COSO en una empresa comercializadora

Auditoría interna está llena de retos, los mercados cambiantes, nuevos modelos de negocio, indicadores que cambian rápidamente, etc., etc., resulta abrumador para definir los planes de trabajo no solo para priorizar sino para agregar el valor que como profesionistas estamos comprometidos a dar.

Si bien es cierto que nuestro trabajo se ve beneficiado en la medida que nos aseguramos que los objetivos de las empresas se cumplen, es necesario evaluar el diseño de control interno que se adoptará para acompañar la ejecución de los mismos, trabajo que pareciera fácil, sin embargo no lo es debido a que muchas empresas no se detienen el tiempo suficiente para definir primero los objetivos y enseguida el diseño del control interno adecuado que les asegure que de lograrse los objetivos, esto será a través de operaciones eficientes, eficaces y al marco de las leyes y reglamentos.

Con esta perspectiva es que en este artículo pretendemos abordar algunas prácticas que ayudan en fortalecer el diseño del control interno.

La metodología será utilizando el marco de COSO, en este artículo abordaremos de forma práctica, los 5 componentes y se incluirán algunos de los 17 principios, solo como un ejemplo para que se tome conciencia de la responsabilidad de la alta dirección en la definición del camino hacia el logro de los objetivos, así como del camino que se deberá recorrer para llegar a ellos.

COSO en una empresa comercializadora - Metodología — COSO en una empresa comercializadora – Metodología

Para la definición de objetivos, desde la perspectiva de los 5 componentes de COSO, es importante que se inicie con el análisis y evaluación del entorno de control a nivel entidad, unidad de negocio o funcional, hasta la función de los colaboradores.

Esto se puede lograr mediante la práctica de poner en claro los siguientes pasos que se muestran en el siguiente flujo:

COSO en una empresa comercializadora - Pasos — COSO en una empresa comercializadora – Pasos

Así desde la declaratoria de su misión, es importante que se valide el que esté incluido un componente de valores, (aportación de valor que enfatice relaciones ganar-ganar), cuando desde la misión se perciben valores, estos mismos ayudarán a que se cuente con un entorno de control basado en el compromiso ético en todo el quehacer de la empresa. Una declaratoria que debiera permearse organizacionalmente es: “En esta empresa te puedes equivocar y encontrarás un mentor para ayudarte, pero si fallas en los valores te vas”.

Para el proceso de definir los objetivos de manera anual, la alta dirección deberá presentar su plan estratégico al consejo de administración y una vez aprobado por este se deberá comunicar a toda la empresa; este material se toma como base para que sus unidades de negocio y funcionales, procedan a liberar sus planes anuales enfocadas a la obtención de los objetivos estratégicos.

En la definición de los planes anuales, es importante que se incluya un apartado de análisis de riesgos, cumpliendo así con el segundo componente de COSO, los cuales sirven para priorizar los puntos donde el control interno debe reforzarse hasta llegar a dejarlos a niveles aceptables por la empresa, esta actividad debe ser realizada por el personal estratégico de cada una de las unidades de negocio o funcionales y deberá presentarse ante la dirección y auditoría interna para evaluar la completitud del trabajo desarrollado.

Es importante mencionar que los mercados no son estáticos, las actividades de control deben de incluir la parte flexible y el enfoque de mejora, de tal manera que se esté actualizando conforme los planes se van transformando dependiendo de las condiciones cambiantes del entorno, por lo que se recomienda que se tengan herramientas de apoyo que permite ir monitoreando los avances de los planes y la evaluación de riesgos.

Es conocido que toda planeación que no tiene seguimiento está condenada a no cumplirse, es por esto, que se recomienda que la empresa genere juntas mensuales y/o trimestrales de seguimiento y rendición de cuentas ante niveles directivos y es base para la definición y priorización del trabajo de auditoria interna.

Para reforzar el ambiente de control la empresa deberá contar con un código de ética, el cual deberá someterse periódicamente a evaluaciones por el área de desarrollo de talento (también llamada recursos humanos), dirección y auditoría interna; para mantenerlo vigente y para mantenerlo operando, es importante que todo el personal pase por un programa de “certificación”, por lo que se recomienda que se incluya en los cursos de capacitación obligatorios de la empresa.

El entorno de control se ve favorecido por la publicación de los códigos y políticas generales, las cuales deberán de tener acceso público, con este sencillo paso se cuida la aplicación general y se mantiene la equidad entre todos los colaboradores, adicional se deberán de mencionar su aplicación en los procesos de la organización.

Una buena práctica es que el diseño de los procesos estratégicos pasen por un control de calidad definido por el área responsable de diseñarlos y que de manera adicional se tenga un comité multidisciplinario que pueda validar la eficiencia, eficacia y su alineación a normativas antes de ser liberados a la operación, una medida de control para vigilar la correcta aplicación de los procesos es restringir el acceso a los diferentes sistemas que permitirán al usuario operar hasta que demuestre que ha sido capacitado por medio de certificaciones.

En cuanto a los principios del entorno de control que se refieren a: Principio 4: La organización demuestra compromiso para atraer, desarrollar y retener a profesionales competentes, en concordancia con los objetivos de la organización y Principio 5: La organización define las responsabilidades de las personas a nivel de control interno para la consecución de los objetivos, una práctica recomendable es aplicar la metodología del “Análisis de estructuras mínimas” ya que promueve el rediseñar su estructura operativa, como si acabara de abrir su empresa/unidad de negocio para de esta manera poner el talento donde mejor pueda aportar a la empresa y así trabajar bajo el valor de la productividad, no debe ser inusual los movimientos laterales que le permiten a los colaboradores crecer en conocimientos y habilidades.

En cuanto a los principios de evaluación de riesgos:

La organización define los objetivos con suficiente claridad para permitir la identificación y evaluación de los riesgos relacionados
La organización identifica los riesgos para la consecución de sus objetivos en todos los niveles de la entidad y los analiza como base sobre la cual determina cómo se deben gestionar
La organización considera la probabilidad de fraude al evaluar los riesgos para la consecución de los objetivos.
La organización idéntica y evalúa los cambios que podrían afectar significativamente al sistema de control interno

La práctica recomendada es de que la empresa no solo los define sino que además cuente con indicadores que le permitan ir midiéndolos y tengan un puntual seguimiento para evaluar que se mantengan dentro de los límites de tolerancia aprobados por la dirección, así mismo deberán contar con una política para el tratamiento del fraude, y el factor fraude debe estar incluido dentro del estudio de riesgos.

La labor de auditoría interna deberá de ser en este apartado la de asesorar si se encuentran todos los riesgos evaluados, por lo que se vale de su experiencia, intercambio con profesionales terceros, así como con capacitar a los responsables de los planes a identificar con mayor amplitud los riesgos de sus respectivas áreas. Este material es base para el diseño de los mapas de calor de riesgos que sirven para priorizar las revisiones anuales que efectuará auditoría interna.

Para el tercer componente de COSO que se refiere al control de actividades, la empresa las deberá de dividir en dos: actividades estratégicas y actividades operativas, para la primera, la planeación estratégica las deberá de definir y diseñar los monitores con los que se vigilará la evolución, para las segundas, se deberán diseñar un calendario de juntas mensuales donde los supervisores responsables del tema rendirán cuentas a la dirección.

Cuando los objetivos se bajan a los colaboradores, y adicional se cuenta con un sistema que mida su logro y que vaya aunado a un reconocimiento monetario como una parte variable de su sueldo, seguramente tendrá la empresa mayores opciones de alcanzarlos. Para que sea muy sencilla la administración de estos logros es importante que la empresa se sirva de herramientas tales como Business Intelligence (BI) que le permita estar monitoreando el logro de los mismos.

Para el cuarto componente de COSO que se refiere a la información y comunicación, la empresa debe desarrollar la capacidad de análisis y enfoque de sus colaboradores para que sepa discernir sobre la información relevante, es decir aquella que le sirve para tomar decisiones y le ayude para operar de manera eficaz y eficiente, es importante que el acceso a la información sea ágil y se maneje de manera pública, esto ayudará a sus colaboradores primero en lograr maestría en su quehacer y segundo en fortalecer los valores de la transparencia y la confianza.

Por último el componente de Actividades de Monitoreo, este quehacer debe ser rutinario y debe incluir evaluaciones continuas y/o independientes para determinar si los componentes del sistema de control interno están presentes y en funcionamiento. En toda empresa se trabaja bajo el esquema de la flexibilidad ante los cambios, razón por la cual el monitorear es un factor importante, por lo que el análisis de datos se debe de realizar inclusive en algunas casos de forma diaria, ayudándose de indicadores o monitores diseñados a las diferentes necesidades. Aquí el tema de capacitación constante, y la de incluir las revisiones del área de auditoría interna y las anuales de auditoría externa debe de formar parte de las prácticas estratégicas de la empresa.

Si bien es cierto que actualmente las empresas algunas muestran una tendencia de mantenerse altamente tecnificadas y bien estructuradas, las revisiones de auditoría interna se antojaba fáciles y de rápida reacción ante hechos cambiantes, sin embargo aún en este tipo de empresas como en cualquier otra, sigue siendo todo un reto para el área de auditoría interna, el que las recomendaciones se implementen con celeridad. Ante este reto las sugerencias que debe de seguir el área pueden ser:

Toda recomendación de auditoría interna debe de clasificarse en:

Sugerencia de mejora (rápida implementación una vez que las partes acuerdan que la medida aplica y es conveniente para reforzar el control interno.
Desviación de control interno, validar la viabilidad (tiempo y recursos), para definir/acordar los tiempos de implementación

Y con respecto a la Cuantificación de riesgos se recomienda la siguiente metodología que debe de aplicarse a aquellas actividades de riesgos graves y moderados y de los cuales se posean datos consistentes y fiables.

Para esto se debe utilizar la siguiente ecuación de la Exposición, que expresa:

PE = Fx V

Donde:

PE: Pérdida esperada o exposición esperada en pesos y en forma anual F: Frecuencia o veces probables en que el riesgo se concrete en el año. 
V: Representa la pérdida estimada para cada caso en que el riesgo se concrete, expresada en pesos.

Contenido relacionado

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Analítica".
cookielawinfo-checkbox-others	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otros".
cookielawinfo-checkbox-performance	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".

Cookie	Duración	Descripción
__gpi	1 year 24 days	Sin descripción
u	1 year	El propósito de esta cookie es la focalización y el marketing. El dominio de esta cookie está relacionado con una empresa llamada Bombora en EE. UU.

Cookie	Duración	Descripción
ab	1 year	Propiedad de agkn, esta cookie se utiliza con fines publicitarios y de orientación.
anj	3 months	AppNexus establece la cookie anj que contiene datos que indican si una ID de cookie está sincronizada con socios.
CMID	1 year	CasaleMedia establece la cookie. La cookie se utiliza para recopilar información sobre el comportamiento de uso de la publicidad dirigida.
CMPRO	3 months	La cookie CMPRO está configurada por CasaleMedia para el seguimiento de usuarios anónimos y para publicidad dirigida.
CMPS	3 months	CasaleMedia establece la cookie CMPS para el seguimiento anónimo del usuario en función de las visitas al sitio web del usuario, para mostrar anuncios dirigidos.
CMRUM3	1 year	La cookie CMRUM3 es establecida por CasaleMedia para el seguimiento anónimo del usuario en función de las visitas al sitio web del usuario, para mostrar anuncios dirigidos.
CMST	1 day	CasaleMedia establece la cookie. La cookie se utiliza para recopilar información sobre el comportamiento de uso de la publicidad dirigida.
DSID	1 hour	DoubleClick establece esta cookie para anotar la identidad de usuario específica del usuario. Contiene una identificación única cifrada o cifrada.
i	1 year	OpenX establece esta cookie para registrar datos anónimos del usuario, como la dirección IP, la ubicación geográfica, los sitios web visitados, los anuncios en los que el usuario hace clic, etc., para publicidad relevante.
id	1 year 1 month	Establecida por Google DoubleClick, esta cookie se utiliza para crear perfiles de usuario para mostrar anuncios relevantes.
IDE	1 year 24 days	Las cookies de Google DoubleClick IDE se utilizan para almacenar información sobre cómo el usuario utiliza el sitio web para presentarle anuncios relevantes y de acuerdo con el perfil del usuario.
KADUSERCOOKIE	3 months	La cookie, establecida por PubMatic, registra una identificación única que identifica el dispositivo de un usuario recurrente en los sitios web que utilizan la misma red publicitaria. La identificación se utiliza para anuncios dirigidos.
KTPCACOOKIE	1 day	La cookie, establecida por PubMatic, registra una identificación única que identifica el dispositivo de un usuario recurrente en los sitios web que utilizan la misma red publicitaria. La identificación se utiliza para anuncios dirigidos.
mc	1 year 1 month	Quantserve establece la cookie mc para rastrear de forma anónima el comportamiento del usuario en el sitio web.
mdata	1 year 1 month	El dominio de esta cookie es propiedad del grupo Media Innovation. Esta cookie registra una identificación única que se utiliza para identificar a un visitante en su visita con el fin de mostrarle anuncios dirigidos.
ov	1 year 1 month	Esta cookie la establece el proveedor mookie1.com. Esta cookie se utiliza para brindarle al usuario contenido y publicidad relevante.
pxrc	2 months	Esta cookie la establece pippio para proporcionar a los usuarios anuncios relevantes y limitar la cantidad de anuncios que se muestran.
rlas3	1 year	RLCDN establece esta cookie para proporcionar a los usuarios anuncios relevantes y limitar la cantidad de anuncios que se muestran.
test_cookie	15 minutes	Test_cookie lo establece doubleclick.net y se utiliza para determinar si el navegador del usuario admite cookies.
uid	1 year 1 month	Esta cookie se utiliza para medir el número y el comportamiento de los visitantes del sitio web de forma anónima. Los datos incluyen el número de visitas, la duración media de la visita en el sitio web, las páginas visitadas, etc. con el fin de comprender mejor las preferencias del usuario para los anuncios dirigidos.
uuid	3 months	Para optimizar la relevancia de los anuncios mediante la recopilación de datos de visitantes de varios sitios web, como las páginas que se han cargado.
uuid2	3 months	AppNexus establece la cookie uuid2 y registra información que ayuda a diferenciar entre dispositivos y navegadores. Esta información se utiliza para seleccionar los anuncios entregados por la plataforma y evaluar el rendimiento del anuncio y su pago de atributos.

Cookie	Duración	Descripción
__gads	1 year 24 days	La cookie __gads, establecida por Google, se almacena en el dominio de DoubleClick y rastrea la cantidad de veces que los usuarios ven un anuncio, mide el éxito de la campaña y calcula sus ingresos. Esta cookie solo se puede leer desde el dominio en el que están configuradas y no rastreará ningún dato mientras navega por otros sitios.
_ga	2 years	La cookie _ga, instalada por Google Analytics, calcula los datos de visitantes, sesiones y campañas y también realiza un seguimiento del uso del sitio para el informe de análisis del sitio. La cookie almacena información de forma anónima y asigna un número generado aleatoriamente para reconocer visitantes únicos.
_gat_gtag_UA_133868885_1	1 minute	Establecido por Google para distinguir a los usuarios.
_gid	1 day	Instalada por Google Analytics, la cookie _gid almacena información sobre cómo los visitantes usan un sitio web, al mismo tiempo que crea un informe analítico del rendimiento del sitio web. Algunos de los datos que se recopilan incluyen el número de visitantes, su fuente y las páginas que visitan de forma anónima.

Cookie	Duración	Descripción
na_id	1 year 1 month	AddThis establece el na_id para permitir el intercambio de enlaces en plataformas de redes sociales como Facebook y Twitter.
na_rn	1 month	La cookie na_rn se utiliza para reconocer al visitante cuando vuelve a entrar. Permite registrar detalles sobre el comportamiento del usuario y facilitar la función de compartir en redes sociales proporcionada por Addthis.com.
na_sc_e	1 month	La cookie na_sc_e se utiliza para reconocer al visitante cuando vuelve a entrar. Permite registrar detalles sobre el comportamiento del usuario y facilitar la función de compartir en redes sociales proporcionada por Addthis.com.
na_sr	1 month	La cookie na_sc_e se utiliza para reconocer al visitante cuando vuelve a entrar. Permite registrar detalles sobre el comportamiento del usuario y facilitar la función de compartir en redes sociales proporcionada por Addthis.com.
na_srp	1 minute	La cookie na_srp se utiliza para reconocer al visitante cuando vuelve a entrar. Permite registrar detalles sobre el comportamiento del usuario y facilitar la función de compartir en redes sociales proporcionada por Addthis.com.
na_tc	1 year 1 month	La cookie na_tc se utiliza para reconocer al visitante cuando vuelve a entrar. Permite registrar detalles sobre el comportamiento del usuario y facilitar la función de compartir en redes sociales proporcionada por Addthis.com.
ouid	1 year 1 month	Asociada con el widget AddThis, esta cookie ayuda a los usuarios a compartir contenido a través de varios foros de redes y para compartir.

LCP MCFT AC CMMI Ana Gabriela Chavolla Gamez

Deja un comentario Cancelar respuesta

Norma de Información Financiera (NIF) C-9 “Provisiones, contingencias y compromisos”

Norma Internacional de Auditoría (NIA) 265: Comunicación de las deficiencias del control interno a los responsables del gobierno y a la dirección de la entidad

Norma de Información Financiera (NIF) C-3 “Cuentas por cobrar”

Norma Internacional de Auditoría (NIA) 320 “Importancia relativa o materialidad en la Planificación y ejecución de la auditoría”

Mejoras a las Normas de Información Financiera (NIF) 2021

Importancia del Padrón de importadores para las empresas

Mantenerse actualizado es importante