Comprender los marcos de control interno
Los marcos de control interno proporcionan la estructura que utilizan las organizaciones para diseñar, implementar y evaluar sus controles internos. Un marco bien elegido ayuda a garantizar que los informes financieros sean confiables, las operaciones sean eficientes y la organización cumpla con las leyes y regulaciones aplicables.
¿Qué es un marco de control interno?
Un marco de control interno es un conjunto estructurado de directrices que definen cómo una organización debe establecer y mantener su sistema de controles internos. Proporciona un lenguaje común para discutir los controles, una metodología para evaluar su efectividad y una base para informar a las partes interesadas.
Sin un marco, las organizaciones corren el riesgo de adoptar un enfoque ad hoc de los controles que deja lagunas en la cobertura, crea redundancias y dificulta la comunicación del estado del entorno de control a los auditores, reguladores y la junta directiva.
El marco COSO
El marco del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) es el marco de control interno más ampliamente adoptado en los Estados Unidos y muchas otras jurisdicciones. Publicado originalmente en 1992 y actualizado en 2013, define el control interno a través de cinco componentes interrelacionados.
El entorno de control sienta las bases. Abarca la cultura de la organización, los valores éticos, la estructura de gobierno y el compromiso del liderazgo con el control interno. Un fuerte ambiente de control establece el tono para toda la organización.
Evaluación de riesgos es el proceso de identificar y analizar los riesgos que podrían impedir que la organización alcance sus objetivos. Esto incluye evaluar la probabilidad y el impacto de los riesgos y determinar cómo deben gestionarse.
Actividades de control son las políticas y procedimientos que ayudan a garantizar que se lleven a cabo las directivas de la gerencia. Incluyen aprobaciones, autorizaciones, conciliaciones, segregación de funciones y controles tanto manuales como automatizados.
Información y comunicación garantiza que la información relevante fluya por toda la organización de manera oportuna. Esto incluye tanto la comunicación interna entre departamentos como la comunicación externa con reguladores, auditores e inversores.
Las actividades de monitoreo evalúan si los cinco componentes están presentes y funcionando a lo largo del tiempo. Esto incluye un seguimiento continuo a través de actividades de gestión periódicas y evaluaciones separadas, como auditorías internas.
Los 17 principios de COSO
La actualización de 2013 del marco COSO introdujo 17 principios que se corresponden con los cinco componentes. Estos principios proporcionan una orientación más específica sobre cómo se ve en la práctica un control interno eficaz. Por ejemplo, el Principio 1 establece que la organización demuestra un compromiso con la integridad y los valores éticos, mientras que el Principio 16 aborda la selección, el desarrollo y la realización de evaluaciones continuas e independientes.
Otros marcos
Si bien COSO domina en Estados Unidos, otros marcos sirven para propósitos o geografías específicas.
COBIT (Objetivos de control para la información y tecnologías relacionadas) se centra en el gobierno y la gestión de TI. Es particularmente útil para organizaciones que buscan fortalecer los controles sobre los sistemas de información y el riesgo tecnológico.
La Guía Turnbull se utilizó ampliamente en el Reino Unido antes de ser reemplazada por una guía actualizada. Enfatiza la responsabilidad de la junta de mantener un sistema sólido de control interno y revisar su efectividad.
El Modelo de Tres Líneas (actualizado de Tres Líneas de Defensa) publicado por el Instituto de Auditores Internos proporciona un marco para la gobernanza y el aseguramiento. Aclara roles y responsabilidades en todas las funciones de gestión, riesgo y cumplimiento, y auditoría interna.
Elegir el marco adecuado
La elección del marco depende de varios factores, incluidos los requisitos regulatorios, la industria, el tamaño de la organización y la madurez de los controles existentes. Muchas organizaciones utilizan COSO como marco principal y lo complementan con COBIT para controles específicos de TI.
Las empresas que cotizan en bolsa en los EE. UU. están efectivamente obligadas a utilizar un marco reconocido como COSO para sus evaluaciones de la Sección 404 de SOX. La SEC ha declarado que la administración debe utilizar un marco adecuado y reconocido al evaluar los controles internos sobre la información financiera.
Consideraciones de implementación
La adopción de un marco no es un proyecto de una sola vez. Requiere un compromiso continuo con la documentación, las pruebas y la mejora. Los pasos clave incluyen mapear los controles existentes con los componentes y principios del marco, identificar brechas, diseñar nuevos controles cuando sea necesario y establecer procesos de monitoreo.
La documentación es particularmente importante. Cada control debe estar vinculado al riesgo que aborda, el componente del marco que respalda y la evidencia que produce. Las herramientas de auditoría que mantienen vínculos rastreables entre controles, evidencia y documentos de respaldo hacen que este proceso sea más manejable, especialmente para organizaciones con entornos de control complejos.
El resultado final
Un marco de control interno no es sólo un requisito de cumplimiento. Es una herramienta de gestión que, cuando se implementa adecuadamente, fortalece la gobernanza, mejora la eficiencia operativa y mejora la confiabilidad de los informes financieros. El marco que elijas importa menos que la disciplina con la que lo apliques.