Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Marco COSO y
Cumplimiento de SOX
El 2013
Marco COSO y
Cumplimiento de SOX
UN ENFOQUE PARA
UNA TRANSICIÓN EFECTIVA
¿Trabaja para una empresa que cotiza en bolsa que está sujeta a los
(SOX)? Si es así, es muy probable que esté familiarizado con el Control interno:
Como recordatorio rápido, COSO es una iniciativa voluntaria del sector aunque el concepto de principios de control interno puede haber estado
privado dedicada a mejorar el desempeño y la gobernanza de la organización a incorporado en el Marco original, los principios mismos estaban “ocultos”
través de un control interno efectivo, la gestión de riesgos empresariales y la dentro de los detalles. En tercer lugar, los profesionales han utilizado el
disuasión del fraude. Cinco organizaciones sin fines de lucro son sus Marco principalmente para el control interno sobre la información financiera
organizaciones patrocinadoras: AAA (American Accounting Association), externa, sin embargo, el Marco abarca tres categorías principales de
AICPA (American Institute of Certified Public Accountants), FEI (Financial objetivos, que incluyen operaciones, informes generales y objetivos de
Executives International), IIA (Institute of Internal Auditors) e IMA® (Institute of cumplimiento. Por lo tanto, racionalizar el marco original; codificar los
El 14 de mayo de 2013, COSO lanzó una versión actualizada de su Control marco integrado ( ICIF) Refresh Project.
interno: marco integrado. ¿Por qué se actualizó el Marco y con qué fin? ¿Se
original de 1992? ¿Qué tan pronto necesitas completar tu transición? Este El caso de la transición
artículo proporciona respuestas a estas preguntas; una descripción general A lo largo de este proyecto de varios años, la Junta de COSO ha enfatizado
del Marco 2013 de COSO, escrito por PwC; y un enfoque, que incluye pasos que los conceptos y principios clave incluidos en el Marco original siguen
específicos, sobre cómo hacer la transición del programa de cumplimiento siendo fundamentalmente sólidos para diseñar, implementar y mantener
SOX de una entidad al Marco actualizado. sistemas de control interno y evaluar su efectividad. Por lo tanto, COSO
Visión general diciembre de 2014, COSO cree que el uso continuo del Marco de 1992 es
El nuevo Marco de COSO es el resultado de un importante proyecto de varios años, aceptable. Entidades que aprovechan los COSO Control interno: marco
que incluye dos rondas de exposición pública, para revisar, actualizar y modernizar el integrado Sin embargo, para fines de presentación de informes externos
Marco original, asegurando que siga siendo relevante. Como todos sabemos, el mundo durante el período de transición, deben revelar claramente si utilizaron la
ha experimentado un cambio radical desde 1992 que ha provocado cambios drásticos versión de 1992 o 2013.
ritmo de los cambios en las reglas, regulaciones y estándares han intensificado las En el espíritu de mejora continua, las empresas deben reevaluar
demandas de las empresas. La confianza en la tecnología en evolución, cada vez más periódicamente su sistema de control interno sobre la información
importante para mejorar el rendimiento empresarial, los procesos empresariales y la financiera externa para identificar oportunidades para mejorar su eficiencia
toma de decisiones, sigue creciendo. Finalmente, los reguladores y otras partes y / o efectividad. Aprovechar el Marco 2013 de COSO, que formaliza los
interesadas tienen mayores expectativas con respecto a la supervisión de la principios incorporados en el original de manera más explícita, incorpora
gobernanza, la gestión de riesgos, y la detección y prevención del fraude. Si bien se cambios en el entorno empresarial y operativo durante las últimas dos
han logrado avances para conectar mejor la gestión de riesgos y las prácticas de décadas y mejora la facilidad de uso y aplicación del Marco, es una
control interno en la búsqueda de los objetivos estratégicos de la organización, los manera eficaz de hacerlo.
que nunca. Además, colectivamente hemos aprendido lecciones en la aplicación del El marco de 2013 también hace que sea más fácil para la gerencia ver qué está
Marco de 1992. Primero, el Marco original incluía largas discusiones sobre conceptos cubierto y dónde pueden existir brechas en su programa de cumplimiento SOX 404
de control interno que ahora son conocimiento institucional. Segundo, resultando en actual. Por ejemplo, es posible que algunas empresas no hayan documentado
una necesidad mucho mayor de competencia y responsabilidad que nunca. Además, completamente su aplicación de control interno de acuerdo con el Marco de 1992 de
colectivamente hemos aprendido lecciones en la aplicación del Marco de 1992. COSO. Otros pueden haber malinterpretado o aplicado incorrectamente la narrativa
Primero, el Marco original incluía largas discusiones sobre conceptos de control interno en el original, por lo que no llegan a un proceso de evaluación adecuado con
que ahora son conocimiento institucional. Segundo, resultando en una necesidad respecto a uno o más principios, o pueden haber pasado por alto un principio por
mucho mayor de competencia y responsabilidad que nunca. Además, colectivamente completo. los
hemos aprendido lecciones en la aplicación del Marco de 1992. Primero, el Marco original incluía largas discusiones sobre conceptos de control interno que ahora son conocimiento institucional. Segun
cada uno de los cinco componentes fundamentales del control interno: ambiente de Tabla 1: Recién liberado
control, evaluación de riesgos, actividades de control, información y comunicación y Documentos COSO
actividades de monitoreo. Con él, la administración puede diagnosticar problemas
con mayor éxito y afirmar la efectividad con respecto a sus controles internos y, Control interno: marco integrado
para la presentación de informes financieros externos, ayudar a evitar debilidades Resumen Ejecutivo. Representa una descripción general de
materiales o deficiencias significativas. Por todas estas razones, estoy de acuerdo alto nivel del Marco de 2013 y está dirigido al CEO y otros altos
con la recomendación de la Junta de COSO de que los usuarios completen su directivos, juntas directivas y reguladores.
transición "tan pronto como sea posible bajo sus circunstancias particulares".
Un enfoque de transición del control interno y los principios subyacentes, y brindando orientación para
Teniendo en cuenta que el marco recién lanzado de COSO representa una todos los niveles de administración en el diseño e implementación del control
actualización de la versión de 1992 y que los principios y requisitos del interno y la evaluación de su efectividad. Los apéndices de este volumen,
control interno efectivo articulados en él estaban incluidos en el original, incluido un glosario, consideraciones específicas para entidades más
esperamos una transición relativamente suave en Campbell Soup. pequeñas, resumen de cambios en comparación con la versión de 1992, etc.,
Suponiendo que interpretemos el Marco original correctamente al desarrollar proporcionan referencias adicionales pero no se consideran parte del Marco.
en nuestra metodología, enfoque y / o controles clave de cumplimiento SOX Control interno: marco integrado
subyacentes. Herramientas ilustrativas para evaluar la eficacia de un sistema de
Como codirector del equipo SOX global original de Campbell Soup Company en Marco, específicamente en términos de evaluación de la efectividad.
financieros externos. Capacitamos a más de 300 asociados multifuncionales a ejemplos que ilustran cómo los componentes y principios
nivel mundial; sub-equipos operativos y funcionales designados para identificar, establecidos en el Marco pueden aplicarse en la preparación de
documentar y probar los controles de Campbell; y abordar las deficiencias estados financieros externos. Está destinado a ser utilizado como
los informes financieros, así como los controles a nivel de empresa de Campbell expertos funcionales, así como otras pruebas que recopilamos,
en general. Para abordar los controles a nivel de la empresa, examinamos el documentamos el diseño y la implementación y luego evaluamos la
Marco de COSO y otras orientaciones y luego desarrollamos una plantilla efectividad operativa de estos controles. Aunque esperamos que la transición
personalizada para Campbell Soup que constaba de consideraciones o atributos del Marco de 1992 de COSO a su Marco de 2013 resulte en pocos cambios,
clave si es que hay alguno, todavía tenemos que trabajar en él. El siguiente
Unidad Operativa
interno: resumen ejecutivo del marco integrado, marco y apéndices,
Función
herramientas ilustrativas para evaluar la eficacia de un sistema de control
interno, y el Control interno sobre la información financiera externa (ICEFR): un Evaluación de riesgos
Nivel de entidad
División
compendio de enfoques y ejemplos. Consulte la Tabla 1 para obtener una
Información y comunicación
Combinadas, estas publicaciones de COSO representan casi 500 páginas de
guía que lo acompaña. Primero, además del Resumen Ejecutivo, Los comunicados el logro de los objetivos relacionados con las operaciones, la presentación de
de prensa recientes de COSO, una plataforma de presentación de COSO, el informes y el cumplimiento ". El Marco de 2013 aún prevé tres categorías de
documento de "Preguntas frecuentes" y otros materiales están disponibles en el objetivos — operaciones, informes y cumplimiento — y aún consta de cinco
sitio web de COSO ( www.coso.org ). Proporcionarán una visión general eficaz del componentes integrados de control interno — ambiente de control, evaluación
Proyecto Refresh de COSO en general y del Marco de 2013 en particular. de riesgos, actividades de control, información y comunicación y actividades de
Asimismo, las cinco organizaciones patrocinadoras han estado apoyando a centro de servicios compartidos. Finalmente, se mantiene el importante papel
COSO en la creación de conciencia sobre el Marco actualizado, por lo que una del juicio de la administración en el diseño, implementación y mantenimiento
revisión de sus respectivos sitios web puede proporcionar información y perspectiva del control interno, así como en la evaluación de su efectividad. Consulte la
adicionales. Varios de ellos, así como otras partes, organizarán una serie de Figura 1 para ver una representación visual de COSO Control interno: marco
webinars y / o seminarios en persona, foros y / o sesiones de capacitación, muchos integrado ( es decir, el COSO Cube actualizado).
de los cuales estarán disponibles de forma gratuita para el público. Además, estoy
clave en el Marco y la transición a él. Su auditor externo, otras empresas públicas, Categoría de informes ampliada. Mientras que la categoría de objetivos de
autoridades reguladoras y otras partes relevantes también pueden ser excelentes presentación de informes se aprovechó principalmente para la presentación de
recursos. Por último, la creación de redes y la creación de conexiones con informes financieros externos en el pasado, esta categoría ahora abarca explícita y
compañeros de empresas similares pueden beneficiarlo a usted y a su equipo. más claramente los objetivos de presentación de informes financieros y no financieros
SOX dio como resultado una percepción pública de que COSO solo podía respaldar la
A medida que comience a desarrollar su conciencia, los siguientes conceptos y presentación de informes financieros externos. El marco de 2013 ahora permite
conocimientos pueden ser de particular interés: explícitamente su uso en estas otras situaciones de informes, aunque no son
Conceptos atemporales. Como se señaló anteriormente, los conceptos clave de directamente relevantes desde una perspectiva SOX.
COSO con respecto al control interno son atemporales. Según COSO, “El control
una entidad, diseñado para proporcionar una seguridad razonable con respecto a Principios codificados. El Marco de 1992 introdujo conceptualmente
A continuación, se muestran los títulos de los 17 principios de control interno por Principio 1. La organización demuestra un compromiso
componente de control interno, tal como se presentan en el Marco 2013 de COSO: con la integridad y los valores éticos.
4. Demuestra compromiso con la competencia Requisitos de un control interno efectivo. Para que la administración
5. Refuerza la rendición de cuentas concluya que su sistema de control interno es efectivo, los cinco
EVALUACIÓN DE RIESGOS estar presentes y funcionando. Estar “presente” implica que un componente
6. Especifica objetivos adecuados o principio dado existe dentro del diseño e implementación del sistema de
7. Identifica y analiza el riesgo control interno de una entidad. “Funcionamiento” implica que el componente
8. Evalúa el riesgo de fraude o principio continúa existiendo en la operación y conducción del sistema de
9. Identifica y analiza cambios significativos control. Un control interno eficaz también requiere que los cinco
10. Selecciona y desarrolla actividades de control. agregación de las deficiencias de control interno entre los componentes no
11. Selecciona y desarrolla controles generales sobre la tecnología. da como resultado una o más deficiencias importantes.
INFORMACION Y COMUNICACION Deficiencias de control interno. De acuerdo con el Marco de 2013, existe
13. Utiliza información relevante una deficiencia importante si una deficiencia de control interno o una
14. Se comunica internamente combinación de las mismas reduce severamente la probabilidad de que una
15. Se comunica externamente entidad logre sus objetivos. En otras palabras, si la administración usó su
16. Realiza evaluaciones continuas o separadas. presente y funcionando, o los cinco componentes no operan juntos, la entidad
17. Evalúa y comunica deficiencias tiene una importante deficiencia. Aunque el Marco de 2013 usa y define los
Consulte el Marco para conocer los principios reales y las descripciones criterios relevantes establecidos por los reguladores, los organismos que
relacionadas. establecen los estándares y otros terceros relevantes para definir la gravedad,
cinco componentes del control interno. Pero estos conceptos estaban implícitos reglamentos o normas.
en la narrativa. Debido a que son esenciales para evaluar que los cinco
explícitamente en
los 17 principios. El Directorio de COSO cree que cada principio agrega valor, es Puntos de enfoque. El Marco actualizado de COSO describe puntos de
adecuado para todas las entidades y, por lo tanto, se presume relevante. Si la enfoque para ayudar a la gerencia a diseñar, implementar y mantener el
gerencia determina que un principio dado no es relevante para la organización, control interno y evaluar si los 17 principios están presentes y funcionando.
debe documentar la racionalización. Consulte la Tabla 2 para obtener una lista de Los puntos de enfoque representan características importantes de los
los principios y los componentes asociados del control interno. principios respectivos. (Consulte la Tabla 3 para
una entidad determinada, ya sea que estén descritos en el Marco o identificados de La transición de cinco pasos
forma exclusiva por la administración, pueden ayudarlo a comprender los principios
PASO 2
SEGUNDO PASO: Realizar una evaluación de impacto REALIZAR UNA EVALUACIÓN PRELIMINAR DE IMPACTO
preliminar
Una vez que comprenda el Marco 2013 de COSO, debe evaluar cómo la
PASO 3
transición a él afectará su programa actual de cumplimiento de SOX.
FACILITAR UNA AMPLIA CONCIENCIA, CAPACITACIÓN,
Quizás el factor más significativo que afecta su transición de la versión de
Y EVALUACIÓN INTEGRAL
1992 a la versión de 2013 es qué tan bien la administración implementó la
versión original.
ETAPA 4
DESARROLLAR Y EJECUTAR EL PLAN DE TRANSICIÓN COSO
Para realizar una evaluación de impacto preliminar, debe mapear
PARA EL CUMPLIMIENTO DE SOX
su sistema existente de control interno con el Marco COSO
actualizado. Esto le ayudará a determinar el grado de trabajo
necesario para completar la transición. PASO 5
IMPULSAR LA MEJORA CONTINUA
Mientras desarrollaba su metodología y enfoque actuales para el cumplimiento
de SOX, probablemente invirtió mucho tiempo por adelantado para definir el marco
de control interno de su entidad, comenzando con el Marco de 1992 de COSO y en lugar de mapear directamente a los cinco componentes del control
luego personalizándolo en función de los procesos específicos de su empresa, las interno, primero se mapeará a los 17 principios que subyacen a cada uno
divulgaciones financieras y el historial de riesgos. ¿Le suena familiar el siguiente de los cinco componentes. Como antes, si determina que existen lagunas
información financiera de alto nivel y subobjetivos relacionados con la PASO TRES: Facilitar una amplia concientización,
preparación de declaraciones y declaraciones financieras. Al hacerlo, identificó capacitación y evaluación integral
cuentas de estados financieros importantes basadas en el riesgo de En los Pasos uno y dos, el esfuerzo se limitó a los expertos en la materia de
incorrección material. Luego, para cada cuenta o divulgación, la administración cumplimiento de SOX de la empresa y / o al equipo central de cumplimiento de
identificó las afirmaciones de información financiera relevantes, incluida la SOX. El Paso Tres implica involucrar a la organización en general para crear
existencia, integridad, derechos y obligaciones, valoración o asignación, conciencia y poner a prueba la evaluación de impacto preliminar realizada en el
cuentas y divulgaciones. El resultado puede haber sido un mapeo del diseño del Dependiendo de la naturaleza y complejidad de su organización, sus esfuerzos
entorno de control interno de su empresa, proporcionar evidencia de que de cumplimiento de SOX pueden ocurrir de manera centralizada o puede haber
existen actividades de control para todas las afirmaciones de información múltiples niveles de evaluación. Por ejemplo, cada unidad de negocio o ubicación
financiera relevantes para todas las cuentas y revelaciones importantes. Si hubo puede preparar su propia evaluación a nivel local. De cualquier manera, debe
brechas importantes, las corrigió en consecuencia. facilitar un amplio conocimiento del Marco actualizado de COSO y el impacto
Suponiendo que pasó por ese proceso al desarrollar su programa de También debe discutir el impacto del Marco 2013 de COSO en sus esfuerzos SOX
cumplimiento SOX existente, puede aprovechar el mapeo original para con los auditores externos de su empresa. En algunos
casos, será suficiente proporcionar a las partes interesadas una breve actualización,
mediante memorando o en persona. En otros casos, pueden ser necesarias sesiones Impacto de COSO's 2013 Control
de formación y trabajo en profundidad.
interno: marco integrado
Además de generar una amplia conciencia, también debe aprovechar las partes
sobre documentos COSO anteriores
interesadas clave, como los propietarios de procesos / controles o los líderes de SOX
garantizar que el análisis sea completo y preciso. • COSO considerará el 1992 Control interno: marco integrado como
reemplazado por el Marco de 2013 después del 15/12/14.
importante. Durante esta fase, finalice la metodología y el enfoque de recién estrenado Control interno-
cumplimiento SOX actualizado de su empresa, defina la gobernanza del Marco integrado se consideran complementarios.
A medida que ejecuta su plan de transición, es probable que pase por tres
fases de alto nivel: Fase 3: Revisión y prueba externas. En algún momento, su auditor
Fase 1: Documentación y Evaluación. Durante esta fase, es posible que externo deberá evaluar y sentirse cómodo con su programa de
deba actualizar el formato y / o el flujo de su documentación subyacente, cumplimiento SOX actualizado y la documentación de respaldo.
alineándolo con la nueva asignación creada durante el Paso Dos.
control interno es efectivo, los cinco componentes del control interno y todos PASO CINCO: Impulsar la mejora continua
los principios relevantes deben estar presentes y funcionando. La En el verdadero espíritu del gobierno corporativo, existe una diferencia entre un
documentación subyacente debe apoyar a la administración para llegar a tal sistema de controles internos adecuado y el mejor en su clase. Para una empresa que
conclusión. Esta fase también implica evaluar el diseño de los controles cotiza en bolsa, un gobierno corporativo más sólido debería traducirse en resultados
subyacentes y mejorar el diseño según sea necesario. comerciales más sólidos y un mayor valor para los accionistas.
integridad y valores éticos, la importancia de mantener un control interno eficaz y actividades o controles que pueden alertarlo sobre posibles
la expectativa de que todos los empleados cumplan con sus obligaciones de anomalías o fallas.
control interno. Considere aprovechar los programas de integridad basados en la Mejore la capacidad de gestión de riesgos de su empresa. La integración
web para capacitar a los empleados sobre los estándares de conducta de la de su proceso de ERM con su sistema de controles internos mejorará la
empresa y otros temas importantes. capacidad de su empresa para lograr sus objetivos estratégicos, operativos,
de informes y de cumplimiento.
procesos comerciales y los procedimientos de su empresa. Una forma de lograrlo Estos son solo algunos ejemplos de cómo puede impulsar la
es implementar un programa de autoevaluación de control (CSA) como parte de mejora continua del sistema de control interno de su empresa.
las evaluaciones continuas de la empresa dentro de su componente de
gerencia valida periódicamente la efectividad operativa de los controles clave de Llamada a la acción
la empresa frente a depender de auditores internos o externos para realizar Un último recordatorio: Aquellos que actualmente usan el Marco de 1992 de
dicha evaluación. CSA impulsa la responsabilidad de la administración y COSO deben completar su transición a la versión 2013 a más tardar el 15 de
aumenta la confianza en la evaluación de la administración de la eficacia de su diciembre de 2014, momento en el cual el Marco original se considerará
Aproveche la tecnología para respaldar otras actividades de monitoreo. SOX para crear conciencia sobre el Marco de 2013, obtener la alineación y el
Puede usar soluciones tecnológicas para comparar detalles de apoyo de la alta dirección, evaluar el impacto del Marco en las actividades de
transacciones con umbrales predeterminados, monitorear tendencias y cumplimiento de SOX existentes y luego completar una transición oportuna. El
patrones y evaluar indicadores y métricas de desempeño automatizados. proceso de cinco pasos que se describe aquí es un enfoque que podría
Brian Ems, Campbell Soup Company, Director de políticas y controles la Comisión Treadway (COSO). 1234567890 PIP 198765432
financieros, Campbell Soup Company
Tania Herke, Springleaf Financial Services, Director de Política Todos los derechos reservados. Ninguna parte de esta publicación puede ser reproducida,
Financiera redistribuida, transmitida o mostrada en cualquier forma o por cualquier medio sin permiso
Stacy Juchno, PNC, Director SOX por escrito. Para obtener información sobre licencias y permisos de reimpresión,
Jennie Rothweiler, The Hershey Company, gerente de cumplimiento 27707. Las consultas telefónicas pueden dirigirse al 888-777-7707.
de controles internos globales