TÍTULO: ACTUALIZACIÓN DEL MODELO COSO SOBRE CONTROL INTERNO: ANÁLISIS SOBRE LASMODIFICACIONES, INNOVACIONES Y NOVEDADES

AUTOR/ES: Laski, Julián

PUBLICACIÓN: Profesional y Empresaria (D＆G)

TOMO/BOLETÍN: XIV

PÁGINA: 1225

MES: Diciembre

AÑO: 2013

OTROS DATOS: -

JULIÁN LASKI

ACTUALIZACIÓN DEL MODELO COSO SOBRE CONTROL INTERNO: ANÁLISIS SOBRELAS MODIFICACIONES, INNOVACIONES Y NOVEDADES

El autor analiza los cambios y actualizaciones incluidos en el nuevo marco integrado de control interno COSO (InternalControl-Integrated Framework) publicado en mayo de 2013, identificando las innovaciones que allí se reflejan, lascuestiones que permanecen sin variantes y los desafíos futuros en lo que a la evolución del sistema de control internorespecta. Concluye en que el concepto de control interno es una cuestión dinámica que ha evolucionado y continuaráhaciéndolo en el futuro. Y que es de esperar surjan actualizaciones que contribuyan a dar soporte para el desarrollo,básicamente, de buenas prácticas de gobierno corporativo.

I - INTRODUCCIÓN

Luego de varios anuncios y postergaciones, finalmente el 14/5/2013 llegó el día en que la Comisión Treadway, conformada en 1985 paradesarrollar estudios sobre los controles internos, publicó el nuevo Modelo COSO, también llamado Modelo COSO III. Este documento seelaboró en el marco del proceso de evolución de los modelos de control, dentro de los cuales el marco integrado COSO I de 1992 prevaleciócasi sin contrincantes desde su emisión hasta la actualidad.

Sin embargo, varios factores determinaron que, con el paso del tiempo, esta metodología haya quedado atrasada en algunos de susaspectos; la proliferación de nuevos casos resonados de fraude organizacional (como los de

entre muchos), y la crisis financiera mundial cuya explosión se produjo en el año 2008, han puesto en tela de juicio la vigencia de lasregulaciones existentes en materia de controles y han reclamado la necesidad de una actualización del marco integrado. Inicialmente, seesperaba que la publicación del nuevo documento se realizase a mediados del año 2012, motivo por el cual, hasta septiembre de 2011, sedejó abierta la discusión y recepción de aportes de diversas fuentes con el fin de recoger opiniones de diferentes profesionales interesados oinvolucrados. Finalmente, luego de varias postergaciones que incrementaron la expectativa por el nuevo documento, el Modelo COSO III fuepublicado el 14/5/2013, junto con una guía que contiene herramientas para la evaluación de la efectividad del sistema de control interno y delcontrol interno relacionado con reportes financieros externos [en inglés,

.

Enron, Worldcom, Parmalat, Societe Generale,Banesto

(1)

llustrative Tools for Assessing Effectiveness of a System of InternalControl and the Internal Control over External Financial Reporting (ICEFR): A Compendium of Approaches and Examples]

II - EL NUEVO MODELO COSO: ¿REALMENTE INNOVADOR?

La necesidad de desarrollar cambios a la metodología COSO original se basó, fundamentalmente, en la idea de reconvertirlo en unaherramienta que se acerque de mejor manera al entorno de negocios actual. De todos modos, habiendo pasado 21 años luego de la emisióninicial del Informe COSO, y en virtud de las encuestas, pedidos de opinión, foros, seminarios y otros ámbitos de discusión que tuvieron lugar,era de esperar que los cambios en la metodología y en el marco integrado fueran más profundos de lo que realmente terminaron reflejándoseen el Marco COSO III. Incluso, puede apreciarse cierta ambición expresada en la fundamentación del cambio de modelo que no se trasladódirectamente al documento modificado. De algún modo, la fundamentación de los cambios terminó siendo más una declaración de principiosque un hecho que se haya plasmado en la realidad. En tal sentido, varios de los conceptos del Modelo COSO III terminan siendo repetitivosrespecto del Modelo COSO I de 1992, sin que se hayan producido grandes cambios, tal como se prometía desde hace tiempo.

En primera medida, debe tenerse presente que la parte clave del marco integrado no ha variado; es decir, que los principios generales quedieron lugar al modelo COSO original se han mantenido -esto es, la necesidad de considerar al control interno como un proceso desarrolladopor todo el personal para asegurar, en forma razonable, la consecución de operaciones eficaces y eficientes, la confiabilidad de la informacióny el cumplimiento de las normas aplicables-. Asimismo, no se han producido cambios en los cinco componentes tradicionales de COSO I, sinoque estos se han mantenido tal como se habían concebido de manera original: Ambiente de control, Valoración de riesgos, Actividades decontrol, Información y Comunicación, y Monitoreo. En otras palabras, en estos aspectos tampoco se han observado alteraciones sustancialesal marco integrado original.

Sin perjuicio de lo expresado en los párrafos anteriores, existen cuestiones expresadas en el Modelo COSO III que sí pueden considerarseinnovadoras o, al menos, diferentes respecto de la concepción original del marco integrado. Las principales novedades o cambios incluidos en

el marco COSO de 2013 se exponen a continuación:

1. La especificidad a través de los principios

El modelo COSO III indica, taxativamente, cuáles son los 17 principios que componen el marco integrado y su desagregación porcomponente de control interno. Ello representa una novedad respecto de COSO I, ya que el primer modelo era más generalista en cuanto adejar librado a una interpretación más amplia cuáles eran los aspectos a considerar para la evaluación del control interno. Los 17 principiosenunciados en el modelo COSO III se exponen en el cuadro a continuación. En dicho cuadro, se sombrean en gris las principales innovacionesdel marco integrado, las cuales son explicadas en detalle debajo:

Ambiente de control Valoración de riesgos Actividades decontrol

Información ycomunicación Monitoreo

Compromiso con laintegridad y los valoreséticos

Especifica objetivosrelevantes

Selección ydesarrollo deactividades decontrol

Generación deinformaciónrelevante

Realización deevaluacionescontinuas eindividuales

Responsabilidad desupervisión

Identificación yevaluación de riesgosempresariales

Selección decontroles generalessobre tecnología

Comunicacióninterna

Evaluación ycomunicación dedeficiencias

Establecimiento deestructura, autoridad yresponsabilidades

Evaluación de cambiosrelevantes en elentorno de la gestiónde riesgos

Implementación depolíticas yprocedimientos

Comunicaciónexterna

Compromiso con lacompetencia

Evaluación del riesgode fraude

Responsabilidad y actitudde la máxima autoridad

Tal como puede apreciarse en la tabla más arriba, no son muchas las modificaciones propuestas en la actualización del modelo. Sinembargo, hay dos temas relevantes que son tratados por primera vez en esta versión del marco integrado, que ameritan un análisis másprofundo: los temas de fraude y los controles sobre la tecnología de la información. Estos dos aspectos fueron incluidos en el nuevo modelopor tratarse de temas cuya evolución desde 1992 hasta 2013 provocó un mayor interés, dada la creciente aparición de casos de fraudeorganizacional que COSO I no parece haber podido evitar, y considerando la cada vez mayor relevancia que adquieren los sistemas deinformación en la gestión de las empresas.

En este sentido, el Modelo COSO III propone que, en su marco de control interno, las organizaciones consideren el potencial de frauderelacionado con la declaración falsa material de informes, la protección inadecuada de activos, la protección inadecuada de activos, ycorrupción en la evaluación de riesgos para el logro de objetivos; y que la propia entidad seleccione y desarrolle actividades de controlgenerales sobre la tecnología para dar apoyo al logro de objetivos.

Por otro lado, el modelo COSO III, que recoge y refleja la evolución en materia de riesgos y controles por los hechos que tuvieron lugardesde 1992 hasta 2013 (con escándalos como Enron, Worldcom, la sanción de la Ley Sarbanes Oxley, la crisis de las hipotecas en EstadosUnidos, entre otros), indica la importancia de la consideración de los riesgos empresariales. En este punto, se busca tener en cuenta larelación del control interno con la gestión de riesgo empresarial, lo que permite la integración de los modelos COSO II - ERM y el tradicionalmarco COSO orientado a controles internos sobre información financiera.

Asimismo, una cuestión novedosa (o que, al menos, no estaba expuesta de este modo en la edición de COSO de 1992), está relacionadacon la necesidad de que las empresas seleccionen, desarrollen y lleven a cabo evaluaciones continuas y/o individuales para asegurar si loscomponentes de control interno están presentes y en funcionamiento.

2. El objetivo de informes financieros, ampliado

Desde la concepción inicial del marco integrado, se consideró que uno de los objetivos del control interno era la “confiabilidad de lainformación financiera”. En realidad, esta era una de las contradicciones del propio modelo: si se podía asociar al modelo COSO con buenasprácticas de gestión, ¿por qué circunscribir el aspecto de la confiabilidad de los informes a los relacionados con la gestión financiera? ElModelo COSO III toma y considera este tema, ampliando el entendimiento del objetivo hacia aspectos no financieros, relacionadosfundamentalmente con la necesidad de contar con indicadores de gestión confiables, oportunos y útiles para la toma de decisiones. Asimismo,se destaca un mayor énfasis en las operaciones, el cumplimiento y el análisis de objetivos de informes no financieros basados en los aportesde usuarios e interesados.

3. Guías ilustrativas para la evaluación del control interno y del control interno sobre reportes financieros externos

En forma complementaria al desarrollo de un nuevo modelo de control interno, la Comisión Treadway publicó una guía para ser utilizadacomo marco de referencia para el uso y evaluación de los controles, proporcionando un compendio de ejemplos y herramientas para utilizaren la evaluación de la eficacia general del control interno. El comité desarrollador de COSO ha publicado este documento como una forma dedar respuesta a una de las críticas fundamentales que siempre se efectuó al modelo COSO original: su orientación eminentemente teórica. Porello, se ha elaborado esta guía con el fin de exponer ejemplos prácticos de aplicación e implementación, tanto para informes internos comoexternos.

III - PRÓXIMOS PASOS: LA TRANSICIÓN

Independientemente del hecho de que como se ha expuesto no son tantas las novedades que contiene el Modelo COSO III, el documentopublicado expone que se fija un período de transición hasta el 15/12/2014, luego del cual el Modelo COSO I se considerará obsoleto ysuperado por COSO III. Una de las principales dudas que se habían planteado respecto de la obsolescencia del marco integrado original, erasu impacto en las empresas que cotizan en la Bolsa de Nueva York (NYSE) y que están obligadas a implementar los principios incluidos en la

Editorial Errepar - Todos los derechos reservados.

ley (SOX). Sin embargo, el propio Comité que elaboró el nuevo marco integrado se encargó de comunicar que, en loconceptual, la manera de interpretar el control interno y la opinión de la gerencia de las empresas sobre el mismo no debería alterarse. Detodos modos, las empresas que aplican SOX deberán, durante este período de transición, evaluar cómo se modifica la manera de interpretarel control interno en relación a los 17 (diecisiete) principios que se desprenden de los 5 (cinco) componentes, tal como se explica en el cuadromás arriba y, en caso de ser necesario algún ajuste, llevarlo adelante dentro del período que finaliza el 15/12/2014. Es de esperar que quizáseste período de transición se extienda, para dar mayor plazo a las empresas cotizantes de asimilar e implementar los cambios que tenganlugar.

Sarbanes Oxley

IV - CONCLUSIONES

En función de lo analizado en el presente texto, se puede concluir que el nuevo marco integrado de control interno posee ciertos cambiosque han sido desarrollados para actualizar y modernizar el modelo, adaptándolo al contexto actual, aunque las variaciones no parecen muysignificativas. En este sentido, las modificaciones no alteran los conceptos del modelo COSO de 1992, sino que simplemente expanden oespecifican con mayor claridad la interpretación de algunas cuestiones (por ejemplo, los diecisiete principios de los cinco componentes), yamplían el alcance de algunos de los objetivos (por ejemplo, en lo relacionado con la confiabilidad de la información no solamente financiera).Por ello, quizá, el modelo COSO III generó más expectativas de las que luego reflejó en su contenido. De todos modos, debe destacarse queen una encuesta previa llevada a cabo por la Comisión Treadway, un 85% de los involucrados en temas de controles y riesgos apoyó laactualización, pero no una reforma importante del marco; tal vez por ello es, en parte, que no se produjeron cambios muy significativos.(2)

Lo que queda claro, es que el concepto de control interno es una cuestión dinámica que ha evolucionado y continuará haciéndolo de caraal futuro. Es de esperar que, en adelante, surjan actualizaciones al modelo COSO que contribuyan a dar soporte para el desarrollo de buenasprácticas de gobierno corporativo, la mejora de la eficiencia organizacional y la optimización de los controles y la exposición a los riesgos.Estas actualizaciones futuras, seguramente, acompañarán la evolución del entorno de negocios a nivel global.

V - BIBLIOGRAFÍA

- ” - AICPA - 2013.

Committee of Sponsoring Organizations of the Treadway Commission (COSO): “Internal Control - Integrated Framework: ExecutiveSummary, Framework and Appendices, and Illustrative Tools for Assessing Effectiveness of a System of Internal Control

- ” - AICPA -

2013.

Committee of Sponsoring Organizations of the Treadway Commission (COSO): “llustrative Tools for Assessing Effectiveness of a System ofInternal Control and the Internal Control over External Financial Reporting (ICEFR): A Compendium of Approaches and Examples

- (COSO): “Los nuevos conceptos del control interno (Inf. COSO)” - Ed.Diaz de Santos - 1997.

Committee of Sponsoring Organizations of the Treadway CommissionCoopers & Lybrand

- Casal, Armando M.: - ERREPAR - D&G(Profesional & Empresaria) - N° 169 - octubre/2013 - T. XIV - pág. 1050.

“Evaluación y perfeccionamiento del control interno. Mejores prácticas del sistema de control interno”

- Casal, Armando M.: “Nueva estructura integrada del control interno” - ERREPAR - D&G (Profesional & Empresaria) - noviembre/2013;“Herramientas modernas para la gestión organizacional: controles internos y gestión por procesos” - Ed. Libros en Red - Bs. As. - 2009.

- (COSO): “ - 2009.

Committee of Sponsoring Organizations of the Treadway Commission Guidance on Monitoring Internal Control Systems” -Introduction

- Committee of Sponsoring Organizations of the Treadway Commission (COSO): “COSO's 2006 Internal Control over Financial Reporting -Guidance for Smaller Public Companies” - 2006.

- (COSO): “Encuesta a más de 700 y usuarios del ModeloCOSO de 1992. Marco integrado” - 2011.

Committee of Sponsoring Organizations of the Treadway Commission stakeholders

- Laski, Julián: - ERREPAR - D&G (Profesional & Empresaria) - T. XIII - N° 150 - marzo/2012.“Actualización del Modelo COSO I: un nuevo marco integrado sobre control interno acorde a las nuevas necesidades de las

organizaciones”

Notas:

[1:] -ERREPAR - D&G (Profesional & Empresaria) - T. XIII - N° 150 - marzo/2012

“Actualización del Modelo COSO I: un nuevo marco integrado sobre control interno acorde a las nuevas necesidades de las organizaciones”

[2:] Encuesta a más de 700 stakeholders y usuarios del Modelo COSO de 1992. Marco integrado (Comisión Treadway, 2011)