NORMA COSO

NORMA COSO

La norma Coso es un informe de control interno que publica el Instituto de Auditores Internos de España en colaboración con la empresa de auditoría Coopers & Lybrand. En control interno lo último que ha habido es el informe COSO (Sponsoring Organizations of the Treadway Commission), -comenta- que es denominado así, porque se trata de un trabajo que encomendó el Instituto Americano de Contadores Públicos, la Asociación Americana de Contabilidad, el Instituto de Auditores Internos que agrupa a alrededor de cincuenta mil miembros y opera en aproximadamente cincuenta países, el Instituto de Administración y Contabilidad, y el Instituto de Ejecutivos Financieros. Ha sido hecho para uso de los consejos de administración de las empresas privadas en España y en los países de habla hispana. Ahí se resume muy bien lo que es control interno, los alcances, etc.

El Presidente Ejecutivo doctor Salas Chaves manifiesta que el tema es muy importante y debe ser incorporado dentro del programa de capacitación para los gerentes, para que sea un manual de consultas en los hospitales.

EFECTIVIDAD

Los sistemas de control interno de entidades diferentes operan con diferentes niveles de efectividad. En forma similar, un sistema en particular puede operar en forma diferente en tiempos diferentes. Cuando un sistema de control interno alcanza una calidad razonable, puede ser “efectivo”.

El control interno puede ser juzgado efectivo, si el consejo de Administración y la Gerencia tiene una razonable seguridad de que:

Se conoce el grado en que los objetivos y metas de las operaciones de las entidades están siendo alcanzados.

Los informes financieros están siendo preparados con información confiable.

Se están observando las leyes y los reglamentos aplicables.

Dado que el control interno es un proceso, su efectividad es un estado o condición del mismo en un punto en el tiempo. Determinar si un sistema de control interno en particular es “efectivo: es un juicio subjetivo resultante de una evaluación de si los cinco componentes mencionados están presentes y funcionando con efectividad. Su funcionamiento efectivo da la seguridad razonable, en cuanto al logro de los objetivos de uno o más de los logros citados. De esta manera, estos componentes constituyen también criterios para

Un control interno efectivo.

A pesar de que los cinco criterios deben ser adecuados, esto no significa que cada componente deba funcionar idénticamente o al mismo nivel, en entidades diferentes. Puede haber algunos ajustes entre ellos dado que los controles pueden obedecer a una variedad de propósitos, aquellos incorporados a un componente en que previenen un riesgo en particular, sin embargo en combinación con otros pueden lograr un efecto de conjunto satisfactorio.

MARCO INTEGRADO DE CONTROL

De acuerdo al marco COSO, el control interno consta de cinco componentes relacionados entre sí. Estos derivarán de la manera en que la Dirección dirija la

Unidad y estarán integrados en el proceso de dirección. Los componentes serán los mismos para todas las Organizaciones (sean públicas o privadas) y dependerá del tamaño de la misma la implantación de cada uno de ellos.

Los componentes son:

1. Ambiente de control

2. Evaluación de riesgos

3. Actividades de control

4. Información y comunicación

5. Supervisión y seguimiento del sistema de control.

El control interno, no consiste en un proceso secuencial, en donde algunos de los componentes afectan sólo al siguiente, sino en un proceso multidireccional repetitivo y permanente, en el cual más de un componente influye en los otros.

Los cinco componentes forman un sistema integrado que reacciona dinámicamente a las condiciones cambiantes.

1. Ambiente de Control

El estudio del COSO establece a este componente como el primero de los cinco y se refiere al establecimiento de un entorno que estimule e influencie las actividades del personal con respecto al control de sus actividades.

Es en esencia el principal elemento sobre el que se sustentan o actúan los otros cuatro componentes e indispensables, a su vez, para la realización de los propios

2. EVALUACION DE RIESGOS

El segundo componente del control, involucra la identificación y análisis de riesgos relevantes para el logro de los objetivos y la base para determinar la forma en que tales riesgos deben ser manejados. Asimismo, se refiere a los mecanismo necesarios para identificar y manejar riesgos específicos asociados con los cambios, tanto los que influyen en el entorno de la Organización como

en el interior de la misma.

Para lo anterior, es indispensable primeramente el establecimiento de objetivos tanto a nivel global de la Organización como al de las actividades relevantes, obteniendo con ello una base sobre la cual sean identificados y analizados los factores de riesgos que amenazan su oportuno cumplimento.

La evaluación, o mejor dicho la autoevaluación de riesgo debe ser una responsabilidad ineludible, para todo los niveles que están involucrados en el

Logro de los objetivos.

3. ACTIVIDADES DE CONTROL

Las actividades de control son aquellas que realiza la Gerencia y demás personal de la Organización para cumplir diariamente con actividades asignadas. Estas actividades están relacionadas con las políticas, sistemas y procedimientos principalmente. Ejemplo de estas actividades son aprobación, autorización, verificación, conciliación, inspección, revisión de indicadores de rendimiento.

También la salvaguarda de los recursos, la segregación de funciones, la supervisión y la capacitación adecuada.

Las actividades de control tienen distintas características. Pueden ser manuales o computarizadas, gerenciales u operacionales, general o específicas, preventivas o detectivas.

Sin embargo, lo trascendente es que sin importar su categoría o tipo, todas ellas estén apuntando hacia los riesgos (reales o potenciales) en beneficio de la Organización, su misión y objetivos, así como a la protección de los recursos.

Las actividades de control son importantes no sólo porque en sí mismas implican la forma “correcta” de hacer las cosas, sino debido a que son el medio idóneo de asegurar en mayor grado el logro de los objetivos y estos sí que tiene mayor relevancia que hacer las cosas de forma “correcta”.

Control de los sistemas de información:

Los sistemas están diseñados en toda la Empresa y todos ellos atienden a uno o más objetivos de control. Por ello conviene reflexionar este punto.

De manera más amplia se considera que existen controles generales y controles de aplicación sobre los sistemas de información.

Controles Generales

Tienen como propósito asegurar una operación y continuidad adecuada, e incluyen el control sobre el centro de procesamiento de datos y su seguridad física, contratación y mantenimiento del hardware y software, así como la operación propiamente dicha. También lo relacionado con las funciones de desarrollo y mantenimiento de sistemas, soporte técnico, administración de base de datos y otros.

Controles de aplicación

Están dirigidos hacia el “interior” de cada sistema y funcionan para lograr el procesamiento, integridad y confiabilidad de la información, mediante la autorización y validación correspondiente. Desde luego estos controles incluyen las aplicaciones destinadas a interrelacionarse con otros sistemas de los que reciben o entregan información.

Información

Es obvio que para poder controlar una Empresa y tomar decisiones correctas respecto a la obtención, uso y aplicación de los recursos, es necesario disponer de información adecuada y oportuna ciertamente los estados financiero constituyen una parte importante de esa información. Su contribución es incuestionable.

Sin embargo, mi primera reflexión sería que la información contable tiene fronteras. Ni se puede usar para todo, ni se puede esperar todo de ella. Esto puede parecer evidente, pero hay quienes piensan que la información de los estados financieros pudiera ser suficiente para tomar decisiones acerca de una Empresa.

Con frecuencia se pretende evaluar la situación actual y predecir la situación futura sólo con base en la información contable. Este enfoque simplista, por su parcialidad, sólo puede conducir a juicios equivocados.

Para todos los efectos, es preciso estar conscientes que la contabilidad nos dice en parte lo que ocurrió pero no lo que va a suceder en el futuro. Por otro lado, en ocasiones la información no financiera constituye la base para la toma de ciertas decisiones, pero igualmente resulta insuficiente para la adecuada conducción de una Empresa.

4. INFORMACION Y COMUNICACION

Consecuentemente la información pertinente debe ser identificada, capturada, procesada y comunicada al personal en forma y dentro del tiempo indicado, de forma tal que le permita cumplir con sus responsabilidades. Los sistemas producen reportes conteniendo información operacional, financiera y de cumplimiento que hace posible conducir y controlar la Organización.

Todo el personal debe recibir un claro mensaje de la Alta Gerencia de sus responsabilidades sobre el control así como la forma en que las actividades individuales se relacionan con el trabajo

...