1 http://www.samantilla.com contenidos originales Enero 22 de 2011 CONTROL INTERNO BASADO-EN-PRINCIPIOS COSO emitió el pasado 19 de diciembre de 2011, para discusión pública, su propuesta de 1 actualización para su bien conocido documento Control Interno – Estructura conceptual integrada . Tal propuesta es necesaria y bienvenida. Es importante aceptarla y aplicarla en las nuevas condiciones de las organizaciones, si bien también será necesario analizarla a la luz de otras perspectivas, sobre todo las que se están dando fuera del mundo de los contadores/auditores y de las empresas/negocios. Por efectos prácticos a la propuesta se le denomina Estructura 2012 (se espera que sea emitida finalmente en el otoño de 2012) y al documento original Estructura 1992. La propuesta, que estará en discusión pública hasta el 31 de marzo de 2012, está contenida en tres documentos: (1) Resumen ejecutivo; (2) Control interno – Estructura conceptual integrada; y (3). Preguntas para retroalimentación. Pueden descargarse, en inglés, en http://www.coso.org. También está disponible una presentación en PowerPoint sobre el particular. La propuesta insiste en que es una actualización de la Estructura 1992 luego de veinte años de aplicación de la misma y, principalmente, por efecto del impacto que los cambios en la tecnología tiene en las organizaciones. Por consiguiente, mantiene los mismos objetivos y componentes del control interno. Hace, eso sí, modificaciones significativas en la redacción y presentación, que buscan hacerla más acorde para las necesidades del presente. Los siguientes son los cambios más importantes a través de todas las áreas de la Estructura 2012: 1. Aplica un enfoque basado-en-principios 2. Aclara el rol que la definición de objetivos tiene en el control interno 3. Refleja la relevancia incrementada de la tecnología 4. Fortalece los conceptos de gobierno 5. Amplía la categoría presentación de reportes, de los objetivos 6. Fortalece la consideración de las expectativas contra el fraude 7. Considera los diferentes modelos de negocio y estructuras organizacionales Hacer en este artículo un análisis detallado de todo lo anterior supera las posibilidades del mismo. 1 COSO. Control interno – Estructura conceptual integrada. Ecoe ediciones: Bogotá, 2003 (tercera edición, tercera reimpresión). (http://www.ecoeediciones.com). [Citada aquí como: Estructura 1992]. 2 Voy a referirme, de manera particular a los cambios principales que se busca introducir con la Estructura 2012 en relación con la aplicación de un enfoque basado-en-principios: La Estructura actualizada presta mayor atención a los principios. Si bien la versión de 1992 de manera implícita reflejó los principios centrales del control interno, la versión del 2012 de manera explícita señala diez y siete principios, los cuales representan los conceptos fundamentales asociados con los componentes del control interno. Esos principios continúan siendo amplios dado que tienen la intención de que apliquen a las compañías con ánimo de lucro, incluyendo las que se negocian públicamente y las organizaciones privadas; entidades sin ánimo de lucro; cuerpos del gobierno; y otras organizaciones. Respaldando cada principio están los atributos, los cuales representan las características asociadas con los principios, en conjunto, los principios y los atributos comprenden los criterios que le ayudarán a la administración a valorar si la entidad tiene un control interno 2 efectivo. La siguiente tabla permite observar los principios que se ha propuesto corresponden a cada componente del control interno: Componente Principios Ambiente de control 1. La organización demuestra el compromiso para con la integridad y los valores éticos. 2. La junta de directores demuestra independencia ante la administración y ejerce vigilancia para el desarrollo y ejecución del control interno. 3. La administración establece, con la vigilancia de la junta, las estructuras, líneas de presentación de reporte, y las autoridades y responsabilidades apropiadas en la búsqueda de los objetivos. 4. En alineación con los objetivos la organización demuestra el compromiso para atraer, desarrollar, y retener personas competentes. 5. En la búsqueda de los objetivos la organización tiene personas responsables por sus responsabilidades de control interno. Valoración del riesgo 6. La organización especifica los objetivos con suficiente claridad para permitir la identificación y valoración de los riesgos relacionados con los objetivos. 7. La organización identifica los riesgos para el logro de sus objetivos a través de la entidad y analiza los riesgos como la base para determinar cómo deben ser administrados los riesgos. 8. En la valoración de los riesgos para el logro de los objetivos la organización considera el potencial por el fraude. 9. La organización identifica y valora los cambios que de manera importante podrían impactar al sistema de control interno. 2 COSO. Internal Control – Framework. Draft for Public Exposure. (Author: PwC). December 2011.Pg. 140. (Disponible en: http://www.coso.org). [Citada aquí como: Estructura 2012]. http://www.samantilla.com 3 Actividades de control 10. La organización selecciona y desarrolla las actividades de control que contribuyan a la mitigación, a niveles aceptables, de los riesgos para el logro de los objetivos. 11. La organización selecciona y desarrolla las actividades de control generales sobre la tecnología para respaldar el logro de los objetivos. 12. La organización despliega las actividades de control tal y como se manifiestan en las políticas que establecen lo que se espera y en los procedimientos relevantes para llevar a cabo esas políticas. Información y comunicación 13. La organización obtiene o genera y usa información de calidad, relevante, para respaldar el funcionamiento de los otros componentes del control interno. 14. La organización comunica internamente la información, incluyendo los objetivos y responsabilidades para el control interno, necesaria para respaldar el funcionamiento de los otros componentes del control interno. 15. La organización se comunica con terceros en relación con las materias que afectan el funcionamiento de los otros componentes del control interno. Monitoreo de las actividades 16. La organización selecciona, desarrolla, y lleva a cabo evaluaciones continuas y/o separadas para comprobar si los componentes del control interno están presentes y están funcionando. 17. La organización evalúa y comunica las deficiencias del control interno, haciéndolo de una manera oportuna, a las partes responsables por realizar la acción correctiva, incluyendo la administración principal y la junta de directores, según sea apropiado. Queda la duda de si realmente son ‘principios’ o se trata de ‘pre-condiciones’. Si se trata de ‘principios’, su articulación es bastante pobre habida cuenta que los limitan a cada componente y se trataría de ‘principios de cada componente del control interno’ y no de ‘principios del control interno’. Esta parece que fuera una diferencia sutil pero realmente tiene bastante fondo y, sobre todo, consecuencias a la hora de la implementación. Entiendo que realmente se trata de ‘pre-condiciones’ y ello es entendible dado que la Estructura 2012, sin mencionarlo de manera explícita, en términos generales lo que busca es que se garanticen unas condiciones previas que permitan afirmar la existencia del control interno: lo que denomina definición de objetivos como condición previa para el control interno. Uno de los méritos de la estructura conceptual de control interno que publicó COSO en 1992 fue la 3 introducción de la que he denominado ‘tercera generación del control interno’ . La Estructura 2012 se mantiene dentro de ella pero realmente no aporta nada nuevo. Intenta avanzar pero realmente no hace cambios de fondo. 3 Mantilla B., Samuel A. Auditoría del control interno – Segunda edición. Ecoe Ediciones: Bogotá, 2009, p.34ss. (http://www.ecoeediciones.com). http://www.samantilla.com 4 Vale la pena repetir aquí algo que ya incluí en otra publicación: La segunda generación del control interno utilizó el término ‘procedimientos de control interno’ para referirse a los siguientes: (1) segregación de funciones; (2) ejecución de las transacciones; (3) registro de transacciones; (4) acceso a los bienes; y (5) comprobación física de existencia. La tercera generación ha ido mucho más lejos y su centro de atención está no tanto en los procedimientos sino en los principios que rigen todo el proceso. La denominación ‘basado-en-principios’ ya es de carácter técnico. Su principal sinónimo es ‘estructura conceptual’ (framework) y de hecho corresponde a un entendimiento del control interno en términos de sistemas (elementos, relaciones, procesos, objetivos). Esto hace parte de un fenómeno que se está dando en el mundo de las finanzas y particularmente en contabilidad (información financiera), auditoría (aseguramiento) y control interno: la búsqueda de justificaciones conceptuales para las prácticas aceptadas. Ello ha implicado cambios importantes, entre los cuales se destaca, en contabilidad, el pasar de un sistema basado-en-normas (legales, profesionales, técnicas) de carácter nacional (PCGA) hacia un sistema basado-en-principios (económicos, financieros) de alcance internacional (IFRS). Y en auditoría, el paso desde un sistema de atestación (muestreo selectivo) hacia un sistema de aseguramiento (administración de riesgos). El control interno hace parte de ese conjunto y por eso la incorporación de principios se ha convertido en asunto prioritario: la sola práctica acostumbrada no es suficiente y es necesario saber cuáles son los objetivos que se están buscando. ¿Cuáles son, entonces, los principios rectores del control interno? No es fácil responder a esta pregunta. Un análisis de los distintos criterios y estructuras conceptuales más importantes permite señalar los siguientes siete principios del control interno: (1) segregación de funciones; (2) autocontrol; (3) desde arriba-hacia-abajo; (4) costo menor que beneficio; (5) eficacia; (6) confiabilidad, y 4 (7) documentación. En consecuencia, de acuerdo con mi entender, la Estructura 2012 mantiene el enfoque básico de la Estructura 1992 pero realmente no lo actualiza aunque, debe resaltarse, tiene el gran mérito de colocar sobre la mesa que tanto el entendimiento como la aplicación del control interno debe ser basada-en-principios. 4 Mantilla B., Samuel A. Op. Cit. Pp. 43.44. Las páginas siguientes explican cada uno de esos principios. http://www.samantilla.com 5 Sin embargo, no es suficiente que ‘considere’ los diferentes modelos de negocio y estructuras organizacionales: … Los modelos y las estructuras de negocio han evolucionado durante los últimos veinte años, y muchas entidades ahora amplían sus modelos de negocio para abarcar adicionalmente el uso de partes externas para proporcionar los productos o servicios necesarios para la operación continua de la entidad. El panorama competitivo, la globalización, los cambios dinámicos en la industria y tecnológicos, los modelos de negocio que evolucionan, la competencia por el talento, la administración del costo, y otros factores han requerido que la administración mire más allá de las operaciones internas para tener acceso a los recursos que necesita… … Esta confianza en las partes externas ha cambiado toda la cadena de valor y los canales a través de los cuales se entrega el valor. Las organizaciones pueden aplicar este enfoque mediante un modelo de servicios compartidos, tercerización, spin-off o negocios conjuntos, u otro enfoque. Cualquiera que sea el enfoque que se tome, el concepto de una organización virtual – una organización que incluye actividades administradas tanto interna 5 como externamente – es un atributo de prácticamente cada empresa de negocios. ¿Y el cumplimiento con SOA? Con el argumento de las necesidades cambiantes alrededor de la presentación de reportes, amplía el componente relacionado con éstos más allá de la información financiera e incluye la presentación de reportes externos e internos, e incluso la información no-financiera. 6 Esta ampliación del componente es una vieja insistencia del autor de la Estructura 2012 (PwC ) pero puede convertirse en el ‘talón de Aquiles’ de la misma, habida cuenta que se ‘olvida’ de Sarbanes-Oxley. La Ley Sarbanes-Oxley, promulgada en Estados Unidos en el año 2002, se constituyó en el referente mundial para las nuevas prácticas de gobierno corporativo y auditoría de la información financiera. Diferenció claramente tres niveles del control interno: 1. La estructura y los procedimientos de control interno 2. Los controles internos contables 3. Los controles internos ‘certificables’ (por los ejecutivos que firman). Igualmente exigió que la administración sea responsable tanto por implementar el control interno (con base en un criterio de control), como por valorar tal implementación y someter tal valoración a 7 atestación por parte del auditor independiente, que es la auditoría del control interno. Con base en ello, la US-PCAOB, a través del AS-2 prácticamente puso como ‘condición’ el uso de la estructura conceptual integrada emitida por COSO, y mediante el AS-5 definió claramente el ‘enfoque’: basado-en-riesgos, desde arriba-hacia-abajo, controles a nivel de la entidad. 5 Estructura 2012, pp. 140ss 6 Ecckes et al. The Value Reporting Revolution. Moving Beyond the Earning Game. John Wiley & Sons: New York, 2001. 7 SEC. Commission Guidance Regarding Management’s Report on Internal Control Over Financial Reporting Under Section 13(a) or 15(d) of the Securities Exchange Act of 1934: Final Rule (June 27, 2007). http://www.samantilla.com 6 La clave de ese conjunto es la limitación a la ‘información financiera’ (en realidad: estados financieros publicados). Por consiguiente, la ampliación que propone la Estructura 2012 se ‘olvida’ de principios que ya están aceptados, así las ‘prácticas’ y la aplicación de las regulaciones se estén aplazando para las entidades pequeñas. Tales ‘principios’ (o regulaciones) de SOA, sobre el tema que nos ocupa, 8 están incorporados en la Octava Directiva de la Unión Europea. En consecuencia, los efectos prácticos de esta ampliación a la estructura conceptual integrada del control interno podrán verse bastante reducidos. La única ventaja acá es que la Estructura 2012 mantiene los mismos objetivos y componentes del control interno que tenía la Estructura 1992. Este ‘olvido’ muy seguramente puede deberse a las distintas corrientes que hay al interior de COSO reflejadas principalmente en el entendimiento de los ‘riesgos’ y las acciones frente a los mismos. Así como COSO publicó la estructura de control interno, también publicó la estructura de ERM, que son las mismas pero son distintas. E igualmente, así como publicó el 19 de diciembre de 2012 la Estructura 2012 que se está comentando, el 20 de enero de 2012 publicó el documento Enterprise Risk Management – Understanding and Communicating Risk Apetite. No extraña, entonces, que el prefacio a la Estructura 2012 diga de manera expresa: Este proyecto fue comisionado por COSO, que está dedicada a proporcionar liderazgo en el pensamiento mediante el desarrollo de estructuras comprensivas y orientación sobre control interno, administración del riesgo de la empresa, y disuasión del fraude, diseñadas para mejorar el desempeño y la vigilancia organizacionales y para reducir la extensión del 9 fraude en las organizaciones. Lo relacionado con el fraude sigue siendo, entonces, una tarea por desarrollar y habrá que verse cómo evoluciona. El prefación mencionado se refiere a tres estructuras conceptuales: (1) de control interno (que es la que se está comentando aquí); (2) de administración de riesgos de la empresa (ya desarrollada y en aplicación); y (3) de fraude (que estaría por ser desarrollada). Los principios y la ética del liderazgo En los comentarios anteriores subyace algo que tiene mucho mayor fondo y se refiere a la relación entre los principios y la ética del liderazgo. Tal y como lo reconoce la Estructura 2012, es necesario incorporar, de manera explícita, aspectos que hoy son centrales para el control interno, principalmente los relacionados con el fraude y el gobierno corporativo, que deben ser evaluados como riesgos derivados del ambiente de control. La Estructura 1992 no fue suficientemente explícita en ello y permitió, de alguna manera, que no se le prestara suficiente atención. 8 Directiva Europea sobre Auditoría Estatutaria – Directiva 2006/43/CE del Parlamento Europeo y del Consejo del 17 de mayo de 2006 relativa a la auditoría legal de las cuentas anuales y de las cuentas consolidadas, por la cual se modifican las Directivas 78/660/CEE y 83/349/CEE del Consejo y se Deroga la Directiva 84/253/CEE del Consejo. 9 Estructura 2012, p. 7. http://www.samantilla.com 7 Sin embargo, como la Estructura 2012 señala de manera inequívoca que la ‘definición de objetivos’ es condición previa para el control interno, los problemas éticos fundamentales (el ‘tono desde lo alto’) quedan en un lugar secundario. En otros contextos, no de la profesión contable, hay voces autorizadas que están reclamando mayor atención a estos asuntos. Sobresale, sin lugar a dudas, el análisis que Mick Fryer ha 10 realizado alrededor de la relación que hay entre los principios y la ética del liderazgo : La teoría de la ética basada-en-principios sostiene que la acción moralmente correcta es la acción que es consistente con la aplicación de ciertos principios. Por consiguiente, con el fin de explorar los desafíos morales asociados con el liderazgo, tenemos que considerarlos en relación con esos principios. La ética basada-en-principios está caracterizada por un compromiso universalista: los principios que definen la conducta ética generalmente se considera que aplican a todas las personas. También tienden a basarse en una ontología moral objetivista: la creencia de que ciertos principios morales tienen valor ya sea que nos demos cuenta o no. La ética basada-en-principios es entonces contrastada con las teorías que perciben la moralidad como culturalmente relativa o como un asunto de selección individual, y que la tarea de la filosofía moral se entiende que es identificar esos principios universales, objetivos, que definen la legitimidad ética. Para esta tarea se han acogido muchos enfoques. Es bastante común clasificar esas teorías en relación con la extensión en la cual despliegan un carácter consecuencialista o no-consecuencialista. La teoría consecuencialista juzga el valor moral de un acto en relación con las consecuencias que trae consigo. Se centra en lo deseable de los estados de las cosas, proponiendo que las acciones son moralmente correctas o equivocadas en la medida en que promueven o quitan mérito a esos estados de las cosas. De acuerdo con el consecuencialismo, la manera como se logran esos resultados es de menor importancia al juzgar el valor moral: las consecuencias tienen primacía en la evaluación moral, de manera que el valor moral de ciertos fines justifica los medios adoptados para lograrlos. La teoría no-consecuencialismo, de otro modo, ve al valor moral como intrínseco para una acción. Propone que ciertos tipos de acción llevan intrínsecamente lo correcto o lo equivocado independiente de las consecuencias que generen. Mientras que la teoría del consecuencialismo se centra en los fines de la acción ética, la teoría no-consecuencialista presta particular atención a los medios adoptados para lograr esos fines. En los negocios y en la administración de las organizaciones ya está claro que el centro de atención no está en los resultados (consecuencialismo) sino en los procesos (noconsecuencialismo). Por consiguiente, el imperativo actual para el liderazgo (léase: gobierno corporativo) está en los procesos. La Estructura 1992 ya había intuido lo relacionado con los procesos y por esa razón definió al control interno como: Un proceso, efectuado por la junta de directores de la entidad, la administración y otro personal, diseñado para proporcionar seguridad razonable en relación con el logro de los objetivos en las siguientes categorías: (1) efectividad y eficiencia de las operaciones; (2) confiabilidad de la presentación de reportes; y (3) cumplimiento de las leyes y regulaciones 11 aplicables. 10 Fryer, Mick. Ethics and Organizational Leadership. Developing a Normative Model. Oxford University Press: Oxford, 2011, pp. 37ss. 11 Estructura 1992, p. 4 http://www.samantilla.com 8 La Estructura 2012 mantiene la misma definición, resalta que los procesos de la organización no solamente son los internos sino todos los de la cadena de valor (tercerización, negocios conjuntos, servicios compartidos, etc.). Esta actualización recoge el entendimiento actual de las organizaciones como ‘empresa extendida’, pero no realiza avances de fondo en esta dirección. Como su insistencia está en la perspectiva de la ‘evaluación de la efectividad del control interno’ (léase: la perspectiva de las profesiones de los contadores y auditores), entonces deja a éstos con una deuda en un mundo donde lo justificable no es suficiente con estructuras prácticas o de general aceptación. Queda, por lo tanto, todavía por desarrollarse el control interno basado en principios. Porque éstos son realmente muy diferentes de las pre-condiciones. El riesgo de fraude El principio 8, propuesto por la Estructura 2012, señala: “En la valoración de los riesgos para el logro de los objetivos la organización considera el potencial por el fraude”. Tal principio hace parte del componente valoración del riesgo y de manera específica lo denomina 12 ‘Valora el riesgo de fraude’ . La orientación que sobre ello señala dice expresamente: La valoración del riesgo incluye la valoración que la administración hace respecto de los riesgos relacionados con la salvaguarda de los activos de la entidad y la presentación fraudulenta de reportes. Además, la administración considera los posibles actos de corrupción, tanto por la entidad como por partes externas, que de manera directa impactan la capacidad de la entidad para lograr sus objetivos. Las acciones que se realicen como parte de la aplicación de este principio están vinculadas de manera estrecha con los principios precedentes (vea: Identifica y valora los riesgos), mediante los cuales se identifican y valoran los riesgos relacionados con el logro de los objetivos. Este principio valora los riesgos con base en la presunción de que la administración, el otro personal y los proveedores de servicios tercerizados se adhieren a los estándares de conducta ética que se esperan de la entidad. Este principio, Valore el riesgo de fraude, valora el riesgo en un contexto diferente, cuando la acciones de las 13 personas puede no estar alineada con los estándares de conducta que se esperan. Seguidamente detalla la orientación en relación con: (1) presentación fraudulenta de reportes; (2) salvaguarda de los activos. Dedica una sección específica a la corrupción: Además de valorar los riesgos relacionados con la salvaguarda de los activos y la presentación fraudulenta de reportes, la administración considera la posible corrupción que ocurra dentro de la entidad. Esto incluye considerar los incentivos y las presiones para lograr objetivos mientras que se demuestra adherencia a los estándares de conducta que se esperan y el efecto del ambiente de control, de manera específica las acciones vinculadas con el Principio 4 (Demuestra compromiso para con la competencia), y el 12 Estructura 2012, p. 65. 13 Estructura 2012, p. 65. http://www.samantilla.com 9 Principio 5 (Hace forzosa la accountability). Al valorar la posible corrupción, no se espera que la entidad de manera directa dirija las acciones del personal de las organizaciones que son terceros, incluyendo las relacionas con operaciones tercerizadas, clientes, proveedores, o asesores. Sin embargo, dependiendo del nivel de riesgo valorado dentro de este componente, la administración puede estipular el nivel esperado de desempeño y los estándares de conducta a través de las relaciones contractuales, y desarrollar las actividades de control que mantengan la vigilancia de las acciones de los terceros. Cuando sea necesario, la administración 14 responde ante las acciones inusuales que se detecten en otros. Y luego detalla orientación en relación con: (1) oportunidad, actitudes y racionalización; (2) otras consideraciones en la valoración del riesgo de fraude (especialmente riesgo de fraude del estado financiero). Como expediente práctico, en la valoración del riesgo de fraude para el logro de los objetivos la 15 organización: Considera los diversos tipos en los cuales pueda darse el fraude Considera los factores de riesgo Valora los incentivos y las presiones Valora las oportunidades Valora las actitudes y las racionalizaciones Sin embargo, en el contexto del componente del ambiente de control, afirma: El tono es impactado por la conducta personal de la administración y de la junta de directores, incluso cuando el comportamiento no afecte de manera directa el logro de los objetivos de la organización. Considérese, por ejemplo, el efecto adverso de las prácticas fraudulentas o cuestionables, tales como uso de información privilegiada, indiscreciones personales, carencia de receptividad frente a las noticias malas, o prácticas de compensación injustamente desbalanceadas que podrían incentivar la conducta inapropiada. En contraste, una historia de comportamiento ético y responsable por la administración y por la junta de directores envía un mensaje fuerte en respaldo de la 16 integridad… Como parte de las actividades de la junta de directores en relación con la valoración del riesgo, anota: Revisar y comentar sobre la valoración que la administración hace respecto del logro de los objetivos, incluyendo el impacto potencial de los cambios importantes (e.g., riesgos 17 asociados con el ingreso a un nuevo mercado), y el fraude. Refiriéndose a las ‘presiones’, señala: Esas presiones, que adicionalmente son impactadas por el entorno interno o externo, pueden motivar positivamente a las personas para que satisfagan las expectativas de 14 Estructura 2012, p. 67. 15 Estructura 2012, p. 73. 16 Estructura 2012, p. 28. 17 Estructura 2012, p. 34. http://www.samantilla.com 10 conducta y desempeño, tanto en el corto como en el largo plazo. Sin embargo, bajo presión pueden causar que los empleados eludan los procesos o realicen actividad fraudulenta o 18 corrupción. Refiriéndose a la vigilancia que debe realizar la junta de directores, señala que: La junta de directores guía, dirige y revisa el desarrollo y el desempeño del sistema de control interno: ... Valoración del riesgo – Revisar y comentar sobre la valoración que la administración hace respecto de los riesgos al logro de los objetivos, incluyendo el impacto potencial de 19 los cambios importantes, el fraude, y el que la administración eluda el control interno… Si bien podría decirse que la Estructura 2012 se inserta en la ética no-consecuencialista (vincula el proceso de valoración del riesgo con el logro de los objetivos), lo hace de manera tímida (o mejor, práctica) porque precisa que la alineación es cuando las acciones de las personas puedan no estar alineadas con los estándares de conducta que se esperan. Ello hace que lo relacionado con el fraude siga siendo marginal, no un problema central a atacar. Otras propuestas han insistido en que si bien el fraude y la corrupción son realidades en las organizaciones del presente, que hacen que sea creciente el riesgo de fraude y corrupción, con costos cada vez más elevados, es necesario buscar estrategias para evitar y minimizar el impacto del fraude y la corrupción, lo que conduce a construir una empresa que tenga capacidad de 20 recuperación. Parece que COSO no se está dando cuenta de los esfuerzos ‘alternativos’ que están realizando algunos miembros de COSO, como se refleja en el documento conjunto de 21 IIA/AICPA/ACFE sobre administración del riesgo de fraude en los negocios , o el modelo GRC de la OCEG, con un fuerte ingrediente en tecnología y una orientación clara al desempeño basado-en22 principios. A manera de síntesis Estamos ad portas de una actualización de la estructura conceptual integrada de control interno publicada por COSO, actualización que es necesaria y bienvenida. Atrás se presentaron unos comentarios relacionados exclusivamente con uno de los cambios importantes que introduce la Estructura 2012 en relación con la Estructura 1992. Queda por analizar el resto del conjunto. Lo que sí está claro es que los cambios en las organizaciones, en particular, y en el contexto 18 Estructura 2012, p. 45. 19 Estructura 2012, p. 48. 20 Bishop y Hydoski. Capacidad de recuperación empresarial. Administración del creciente riesgo de fraude y corrupción. Ecoe ediciones: Bogotá, 2010. 21 IIA-AICPA-ACFE. Managing the Business Risk of Fraud. 2008. (Disponible en: http://www.acfe.com/uploadedFiles/ACFE_Website/Content/documents/managing-businessrisk.pdf). 22 OCEG. GRC Capability Model – “Red Book” 2.0. Open Compliance & Ethics Group (Disponible en http://www.oceg.org). http://www.samantilla.com 11 amplio de los negocios y de la sociedad global, en general, se han acelerado y han generado situaciones completamente diferentes a las del pasado. Incluso se vislumbran transformaciones aún más sorprendentes a las cuales será necesario estar atentos. En lo relacionado con el control interno basado-en-principios, debe tenerse bien claro que, en la actualidad, si no se utiliza ese enfoque se está ante prácticas completamente obsoletas. Sin embargo, es un enfoque que todavía necesita ser desarrollado con mayor profundidad, habidas las conceptualizaciones y prácticas que se están dando ‘fuera del mundo de los contadores’. No cabe duda que la clave está en cómo se vinculan los principios con la ética del liderazgo. Necesariamente habrá que volver sobre estos temas y ahondar en la búsqueda de soluciones. Vea mi blog en: http://www.samantilla.com (Suscríbase para que pueda recibir en su correo mis posts) Sígame en Twitter: @SAMantilla1 http://www.samantilla.com