El informe COSO es una metodología para la implementación y la gestión de un sistema de control interno. Con base en el COSO, las entidades pueden diseñar sus propios sistemas de control interno, mediante la identificación de los riesgos que afectan el cumplimiento de los objetivos del control interno, la implementación de medidas para afrontar esos riesgos y la evaluación del cumplimiento de esas medidas.
El COSO consta de 5 componentes, los cuales, a su vez, están asociados a 17 principios que representan los conceptos fundamentales de un sistema de control interno efectivo.
Definición de control interno
El control interno puede definirse como el plan mediante el cual una organización establece principios, métodos y procedimientos que, coordinados y unidos entre sí, buscan proteger los recursos de la entidad, así como prevenir y detectar fraudes y errores dentro de los diferentes procesos desarrollados en la empresa en torno al cumplimiento de los objetivos planteados para determinado tiempo.
Los objetivos del sistema de control interno están dirigidos al logro de los siguientes objetivos fundamentales:
- Proteger los recursos de la organización, buscando su adecuada administración ante posibles riesgos que los afecten.
- Garantizar la eficacia y la eficiencia en todas las operaciones, promoviendo y facilitando la correcta ejecución de las funciones y actividades definidas para el logro de la misión de la organización.
- Velar por que todas las actividades y recursos de la organización estén dirigidos al cumplimiento de los objetivos de la entidad.
- Garantizar la correcta evaluación y seguimiento de la gestión organizacional.
- Asegurar la oportunidad y confiabilidad de la información y de sus registros.
- Definir y aplicar medidas para prevenir los riesgos, así como también detectar y corregir errores que se presenten en la organización que puedan afectar el logro de sus objetivos.
- Garantizar que el sistema de control interno disponga de sus propios mecanismos de verificación y evaluación.
- Velar por que la entidad disponga de procesos de planeación y mecanismos adecuados para el diseño y desarrollo organizacional, de acuerdo con su naturaleza y características.
Los principales responsables de la implementación del sistema de control interno son los encargados del gobierno y de la dirección de la entidad.
El revisor fiscal, por su parte, no tiene responsabilidad alguna respecto de la implementación del sistema de control interno, pero sí tiene la obligación de pronunciarse acerca la efectividad de este sistema. Para ello, es necesario que evalúe el sistema de control interno utilizando un modelo de referencia que, por su reconocido valor, podría ser el modelo COSO.
El COSO está integrado por cinco (5) componentes, a saber:
Los cinco (5) componentes del COSO actúan de forma integrada y sistémica, es decir, cada uno afecta y permite el funcionamiento de los otros. De ahí que la falta de un componente no se pueda mitigar con la existencia de los otros.
Lo anterior quiere decir que las entidades no deben considerar los componentes del COSO como una secuencia, sino como un proceso dinámico e interactivo.
Ambiente de control
El ambiente de control está relacionado con el entorno que existe en la entidad con respecto al control. En otras palabras, con la actitud que adoptan los gerentes, los administradores y los empleados con respecto al control.
La idea es que cuando existe un adecuado ambiente de control en una entidad se tiene una mayor conciencia frente a los riesgos y al establecimiento de controles establecidos en la entidad para mitigar esos riesgos.
Los principios del componente del ambiente de control son los siguientes:
- La organización demuestra compromiso por la integridad y los valores éticos de la entidad.
- La organización ejerce la función de supervisión del funcionamiento de los controles internos.
- La organización establece estructuras, autoridades y responsabilidades en la entidad.
- La organización demuestra compromiso por atraer y retener personal competente, con los conocimientos y habilidades necesarios para desarrollar su cargo.
- La organización hace cumplir las responsabilidades de los empleados con respecto al control interno.
Evaluación de riesgos
El segundo componente del COSO es la evaluación de los riesgos que amenazan el cumplimiento de los objetivos del control interno, a saber: los de operación, los de la información financiera y los de cumplimiento. Esto es fundamental porque al identificar dichos riesgos la entidad puede gestionar la forma en que se deben manejar para prevenir o disminuir su ocurrencia.
Los riesgos son cambiantes, por lo cual la entidad debe implementar los mecanismos necesarios para identificarlos. Este debe ser un proceso continuo y no solo algo que se haga al inicio de la implementación del sistema.
Los principios que deben seguirse en la evaluación de riesgos son los siguientes:
- La organización especifica objetivos para permitir la identificación y valoración de los riesgos.
- La organización identifica y analiza los riesgos.
- La organización evalúa el riesgo de fraude al analizar los riesgos.
- La organización identifica y evalúa los cambios en el sistema de control interno.
Actividades de control
Las actividades de control son las que hayan implementado la administración de la entidad para que los procesos de la entidad se realicen con normalidad, como ejemplos de ellos se tienen las autorizaciones, las inspecciones, la supervisión, la capacitación y los reportes de sistemas de información, entre otros.
Estas actividades de control deben implementarse en todos los niveles de la organización y deben apuntar a los riesgos identificados por la entidad para el cumplimiento de los objetivos de control interno. Si se identifican los riesgos y no se establecen controles adecuados para mitigarlos, el sistema de control interno no tendrá éxito, de la misma forma que si los controles se implementan sin atención a los riesgos que amenazan el cumplimiento de los objetivos.
Los principios de este componente son los siguientes:
- La organización diseña e implementa actividades de control para mitigar los riesgos.
- La organización diseña e implementa controles sobre sus sistemas de información (tecnología).
- La organización implementa políticas y procedimientos para sus actividades de control.
Información y comunicación
Para que el sistema de control interno funcione es necesario que los empleados lo conozcan, por eso la administración debe comunicar de forma clara las responsabilidades de cada empleado con respecto a las actividades de control, así como las sanciones que se derivan de su incumplimiento.
Los principios relacionados con este componente son los siguientes:
- La organización obtiene y genera información relevante para el funcionamiento del control interno.
- La organización comunica internamente información para el funcionamiento del control interno.
- La organización se comunica externamente con terceros respecto a situaciones que afectan el funcionamiento del control interno.
Actividades de monitoreo
Los riesgos, como se menciona anteriormente, son dinámicos, por eso, las actividades de control y todos los demás componentes del sistema del control interno deben evolucionar a la par con ellos.
Por lo anterior, la entidad debe evaluar los cambios en el sistema de control interno debidos tanto a situaciones internas como externas, y comunicar las deficiencias halladas, con el objetivo de implementar acciones de mejora. La implementación de actividades de monitoreo o supervisión permite cumplir con esta tarea.
Los principios de este componente son los siguientes:
- La organización realiza evaluaciones continuas para comprobar si los componentes del sistema de control interno están funcionando adecuadamente.
- La organización comunica las deficiencias del control interno.