C.P.C. Rafael Yela Gutiérrez
Socio de Auditoría
Ernst & Young
rafael.yela@mx.ey.com

Con la entrada en vigor de la Ley Sarbanes-Oxley en 2002 las entidades que se encuentran sujetas a las reglas de la comisión de valores de los EE.UU., deben evaluar la efectividad de su sistema de control interno, basándose en el marco establecido por el Committee of Sponsoring Organizations of the Treadway Commission (COSO); asimismo, el estándar 5 de las reglas de la Junta de Supervisión de las Firmas de Contadores Públicos (PCAOB, por sus siglas en inglés) requiere a los auditores de estas entidades opinar respecto a la efectividad o inefectividad del sistema de control interno sobre el reporte financiero implementado por dichas entidades a la fecha de los estados financieros

El COSO actualizó el marco de control interno que muchas organizaciones utilizan para evaluar el control interno sobre los informes de financieros para hacer frente a los cambios en el negocio, operativo y regulatorio que existen hoy en día, así dio a conocer su marco original en 1992. Con los cambios propuestos se espera que la transparencia y responsabilidad en los procesos de una organización en el diseño e implementación de un sistema de control interno se incrementen.
Con motivo de esta actualización es necesario que los auditores de las entidades sujetas a las regulaciones de la Comisión de Valores de los EE.UU. (incluyendo subsidiarias en cualquier parte del mundo de ellas) se familiaricen con los cambios que entrarán en vigor el 15 de diciembre de 2014 (es decir, las entidades que tengan su cierre anual el 31 de diciembre de 2014, deberán adoptar el marco actualizado).
Es importante enfatizar que, si bien es cierto que los elementos fundamentales del marco original permanecen igual, las entidades deben emplear el marco actualizado para evaluar la efectividad de su control interno, lo cual implica que deben considerar la existencia de cambios en los propios controles, así como en la documentación del mismo; por supuesto, el tamaño y esfuerzos a realizar variarán de una organización a otra, considerando además la diversificación y condición actual de la documentación de control interno.
¿Por qué el cambio? ¿Qué ha cambiado? ¿Qué no cambió?
Desde la emisión del marco original en 1992, los negocios se han vuelto cada día más complejos, apoyados en la tecnología y con un alcance más global. Los interesados en la información financiera están más comprometidos en los negocios por lo que buscan mayor trasparencia y formas de medir la integridad del control interno que apoye la toma de decisiones en los negocios y gobierno corporativo.
Las mejoras al marco de control interno buscan:

• Direccionar los cambios significativos en el ambiente de negocio y los riesgos que se asocian a estos cambios.
• Otorgar criterios específicos para ser utilizados en el desarrollo y evaluación del sistema de control interno.
• Incrementar el enfoque en las operaciones, cumplimiento y reporte no financiero.

Los conceptos generales del marco de control interno no han cambiado respecto al marco original; es decir, para que un sistema de control interno se considere efectivo tienen que seguir presentes los componentes: de ambiente de control, de evaluación de riesgos, de las actividades propias de control, de información y comunicación, así como de las actividades de monitoreo. Además, el marco actualizado reconoce la importancia del juicio en el diseño e implementación del control interno, y en la evaluación de su efectividad.
No obstante, el marco actualizado incluye mejoras y actualizaciones respecto al marco emitido en 1992. Uno de los cambios más significativos entre ambos marcos es la articulación de los 17 principios sobre los que descansan los cinco componentes referidos en el párrafo anterior; dichos principios, si bien es cierto que estaban implícitamente referidos en el marco original, para el marco de 2013 se manejan de forma explícita, además de que se indica que todos ellos requieren estar presentes y funcionando para concluir que un sistema de control interno es efectivo.
Los 17 principios en el marco de control actualizado y su correlación con los componentes de control interno son:
Otros asuntos que representan mejoras en el marco de control interno incluyen:

• Una mayor claridad en cuanto a los requerimientos que debe cumplir un sistema de control interno para ser considerado como efectivo; para ello, cada uno de los cinco componentes del sistema de control interno y los principios relevantes deben estar presentes y funcionando, asimismo, deben operar en forma conjunta e integrada.
• Define explícitamente que el objetivo de fijación de objetivos del sistema de
• control interno es un proceso de la alta dirección y no parte del sistema de
• control interno; es decir, la fijación de objetivos es un paso antes de que se dé el diseño e implementación de un sistema efectivo de control.
• Refleja una relevancia mayor en la tecnología considerando que la tecnología ha evolucionado de los grandes sistemas independientes hacia aplicaciones altamente sofisticadas, descentralizadas y móviles que implican múltiples actividades en tiempo real que pueden provenir de muchos sistemas, organizaciones y procesos, lo que influye en cómo los componentes del control interno son implementados.
• Reconoce el impacto generalizado que tiene la tecnología en los sistemas de control interno, de hecho el marco actualizado incluye un principio que se centra específicamente en el papel que desempeña la tecnología dentro de las actividades de control de una organización, también discute cómo la tecnología puede ser utilizada para facilitar otras áreas de control interno.
• Expande la discusión de las responsabilidades de los diferentes órganos de gobierno corporativo, incluyendo el Consejo de Administración, Consejo de Directores, Comité de Compensaciones, Comité de Auditoría, entre otros.
• Considera los diferentes modelos de negocio y estructuras organizacionales.
• El objetivo de reporte financiero se expande para considerar otros tipos de reporte, tales como de información no financiera y reporteo financiero y no financiero interno. Es importante aclarar que esta inclusión no afecta la evaluación que la organización realiza referente a la efectividad del sistema de control interno sobre reporte financiero externo de conformidad con la Ley SOX.

Sin embargo, se debe tomar en consideración que los elementos del marco actualizado pueden ser de utilidad para las entidades para mejorar sus políticas de reporte interno y proveer a los interesados de la información financiera contenido adicional a lo que actualmente recibe, por ejemplo, reportes sobre sustentabilidad.

• El marco considera que los riesgos relacionados con fraude son lo suficientemente importantes para justificar la creación de su propio principio. Requiere que se consideren varios tipos de fraude, entre otros: reporte financiero fraudulento, pérdida de activos y corrupción, todo esto en el contexto del denominado triángulo del fraude, que muestra la probabilidad de que un fraude se cometa al existir incentivos, actitudes y razonamiento.

¿Qué implicaciones tendrán en el trabajo del auditor los cambios en el marco de control interno?
Debido a que el uso del marco COSO es fundamental para el diseño, implementación y evaluación del control interno sobre la información financiera de una entidad pública, los cambios derivados de la implantación de este marco estarán sujetos a las pruebas del auditor y pueden requerir procedimientos de auditoría adicionales, ya que seguramente dichas entidades tendrán que mejorar su documentación para asegurarse de que los 17 principios están presentes en su sistema de control interno, incluso pueden llegar a identificar que algunos de estos principios no estén presentes en la actualidad, por lo que requerirá que se diseñen controles adicionales, los cuales tendrán que implementarse y evaluarse.
Esto implicará que se generen cambios en los documentos de las entidades, que la evaluación anual sobre la efectividad del control interno que la entidad lleva a cabo y en el mismo plan de pruebas, en consecuencia esta documentación que revisará el auditor será diferente, debiendo asegurarse de que se cumplan con los lineamientos establecidos en el nuevo marco de control interno y, en su caso, se tendrán que evaluar las deficiencias que se detecten con objeto de medir la severidad de ellas.
Documentos emitidos por el COSO, a continuación.
Control interno. Resumen ejecutivo del marco integrado de control interno
Busca proveer a los miembros del Consejo de Administración, al director general y miembros de la alta gerencia de una visión general de los lineamientos emitidos.
Control interno. Marco integrado y apéndices
Define el control interno, describe los requerimientos para que un sistema de control interno sea considerado efectivo, incluyendo los componentes y principios relevantes; además, provee de guías a la Gerencia para ser usadas en el diseño, implementación y monitoreo del control interno para evaluar la efectividad de dicho sistema. Los apéndices proveen referencia adicional, pero no son considerados como parte integrante del marco de control interno.
Control interno. Herramientas ilustrativas del marco integrado para evaluar la efectividad de un sistema de control interno
Provee plantillas y escenarios que pueden ser útiles en la aplicación del marco integrado.
Control interno. Marco integrado de control interno sobre las actividades de reporte financiero externo
Provee enfoques prácticos y ejemplos que ilustran cómo los componentes y principios establecidos en el marco integrado pueden ser aplicados en el diseño, implementación y evaluación del control interno sobre el reporte externo de información financiera.
Conclusión
Es importante que, tanto las entidades que se encuentran sujetas a las reglas de la Comisión de Valores de los EE.UU., como sus auditores externos conozcan los cambios que se generaron por la actualización del marco de control interno de COSO, así como los documentos que fueron recientemente emitidos, con la finalidad de que estos sean aplicados de forma apropiada y ambas partes puedan evaluar la efectividad del control interno de las entidades sujetas a estas reglas.