECEDENTES
Desde su publicacin en 1992, el Marco COSO I ha sido reconocido a nivel internacional como una
Mejor Prctica en materia de Control Interno, sirviendo de base para el diseo, implementacin y
evaluacin de los Sistemas de Control Interno de distintos tipos de organizaciones.
Dicho Informe fue publicado por el Committee of Sponsoring Organizations of the Treadway
Commission (en adelante, COSO), el cual est formado por representantes de cinco organismos
profesionales diferentes:
AAA Asociacin Americana de Contabilidad.
AICPA Instituto Americano de Contables Pblicos Autorizados.
FEI Instituto de Ejecutivos Financieros.
IIA Instituto de Auditores Internos.
IMA Instituto de Contables de Gestin.
PwC particip en el desarrollo del Marco COSO I original (en adelante, Marco original o Marco
COSO I) y actualmente forma parte del equipo que lidera el proceso de elaboracin del Marco COSO
I actualizado (en adelante, Marco actualizado).
En los ltimos veinte aos, los cambios sufridos por los modelos de negocio y el mercado, as como la
globalizacin de la economa, han aumentando la complejidad de las operaciones y en consecuencia, sus
riesgos asociados y el control de los mismos. En este contexto de cambio, COSO tom la determinacin
de actualizar el Marco original a finales de 2010, con el objetivo de clarificar conceptos, adaptndolos a
las nuevas caractersticas del mercado y facilitando su aplicacin en los diferentes tipos de organizaciones.
En consecuencia, el Marco actualizado incluye modificaciones que pretenden facilitar la comprensin del
proceso de implantacin y mantenimiento de un Sistema de Control Interno.
En este sentido, el Marco actualizado est compuesto por tres volmenes:
a) Resumen ejecutivo dirigido a directores, ejecutivos y reguladores.
b) Marco integrado de Control Interno actualizado.
c) Herramientas de evaluacin a usar en la revisin de la eficacia del Sistema de Control Interno.
De manera adicional, el Marco actualizado incluye el Internal Control over External Financial
Reporting: A Compendium of Approaches and Examples (ICEFR), que consiste en una gua con
ejemplos prcticos sobre el Control Interno del reporting financiero externo.
El presente informe tiene como objetivo el anlisis del borrador del Marco actualizado en tres mbitos
fundamentales:
Los motivos que han llevado a la actualizacin del Marco COSO I.
El proceso de actualizacin actualmente en curso.
Los principales cambios identificados respecto al Marco original y el anlisis del impacto que
dichos cambios han tenido en el Gobierno Corporativo, los rganos de gestin, las funciones
de supervisin y otros Grupos de Inters relevantes.
Actualizacin COSO I
Anlisis del borrador del Marco de Control Interno actualizado
Estos nuevos desafos surgidos en los ltimos aos requieren una mejor gestin de las operaciones
internas y el control de las mismas y, en consecuencia, un Sistema de Control Interno actualizado,
dinmico, flexible a los cambios del mercado y aplicable a todo tipo de organizaciones.
Atendiendo a los componentes del Control Interno definidos en COSO I, los principales motivos que
han llevado a la actualizacin podran resumirse en los siguientes:
Entorno de Control: Hoy en da, los modelos de Gobierno Corporativo deben adaptarse a
los distintos tipos de estructuras organizativas coexistentes (por lnea de producto, por
geografa, etc.) dentro de cada compaa.
Por otro lado, los Grupos de Inters requieren cada vez mayor transparencia sobre los rganos
de gobierno y el control de las compaas. En este sentido, es necesario informar no slo sobre
magnitudes financieras, sino tambin sobre otros aspectos clave de las compaas
(Responsabilidad Social Corporativa, Gobierno Corporativo, estrategia, etc.), ya que los
Grupos de Inters estn interesados en una mayor variedad de informacin.
Evaluacin de riesgos: Algunas de las dificultades surgidas en la aplicacin del Marco original
hacen necesario mejorar la manera de entender y evaluar los riesgos a gestionar por el Sistema
de Control Interno. Adicionalmente, en la actualidad, las organizaciones se estn viendo
obligadas a realizar mayores esfuerzos para evitar el fraude.
Actividades de control: La tecnologa ha cobrado mayor importancia en la implementacin
de actividades de control desde que se public el Marco COSO I en 1992. Actualmente est
mucho ms integrada en los procesos de negocio. Asimismo, es necesario destacar que gran
parte de dichas tecnologas exigen la externalizacin de determinados procesos, lo que aade
complejidad a su control.
Informacin y Comunicacin: Actualmente, la gestin de la informacin en las
organizaciones es mucho ms compleja que en 1992. Dicha complejidad es consecuencia de
diversos aspectos clave:
- El volumen de informacin a gestionar ha aumentado de manera exponencial en los
ltimos aos. Por ejemplo, la informacin para la toma de decisiones es cada vez ms
abundante.
- Las fuentes y los destinatarios de la informacin tambin se han multiplicado. Cabe
destacar la necesidad de gestionar la informacin a compartir y recibir de proveedores /
socios externos clave.
- El regulador y otros Grupos de Inters muestran cada vez mayores exigencias en relacin
a la calidad y fiabilidad de la informacin reportada.
- Las tecnologas de la informacin han provocado la aparicin de las redes sociales, que
requieren mecanismos de control especficos.
Actualizacin COSO I
Anlisis del borrador del Marco de Control Interno actualizado
Actividades de monitorizacin: Los cambios regulatorios de los ltimos aos otorgan cada
vez mayor relevancia al Control Interno y la fiabilidad de la informacin reportada. Esta
circunstancia ha provocado que las funciones de supervisin de las organizaciones hayan
empezado a considerar la monitorizacin en su contexto ms amplio, ayudando a la gestin a
entender cmo debe operar un Sistema de Control Interno eficaz.
B. Objetivos de la actualizacin
El siguiente cuadro expone de manera resumida los principales objetivos perseguidos con la
actualizacin del Marco COSO I, tal y como ha expuesto la propia Comisin Treadway:
Cuadro 1.1
reas de Cambio
Objetivos
Proceso de implantacin
Desarrollo de
componentes de COSO I
en principios
Proceso de implantacin
COSO ha introducido determinados cambios en los componentes de COSO I (Entorno de Control,
Evaluacin de Riesgos, Actividades de Control, Informacin y Comunicacin, Monitorizacin)
encaminados a facilitar la implantacin de un Sistema de Control Interno efectivo. Por otro lado,
junto a los tres volmenes que configuran el Marco actualizado, COSO ha puesto al da el
Compendium1 que consiste en una gua con ejemplos prcticos para facilitar la implantacin de un
Sistema de Control Interno sobre el Reporting Financiero Externo.
Internal Control over External Financial Reporting: A Compendium of Approaches and Examples (ICEFR).
I n ter
rn
no/ Exter
rn
no
Reporting financiero externo: Las entidades necesitan cumplir con la creciente y cambiante
normativa aplicable, adems de con las crecientes exigencias de los Grupos de Inters externos
sobre la informacin financiera. En este sentido, podemos destacar el nmero cada vez mayor
de interesados en los estados financieros (agencias de rating, inversores, organismos pblicos,
proveedores, organizaciones sectoriales, etc.).
Reporting no financiero externo: La direccin debe cumplir con las regulaciones y estndares
aplicables en la realizacin y publicacin de informes no financieros externos (por ejemplo,
Memoria de sostenibilidad, planes estratgicos, etc.).
Reporting interno financiero y no financiero: Los informes internos para la Alta Direccin deben
incluir la informacin necesaria para la toma de decisiones.
Caractersticas
Actualizacin COSO I
Anlisis del borrador del Marco de Control Interno actualizado
En definitiva, las lecciones aprendidas en la aplicacin del Marco COSO I durante los ltimos aos,
as como la evolucin experimentada por los mercados, modelos de negocio y riesgos, llevaron en 2010
a la Comisin Treadway (COSO) a decidir la actualizacin del mencionado Marco COSO I, con el
objetivo de hacerlo ms prctico y adaptable a las nuevas necesidades de control de las organizaciones.
C. Beneficios esperados
Los beneficios esperados del Marco actualizado se centran en la mejora de la eficacia de los Sistemas
de Control Interno. Dicha mejora debe traducirse en una mayor agilidad en su implantacin,
mantenimiento y supervisin, mejorando la claridad y fiabilidad del reporting y, en consecuencia, la
confianza de los Grupos de Inters.
En esta lnea, los principales beneficios esperados de la actualizacin del Marco son:
Mejorar el Gobierno Corporativo.
Mejorar la fiabilidad de la informacin ms all de la meramente financiera.
Incrementar la calidad de la evaluacin de riesgos.
Reforzar las actuaciones en la lucha contra el fraude.
Adaptar los controles a las necesidades cambiantes del negocio.
Mejorar la flexibilidad de los Sistemas de Control Interno, para que sea aplicable a diversas
tipologas de organizacin.
rganos de Gobierno y
Direccin
Eficacia
Agentes
externos
Confianza
Funcin de
supervisin
10
Figura 2.1.
Proceso y calendario de actualizacin - Informe del Marco COSO actualizado
Actualizacin COSO I
Anlisis del borrador del Marco de Control Interno actualizado
Concretamente, el borrador del Informe se descarg en 162 pases para su revisin. Del total de
descargas, aproximadamente el 60% corresponden a Norte Amrica, donde ha tenido mayor
trascendencia, seguido de Europa (17%) y Asia (13%).
3. Consideracin de los comentarios en el borrador
COSO, junto con PwC y su consejo asesor formado por representantes de la industria, instituciones
acadmicas, agencias gubernamentales y organizaciones sin fines de lucro, tuvieron en cuenta todas las
observaciones obtenidas de la primera consulta pblica para la elaboracin del nuevo Marco.
4. Segunda Consulta Pblica
COSO ha publicado en Septiembre de 2012 un borrador del Internal Control over External Financial
Reporting (ICEFR): A Compendium of Approaches and Examples para someterlo a consulta pblica.
11
Este Compendium se ha elaborado como complemento al Marco para ayudar a los usuarios en la
aplicacin de los objetivos de reporting financiero externo. Es una gua para el Control Interno sobre
el reporting financiero externo, que plantea ejemplos que ayudarn a las organizaciones en la
preparacin de documentos financieros que vayan a ser publicados. Sustituye a la Internal Control
over Financial Reporting - Guidance over Smaller Public Companies2, originalmente emitida en 2006.
Debe tenerse en cuenta que, tal y como establece la Comisin Treadway en el prlogo del Marco
actualizado, esta gua es de carcter orientativo y en ningn caso tiene prioridad sobre el propio Marco.
Junto con la publicacin del Compendium para consulta pblica, COSO ha puesto a disposicin del
pblico la versin revisada del Marco actualizado, el cual incorpora revisiones sacadas de los comentarios
recibidos durante la primera consulta pblica de ms de 200 organizaciones y profesionales.
Despus de la segunda consulta pblica, abierta hasta principios de Diciembre de 2012, se revisarn
los documentos con los comentarios recibidos.
Se espera que la versin definitiva del Marco actualizado se publique en el primer trimestre de 2013.
2
Internal Control over Financial Reporting - Guidance over Smaller Public Companies: Control Interno sobre la presentacin de informes financieros
Gua para las compaas pblicas ms pequeas.
El Marco actualizado de Control Interno ha nacido con el objetivo de adaptar el Marco existente al
nuevo contexto en el que las organizaciones desarrollan su actividad y a las caractersticas actuales de
las compaas. El objetivo no es cambiar los conceptos centrales ya desarrollados en el Marco original,
sino profundizar en los ya existentes y aadir algunos nuevos para facilitar la evaluacin de un Sistema
de Control Interno.
A travs de la consideracin de las condiciones actuales del mercado, de la economa global y de la
importancia de la tecnologa en las organizaciones, el Marco actualizado permite una mayor cobertura
de los riesgos a los que se enfrentan actualmente las organizaciones. Se perfila, por tanto, como una
base ptima para que el Sistema de Control Interno contribuya a la consecucin de los objetivos de
las compaas en el mbito de las operaciones, el reporting y el cumplimiento.
En este sentido, antes de implantar un Sistema de Control Interno, la Direccin deber establecer
los objetivos de Control Interno, en lnea con la estrategia y objetivos de la organizacin y el apetito
al riesgo de la compaa. De esta manera, se sentarn las bases para el diseo e implantacin de
Sistemas de Control Interno eficaces, eficientes y alineados con los objetivos estratgicos de las
organizaciones.
A continuacin se detallan, a modo de resumen introductorio, las principales variaciones y aspectos
conservados en el proceso de actualizacin de COSO, desarrollados en mayor detalle en los apartados
expuestos ms adelante en el mismo epgrafe:
Actualizacin COSO I
Anlisis del borrador del Marco de Control Interno actualizado
Cuadro 3.1.
Qu se mantiene del COSO I?
Qu cambia?
- Ampliacin
y
aclaracin
de
conceptos con el objetivo de abarcar
las actuales condiciones del mercado y
la economa global.
A pesar de que la descripcin de los mismos y su desarrollo en el Marco actualizado han sido
puestos al da, las variaciones introducidas no modifican la base de los conceptos ya
contemplados en la versin original de 1992.
Se conservan los criterios fundamentales establecidos para la evaluacin del Sistema de
Control Interno.
El uso de juicio profesional a la hora de evaluar la efectividad del Sistema de Control Interno
sigue considerndose un elemento indispensable en el Marco actualizado, al igual que ya lo era
en el Marco de 1992.
14
A continuacin detallamos las principales modificaciones, indicando para cada una de ellas el impacto
a nivel de rganos de gestin, funciones de supervisin y otros Grupos de Inters relevantes.
OBJETIVOS
Aclaracin de la necesidad de establecer objetivos de negocio como condicin previa a los
objetivos de Control Interno
Ya el Marco original trataba de aclarar que la fijacin de objetivos de negocio es una condicin previa
del Sistema de Control Interno y no parte del mismo. Con el propsito de enfatizar este punto, la
versin actualizada profundiza en el anlisis del establecimiento de objetivos a nivel de operaciones,
cumplimiento y reporting.
En este sentido, en el Marco actualizado se establece que no es prctico disear e implementar un
Sistema de Control Interno, a menos que los objetivos de negocio a distintos niveles (operaciones,
Actualizacin COSO I
Anlisis del borrador del Marco de Control Interno actualizado
cumplimiento y reporting) estn definidos de forma previa. Establecer los objetivos de negocio es parte
de la planificacin estratgica de la organizacin, que debe tener en cuenta tanto las decisiones de la
Direccin, como las leyes, regulaciones y otros estndares aplicables.
El siguiente diagrama (Figura 3.2) ilustra las dos grandes fases en relacin a los objetivos.
Figura 3.2.
Definir Objetivos y Especificar Objetivos en el contexto de Reporting Financiero Externo
Planiffiicacin estratgica y gestin
Entorno, normativa y
estndares que
podrn afectar a las
operaciones, al
cumplimiento y a los
objetivos de
reporting.
Considerando el
marco externo, a
nivel interno, se
deben definir los
objetivos de negocio
y actuaciones en
distintos mbitos.
Entre dichos
mbitos se
encuentras las
operaciones, el
reporting y el
cumplimiento.
Control Interno
La compaa debe
evaluar los siguientes
aspectos en relacin a
los objetivos:
Son medibles,
alcanzables y
relevantes.
Encajan con los
requerimientos y
estndares de
Control Interno
aplicables.
Estn
adecuadamente
comunicados.
La compaa debe
utilizar los objetivos
de negocio como
base para la
evaluacin de
Riesgos a cubrir por
el Sistema de
Control Interno.
IMPACTO
Es necesario fijar los objetivos de negocio a nivel de operaciones, cumplimiento y reporting con
carcter previo al diseo e implantacin del Sistema de Control Interno. De esta forma, se puede
proporcionar un grado de seguridad razonable sobre los objetivos en las siguientes categoras:
eficacia y eficiencia de las operaciones, confiabilidad de los informes realizados, cumplimiento de
la ley y regulacin aplicable. En este sentido, conviene considerar los siguientes aspectos:
El Consejo de Administracin y la Alta Direccin deben establecer los objetivos de negocio
a nivel de operaciones, cumplimiento y reporting, para posteriormente ser capaces de disear
e implantar un Sistema de Control Interno orientado a controlar y mitigar de manera
adecuada los riesgos que afectan a dichos objetivos.
La supervisin del Sistema de Control Interno debe considerar en qu medida este ltimo
est ligado a los objetivos de negocio a nivel de operaciones, cumplimiento y reporting,
como una de las condiciones previas ms relevantes para su eficacia. El plan de supervisin
del Comit de Auditora y de la funcin de auditora interna deber considerar este aspecto.
15
Figura 3.3.
Cubo COSO actualizado
16
Entorno de Control
Ac
cttivid
da
ad 1
Evaluacin de Riesgo
gos
os
Activid
da
ad 2
Activida
ad
des de Control
Unidad A
Informacin y Comunicca
acin
Un
U
nidad B
Monitorizacin
Actualizacin COSO I
Anlisis del borrador del Marco de Control Interno actualizado
IMPACTO
Tal y como se refleja en el Informe Corporate Reporting: A critical system at Risk4, cada vez son
mayores las exigencias de los Grupos de Inters en lo referente a la transparencia y fiabilidad de la
informacin reportada, tanto hacia el exterior, como a nivel interno.
Asimismo, la Encuesta de la Alta Direccin en Espaa 20115 refleja la previsin de cambios en el
modelo de gestin de la informacin por parte de las compaas, para hacer nfasis en la
comunicacin y la reputacin corporativa durante el ao 2012. En este sentido, no conviene
olvidar las actuales tendencias de reporting integrado, muy asentadas en el mundo anglosajn y
con un auge reciente en pases como Espaa. Dichas tendencias abogan por ofrecer a los Grupos
de Inters, no slo informacin financiera, sino toda aquella informacin relevante para explicar
cmo crea valor una organizacin. Dichas tendencias quedan tambin reflejadas en el mencionado
Corporate Reporting: A critical system at Risk6.
El Marco actualizado contribuye a la satisfaccin de las exigencias de transparencia y fiabilidad en
relacin a la informacin, ampliando el alcance del Sistema de Control Interno en cuanto a la
fiabilidad de la informacin reportada. De esta forma, el Marco actualizado sigue, en cierto modo,
la misma lnea que el Grupo de Trabajo de Control Interno (GTCI) de la CNMV7, que ya en junio
2010 recomendaba ampliar el alcance del anlisis de riesgos sobre la fiabilidad de la informacin
financiera, para incluir otra tipologa de riesgos.
En lnea con el Cdigo Unificado de Buen Gobierno, el Consejo de Administracin es el
responsable de la aprobacin y el seguimiento peridico de los sistemas de informacin y de
Control Interno.
La Alta Direccin, como responsable de su mantenimiento, deber analizar si su Sistema de
Control Interno abarca toda la informacin relevante, haciendo especial hincapi en la
informacin utilizada para la toma de decisiones.
En lnea con la Alta Direccin, el Comit de Auditora deber supervisar si el Sistema de Control
Interno tiene un alcance adecuado a nivel de fiabilidad de la informacin. Para ello, lo habitual es
que se apoye en la funcin de auditora interna, que deber disear un plan que incluya el anlisis
del alcance del Sistema de Control Interno, teniendo en cuenta los Grupos de Inters clave
(externos e internos) y la tipologa de informacin ms relevante para cada uno de ellos.
Informe Corporate Reporting: A critical system at Risk, elaborado en 2011 por el Chartered Institute of Management Accountants en colaboracin
con PwC.
5
4. Encuesta de Alta Direccin en Espaa 2011: Reinventando el crecimiento.
6
Informe Corporate Reporting: A critical system at Risk, elaborado en 2011 por el Chartered Institute of Management Accountants en colaboracin
con PwC.
7
Informe sobre el Control Interno de la Informacin Financiera del grupo de Trabajo sobre Control Interno de la CNMV, de Junio 2010.
4
17
Actividades de control
Informacin y comunicacin
Actividades de monitorizacin
Funcin
Evaluacin de riesgos
Nivel de Entidad
Entorno de control
Divisin
Unidad operativa
Figura 3.4.
Cubo COSO actualizado
Actualizacin COSO I
Anlisis del borrador del Marco de Control Interno actualizado
Formalizacin de principios
El Marco actualizado incorpora un total de 17 principios codificados asociados a los cinco
componentes de Control Interno, as como puntos de enfoque para cada uno de ellos. Dichos
principios y puntos de enfoque comprenden criterios que pueden ayudar a la Direccin en el diseo
de un Sistema Control Interno efectivo y al supervisor a evaluar dicho Sistema y su efectividad. Los
principios establecidos representan los conceptos fundamentales asociados a cada uno de los cinco
componentes. Todos ellos son de aplicacin a los tres objetivos de Control Interno establecidos y
pretenden ampliar dicha aplicacin a todo tipo de organizaciones: cotizadas o no, pblicas y privadas,
con y sin nimo de lucro, etc.
Los puntos de enfoque representan las principales caractersticas de cada uno de los principios, con el
objetivo de ayudar a las organizaciones a comprender y aplicar el Marco actualizado, abarcando todos
los aspectos relevantes de un Sistema de Control Interno.
La figura 3.5 detalla los diecisiete principios incorporados en la estructura actualizada:
Figura 3.5.
Cubo COSO actualizado
Principios y Componentes
19
IMPACTO
Adems de formalizar los 17 principios clave que desarrollan los componentes del control interno,
el Marco actualizado define formalmente dos criterios clave para que un Sistema de Control
Interno sea efectivo:
Los cinco componentes deben estar integrados.
Los 17 principios que los desarrollan deben ser adecuadamente aplicados en la organizacin.
Por tanto, gracias a la formalizacin de principios y puntos de enfoque (implcitos en el Marco
original y explcitos en el Marco actualizado), la Direccin, el Consejo de Administracin y el
Comit de Auditora cuentan con una descripcin ms detallada de los aspectos que pueden ser
relevantes (puntos de enfoque) para el diseo, mantenimiento y supervisin de un Sistema de
Control Interno efectivo.
En este sentido, el Marco actualizado facilita la labor de diseo y supervisin del Sistema de
Control Interno y permite comprender con ms claridad el contenido, el significado y el impacto
que los Sistemas de Control Interno implementados tienen a la hora de mitigar los riesgos de la
compaa.
20
Los principios y puntos de enfoque han introducido cambios clave en cada uno de los componentes,
con el objetivo de mejorar y facilitar la implantacin y mantenimiento del Sistema de Control Interno.
Dichos cambios se enumeran a continuacin:
Actualizacin COSO I
Anlisis del borrador del Marco de Control Interno actualizado
Cuadro 3.6.
Cambios clave
Componentes
Entorno de Control
Evaluacin de Riesgos
Actividades de Control
22
Informacin y
Comunicacin
Actividades de
Monitorizacin
Entre los cambios clave introducidos en los componentes, a travs de los nuevos principios y puntos
de enfoque, conviene profundizar en los siguientes:
Actualizacin COSO I
Anlisis del borrador del Marco de Control Interno actualizado
IMPACTO
En lnea con las lecciones aprendidas sobre la integridad y los valores ticos que refleja el Marco
actualizado, la CNMV recomienda contar con un Cdigo tico y un canal de denuncias a disear
e implantar por la Alta Direccin. El Cdigo tico supone una declaracin de intenciones clara
para toda la organizacin. Sin embargo, es importante considerar la posible dicotoma entre los
valores ticos realmente promovidos y aplicados y los valores ticos incluidos formalmente en el
Cdigo tico, dado que no siempre estn alineados, lo que puede dificultar el funcionamiento de
los Sistemas de Control Interno.
Para mejorar en este sentido, el Consejo de Administracin y la Direccin debern acometer, tal y
como refleja el Marco actualizado, las siguientes actuaciones:
El Consejo de Administracin y la Direccin debern demostrar, a travs de sus directrices,
acciones y comportamientos, la importancia de la integridad y los valores ticos para el
funcionamiento del Sistema de Control Interno.
Las expectativas del Consejo de Administracin y de la Alta Direccin, referentes a la
integridad y los valores ticos, debern estar definidas en los estndares de conducta de la
organizacin (por ejemplo, el Cdigo de Conducta) y debern ser entendidas por todos los
niveles de la organizacin, as como por los socios clave y proveedores de servicios externos.
Ser necesario contar con procesos para evaluar la actuacin de los empleados y de los
equipos dentro de la organizacin, en lo relativo a los estndares de conducta de la
compaa.
Las desviaciones con respecto a dichos estndares debern estar identificadas y solucionadas
en un espacio de tiempo y modo adecuados.
23
Cuadro 3.8.
24
Actualizacin COSO I
Anlisis del borrador del Marco de Control Interno actualizado
Si bien actualmente, en Espaa existen nicamente dos empresas del IBEX que tienen diferenciadas
las Comisiones de Retribuciones y Nombramientos, las nuevas competencias asignadas en materia de
retribucin harn, que en un futuro prximo, aumente el nmero de empresas que tengan estas
Comisiones separadas.
IMPACTO
El marco describe los roles y responsabilidades del Consejo y sus comits o comisiones delegadas.
Asimismo, reconoce la diferencia de estructuras dependiendo de las distintas jurisdicciones, sectores
y tipos de entidades. El Marco actualizado ha querido reflejar la creciente relevancia del Consejo de
Administracin en el Sistema de Control Interno. En este sentido, conviene destacar que, segn
recientes encuestas a consejeros de compaas cotizadas espaolas , los Consejos de Administracin
cada vez dedican mayor parte de su tiempo a la Gestin de Riesgos y Control Interno.
En esta misma lnea, de acuerdo con una Encuesta anual de PwC a consejeros de las principales
empresas a nivel mundial, un 57% de los entrevistados manifest la necesidad de reforzar el rea
de gestin de riesgos.
El Principio 3 establece que la Direccin y el Consejo de Administracin tienen que considerar la
estructura organizativa de la empresa (incluyendo unidades operativas, entidades legales,
distribucin geogrfica y proveedores de servicios externalizados) para lograr la consecucin de los
objetivos de control interno y la gestin de riesgos.
Asimismo, debern establecer las lneas de reporting adecuadas para planificar, ejecutar, controlar,
y evaluar peridicamente las actividades de la entidad.
En este sentido, el Marco reconoce que la comunicacin entre el Consejo, sus Comisiones
delegadas y la Direccin deber ser fluida y continua.
En el Estudio sobre Comits de Auditora 2012, se pone de manifiesto que los Comits de
Auditora dan cada vez ms relevancia, no slo a la comunicacin con el Consejo, sino tambin su
relacin con la funcin de auditora interna y con el auditor externo.
Por otro lado, de acuerdo con el Informe sobre El futuro de la Comisin de Nombramientos y
Retribuciones, esta Comisin pasar a asumir un papel clave en la supervisin de los riesgos;
especialmente en aquellos relacionados con los riesgos financieros (entre los que se encuentran los
relativos a planes retributivos, de pensiones, ) y estratgicos (sucesin, nombramientos, ). Esta
situacin tendr una clara incidencia en la relacin que mantenga la Comisin de Nombramientos
y Retribuciones con los rganos responsables de la gestin de riesgos y control interno.
25
Informe sobre el Control Interno de la Informacin Financiera del grupo de Trabajo sobre Control Interno de la CNMV, de Junio 2010.
Actualizacin COSO I
Anlisis del borrador del Marco de Control Interno actualizado
IMPACTO
Los mercados cambian y las organizaciones tienen que adaptarse y evolucionar. Como parte de la
evaluacin de riesgos, la Direccin debe identificar los cambios que pueden impactar
significativamente en el Sistema de Control Interno de la entidad y tomar medidas. Este proceso
se ejecuta en paralelo, o es una parte del proceso de evaluacin de riesgos, lo cual requiere la
identificacin y comunicacin de los cambios que puedan afectar a los objetivos de la entidad, para
as evaluar los riesgos asociados.
El crecimiento inorgnico normalmente conlleva nuevos riesgos, por tanto la Direccin debe
tomar las medidas necesarias para adaptar su Sistema de Control Interno y para planificar e
integrar nuevas adquisiciones. De este modo, recae en ellos la responsabilidad de la reevaluacin
de riesgos y la actualizacin del permetro de control. De hecho, la CNMV ya considera esta
posibilidad entre los indicadores bsicos de informacin y sus recomendaciones9.
Por otro lado, es necesario destacar que la Encuesta de Auditora Interna 201210 refleja que ms del
50% de los Directores de Auditora Interna y Grupos de Inters relevantes consideran que el riesgo
relativo a las fusiones y adquisiciones no est siendo bien gestionado en su compaa.
En cuanto al crecimiento internacional, desarrollar negocios en nuevas geografas puede ayudar a
la compaa a crecer y/o reducir costes, pero tambin puede presentar nuevos retos y alterar los
tipos y extensin de los riesgos. Operar en mercados desconocidos conlleva tambin riesgos
nuevos. De hecho, el Sistema de Control Interno se suele ver afectado e influenciado por la cultura
y costumbres locales (principio 9).
Cuando las operaciones se expanden rpida y significativamente, las estructuras existentes, los
procesos de negocio, los sistemas de informacin o los recursos pueden verse afectados hasta
el punto en el que el Sistema de Control Interno deje de ser efectivo. Este aspecto cobra
especial relevancia en Espaa, donde la mayora de las grandes empresas piensa en el
crecimiento internacional, tal y como queda reflejado en la Encuesta a la Alta Direccin en
Espaa 201111.
Informe de Control Interno de la Informacin Financiera del grupo de Trabajo sobre Control Interno de la CNMV, de Junio 2010.
Encuesta de la funcin de Auditora Interna 2012 de PwC Se estn cubriendo las expectativas sobre la funcin de auditora interna?
11
4. Encuesta de Alta Direccin en Espaa 2011 elaborada por PwC: Reinventando el crecimiento.
9
10
27
28
Actualizacin COSO I
Anlisis del borrador del Marco de Control Interno actualizado
IMPACTO
Un punto que preocupa hoy en da a los distintos Grupos de Inters y en especial a los Comits
de Auditora, es el riesgo de fraude. As queda reflejado en todos los estudios relacionados con el
Control Interno o similares que se han realizado en los ltimos aos.12
El Marco actualizado refleja asimismo su relevancia, definiendo tipos de fraude y estableciendo
puntos de enfoque para la identificacin del riesgo y el establecimiento de mecanismos de control.
Los mismos principios y puntos de enfoque ayudarn a su vez a los Comits de Auditora y a las
funciones de auditora interna a evaluar si la Direccin ha considerado todos ellos a la hora de
disear los controles mitigadores del riesgo de fraude y, en consecuencia, la existencia de un
Sistema de Control Interno efectivo en lo que a fraude se refiere.
Dada la categorizacin del riesgo de fraude como un principio por s mismo, las empresas que
demuestren contar con Sistemas de Control Interno efectivos, aportarn una mayor fiabilidad
hacia los distintos Grupos de Inters, puesto que un Sistema de Control Interno efectivo
presupone haber considerado todos los principios en el Sistema de Control Interno diseado e
implementado.
12
Informe sobre el Control Interno de la Informacin Financiera del grupo de Trabajo sobre Control Interno de la CNMV, de Junio 2010.
Encuesta de la funcin de Auditora Interna 2012 de PwC Se estn cubriendo las expectativas sobre la funcin de auditora interna?
Estudio sobre los Comits de Auditora del 2012: Contexto Regulatorio, Buenas Prcticas y Tendencias del Centro de Gobierno Corporativo en
colaboracin con PwC.
29
IMPACTO
Los controles deben estar reflejados en polticas y procedimientos, ya que el Marco actualizado
insiste en la necesidad de formalizacin. En este sentido, es necesario contraponer formalizacin a
burocratizacin, ya que muchas veces se considera que van de la mano. Nada ms lejos de la
realidad, una formalizacin adecuada, evita la burocratizacin y aporta eficacia y eficiencia en las
operaciones y la toma de decisiones, adems de aportar confort a los rganos de gobierno en la
cobertura de sus responsabilidades. La Alta Direccin debe considerar la formalizacin de sus
controles, evitando el control informal y la confianza como mtodo de control. Dicha
formalizacin ayuda a cumplir con los objetivos de negocio y del Sistema de Control Interno y
aporta facilidad y eficiencia a las tareas de supervisin.
La tecnologa
Por su relevancia y amplitud, el cambio a nivel de tecnologa se ha tratado en un punto especfico ms
adelante dentro del presente epgrafe.
Modelo de supervisin por parte del Consejo de Administracin y la Alta Direccin
30
Actualizacin COSO I
Anlisis del borrador del Marco de Control Interno actualizado
Cuadro 3.9.
Actividades de Supervisin del Consejo
Componentes
13
Entorno de Control
Evaluacin de Riesgos
Actividades de Control
Informacin y
Comunicacin
31
Por otro lado, en el principio 16 (del componente Monitorizacin de Actividades), se introducen los
conceptos de evaluaciones continuas (ongoing evaluations) y evaluaciones independientes
(separate evaluations). Este principio, y sus 7 puntos de enfoque, establecen que la Direccin es la
responsable de decidir el equilibrio entre dichas evaluaciones y el alcance y frecuencia de las mismas
en funcin de los riesgos.
Las evaluaciones continuas se refieren generalmente a operaciones peridicas realizadas por los propios
responsables de los procesos de negocio. Permiten una supervisin en tiempo real y gran rapidez de
adaptacin. Las evaluaciones independientes se llevan a cabo peridicamente por personal
independiente dentro de la Direccin, auditores internos y/o terceros. El objetivo y la frecuencia de
las evaluaciones independientes dependen de la decisin de la Direccin.
Generalmente, la Direccin utiliza un mix de ambos tipos de evaluaciones para asegurarse de que los
cinco componentes estn funcionando adecuadamente.
IMPACTO
32
Actualizacin COSO I
Anlisis del borrador del Marco de Control Interno actualizado
La mayor parte de estas obligaciones ya estn incluidas en la legislacin aplicable o ya son asumidas
de manera expresa por la mayor parte de los Consejos de Administracin y Comisiones de
Auditora, tal y como puede desprenderse de estudios recientes sobre la materia.14
Por otro lado, aunque el Marco actualizado establece de forma detallada las actividades de
supervisin del Consejo de Administracin a travs del Comit de Auditora, no resalta la
relevancia de la funcin de auditora interna como punto de apoyo clave de este ltimo. Tal y como
queda reflejado en el Estudio sobre los Comits de Auditora del 2012, es necesario destacar la
relevancia que dan los Comits de Auditora a la labor de la funcin de auditora interna, as como
al hecho de tener con ella una adecuada y fluida comunicacin. Adems, siguiendo la lnea de las
recomendaciones de los reguladores de la mayora de pases en Europa y Estados Unidos, es
previsible que las actividades de supervisin incluidas en el Marco actualizado sean delegadas en
su mayora en la funcin de auditora interna.
En cuanto a la supervisin por parte de la Direccin, con la introduccin de los conceptos de
evaluaciones continuas y evaluaciones independientes, el Marco actualizado facilita la
eficiencia de las evaluaciones soporte a la responsabilidad de supervisin del Consejo de
Administracin.
El Marco actualizado establece la necesidad de que la Direccin se responsabilice de definir la
opcin ms conveniente entre el mix de acciones de supervisin continuas e independientes.
Aunque no se incluye de manera explcita en el Marco actualizado, es necesario destacar el papel
de la funcin de auditora interna en dicha definicin, tal y como se refleja en el Marco
Internacional para la Prctica Profesional de la Auditora Interna. En la misma lnea, la Encuesta
de la funcin de Auditora Interna 201215 refleja que tanto los Directores de Auditora Interna
como sus Grupos de Inters clave, otorgan cada vez mayor relevancia a dicha funcin en la
evaluacin de riesgos y la delimitacin de las actividades de supervisin.
MBITO DE APLICACIN
Ampliacin del mbito de aplicacin del Sistema de Control Interno
La estructura de la organizacin, representada en la tercera dimensin del cubo, tanto en el Marco
original como en el actualizado, est directamente relacionada con los objetivos y con los componentes
del Sistema de Control Interno, y representa el mbito de aplicacin del mismo.
Por ejemplo, el Estudio sobre los Comits de Auditora del 2012: Contexto Regulatorio, Buenas Prcticas y Tendencias del Centro de Gobierno
Corporativo en colaboracin con PwC.
15
Encuesta de la funcin de Auditora Interna 2012 de PwC Se estn cubriendo las expectativas sobre la funcin de auditora interna?
14
33
El Marco actualizado ampla el mbito de aplicacin, para incluir todos los niveles de la organizacin
de manera explcita: entidad, divisiones, unidades operativas y funciones. Esta modificacin se
visualiza en el nuevo cubo de COSO actualizado, presentado en la figura 3.10:
Figura 3.10.
Cubo COSO actualizado
Ac
cttivida
ad
d1
Actividad 2
Actividades de Control
U id
Un
da
ad A
Informaci
n
n y Comunicca
aci
n
n
Un
U
nidad B
Monitorizacin
Evaluacin de Riesgo
gos
os
Entorno de Control
34
Adicionalmente, el Marco actualizado contempla la relevancia que los procesos externalizados han
cobrado en las organizaciones en los ltimos aos. As, incluye responsabilidades en lo referente al
Control Interno, no slo para las operaciones llevadas a cabo internamente, sino tambin para aquellas
que han sido externalizadas.
IMPACTO
El Marco actualizado, se desglosa de una manera ms detallada y ampla la estructura de la entidad
para lograr un mejor entendimiento de la relacin existente entre la matriz, sus divisiones, sus
unidades operativas y sus funciones transversales (tanto internas como externas). Con esta nueva
distribucin se pretende mostrar la estrecha relacin entre todas las partes que forman la entidad
y la necesidad de establecer un Sistema de Control Interno que aplique al negocio, considerndolo
de manera amplia (incluyendo actividades y funciones externalizadas).
La ampliacin del alcance tambin impacta en los rganos de supervisin (Comit de Auditora),
que deber incluir entre sus planes de revisin el Control Interno en las nuevas adquisiciones y en
las actividades externalizadas que sean relevantes para la creacin de valor y la consecucin de los
objetivos por parte del negocio.
En la misma lnea, la CNMV16 recomienda que el Sistema de Control Interno incluya las
operaciones externalizadas que son clave para el negocio o pueden representar riesgos relevantes.
16
Informe sobre el Control Interno de la Informacin Financiera del grupo de Trabajo sobre Control Interno de la CNMV, de Junio 2010.
Actualizacin COSO I
Anlisis del borrador del Marco de Control Interno actualizado
TECNOLOGA
La versin actualizada tiene en cuenta el considerable aumento del uso de la tecnologa en los ltimos
aos, as como la consideracin de que los cambios tecnolgicos pueden impactar en la manera en la que
se implementan los componentes del Control Interno dentro de las organizaciones. Por ello, el Marco
actualizado incluye principios que abordan de forma detallada los Controles Generales de Tecnologa.
Las actividades de control y la tecnologa se relacionan de dos formas:
La tecnologa apoya a los procesos de negocio: cuando la tecnologa est integrada en los
procesos de negocio, se necesitan actividades de control para mitigar el riesgo de que deje de
funcionar correctamente.
La tecnologa se utiliza para automatizar las actividades de control: muchas actividades de
control dentro de una organizacin estn parcial o completamente automatizadas.
Las actividades de control sobre la tecnologa, que son diseadas para apoyar su continuidad y otras
actividades de control automatizadas, se denominan Controles Generales de Tecnologa.
El principio 11 (del componente Actividades de Control) dice que la organizacin selecciona y
desarrolla las actividades de control generales sobre la tecnologa para apoyar la consecucin de los
objetivos. Existen determinados criterios para determinar si este principio est presente y funcionando:
La Direccin entiende y determina la dependencia y la vinculacin entre los procesos de
negocio, las actividades de control automatizadas y los Controles Generales de Tecnologa.
La Direccin selecciona y desarrolla actividades de control diseadas e implementadas para
ayudar a asegurar la completitud, precisin y disponibilidad de la tecnologa.
La Direccin selecciona y desarrolla actividades de control diseadas e implementadas para
restringir los derechos de acceso, con el fin de proteger los activos de la empresa de amenazas
externas.
La Direccin selecciona y desarrolla actividades de control sobre la adquisicin, desarrollo y
mantenimiento de la tecnologa y su infraestructura.
La tecnologa necesita una infraestructura en la que operar, la cual puede ser compleja y puede ser
compartida por diferentes unidades de negocio de la organizacin. Estas complejidades presentan
riesgos que necesitan entenderse y localizarse.
Los Controles Generales de Tecnologa incluyen actividades de control sobre la infraestructura de la
tecnologa, la gestin de la seguridad, y la adquisicin, el desarrollo y el mantenimiento de la misma.
Estos controles, una vez, incluidos en una metodologa de desarrollo, variarn dependiendo de los
riesgos especficos de la tecnologa disponible. Un entorno tecnolgico complejo tendr,
generalmente, mayores riesgos que uno ms sencillo.
35
Figura 3.11.
IMPACTO
En el contexto actual, la infraestructura tecnolgica de las organizaciones puede ser muy compleja
y, dependiendo de la compaa, las unidades de negocio pueden compartir la tecnologa o contar
con una infraestructura distinta. Asimismo, muchas compaas optan por externalizar servicios
relacionados con la tecnologa de la informacin. Esta complejidad requiere que la Direccin
entienda los riesgos existentes e implemente actividades de control adecuadas. Para ello, es
importante que entienda la dependencia entre los procesos de negocio, los llamados controles
automticos y los Controles Generales de Tecnologa de la informacin.
36
En este sentido, cabe destacar que la efectividad de los controles automticos depender de la
efectividad de los Controles Generales de Tecnologa de la informacin. A modo de ejemplo, las
revisiones peridicas de los derechos de acceso a las aplicaciones contribuyen a proteger a la entidad
de un uso no autorizado. Del mismo modo, los controles relacionados con la introduccin de
cambios en las aplicaciones pueden afectar a parametrizaciones en las que se basen los controles
automticos. Por tanto la Direccin deber entender el impacto que el diseo y funcionamiento de
los Controles Generales de Tecnologa tienen en el funcionamiento de los controles automticos.
De la misma manera, el Marco actualizado resalta la relevancia de los riesgos tecnolgicos en las
organizaciones, proporcionando, a travs de los principios y los puntos de enfoque, informacin
que sirva de gua a la hora de disear, garantizar y supervisar el funcionamiento de los mecanismos
de control de riesgos tecnolgicos. Cabe destacar la importancia que se le da al anlisis de la
integracin de la tecnologa en los diferentes procesos a la hora de evaluar los riesgos. Dicha
importancia est en lnea con los resultados obtenidos en la Encuesta de la Profesin de la
Auditora Interna 2012, que realiza PwC cada ao17. En dicha encuesta, tanto los responsables de
auditora interna como los miembros de los Comits de Auditora consultados, otorgan una gran
relevancia a los riesgos tecnolgicos y esperan una mayor dedicacin por parte de la funcin de
auditora interna en los prximos aos.
17
Encuesta de la funcin de Auditora Interna 2012 de PwC Se estn cubriendo las expectativas sobre la funcin de auditora interna?
Actualizacin COSO I
Anlisis del borrador del Marco de Control Interno actualizado
IMPACTO
Los cambios legislativos que se han producido en los ltimos aos han derivado en un incremento
de las exigencias a los Comits de Auditora en materia de supervisin de los mecanismos de
control de riesgos y los Sistemas de Control Interno de la informacin financiera.
Gracias a la inclusin de principios y puntos de enfoque en el Marco actualizado, los Comits de
Auditora van a contar con pautas ms detalladas que podrn utilizar como hilo conductor a la
hora de evaluar la efectividad de los Sistemas de Control Interno, tanto desde el punto de vista del
diseo, como de su funcionamiento.
Cambios recientes en la regulacin espaola:
La Directiva 2006/43/CE del Parlamento Europeo y del Consejo establece que el Comit de
Auditora deber supervisar la eficacia del Control Interno de la empresa, as como los
sistemas de Gestin de Riesgos.
La disposicin adicional 18 de la Ley del Mercado de Valores incorpora la obligacin por
parte de los Comits de Auditora de supervisar la eficacia del Control Interno de la
sociedad, la auditora interna, en su caso, y los sistemas de Gestin de Riesgos, as como
discutir con los auditores de cuentas o sociedades de auditora las debilidades significativas
del Sistema de Control Interno detectadas en el desarrollo de la auditora.
La publicacin en el Boletn Oficial del Estado de la Ley 2/2011, de 4 de Marzo, de Economa
Sostenible introdujo el artculo 61bis en la Ley del Mercado de Valores, derogando los artculos
116 y 116bis de la misma ley. Este artculo obliga a las sociedades annimas cotizadas a hacer
pblico anualmente un informe de Gobierno Corporativo, que incluya, entre otros, una
descripcin de las principales caractersticas de los sistemas de Control Interno y Gestin de
Riesgos en relacin con el proceso de emisin de la informacin financiera.
37
El Cdigo Unificado de Buen Gobierno recomienda que las sociedades cotizadas cuenten
con un departamento de auditora interna, supervisado por el Comit de Auditora, con el
objetivo de velar por el buen funcionamiento de los sistemas de informacin y Control
Interno. El Comit tiene que supervisar el proceso de elaboracin y la integridad de la
informacin financiera; revisar los sistemas de Control Interno y Gestin de Riesgos, para
identificar y gestionar los principales riesgos; velar por la independencia y eficacia de la
funcin de auditora interna; y establecer y supervisar un sistema de comunicacin interna
para informar de deficiencias a la Direccin.
En este contexto, la CNMV constituy un Grupo de Trabajo de Control Interno sobre la
Informacin Financiera (GTCI), que public en 2010 un documento18 con recomendaciones, una
gua para la preparacin de la descripcin del Sistema de Control Interno, pautas de actuacin para
llevar a cabo la supervisin de los Sistemas de Control Interno de la informacin financiera
(SCIIF) y un modelo de procedimientos para la revisin por el auditor externo. Para la elaboracin
de este documento, el GTCI tom el informe COSO para establecer el Marco de referencia de
Control Interno sobre la informacin financiera.
38
18
Informe sobre el Control Interno de la Informacin Financiera del grupo de Trabajo sobre Control Interno de la CNMV, de Junio 2010.
86
En este sentido puede verse el Informe del Gabinete Jurdico de la Agencia Espaola de Proteccin de Datos nm. 0342/2008
8.
Actualizacin COSO I
Anlisis del borrador del Marco de Control Interno actualizado
Figura 3.12.
Gobierno
Gestin Integral
de Riesgos
Control
Interno
Tanto el Marco actualizado como ERM especifican las tres categoras de objetivos (operaciones,
reporting y cumplimiento), aunque las tratan de diferente forma. Adicionalmente, ERM introduce
una cuarta categora: objetivos estratgicos. sta, opera a un nivel superior que el resto de categoras y
fluye de la misin o la visin de la empresa, mientras que los otros tres objetivos deben estar alineados
con ellas. ERM se utiliza a la hora de establecer estrategias, as como para la consecucin de las otras
tres categoras de objetivos.
La Gestin Integral de Riesgos (COSO II) va ms all, ya que considera el establecimiento de los
objetivos de negocio y el nivel de riesgo que est dispuesta a asumir la compaa, cmo se crean y
mitigan los riesgos a travs de las elecciones de estrategias y cmo los riesgos emergentes impactan en
la organizacin. Sin embargo, el Control Interno (COSO I) se centra en si la organizacin est
mitigando los riesgos para conseguir los objetivos.
Esta diferencia est en lnea con el cambio introducido en el Marco actualizado sobre la aclaracin de
la necesidad de establecer los objetivos de negocio como condicin previa a los objetivos de Control
Interno (ver figura 3.2.).
En el Marco COSO II de Gestin de Riesgos se introducen los conceptos de apetito y tolerancia al
riesgo a la hora de establecer los objetivos:
Apetito al riesgo: nivel de riesgo que una empresa est dispuesta a asumir en la consecucin de
su misin/visin. Sirve como herramienta para establecer estrategias y para elegir
determinados objetivos.
Tolerancia al riesgo: est incluida en el Marco como una pre-condicin del Control Interno,
pero no como una parte del mismo. Se define como un nivel aceptable de variacin relativa a
la consecucin de objetivos. A la hora de establecer niveles de tolerancia al riesgo, la Direccin
considera la importancia relativa de los objetivos relacionados y alinea la tolerancia al riesgo
con el apetito al riesgo.
Establecer el apetito y la tolerancia al riesgo son principios clave de la Gestin Integral de Riesgos. Sin
embargo, desde la perspectiva de Control Interno se ve el establecimiento de objetivos y la tolerancia
al riesgo como pre-condiciones de un Sistema de Control Interno efectivo.
39
El siguiente cuadro (cuadro 3.13) muestra las similitudes y diferencias entre los componentes:
Cuadro 3.13.
40
La siguiente figura (3.14.) muestra, por un lado, la ampliacin del componente de evaluacin de
riesgos que hace el Marco COSO II de Gestin de Riesgos, introduciendo otros tres componentes
(identificacin de eventos, evaluacin de riesgos y respuesta al riesgo); y por otro lado, la adaptacin
del mbito de aplicacin del cubo de Control Interno al introducido en ERM.
Figura 3.14.
Cubo COSO Marco Actualizado
Cubo ERM
Actualizacin COSO I
Anlisis del borrador del Marco de Control Interno actualizado
Limitaciones
El Marco actualizado enumera, al igual que el original, las limitaciones del Control Interno. El Control
Interno puede aportar un asesoramiento razonable a la Direccin y al Consejo de Administracin para
lograr los objetivos de la organizacin, pero la probabilidad de conseguirlo est afectada por limitaciones
inherentes en todos los Sistemas del Control Interno que incluyen aquellas relativas al juicio profesional
(posibilidad de que las decisiones tomadas sean incorrectas), disfunciones del sistema (por colapsos del
sistema de gestin o simplemente la ocurrencia de errores), o elusin de los controles por parte de la
alta Direccin y la confabulacin entre dos o ms personas dentro de la organizacin.
El Marco actualizado, al contrario que el Marco COSO original, no contempla como limitacin la
necesidad de considerar con carcter previo al establecimiento de controles la relacin coste/beneficio.
En el Marco actualizado, la consideracin de los beneficios y costes del Control Interno se incluye
dentro del apartado de consideraciones adicionales por lo que establece la relacin coste/beneficio
como un aspecto a tener en cuenta y no como algo excluyente.
C. Actualizacin/adaptacin de documentos
COSO presenta el nuevo Marco en tres volmenes:
Executive Summary (resumen ejecutivo).
Framework and Appendices (Marco y apndices).
Illustrative Tools (herramientas ilustrativas)
41
ILLUSTRATIVE TOOLS
42
Illustrative Tools es la actualizacin de Evaluation Tools, documento que se public como apoyo al
Marco de 1992. Este documento pretende servir como gua para la evaluacin de la efectividad del
Sistema de Control Interno tanto a las entidades que ya utilizaban el Marco COSO original, como a
aquellas que decidan implantar el Marco actualizado. El contenido del documento puede ayudar a la
Direccin a evaluar si:
Cada uno de los cinco componentes y los principios ms relevantes estn presentes y
funcionado.
Los cinco componentes estn funcionando a la vez de una manera integrada.
El documento se basa en tres partes: introduccin, plantillas y escenarios:
a) La introduccin explica los conceptos de escenarios y plantillas, as como sus aplicaciones
para el Control Interno.
b) Las plantillas se pueden utilizar para evaluar la efectividad del Sistema de Control Interno y
para documentar esa evaluacin.
c) Los escenarios ilustran modos de empleo de las plantillas para apoyar una evaluacin de la
efectividad del Sistema de Control Interno.
Estas herramientas no estn diseadas con la intencin de cumplir con los requisitos
regulatorios, jurisdiccionales o estndares, sino para evaluar la gravedad de las deficiencias asociadas
con un objetivo particular.
Actualizacin COSO I
Anlisis del borrador del Marco de Control Interno actualizado
Plantillas
Las plantillas estn diseadas con el objetivo de presentar un resumen de los resultados de la
evaluacin. No son una parte integral del Marco, y pueden no abordar todos los temas que tienen que
considerarse en la evaluacin de un Sistema de Control Interno para la consecucin de un objetivo
especfico. Su objetivo se limita a ilustrar un posible proceso de evaluacin basado en los requisitos
expuestos en el Marco.
La Direccin puede utilizar estas plantillas con diferentes finalidades:
Apoyar la determinacin de si los componentes y los principios estn presentes y funcionando
correctamente.
Apoyar la evaluacin de si los cinco componentes del Sistema de Control Interno estn
operando al mismo tiempo de una manera integrada.
Apoyar la evaluacin de la eficacia del Sistema de Control Interno en relacin con una o ms
categoras de objetivos.
Documentar la evaluacin general de la Direccin en relacin con la efectividad de un Sistema
de Control Interno considerando los componentes y los principios.
Documentar las deficiencias encontradas durante el proceso de evaluacin.
Las plantillas aportan una estructura lgica para que la Direccin analice y documente la evaluacin
que hace la organizacin de la efectividad del Sistema de Control Interno, incluyendo la presencia y
el funcionamiento de los componentes y principios como aparecen en el Marco utilizando los puntos
de enfoque como apoyo. Adicionalmente, estas plantillas se organizan para apoyar el enfoque topdown, basado en el criterio de evaluacin de riesgos.
Existen cuatro tipos de plantillas:
Evaluacin general: resume la decisin de la Direccin sobre si los cinco componentes estn
presentes, funcionando y operando de una manera integrada, incluyendo la gravedad de las
deficiencias del Control Interno o una combinacin de deficiencias cuando se consideren
colectivamente a lo largo de los componentes.
Componentes: resume la decisin de la Direccin sobre si cada componente, incluyendo sus
principios, estn presentes y funcionando.
Principios: resume la decisin de la Direccin sobre si cada principio est presente y
funcionando. Se aportan los puntos de enfoque para apoyar a la Direccin en su decisin.
Resumen de las deficiencias del Control Interno: aporta un registro de todas las deficiencias
del Control Interno que se han encontrado, y que se pueden aprovechar en la evaluacin de
los componentes y los principios.
La siguiente figura muestra a continuacin muestra la relacin entre cada plantilla y el flujo esperado
de informacin clave.
43
Figura 3.15.
Diagrama del flujo de informacin*
Evaluacin General
Resumen de la
evaluacin de los
Componentes
Actualizar la
gravedad de las
deficiencias de
Control Interno
Evaluacin de los
Componentes
x5
Registro de las
deficiencias del
Control Interno
Resumen de la
evaluacin de cada
Principio
Evaluacin de los
Principios
x17
44
Resumen de
Deficiencias del Control
Interno
Escenarios
Los escenarios presentan ejemplos de cmo se pueden utilizar las plantillas para apoyar la evaluacin
de la efectividad del Sistema de Control Interno, basndose en los requisitos establecidos en el Marco.
Cada escenario est diseado para ilustrar un aspecto en particular, o un conjunto de aspectos
relacionados en cuanto al proceso de evaluacin. Cada uno consiste en dos partes:
Antecedentes para aportar un contexto al escenario.
Las plantillas cumplimentadas.
Los escenarios subrayan consideraciones importantes a tener en cuenta cuando se realice la
evaluacin. No presentan una visin integral de cmo la organizacin debera actuar en la evaluacin
general del Sistema de Control Interno porque no muestran todos los posibles aspectos del proceso
de evaluacin.
Actualizacin COSO I
Anlisis del borrador del Marco de Control Interno actualizado
COMPENDIUM
El Internal Control over External Financial Reporting: A Compendium of Approaches and Examples es
la actualizacin del Internal Control over Financial Reporting publicado en 2006 como gua de apoyo
en la utilizacin del Marco COSO I. Este documento aporta enfoques y ejemplos para ilustrar cmo
las entidades pueden aplicar, en un Sistema de Control Interno, los principios que se establecen sobre
el reporting financiero externo en el Marco.
El Compendium, al igual que el Marco, requera una actualizacin por diversos motivos, tales como:
las expectativas de la supervisin del gobierno de la organizacin, la globalizacin de los mercados y
las operaciones, la mayor complejidad de las leyes, regulaciones, reglas y estndares, el uso de nuevas
tecnologas, y las crecientes expectativas relativas a la prevencin y la deteccin del fraude.
Este documento se estructura partiendo de los cinco componentes del Control Interno aportando
consideraciones especficas sobre el reporting financiero externo. En cada uno de los captulos, ligados
a cada uno de los componentes, se presentan los principios con una serie de enfoques y ejemplos para
la aplicacin de los mismos.
45
ANEXOS
A. Autores del informe
46
Actualizacin COSO I
Anlisis del borrador del Marco de Control Interno actualizado
47
Reconocimientos
FINANCIAL TIMES, 25 de enero de 2010
MBA Ranking, 3 posicin en Europa y 6 posicin mundial
FINANCIAL TIMES, 25 de octubre de 2010
Executive MBA Ranking, 7 posicin mundial
THE ECONOMIST, septiembre de 2010
MBA Ranking, 22 posicin mundial
AMRICA ECONOMA, junio 2010
MBA Ranking, 3 posicin mundial
http://centrogobiernocorporativo.ie.edu
ARTES GRFICAS
desde 1918