Cubo COSO

El cubo COSO es un diagrama que muestra la relación entre todas las partes de un sistema de control interno. Además de mostrar cómo están conectadas estas partes, también identifica una serie de principios que una organización debe seguir para cumplir con sus objetivos de control interno.

El cubo COSO es parte de un marco de control generalmente llamado marco COSO. Fue creado por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway, o COSO. El COSO está compuesto por representantes de cinco organizaciones diferentes: la Asociación Estadounidense de Contabilidad, el Instituto Estadounidense de Contadores Públicos Certificados, Financial Executives International, el Instituto de Contadores de Gestión y el Instituto de Auditores Internos. Juntos, desarrollan documentos de orientación para ayudar a las organizaciones con la evaluación de riesgos, los controles internos y la prevención del fraude.

El marco COSO se concibió originalmente en 1992 y luego se actualizó en 2013 y 2017. El marco actualizado de 2013 contiene el cubo COSO. El marco se desarrolló para ayudar a las organizaciones a alcanzar los objetivos relacionados con las operaciones, la presentación de informes y el cumplimiento. El propósito del control interno es asegurar que se logren estos objetivos. Este proceso normalmente lo implementa la junta directiva, la gerencia y otro personal de una organización. Durante años, el marco de 2013 se consideró un estándar de oro para aplicar y probar controles internos.

El cubo COSO

Si bien el marco de 1992 fue competente para evaluar los controles existentes, no fue exhaustivo. La versión 2013 abordó esto con la adición del cubo COSO, que se centró en el diseño e implementación de un marco de gestión de riesgos. El cubo COSO reemplazó la imagen del principio del marco anterior que tenía la forma de una pirámide.

El cubo está formado por una serie de columnas y filas que visualizan los sistemas de control interno. Las columnas del cubo componen las tres categorías de objetivos. Las filas del cubo son los cinco componentes. En la tercera dimensión está la estructura organizativa.

Las tres categorías objetivas que se encuentran en las columnas consisten en operaciones, informes y cumplimiento. En la imagen, este suele ser el lado superior del cubo.

Los cinco componentes que se encuentran en filas en la cara frontal del cubo incluyen, de arriba a abajo: el entorno de control, la evaluación de riesgos, las actividades de control, la información y la comunicación, así como las actividades de seguimiento. El entorno de control es un conjunto de estándares, procesos y estructuras que forman el control interno. La evaluación de riesgos constituye la base por la cual se gestiona el riesgo, tanto en entornos internos como externos. Las actividades de control son las políticas, los procedimientos y estándares preventivos y de detección que ayudan a la gestión a mitigar los riesgos. La información y la comunicación se relacionan con la información obtenida que puede respaldar los componentes de control interno. Las actividades de monitoreo incluyen evaluaciones consistentes que verifican que cada uno de los cinco componentes del control interno esté presente y funcione correctamente.

La estructura organizativa es la jerarquía de una organización. En el lado derecho del cubo, de izquierda a derecha, se muestran el nivel de entidad, la división, la unidad operativa y la función de una organización. Cada uno puede verse afectado por las actividades de la unidad de negocio, los controles de funciones y los controles de nivel empresarial.

Los 17 principios

El marco COSO también describe 17 principios que una organización debe adoptar para alcanzar sus objetivos de control interno. Los principios del marco se encuentran dentro de cada componente del cubo COSO: cinco principios para el entorno de control, cuatro para la evaluación de riesgos, tres para las actividades de control, tres para la información y la comunicación y los dos últimos para las actividades de seguimiento.

Los principios de los entornos de control incluyen:

  • Comprometerse con la integridad y los valores éticos;
  • Ejercer la responsabilidad de supervisión;
  • Establecer estructura y líneas jerárquicas;
  • Demostrar un compromiso con la competencia;
  • Hacer cumplir la responsabilidad.

Los principios de evaluación de riesgos incluyen:

  • Especificar objetivos adecuados;
  • Identificar y analizar el riesgo;
  • Evaluar el riesgo de fraude;
  • Identificar y analizar cambios significativos.

Los principios de la actividad de control incluyen:

  • Seleccionar y desarrollar actividades de control que mitiguen el riesgo;
  • Seleccionar y desarrollar actividades de control que involucren tecnología;
  • Implementar actividades de control a través de políticas y procedimientos específicos.

Los principios de información y comunicación incluyen:

  • Utilizar información relevante;
  • Comunicarse internamente;
  • Comunicarse externamente.

Los principios de la actividad de seguimiento incluyen:

  • Realizar evaluaciones continuas o separadas;
  • Evaluar y comunicar deficiencias.

El marco COSO actualizado

El marco COSO se actualizó en 2017, con un cambio de nombre a "Gestión de riesgos empresariales: integración con estrategia y rendimiento". La actualización se centra en ERM y considera más el riesgo en los procesos y la gestión del rendimiento. Junto con la actualización, el gráfico cambió de un cubo a una estructura de hélice. Las organizaciones que cumplen con el marco COSO anterior no están obligadas a cambiar al nuevo. El cubo COSO puede seguir siendo útil para las organizaciones, ya que todavía proporciona un marco para mejorar la gestión de riesgos y el control interno. La comprensión del cubo COSO también proporciona una buena cantidad de conocimientos previos para la versión 2017 del marco.

El gráfico en forma de hélice para el marco COSO ERM representa cómo se integran los principios de gestión de riesgos a lo largo del ciclo de vida de una organización.

La hélice se basa en cinco componentes, cada uno apoyado por múltiples principios. Idealmente, siguiendo el gráfico actualizado de COSO, las organizaciones podrán implementar y hacer cumplir sus principios, lo que conducirá a un mejor desempeño en las iniciativas de ERM.

Los cinco componentes que se muestran en la hélice incluyen:

  • Gobernanza y cultura: que establecen la supervisión de ERM.
  • Establecimiento de estrategias y objetivos: que forman un proceso de planificación estratégica.
  • Desempeño: identificar los riesgos que afectan los procesos de planificación estratégica. Esto también debe incluir una manera de resaltar y responder a problemas aparentes.
  • Revisión: que se centra en revisar el desempeño de la organización para determinar cómo están funcionando los componentes de ERM y si se debe realizar algún cambio.
  • Información, comunicación e informes: que se centran en recopilar y compartir información según sea necesario, generalmente de fuentes internas y externas.

Veinte principios respaldan los cinco componentes, que deben llevar a las organizaciones a comprender y gestionar los riesgos y los objetivos comerciales.