Marco de Control Interno COSO III. ¿Cuál es su alcance?

ARTÍCULOS  CONTROL INTERNO  CREADO: 27 MAYO 2014

     
Este pasado mes de mayo, después de varios años de preparación, ha sido
publicado el Marco sobre Control Interno actualizado, pasando a identificarse de
forma coloquial como COSO III. Dando así continuidad a la saga de los COSO´s,
iniciada en 1992 con el Marco ahora actualizado (COSO I), y posteriormente
ampliada con el Enterprice Risk Management (ERM), año 2004, o COSO II.
Desde mi perspectiva, si bien COSO I dedicaba toda su atención a la forma de
entender, y atender, el control interno de las organizaciones, con el documento del
año 2004, es decir con el ERM, se seguía manteniendo la preocupación por el
control interno, pero se incidía y ampliaba un aspecto básico para conseguirlo, en
concreto, la descripción del  proceso de  gestión de los riesgos, por lo que se
detallaban, como nuevos elementos: (I) el establecimiento de los objetivos
empresariales, (ii) la identificación de eventos que pudiesen afectarles y (iii) las
respuestas a los riesgos. Aparte de considerar que los objetivos deben ser
consecuentes con la estrategia fijada por la Organización.
Con esta ampliación, creo, que los que tuvimos oportunidad de apoyarnos en
estos protocolos, entendimos que la administración de riesgos era uno de los
elementos fundamentales del Sistema de Control Interno con el que lograr la
eficacia y eficiencia de las operaciones, la confiabilidad de los reportes y el
cumplimiento de leyes, normas y reglamentos, ya que dichos sistemas de gestión
de riesgos no son independientes del Sistema de Control Interno, sino que forman
parte integral del mismo. En sentido inverso la afirmación contraria también es
cierta, ya que no puede existir una adecuada gestión de los riesgos, si en la
empresa no impera un buen control interno. Por ello la versión de COSO relativa a
la Gestión de Riesgos Empresariales, ERM por sus siglas en inglés, la entendimos
que era COSO I, ampliado con un sistema de gestión de riesgos. Es decir, que
mejorándolo, lo anulaba y sustituía, a todos los efectos.
Por todo ello, esta ampliación del año 2004 permitió “corregir” algunos de los
aspectos del Marco original que necesitaban mejorarse, por ejemplo: que los
objetivos del control interno no debían limitarse a la “fiabilidad de la información
financiera”, sino que debía darse cabida a todo tipo de información, no solo la
financiera. También que el orden de los elementos, fuesen 5 u 8, debían partir del
“entorno de control”, situándolo en el nivel más alto del cubo que gráficamente lo
representaba, reconociendo así la validez del criterio “Tone at the top”, que nos
indicaba que un buen tono en la parte superior se consideraba como un requisito
previo para conseguir un adecuado y sólido gobierno corporativo. Adicionalmente
se consideró oportuno señalar que los objetivos, fuesen estos operacionales, de
reporting o de cumplimiento normativo, debían fijarse de forma coherente con los
objetivos estratégicos previamente definidos, los cuales derivaban de la estrategia
de la Organización, que era lo primero que había que conocer.
Hasta aquí, al menos, lo que yo entendí, pero debía estar equivocado, puesto que
9 años después de publicarse ERM, se difunde una nueva versión de COSO I,
actualizada y mejorada. En ella se admiten todos los cambios/mejoras ya
introducidas por COSO II, salvo que los elementos vuelven a quedar reducidos a
5, no haciendo referencia explícita al: Establecimiento de objetivos, Identificación
de eventos y Respuesta a los riesgos; aunque el correspondiente a “evaluación de
riesgos” sí admite de  manera inequívoca que la evaluación de riesgos debe incluir
la identificación de los riesgos, su análisis y la respuesta que sea precisa.
Adicionalmente se da entrada a los conceptos de la tolerancia al riesgo en la
evaluación de los niveles aceptables de riesgo, e incluyendo como novedad, ahora
sí, los conceptos de: velocidad y persistencia de los riesgos como criterios para
evaluar la criticidad de los mismos.
Además cuando se citan las mejoras que acompañan al nuevo Marco actualizado,
se comenta que este ahora viene acompañado de dos nuevos y novedosos
documentos: el correspondiente al Control Interno sobre la información financiera
externa (ICEFR) y las herramientas de evaluación a emplear para valorar la
eficacia del control interno; olvidándose, al parecer, que en el año 2006 el propio
COSO publicó el documento “Control Interno para la información financiera para
Pequeñas empresas cotizadas”, y en el 2009, la Guía para la Supervisión de
Sistemas de Control Interno”.
Adicionalmente se expone que se habilita un proceso de transición para la entrada
en vigor del nuevo Marco de 18 meses, fijándose esta en el 15 de Diciembre del
2014, siendo  efectiva hasta ese momento COSO I.
Algo, o su totalidad, no he debido interpretar adecuadamente, pues: (i) si los
cambios son necesarios, por qué el periodo de transición de 18 meses, (ii) desde
cuando COSO es de obligado cumplimiento en la gestión del Control Interno/
Sistemas de gestión de Riesgos para que haya que informar si hemos actuado
según COSO I o COSO III, (iii) es realmente útil y, sobre todo factible, empezar a
emplear mapas de riesgos multidimensionales.
Por último, no sé si los cambios de  COSO III conducirán a que pronto aparecerá
un nuevo COSO IV, que sería el COSO II con los cambios que se deriven de la
nueva versión del  Marco Integrado de Control Interno, o que ERM desaparece por
haber sido subsumido en COSO III.
Si alguien me lo puede explicar, por favor, le ruego que me lo aclare. Hasta
entonces, o al menos hasta el 15 de Diciembre de 2014, seguiré evaluando los
riesgos según el método clásico midiendo “solo” su impacto y probabilidad.
Un abrazo,