El Comittee of Sponsoring Organization of the Treadway Comission publicó en 2004 el Marco Integrado de Gestión de Riesgos Empresariales, que ha ido revisando a lo largo del tiempo (la última revisión, COSO III, data de 2013). Debido a los cambios en la complejidad de los riegos, a la aparición de nuevos riesgos y al mejor conocimiento y supervisión de la gestión del riesgo por parte de los órganos de administración, el Comité ha realizado una nueva actualización de la publicación de 2004. El documento, denominado Enterprise Risk Management-Integrating with Strategy and Performance (COSO ERM 2017), destaca la importancia de considerar el riesgo tanto en el proceso de establecimiento de la estrategia como durante su desarrollo.
El objetivo del Marco Integrado de Control Interno es apoyar a la dirección a mejorar el control en la organización y proporcionar herramientas para mejorar la capacidad para supervisar el control interno, y constituye una guía para diseñar, implementar, desarrollar y evaluar la efectividad del control interno de una organización, ya que le permite mantener un sistema de control interno que incrementa la probabilidad de cumplir sus objetivos y de adaptarse a los constantes cambios operativos y del entorno.
Los documentos COSO ERM 2017 y COSO III se complementan entre sí, sin reemplazarse. El documento de 2017 se enfoca a áreas que van más allá del control interno, sin embargo, el Marco Integrado de Control Interno sigue siendo un marco viable y adecuado para implementar, desarrollar y evaluar la efectividad del control interno de una organización.
Según COSO, el Control Interno es:
1. Gobernanza y cultura
Gobernanza: refuerza la importancia de la organización y establece responsabilidades de supervisión para la gestión del riesgo empresarial.
Cultura: valores éticos, comportamientos deseados y comprensión del riesgo de la entidad.
Principios
1. Los órganos de administración ejercen la supervisión del riesgo.
2. La dirección establece la estructura operativa.
3. La organización define la cultura deseada.
4. La organización demuestra compromiso con los valores fundamentales La organización atrae, desarrolla y retiene personal capacitado
5. La organización atrae, desarrolla y retiene personal capacitado.
2. Estrategia y establecimiento de objetivos
Paso 1: definir unos objetivos claros.
Paso 2: identificar y evaluar los riesgos con un proceso dinámico e interactivo, considerando los cambios que se producen en el entorno y que afectan a la gestión de riesgos.
6. La organización analiza el contexto empresarial.
7. La organización define el apetito de riesgo.
8. La organización evalúa estrategias alternativas.
9. La organización formula los objetivos del negocio.
3. Desempeño
Los riesgos se priorizan por su gravedad y posteriormente, la organización selecciona las respuestas al riesgo y obtiene una visión de los riesgos que asume. Los resultados de este proceso se informan a las partes interesadas.
10. La organización identifica el riesgo.
11. La organización evalúa la gravedad del riesgo.
12. La organización prioriza el riesgo.
13. La organización implementa la respuesta al riesgo.
14. La organización desarrolla una visión global del mapa de riesgos
4. Evaluación y revisión
Mediante la revisión del desempeño la organización puede considerar como funcionan los componentes de la gestión del riesgo de la misma a lo largo del tiempo y, a la vista de los cambios producidos, determinar que revisiones son necesarias.
15. La organización evalúa los cambios sustanciales.
16. La organización revisa tanto el riesgo como las actuaciones.
17. La organización persigue la mejor en la gestión del riesgo empresarial.
5. Información, comunicación y generación de informes
La gestión del riesgo requiere un proceso continuo de obtención y suministro de información, tanto de fuentes externas como internas, que debe fluir por toda la organización.
18. La organización aprovecha la información y la tecnología.
19. La organización comunica información sobre los riesgos.
20. La organización informa sobre el riesgo, la cultura y el desempeño.
En definitiva, el control interno es un proceso que realizan las personas de una organización y que debe adaptarse, de forma continua, a la estructura de dicha organización.
Montserrat Mestre Vidal, Socia Auditoría de Auren
montserrat.mestre@bcn.auren.es