COSO como metodología de Auditoría

Por Jorge Alonso Ramírez Vega.

Tal y como lo describimos la vez pasada, existen diferentes metodologías para hacer auditorías y todas tienen su estilo, forma, finalidad, formatos, etc., asimismo, todas aportan elementos básicos para mejorar los procesos de una organización.

En la columna del 10 de abril nos referimos a las auditorías basadas en riesgo, y a su diferencia con lo que es la gestión de riesgos. Principalmente, es en entidades financieras donde existe un área específica que mide, gestiona, evalúa y determina los niveles de riesgo, sin que esto signifique realizar una auditoría basada en riesgos.

En esta ocasión detallaremos cómo ayuda la metodología que engloba elementos de evaluación y seguimiento de control interno COSO (del inglés Committe of Sponsoring Organizations of the Treadway Commission), quienes después de evaluar llegaron a la conclusión de que la ausencia de orden en los procesos de una entidad, representa una diversidad de riesgos, que si se evalúan y se les da seguimiento oportuno y respuesta inmediata, evitan posibles fraudes o errores que tienen probabilidad de surgir). Actualmente, COSO se utiliza con 5 elementos representativos que a continuación se describen:

  1. Ambiente de control
  2. Evaluación de riesgos
  3. Actividades de control
  4. Información y comunicación
  5. Actividades de monitoreo

Todos esos elementos se acoplan perfectamente a los procesos de auditoría descritos en columnas anteriores, con excepción de la elaboración del “Informe”, que finalmente es el resultado de verificar, validar, dar seguimiento, generar observaciones y recomendaciones acerca de:

a) Integridad y valores éticos

b) Estructura organizacional (delimitación de actividades)

c) Políticas y procedimientos de recursos humanos

d) Objetivos y procesos

e) Identificación de riesgos y análisis

f) Seguridad

g) Continuidad de negocio

h) Calidad de la información

i) Monitoreo de actividades y solución de problemas

j) Reporte de deficiencias

COSO es una herramienta que ha ido avanzando al mismo tiempo que las necesidades y crecimiento de las diferentes organizaciones, tanto, que hoy en día existe COSO II ERM (Enterprise Risk Managemennt) Administración de Riegos de la Empresa, con ella se consideran ahora aspectos importantes que el COSO I no contemplaba, como por ejemplo, el establecimiento de objetivos, la identificación de riesgos y la respuesta a los riesgos; elementos que involucran a las decisiones estratégicas de la compañía, y que en términos prácticos para la Auditoría serían útiles si, y sólo si, las decisiones de las unidades de negocio estuvieran alineadas a los objetivos estratégicos.

Sin embargo, sabemos que regularmente esto no sucede a menos que implique un cambio total de filosofía de la compañía que incluya sus procesos, o un criterio directivo y tecnológico de impacto inmediato, y que existiera un área exclusiva para aplicarlo tal y como se describió.

Cabe mencionar que la utilización de esta herramienta ayuda a delinear la calificación por riesgo comentada, misma que no puede delimitarse en términos sencillos como “Alto”, “Medio” y “Bajo”, pero que puede explorar hasta 6 ó 7 criterios posibles de evaluación.

Como foco principal, otorga la facultad de seguimiento o “monitoreo” de las observaciones y recomendaciones originadas en la revisión, así como la evidencia en su implementación y corrección de políticas o procedimientos que afecten las actividades propias de la unidad de negocio y como consecuencia, disminuye o elimina las posibles pérdidas monetarias.

Como conclusión, podemos asegurar que la metodología COSO da pauta al Auditor Interno para hacer mejores revisiones en las unidades de negocio que representen un riesgo alto de pérdida monetaria para la organización y/o que sus procesos, políticas y procedimientos puedan ser considerados obsoletos para la misma.

Síguenos en Facebook

Contenido relacionado: 

Contenido recomendado: