Cuando se hablaba de control interno, parecí­a un terreno reservado a las grandes corporaciones. Sin embargo, ya hay ejemplos concretos de que esta realidad ha cambiado de la mano de una versión más simplificada del informe COSO -el enfoque más utilizado a nivel mundial por organizaciones públicas y privadas para aplicar control interno y lograr una mejora continua en sus procesos-.

El Nuevo Modelo SimplificadoEl Marco de Control Interno COSO para las más pequeñas compañí­as ha sido aprobado. Fue un documento muy esperado por las empresas más pequeñas en diferentes partes del mundo, ya que estas opinaban que los costos relacionados con el control interno eran directamente proporcionales a la cantidad de requerimientos de COSO y a la complejidad de su implementación.

Recién el jueves 11 de julio de 2006 fue puesto en vigencia. Es una versión reducida del marco COSO original emitido en 1992, utilizando menos principios, pero adicionando un sistema de codificación especial para facilitar el cumplimiento de la guí­a. El fuerte Comité de expertos de las principales instituciones de auditorí­a interna, contabilidad, fraude y cumplimiento regulatorio que han estado involucrados en su adaptación opinan que "COSO Small Co." es considerablemente más pequeño y más sencillo de interpretar que el marco COSO original. El documento final incluye apenas 20 de los 26 principios originales incluidos en el borrador, mientras el número de atributos que contienen los principios fue cortado, llevándolo de 113 a 75. El documento ha sido dividido en tres capí­tulos para que sea más sencillo de comprender, implementar y auditar.

Estos capí­tulos son:

• Resumen: Un resumen ejecutivo, proporcionando una visión de alto nivel para la Dirección y la alta gerencia
• Principios y Ejemplos: Una descripción del control interno sobre la divulgación del reporte financiero en las empresas más pequeñas, principios fundamentales extraidos del marco COSO original con atributos relacionados y ejemplos de cómo una compañí­a pequeña podrí­a aplicar los principios manteniendo una adecuada relación costo-beneficio.
• Herramientas: Un compendio de herramientas para ayudar a la gerencia a evaluar el control interno. Los Principios COSO para "las más pequeñas".

¿Cuáles son los 20 principios básicos del informe?

Para alcanzar un efectivo control interno sobre el reporte financiero, el documento indica básicamente que las claves son:

             Ambiente de Control

1. Integridad y Valores í‰ticos: la sana integridad y los valores éticos, particularmente en la alta gerencia, han sido desarrollados, comprendidos y adoptados, fijando el estándar de conducta para la divulgación financiera.
2. Comité de Dirección: la Junta de Directores entiende y ejercita la responsabilidad por los errores relacionados con el reporte financiero y el control interno.
3. Filosofí­a de Dirección y Estilo de Gestión. La filosofí­a del management y el estilo de apoya el alcance de un control interno efectivo sobre el reporte financiero.
4. Estructura Organizativa: la estructura organizativa de la empresa soporta el alcance de un eficaz control interno sobre la informacipon financiera.
5. Competencias para el Adecuado Reporte Financiero: la compañí­a retiene a los individuos competentes en el reporte financiero y la detección de errores realacionados con dichos reportes.
6. Autoridad y Responsabilidad: el Management y empleados son asignados de acuerdo a adecuados niveles de autoridad y responsabilidad para facilitar un efectivo control interno sobre el reporte financiero.
7. Recursos Humanos: polí­ticas y prácticas de RRHH son diseñadas e implementadas para facilitar un efectivo control interno sobre el reporte financiero. Evaluación de Riesgos
8. Objetivos del Reporte Financiero: el Management especifica los objetivos sobre el reporte financiero con suficiente claridad y criterio para permitir la identificación de riesgos sobre la divulgación del reporte financiero.
9. Riesgos del Reporte Financiero. La compañí­a identifica y analiza los riesgos relacionados con el alcance de los objetivos de divulgación del reporte financiero como base para determinar cómo los riesgos deberí­an ser manejados.
10. Riesgos de Fraude. El riesgo potencial para la declaración errónea material relacionada con la producción del fraude se considera explí­citamente en la identificación de riesgos relacionados con los objetivos de divulgación financiera.Actividades de Control
11. Integración con la Evaluación de Riesgos. Son tomadas acciones para direccionarlas a los riesgos de alcanzar los objetivos del reporte financiero.
12. Selección y Desarrollo de las Actividades de Control. Las actividades de control son seleccionadas y desarrolladas considerando sus costos y su potencial efectividad para mitigar riesgos de alcanzar los objetivos del adecuado reporte financiero.
13. Polí­ticas y Procedimientos. Polí­ticas relacionadas con la divulgación de información confiable sobre el reporte financiero son establecidas y comunicadas a través de la compañí­a, con sus correspondientes procedimientos, resultando en que dichas polí­ticas y procedimientos sean llevadas a cabo.
14. Tecnologí­a de la Información. Los controles de TI, donde son aplicables, son diseñados e implementados para dar soporte al alcance de los objetivos del reporte financiero. Información y Comunicación
15. Reporte de Información Financiera. La información pertinente es identificada, capturada, utilizada en todos los niveles de la compañí­a, y distribuida en tiempo y forma tal que contribuya al alcance de los objetivos sobre el reporte financiero.
16. Información sobre el Control Interno. La información utilizada para ejecutar otro componente del control interno es identificada, capturada, y distribuida en tiempo y forma tal que permita que el personal lleve a cabo sus responsabilidades frente al control interno.
17. Comunicación Interna. Las comunicaciones permiten y facilitan la comprensión y ejecución de los objetivos de control, de los procesos y de las responsabilidades individuales frente al control interno, en todos los niveles de la organización.
18. Comunicación Externa. Los temas que podrí­an afectar el alcance de los objetivos de la información financiera son comunicados a las terceras partes interesadas. Monitoreo
19. Evaluaciones Continuas y Puntuales. Evaluaciones permanentes y separadas permiten al management determinar si el control interno está presente y funciona en forma adecuada en el tiempo.
20. Reporte de Deficiencias. Las deficiencias de control interno son identificadas y comunicadas de manera oportuna a las partes responsables de tomar acciones correctivas, a la gerencia y al Directorio.

Desearí­amos mencionar uno de los principios básicos del Control Interno: "un control no deberí­a tener un costo más elevado que el beneficio que representa su utilización".

Por esta razón entendemos que esta guí­a va a constituir un aspecto fundamental en la búsqueda de las mejores prácticas que las Pymes necesitan para transitar en esta realidad cada vez más competitiva, y donde el principal costo relacionado con el control es no controlar.

Detalles del informe COSOLa finalidad del marco COSO es establecer una definición común del control interno que responda a las necesidades de todas las empresas y otras entidades y definir un modelo o marco de referencia sobre la base del cual las empresas y otras entidades, sin importar su tamaño y naturaleza, puedan evaluar su sistema de control interno.

El informe COSO define "control interno" como un proceso efectuado por el Consejo de Administración, la alta dirección y en "cascada" por, el resto del personal de una organización , diseñado para proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorí­as:

- Eficacia y eficiencia de las operaciones

- Confiabilidad de la información financiera

- Cumplimiento de las leyes y normas que sean aplicables.

Debemos considerar que el cumplimiento de la sección 404 de SOX exige que las organizaciones evalúen la efectividad de los controles internos y los procedimientos para la elaboración de sus reportes financieros en dos importantes niveles que son el control interno a nivel Directivo Control interno a nivel Procedimientos y proceso, transacción y aplicación.

Un lugar lógico para comenzar una evaluación general del control interno es la cúspide -el control interno a nivel de empresa o directivo-.

Esta etapa incluye la revisión de aquellos elementos de los cinco componentes del control interno que tienen un efecto dominante sobre la organización.

Estos componentes o "pilares" del control interno, tal como los detalla COSO son:

-El entorno o ambiente de control es lo que marca la forma de comportamiento de una organización, que influye en la conciencia de control de su personal. Es el fundamento de los demás componentes del control interno, y provee disciplina, estructura e integridad.

COSO dice en otras palabras que las entidades sometidas a un control eficaz se esfuerzan por tener personal competente e inculcan en toda la organización un sentido de integridad y concientización sobre el control.

Por eso expresa también que algunos indicios de un buen Ambiente de Control pueden ser, entre otros, polí­ticas y procedimientos adecuados y un código de conducta escrito que haga incapié en los valores compartidos y el trabajo en equipo para conseguir los objetivos de la entidad".

- La evaluación del riesgo es la identificación y el análisis de los riesgos relevantes que corre la empresa para el logro de sus objetivos, conformando la base para determinar cómo se deben administrar los riesgos. Si bien ya está aprobado el "COSO II" o "COSO ERM" (Enterprise Risk Management o Sistema de Gestión del Riesgo), el enfoque COSO que estamos describiendo se refiere a que las organizaciones deben definir sus objetivos, comprender qué podrí­a suceder que impida alcanzar los mismos en forma razonable (riesgos) y qué decisiones empresarias deben tomarse para mantener estos riesgos de acuerdo a los requisitos de los accionistas.

- Los sistemas de información y comunicación soportan la base para identificar, capturar e intercambiar información en una forma y perí­odo de tiempo que permita al personal cumplir con sus responsabilidades. Los sistemas de información deben identificar, recopilar y comunicar información pertinente en tiempo y forma tal que permitan cumplir a cada empleado con sus responsabilidades.

Estos sistemas de información deben ser funcionales para el suministro de información que permita dirigir y controlar el negocio en forma adecuada.

Asimismo deben permitir manejar no solo datos internos, sino los generados externamente. Debe existir una comunicación eficaz. Debe fluir en todas las direcciones a través de todos los ámbitos de la organización (de arriba hacia abajo, a la inversa y transversalmente). La dirección debe comunicar a sus empleados claramente que las responsabilidades de control han de tomarse en serio. Cada empleado debe conocer qué papel juega dentro la organización y dentro del sistema de control interno y cómo las actividades individuales están relacionadas con el trabajo de los demás. Deben disponer de medios para comunicar la información significativa a los niveles superiores. Debe existir un sistema de comunicación eficaz con terceros (clientes, proveedores, organismos de control y accionistas).

- Las Actividades de Control son las polí­ticas y los procedimientos que deben seguirse para tener certeza que las instrucciones de la gerencia con relación a sus riesgos y controles. Las Actividades de Control se distribuyen a lo largo y a lo ancho de la organización, en todos los niveles y funciones. Incluyen un amplio abanico de actividades diversas tales como: aprobaciones, autorizaciones, verificaciones, conciliacio-nes, revisiones de rentabilidad operativa, salvaguarda de activos, segregación de funciones, etc.

- Monitoreo o Supervisión es un proceso llevado a cabo para verificar la calidad de desempeño del control interno a través del tiempo. Se realiza a través de a) supervisión continuada (desarrollada por las jefaturas, gerencias, dirección como recurso habitual de su responsabilidad frente a sus funciones y al control interno), y b) evaluaciones periódicas puntuales (principalmente mediante la actuación de la auditorí­a interna, pero también de la externa y otras revisiones dirigidas). Las deficiencias o debilidades de control interno detectadas deberán ser notificadas a niveles superiores, y la alta dirección deberá estar informada de los hallazgos significativos.

Trabajando con un marco como el descripto, se logra unificar en primera medida el concepto de Control Interno e inmediatamente los objetivos del control interno. Y es que resulta necesario comprender que Control Interno no constituye un objetivo en si mismo, sino que es un medio para alcanzar los objetivos organizacionales.

Por dicha razón diremos de aquí­ en más que los objetivos de un adecuado control interno según COSO son:

• Eficiencia y Eficacia en las Operaciones: se entiende por EFICACIA la capacidad de alcanzar las metas y/o resultados propuestos. En tanto EFICIENCIA debe ser interpretado como la capacidad de producir el máximo de resultados con el mí­nimo de recursos, energí­a y tiempo; se refiere básicamente a los objetivos empresariales de rendimiento y rentabilidad y salvaguarda de los recursos.
• Confiabilidad en la Información generada por la organización. El enfoque pide la elaboración y publicación de Estados Contables confiables. Además, se refiere a estados contables intermedios (trimestrales) y toda otra información que deba ser publicada según los requerimientos de la SEC. Abarca también la información de gestión de uso interno de interés para la Dirección y terceros.
• Cumplimiento de la ley, normativa y regulaciones aplicables a la organización. COSO instruye su cumplimiento ("compliance") a fin de evitar efectos perjudiciales para la reputación de la organización, contingencias, otros eventos de pérdidas y demás consecuencias negativas. 

Carlos F. Rozen

Socio de Auditorí­a Interna y Procesos

BDO-Becher y Asoc. S.R.L.