¿Qué es el Marco de Control Interno COSO? – Objetivos y componentes

Publicado el 14 septiembre, 2020 por Rodrigo Ricardo

El COSO

El Comité de Organizaciones Patrocinadoras (COSO) fue establecido en 1985 por cinco de los comités de supervisión de contabilidad, auditoría y finanzas más grandes de los Estados Unidos. El comité tenía como objetivo patrocinar el Comité Nacional de Información Financiera Fraudulenta. El Comité Nacional era independiente de COSO, por lo que no hubo conflictos de intereses. El Comité Nacional incluyó a representantes de agencias reguladoras, empresas públicas e instituciones educativas.

El Comité Nacional tenía la tarea de establecer un marco para ayudar a abordar la gestión de riesgos empresariales (ERM), la disuasión del fraude y los controles internos. De estos tres temas tratados por COSO, esta lección se centrará en los controles internos.

Controles internos COSO

El marco de control interno de COSO a menudo se presenta como un cubo, ya que hay tres dimensiones de controles internos a considerar en su marco. COSO posee los derechos de autor sobre el diagrama de cubo real (aunque ofrecen un póster gratuito desde su sitio web), pero con el diagrama de cubo, podemos visualizar las tres dimensiones de los controles internos.


Marco integrado COSO
Marco COSO

Comencemos con el lado del cubo marcado con la letra ‘A’. El lado del cubo marcado con una ‘A’ representa los cinco objetivos de un sistema aceptable de controles internos, que son el entorno de control, la evaluación de riesgos, las actividades de control, la información y la comunicación y las actividades de seguimiento.

El entorno de control representa la cultura de los controles internos en la organización. Por ejemplo, este objetivo busca determinar si la organización tiene una cultura de disciplina y cumplimiento o una cultura de políticas y procedimientos laxos. Esta cultura a menudo comienza con las acciones de la gerencia ejecutiva, por lo que un control relacionado con la revisión del desempeño del CEO por parte del Directorio se sumaría al ambiente de control.

La evaluación de riesgos es una actividad mediante la cual se analizan todas las actividades y los riesgos asociados en una organización y cada uno se considera en un espectro de riesgo bajo o alto. También se considera la probabilidad de ocurrencia para determinar qué riesgos enfrenta una organización deben abordarse primero. Una evaluación de riesgos puede identificar el manejo de efectivo o la facturación como riesgos que necesitan ser auditados.

Las actividades de control son aquellos procedimientos y controles internos implementados para mitigar los riesgos, particularmente aquellos que la gerencia consideró demasiado riesgosos durante la evaluación de riesgos. Estas son actividades que la gerencia, su personal y los auditores internos prueban para garantizar el cumplimiento. Por ejemplo, si el riesgo identificado en la evaluación de riesgos es el manejo de efectivo, una actividad de control podría tener dos personas involucradas en los pagos en efectivo.

La información y la comunicación es la forma en que la gerencia comunica la cultura de cumplimiento y las políticas específicas que las personas deben seguir. La información y la comunicación son partes centrales de una fuerte cultura de disciplina. Un ejemplo de esto sería requerir que las políticas nuevas o enmendadas se envíen a todos en la empresa para que estén al tanto del cambio.

Finalmente, las actividades de monitoreo son actividades que los gerentes utilizan para monitorear procesos o controles internos dentro de la organización. Por ejemplo, si un gerente de compras recibe un informe semanal de todas las compras superiores a $ 5,000, estaría realizando una actividad de monitoreo.

Las cuatro áreas de cobertura

El lado ‘B’ del cubo representa las áreas de cobertura para los controles internos. Por áreas de cobertura , COSO se refiere al nivel dentro de la organización en el que el control se centra en proteger. Dependiendo de la estructura de la organización, es posible que algunas de estas áreas no se apliquen, pero hay pocas situaciones, si las hay, en las que al menos tres de las áreas no se consideran al identificar los controles internos.

Los controles de toda la entidad son aquellos que influyen en toda la organización. A menudo, estos controles se centran en establecer y mantener una buena cultura y apoyar la comunicación en toda la organización. Estos controles se implementan o influyen en las acciones en toda la organización. Por ejemplo, un control de toda la entidad en una organización sería un código de ética empresarial.

Los controles de nivel de división pueden eliminarse un nivel o por debajo de los controles de toda la entidad. Decimos ‘puede ser’ porque, dependiendo de la estructura de la organización, puede haber o no divisiones. Cuando los hay, a menudo se asocian con límites nacionales o regionales de modo que los controles internos se alinean con los requisitos reglamentarios, como la presentación de informes de la SEC a tiempo y con precisión.

Una unidad operativa no siempre se limita a una proximidad física, sino que se centra en las actividades que la unidad operativa es responsable de realizar. Por ejemplo, un departamento de contabilidad puede ser responsable de las cuentas por pagar, las cuentas por cobrar, la administración de efectivo y los informes financieros. Las cuentas por cobrar pueden tener un control que requiera la revisión de un informe mensual de saldos pendientes.

Cada uno de estos ejemplos de lo que podría hacer un departamento de contabilidad es un ejemplo de una función, la última capa de cobertura en el marco de COSO. Una función es un proceso o área de cobertura lo suficientemente pequeña para controles específicos que son propiedad de empleados individuales y por los cuales son responsables. Un ejemplo sería un administrador de cuentas por cobrar que ejecuta y revisa un informe de “cuentas por cobrar envejecidas”. Este es un informe que muestra a un gerente de cuentas por cobrar cuántos clientes están al día con su pago y cuántas personas aún le deben a la empresa después de 30 días, 60 días y más de 90 días. Requerir que un gerente de C / R imprima ese informe, lo revise y comience los esfuerzos de cobranza en cuentas que son demasiado antiguas es un control específico que debe clasificarse como un control funcional, con todos en la organización en un rol de C / R implementando ese control.

Tres actividades en el marco

El cubo del marco COSO tiene tres actividades que atraviesan todas las demás áreas, que se muestran visualmente como la parte ‘C’ del gráfico anterior. Estas tres actividades son muy amplias, pero ayudan a evitar que los controles internos sean demasiado específicos y, por lo tanto, demasiado engorrosos, al tiempo que protegen a la organización. Las tres actividades son operaciones, informes y cumplimiento.

Las operaciones se refieren a todas las actividades que ejecutan una organización: los procesos involucrados desde tomar la materia prima, cualquiera que sea, y convertirla en un producto final. O, si está considerando una industria de servicios, incluye las actividades relacionadas con identificar y atraer clientes, atenderlos y mantener el negocio.

Los informes se refieren a cualquier tipo de informes, internos y externos, que representen la salud financiera u operativa de la empresa. Para las empresas que cotizan en bolsa, este puede ser el informe trimestral y anual, pero incluso los informes proporcionados internamente para que los gerentes los utilicen como herramientas de toma de decisiones deben tener controles que garanticen su precisión.

Finalmente, las actividades de cumplimiento son aquellas relacionadas con el cumplimiento de las regulaciones legales, políticas y cualquier otra actividad requerida o mejor práctica que la empresa opte por seguir. Los controles relacionados con el cumplimiento pueden ser algo así como garantizar que se presenten informes, que la información esté disponible para los empleados y que se cumplan los requisitos reglamentarios.

Resumen de la lección

Dediquemos un par de minutos a revisar lo que hemos aprendido. El Comité de Organizaciones Patrocinadoras (COSO) fue establecido en 1985 por cinco de los comités de supervisión de contabilidad, auditoría y finanzas más grandes de los Estados Unidos. COSO ha proporcionado un marco que los auditores pueden utilizar para identificar y diseñar metódicamente controles internos. El marco COSO consta de tres “dimensiones”: áreas de cobertura, actividades y objetivos. Los cinco objetivos son los siguientes:

  1. Entorno de control : representa la cultura de los controles internos en la organización.
  2. Evaluación de riesgos : una actividad mediante la cual se analizan todas las actividades y los riesgos asociados en una organización y cada uno se considera en un espectro de riesgo bajo o alto.
  3. Actividades de control : los procedimientos y controles internos establecidos para mitigar el riesgo.
  4. Información y comunicación : cómo la administración comunica la cultura de cumplimiento y las políticas específicas que las personas deben seguir.
  5. Actividades de monitoreo : actividades que los gerentes usan para monitorear procesos o controles internos dentro de la organización.

Las áreas de cobertura , que son el nivel dentro de la organización en el que el control se centra en proteger, y que una organización puede tener o no en su totalidad, incluyen las siguientes:

  1. Nivel de entidad : aquellos que influyen en toda la organización
  2. División : un nivel eliminado o por debajo de los controles de toda la entidad
  3. Unidades operativas : enfocado en las actividades que la unidad operativa es responsable de realizar
  4. Funciones : procesos o áreas de cobertura lo suficientemente pequeñas para controles específicos que son propiedad de empleados individuales y de los cuales son responsables

Finalmente, las tres actividades son las siguientes:

  1. Operaciones : todas las actividades que ejecuta una organización.
  2. Informes : cualquier tipo de informe, interno o externo, que represente la salud financiera u operativa de la empresa.
  3. Cumplimiento : cualquier actividad relacionada con el cumplimiento de las regulaciones legales, políticas y cualquier otra actividad requerida o mejor práctica que la empresa opte por seguir.

Cuando un sistema de controles internos cubre adecuadamente estas dimensiones y garantiza que se mitiguen los riesgos que preocupan a la administración, el marco COSO ha sido eficaz para proteger los activos y la administración de esa organización.

Articulos relacionados