El 2013

Marco COSO y
Cumplimiento de SOX

UN ENFOQUE PARA UNA TRANSICIÓN EFECTIVA

Por J. Stephen McNally, CPA

 COSO

El 2013
Marco COSO y
Cumplimiento de SOX
UN ENFOQUE PARA
UNA TRANSICIÓN EFECTIVA

Por J. Stephen McNally, CPA

¿Trabaja para una empresa que cotiza en bolsa que está sujeta a los

requisitos de cumplimiento de la Sección 404 de la Ley Sarbanes-Oxley

(SOX)? Si es así, es muy probable que esté familiarizado con el Control interno:

marco integrado que fue publicado en 1992 por el Comité de Organizaciones

Patrocinadoras de la Comisión Treadway (COSO). Como sabe, SOX 404

requiere que la gerencia de empresas públicas como Campbell Soup

seleccione un marco de control interno y luego evalúe e informe sobre el

diseño y la efectividad operativa de sus controles internos anualmente. La

mayoría de las empresas estadounidenses que cotizan en bolsa han adoptado

el Marco de 1992 de COSO para hacer esto.

Junio del 2013 yo ST RAT EG ICFI NANC E 1

 COSO

Como recordatorio rápido, COSO es una iniciativa voluntaria del sector aunque el concepto de principios de control interno puede haber estado

privado dedicada a mejorar el desempeño y la gobernanza de la organización a incorporado en el Marco original, los principios mismos estaban “ocultos”

través de un control interno efectivo, la gestión de riesgos empresariales y la dentro de los detalles. En tercer lugar, los profesionales han utilizado el

disuasión del fraude. Cinco organizaciones sin fines de lucro son sus Marco principalmente para el control interno sobre la información financiera

organizaciones patrocinadoras: AAA (American Accounting Association), externa, sin embargo, el Marco abarca tres categorías principales de

AICPA (American Institute of Certified Public Accountants), FEI (Financial objetivos, que incluyen operaciones, informes generales y objetivos de

Executives International), IIA (Institute of Internal Auditors) e IMA® (Institute of cumplimiento. Por lo tanto, racionalizar el marco original; codificar los

Management Accountants). principios subyacentes; mayor enfoque en operaciones, informes

financieros no externos y objetivos de cumplimiento; y la mejora de la

usabilidad fueron factores adicionales detrás de COSO Control interno:

El 14 de mayo de 2013, COSO lanzó una versión actualizada de su Control marco integrado ( ICIF) Refresh Project.
interno: marco integrado. ¿Por qué se actualizó el Marco y con qué fin? ¿Se

requiere la adopción del marco de 2013 para el cumplimiento de SOX 404?

¿Cómo se puede realizar una transición eficiente y eficaz desde el Marco

original de 1992? ¿Qué tan pronto necesitas completar tu transición? Este El caso de la transición
artículo proporciona respuestas a estas preguntas; una descripción general A lo largo de este proyecto de varios años, la Junta de COSO ha enfatizado

del Marco 2013 de COSO, escrito por PwC; y un enfoque, que incluye pasos que los conceptos y principios clave incluidos en el Marco original siguen

específicos, sobre cómo hacer la transición del programa de cumplimiento siendo fundamentalmente sólidos para diseñar, implementar y mantener

SOX de una entidad al Marco actualizado. sistemas de control interno y evaluar su efectividad. Por lo tanto, COSO

continuará poniendo a disposición el Marco original hasta el 15 de diciembre

de 2014, momento en el cual el Marco de 1992 se considerará

reemplazado. Durante este período de transición, desde hoy hasta el 15 de

Visión general diciembre de 2014, COSO cree que el uso continuo del Marco de 1992 es

El nuevo Marco de COSO es el resultado de un importante proyecto de varios años, aceptable. Entidades que aprovechan los COSO Control interno: marco

que incluye dos rondas de exposición pública, para revisar, actualizar y modernizar el integrado Sin embargo, para fines de presentación de informes externos
Marco original, asegurando que siga siendo relevante. Como todos sabemos, el mundo durante el período de transición, deben revelar claramente si utilizaron la

ha experimentado un cambio radical desde 1992 que ha provocado cambios drásticos versión de 1992 o 2013.

en el entorno empresarial y operativo. Los mercados continúan globalizándose. Los

modelos comerciales han cambiado significativamente, incluido un mayor uso de

servicios compartidos y proveedores de servicios subcontratados. La complejidad y el

ritmo de los cambios en las reglas, regulaciones y estándares han intensificado las En el espíritu de mejora continua, las empresas deben reevaluar

demandas de las empresas. La confianza en la tecnología en evolución, cada vez más periódicamente su sistema de control interno sobre la información

importante para mejorar el rendimiento empresarial, los procesos empresariales y la financiera externa para identificar oportunidades para mejorar su eficiencia

toma de decisiones, sigue creciendo. Finalmente, los reguladores y otras partes y / o efectividad. Aprovechar el Marco 2013 de COSO, que formaliza los

interesadas tienen mayores expectativas con respecto a la supervisión de la principios incorporados en el original de manera más explícita, incorpora

gobernanza, la gestión de riesgos, y la detección y prevención del fraude. Si bien se cambios en el entorno empresarial y operativo durante las últimas dos

han logrado avances para conectar mejor la gestión de riesgos y las prácticas de décadas y mejora la facilidad de uso y aplicación del Marco, es una

control interno en la búsqueda de los objetivos estratégicos de la organización, los manera eficaz de hacerlo.

numerosos cambios desde 1992 han aumentado significativamente el riesgo comercial,

lo que ha resultado en una necesidad mucho mayor de competencia y responsabilidad

que nunca. Además, colectivamente hemos aprendido lecciones en la aplicación del El marco de 2013 también hace que sea más fácil para la gerencia ver qué está

Marco de 1992. Primero, el Marco original incluía largas discusiones sobre conceptos cubierto y dónde pueden existir brechas en su programa de cumplimiento SOX 404

de control interno que ahora son conocimiento institucional. Segundo, resultando en actual. Por ejemplo, es posible que algunas empresas no hayan documentado

una necesidad mucho mayor de competencia y responsabilidad que nunca. Además, completamente su aplicación de control interno de acuerdo con el Marco de 1992 de

colectivamente hemos aprendido lecciones en la aplicación del Marco de 1992. COSO. Otros pueden haber malinterpretado o aplicado incorrectamente la narrativa

Primero, el Marco original incluía largas discusiones sobre conceptos de control interno en el original, por lo que no llegan a un proceso de evaluación adecuado con

que ahora son conocimiento institucional. Segundo, resultando en una necesidad respecto a uno o más principios, o pueden haber pasado por alto un principio por

mucho mayor de competencia y responsabilidad que nunca. Además, colectivamente completo. los

hemos aprendido lecciones en la aplicación del Marco de 1992. Primero, el Marco original incluía largas discusiones sobre conceptos de control interno que ahora son conocimiento institucional. Segun

2 ST RAT EGICFI NANC E yo Junio del 2013

 COSO
El Marco actualizado desarrolla principios y puntos de apoyo de enfoque dentro de
cada uno de los cinco componentes fundamentales del control interno: ambiente de
control, evaluación de riesgos, actividades de control, información y comunicación y
actividades de monitoreo. Con él, la administración puede diagnosticar problemas
con mayor éxito y afirmar la efectividad con respecto a sus controles internos y,
para la presentación de informes financieros externos, ayudar a evitar debilidades
materiales o deficiencias significativas. Por todas estas razones, estoy de acuerdo
con la recomendación de la Junta de COSO de que los usuarios completen su
transición "tan pronto como sea posible bajo sus circunstancias particulares".
Un enfoque de transición
Teniendo en cuenta que el marco recién lanzado de COSO representa una
actualización de la versión de 1992 y que los principios y requisitos del
control interno efectivo articulados en él estaban incluidos en el original,
esperamos una transición relativamente suave en Campbell Soup.
Suponiendo que interpretemos el Marco original correctamente al desarrollar
nuestro programa actual de cumplimiento de SOX, la transición al Marco de
2013 para diciembre de 2014 puede limitarse a actualizar el formato de
varios informes resumidos de SOX. No esperamos un impacto significativo
en nuestra metodología, enfoque y / o controles clave de cumplimiento SOX
subyacentes.
Como codirector del equipo SOX global original de Campbell Soup Company en
2003 y 2004, desempeñé un papel clave en la definición de la metodología y el
enfoque de cumplimiento de SOX de Campbell. Como muchas empresas,
seleccionamos el COSO
Control interno: marco integrado y luego lo usamos para evaluar el diseño y la
efectividad operativa de nuestros controles internos sobre los informes
financieros externos. Capacitamos a más de 300 asociados multifuncionales a
nivel mundial; sub-equipos operativos y funcionales designados para identificar,
documentar y probar los controles de Campbell; y abordar las deficiencias
según sea necesario.
Históricamente, Campbell Soup siempre ha aceptado la importancia de
mantener un sistema sólido de control interno. Por lo tanto, nuestro principal
desafío en 2003-2004 fue documentar y probar de manera efectiva los controles ya
implementados, incluidas las actividades de control de Campbell relacionadas con
los informes financieros, así como los controles a nivel de empresa de Campbell
en general. Para abordar los controles a nivel de la empresa, examinamos el
Marco de COSO y otras orientaciones y luego desarrollamos una plantilla
personalizada para Campbell Soup que constaba de consideraciones o atributos
clave
para cada uno de los cinco componentes de control interno. Aprovechar
las entrevistas con la alta dirección y
Tabla 1: Recién liberado
Documentos COSO
Control interno: marco integrado
Resumen Ejecutivo. Representa una descripción general de
alto nivel del Marco de 2013 y está dirigido al CEO y otros altos
directivos, juntas directivas y reguladores.
Control interno: marco integrado y
Apéndices. Este volumen, de aproximadamente 175 páginas, establece el
Marco en detalle, definiendo el control interno, describiendo los componentes
del control interno y los principios subyacentes, y brindando orientación para
todos los niveles de administración en el diseño e implementación del control
interno y la evaluación de su efectividad. Los apéndices de este volumen,
incluido un glosario, consideraciones específicas para entidades más
pequeñas, resumen de cambios en comparación con la versión de 1992, etc.,
proporcionan referencias adicionales pero no se consideran parte del Marco.
Control interno: marco integrado
Herramientas ilustrativas para evaluar la eficacia de un sistema de
control interno. Este volumen proporciona
plantillas y escenarios para apoyar a la administración en la aplicación del
Marco, específicamente en términos de evaluación de la efectividad.
Control interno sobre la información financiera externa:
un compendio de enfoques y
Ejemplos. Este compendio proporciona enfoques prácticos y
ejemplos que ilustran cómo los componentes y principios
establecidos en el Marco pueden aplicarse en la preparación de
estados financieros externos. Está destinado a ser utilizado como
un recurso para preguntas e investigación sobre principios y
componentes específicos en lugar de leerse de cabo a rabo.
expertos funcionales, así como otras pruebas que recopilamos,
documentamos el diseño y la implementación y luego evaluamos la
efectividad operativa de estos controles. Aunque esperamos que la transición
del Marco de 1992 de COSO a su Marco de 2013 resulte en pocos cambios,
si es que hay alguno, todavía tenemos que trabajar en él. El siguiente
proceso de cinco pasos representa una forma de navegar por la transición.
Junio del 2013 yo ST RAT EG ICFI NANC E 3
 COSO

PASO UNO: Desarrollar conciencia, experiencia y Figura 1: El cubo COSO

alineación
Además de lograr la alineación y el apoyo del liderazgo senior, el primer paso
es do ad
en la transición al Marco 2013 de COSO es generar conciencia interna y, en n n id
cio rta o rm
ra po nf
última instancia, experiencia entre los expertos en la materia de COSO / SOX pe Re Co
O
residentes en su empresa. Para hacerlo, usted y su equipo deben obtener y

revisar las publicaciones recientemente publicadas de COSO, incluida la Control

Control medioambiental

Unidad Operativa
interno: resumen ejecutivo del marco integrado, marco y apéndices,

Función
herramientas ilustrativas para evaluar la eficacia de un sistema de control

interno, y el Control interno sobre la información financiera externa (ICEFR): un Evaluación de riesgos

Nivel de entidad

División
compendio de enfoques y ejemplos. Consulte la Tabla 1 para obtener una

breve descripción general de cada uno de estos documentos.

Actividades de control

Información y comunicación
Combinadas, estas publicaciones de COSO representan casi 500 páginas de

orientación, por lo que es posible que desee aprovechar otras herramientas y

Actividades de seguimiento
recursos también. A continuación, se incluyen algunos documentos y otros recursos

que lo ayudarán a navegar por los cambios introducidos en el Marco de 2013 y la

guía que lo acompaña. Primero, además del Resumen Ejecutivo, Los comunicados el logro de los objetivos relacionados con las operaciones, la presentación de

de prensa recientes de COSO, una plataforma de presentación de COSO, el informes y el cumplimiento ". El Marco de 2013 aún prevé tres categorías de

documento de "Preguntas frecuentes" y otros materiales están disponibles en el objetivos — operaciones, informes y cumplimiento — y aún consta de cinco

sitio web de COSO ( www.coso.org ). Proporcionarán una visión general eficaz del componentes integrados de control interno — ambiente de control, evaluación

Proyecto Refresh de COSO en general y del Marco de 2013 en particular. de riesgos, actividades de control, información y comunicación y actividades de

monitoreo. El Marco sigue siendo adaptable a la estructura de una

organización determinada, lo que le permite considerar los controles internos

de una entidad, división, unidad operativa y / o nivel funcional, como para un

Asimismo, las cinco organizaciones patrocinadoras han estado apoyando a centro de servicios compartidos. Finalmente, se mantiene el importante papel

COSO en la creación de conciencia sobre el Marco actualizado, por lo que una del juicio de la administración en el diseño, implementación y mantenimiento

revisión de sus respectivos sitios web puede proporcionar información y perspectiva del control interno, así como en la evaluación de su efectividad. Consulte la

adicionales. Varios de ellos, así como otras partes, organizarán una serie de Figura 1 para ver una representación visual de COSO Control interno: marco

webinars y / o seminarios en persona, foros y / o sesiones de capacitación, muchos integrado ( es decir, el COSO Cube actualizado).

de los cuales estarán disponibles de forma gratuita para el público. Además, estoy

seguro de que numerosos artículos y editoriales durante el próximo año ofrecerán

varias perspectivas sobre la aplicación del Marco, la comprensión de conceptos

clave en el Marco y la transición a él. Su auditor externo, otras empresas públicas, Categoría de informes ampliada. Mientras que la categoría de objetivos de

autoridades reguladoras y otras partes relevantes también pueden ser excelentes presentación de informes se aprovechó principalmente para la presentación de

recursos. Por último, la creación de redes y la creación de conexiones con informes financieros externos en el pasado, esta categoría ahora abarca explícita y

compañeros de empresas similares pueden beneficiarlo a usted y a su equipo. más claramente los objetivos de presentación de informes financieros y no financieros

internos y externos. El Marco de COSO siempre tuvo la intención de abordar un

espectro más amplio de actividad comercial, pero la aprobación de la Sección 404 de

SOX dio como resultado una percepción pública de que COSO solo podía respaldar la

A medida que comience a desarrollar su conciencia, los siguientes conceptos y presentación de informes financieros externos. El marco de 2013 ahora permite

conocimientos pueden ser de particular interés: explícitamente su uso en estas otras situaciones de informes, aunque no son

Conceptos atemporales. Como se señaló anteriormente, los conceptos clave de directamente relevantes desde una perspectiva SOX.

COSO con respecto al control interno son atemporales. Según COSO, “El control

interno es un proceso efectuado por la junta directiva, la gerencia y otro personal de

una entidad, diseñado para proporcionar una seguridad razonable con respecto a Principios codificados. El Marco de 1992 introdujo conceptualmente

17 principios relevantes asociados con la

4 ST RAT EGICFI NANC E yo Junio del 2013

 COSO

Tabla 2: 17 principios Tabla 3: Puntos de enfoque de ejemplo

A continuación, se muestran los títulos de los 17 principios de control interno por Principio 1. La organización demuestra un compromiso

componente de control interno, tal como se presentan en el Marco 2013 de COSO: con la integridad y los valores éticos.

Puntos de enfoque de apoyo:

• Establece el tono en la parte superior

CONTROL MEDIOAMBIENTAL
• Establece estándares de conducta
1. Demuestra compromiso con la integridad y los valores éticos.
• Evalúa el cumplimiento de los estándares de conducta.

• Aborda las desviaciones de manera oportuna

2. Ejerce la responsabilidad de supervisión

3. Establece estructura, autoridad y responsabilidad

4. Demuestra compromiso con la competencia Requisitos de un control interno efectivo. Para que la administración

5. Refuerza la rendición de cuentas concluya que su sistema de control interno es efectivo, los cinco

componentes del control interno y todos los principios relevantes deben

EVALUACIÓN DE RIESGOS estar presentes y funcionando. Estar “presente” implica que un componente

6. Especifica objetivos adecuados o principio dado existe dentro del diseño e implementación del sistema de

7. Identifica y analiza el riesgo control interno de una entidad. “Funcionamiento” implica que el componente

8. Evalúa el riesgo de fraude o principio continúa existiendo en la operación y conducción del sistema de

9. Identifica y analiza cambios significativos control. Un control interno eficaz también requiere que los cinco

componentes operen juntos de manera integrada. La gerencia puede

ACTIVIDADES DE CONTROL concluir que sí si cada componente está presente y funcionando y la

10. Selecciona y desarrolla actividades de control. agregación de las deficiencias de control interno entre los componentes no

11. Selecciona y desarrolla controles generales sobre la tecnología. da como resultado una o más deficiencias importantes.

12. Despliegues mediante políticas y procedimientos

INFORMACION Y COMUNICACION Deficiencias de control interno. De acuerdo con el Marco de 2013, existe

13. Utiliza información relevante una deficiencia importante si una deficiencia de control interno o una

14. Se comunica internamente combinación de las mismas reduce severamente la probabilidad de que una

15. Se comunica externamente entidad logre sus objetivos. En otras palabras, si la administración usó su

juicio profesional para determinar que un objetivo de control no se está

SUPERVISIÓN cumpliendo porque un principio relevante o componente asociado no está

16. Realiza evaluaciones continuas o separadas. presente y funcionando, o los cinco componentes no operan juntos, la entidad

17. Evalúa y comunica deficiencias tiene una importante deficiencia. Aunque el Marco de 2013 usa y define los

términos deficiencia y deficiencia mayor, la administración debe usar los

Consulte el Marco para conocer los principios reales y las descripciones criterios relevantes establecidos por los reguladores, los organismos que

relacionadas. establecen los estándares y otros terceros relevantes para definir la gravedad,

evaluar y reportar las deficiencias de control interno al informar bajo esos

cinco componentes del control interno. Pero estos conceptos estaban implícitos reglamentos o normas.

en la narrativa. Debido a que son esenciales para evaluar que los cinco

componentes están presentes y funcionando, estos conceptos ahora se articulan

explícitamente en

los 17 principios. El Directorio de COSO cree que cada principio agrega valor, es Puntos de enfoque. El Marco actualizado de COSO describe puntos de

adecuado para todas las entidades y, por lo tanto, se presume relevante. Si la enfoque para ayudar a la gerencia a diseñar, implementar y mantener el

gerencia determina que un principio dado no es relevante para la organización, control interno y evaluar si los 17 principios están presentes y funcionando.

debe documentar la racionalización. Consulte la Tabla 2 para obtener una lista de Los puntos de enfoque representan características importantes de los

los principios y los componentes asociados del control interno. principios respectivos. (Consulte la Tabla 3 para

Junio del 2013 yo ST RAT EG ICFI NANC E 5

 COSO

ejemplos.) Los puntos de enfoque que se consideran relevantes y adecuados para

una entidad determinada, ya sea que estén descritos en el Marco o identificados de La transición de cinco pasos
forma exclusiva por la administración, pueden ayudarlo a comprender los principios

respectivos. Pero no se requiere que la gerencia evalúe por separado si están en su

PASO 1
lugar. Los puntos de enfoque son simplemente facilitadores; no son necesarios para
DESARROLLAR CONCIENCIA, EXPERIENCIA Y ALINEACIÓN
tener un sistema eficaz de control interno.

PASO 2
SEGUNDO PASO: Realizar una evaluación de impacto REALIZAR UNA EVALUACIÓN PRELIMINAR DE IMPACTO

preliminar

Una vez que comprenda el Marco 2013 de COSO, debe evaluar cómo la
PASO 3
transición a él afectará su programa actual de cumplimiento de SOX.
FACILITAR UNA AMPLIA CONCIENCIA, CAPACITACIÓN,
Quizás el factor más significativo que afecta su transición de la versión de
Y EVALUACIÓN INTEGRAL
1992 a la versión de 2013 es qué tan bien la administración implementó la
versión original.
ETAPA 4
DESARROLLAR Y EJECUTAR EL PLAN DE TRANSICIÓN COSO
Para realizar una evaluación de impacto preliminar, debe mapear
PARA EL CUMPLIMIENTO DE SOX
su sistema existente de control interno con el Marco COSO
actualizado. Esto le ayudará a determinar el grado de trabajo
necesario para completar la transición. PASO 5
IMPULSAR LA MEJORA CONTINUA
Mientras desarrollaba su metodología y enfoque actuales para el cumplimiento

de SOX, probablemente invirtió mucho tiempo por adelantado para definir el marco

de control interno de su entidad, comenzando con el Marco de 1992 de COSO y en lugar de mapear directamente a los cinco componentes del control

luego personalizándolo en función de los procesos específicos de su empresa, las interno, primero se mapeará a los 17 principios que subyacen a cada uno

divulgaciones financieras y el historial de riesgos. ¿Le suena familiar el siguiente de los cinco componentes. Como antes, si determina que existen lagunas

escenario? en el diseño de su control interno, deberá corregirlas en consecuencia.

Primero, la administración probablemente especificó un objetivo de

información financiera de alto nivel y subobjetivos relacionados con la PASO TRES: Facilitar una amplia concientización,
preparación de declaraciones y declaraciones financieras. Al hacerlo, identificó capacitación y evaluación integral
cuentas de estados financieros importantes basadas en el riesgo de En los Pasos uno y dos, el esfuerzo se limitó a los expertos en la materia de

incorrección material. Luego, para cada cuenta o divulgación, la administración cumplimiento de SOX de la empresa y / o al equipo central de cumplimiento de

identificó las afirmaciones de información financiera relevantes, incluida la SOX. El Paso Tres implica involucrar a la organización en general para crear

existencia, integridad, derechos y obligaciones, valoración o asignación, conciencia y poner a prueba la evaluación de impacto preliminar realizada en el

presentación y divulgación, y similares. Además, la administración identificó Paso Dos.

transacciones, eventos y procesos subyacentes que respaldan las respectivas

cuentas y divulgaciones. El resultado puede haber sido un mapeo del diseño del Dependiendo de la naturaleza y complejidad de su organización, sus esfuerzos

entorno de control interno de su empresa, proporcionar evidencia de que de cumplimiento de SOX pueden ocurrir de manera centralizada o puede haber

existen actividades de control para todas las afirmaciones de información múltiples niveles de evaluación. Por ejemplo, cada unidad de negocio o ubicación

financiera relevantes para todas las cuentas y revelaciones importantes. Si hubo puede preparar su propia evaluación a nivel local. De cualquier manera, debe

brechas importantes, las corrigió en consecuencia. facilitar un amplio conocimiento del Marco actualizado de COSO y el impacto

potencial en su programa de cumplimiento de SOX entre las partes interesadas

clave, incluida la junta directiva / comité de auditoría, la administración senior y

operativa, los propietarios de procesos y controles y los auditores internos.

Suponiendo que pasó por ese proceso al desarrollar su programa de También debe discutir el impacto del Marco 2013 de COSO en sus esfuerzos SOX

cumplimiento SOX existente, puede aprovechar el mapeo original para con los auditores externos de su empresa. En algunos

determinar el impacto de la transición al Marco 2013 de COSO. Ahora,

sin embargo,

6 ST RAT EGICFI NANC E yo Junio del 2013

 COSO

casos, será suficiente proporcionar a las partes interesadas una breve actualización,

mediante memorando o en persona. En otros casos, pueden ser necesarias sesiones Impacto de COSO's 2013 Control
de formación y trabajo en profundidad.
interno: marco integrado
Además de generar una amplia conciencia, también debe aprovechar las partes
sobre documentos COSO anteriores
interesadas clave, como los propietarios de procesos / controles o los líderes de SOX

de la unidad de negocios, para poner a prueba su evaluación de impacto preliminar,

COSO's recién lanzado 2013 Control interno: marco integrado y documentos
especialmente en un entorno más descentralizado o altamente complejo. En otras
relacionados impactan las publicaciones COSO anteriores de la siguiente
palabras, haga que aquellos que son directamente responsables de implementar los
manera:
controles SOX de su empresa critiquen el mapeo preliminar del Paso Dos para

garantizar que el análisis sea completo y preciso. • COSO considerará el 1992 Control interno: marco integrado como
reemplazado por el Marco de 2013 después del 15/12/14.

• COSO considerará el 2006 Control interno sobre

PASO CUATRO: Desarrollar y ejecutar el plan de transición
Informes financieros: orientación para el público más pequeño
COSO para el cumplimiento de SOX
Empresas por haber sido reemplazado por el Compendio ICEFR
Una vez que haya creado una amplia conciencia con respecto al Marco
después del 15/12/14.
COSO actualizado, haya obtenido la alineación y el apoyo de los líderes
senior de que una transición oportuna es importante y haya completado • La Junta de COSO cree que el control interno es una parte integral de la
gestión de riesgos empresariales (ERM), pero que ERM tiene un alcance más
una evaluación de impacto integral, es el momento de desarrollar y amplio. Como tal, COSO's
ejecutar el plan de transición de su empresa. Como ocurre con cualquier
proyecto bien gestionado, la fase de planificación suele ser la más 2004 Gestión de riesgos empresariales: marco integrado y el

importante. Durante esta fase, finalice la metodología y el enfoque de recién estrenado Control interno-

cumplimiento SOX actualizado de su empresa, defina la gobernanza del Marco integrado se consideran complementarios.

proyecto y los derechos de decisión, desarrolle un plan de proyecto

• COSO de 2009 Control interno: marco integrado, orientación
detallado con hitos clave, identifique y asigne recursos y complete otras sobre el seguimiento del control interno

actividades de planificación necesarias. Lo más importante, sea realista

Sistemas seguirá siendo material relevante y útil para la
en sus expectativas y planes. Incluso aquellas empresas con programas
gestión.
sofisticados de cumplimiento de SOX hoy que han diseñado,
implementado,
pruebas de validación para garantizar que estos controles se hayan implementado y

estén funcionando como se esperaba. Si identifica deficiencias como resultado de esta

prueba, es posible que se requiera corregir la brecha.

A medida que ejecuta su plan de transición, es probable que pase por tres

fases de alto nivel: Fase 3: Revisión y prueba externas. En algún momento, su auditor

Fase 1: Documentación y Evaluación. Durante esta fase, es posible que externo deberá evaluar y sentirse cómodo con su programa de
deba actualizar el formato y / o el flujo de su documentación subyacente, cumplimiento SOX actualizado y la documentación de respaldo.
alineándolo con la nueva asignación creada durante el Paso Dos.

Específicamente, para que la administración concluya que su sistema de

control interno es efectivo, los cinco componentes del control interno y todos PASO CINCO: Impulsar la mejora continua
los principios relevantes deben estar presentes y funcionando. La En el verdadero espíritu del gobierno corporativo, existe una diferencia entre un

documentación subyacente debe apoyar a la administración para llegar a tal sistema de controles internos adecuado y el mejor en su clase. Para una empresa que

conclusión. Esta fase también implica evaluar el diseño de los controles cotiza en bolsa, un gobierno corporativo más sólido debería traducirse en resultados

subyacentes y mejorar el diseño según sea necesario. comerciales más sólidos y un mayor valor para los accionistas.

Una vez que se complete la transición de su empresa al Marco

Fase 2: Pruebas de validación y corrección de brechas. Una vez que 2013, desafíese a impulsar la mejora continua a partir de entonces
esté seguro de que los controles de su empresa en torno a los informes con estas prácticas:
financieros externos y la divulgación son efectivos en su diseño, debe Asegúrese de que haya un tono apropiado en la parte superior.

realizar SOX Comunique claramente el compromiso de la empresa con

Junio del 2013 yo ST RAT EG ICFI NANC E 7

 COSO

integridad y valores éticos, la importancia de mantener un control interno eficaz y actividades o controles que pueden alertarlo sobre posibles

la expectativa de que todos los empleados cumplan con sus obligaciones de anomalías o fallas.

control interno. Considere aprovechar los programas de integridad basados en la Mejore la capacidad de gestión de riesgos de su empresa. La integración

web para capacitar a los empleados sobre los estándares de conducta de la de su proceso de ERM con su sistema de controles internos mejorará la

empresa y otros temas importantes. capacidad de su empresa para lograr sus objetivos estratégicos, operativos,

de informes y de cumplimiento.

Integre la responsabilidad del control interno en la estructura de la cultura, los

procesos comerciales y los procedimientos de su empresa. Una forma de lograrlo Estos son solo algunos ejemplos de cómo puede impulsar la
es implementar un programa de autoevaluación de control (CSA) como parte de mejora continua del sistema de control interno de su empresa.
las evaluaciones continuas de la empresa dentro de su componente de

actividades de seguimiento. CSA es un proceso sostenible mediante el cual la

gerencia valida periódicamente la efectividad operativa de los controles clave de Llamada a la acción
la empresa frente a depender de auditores internos o externos para realizar Un último recordatorio: Aquellos que actualmente usan el Marco de 1992 de

dicha evaluación. CSA impulsa la responsabilidad de la administración y COSO deben completar su transición a la versión 2013 a más tardar el 15 de

aumenta la confianza en la evaluación de la administración de la eficacia de su diciembre de 2014, momento en el cual el Marco original se considerará

sistema de control interno. reemplazado.

Ahora la responsabilidad es mía, usted y otras personas dentro de las

empresas que cotizan en bolsa sujetas al cumplimiento de la Sección 404 de

Aproveche la tecnología para respaldar otras actividades de monitoreo. SOX para crear conciencia sobre el Marco de 2013, obtener la alineación y el

Puede usar soluciones tecnológicas para comparar detalles de apoyo de la alta dirección, evaluar el impacto del Marco en las actividades de

transacciones con umbrales predeterminados, monitorear tendencias y cumplimiento de SOX existentes y luego completar una transición oportuna. El

patrones y evaluar indicadores y métricas de desempeño automatizados. proceso de cinco pasos que se describe aquí es un enfoque que podría

ayudarlo a usted y a su equipo a hacerlo con éxito. SF

Mejore los informes de control y la comunicación.

Considere desarrollar cuadros de mando relacionados con procesos clave,

J. Stephen McNally, CPA, es director financiero y controlador de Campbell

Apoyo a los expertos en la materia Soup Company. Ha representado a IMA en el Consejo Asesor del Marco
Integrado de Control Interno de COSO desde su creación en enero de 2011.
Un agradecimiento especial a las siguientes personas que
Además, preside el Panel Asesor de COSO de IMA y es miembro de la Junta
compartieron su experiencia y conocimientos sobre la
Directiva Global de IMA. Puede comunicarse con Steve en
uso de COSO's Controles internos: marco integrado
trabajo para el cumplimiento de SOX y actuó como caja de resonancia para la
j_stephen_mcnally@att.net .
redacción de este artículo:

Chet Davis, Campbell Soup Company, director de seguridad de la

información, Campbell Soup Company Copyright © 2013, Comité de Organizaciones Patrocinadoras de

Brian Ems, Campbell Soup Company, Director de políticas y controles la Comisión Treadway (COSO). 1234567890 PIP 198765432
financieros, Campbell Soup Company

Tania Herke, Springleaf Financial Services, Director de Política Todos los derechos reservados. Ninguna parte de esta publicación puede ser reproducida,

Financiera redistribuida, transmitida o mostrada en cualquier forma o por cualquier medio sin permiso

Stacy Juchno, PNC, Director SOX por escrito. Para obtener información sobre licencias y permisos de reimpresión,

comuníquese con el agente de licencias y permisos del Instituto Americano de Contadores

David Landsittel, Silla COSO
Públicos Certificados para materiales con derechos de autor de COSO. Dirija todas las
Ray Purcell, Pfizer, director de controles financieros
consultas a copyright@aicpa.org o AICPA,

Thomas Ray, Baruch College, City University of New York y ex

auditor jefe de PCAOB
Attn: Manager, Rights and Permissions, 220 Leigh Farm Rd., Durham, NC

Jennie Rothweiler, The Hershey Company, gerente de cumplimiento 27707. Las consultas telefónicas pueden dirigirse al 888-777-7707.
de controles internos globales

Bill Schneider, AT&T, director de contabilidad

8 ST RAT EGICFI NANC E yo Junio del 2013