COSO en una empresa comercializadora

COSO en una empresa comercializadora

Auditoría interna está llena de retos, los mercados cambiantes, nuevos modelos de negocio, indicadores que cambian rápidamente, etc., etc., resulta abrumador para definir los planes de trabajo no solo para priorizar sino para agregar el valor que como profesionistas estamos comprometidos a dar.

Si bien es cierto que nuestro trabajo se ve beneficiado en la medida que nos aseguramos que los objetivos de las empresas se cumplen, es necesario evaluar el diseño de control interno que se adoptará para acompañar la ejecución de los mismos, trabajo que pareciera fácil, sin embargo no lo es debido a que muchas empresas no se detienen el tiempo suficiente para definir primero los objetivos y enseguida el diseño del control interno adecuado que les asegure que de lograrse los objetivos, esto será a través de operaciones eficientes, eficaces y al marco de las leyes y reglamentos.

Con esta perspectiva es que en este artículo pretendemos abordar algunas prácticas que ayudan en fortalecer el diseño del control interno.

La metodología será utilizando el marco de COSO, en este artículo abordaremos de forma práctica, los 5 componentes y se incluirán algunos de los 17 principios, solo como un ejemplo para que se tome conciencia de la responsabilidad de la alta dirección en la definición del camino hacia el logro de los objetivos, así como del camino que se deberá recorrer para llegar a ellos.

COSO en una empresa comercializadora - Metodología
COSO en una empresa comercializadora – Metodología

Para la definición de objetivos, desde la perspectiva de los 5 componentes de COSO, es importante que se inicie con el análisis y evaluación del entorno de control a nivel entidad, unidad de negocio o funcional, hasta la función de los colaboradores.

Esto se puede lograr mediante la práctica de poner en claro los siguientes pasos que se muestran en el siguiente flujo:

COSO en una empresa comercializadora - Pasos
COSO en una empresa comercializadora – Pasos

Así desde la declaratoria de su misión, es importante que se valide el que esté incluido un componente de valores, (aportación de valor que enfatice relaciones ganar-ganar), cuando desde la misión se perciben valores, estos mismos ayudarán a que se cuente con un entorno de control basado en el compromiso ético en todo el quehacer de la empresa. Una declaratoria que debiera permearse organizacionalmente es: “En esta empresa te puedes equivocar y encontrarás un mentor para ayudarte, pero si fallas en los valores te vas”.

Para el proceso de definir los objetivos de manera anual, la alta dirección deberá presentar su plan estratégico al consejo de administración y una vez aprobado por este se deberá comunicar a toda la empresa; este material se toma como base para que sus unidades de negocio y funcionales, procedan a liberar sus planes anuales enfocadas a la obtención de los objetivos estratégicos.

En la definición de los planes anuales, es importante que se incluya un apartado de análisis de riesgos, cumpliendo así con el segundo componente de COSO, los cuales sirven para priorizar los puntos donde el control interno debe reforzarse hasta llegar a dejarlos a niveles aceptables por la empresa, esta actividad debe ser realizada por el personal estratégico de cada una de las unidades de negocio o funcionales y deberá presentarse ante la dirección y auditoría interna para evaluar la completitud del trabajo desarrollado.

Es importante mencionar que los mercados no son estáticos, las actividades de control deben de incluir la parte flexible y el enfoque de mejora, de tal manera que se esté actualizando conforme los planes se van transformando dependiendo de las condiciones cambiantes del entorno, por lo que se recomienda que se tengan herramientas de apoyo que permite ir monitoreando los avances de los planes y la evaluación de riesgos.

Es conocido que toda planeación que no tiene seguimiento está condenada a no cumplirse, es por esto, que se recomienda que la empresa genere juntas mensuales y/o trimestrales de seguimiento y rendición de cuentas ante niveles directivos y es base para la definición y priorización del trabajo de auditoria interna.

Para reforzar el ambiente de control la empresa deberá contar con un código de ética, el cual deberá someterse periódicamente a evaluaciones por el área de desarrollo de talento (también llamada recursos humanos), dirección y auditoría interna; para mantenerlo vigente y para mantenerlo operando, es importante que todo el personal pase por un programa de “certificación”, por lo que se recomienda que se incluya en los cursos de capacitación obligatorios de la empresa.

El entorno de control se ve favorecido por la publicación de los códigos y políticas generales, las cuales deberán de tener acceso público, con este sencillo paso se cuida la aplicación general y se mantiene la equidad entre todos los colaboradores, adicional se deberán de mencionar su aplicación en los procesos de la organización.

Una buena práctica es que el diseño de los procesos estratégicos pasen por un control de calidad definido por el área responsable de diseñarlos y que de manera adicional se tenga un comité multidisciplinario que pueda validar la eficiencia, eficacia y su alineación a normativas antes de ser liberados a la operación, una medida de control para vigilar la correcta aplicación de los procesos es restringir el acceso a los diferentes sistemas que permitirán al usuario operar hasta que demuestre que ha sido capacitado por medio de certificaciones.

En cuanto a los principios del entorno de control que se refieren a: Principio 4: La organización demuestra compromiso para atraer, desarrollar y retener a profesionales competentes, en concordancia con los objetivos de la organización y Principio 5: La organización define las responsabilidades de las personas a nivel de control interno para la consecución de los objetivos, una práctica recomendable es aplicar la metodología del “Análisis de estructuras mínimas” ya que promueve el rediseñar su estructura operativa, como si acabara de abrir su empresa/unidad de negocio para de esta manera poner el talento donde mejor pueda aportar a la empresa y así trabajar bajo el valor de la productividad, no debe ser inusual los movimientos laterales que le permiten a los colaboradores crecer en conocimientos y habilidades.

En cuanto a los principios de evaluación de riesgos:

  • La organización define los objetivos con suficiente claridad para permitir la identificación y evaluación de los riesgos relacionados
  • La organización identifica los riesgos para la consecución de sus objetivos en todos los niveles de la entidad y los analiza como base sobre la cual determina cómo se deben gestionar
  • La organización considera la probabilidad de fraude al evaluar los riesgos para la consecución de los objetivos.
  • La organización idéntica y evalúa los cambios que podrían afectar significativamente al sistema de control interno

La práctica recomendada es de que la empresa no solo los define sino que además cuente con indicadores que le permitan ir midiéndolos y tengan un puntual seguimiento para evaluar que se mantengan dentro de los límites de tolerancia aprobados por la dirección, así mismo deberán contar con una política para el tratamiento del fraude, y el factor fraude debe estar incluido dentro del estudio de riesgos.

La labor de auditoría interna deberá de ser en este apartado la de asesorar si se encuentran todos los riesgos evaluados, por lo que se vale de su experiencia, intercambio con profesionales terceros, así como con capacitar a los responsables de los planes a identificar con mayor amplitud los riesgos de sus respectivas áreas. Este material es base para el diseño de los mapas de calor de riesgos que sirven para priorizar las revisiones anuales que efectuará auditoría interna.

Para el tercer componente de COSO que se refiere al control de actividades, la empresa las deberá de dividir en dos: actividades estratégicas y actividades operativas, para la primera, la planeación estratégica las deberá de definir y diseñar los monitores con los que se vigilará la evolución, para las segundas, se deberán diseñar un calendario de juntas mensuales donde los supervisores responsables del tema rendirán cuentas a la dirección.

Cuando los objetivos se bajan a los colaboradores, y adicional se cuenta con un sistema que mida su logro y que vaya aunado a un reconocimiento monetario como una parte variable de su sueldo, seguramente tendrá la empresa mayores opciones de alcanzarlos. Para que sea muy sencilla la administración de estos logros es importante que la empresa se sirva de herramientas tales como Business Intelligence (BI) que le permita estar monitoreando el logro de los mismos.

Para el cuarto componente de COSO que se refiere a la información y comunicación, la empresa debe desarrollar la capacidad de análisis y enfoque de sus colaboradores para que sepa discernir sobre la información relevante, es decir aquella que le sirve para tomar decisiones y le ayude para operar de manera eficaz y eficiente, es importante que el acceso a la información sea ágil y se maneje de manera pública, esto ayudará a sus colaboradores primero en lograr maestría en su quehacer y segundo en fortalecer los valores de la transparencia y la confianza.

Por último el componente de Actividades de Monitoreo, este quehacer debe ser rutinario y debe incluir evaluaciones continuas y/o independientes para determinar si los componentes del sistema de control interno están presentes y en funcionamiento. En toda empresa se trabaja bajo el esquema de la flexibilidad ante los cambios, razón por la cual el monitorear es un factor importante, por lo que el análisis de datos se debe de realizar inclusive en algunas casos de forma diaria, ayudándose de indicadores o monitores diseñados a las diferentes necesidades. Aquí el tema de capacitación constante, y la de incluir las revisiones del área de auditoría interna y las anuales de auditoría externa debe de formar parte de las prácticas estratégicas de la empresa.

Si bien es cierto que actualmente las empresas algunas muestran una tendencia de mantenerse altamente tecnificadas y bien estructuradas, las revisiones de auditoría interna se antojaba fáciles y de rápida reacción ante hechos cambiantes, sin embargo aún en este tipo de empresas como en cualquier otra, sigue siendo todo un reto para el área de auditoría interna, el que las recomendaciones se implementen con celeridad. Ante este reto las sugerencias que debe de seguir el área pueden ser:

Toda recomendación de auditoría interna debe de clasificarse en:

  • Sugerencia de mejora (rápida implementación una vez que las partes acuerdan que la medida aplica y es conveniente para reforzar el control interno.
  • Desviación de control interno, validar la viabilidad (tiempo y recursos), para definir/acordar los tiempos de implementación

Y con respecto a la Cuantificación de riesgos se recomienda la siguiente metodología que debe de aplicarse a aquellas actividades de riesgos graves y moderados y de los cuales se posean datos consistentes y fiables.

Para esto se debe utilizar la siguiente ecuación de la Exposición, que expresa:

PE = Fx V

Donde:

PE: Pérdida esperada o exposición esperada en pesos y en forma anual F: Frecuencia o veces probables en que el riesgo se concrete en el año. 
V: Representa la pérdida estimada para cada caso en que el riesgo se concrete, expresada en pesos.

Contenido relacionado

Deja un comentario

Tu dirección de correo electrónico no será publicada.

También te puede interesar
Su enfoque es: establecer el tratamiento contable de una partida, ya sea como una provisión o un pasivo contingente, dependiendo del grado de incertidumbre de la salida de recursos económicos para el cumplimiento de una obligación o, para el caso de activos contingentes, la incertidumbre de la recepción de beneficios económicos para recuperar el activo.

Norma de Información Financiera (NIF) C-9 “Provisiones, contingencias y compromisos”

Su enfoque es: establecer el tratamiento contable de una partida, ya sea como una provisión o un pasivo contingente, dependiendo del grado de incertidumbre de la salida de recursos económicos para el cumplimiento de una obligación o, para el caso de activos contingentes, la incertidumbre de la recepción de beneficios económicos para recuperar el activo.
La NIA 265, relata la responsabilidad que tiene el auditor de comunicar las deficiencias de control interno a la dirección

Norma Internacional de Auditoría (NIA) 265: Comunicación de las deficiencias del control interno a los responsables del gobierno y a la dirección de la entidad

El objetivo de una auditoría de estados financieros realizada conforme a las Normas Internacionales de Auditoria (NIA) es, emitir una opinión sobre si la información financiera de una Entidad se presenta razonablemente conforme a las Normas de Información Financiera (NIF) aplicables; para cumplir con este, el auditor debe obtener una comprensión del control interno de la empresa para así poder diseñar los procedimientos de auditoría adecuados para el encargo.