El 'Comité de Organizaciones Patrocinadoras de la Comisión Treadway' ('COSO') es una iniciativa conjunta para combatir el fraude empresarial. Fue establecido en los Estados Unidos por cinco organizaciones del sector privado, dedicadas a orientar a la dirección ejecutiva y a las entidades gubernamentales en aspectos relevantes de gobierno organizacional, ética empresarial, control interno, gestión de riesgos empresariales, fraude e informes financieros. COSO ha establecido un modelo de control interno común contra el cual las empresas y organizaciones pueden evaluar sus sistemas de control. COSO cuenta con el apoyo de cinco organizaciones de apoyo: Instituto Estadounidense de Contadores Públicos Certificados (AICPA), Asociación Estadounidense de Contabilidad (AAA), Ejecutivos Financieros Internacionales (FEI),Instituto de Auditores Internos (IIA) e Instituto de Contadores de Gestión (IMA)
Resumen organizacional
COSO se formó en 1985 para patrocinar la Comisión Nacional de Información Financiera Fraudulenta (la Comisión Treadway). La Comisión Treadway fue originalmente patrocinada y financiada conjuntamente por cinco importantes asociaciones e institutos contables profesionales con sede en los Estados Unidos: Instituto Americano de Contadores Públicos Certificados (AICPA), Asociación Estadounidense de Contabilidad (AAA), Ejecutivos Financieros Internacionales (FEI), Instituto de Contadores Internos. Auditores (IIA) e Instituto de Contadores de Gestión (IMA). La Comisión Treadway recomendó que las organizaciones patrocinadoras de la Comisión trabajaran juntas para desarrollar una guía integrada sobre control interno. Estas cinco organizaciones formaron lo que ahora se llama el Comité de Organizaciones Patrocinadoras de la Comisión Treadway.
El presidente original de la Comisión Treadway fue James C. Treadway, Jr., vicepresidente ejecutivo y consejero general, Paine Webber y ex comisionado de la Comisión de Bolsa y Valores de EE. UU. UU. De ahí el nombre popular de "Comisión Treadway". Robert B. Hirth, Jr.se convirtió en presidente de COSO el 1 de junio de 2013 . Ocupó el cargo durante 4,5 años. En 1 de febrero de, 2018 , Paul J. Sobel se convirtió en el nuevo presidente de COSO.
Historia
Debido a las prácticas cuestionables de financiamiento de campañas políticas corporativas y prácticas extranjeras corruptas a mediados de la década de 1970, la Comisión de Bolsa y Valores de EE. UU. (SEC) y el Congreso de los EE. UU. Promulgaron reformas a la ley de financiamiento de campañas y la Ley de Prácticas Corruptas en el Extranjero (FCPA) de EE. UU. 1977 que criminaliza el soborno transnacional y requiere que las empresas implementen programas de control interno. En respuesta, la Comisión Treadway, una iniciativa del sector privado, se formó en 1985 para inspeccionar, analizar y hacer recomendaciones sobre informes financieros corporativos fraudulentos. [ cita requerida ]
La Comisión Treadway estudió el sistema de información financiera durante el período de octubre de 1985 a septiembre de 1987 y emitió un informe de hallazgos y recomendaciones en octubre de 1987, "Informe de la Comisión Nacional de Información Financiera Fraudulenta". [1] Como resultado de este informe inicial, se formó el Comité de Organizaciones Patrocinadoras (COSO) y se contrató a Coopers & Lybrand , una gran firma contable, para estudiar los problemas y redactar un informe sobre un marco de control interno integrado.
En septiembre de 1992, COSO publicó el informe de cuatro volúmenes titulado "Control interno: marco integrado" [2] y luego volvió a publicarlo con modificaciones menores en 1994. Este informe presenta una definición común de control interno y proporciona un marco contra el cual Los sistemas de control pueden evaluarse y mejorarse. Este informe es un estándar que utilizan las empresas estadounidenses para evaluar su cumplimiento con la FCPA. Según una encuesta realizada por la revista `` CFO publicada en 2006, el 82% de los encuestados dijeron que usaban el marco COSO para los controles internos. Otros marcos utilizados por los encuestados incluyeron COBIT , AS2 (Audit Standard No. 2, PCAOB ) y SAS 55/78 (AICPA). [3] [ necesita actualización ]
Control interno - Marco integrado
Conceptos clave del marco COSO
El marco COSO implica varios conceptos clave:
- El control interno es un "proceso". Es un medio para un fin, no un fin en sí mismo.
- El control interno lo llevan a cabo "personas". No se trata simplemente de políticas, manuales y formularios, sino de personas en todos los niveles de una organización.
- Se puede esperar que el control interno proporcione sólo "seguridad razonable", no seguridad absoluta, a la administración y directorio de una entidad.
- El control interno tiene como objetivo lograr "objetivos" en una o más categorías separadas pero superpuestas.
Definición de control interno y objetivos marco
El marco COSO define el control interno como un proceso, llevado a cabo por la junta directiva, la administración y otro personal de una entidad, diseñado para brindar "seguridad razonable" con respecto al logro de los objetivos en las siguientes categorías:
- Efectividad y eficiencia de las 'operaciones'
- Fiabilidad de los 'informes financieros'
- 'Cumplimiento' de las leyes y regulaciones aplicables
Cinco componentes del marco
El marco de control interno de COSO consta de cinco componentes interrelacionados derivados de la forma en que la administración gestiona un negocio. 'Según COSO, estos componentes proporcionan un marco eficaz para describir y analizar el sistema de control interno implementado en una organización' según lo requerido por las regulaciones financieras (ver Securities Exchange Act de 1934 , [4] ) Los cinco componentes son los siguientes:
'Entorno de control:' El entorno de control establece el tono de una organización, influyendo en la conciencia de control de su gente. Es la base de todos los demás componentes del control interno, proporcionando disciplina y estructura. Los factores en el entorno de control incluyen la integridad, los valores éticos, el estilo operativo de administración, los sistemas de delegación de autoridad, así como los procesos de gestión y desarrollo de las personas en la organización.
'Evaluación de riesgos:' Cada entidad enfrenta una variedad de riesgos de fuentes externas e internas que deben evaluarse. Un prerrequisito para la evaluación de riesgos es el establecimiento de objetivos y, por lo tanto, la evaluación de riesgos es la identificación y análisis de riesgos relevantes para el logro de los objetivos asignados. La evaluación de riesgos es un requisito previo para determinar cómo deben gestionarse los riesgos. Los cuatro principios subyacentes relacionados con la evaluación de riesgos son que la organización debe tener objetivos claros para poder identificar y evaluar los riesgos relacionados con esos objetivos; debe determinar cómo se deben gestionar los riesgos; debe considerar el potencial de comportamiento fraudulento; y debe monitorear los cambios que podrían afectar los controles internos.
'Actividades de control:' Las actividades de control son las políticas y procedimientos que ayudan a garantizar que se lleven a cabo las directivas de gestión. Ayudan a asegurar que se tomen las medidas necesarias para abordar los riesgos que puedan obstaculizar el logro de los objetivos de la entidad. Las actividades de control ocurren en toda la organización, en todos los niveles y en todas las funciones. Incluyen una gama de actividades tan diversas como aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones de desempeño operativo, seguridad de activos y segregación de funciones .
'Información y comunicación:' Los sistemas de información juegan un papel clave en los sistemas de control interno, ya que producen informes, incluida información operativa, financiera y relacionada con el cumplimiento, que hacen posible la operación y el control del negocio. En un sentido más amplio, la comunicación eficaz debe garantizar que la información fluya hacia abajo, a través y hacia arriba de la organización. Por ejemplo, los procedimientos formalizados para que las personas denuncien sospechas de fraude. También se debe garantizar la comunicación efectiva con partes externas, como clientes, proveedores, reguladores y accionistas sobre posiciones políticas relacionadas.
'Monitoreo' : Se deben monitorear los sistemas de control interno, un proceso que evalúa la calidad del desempeño del sistema a lo largo del tiempo. Esto se logra mediante actividades de seguimiento continuo o evaluaciones independientes. Las deficiencias de control interno detectadas a través de estas actividades de monitoreo deben informarse en sentido ascendente y deben tomarse medidas correctivas para asegurar la mejora continua del sistema.
Limitaciones
El control interno involucra la acción humana, lo que introduce la posibilidad de errores en el procesamiento o juicio. El control interno también puede ser anulado por la colusión entre los empleados (ver separación de funciones ) o la coacción por parte de la alta dirección.
La revista `` CFO informó que las empresas están luchando por aplicar el modelo complejo proporcionado por COSO. "Uno de los mayores problemas: limitar las auditorías internas a uno de los tres objetivos clave del marco. En el modelo COSO, estos objetivos se aplican a cinco componentes clave (entorno de control, evaluación de riesgos, actividades de control, información y comunicación y seguimiento"). Dada la cantidad de matrices posibles, no es sorprendente que la cantidad de auditorías pueda salirse de control ". [5] La revista CFO continuó afirmando que muchas organizaciones están creando su propia matriz de riesgo y control tomando el modelo COSO y modificándolo centrarse en los componentes que se relacionan directamente con la Sección 404 de la Ley Sarbanes-Oxley.
Gestión de riesgos empresariales
En 2001, COSO inició un proyecto y contrató a PricewaterhouseCoopers para desarrollar un marco que las administraciones pudieran usar fácilmente para evaluar y mejorar la gestión de riesgos comerciales de sus organizaciones. Los escándalos y fallas comerciales de alto perfil (por ejemplo, Enron , Tyco International , Adelphia , Peregrine Systems y WorldCom ) generaron llamadas para mejorar el gobierno corporativo y la gestión de riesgos. Como resultado, se promulgó la Ley Sarbanes-Oxley . Esta ley extiende el antiguo requisito de que las empresas públicas mantengan sistemas de control interno, lo que requiere que la administración certifique y que el auditor independiente certifique la efectividad de esos sistemas. El Control Interno - Marco Integrado continúa sirviendo como el `` estándar [ cita requerida ] ampliamente aceptada para cumplir con los requisitos de presentación de informes; sin embargo, en 2004 COSO publicó "Enterprise Risk Management - Integrated Framework". [6] COSO cree que este marco se amplía en el control interno, proporcionando un enfoque más sólido y extenso para el tema más amplio de la gestión de riesgos comerciales.
Cuatro categorías de objetivos comerciales
Este marco de gestión de riesgos comerciales todavía tiene como objetivo lograr los objetivos de una entidad; Sin embargo, el marco ahora incluye cuatro categorías:
- Estratégicos: objetivos de alto nivel, alineados y apoyando su misión.
- Operaciones: uso eficaz y eficiente de sus recursos.
- Informes: fiabilidad de los informes
- Cumplimiento: cumplimiento de las leyes y regulaciones aplicables
Ocho componentes del marco
Los ocho componentes de la gestión de riesgos empresariales abarcan los cinco componentes anteriores del Marco de Control Interno Integrado al tiempo que amplían el modelo para satisfacer la creciente demanda de gestión de riesgos:
'Entorno interno': El entorno interno abarca el tono de una organización y establece la base de cómo las personas de una entidad ven y abordan el riesgo, incluida la filosofía de gestión del riesgo y el apetito por el riesgo, la integridad y los valores éticos, y el entorno en que operan.
'Establecer objetivos': Los objetivos deben existir antes de que la gerencia pueda identificar eventos potenciales que afectan su logro. La gestión del riesgo empresarial asegura que la dirección ha implementado un proceso para establecer objetivos y que los objetivos elegidos apoyan y se alinean con la misión de la entidad y son consistentes con su apetito por el riesgo.
'Identificación de eventos' : Se deben identificar los eventos internos y externos que afectan el logro de los objetivos de una entidad, distinguiendo entre riesgos y oportunidades. Las oportunidades se vuelven a canalizar hacia la estrategia de gestión o los procesos de establecimiento de objetivos.
'Evaluación de riesgos': Se analizan los riesgos, considerando la probabilidad y el impacto, como base para determinar cómo deben gestionarse. Los riesgos se evalúan de forma inherente y residual. Publicar comentarios Grabar comunidad guardada
'Respuesta al riesgo:' La gerencia selecciona las respuestas al riesgo, evitando, aceptando, reduciendo o compartiendo el riesgo, desarrollando un conjunto de acciones para alinear los riesgos con el apetito por el riesgo y el apetito por el riesgo de la entidad.
'Actividades de control:' Se establecen e implementan políticas y procedimientos para ayudar a garantizar que las respuestas a los riesgos se lleven a cabo de manera eficaz.
'Información y comunicación:' La información relevante se identifica, captura y comunica de una manera y un marco de tiempo que permite a las personas cumplir con sus responsabilidades. La comunicación efectiva también ocurre en un sentido más amplio, fluyendo hacia abajo, a través y hacia arriba de la entidad.
'Monitoreo:' Se monitorea toda la gestión de riesgos comerciales y se realizan las modificaciones necesarias. El seguimiento se logra mediante actividades de gestión en curso, evaluaciones independientes o ambas.
COSO cree que Enterprise Risk Management - Integrated Framework proporciona una interrelación claramente definida entre los componentes y los objetivos de gestión de riesgos de una organización que satisfará la necesidad de cumplir con las nuevas leyes, regulaciones y estándares de cotización y esperar que las empresas lo acepten ampliamente. y otras organizaciones y partes interesadas.
Limitaciones
COSO admite en su informe que, aunque la gestión de riesgos empresariales proporciona beneficios importantes, existen limitaciones. La gestión del riesgo empresarial depende del juicio humano y, por tanto, es susceptible de toma de decisiones. Las fallas humanas, como errores simples o errores, pueden dar lugar a respuestas de riesgo inadecuadas. Además, los controles pueden evitarse mediante la colusión de dos o más personas, y la administración tiene la capacidad de anular las decisiones de administración de riesgos comerciales. Estas limitaciones impiden que el directorio y la administración tengan absoluta seguridad con respecto al logro de los objetivos de la entidad.
Filosóficamente, COSO está más orientado a los controles. Por lo tanto, tiene un sesgo hacia los riesgos que podrían tener un impacto negativo en lugar de los riesgos de perder oportunidades. Ver ISO 31000 .
Si bien COSO afirma que su modelo ampliado proporciona una mayor gestión de riesgos, las empresas no están obligadas a cambiar al nuevo modelo si están utilizando el Marco de Control Interno Integrado.
Control interno de la información financiera - Orientación para pequeñas empresas públicas
Este documento contiene una guía para ayudar a las empresas públicas más pequeñas a aplicar los conceptos del Marco Integrado de Control Interno de 1992. Esta publicación muestra la aplicabilidad de estos conceptos para ayudar a las empresas públicas más pequeñas a diseñar e implementar controles internos para respaldar el logro de los objetivos de información financiera. Destaca 20 principios clave del marco de 1992, proporcionando un enfoque basado en principios para el control interno. Como se explica en la publicación, la directriz de 2006 se aplica a entidades de todos los tamaños y tipos. [7]
Orientación sobre el seguimiento de los sistemas de control interno
Las empresas han realizado grandes inversiones para mejorar la calidad de sus controles internos; Sin embargo, COSO señaló que muchas organizaciones no comprenden completamente la importancia del componente de seguimiento del marco COSO y el papel que desempeña en la racionalización del proceso de evaluación. En enero de 2009, COSO publicó su "Guía sobre el seguimiento de los sistemas de control interno" para aclarar el componente de seguimiento del control interno.
Con el tiempo, la supervisión eficaz puede generar eficiencias organizativas y reducir los costos asociados con la información pública sobre el control interno porque los problemas se identifican y abordan de forma proactiva, en lugar de reactiva.
La Guía de seguimiento de COSO se basa en dos principios fundamentales establecidos originalmente en la Guía de COSO de 2006:
- Las evaluaciones continuas y / o separadas permiten a la gerencia determinar si los otros componentes del control interno continúan funcionando a lo largo del tiempo, y
- Las deficiencias de control interno se identifican y comunican de manera oportuna a las partes responsables de tomar las medidas correctivas y a la administración y al directorio, según corresponda.
La guía de monitoreo también sugiere que estos principios se logran mejor a través del monitoreo basado en tres elementos generales:
- Establecer una base para el seguimiento, que incluya (a) un tono de voz apropiado ; (b) una estructura organizativa eficaz que asigne funciones de seguimiento a personas con las capacidades, objetividad y autoridad adecuadas; y (c) un punto de partida o "línea de base" de control interno eficaz conocido a partir del cual se puede implementar un seguimiento continuo y evaluaciones independientes;
- Diseñar y ejecutar procedimientos de monitoreo enfocados en "información persuasiva" sobre la operación de "controles clave" que abordan "riesgos significativos" para los objetivos organizacionales; Y
- Evaluar e informar los resultados, incluida la evaluación de la gravedad de las deficiencias identificadas y el informe de los resultados del monitoreo al personal apropiado y a la junta para la acción oportuna y el seguimiento si es necesario.
Papel de la auditoría interna
Los auditores internos juegan un papel importante en la evaluación de la efectividad de los sistemas de control. Como función independiente que informa a la alta dirección, la auditoría interna puede evaluar los sistemas de control interno implementados por la organización y contribuir a la eficacia continua. Como tal, la auditoría interna a menudo juega un papel importante de "monitoreo". Para preservar su independencia de juicio, la auditoría interna no debe asumir ninguna responsabilidad directa en el diseño, establecimiento o mantenimiento de los controles que se supone que debe evaluar. Solo puede asesorar sobre posibles mejoras a realizar.
Papel de la auditoría externa
1141/5000 Bajo la Sección 404 de la Ley Sarbanes-Oxley , la gerencia y los auditores externos deben informar sobre la idoneidad del control interno de la empresa sobre la información financiera. El Estándar de Auditoría No. 5, publicado por la Junta de Supervisión Contable de las Empresas Públicas , requiere que los auditores "utilicen el mismo marco de control apropiado y reconocido para realizar su auditoría de control interno sobre la información financiera que la administración utiliza para su evaluación anual de la efectividad de los control sobre la información financiera ". [8] La sección 143 (3) (i) de la Ley de Compañías Indias de 2013 también requiere que los Auditores Legales comenten sobre el control interno sobre la información financiera
Control interno - Proyecto de actualización del marco integrado
En noviembre de 2010, COSO anunció un proyecto para revisar y actualizar el "Control interno - Marco integrado" para hacerlo más relevante en el entorno empresarial cada vez más complejo. [9] Los cinco componentes del marco siguen siendo los mismos. Una característica nueva del marco actualizado es que los conceptos de control interno introducidos en el marco original ahora se codificarán en 17 principios enumerados explícitamente entre cinco componentes. [10] Los cambios en el marco incluyen controles internos sobre la tecnología, como el correo electrónico e Internet, que no fueron ampliamente utilizados. cuando se publicó el marco original en 1992. [11] Junto con el marco actualizado, COSO tiene la intención de publicar los siguientes documentos:
- Control interno sobre información financiera externa (ICEFR): Compendio de enfoques y ejemplos , desarrollado para ayudar a los usuarios cuando aplican el marco a los objetivos de información financiera externa.
- Herramientas ilustrativas : desarrolladas para ayudar a los usuarios a evaluar la efectividad de un sistema de control interno basado en los requisitos enumerados en el Marco actualizado. [12]
Ver también
Referencias
- ^ http://www.coso.org/Publications/NCFFR.pdf , "Informe de la Comisión Nacional de Información Financiera Fraudulenta", obtenido el 23 de marzo de 2011.
- ^ "Copia archivada" . Archivado desde el original el 28 de febrero de 2009 . Consultado el 21 de abril de 2009 .CS1 maint: copia archivada como título ( enlace ), " Internal control - Integrated framework ", consultado el 23 de marzo de 2011.
- ^ http://www.cfo.com/article.cfm / 5598405 / c_2984409 /? f = archives Archivado el 14 de junio de 2011en Wayback Machine , "The Trouble with COSO", 15 de marzo de 2006, consultado el 23 de marzo de 2011.
- ^ 17 CFR Sección 240 15d-15 , obtenido el 23 de marzo de 2011.
- ^ http://www.cfo.com/article.cfm/5598405/2/c_5620756 , CFO Magazine, consultado el 23 de marzo de 2011.
- ^ http://www.coso.org/Publications/ERM/COSO_ERM_ExecutiveSummary.pdf , "Enterprise Risk Management - Integrated Framework", consultado el 23 de marzo de 2011.
- ^ http://www.coso.org/IC.htm , consultado el 28 de diciembre de 2012.
- ^ "Copia archivada" . Archivado desde el original (PDF) el 2007-10-07 . Consultado el 21 de abril de 2009 .CS1 maint: copia archivada como título ( enlace ), (AS No. 5.5), recuperado el 23 de marzo de 2011.
- ^ http://www.coso.org/documents/ COSOReleaseNov2010_000.pdf, comunicado de prensa de COSO, 18 de noviembre de 2010.
- ^ http://www.coso.org/documents/COSO%20ICIF% 20Press% 20Release% 2012% 2019% 2011% 20FINAL2.pdf, comunicado de prensa de COSO, 19 de diciembre de 2011.
- ^ Tysiac, Ken (marzo de 2012). "Control interno, revisado" . Revista de contabilidad . Instituto Americano de Contadores Públicos Autorizados . 213 (3): 24-29. ISSN 0021-8448 .
- ^ http://www.coso.org/documents/COSO%20ICIF% 20Press% 20Release% 2009% 2018% 202012.pdf, Comunicado de prensa de COSO, 18 de septiembre de 2012.
enlaces externos
- COSO
- www.cpa2biz.com/COSOEvalTools , plantilla de evaluación COSO.