×

El Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO)¹ publicó el 14 de mayo, 2013, una versión actualizada de su Marco Integrado de Control Interno (el «Marco 2013»). Además, el COSO publicó dos documentos ilustrativos: Herramientas ilustrativas para evaluar la eficacia de un sistema de control interno (las «Herramientas ilustrativas») y Control interno sobre la información financiera externa: A Compendium of Approaches and Examples (el «Compendio ICEFR»), así como un resumen ejecutivo del Marco de 2013.

Publicado inicialmente en 1992, el Marco Integrado de Control Interno del COSO (el «Marco de 1992») se convirtió en uno de los marcos de control interno más ampliamente aceptados en el mundo. El objetivo principal de COSO al actualizar y mejorar el marco es abordar los cambios significativos en los entornos empresariales y operativos que han tenido lugar en los últimos 20 años.

El Marco de 2013 y las Herramientas Ilustrativas pueden adquirirse en el AICPA. Un resumen ejecutivo del Marco de 2013 está disponible de forma gratuita en el sitio web de COSO.

A continuación se presenta una visión general del boletín Heads Up de Deloitte, publicado el 10 de junio de 2013, sobre las mejoras en el Marco de 2013, un análisis de las consideraciones para las entidades que utilizan el Marco de 1992 en el cumplimiento de la Sección 404 de la Ley Sarbanes-Oxley de 2002 (SOX), e información sobre la realización de la transición del Marco de 1992 al Marco de 2013, incluyendo los impactos en otros documentos relacionados con COSO. Además, los apéndices del boletín Heads Up del 10 de junio comparan el Marco de 2013 con el Marco de 1992 y destacan algunos de los conceptos ampliados del Marco de 2013. Para obtener información adicional sobre los marcos, consulte los boletines Heads Up de Deloitte del 6 de febrero de 2012 y del 7 de agosto de 2012.

Mejoras en el Marco de 2013

El Marco de 2013 crea una estructura más formal para diseñar y evaluar la eficacia del control interno mediante:

1. El uso de principios para describir los componentes del control interno. El Marco 2013 contiene 17 principios que explican los conceptos asociados a los cinco componentes del Marco COSO (entorno de control, evaluación de riesgos, actividades de control, información y comunicación, y actividades de supervisión). Al desarrollar los 17 principios, el COSO se centró en los conceptos del Marco de 1992; consideró los principios que se desarrollaron y articularon en el documento de COSO de 2006 Internal Control Over Financial Reporting-Guidance for Smaller Public Companies («Small Business Guidance»); y consideró los cambios significativos en los negocios, los entornos operativos y la gobernanza desde 1992. El COSO pretende que los principios ayuden a las empresas a diseñar sistemas eficaces de control interno y a evaluar si esos sistemas funcionan con eficacia. El Marco de 2013 presupone que, dado que los 17 principios son conceptos fundamentales de los cinco componentes, los 17 son relevantes para todas las entidades. En consecuencia, si un principio no está presente y no funciona, el componente asociado no está presente y no funciona. En raras circunstancias, debido a cuestiones sectoriales, normativas o de funcionamiento, la dirección puede determinar que un principio no es relevante para un componente.Para describir mejor los principios, el Marco de 2013 utiliza puntos de enfoque, que suelen ser características importantes de los principios. Aunque los puntos de atención pueden ayudar a la dirección a diseñar, implementar y evaluar el control interno y a valorar si los principios pertinentes están presentes y funcionan, no son necesarios para evaluar la eficacia del control interno. La gerencia puede determinar que algunos de los puntos de enfoque no son adecuados o relevantes y puede identificar y considerar otros.

2. Crear una manera más formal de diseñar y evaluar el control interno de acuerdo con los principios. Véase la discusión más adelante en «Sistemas eficaces de control interno».

Aunque los conceptos fundamentales del Marco de 2013 son similares a los del Marco de 1992, el Marco de 2013 añade o amplía las discusiones sobre cada componente y principio, incluyendo mejoras como los puntos de enfoque detallados. Por ejemplo, aunque el concepto de identificar y responder a los riesgos estaba presente en el Marco de 1992, el Marco de 2013 incluye discusiones más detalladas sobre los conceptos de evaluación de riesgos, incluidos los relacionados con el riesgo inherente, la tolerancia al riesgo, cómo pueden gestionarse los riesgos y la vinculación entre la evaluación de riesgos y las actividades de control.

Además, a diferencia del Marco de 1992, el Marco de 2013 incluye explícitamente el concepto de considerar el riesgo potencial de fraude al evaluar los riesgos para el logro de los objetivos de una organización (véase el Principio 8). El Marco de 2013 explica que «como parte del proceso de evaluación de riesgos, la organización debe identificar las distintas formas en que puede producirse una información fraudulenta, considerando:

• El sesgo de la dirección, por ejemplo, en la selección de los principios contables
• Grado de estimaciones y juicios en la información externa
• Esquemas de fraude y escenarios comunes a los sectores de la industria y los mercados en los que opera la entidad
• Regiones geográficas en las que la entidad hace negocios
• Incentivos que pueden motivar el comportamiento fraudulento
• Naturaleza de la tecnología y la capacidad de la dirección para manipular la información
• Transacciones inusuales o complejas sujetas a una influencia significativa por parte de la dirección
• Vulnerabilidad a la anulación por parte de la dirección y a los esquemas potenciales para eludir las actividades de control existentes»

El Principio 8 también analiza las consideraciones relativas a la anulación por parte de la dirección, la salvaguarda de los activos, los incentivos y las presiones, las oportunidades para cometer actos inapropiados, así como las actitudes y racionalizaciones que pueden justificar acciones inapropiadas. (Véase el análisis adicional del Principio 8 en el Apéndice A de Heads Up, Volumen 20, Número 17.)

Además, COSO ha añadido consideraciones en todo el Marco de 2013 en relación con:

• El uso de proveedores de servicios externos (véase el Apéndice B en Heads Up, Volumen 20, Número 17).
• Aumento de la relevancia de la tecnología de la información (véase el apéndice C en Heads Up, volumen 20, número 17).

La siguiente tabla resume los principios por componente. El Apéndice A relaciona los principios con las secciones temáticas del Marco de 1992 (según corresponda) y resume, a alto nivel, algunos de los conceptos mejorados del Marco de 2013.

Componentes y principios de control

Sistemas eficaces de control interno

En un sistema eficaz de control interno según el Marco de 2013:

1. Se requiere que cada uno de los cinco componentes y principios relevantes estén presentes y funcionando. Según el Marco de 2013:

• Presente se define como «la determinación de que los componentes y los principios relevantes existen en el diseño y la implementación del sistema de control interno para lograr los objetivos especificados»
• Funcionamiento se define como «la determinación de que los componentes y los principios relevantes continúan existiendo en la conducción del sistema de control interno para lograr los objetivos especificados»

2. Se requiere que los cinco componentes operen juntos de manera integrada. El Marco de 2013 explica que:

• El funcionamiento conjunto se refiere a «la determinación de que los cinco componentes reducen colectivamente, a un nivel aceptable, el riesgo de no alcanzar un objetivo».
• La dirección puede demostrar que los componentes funcionan conjuntamente cuando 1) «Los «componentes están presentes y funcionan» y 2) «Las deficiencias de control interno agregadas entre los componentes no dan lugar a la determinación de que existen una o más deficiencias importantes.»

Nota del editor: Según las normas de la SEC relativas al cumplimiento de la Sección 404 de la SOX, «la evaluación del control interno de una empresa sobre la información financiera debe basarse en procedimientos suficientes tanto para evaluar su diseño como para comprobar su eficacia operativa»² Asimismo, la Norma de Auditoría 5³ del PCAOB exige que el auditor evalúe el diseño y la eficacia operativa del control interno sobre la información financiera. Creemos que «presente» y «funcionamiento» son equivalentes a «diseño» y «eficacia operativa», respectivamente.

El Marco de 2013 utiliza los términos «deficiencia de control interno» y «deficiencia importante» para describir los grados de gravedad de las deficiencias de control interno. Según el Marco de 2013, una deficiencia de control interno se refiere a una «deficiencia en un componente o componentes y principio(s) relevante(s) que reduce la probabilidad de que una entidad logre sus objetivos», y una deficiencia importante se refiere a una «deficiencia de control interno o combinación de deficiencias que reduce gravemente la probabilidad de que la entidad pueda lograr sus objetivos.» Además, el Marco de 2013 explica que existe una deficiencia importante cuando «un componente y uno o más principios relevantes no están presentes o no funcionan» o cuando «los componentes no funcionan juntos.» Además, si existe una deficiencia importante, la organización no puede concluir que ha cumplido con los requisitos de un sistema eficaz de control interno.

Es importante que el Marco de 2013 reconozca que al evaluar las deficiencias en el control interno, los reguladores, los emisores de normas y otras partes pueden establecer criterios para definir la gravedad de las deficiencias de control interno, evaluarlas e informar sobre ellas. Para cumplir con los requisitos de información sobre el control interno en virtud de la SOX, la dirección seguiría utilizando la terminología de la SEC sobre deficiencias significativas y debilidades materiales, y los auditores seguirían utilizando la misma terminología en virtud de las normas del PCAOB. En consecuencia, cuando una empresa está evaluando el diseño y la eficacia operativa de su control interno sobre la información financiera externa (ICEFR) (es decir, si los principios están presentes y funcionan) e identifica una deficiencia, la empresa estaría obligada a utilizar las definiciones y orientaciones de la SEC para evaluar la gravedad de la deficiencia, y el auditor estaría obligado a utilizar las definiciones y orientaciones de las normas del PCAOB.

Orientaciones de transición del COSO e impacto en otros documentos del COSO

Durante el proceso de comentarios públicos sobre el borrador de exposición del Marco de 2013, varias partes interesadas solicitaron que el COSO proporcionara una fecha específica para que se completara la transición del Marco de 1992 al Marco de 2013. Sobre la base de estos comentarios, el COSO ha proporcionado algunos detalles de la transición y está animando a los usuarios a «la transición de sus aplicaciones y la documentación relacionada con el Marco actualizado tan pronto como sea factible en sus circunstancias particulares.» El COSO también ha declarado que «seguirá poniendo a disposición su Marco original durante el período de transición que se extiende hasta el 15 de diciembre de 2014, momento a partir del cual el COSO lo considerará superado». Además, el jefe de contabilidad de la SEC, Paul Beswick, ha declarado que «el personal de la SEC tiene previsto supervisar la transición de los emisores que utilicen el marco de 1992 para evaluar si es necesario o apropiado tomar medidas por parte del personal o de la Comisión en algún momento en el futuro». Además, declaró que en este momento, «simplemente remite a los usuarios del marco COSO a las declaraciones que COSO ha hecho sobre su nuevo marco y sus pensamientos sobre la transición».

Durante el período de transición (del 14 de mayo de 2013 al 15 de diciembre de 2014), COSO sugiere que cualquier «aplicación de su Control Interno – Marco Integrado que implique la presentación de informes externos debe revelar claramente si se utilizó la versión original o la de 2013». Como resultado, cuando las empresas proporcionen su evaluación anual del ICEFR de acuerdo con la SOX, sería apropiado indicar el marco COSO exacto que utilizaron al realizar la evaluación.

Nota del editor: La Norma de Auditoría 5 del PCAOB establece que «el auditor debe utilizar el mismo marco de control adecuado y reconocido para realizar su auditoría del control interno sobre la información financiera que la dirección utiliza para su evaluación anual de la eficacia del control interno de la empresa sobre la información financiera.» En consecuencia, el momento en que el auditor realice la transición al Marco de 2013 para auditar el ICEFR dependerá del momento en que la empresa realice la transición. Si la empresa utiliza el Marco de 1992 para el año natural que termina el 31 de diciembre de 2013, el auditor también utilizaría el Marco de 1992. Creemos que, de manera coherente con el enfoque para revelar el marco COSO exacto utilizado en la evaluación del ICEFR por parte de la dirección, sería apropiado indicar en el informe del auditor el marco exacto utilizado.

La Guía para Pequeñas Empresas de COSO será sustituida por el Compendio ICEFR después del 15 de diciembre de 2014.

El Marco Integrado de Gestión del Riesgo Empresarial de COSO (el «Marco ERM») no ha sido sustituido por el Marco 2013. Si bien el Marco ERM y el Marco 2013 pretenden tener enfoques diferentes, los dos marcos están diseñados para complementarse mutuamente. COSO considera que aunque el Marco ERM incluye partes del texto del Marco de 1992, el Marco ERM sigue siendo adecuado para el diseño, la implementación, la realización y la evaluación de la gestión del riesgo empresarial.

La Guía para la supervisión de los sistemas de control interno de COSO, que se redactó para ayudar a las organizaciones a comprender y aplicar las actividades de supervisión en un sistema de control interno, también sigue siendo pertinente (es decir, no ha sido sustituida por el Marco de 2013). El Apéndice F del Marco de 2013 establece que los «cambios en los principios del Marco no alterarán sustancialmente los enfoques desarrollados para la Guía de COSO sobre la supervisión de los sistemas de control interno».

Control interno sobre la información financiera externa

El impacto del Marco de 2013 sobre la evaluación de la dirección de la eficacia del ICEFR (es decir, para cumplir con la Sección 404 de la SOX) dependerá de cómo una empresa haya aplicado e interpretado los conceptos del Marco de 1992. Por ejemplo, es posible que un sistema de control interno existente no demuestre o documente claramente que todos los principios pertinentes están presentes y funcionan. El COSO desarrolló el Compendio ICEFR para ayudar a las empresas a aplicar el Marco de 2013. Los enfoques analizados en el documento describen cómo las organizaciones pueden aplicar los principios en su sistema de ICEFR, y sus ejemplos ilustran la aplicación de cada principio. Las empresas que utilizan el COSO para informar sobre el ICEFR pueden considerar:

1. Leer el Marco de 2013 e identificar los nuevos conceptos y cambios.

2. Evaluar sus necesidades de formación y educación.

3. Determinar cómo el Marco de 2013 afecta al diseño y evaluación del ICEFR mediante:

a. Evaluando la cobertura de los principios por los procesos existentes y los controles relacionados y considerando los puntos de enfoque.

b. Evaluar los procesos y actividades actuales y la documentación disponible relacionada con la aplicación de los principios.

c. Identificar cualquier laguna en lo anterior.

4. Identificar los pasos, si los hay, que deben realizarse para hacer la transición al Marco 2013, y:

a. Formular un plan para completar la transición antes del 15 de diciembre de 2014 (es decir, las empresas que cierran el año natural y que cumplen con la Sección 404 de la SOX deben realizar la transición al Marco de 2013 para los periodos de información que terminan después del 31 de diciembre de 2014).

b. Considerar la posibilidad de utilizar las actividades realizadas en 2013 (por ejemplo, los recorridos, las pruebas de los controles pertinentes, la evaluación de las deficiencias) para identificar los cambios necesarios y la prueba piloto o de campo de la aplicación del Marco de 2013.

c. Confirmar la adecuada divulgación del marco utilizado durante el período de transición y en el momento de la adopción del Marco de 2013.

5. Coordinar y comunicar internamente con todos los grupos que son responsables de implementar, supervisar e informar sobre el ICEFR de la organización.

6. Discutir y coordinar las actividades con la auditoría interna (si procede) y el auditor externo.

Herramientas Ilustrativas

Las Herramientas Ilustrativas de COSO proporcionan ejemplos de cómo una empresa puede aplicar el Marco de 2013 en la evaluación de la eficacia de su sistema de control interno. El documento proporciona plantillas ilustrativas e incluye escenarios con ejemplos de cómo completar varias plantillas. Sin embargo, las Herramientas Ilustrativas no pretenden:

• Satisfacer ningún requisito normativo para evaluar las deficiencias del control interno.
• Ilustrar la selección de controles por parte de la dirección para efectuar los principios o abordar los riesgos identificados.
• Ilustrar las decisiones sobre la naturaleza, el momento o el alcance de las pruebas de los controles para garantizar un sistema eficaz de control interno.

Producido por Jennifer Burns y Brent Simer, Deloitte LLP

Notas finales
1. COSO es una iniciativa conjunta de cinco organizaciones del sector privado y se dedica a proporcionar liderazgo de pensamiento mediante el desarrollo de marcos y orientación sobre la gestión del riesgo empresarial, el control interno y la disuasión del fraude. Las cinco organizaciones del sector privado son la American Accounting Association, el American Institute of Certified Public Accountants, Financial Executives International, el Institute of Management Accountants y el Institute of Internal Auditors.
2. Securities Act Release No. 33-8238, File Nos. S7-40-02 and S7-06-03 (August 14, 2003).
3. PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated With an Audit of Financial Statements.