1.3 Objetivos
2.2.6 El control interno – Coso I& II
¿Qué es COSO?
Organización voluntaria del sector privado, establecida en los EEUU, dedicada a proporcionar orientación a la gestión ejecutiva y las entidades de gobierno sobre
29
aspectos de organización de este, la ética empresarial, control interno, gestión del riesgo empresarial, el fraude, y la presentación de informes financieros.
Historia
Según Maldonado E. M K. (2005)
“Desde la primera definición del control interno establecida por el Instituto Americano de Contadores Públicos Certificados – AICPA en 1949 y las modificaciones incluidas en SAS N. 55 en 1978, este concepto no sufrió cambios importantes, hasta la aparición del denominado “INFORME COSO” sobre el control interno, publicado en Estados Unidos en 1992. El informe de esta comisión fue encomendado a la firma internacional Coopers & Lybrand y traducido al español en asociación con el Instituto de Auditores de España, en 199.”(p.52)
Este gran documento ha sido el inicio para un estudio muy profesional y a fondo de la problemática del control interno a fin de fortalecerlo en la empresa y el Gobierno para evaluarlo en pro de mejorar las 5 E de auditoría de gestión, de facilitar la auditoría financiera, y de tecnificar la prevención e investigación de actos.
Sin embargo, el avance de la corrupción, uno de los más sonados el de la empresa Eléctrica y de Gas de la Multinacional ENRON (1998), obligaron a fortalecer el estudio del riesgo empresarial y el rol de los auditores interno y externos en su evaluación. Con el nombre de Administración de Riesgos Corporativos, la firma Price Waterhouse Coopers & Co. Amplio enfoque del COSO I al que se lo conoce como COSO II mismo que concibe ocho elementos o componentes con sus respectivos sub-componentes. Este nuevo enfoque no sustituye el marco de control interno, sino que lo incorpora como parte de él, permitiendo a las compañías mejorar sus prácticas de control interno o decidir encaminarse hacia un proceso más completo de gestión de riesgo.
Objetivos:
Establecer una definición común de control interno que responda a las necesidades de las distintas partes.
Facilitar un modelo en base al cual las empresas y otras entidades, cualquiera sea su tamaño y naturaleza, puedan evaluar sus sistemas de control interno.
30 Importancia del COSO
A nivel organizacional, este documento destaca la necesidad de que la alta dirección y el resto de la organización comprendan cabalmente la trascendencia del control interno, la incidencia del mismo sobre los resultados de la gestión, el papel estratégico a conceder a la auditoría y esencialmente la consideración del control como un proceso integrado a los procesos operativos de la empresa y no como un conjunto pesado, compuesto por mecanismos burocráticos.
A nivel regulatorio o normativo, el informe COSO ha pretendido que cuando se plantee cualquier discusión o problema de control interno, tanto a nivel práctico de las empresas, como a nivel de auditoría interna o externa, o en los ámbitos académicos o legislativos, los interlocutores tengan una referencia conceptual común, lo cual hasta ahora resultaba complejo, dada la multiplicidad de definiciones y conceptos divergentes que han existido sobre control interno.
COSO I &II
Existen en la actualidad 2 versiones del informe COSO. La versión del 1992 y la versión del 2004. Básicamente la versión del 2004 no es otra cosa que una ampliación del Informe original, para dotar al Control Interno de un mayor enfoque hacia el Enterprise RISC Management (ERM), o gestión del riesgo. Estos componentes se ampliaron a 8 en el Informe COSO II ERM, como se muestra en el Gráfico No. 3 COSO II “ERM” toma muchos aspectos importantes que el coso I no considera, como por ejemplo:
El establecimiento de objetivos
Identificación de riesgo
Respuesta a los riesgos
Se puede decir que estos componentes son claves para definir las metas de la empresa. Si los objetivos son claros se puede decidir que riesgos tomar para hacer realidad las metas de la organización.
De esta manera se puede hacer una clara identificación, evaluación, mitigación y respuesta para los riesgos.
31
Gráfico No 3 COMPONENTES COSO I & II
Fuente: Gestión de Riesgos Corporativos –PriceWaterHouseCoopers.
La Gestión de Riesgos Corporativos.
El Informe COSO ERM describe un marco basado en principios que provee lo siguiente:
La definición de administración de riesgos corporativos.
Los principios críticos y componentes de un proceso de administración de riesgos corporativos efectivo.
Pautas para las organizaciones sobre cómo mejorar su administración de riesgos.
Criterios para determinar si la administración de riesgos es efectiva, y si no lo es que se necesita para que lo sea.
La gestión de riesgos corporativos se ocupa de los riesgos y oportunidades que afectan a la creación de valor o su preservación. Se define de la siguiente manera:
La gestión de riesgos corporativos es un proceso efectuado por el consejo de administración de una entidad, su dirección y restante personal, aplicado en la definición de la estrategia y en toda la entidad y diseñado para identificar eventos potenciales que puedan afectar a la organización y gestionar sus riesgos dentro del riesgo aceptado, proporcionando una seguridad razonable sobre el logro de objetivos. (Pricewaterhousecoopers & instituto de auditores internos, 2005, pp. 28-29.)
Esta definición refleja algunos conceptos fundamentales de la gestión de riesgos corporativos:
32
Es un proceso continuo que fluye a través de una entidad.
Se realiza por personas en cada nivel de una organización.
Se aplica al establecimiento de la estrategia.
Se aplica en toda la empresa, a cada nivel y unidad, e incluye una perspectiva del riesgo al nivel de entidad.
Está diseñada para identificar eventos potenciales que afecten a la entidad y gestionar los riesgos dentro del riesgo aceptado.
Puede proporcionar una seguridad razonable a la dirección y al consejo de administración de una entidad.
Está orientada a la consecución de objetivos en una o varias categorías separadas, es un medio para conseguir un fin, no un fin en sí mismo.
La definición es conscientemente amplia por varias razones.
Capta los conceptos claves fundamentales de como las empresas y otras organizaciones gestionan el riesgo y proporciona una base para su aplicación en todas las entidades y sectores.
Se centra directamente en el cumplimiento de los objetivos establecidos por una entidad determinada y proporciona una base para definir la eficacia en la gestión de riesgos corporativos.
Componentes de la Gestión de Riesgos Corporativos
La ERM consta de ocho componentes interrelacionados, derivados de la manera como la dirección lleva el negocio, que se integran en el proceso de gestión.
1.- Ambiente Interno.
El ambiente interno abarca todo sobre una organización, que influye en la conciencia de sus empleados sobre el riesgo además forma la base de los otros componentes de la gestión de riesgos corporativos, proporcionando disciplina y estructura. Los factores del ambiente interno incluyen la filosofía de gestión de riesgos de una entidad, su riesgo aceptado, la supervisión ejercida por el consejo de administración, la integridad, valores éticos y competencia de su personal, la forma en que la dirección asigna la autoridad, responsabilidad y organización de sus empleados.
33 2.- Establecimiento de Objetivos.
Los objetivos se fijan a escala estratégica, estableciendo con ellos una base para los objetivos operativos, de información y de cumplimiento. Cada entidad se enfrenta a una gama de riesgos procedentes de fuentes externas e internas y una condición previa para la identificación eficaz de eventos, la evaluación de sus riesgos y la respuesta a ellos es fijar los objetivos, que tienen que estar alineados con el riesgo aceptado por la entidad, que orienta a su vez los niveles de tolerancia al riesgo de la misma.
3.- Identificación de Eventos – Riesgos.
La dirección identifica los eventos potenciales que, de ocurrir, afectaran a la entidad y determina si representan oportunidades o si pueden afectar negativamente a la capacidad de la empresa para implantar la estrategia y lograr los objetivos con éxito. Los eventos con impacto negativo representan riesgos, que exigen la evaluación y respuesta de la dirección. Los eventos con impacto positivo representan oportunidades, que la dirección reconduce hacia la estrategia y el proceso de fijación de objetivos. Cuando identifica los eventos, la dirección contempla una serie de factores internos y externos que pueden dar lugar a riesgos y oportunidades, en el contexto del ámbito global de la organización.
4.- Evaluación de Riesgos.
La evaluación de riesgos permite a una entidad considerar la amplitud con que los eventos potenciales impactan en la consecución de objetivos. La dirección evalúa estos acontecimientos desde una doble perspectiva; probabilidad e impacto y normalmente usa una combinación de métodos cualitativos y cuantitativos. Los impactos positivos y negativos de los eventos potenciales deben examinarse, individualmente o por categoría, en toda la entidad. Los riesgos se evalúan con un doble enfoque: riesgo inherente y riesgo residual.
5.- Respuesta a los Riesgos.
Una vez evaluados los riesgos relevantes, la dirección determina como responder a ellos. Las respuestas pueden ser las de evitar, reducir, compartir y aceptar el riesgo.
34
Al considerar su respuesta, la dirección evalúa su efecto sobre la probabilidad e impacto del riesgo, así como los costes y beneficios, y selecciona aquella que situé el riesgo residual dentro de las tolerancias al riesgo establecidas. La dirección identifica cualquier oportunidad que pueda existir y asume una perspectiva del riesgo globalmente para la entidad o bien una perspectiva de la cartera de riesgos, determinando si el riesgo residual global concuerda con el riesgo aceptado.
6.- Actividades de Control.
Las actividades de control son las políticas y procedimientos que ayudan a asegurar que se llevan a cabo las respuestas de la dirección a los riesgos. Las actividades de control tienen lugar a través de la organización, a todos los niveles y en todas las funciones. Incluyen una gama de actividades tan diversas como aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones del funcionamiento operativo, seguridad de los activos y segregación de funciones.
7.- Información y Comunicación.
La información pertinente se identifica, capta y comunica de una forma y en un marco de tiempo que permiten a las personas llevar a cabo sus responsabilidades. Los sistemas de información usan datos generados internamente y otras entradas de fuentes externas y sus salidas informativas facilitan la gestión de riesgos y la toma de decisiones informadas relativas a los objetivos.
También existe una comunicación eficaz fluyendo en todas direcciones dentro de la organización. Todo el personal recibe un mensaje claro desde la alta dirección de que deben considerar seriamente las responsabilidades de gestión de los riesgos corporativos. Las personas entienden su papel en dicha gestión y como las actividades individuales se relacionan con el trabajo de los demás. Asimismo, deben tener unos medios para comunicar hacia arriba la información significativa. También debe haber una comunicación eficaz con terceros, tales como los clientes, proveedores, reguladores y accionistas.
8.- Supervisión.
La gestión de riesgos corporativos se supervisa, revisando la presencia y funcionamiento de sus componentes a lo largo del tiempo, lo que se lleva a cabo
35
mediante actividades permanentes de supervisión, evaluaciones independientes o una combinación de ambas técnicas. Durante el transcurso normal de las actividades de gestión, tiene lugar una supervisión permanente. El alcance y frecuencia de las evaluaciones independientes dependerá fundamentalmente de la evaluación de riesgos y la eficacia de los procedimientos de supervisión permanente. Las deficiencias en la gestión de riesgos corporativos se comunican de forma ascendente, trasladando los temas más importantes a la alta dirección y al consejo de administración.
Definiciones:
1) El Control interno se define como un proceso, efectuado por el Consejo de Administración, la Dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos de las siguientes categorías:
Eficacia y eficiencia de las operaciones.
Fiabilidad de la información financiera.
Salvaguarda de los recursos de la entidad y,
Cumplimiento de las leyes y normas aplicables.
2) Es un elemento del control que se basa en procedimientos y métodos, adoptados por una organización de manera coordinada a fin de proteger sus recursos contra perdida, fraude o ineficiencia; promover la exactitud y confiabilidad de informes contables y administrativos; apoyar y medir la eficacia y eficiencia de esta, y medir la eficiencia de operaciones en todas las áreas funcionales de la organización.