control interno basado-en-principios

1
http://www.samantilla.com
contenidos originales
Enero 22 de 2011
CONTROL INTERNO BASADO-EN-PRINCIPIOS
COSO emitió el pasado 19 de diciembre de 2011, para discusión pública, su propuesta de
1
actualización para su bien conocido documento Control Interno – Estructura conceptual integrada .
Tal propuesta es necesaria y bienvenida. Es importante aceptarla y aplicarla en las nuevas
condiciones de las organizaciones, si bien también será necesario analizarla a la luz de otras
perspectivas, sobre todo las que se están dando fuera del mundo de los contadores/auditores y de
las empresas/negocios.
Por efectos prácticos a la propuesta se le denomina Estructura 2012 (se espera que sea emitida
finalmente en el otoño de 2012) y al documento original Estructura 1992.
La propuesta, que estará en discusión pública hasta el 31 de marzo de 2012, está contenida en
tres documentos: (1) Resumen ejecutivo; (2) Control interno – Estructura conceptual integrada; y
(3). Preguntas para retroalimentación. Pueden descargarse, en inglés, en http://www.coso.org.
También está disponible una presentación en PowerPoint sobre el particular.
La propuesta insiste en que es una actualización de la Estructura 1992 luego de veinte años de
aplicación de la misma y, principalmente, por efecto del impacto que los cambios en la tecnología
tiene en las organizaciones. Por consiguiente, mantiene los mismos objetivos y componentes del
control interno.
Hace, eso sí, modificaciones significativas en la redacción y presentación, que buscan hacerla más
acorde para las necesidades del presente. Los siguientes son los cambios más importantes a
través de todas las áreas de la Estructura 2012:
1. Aplica un enfoque basado-en-principios
2. Aclara el rol que la definición de objetivos tiene en el control interno
3. Refleja la relevancia incrementada de la tecnología
4. Fortalece los conceptos de gobierno
5. Amplía la categoría presentación de reportes, de los objetivos
6. Fortalece la consideración de las expectativas contra el fraude
7. Considera los diferentes modelos de negocio y estructuras organizacionales
Hacer en este artículo un análisis detallado de todo lo anterior supera las posibilidades del mismo.
1
COSO. Control interno – Estructura conceptual integrada. Ecoe ediciones: Bogotá, 2003 (tercera
edición, tercera reimpresión). (http://www.ecoeediciones.com). [Citada aquí como: Estructura
1992].
2
Voy a referirme, de manera particular a los cambios principales que se busca introducir con la
Estructura 2012 en relación con la aplicación de un enfoque basado-en-principios:
La Estructura actualizada presta mayor atención a los principios. Si bien la versión de 1992
de manera implícita reflejó los principios centrales del control interno, la versión del 2012
de manera explícita señala diez y siete principios, los cuales representan los conceptos
fundamentales asociados con los componentes del control interno. Esos principios
continúan siendo amplios dado que tienen la intención de que apliquen a las compañías
con ánimo de lucro, incluyendo las que se negocian públicamente y las organizaciones
privadas; entidades sin ánimo de lucro; cuerpos del gobierno; y otras organizaciones.
Respaldando cada principio están los atributos, los cuales representan las características
asociadas con los principios, en conjunto, los principios y los atributos comprenden los
criterios que le ayudarán a la administración a valorar si la entidad tiene un control interno
2
efectivo.
La siguiente tabla permite observar los principios que se ha propuesto corresponden a cada
componente del control interno:
Componente
Principios
Ambiente de control
1. La organización demuestra el compromiso para con la integridad y
los valores éticos.
2. La junta de directores demuestra independencia ante la
administración y ejerce vigilancia para el desarrollo y ejecución del
control interno.
3. La administración establece, con la vigilancia de la junta, las
estructuras, líneas de presentación de reporte, y las autoridades y
responsabilidades apropiadas en la búsqueda de los objetivos.
4. En alineación con los objetivos la organización demuestra el
compromiso para atraer, desarrollar, y retener personas
competentes.
5. En la búsqueda de los objetivos la organización tiene personas
responsables por sus responsabilidades de control interno.
Valoración del
riesgo
6. La organización especifica los objetivos con suficiente claridad para
permitir la identificación y valoración de los riesgos relacionados
con los objetivos.
7. La organización identifica los riesgos para el logro de sus objetivos
a través de la entidad y analiza los riesgos como la base para
determinar cómo deben ser administrados los riesgos.
8. En la valoración de los riesgos para el logro de los objetivos la
organización considera el potencial por el fraude.
9. La organización identifica y valora los cambios que de manera
importante podrían impactar al sistema de control interno.
2
COSO. Internal Control – Framework. Draft for Public Exposure. (Author: PwC). December
2011.Pg. 140. (Disponible en: http://www.coso.org). [Citada aquí como: Estructura 2012].
http://www.samantilla.com
3
Actividades de
control
10. La organización selecciona y desarrolla las actividades de control
que contribuyan a la mitigación, a niveles aceptables, de los riesgos
para el logro de los objetivos.
11. La organización selecciona y desarrolla las actividades de control
generales sobre la tecnología para respaldar el logro de los
objetivos.
12. La organización despliega las actividades de control tal y como se
manifiestan en las políticas que establecen lo que se espera y en
los procedimientos relevantes para llevar a cabo esas políticas.
Información y
comunicación
13. La organización obtiene o genera y usa información de calidad,
relevante, para respaldar el funcionamiento de los otros
componentes del control interno.
14. La organización comunica internamente la información, incluyendo
los objetivos y responsabilidades para el control interno, necesaria
para respaldar el funcionamiento de los otros componentes del
control interno.
15. La organización se comunica con terceros en relación con las
materias que afectan el funcionamiento de los otros componentes
del control interno.
Monitoreo de las
actividades
16. La organización selecciona, desarrolla, y lleva a cabo evaluaciones
continuas y/o separadas para comprobar si los componentes del
control interno están presentes y están funcionando.
17. La organización evalúa y comunica las deficiencias del control
interno, haciéndolo de una manera oportuna, a las partes
responsables por realizar la acción correctiva, incluyendo la
administración principal y la junta de directores, según sea
apropiado.
Queda la duda de si realmente son ‘principios’ o se trata de ‘pre-condiciones’. Si se trata de
‘principios’, su articulación es bastante pobre habida cuenta que los limitan a cada componente y
se trataría de ‘principios de cada componente del control interno’ y no de ‘principios del control
interno’. Esta parece que fuera una diferencia sutil pero realmente tiene bastante fondo y, sobre
todo, consecuencias a la hora de la implementación.
Entiendo que realmente se trata de ‘pre-condiciones’ y ello es entendible dado que la Estructura
2012, sin mencionarlo de manera explícita, en términos generales lo que busca es que se
garanticen unas condiciones previas que permitan afirmar la existencia del control interno: lo que
denomina definición de objetivos como condición previa para el control interno.
Uno de los méritos de la estructura conceptual de control interno que publicó COSO en 1992 fue la
3
introducción de la que he denominado ‘tercera generación del control interno’ . La Estructura 2012
se mantiene dentro de ella pero realmente no aporta nada nuevo. Intenta avanzar pero realmente
no hace cambios de fondo.
3
Mantilla B., Samuel A. Auditoría del control interno – Segunda edición. Ecoe Ediciones: Bogotá,
2009, p.34ss. (http://www.ecoeediciones.com).
http://www.samantilla.com
4
Vale la pena repetir aquí algo que ya incluí en otra publicación:
La segunda generación del control interno utilizó el término ‘procedimientos de control
interno’ para referirse a los siguientes: (1) segregación de funciones; (2) ejecución de las
transacciones; (3) registro de transacciones; (4) acceso a los bienes; y (5) comprobación
física de existencia.
La tercera generación ha ido mucho más lejos y su centro de atención está no tanto en los
procedimientos sino en los principios que rigen todo el proceso.
La denominación ‘basado-en-principios’ ya es de carácter técnico. Su principal sinónimo es
‘estructura conceptual’ (framework) y de hecho corresponde a un entendimiento del control
interno en términos de sistemas (elementos, relaciones, procesos, objetivos).
Esto hace parte de un fenómeno que se está dando en el mundo de las finanzas y
particularmente en contabilidad (información financiera), auditoría (aseguramiento) y
control interno: la búsqueda de justificaciones conceptuales para las prácticas aceptadas.
Ello ha implicado cambios importantes, entre los cuales se destaca, en contabilidad, el
pasar de un sistema basado-en-normas (legales, profesionales, técnicas) de carácter
nacional (PCGA) hacia un sistema basado-en-principios (económicos, financieros) de
alcance internacional (IFRS).
Y en auditoría, el paso desde un sistema de atestación (muestreo selectivo) hacia un
sistema de aseguramiento (administración de riesgos).
El control interno hace parte de ese conjunto y por eso la incorporación de principios se ha
convertido en asunto prioritario: la sola práctica acostumbrada no es suficiente y es
necesario saber cuáles son los objetivos que se están buscando.
¿Cuáles son, entonces, los principios rectores del control interno?
No es fácil responder a esta pregunta. Un análisis de los distintos criterios y estructuras
conceptuales más importantes permite señalar los siguientes siete principios del control
interno:
(1) segregación de funciones;
(2) autocontrol;
(3) desde arriba-hacia-abajo;
(4) costo menor que beneficio;
(5) eficacia;
(6) confiabilidad, y
4
(7) documentación.
En consecuencia, de acuerdo con mi entender, la Estructura 2012 mantiene el enfoque básico de
la Estructura 1992 pero realmente no lo actualiza aunque, debe resaltarse, tiene el gran mérito de
colocar sobre la mesa que tanto el entendimiento como la aplicación del control interno debe ser
basada-en-principios.
4
Mantilla B., Samuel A. Op. Cit. Pp. 43.44. Las páginas siguientes explican cada uno de esos
principios.
http://www.samantilla.com
5
Sin embargo, no es suficiente que ‘considere’ los diferentes modelos de negocio y estructuras
organizacionales:
… Los modelos y las estructuras de negocio han evolucionado durante los últimos veinte
años, y muchas entidades ahora amplían sus modelos de negocio para abarcar
adicionalmente el uso de partes externas para proporcionar los productos o servicios
necesarios para la operación continua de la entidad. El panorama competitivo, la
globalización, los cambios dinámicos en la industria y tecnológicos, los modelos de negocio
que evolucionan, la competencia por el talento, la administración del costo, y otros factores
han requerido que la administración mire más allá de las operaciones internas para tener
acceso a los recursos que necesita…
… Esta confianza en las partes externas ha cambiado toda la cadena de valor y los
canales a través de los cuales se entrega el valor. Las organizaciones pueden aplicar este
enfoque mediante un modelo de servicios compartidos, tercerización, spin-off o negocios
conjuntos, u otro enfoque. Cualquiera que sea el enfoque que se tome, el concepto de una
organización virtual – una organización que incluye actividades administradas tanto interna
5
como externamente – es un atributo de prácticamente cada empresa de negocios.
¿Y el cumplimiento con SOA?
Con el argumento de las necesidades cambiantes alrededor de la presentación de reportes, amplía
el componente relacionado con éstos más allá de la información financiera e incluye la
presentación de reportes externos e internos, e incluso la información no-financiera.
6
Esta ampliación del componente es una vieja insistencia del autor de la Estructura 2012 (PwC )
pero puede convertirse en el ‘talón de Aquiles’ de la misma, habida cuenta que se ‘olvida’ de
Sarbanes-Oxley.
La Ley Sarbanes-Oxley, promulgada en Estados Unidos en el año 2002, se constituyó en el
referente mundial para las nuevas prácticas de gobierno corporativo y auditoría de la información
financiera. Diferenció claramente tres niveles del control interno:
1. La estructura y los procedimientos de control interno
2. Los controles internos contables
3. Los controles internos ‘certificables’ (por los ejecutivos que firman).
Igualmente exigió que la administración sea responsable tanto por implementar el control interno
(con base en un criterio de control), como por valorar tal implementación y someter tal valoración a
7
atestación por parte del auditor independiente, que es la auditoría del control interno.
Con base en ello, la US-PCAOB, a través del AS-2 prácticamente puso como ‘condición’ el uso de
la estructura conceptual integrada emitida por COSO, y mediante el AS-5 definió claramente el
‘enfoque’: basado-en-riesgos, desde arriba-hacia-abajo, controles a nivel de la entidad.
5
Estructura 2012, pp. 140ss
6
Ecckes et al. The Value Reporting Revolution. Moving Beyond the Earning Game. John Wiley &
Sons: New York, 2001.
7
SEC. Commission Guidance Regarding Management’s Report on Internal Control Over Financial
Reporting Under Section 13(a) or 15(d) of the Securities Exchange Act of 1934: Final Rule (June
27, 2007).
http://www.samantilla.com
6
La clave de ese conjunto es la limitación a la ‘información financiera’ (en realidad: estados
financieros publicados).
Por consiguiente, la ampliación que propone la Estructura 2012 se ‘olvida’ de principios que ya
están aceptados, así las ‘prácticas’ y la aplicación de las regulaciones se estén aplazando para las
entidades pequeñas. Tales ‘principios’ (o regulaciones) de SOA, sobre el tema que nos ocupa,
8
están incorporados en la Octava Directiva de la Unión Europea.
En consecuencia, los efectos prácticos de esta ampliación a la estructura conceptual integrada del
control interno podrán verse bastante reducidos. La única ventaja acá es que la Estructura 2012
mantiene los mismos objetivos y componentes del control interno que tenía la Estructura 1992.
Este ‘olvido’ muy seguramente puede deberse a las distintas corrientes que hay al interior de
COSO reflejadas principalmente en el entendimiento de los ‘riesgos’ y las acciones frente a los
mismos. Así como COSO publicó la estructura de control interno, también publicó la estructura de
ERM, que son las mismas pero son distintas. E igualmente, así como publicó el 19 de diciembre de
2012 la Estructura 2012 que se está comentando, el 20 de enero de 2012 publicó el documento
Enterprise Risk Management – Understanding and Communicating Risk Apetite.
No extraña, entonces, que el prefacio a la Estructura 2012 diga de manera expresa:
Este proyecto fue comisionado por COSO, que está dedicada a proporcionar liderazgo en
el pensamiento mediante el desarrollo de estructuras comprensivas y orientación sobre
control interno, administración del riesgo de la empresa, y disuasión del fraude, diseñadas
para mejorar el desempeño y la vigilancia organizacionales y para reducir la extensión del
9
fraude en las organizaciones.
Lo relacionado con el fraude sigue siendo, entonces, una tarea por desarrollar y habrá que verse
cómo evoluciona. El prefación mencionado se refiere a tres estructuras conceptuales: (1) de control
interno (que es la que se está comentando aquí); (2) de administración de riesgos de la empresa
(ya desarrollada y en aplicación); y (3) de fraude (que estaría por ser desarrollada).
Los principios y la ética del liderazgo
En los comentarios anteriores subyace algo que tiene mucho mayor fondo y se refiere a la relación
entre los principios y la ética del liderazgo.
Tal y como lo reconoce la Estructura 2012, es necesario incorporar, de manera explícita, aspectos
que hoy son centrales para el control interno, principalmente los relacionados con el fraude y el
gobierno corporativo, que deben ser evaluados como riesgos derivados del ambiente de control. La
Estructura 1992 no fue suficientemente explícita en ello y permitió, de alguna manera, que no se le
prestara suficiente atención.
8
Directiva Europea sobre Auditoría Estatutaria – Directiva 2006/43/CE del Parlamento Europeo y
del Consejo del 17 de mayo de 2006 relativa a la auditoría legal de las cuentas anuales y de las
cuentas consolidadas, por la cual se modifican las Directivas 78/660/CEE y 83/349/CEE del
Consejo y se Deroga la Directiva 84/253/CEE del Consejo.
9
Estructura 2012, p. 7.
http://www.samantilla.com
7
Sin embargo, como la Estructura 2012 señala de manera inequívoca que la ‘definición de objetivos’
es condición previa para el control interno, los problemas éticos fundamentales (el ‘tono desde lo
alto’) quedan en un lugar secundario.
En otros contextos, no de la profesión contable, hay voces autorizadas que están reclamando
mayor atención a estos asuntos. Sobresale, sin lugar a dudas, el análisis que Mick Fryer ha
10
realizado alrededor de la relación que hay entre los principios y la ética del liderazgo :
La teoría de la ética basada-en-principios sostiene que la acción moralmente correcta es la
acción que es consistente con la aplicación de ciertos principios. Por consiguiente, con el
fin de explorar los desafíos morales asociados con el liderazgo, tenemos que considerarlos
en relación con esos principios. La ética basada-en-principios está caracterizada por un
compromiso universalista: los principios que definen la conducta ética generalmente se
considera que aplican a todas las personas. También tienden a basarse en una ontología
moral objetivista: la creencia de que ciertos principios morales tienen valor ya sea que nos
demos cuenta o no. La ética basada-en-principios es entonces contrastada con las teorías
que perciben la moralidad como culturalmente relativa o como un asunto de selección
individual, y que la tarea de la filosofía moral se entiende que es identificar esos principios
universales, objetivos, que definen la legitimidad ética.
Para esta tarea se han acogido muchos enfoques. Es bastante común clasificar esas
teorías en relación con la extensión en la cual despliegan un carácter consecuencialista o
no-consecuencialista. La teoría consecuencialista juzga el valor moral de un acto en
relación con las consecuencias que trae consigo. Se centra en lo deseable de los estados
de las cosas, proponiendo que las acciones son moralmente correctas o equivocadas en la
medida en que promueven o quitan mérito a esos estados de las cosas. De acuerdo con el
consecuencialismo, la manera como se logran esos resultados es de menor importancia al
juzgar el valor moral: las consecuencias tienen primacía en la evaluación moral, de manera
que el valor moral de ciertos fines justifica los medios adoptados para lograrlos. La teoría
no-consecuencialismo, de otro modo, ve al valor moral como intrínseco para una acción.
Propone que ciertos tipos de acción llevan intrínsecamente lo correcto o lo equivocado
independiente de las consecuencias que generen. Mientras que la teoría del
consecuencialismo se centra en los fines de la acción ética, la teoría no-consecuencialista
presta particular atención a los medios adoptados para lograr esos fines.
En los negocios y en la administración de las organizaciones ya está claro que el centro de
atención no está en los resultados (consecuencialismo) sino en los procesos (noconsecuencialismo). Por consiguiente, el imperativo actual para el liderazgo (léase: gobierno
corporativo) está en los procesos.
La Estructura 1992 ya había intuido lo relacionado con los procesos y por esa razón definió al
control interno como:
Un proceso, efectuado por la junta de directores de la entidad, la administración y otro
personal, diseñado para proporcionar seguridad razonable en relación con el logro de los
objetivos en las siguientes categorías: (1) efectividad y eficiencia de las operaciones; (2)
confiabilidad de la presentación de reportes; y (3) cumplimiento de las leyes y regulaciones
11
aplicables.
10
Fryer, Mick. Ethics and Organizational Leadership. Developing a Normative Model. Oxford
University Press: Oxford, 2011, pp. 37ss.
11
Estructura 1992, p. 4
http://www.samantilla.com
8
La Estructura 2012 mantiene la misma definición, resalta que los procesos de la organización no
solamente son los internos sino todos los de la cadena de valor (tercerización, negocios conjuntos,
servicios compartidos, etc.). Esta actualización recoge el entendimiento actual de las
organizaciones como ‘empresa extendida’, pero no realiza avances de fondo en esta dirección.
Como su insistencia está en la perspectiva de la ‘evaluación de la efectividad del control interno’
(léase: la perspectiva de las profesiones de los contadores y auditores), entonces deja a éstos con
una deuda en un mundo donde lo justificable no es suficiente con estructuras prácticas o de
general aceptación.
Queda, por lo tanto, todavía por desarrollarse el control interno basado en principios. Porque éstos
son realmente muy diferentes de las pre-condiciones.
El riesgo de fraude
El principio 8, propuesto por la Estructura 2012, señala: “En la valoración de los riesgos para el
logro de los objetivos la organización considera el potencial por el fraude”.
Tal principio hace parte del componente valoración del riesgo y de manera específica lo denomina
12
‘Valora el riesgo de fraude’ . La orientación que sobre ello señala dice expresamente:
La valoración del riesgo incluye la valoración que la administración hace respecto de los
riesgos relacionados con la salvaguarda de los activos de la entidad y la presentación
fraudulenta de reportes. Además, la administración considera los posibles actos de
corrupción, tanto por la entidad como por partes externas, que de manera directa impactan
la capacidad de la entidad para lograr sus objetivos.
Las acciones que se realicen como parte de la aplicación de este principio están vinculadas
de manera estrecha con los principios precedentes (vea: Identifica y valora los riesgos),
mediante los cuales se identifican y valoran los riesgos relacionados con el logro de los
objetivos. Este principio valora los riesgos con base en la presunción de que la
administración, el otro personal y los proveedores de servicios tercerizados se adhieren a
los estándares de conducta ética que se esperan de la entidad. Este principio, Valore el
riesgo de fraude, valora el riesgo en un contexto diferente, cuando la acciones de las
13
personas puede no estar alineada con los estándares de conducta que se esperan.
Seguidamente detalla la orientación en relación con: (1) presentación fraudulenta de reportes; (2)
salvaguarda de los activos.
Dedica una sección específica a la corrupción:
Además de valorar los riesgos relacionados con la salvaguarda de los activos y la
presentación fraudulenta de reportes, la administración considera la posible corrupción que
ocurra dentro de la entidad. Esto incluye considerar los incentivos y las presiones para
lograr objetivos mientras que se demuestra adherencia a los estándares de conducta que
se esperan y el efecto del ambiente de control, de manera específica las acciones
vinculadas con el Principio 4 (Demuestra compromiso para con la competencia), y el
12
Estructura 2012, p. 65.
13
Estructura 2012, p. 65.
http://www.samantilla.com
9
Principio 5 (Hace forzosa la accountability).
Al valorar la posible corrupción, no se espera que la entidad de manera directa dirija las
acciones del personal de las organizaciones que son terceros, incluyendo las relacionas
con operaciones tercerizadas, clientes, proveedores, o asesores. Sin embargo,
dependiendo del nivel de riesgo valorado dentro de este componente, la administración
puede estipular el nivel esperado de desempeño y los estándares de conducta a través de
las relaciones contractuales, y desarrollar las actividades de control que mantengan la
vigilancia de las acciones de los terceros. Cuando sea necesario, la administración
14
responde ante las acciones inusuales que se detecten en otros.
Y luego detalla orientación en relación con: (1) oportunidad, actitudes y racionalización; (2) otras
consideraciones en la valoración del riesgo de fraude (especialmente riesgo de fraude del estado
financiero).
Como expediente práctico, en la valoración del riesgo de fraude para el logro de los objetivos la
15
organización:
 Considera los diversos tipos en los cuales pueda darse el fraude
 Considera los factores de riesgo
 Valora los incentivos y las presiones
 Valora las oportunidades
 Valora las actitudes y las racionalizaciones
Sin embargo, en el contexto del componente del ambiente de control, afirma:
El tono es impactado por la conducta personal de la administración y de la junta de
directores, incluso cuando el comportamiento no afecte de manera directa el logro de los
objetivos de la organización. Considérese, por ejemplo, el efecto adverso de las prácticas
fraudulentas o cuestionables, tales como uso de información privilegiada, indiscreciones
personales, carencia de receptividad frente a las noticias malas, o prácticas de
compensación injustamente desbalanceadas que podrían incentivar la conducta
inapropiada. En contraste, una historia de comportamiento ético y responsable por la
administración y por la junta de directores envía un mensaje fuerte en respaldo de la
16
integridad…
Como parte de las actividades de la junta de directores en relación con la valoración del riesgo,
anota:
Revisar y comentar sobre la valoración que la administración hace respecto del logro de los
objetivos, incluyendo el impacto potencial de los cambios importantes (e.g., riesgos
17
asociados con el ingreso a un nuevo mercado), y el fraude.
Refiriéndose a las ‘presiones’, señala:
Esas presiones, que adicionalmente son impactadas por el entorno interno o externo,
pueden motivar positivamente a las personas para que satisfagan las expectativas de
14
Estructura 2012, p. 67.
15
Estructura 2012, p. 73.
16
Estructura 2012, p. 28.
17
Estructura 2012, p. 34.
http://www.samantilla.com
10
conducta y desempeño, tanto en el corto como en el largo plazo. Sin embargo, bajo presión
pueden causar que los empleados eludan los procesos o realicen actividad fraudulenta o
18
corrupción.
Refiriéndose a la vigilancia que debe realizar la junta de directores, señala que:
La junta de directores guía, dirige y revisa el desarrollo y el desempeño del sistema de
control interno:
... Valoración del riesgo – Revisar y comentar sobre la valoración que la administración
hace respecto de los riesgos al logro de los objetivos, incluyendo el impacto potencial de
19
los cambios importantes, el fraude, y el que la administración eluda el control interno…
Si bien podría decirse que la Estructura 2012 se inserta en la ética no-consecuencialista (vincula el
proceso de valoración del riesgo con el logro de los objetivos), lo hace de manera tímida (o mejor,
práctica) porque precisa que la alineación es cuando las acciones de las personas puedan no
estar alineadas con los estándares de conducta que se esperan. Ello hace que lo relacionado con
el fraude siga siendo marginal, no un problema central a atacar.
Otras propuestas han insistido en que si bien el fraude y la corrupción son realidades en las
organizaciones del presente, que hacen que sea creciente el riesgo de fraude y corrupción, con
costos cada vez más elevados, es necesario buscar estrategias para evitar y minimizar el impacto
del fraude y la corrupción, lo que conduce a construir una empresa que tenga capacidad de
20
recuperación. Parece que COSO no se está dando cuenta de los esfuerzos ‘alternativos’ que
están realizando algunos miembros de COSO, como se refleja en el documento conjunto de
21
IIA/AICPA/ACFE sobre administración del riesgo de fraude en los negocios , o el modelo GRC de
la OCEG, con un fuerte ingrediente en tecnología y una orientación clara al desempeño basado-en22
principios.
A manera de síntesis
Estamos ad portas de una actualización de la estructura conceptual integrada de control interno
publicada por COSO, actualización que es necesaria y bienvenida.
Atrás se presentaron unos comentarios relacionados exclusivamente con uno de los cambios
importantes que introduce la Estructura 2012 en relación con la Estructura 1992. Queda por
analizar el resto del conjunto.
Lo que sí está claro es que los cambios en las organizaciones, en particular, y en el contexto
18
Estructura 2012, p. 45.
19
Estructura 2012, p. 48.
20
Bishop y Hydoski. Capacidad de recuperación empresarial. Administración del creciente riesgo
de fraude y corrupción. Ecoe ediciones: Bogotá, 2010.
21
IIA-AICPA-ACFE. Managing the Business Risk of Fraud. 2008. (Disponible en:
http://www.acfe.com/uploadedFiles/ACFE_Website/Content/documents/managing-businessrisk.pdf).
22
OCEG. GRC Capability Model – “Red Book” 2.0. Open Compliance & Ethics Group (Disponible
en http://www.oceg.org).
http://www.samantilla.com
11
amplio de los negocios y de la sociedad global, en general, se han acelerado y han generado
situaciones completamente diferentes a las del pasado. Incluso se vislumbran transformaciones
aún más sorprendentes a las cuales será necesario estar atentos.
En lo relacionado con el control interno basado-en-principios, debe tenerse bien claro que, en la
actualidad, si no se utiliza ese enfoque se está ante prácticas completamente obsoletas.
Sin embargo, es un enfoque que todavía necesita ser desarrollado con mayor profundidad, habidas
las conceptualizaciones y prácticas que se están dando ‘fuera del mundo de los contadores’. No
cabe duda que la clave está en cómo se vinculan los principios con la ética del liderazgo.
Necesariamente habrá que volver sobre estos temas y ahondar en la búsqueda de soluciones.
Vea mi blog en: http://www.samantilla.com
(Suscríbase para que pueda recibir en su correo mis posts)
Sígame en Twitter: @SAMantilla1
http://www.samantilla.com