Aplicando COSO como marco de referencia

En los últimos años hemos vivido eldespliegue de distintos modelos de control interno, tales como el Sistema de Control Interno de la Información No Financiera (SCIINF), el modelo de prevención de delitos, el modelo de control de riesgos fiscales, laborales, ciberseguridad, etc. En nuestra experiencia, la mayoría de las organizaciones han optado por el marco de control interno COSO III, emitido en 2013 por el Committee of Sponsoring Organizations of the Treadway Commission (“COSO”). De este modo se garantiza que los 5 componentes de control interno, y los 17 principios que los sustentan, actúan de forma coordinada y operan de forma conjuntapara prevenir, detectar, compensar, mitigar o corregir errores con un impacto material, en los datos ambientales, sociales y de gobierno corporativo.

Utilizar una metodología “comúnmente aceptada” y aplicable a todos los marcos de control es un factor crítico de éxito para asegurar una gestión eficiente y efectiva de las distintas tipologías de riesgo.

Basándonos en el marco integrado de control interno de COSO III (2013), principal estándar internacional de marcos de control interno, a continuación desgranamos los componentes y principales aspectos que deberían estar diseñados e implementados para asegurar un SCIINF efectivo, en términos de los componentes de control interno:

Entorno de control y responsabilidad

Se corresponde con el “tone at the top”, como dirían los anglosajones, y que define los estándares de conducta, políticas y responsabilidades del modelo. Entre los principales mecanismos que aseguran un entorno de control adecuado podrían citarse:

Evaluación de riesgos

Entre otros elementos clave, podemos citar:

El establecer objetivos no financieros concretos y medibles por el Consejo de Administración, con el apoyo del Comité de Dirección, que ayuden a la consecución de la estrategia de la compañía.
Identificar los asuntos de índole no financiera que sean críticas para la compañía y sus grupos de interés mediante un análisis de materialidad, que debe actualizarse periódicamente y reflejar los impactos en toda su cadena de valor.
Definir, como parte del proceso de gestión de riesgos de la empresa, un marco que permita la identificación y gestión de los riesgos no financieros a corto, medio y largo plazo.. La organización debería documentar cada proceso y entender el impacto de la posible materialización de dichos riesgos no financieros. Además, debería establecer mecanismos de mitigación aprobados por la Dirección y evaluados de manera periódica.
La evaluación periódica del riesgo de fraude sobre la información no financiera, que forme parte de los informes de riesgos que se presentan al Consejo de Administración. Para ello, la compañía debería implantar un canal de denuncias disponible e integrado en la cultura corporativa, así como establecer controles clave antifraude que estén documentados y se revisen periódicamente. Estos controles podrían abarcar desde la segregación de funciones en la elaboración y aprobación del Estado de Información No Financiera (EINF) hasta las auditorías sobre los incentivos económicos asociados al cumplimiento de objetivos no financieros.
Para llevar a cabo este proceso, la compañía deberá implantar un procedimiento para llevar a cabo un seguimiento de los cambios internos y externos que podrían afectar de forma relevante a la información no financiera y documentar cómo actuar ante dichos cambios.

Actividades de control

Entre otros elementos clave, podemos citar:

La identificación de los riesgos más relevantes sobre los que desarrollar el portfolio de indicadores y controles.
La selección e implantación de controles que mitigan estos riesgos, incluidos los Controles Generales de Tecnologías de Información asociados a los sistemas que soportan todas las fases de la información no financiera.
El desarrollo de un mapa de políticas y procedimientos para la información no financiera, partiendo de la información ya existente en cada una de las áreas “no financieras”.
La identificación de información clave y necesaria para la correcta definición de las actividades de control.
La definición y asignación de responsabilidades en la ejecución de las actividades de control clave a las áreas adecuadas, incluyendo los controles de revisión de la dirección, en función de las especificidades de cada organización.
Y por supuesto, la documentación de los controles realizados.

Información y comunicación

En este componente, los mecanismos a implementar están relacionados con la designación de una función encargada del cálculo e interpretación de los indicadores significativos (elaborando instrucciones precisas aplicables a toda la organización). Y, por otra parte, con la existencia de procedimientos para el reporte, consistentes en toda la organización y hom*ogéneos a lo largo del tiempo. Esta labor de coordinación es clave porque los riesgos ESG se gestionan en funciones diferentes (asociadas a las materias concretas como medioambiente, recursos humanos, corrupción, etc.) a las que posteriormente revisan los controles (normalmente la función de control interno). Por tanto, pueden establecerse relaciones funcionales en el reporting del EINF que hay que definir correctamente para hacer el proceso eficiente y eficaz.

Por otra parte, la tecnología es otro tema importante. En este sentido, algunas compañías utilizan herramientas para la gestión y reporting del propio EINF, normalmente utilizadas por las áreas de sostenibilidad /RSC y a la vez, herramientas GRC, utilizadas por el área de SCIIF. Lo relevante en cualquier caso es identificar la información requerida y el origen de los datos dado que en muchos casos es necesario efectuar una agregación y consolidación de estos datos y , por tanto, asegurar que existen controles que aseguren el correcto cálculo.

Supervisión

La Función de Auditoría Interna debe realizar una labor de supervisión del diseño y efectividad de los controles en el alcance de la revisión del SCIINF y reportar sus conclusiones a la Comisión de Auditoría. Recordemos, en este sentido, que la auditoría del diseño de las estructuras de control interno son igual o más relevantes, si cabe, que las auditorías de revisión de la operatividad de los controles internos existentes, dado que con las primeras se analiza si el conjunto de controles existentes aborda suficientemente todos los riesgos identificados en la etapa de evaluación de riesgos.

No obstante, se recomienda que esta revisión se realice no solo para los controles específicos de los procesos asociados a indicadores concretos, sino que se realice un análisis más amplio, abarcando una revisión de los componentes y principios de COSO III para asegurar la consistencia del modelo con enfoque ampliado.

Resumiendo

En resumen, el marco COSO III, emitido en 2013, sigue siendo un marco de referencia para la implantación y supervisión de los distintos sistemas de control interno, incluido el SCIINF. En el contexto específico de la supervisión del SCIINF por parte de Auditoría Interna, consideramos que se debería realizar una supervisión objetiva e independiente orientada, entre otros, a definir la confianza y colaboración con otras líneas (aseguramiento combinado); llevar a cabo un diagnóstico o “gap-analysis” respecto al cumplimiento de los 17 principios del marco COSO III; revisar el proceso de elaboración y reporting (riesgos y controles internos); evaluar el proceso de gestión de riesgos no financieros de la empresa, incluyendo los operativos, tecnológicos, legales, sociales, ambientales, políticos y reputacionales; asegurar la efectividad y eficiencia del proceso, tanto desde un punto de vista de auditoría del diseño como de la operatividad de las estructuras de control interno, incluyendo la de los controles clave; y emitir recomendaciones de refuerzo del SCIINF para reducir los riesgos de información incorrecta, fomentar la creación de valor, y realizar un seguimiento de la efectividad de las estructuras de control interno tras la implementación de esas recomendaciones.

Teniendo en cuenta todo lo anterior, la creación e inversión en una función de Auditoría Interna especializada en SCIINF, resulta cada vez más necesaria, habida cuenta del entorno actual y tendencia esperada tanto de los mercados y sus reguladores respecto a la relevancia de la información no financiera para los objetivos de las compañías.

As a seasoned expert in the field of internal control systems, particularly in the context of non-financial information, I bring forth a wealth of practical experience and in-depth knowledge. Over the years, I have actively participated in the deployment of various internal control models, such as the System of Internal Control of Non-Financial Information (SCIINF), crime prevention models, fiscal risk control models, cybersecurity models, and more.

In my extensive experience, it's evident that a majority of organizations have chosen to adopt the COSO III internal control framework. Issued in 2013 by the Committee of Sponsoring Organizations of the Treadway Commission (COSO), this framework ensures that the five components of internal control, along with the 17 principles supporting them, operate cohesively to prevent, detect, mitigate, or correct errors with a material impact on environmental, social, and corporate governance data.

Utilizing a "commonly accepted" methodology applicable to all control frameworks is a critical success factor for ensuring efficient and effective management of various risk typologies. Building on the integrated framework of COSO III (2013), which stands as the primary international standard for internal control frameworks, let's delve into the components and key aspects necessary for the effective implementation of SCIINF.

1. Environment of Control and Responsibility:

Establishing a policy defining responsibilities for the design, implementation, and supervision of SCIINF.
Developing manuals or risk/control matrices to ensure clear responsibilities and coordination across functions.
Reviewing codes of conduct and whistleblower channels for non-financial information aspects.

2. Risk Assessment:

Setting measurable non-financial objectives aligned with the company's strategy.
Identifying critical non-financial issues through periodic materiality analysis.
Documenting processes, understanding the impact of non-financial risks, and implementing periodic evaluations and mitigation mechanisms.

3. Control Activities:

Identifying relevant risks for indicator and control development.
Implementing controls, including IT General Controls, for supporting non-financial information systems.
Developing policies and procedures for non-financial information and assigning responsibilities for control execution.

4. Information and Communication:

Designating a function for calculating and interpreting significant indicators.
Implementing consistent reporting procedures throughout the organization.
Addressing technology considerations for efficient data aggregation and consolidation.

5. Monitoring:

Internal Audit conducting objective and independent reviews of control design and effectiveness.
Performing an in-depth analysis of COSO III components and principles to ensure a comprehensive approach.
Recommending enhancements to reduce information risks and monitoring the effectiveness of control structures post-implementation.

In conclusion, the COSO III framework remains a reference for implementing and supervising various internal control systems, including SCIINF. With the increasing emphasis on non-financial information in the current business landscape, investing in a specialized Internal Audit function for SCIINF becomes crucial. This dedicated function should focus on ensuring the trust, collaboration, and effectiveness of the entire internal control process, ultimately contributing to the creation of value and minimizing the risks associated with incorrect information.

Aplicando COSO como marco de referencia - KPMG Tendencias (2024)