www.pwc.com/mx Punto de Vista Otra mirada hacia los problemas de información financiera Propuesta para la actualización al Marco de Control Interno de COSO, y sus documentos de apoyo: Compendio y Herramientas Ilustrativas Panorama General De un vistazo En 2011, el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO por sus siglas en inglés) propuso la actualización a su marco de control interno, el que se ha complementado en 2012 con dos documentos de apoyo a los usuarios, un compendio y las herramientas ilustrativas. El Marco actualizado eventualmente sustituirá al vigente desde 1992, adoptado por la mayoría de las compañías para el diseño, implementación y mantenimiento de los sistemas de control interno. COSO tiene planeado publicar la versión final del Marco actualizado, Compendio y Herramientas ilustrativas en el primer trimestre de 2013. Aun no se ha especificado una fecha de inicio de vigencia o de un período de transición para su adopción ya que continúan las discusiones con los reguladores y otros participantes sobre esto. Los detalles principales El Marco actualizado de COSO tiene el objetivo de mejorar su facilidad de uso en los negocios, ahora en constante cambio, cada vez más complejos, impulsados por la tecnología, negocios globales y ambientes operativos. El marco actualizado ha tomado en cuenta los comentarios recibidos al proyecto propuesto por parte de los distintos interesados. Por ello, se ha complementado con un Compendio y con las Herramientas Ilustrativas. El Compendio muestra los principios del Marco actualizado en el contexto de los objetivos externos de la información financiera. Los enfoques y ejemplos de cada principio están diseñados para mostrar cómo aplicar los componentes y principios en una organización en el contexto de la información financiera externa. Esto no pretende mostrar las mejores prácticas, ni un conjunto completo de controles para una organización. Las herramientas ilustrativas, contienen templates y escenarios para ayudar a los usuarios del Marco actualizado a evaluar la eficacia de un sistema de control interno con base en los requerimientos establecidos por el Marco actualizado. 2 A continuación, destacamos los cambios más notables en el Marco actualizado, incluyendo los requerimientos establecidos para un control interno efectivo, y sus documentos complementarios. Se destacan las consideraciones clave para las organizaciones, incluyendo la transición al marco actualizado. Los puntos clave Cambios notables con respecto al marco de control interno original Los ambientes de negocio, operación y regulatorios han cambiado dramáticamente desde la emisión original de COSO. El Marco actualizado no modifica los conceptos básicos del marco original, sino que se basa en la eficacia del mismo mediante (1) la formalización de los conceptos fundamentales de sus cinco componentes en 17 principios, (2) considerar los cambios en los negocios, operación y regulatorios, y (3) ampliar el objetivo de la información financiera. El objetivo original de la información financiera se ha ampliado para incluir otras formas importantes de la información, con lo que se amplía su clasificación en sub -categorías de la información financiera y no financiera, interna y externa para cumplir los requerimientos y expectativas del usuario y accionista. Los cinco componentes de COSO y los diecisiete principios que se aplican a todas las categorías de objetivos. Cambios significativos en el Marco actualizado El Marco actualizado se enfoca en los principios y atributos del documento “Control Interno de COSO de 2006 sobre la Información Financiera- Guía para las compañías públicas pequeñas”, el cual proporciona una guía detallada para los usuarios en el diseño y la evaluación de la efectividad del control interno. El Marco actualizado retiene la definición básica y los cinco componentes del control interno. Una de las mejoras más significativas es la expresión de los conceptos que se describen en el Marco original como 17 principios. Estos principios ayudarán a los usuarios a un mejor entendimiento del control interno efectivo. También creemos que los principios y puntos de enfoque ayudarán a las organizaciones a alcanzar sus objetivos, mitigar el riesgo a niveles aceptables, y la adaptación a los cambios en los ambientes de negocio, operación y regulatorio. 3 Se establece que un sistema eficaz de control interno reduce, a un nivel aceptable, el riesgo de no alcanzar un objetivo relacionado con una, dos o las tres categorías (operaciones, información, o cumplimiento). El control interno efectivo requiere que cada uno de los cinco componentes del control interno y los principios relevantes estén presentes y funcionen. La eficacia también requiere que los cinco componentes funcionen de manera integrada. Por su parte, la administración emitirá su juicio sobre los puntos relevantes del enfoque en la selección y el desarrollo de los controles que cumplen con los principios en toda la entidad. El marco actualizado no requiere que se seleccionen y desarrollen ciertos controles para que los principios estén presentes y funcionando. Esa decisión es una decisión de juicio de la administración. El Marco actualizado presume que todos los principios son relevantes, pero permite a la administración determinar la relevancia basada en sus circunstancias particulares. Una vez que la administración determina cuáles principios son pertinentes, éstos deben estar presentes y en funcionamiento para sostener un control interno efectivo. Asimismo, se actualiza la clasificación de las deficiencias de control interno en dos niveles: (i) las deficiencias mayores y (ii) la deficiencia de control interno. Cuando un componente o principio relevante no se considera presente y en funcionamiento, o cuando los componentes no funcionan eficazmente de forma integral, existe una "deficiencia mayor". El marco actualizado establece que una entidad no puede concluir que se ha cumplido con los requerimientos de control interno eficaz cuando existe una deficiencia mayor. La clasificación de una deficiencia de control interno se aplica a todas las categorías de objetivos, no sólo la información financiera. El esquema de la clasificación de los tres niveles incluido en la versión anterior de COSO se alineaba estrechamente con los requerimientos de las normas para la evaluación de la magnitud de las deficiencias de control interno de la información financiera. 4 El marco actualizado y su Compendio reconoce que los reguladores y los organismos que emiten normas particulares, establecen sus propios criterios para evaluar la magnitud de las deficiencias de control interno. Compendio Muchas organizaciones han aplicado el marco original para cumplir con los requerimientos de los reguladores en mantener un sistema eficaz de control interno sobre la información financiera. El Compendio ilustra cómo los principios establecidos en el Marco actualizado pueden ser aplicados para diseñar e implementar el control interno sobre la información financiera externa. Se proporcionan uno o varios ejemplos de implementación para las entidades que preparan los estados financieros para propósitos externos. Se ilustran también uno o más puntos de vista sobre un principio particular. Estos ejemplos no están diseñados para proporcionar una visión de extremo a extremo de cómo un principio (incluyendo todos los puntos de enfoque) puede aplicarse plenamente en la práctica. El Compendio es relevante para los usuarios requeridos por un regulador para informar públicamente sobre la eficacia de su sistema de control interno sobre la información financiera con base a lo establecido por el marco original. Creemos que el Compendio proporciona una guía útil sobre la aplicación del marco actualizado para cumplir con los objetivos de la información financiera externa de la entidad. Herramientas ilustrativas Las herramientas ilustrativas tienen como objetivo proporcionar una guía a los usuarios en la evaluación de la eficacia de un sistema de control interno basándose en los requerimientos establecidos en el Marco actualizado. Se incluyen templates de apoyo para la evaluación de los componentes y principios relevantes. Estos templates se pueden modificar para reflejar las circunstancias particulares (por ejemplo, los objetivos especificados de la información financiera y sub-objetivos, alcance de aplicación, o la estructura de la organización) y los procesos de evaluación de cualquier entidad. 5 Las Herramientas ilustrativas incluyen escenarios que ilustran una evaluación de la eficacia de un sistema de control interno como sigue: 1. si un sólo componente y principios relevantes están presentes y en funcionamiento y 2. si los cinco componentes existen, funcionan y operan de una manera integrada. Las Herramientas ilustrativas apoyan el uso del marco actualizado pero no son de aplicación requerida. ¿Por dónde empezar ? Las compañías deben empezar por revisar el Marco Actualizado, Compendio y las Herramientas Ilustrativas propuestas. Para los usuarios del marco original, el marco actualizado está diseñado para mejorar, facilitar el uso y ampliar la aplicación del mismo. El marco actualizado también puede proporcionar más información sobre el control interno efectivo o ampliar su aplicación a otros objetivos. Para las compañías públicas en el mercado de valores de Estados Unidos requeridas a cumplir con los requerimientos de la Sección 404 (a) o (b) de la Sarbanes-Oxley no se espera que el marco actualizado cambie sustancialmente su proceso de evaluación del control interno sobre la información financiera. Sin embargo, las administraciones de tales compañías deben comenzar a evaluar la aplicación de los 17 principios y cómo los componentes funcionan juntos en sus circunstancias. No creemos que los principios y la consideración de los puntos correspondientes del enfoque impongan un umbral más alto para un sistema eficaz de control interno… 6 Transición al nuevo Marco Actualizado de COSO COSO espera que el marco actualizado sustituya, en una fecha futura, al marco original y que su Compendio sustituya al documento de “Control Interno de COSO de 2006 sobre la Información Financiera- Guía para las Compañías públicas pequeñas”. El marco original continuará siendo vigente cuando se emita el marco final actualizado hasta que se que sea claro que la transición en el mercado se ha completado de forma sustancial. COSO reconoce que diferentes aplicaciones del marco actualizado y las circunstancias afectarán la medida del tiempo necesario para que los usuarios reflejen la aplicación del marco actualizado en su documentación relacionada. Los usuarios obligados a informar sobre la efectividad del control interno deben monitorear la posición que establezcan los reguladores y emisores de normas aplicables para atender a los requerimientos para la transición al marco actualizado. COSO está evaluando alternativas para la transición al marco actualizado. Se espera que el período de transición sea suficiente para que las organizaciones puedan evaluar sus sistemas existentes de control interno en comparación con el marco actualizado. Creemos que un período de uno a dos años debería ser suficiente para que los usuarios hagan la transición del marco original al marco actualizado. Esto debería permitir dar tiempo suficiente para que los usuarios evalúen si el efecto de los controles existentes afecta todos los principios pertinentes y que los componentes existentes estén funcionando de forma integrada, o bien determinar nuevos controles o las modificaciones necesarias. Reciban un cordial saludo, Javier Buzo Álvarez Socio Líder de Auditoría 7 Punto de Vista es una publicación especializada de la práctica de Auditoría de PwC México. www.pwc.com/mx El propósito del contenido de este documento es servir únicamente como guía general sobre algunos temas de interés. La aplicación y efecto de la ley puede variar, dependiendo de los datos específicos incluidos. Debido a la naturaleza cambiante de las leyes, reglas y regulaciones es probable que exista alguna omisión o imprecisión en la información aquí contenida. Este documento se distribuye bajo el entendido de que los autores y editores no están obligados a proporcionar asesoría legal, contable, fiscal o servicios profesionales de ningún otro tipo. No debe utilizarse como sustituto de la asesoría directa de profesionales en contabilidad, impuestos, aspectos legales o de otra índole. Antes de tomar cualquier decisión o medida le aconsejamos consultar a un profesional de PwC México. Aunque hicimos todo lo posible para garantizar que la información contenida en este documento procediera de fuentes confiables, PwC México no se hace responsable de ningún error, omisión o de resultados obtenidos a partir del uso de dicha información. Toda la información de este documento se proporciona “como aparece” en la fuente original, sin ninguna garantía de integridad, precisión, exactitud o responsabilidad de los resultados obtenidos a partir del uso de la misma; sin ningún otro tipo de garantía, expresa o implícita, incluyendo y sin limitarse a garantías de desempeño, comercialización y conveniencia para alcanzar un objetivo específico. En ningún caso PwC México, sus empresas/firmas afiliadas, socios, agentes o empleados serán responsables de cualquier decisión o medida aplicada por usted u otra persona basándose en la información de este documento, así como de ningún daño o perjuicio resultante, específico o similar, incluso si se incluyera una notificación sobre la posibilidad de dicho daño. © 2012 PricewaterhouseCoopers, S.C. Todos los derechos reservados. PwC se refiere a la firma miembro en México y algunas veces se puede referir a la red de PwC. Cada firma miembro es una entidad legal independiente. Para obtener información adicional, favor de consultar: www.pwc.com/structure. Elaborado por MPC: 121206_PG_PuntoVistaCOSO_JBA 8