EL COSO Y SU CONTRIBUCIÓN A LA TOMA DE DECISIONES EN LA ORGANIZACIÓN YESENIA ANGÉLICA MORENO Trabajo de grado presentado como requisito para optar al título de Especialista en Alta Gerencia Directora: PAULA COLORADO ORDOÑEZ UNIVERSIDAD MILITAR NUEVA GRANADA FACULTAD DE ESTUDIOS A DISTANCIA ESPECIALIZACIÓN EN ALTA GERENCIA BOGOTÁ, COLOMBIA 2017 2 Resumen El control interno para las organizaciones se ha convertido en la forma de mitigar los riesgos a los que se ve expuesta, es por ello que el Committee of Sponsoring Organizations of the Tradeway Comission (COSO), permite establecer un marco de referencia para implementar actividades para la gestión y control de un Sistema de Control Interno, para enfocarse en conocer la madurez de un sistema, con el fin de identificar oportunidades de mejora para fortalecerlo y que la toma de decisiones sea asertiva y enfocada al mejoramiento continuo de la organización. Por lo anterior, la toma de decisiones estará enfocada en evidencias que permiten ser analizadas para mejorar los procesos y prevenir la mala conducta o fraude, dado que al momento en que las organizaciones quieran establecer la madurez del sistema, podrán aplicar metodología para definir escalas de madurez y establecer planes de mejoramiento para mitigar los riesgos que puedan impactar la estrategia. Por lo tanto, el objetivo del presente ensayo es describir el marco de control interno realizado por COSO para detallar que cada uno de los componentes estén presentes y funcionando en la organización. Su importancia se puede ver reflejada al momento en que una organización toma como referencia el marco integrado de control interno elaborado por COSO, puesto que fortalece el gobierno corporativo, las políticas y procedimientos que emanan de su actividad económica, permitiendo de esta manera establecer actividades de operación y sus objetivos estratégicos. Palabras claves: Gobierno, Riesgo, Control, Fraude, ambiente de control, evaluación de riesgos, información y comunicación y monitoreo. 3 Abstract Internal control for organizations has become a way to mitigate the risks to which it is exposed. This is why the Committee of Sponsoring Organizations of the Trader Comission (COSO) provides a frame of reference for implementing activities to The management and control of an Internal Control System, to focus on knowing the maturity of a system, in order to identify improvement opportunities to strengthen it and that the decision making is assertive and focused on the continuous improvement of the organization. Therefore, decision-making will be focused on evidence that can be analyzed to improve processes and prevent misconduct or fraud, since at the moment when organizations want to establish the maturity of the system, they can apply methodology to define scales of Maturity and establish improvement plans to mitigate risks that may impact the strategy. Therefore, the objective of this essay is to describe the internal control framework performed by COSO to detail that each of the components are present and functioning in the organization. Its importance can be seen reflected in the moment in which an organization takes as reference the integrated framework of internal control developed by COSO, since it strengthens the corporate governance, the policies and procedures that emanate of its economic activity, allowing in this way to establish activities of Operation and its strategic objectives. Keywords: Government, Risk, Control, Fraud, control environment, risk assessment, information and communication and monitoring. 4 Introducción Las organizaciones pensando en su mejora continua y competitividad deberán tomar decisiones basadas en evidencias, que permitan establecer planes de mejoramiento para lograr los objetivos estratégicos, por ello y como buena práctica el marco al cual se enfoca COSO permite implementar un sistema de control interno para prevenir riesgos y asegurar eficiencia y eficacia de los controles, con el fin de lograr la visión de la organización, es por ello que varias organizaciones han implementado este marco, teniendo en cuenta su misión y tomando como punto de partida “Proporcionar liderazgo intelectual a través del desarrollo de marcos generales y orientaciones sobre la Gestión del Riesgo, Control Interno y Disuasión del Fraude, diseñado para mejorar el desempeño organizacional y reducir el alcance del fraude en las organizaciones” (Deloitte, 2015, p. 6), enmarcando la importancia que desde el Gobierno Corporativo se debe dar para fortalecer el ambiente de control, dado que desde este componente se establece el tono de la organización, es decir, las políticas y procedimientos que se deben llevar a cabo para el logro de los objetivos estratégicos, estableciendo controles para evitar la materialidad de los riesgos. Es por ello que las organizaciones optan por realizar un diagnóstico para conocer el estado de madurez del sistema que han implementado en la organización; por ello se describirá cada uno de los componentes que contiene este marco para detallar de manera practica la metodología establecida por COSO y el aporte de esta para la mejora en el logro de la estrategia y para salvaguardar los recursos. 5 Historia El marco integrado de control interno que ha creado COSO tiene una trayectoria, dado que en el año 2013 realizó una actualización, por lo cual es necesario conocer por que fue creado, COSO fue organizado en 1985 para patrocinar la Comisión Nacional de Informes Financieros Fraudulentos, una iniciativa independiente del sector privado que estudió los factores causales que pueden conducir a informes financieros fraudulentos. También desarrolló recomendaciones para las empresas públicas y sus auditores independientes. El objetivo de COSO es proporcionar un liderazgo de pensamiento que se ocupe de tres temas interrelacionados: gestión del riesgo empresarial (ERM), control interno y disuasión del fraude. En cuanto al control interno, en 1992, el COSO publicó Control Interno - Marco Integrado. Este marco fue revisado y reeditado en mayo de 2013. A partir del 15 de diciembre de 2014, el marco de 1992 se sustituye y ya no está disponible (COSO, 2013). De acuerdo a su historia y buen nombre, es un marco que aplican las organizaciones y en las cuales capacitan las diferentes firmas de consultoría y asesoría internacional como son Deloitte & Touche, PwC, EY, entre otras, para fortalecer la metodología aplicada. Marco de referencia COSO 2013 COSO realizó actualización del marco de control interno para el año 2013, creando para cada uno de los componentes, principios y puntos de enfoque para que la implementación y diagnóstico de madurez del mismo se pudiera establecer de una manera práctica, para con ello identificar brechas del sistema de control interno, y aunque se hable de control interno este marco es aplicable a cualquier sistema que la organización quiera implementar, ejemplo: sistema de gestión de la calidad Organización internacional de Estandarización (ISO) 9001:2015, sistema de seguridad de la información ISO/ Comisión electrotécnica internacional (IEC) 27001:2013, Norma técnica sectorial Colombiana (NTC)-TS 002 Sostenibilidad Turística, entre otros, dado que cada sistema tiene unos focos que al planear, hacer, verificar y actuar encontramos que tienen elementos en común, por lo cual permite que desde el marco que propone COSO se pueda identificar el estado de madurez del mismo con el fin de que las organizaciones tengan mayor cobertura para realizar 6 el análisis y posterior toma de decisiones, basados en información trazable y proactiva realizada por las tres líneas de defensa que componen la organización, es decir, en la primera línea de defensa estarán los procesos que son dueños de los riesgos y son los que deben diseñar e implementar controles para evitar la materialidad de los mismos, y el impacto en la estrategia de la organización, la segunda línea de defensa se encuentran los procesos que son transversales y que apoyan a todos los procesos como son: proceso de riesgo, proceso de seguridad de la información, proceso de calidad, proceso de seguridad física, entre otros, y la tercera línea de defensa que realizará monitoreo continuo se encuentra la auditoria interna, externa y los entes de control. Lo anterior para asegurar la eficacia y eficiencia de los controles para salvaguardar los recursos de la organización. Lo anterior permite establecer que al contar con un marco de control interno y cada uno de sus componentes se segregan funciones que permiten evitar riesgos de fraude y corrupción al interior de la organización y genera conciencia en cada uno de los que hacen parte de ella. Marco Integrado de Control Interno Este marco integrado apoya al Gobierno Corporativo, a los grupos de interés y demás partes interesadas que puedan interactuar con la organización para desarrollar de manera eficiente y efectiva sistemas de control interno que se adapten a los cambios que pueda tener la organización de manera estratégica u operacional, con el fin de mitigar riesgos hasta niveles aceptables, es decir hasta lo definido en el apetito de riesgo establecido por la alta gerencia, el cual apalanca la toma de decisiones. Debido a los constates cambios, dinamismo y evolución en temas de negocio a nivel mundial el sistema de control interno de una organización, más que contar con políticas y procedimientos requiere de un criterio profesional para establecer el nivel de control con que cuenta la organización, es por ello que desde la dirección y hasta el último nivel de cargo en la organización es necesario que tengan criterio para diseñar, gestionar, realizar seguimiento y gestionar controles que permitan mitigar el impacto, para el logro de los objetivos estratégicos. 7 Para las organizaciones y su Gobierno Corporativo este marco integrado proporciona:  Un medio para que cualquier organización independiente de su actividad y estructura aplique el control interno,  su enfoque detalle principios que son flexibles en su implementación y permite el criterio profesional para diseñar y gestionar el control interno,  Determina requisitos para un sistema de control interno efectivo para establecer si este se encuentra funcionando y si todos los que hacen parte de la organización interactúan con él,  Permite establecer un método para identificar y analizar los riesgos con un enfoque más hacia la mitigación de riesgos y mala conducta,  Permite identificar ineficiencias o actividades traslapadas entre los diferentes procesos que existen con el fin de salvaguardar los recursos de la organización (PwC, 2013). Por lo anterior, cuando los grupos de interés externos y demás partes interesadas interactúen, tendrán mayor confianza por la supervisión y el compromiso que se evidencia desde el Gobierno Corporativo y que este por sus diferentes manera de sensibilización del sistema de control interno implementado permeen en los colaboradores la responsabilidad de mantener presente y funcionando los componentes del modelo integrado de control interno, los cuales son: ambiente de control, evaluación de riesgos, actividades de control, información y comunicación y monitoreo. Como parte de la edición del marco 2013 COSO estableció “principios y puntos de enfoque con el objetivo de ampliar y actualizar los conceptos de control interno previamente planteado sin dejar de reconocer los cambios en el entorno empresarial y operativo” (Deloitte, 2015, p.7). Estos principios y puntos de enfoque son establecidos para identificar controles gerenciales para conseguir la estrategia y que deben estar en cabeza de cada dueño y equipo de trabajo, dado que un sistema no es responsabilidad de uno solo sino es un pensamiento sistémico el cual “contempla el todo y las partes, así como las conexiones entre las partes y estudia el todo para poder comprender las partes” (Palacios, 2014, p. 1), permitiendo con ello escuchar los aportes y análisis que cada uno los colaboradores o equipo de trabaja realiza para lograr la estrategia. 8 Componentes Ambiente de control Establece el tono de la alta dirección a través de la aplicación de principios éticos contenidos en el Código de Conducta y Buen Gobierno que rigen a todos los Colaboradores dentro de una organización e influencia la conciencia de control. Evaluación de riesgos Incluye las actividades relacionadas con la identificación, evaluación y aseguramiento de los objetivos y sus riesgos en los procesos. Actividades de control La administración establece las actividades de control a través de políticas y procedimientos para mitigar los riesgos con impacto potencial en los objetivos. Estas actividades se desarrollaron en las diferentes etapas de los procesos y cubre el entorno tecnológico. Información y comunicación Establece mecanismos para asegurar que la información relevante es identificada y comunicada de manera adecuada y oportuna y que se reciben, interpretan y procesa información proveniente de fuentes tanto interna como externa. Monitoreo Es la evaluación de la efectividad del Control Interno en los procesos y la organización en general, realizada por auditoría interna o externa, revisoría fiscal o entes de control, con el fin de asegurar la eficiencia y eficacia de los controles establecidos para mitigar el riesgo inherente. 9 Figura 1 Componentes modelo integrado 2013. Por Deloitte, 2015 Para detallar el concepto de cada uno de los componentes mencionados nos podemos apoyar en el libro creado por COSO del año 2013, el cual traducido al idioma español por medio del Instituto de Auditores Internos de España con el apoyo de PwC de España. (PwC, 2013). Principios Los principios establecidos en el marco integrado de control interno son elementales para evaluar la efectividad de cada componente y es necesario que operen de manera conjunta, permitiendo identificar de una manera práctica como medir o diagnosticar si se encuentran presentes y funcionando, generando alertar para la mejora continua del sistema.  Principio 1: Demostrar compromiso con la integridad y valores éticos. 10  Principio 2: El consejo de administración ejerce su responsabilidad de supervisión del control interno.  Principio 3: Establecimiento de estructuras, asignación de autoridades y responsabilidades.  Principio 4: Demuestra su compromiso de reclutar, capacitar y retener personas competentes.  Principio 5: Retiene a personal de confianza y comprometido con las responsabilidades de control interno.  Principio 6: Se especifican objetivos claros para identificar y evaluar riesgos para el logro de los objetivos.  Principio 7: Identificación y análisis de riesgos para determinar cómo se deben mitigar.  Principio 8: Considerar la posibilidad del fraude en la evaluación de riesgos.  Principio 9: Identificar y evaluar cambios que podrían afectar significativamente el sistema de control interno.  Principio 10: Selección y desarrollo de actividades de control que contribuyan a mitigar los riesgos a niveles aceptables.  Principio 11: La organización selecciona y desarrolla actividades de controles generales de tecnología para apoyar el logro de los objetivos.  Principio 12: La organización implementa las actividades de control a través de políticas y procedimientos.  Principio 13: Se genera y utiliza información de calidad para apoyar el funcionamiento del control interno.  Principio 14: Se comunica internamente los objetivos y las responsabilidades de control interno.  Principio 15: Se comunica externamente los asuntos que afectan el funcionamiento de los controles internos. Actividades  Principio 16: Se lleva a cabo evaluaciones sobre la marcha y por separado para determinar si los componentes del control interno están presentes y funcionando.  Principio 17: Se evalúa y comunica oportunamente las deficiencias del control interno a los responsables de tomar acciones correctivas, incluyendo la alta administración y el consejo de administración (Buzo, 2014). 11 Tabla 1 Relación entre componentes y principios del Marco Integrado de Control Interno Ambiente de control Evaluación de riesgos Actividades de control Información y comunicaciones Monitoreo 1. La organización demuestra compromiso con la integridad y los valores éticos. 2. Promueve vigilancia objetiva e independiente. 3. Establece estructura, autoridad y responsabilidad. 4. Demuestra compromiso por ser competente. 5. Refuerza la responsabilidad última sobre el control interno. 6. Especifica objetivos adecuados 7. Gestión de riesgos. 8. Considera el riesgo de fraude. 9. Identifica y analiza cambios significativos. 10. Selecciona y desarrolla actividades de control. 11. Selecciona y desarrolla controles generales de TI. 12. Despliega controles a través de políticas y procedimientos. 13. Usa información relevante. 14. Comunica internamente. 15. Comunica externamente. 16. Conduce evaluaciones propias y/o separadas. 17. Evalúa y comunica deficiencias. Por lo anterior y para aplicación de los 17 principios establecidos para cada componente, se identificaron puntos de enfoque, con el fin de detectar más fácilmente la brecha para mejorar el sistema en una organización. Incluyendo mejoras para facilitar el uso del marco y su aplicación, importante resaltar que tanto los componentes como los principios deberán operar de manera conjunta, generando mejoras, fortaleciendo controles internos, simplificando operación, identificando oportunidades de mejora para mitigar riesgos; así la toma de decisiones estará basada en análisis para lograr la visión establecida como organización. Al aplicar este marco de control interno la toma de decisiones de la organización la podemos definir como responsable, es decir, y como lo menciona “La persona es consciente de la decisión tomada y acepta sus consecuencias” (García, 2015, p. 1), dado que al contar con un sistema de control interno podemos evaluar los riesgos e implementar actividades de control que permitirán establecer un apetito de riesgo donde la organización decidirá si acepta, traslada, mitiga el riesgo, teniendo información útil, trazable y comparable para tomar decisiones con evidencia suficiente y mejorar en lo que se requiere o por el contrario tener expectativa de lo que pueda ocurrir de acuerdo al riesgo a la que se vea expuesta. 12 El control interno de acuerdo a este marco cuenta con elementos y componentes que permiten garantizar el cumplimiento de los principios y objetivos establecidos por la administración en materia de Gobierno, gestión de riesgos y control interno. Las organizaciones siempre van estar expuestas a riesgos, lo importante es analizar y tratar adecuadamente los riesgos, en este caso el componente evaluación de riesgos permite que los dueños de la operación, junto con el apoyo del proceso de riesgo que este creado en la organización, se realice una autoevaluación, la cual permite identificar riesgos, probabilidad de ocurrencia y su impacto, con el fin de fortalecer o diseñar controles que mitiguen el riesgo inherente, dando cubrimiento a los riesgos estratégicos, operativos, de cumplimiento, riesgos de lavado de activos y financiación del terrorismo (Sarlaft), fraude y corrupción, si aplica de mercado, liquidez y crédito, permitiendo obtener un sistema integrado de riesgos y una vista corporativa, para poder identificar no sólo desde el proceso sino a nivel de gobierno corporativo aquellos riesgos que puedan impactar considerablemente a la estrategia de la organización y permita tomar decisiones de acuerdo al apetito de riesgo y establecer controles y responsabilidades, lo anterior para generar compromiso de los dueños de negocio. De acuerdo al tamaño de la organización se contará con un proceso de Auditoría Interna y Revisoría Fiscal y dependiendo de la regulación que aplique por la actividad económica, entes de control; motivo por el cual existe el quinto componente monitoreo que significa seguimiento continuo para asegurar eficiencia y eficacia de los controles para apoyar a la organización a lograr los objetivos. Con lo anterior se podrá determinar de manera detallada cada elemento o actividad, que permita evidenciar la efectividad del sistema implementado, para ser analizada cada una de las brechas y tomar decisiones que permitan mejorar la estructura y estrategia de la organización. Conclusiones 13 Es importante estudiar y entender el Marco Integrado de Control Interno, con el fin de implementarlo de manera que permita evaluar el sistema de control interno que tiene una organización para establecer un diagnóstico y para conocer el estado de madurez con que cuenta la organización, identificando brechas para definir un plan de mejora y socializarlo a todos los que hacen parte de la organización de manera interna y externa. Es necesario establecer si los componentes junto con los principios que se relacionan a cada uno están presente y funcionado en la organización, es decir, están documentados, claro, socializados y sensibilizados al interior de cada colaborador de la organización, con el fin de que cada uno cuente con criterio profesional para diseñar y gestionar controles que mitiguen el impacto de riesgos que puedan llegar impedir el logro de los objetivos estratégicos de una organización Este marco integrado de control interno permite a la organización una adecuada administración de riesgos y controles que permiten salvaguardar los recursos de la organización, y toma de decisiones oportunas. Referencias 14 Buzo, C. J. (02 de 2014). PwC. Obtenido de Pwc Web site: https://www.pwc.com/mx/es/publicaciones/archivo/2014-02-punto-vista.pdf Galaz, Y. R. (2015). Deloitte. Obtenido de Deloitte: https://www2.deloitte.com/content/dam/Deloitte/mx/Documents/risk/COSO-Sesion1.pdf García, A. A. (2012 de agosto de 2015). Obtenido de http://classtic.byethost31.com/etica/undecimo/guia3.Etica11.pdf Palacios, M. T. (3 de abril de 2014). Universidad del valle de México. Obtenido de ingenieria.unam.mx Web site: http://www.ingenieria.unam.mx/sistemas/PDF/Avisos/Seminarios/introMP.pdf PwC, I. d. (2013). Control interno - Marco Integrado. España.