Descargar - Auditores Externos
Download
Report
Transcript Descargar - Auditores Externos
1
CLAIN 2014
TEMA COSO 2013
PRINCIPALES CAMBIOS EN RELACIÓN A COSO 1992
Y SU USO EN LA EVALUACIÓN DEL CONTROL INTERNO
Nota previa
Esta presentación excede con mucho a la exposición , les he querido
dejar material para vuestra lectura y trabajo
Buenos Aires- Argentina -16 de mayo del 2014
1
ACERCA DE COSO
• The Commitee of Sponsoring Organization of the Treading
Commission es una organización privada y voluntaria
formada el año 1985 ,integrada por las siguientes instituciones
dedicadas a guiar a las administración ejecutiva y a los participantes
del Gobierno de la empresa para lograr el establecimiento de
operaciones de negocios más efectivas, eficientes y éticas .
Promueve y difunde estructuras ( frameworks ) y guías basados en
profundas investigaciones, análisis y mejores prácticas:
• American Accounting Associaton ( AAA)
• American Institute of CPAs ( AICPA )
• Financial Executives International (fei)
• The Associaton of Accountants and Financial Profesional in
Bussiness ( ima )
• The Institute of Internal Auditors ( IIA )
2
3
COSO ES UNA ESTRUCTURA
• La estructura (del latín structūra) es la disposición y orden de las
partes dentro de un todo. También puede entenderse como un
sistema de conceptos coherentes enlazados, cuyo objetivo es
precisar la esencia del objeto de estudio. Tanto la realidad como el
lenguaje tienen estructura tendiendo a que refleje fielmente la
estructura de la realidad ( fuente, resumen a partir de wikipedia)
• O sea, todo armado y coherente, nada suelto por sí sólo.
• Algunos Auditores tienden a tomar elementos específicos, esto NO
SIRVE, están todas las piezas relacionadas.
• Esto que es abstracto, aterrizémoslo con una foto en la diapositiva
siguiente.
3
4
COSO ES UNA ESTRUCTURA( Framework )
TODO UNIDO E INTEGRADO
4
Tomado de COSO IC-IF-ED
Traducción libre al español de Carlos Valdivieso Valenzuela
Porqué fué necesario actualizar COSO ?
Es de 1992
Refrescar los
objetivos
Mejoras
COSO’s Internal Control – Integrated Framework (1992 Edition)
Cambios significativos en
los negocios, el entorno y
los riesgos asociados
Actualiza,mejora y
clarifica el Framework
Codifica el criterio en el
desarrollo y estructura
del sistema de control
interno.
Principios
Atributos
Aumenta el foco en las
operaciones,cumplimien
to y objetivos de
informes no financieros
Expande información
interna y la no
financiera
Irabajará
mejor a futuro
COSO’s Internal Control – Integrated Framework Mayo 2013 )
5
Tomado de COSO IC-IF-ED
Traducción libre al español de Carlos Valdivieso Valenzuela
Fecha de publicación mayo 2013
Fecha obligatoria máxima de implementación 15 diciembre 2014
2010
Sept -Enero
Estudio y análisis
por los interesados
2011
Feb - Octubre
Diseño y
construcción
2012
Dic - Marzo
Exposición
Pública
Abril - Dic
Finalización
6
7
COSO 2013. COSO ERM e ISO 31.000
Estructuras desarrolladas y aceptadas internacionalmente
• He tenido la oportunidad y la suerte de estar cercano a la génesis de las tres
estructuras.
• COSO original data de 1992; antes,hubo participaciones de numerosas entidades, y
personas , cientos de workshops y finalmente un borrador el que se circularizó en
40.000 ejemplares aprox el que anduvo por un año para comentarios tanto en
EEUU como fuera de eses país, finalmente en 1992 nace COSO 1992 .COSO 2013 es
una actualización de COSO 1992 y resulta de un amplio trabajo internacional con
más de 700 aportes.
• COSO ERM es un hijo de COSO para focalizarse en riesgos (ERM , es Enterprise Risk
Management). Nace de un encargo a la Universidad de Virginia en EEUU , quien
después de una larga investigación concluye que no había un entendimiento global y
uniforme en lo relativo a riesgos y su administración; luego el Comité COSO con
ayuda externa lleva adelante el proyecto el que cuenta con aportes tanto en EEUU
como en el exterior. En 2004 nace COSO ERM, COSO 1992 sigue vigente en paralelo
con COSO 2013 hasta el 15 de diciembre 2013.En EEUU debe explicitarse en las
Memorias de empresan que transan valores el uso de COSO.
• ISO 31.000 , la única ISO de riesgos, nace el 2009 después de un trabajo
internacional de varios años. Se aprueba por 160 países.
7
8
COSO ERM Y COSO
No confundirlos son complementarios
•
COSO ERM 2004
COSO 2013
8
COSO
LA EVOLUCIÓN DE LOS DOCUMENTOS
NO CONFUNDIRSE COSO ERM ( Año 2004 ) , QUE ES PARA RIESGOS
Y LO VEREMOS
1992
2006
2009
2013
9
COSO 2013 LO INTEGRAN TRES DOCUMENTOS
• “Internal Control-Integrated Framework,” esto es la
estructura central, es el más conocido
•
•
•
•
•
•
“Illustrative Tools for Assessing Effectiveness of a System of
Internal Control”, son las herramientas para medir la efectividad en la
operación del sistema de control interno.
“Internal Control over External Financial Reporting: A
Compendium of Approaches and examples”Documento relativo al
proceso de informes financieros enviados al exterior de la empresa ( Los
Estados Financieros , son sólo uno de ellos) .
Los documentos están sólo en inglés y traerlos resulta unos US $ 500 aprox.
En el link siguiente están los borradores finales que son casi idénticos a los
documentos finales, es de la Asociación de Auditores Externos de Chile AG a
quienes les colaboro .
www.aechile.cl
Ahí buscar Gobierno Corporativo y luego pestaña COSO, documentos de
apoyo .Tienen unas 400 páginas
10
11
Fuente: ISO 31000 – Traducción libre al español del señor Carlos Valdivieso
11
12
COSO E ISO 31.000- Unica ISO de RIESGOS
Fuente Linkedin ISO31000 Risk Group
12
LOS CAMBIOS CONSIDERADOS
Llevaron a la actualización del
Framework
Cambios en el entorno
Expectativas en la gobernabilidad
Globalización de los mercadosy las operaciones
Cambios y creciente complejidad de los negocios
Requerimientos en complejidad de leyes, reglas y estándares
Expectativas de las competencias y accountabilities
Use de y confianza en tecnologías envolventes
Expectativas relativas a prevenir y detectar fraudes
COSO Cube (2013 Edition)
13
COSO
Diapositiva libre de Carlos Valdivieso Valenzuela
• El nuevo COSO 2013 mantiene
su estructura de representación
• Cambia en su sistematización en 17
principios y 86 atributos
• Tiene materias nuevas.
Original COSO Cube
14
Informe Tomo 1 – Control Interno ( Edición 2013 )
:Contiene
▫ Resumen ejecutivo
▫ Framework y apéndices
▫ Herramientas para medir la
efectividad del control interno (
es un tomo aparte )
• Explicita
▫ Definición de control interno
▫ Categorías y objetivos
▫ Componentes y principios
15
EN LO GENERAL, LO QUE NO CAMBIA Y LO QUE CAMBIA RESPECTO A COSO 1992
Fuente COSO IC-IF-ED
Traducción y adaptación libre al español de Carlos Valdivieso Valenzuela
El lector experimentado en COSO encontrará mucho conocido en esta actualización, la
que se ha construido a partir de la base de lo que ha probado ser efectivo en su versión
original durante 21 años
Qué no está cambiando ...
Qué está cambiando...
1. Definición de control interno.
2. Cinco componentes de control interno
3. El criterio fundamental para determinar
la efectividad de los sistemas de control
interno.
4. Uso del juicio en la evaluación de la
eficacia de l0s sistemas de control
interno.
1. Codificación de principios con aplicación
universal para usarse en el desarrollo y
evaluación de la eficacia de los sistemas
de control interno.
2. Expande el objetivo de reportes
financieros para ir también a informes
internos y externos en un sentido amplio,
incluyendo objetivos no financieros.
3. Incrementa el foco en las operaciones,
cumplimiento ( compliance ) y reportes
no financieros y objetivos basados en lo
determinado y alimentado como input
por los usuarios.
4 Otros que resumiremos hoy
16
17
DEFINICIÓN DE CONTROL INTERNO SEGÚN COSO
• DEFINICION:
Proceso, efectuado por el consejo de administración, la dirección y el resto del
personal de una entidad, diseñado con el objeto de proporcionar un grado de
seguridad razonable en cuanto a la consecución de objetivos dentro de las
siguientes categorías:
• Eficacia y eficiencia de las operaciones
• Fiabilidad de la información financiera
• Cumplimiento de leyes y normas que sean aplicables
• El Informe COSO es un documento que contiene las principales
directivas para la implantación, gestión y control de un sistema
de control interno; funciona como un framework ; esto es una
estructura integrada
• La diapositiva siguiente no es mía, la encontré en la web pero no tengo a su
autor
17
18
NUEVO COSO
18
Actualización en 2013 integra componentes con principios
En los 17 principios dejé el inglés para apreciar los conceptos originales, los
explicaré en español
Entorno de control
1.
2.
3.
4.
5.
Demonstrates commitment to integrity and ethical values
Exercises oversight responsibility
Establishes structure, authority and responsibility
Demonstrates commitment to competence
Enforces accountability
Evaluación de los
riesgos
6.
7.
8.
9.
Specifies suitable objectives
Identifies and analyzes risk
Assesses fraud risk
Identifies and analyzes significant change
Actividades de control
Información y
comunicaciones
Actividades de
monitoreo
10. Selects and develops control activities
11. Selects and develops general controls over technology
12. Deploys through policies and procedures
13. Uses relevant information
14. Communicates internally
15. Communicates externally
16. Conducts ongoing and/or separate evaluations
17. Evaluates and communicates deficiencies
19
Veamos lo anterior con más detalle
Entorno de control
1. The organization demonstrates a commitment to
integrity and ethical values.
2. The board of directors demonstrates independence
from management and exercises oversight of the
development and performance of internal control.
3. Management establishes, with board oversight,
structures, reporting lines, and appropriate
authorities and responsibilities in the pursuit of
objectives.
4. The organization demonstrates a commitment to
attract, develop, and retain competent individuals
in alignment with objectives.
5. The organization holds individuals accountable for
their internal control responsibilities in the pursuit
of objectives.
20
Update articulates principles of effective internal
control (continued)
Evaluación de
riesgos
6. The organization specifies objectives with
sufficient clarity to enable the identification and
assessment of risks relating to objectives.
7. The organization identifies risks to the
achievement of its objectives across the entity
and analyzes risks as a basis for determining
how the risks should be managed.
8. The organization considers the potential for
fraud in assessing risks to the achievement of
objectives.
9. The organization identifies and assesses
changes that could significantly impact the
system of internal control.
21
Update articulates principles of effective internal
control (continued)
Actividades de
control
10. The organization selects and develops control
activities that contribute to the mitigation of risks
to the achievement of objectives to acceptable
levels.
11. The organization selects and develops general
control activities over technology to support the
achievement of objectives.
12. The organization deploys control activities
through policies that establish what is expected
and procedures that put policies into place.
22
Update articulates principles of effective internal
control (continued)
Information &
Communication
13. The organization obtains or generates and uses
relevant, quality information to support the
functioning of internal control.
14. The organization internally communicates
information, including objectives and
responsibilities for internal control, necessary to
support the functioning of internal control.
15. The organization communicates with external
parties regarding matters affecting the
functioning of internal control.
23
Update articulates principles of effective internal
control (continued)
Actividades de
monitoreo
16. The organization selects, develops, and
performs ongoing and/or separate evaluations
to ascertain whether the components of internal
control are present and functioning.
17. The organization evaluates and communicates
internal control deficiencies in a timely manner
to those parties responsible for taking corrective
action, including senior management and the
board of directors, as appropriate.
24
17 PRINCIPIOS CON 86 ATRIBUTOS
PRINCIPIOS
ATRIBUTOS
• 17 PRINCIPIOS INTERRLACIONADOS PARA LOS 5
ELEMENTOS DE COSO
• 86 ATRIBUTOS QUE SOPORTAN LOS PRINCIPIOS
• DEBEN VER EL DOCUMENTO COSO , VA UN EJEMPLO
• DE LO ANTERIOR RESULTA LA ESTRUCTURA COSO
ESTRUCTURA
COSO
• ES UN TODO INDIVISIBLE-RECORDAR LA TORRE EIFFEL
25
CADA UNO DE LOS 17 PRINCIPIOS
TIENE ATRIBUTOS- EN TOTAL SON 86
• Se recomienda ver el documento de COSO va un ejemplo de algunos atributos
para control de actividades para mejor entender como se armó la estructura.Aquí
va uno de los 86 atributos, la traducción libre al español para este curso es del
profesor Carlos Valdivieso.
• “Selecciona y desarrolla control de actividades que contribuyan a la mitigación de
riesgos a niveles aceptables para el logro de los objetivos”; para ello:
• a ) Integra los controles con los riesgos de forma de mitigarlos.
• b )Determina los procesos de negocios relevantes que requieren sus contrles de
actividades.
• c ) Considera los factores de entorno e internos de la empresa , sus operaciones en
calidad, complejidad y cantidad para seleccionar y desarrollar las actividades de
control más apropiadas.
• d ) Hace un mix de actividades de control manuales y automatizadas.
• e ) Determina el tipo de actividades de control por niveles y las detalla.
• f ) Revisa la segregación de funciones y las cambia en caso de ser necesario para
tener buenas actividades de control.
26
Beneficios de la actualización
Fuente COSO IC-IF-ED
Traducción libre al español de Carlos Valdivieso Valenzuela
Administración y
Directorio
• Mejora la
gobernabilidad.
• Expande su uso más
allá de lo financiero.
• Mejora la calidad de la
medición de riesgos.
• Fortalece los esfuerzos
antifraude.
Performance
• Adapta controles a los
negocios y su dinámica.
• Mayor uso en distintos
modelos de negocios.
Entes
externos
Confidencialidad
Otros
usuarios
27
28
ALCANCE
• COSO contiene un planteamiento general, con los fundamentos del control interno.
• No hay por tanto, aspectos específicos del tipo checklist, los que siguen siendo
válidos y útiles, pero ubicados en una ESTRUCTURA INTEGRADA
• Cada empresa debe analizar cómo lo desarrolla a su realidad.
• Es la experiencia de este relator, involucrado en el tema desde 1992 que aquí radica el
principal problema y la gran oportunidad; hay algunos que se sienten desorientados
cuando por tantos años la auditoría interna le ha dicho: vaya y haga esto en detalle; a
su vez, hay otros, que ven en esto una posibilidad de desarrollo profesional; el desafío
no es menor.
• Es también mi experiencia, que hay pocos reparos a COSO mismo y el problema es
de implementación.
• Vaya un ejemplo; el principio 7 dice « identifica y analiza los
riesgos «, pues bien, Uds saben lo que esto significa en la práctica, riesgos primarios,
eventos de riesgo y controles, nada de simple.
28
ANÁLISIS POR COMPONENTE DE COSO
• ENTORNO DE CONTROL
• EVALUACIÓN DE RIESGOS
• CONTROL DE ACTIVIDADES
• INFORMACIÓN YCOMUNICACIONES
• MONITOREO DE ACTIVIDADES
____________________________
Todo ello para:
• Logro de la eficiencia y eficacia de las
Operaciones que permitan el logro de
los objetivos, consistentes con la MISIÓN,
el alcance de las metas, incluyendo
rentabilidad y salvaguarda de recursos.
• Confiabilidad de informes financieros y no
financieros tanto con destino externo como interno.
• Cumplimiento de leyes y regulaciones que afecten a la empresa.
29
30
LA FAMOSA “SEGURIDAD RAZONABLE “
• “Reasonable Assurance—The concept that internal control, no matter how
well designed and operated, cannot guarantee that an entity’s objectives will
be met. This is because of Inherent Limitations in all internal control
systems”.
--------------------------------------------------------------------------O sea,que provea una seguridad razonable (NO ABSOLUTA ) a una
persona competente,con bases sólidas, permitiéndole dar una opinión
fundada relativa al sistema de control interno en el logro de los objetivos
de la empresa, pero no lo puede garantizar por las limitaciones inherentes
de todo sistema de control interno,
------------------------------------------------------------------------Algo así como :
El sistema de control interno de la empresa XX al 31 de diciembre del 2012
es eficaz y proporciona una seguridad razonable de que el proceso de
preparación de la información financiera es fiable, de que la empresa tiene
procedimientos eficaces para asegurar el cumplimiento de las leyes y
normativas que le sean aplicables y de que la dirección conoce hasta qué
punto la empresa está alcanzando sus objetivos operacionales.
30
31
OBJETIVOS Y SUBOJETIVOS
• Los objetivos generales de la empresa se deben desagregar en
subobjetivos por Unidades de la empresa,deben ser claros,
cuantificables, medibles y auditables.
• Estos subojetivos deben ser conocidos por todo el personal a
quienes los incumbe.
31
32
ENTORNO DE CONTROL
• PRINCIPIOS INVOLUCRADOS
1. La organización como un todo demuestra compromiso con la
integridad y valores éticos.
2. El Directorio demuestra independencia de la Administración y
supervisa el desarrollo y funcionamiento del sistema de control interno.
3. El Directorio junto a la Administración supervisan la estructura de
la empresa, las líneas de autoridad y responsabilidad y el logro de los
objetivos. Ejercita la responsabilidad de supervisión .
4. La empresa demuestra compromiso con la competencia para atraer,
desarrollar y retener al personal y alinearlo con los objetivos.
5.Hace cumplir las rendiciones ( accountability ) por la autoridad y
responsabilidad que le han otorgado para el logro de los objetivos.
32
33
PRINCIPALES CAMBIOS EN ENTORNO DE CONTROL
RESPECTO A COSO 1992
• Integra los 5 principios y los relaciona aplicándolos en el
Directorio, Administración, personal, comités,
especialmente de Auditoría , estructura de organización, políticas y
prácticas, dejando definiciones por escrito y velando por su
cumplimiento.
• Explicita y define el Gobierno Corporativo, los roles y lo que
debe hacer cada cual y refuerza el concepto de accountability.
• Define lo relativo a supervisión de riesgos, los recursos
requeridos y las relaciones existentes para el logro de los objetivos
que deben estar explícitos.
• Involucra al outsourcing como parte del entorno de control.
• Los puntos anteriores deben constar por escrito y ( según este
relator ) dejar pistas de auditoría y revisar su comportamiento.
33
34
PRINCIPIO 1.La organización como un todo demuestra
compromiso con la integridad y valores éticos.
Foco en :
• Directorio y Administración en todos sus niveles demuestran
compromiso con los aspectos éticos como aspecto central del control
interno.
• Establece Standard de Conducta, difundido a todos los niveles tanto
internos como al outsourcing .
• Evalúa su cumplimiento y desviaciones.
34
35
Principio 2 El Directorio demuestra independencia
de la Administración y supervisa el desarrollo y
funcionamiento del sistema de control interno.
• Foco en :
• Directorio tiene y efectúa supervisión superior del Control Interno,
su diseño y cumplimiento
• Directorio revisa sus capacidades y conocimientos de control
interno(si les faltare, deben capacitarse )
• Son y actúan independiente de la Administración.
35
36
Principio 3 El Directorio junto a la Administración supervisan la
estructura de la empresa, las líneas de autoridad y
responsabilidad y el logro de los objetivos. Ejercita la responsabilidad
de supervisión .
•
•
•
•
•
Foco en
Considera toda la estructura de la empresa.
Establece líneas de autoridad y responsabilidad y reportes
Define los límites de autoridad.
Define la autoridad de servicios de outsourcing.
36
37
Principio 4 La empresa demuestra compromiso
con la competencia para atraer, desarrollar y
retener al personal y alinearlo con los objetivos.
• Foco en :
• Define políticas y prácticas relativas a talentos de Recursos
Humanos.
• Evalúa junto con la Administración las competencias requeridas en
distintos cargos y como obtener resultados para llenar los gaps.
• Atrae, desarrolla y mantiene los recursos humanos requeridos.
• Establece planes de sucesiones.
37
38
Principio 5 .Hace cumplir las rendiciones
( accountability ) por la autoridad y responsabilidad que le
han otorgado para el logro de los objetivos.
• Foco en :
• Se definen con claridad y se supervisan las accountabilities y
analiza los incumplimientos de control interno y sus correcciones.
• El Directorio y la Administración establecen mediciones, incentivos
y retroalimentaciones para mejoras.
• Alinea incentivos con cumplimientos de control interno .
• Tiene cuidado en las presiones para el logro de metas que pudieren
afectar al control interno,
• Evalúa los resultados y cumplimiento de estándares de conducta.
38
EVALUACIÓN DE RIESGOS
PRINCIPIOS INVOLUCRADOS
6
Especifica los objetivos relevantes
7
Identifica y analiza los riesgos
8
Aprecia y analiza riesgos de fraude
9
Identifica y analiza los cambios significativos
39
40
PRINCIPALES CAMBIOS EN LA EVALUACIÓN DE
RIESGOS RESPECTO A COSO 1992
• La identificación de los objetivos relevantes, es una
precondición para la evaluación de riesgos .El orden es MISIÓN,
y objetivos para cumplir la Misión . De dichos objetivos derivan los
primeros riesgos.
• Establece la relación de los riesgos con las
operaciones , informes y cumplimiento ( compliance)
• Especifica que deben contemplarse la identificación
de los riesgos, el análisis y sus respuestas .
• Incluye las tolerancias al riesgo, como prerequisito.
• Contempla que deben entenderse los cambios significativos
tanto de origen interno como externo y sus relaciones con los
sistemas de control interno.
• Considera el riesgo de fraude y sus relaciones con los informes ,
como parte de la administración de riesgos.
40
41
Principio 6 Especifica los objetivos relevantes
• Foco en :
• Claridad y documentación en : objetivos, informes y compliance
( nota del profesor Valdivieso, ojo, se refiere a la parte superior del
cubo COSO ).
• Debe reflejar las selecciones de objetivos hechos por la empresa.
• Considera la tolerancia al riesgo determinada.
• Incluye las metas financieras.
• Es la base para la alocación de recursos humanos y financieros.
41
42
Principio 7 Identifica y analiza los riesgos
• Foco en :
• Para la determinación y administración de riesgos, deben incluirse
todas las filiales y subsidiarias y luego todas las funiciones y niveles.
• Analizar tanto los factores internos como externos.
• Definir y explicitar los riesgos
• Asignar los riesgos por niveles.
• Analizar los riesgos inherentes.
• Contar con un sistema de respuesta a los riesgos.
42
43
Principio 8 Aprecia y analiza riesgos de fraude
• Foco en :
• Especificar los posibles tipos de fraudes, ej :En Estados
Financieros,pérdidas de activos, etc.
• Presiones por lograr metas lleva a distintos fraudes.
• Vacíos en control interno que dejan oportunidades de fraudes ( nota
de este profesor, algo así como donde las dan las toman )
• Ahorros de costos por racionalizaciones que dejan vacíos de control
interno.
43
44
Principio 9 Identifica y analiza los cambios
significativos
• Foco en :
• Analizar cambios tanto de origen interno como externo , ej
regulatorios , económico los riesgoss etc y como afectan a los
riesgos .
• Cambios en el modelo de negocios, productos, distribución y como
afectan a los riesgos.
• Cambios en liderazgos, jefaturas y estilos de administración y como
afectan a los riesgos.
44
CONTROL DE ACTIVIDADES
PRINCIPIOS INVOLUCRADOS
CONTROL DE ACTIVIDADES
10 Selecciona y desarrolla control de las
actividades
11
Selecciona y desarrolla controles para
la tecnología
12 Despliegue de políticas y procedimientos
45
46
PRINCIPALES CAMBIOS EN EL CONTROL DE
ACTIVIDADES RESPECTO A COSO 1992
• La tecnología en sentido amplio, es parte integrante del Sistema
de Control Interno.Aquí hay un cambio de énfasis importante.
• Foco en la tecnología y los procesos de negocios.
• El control de actividades se relaciona con los riesgos.
• Recomendación para usar todas las técnicas que se necesiten.
• Amplitud de controles desde los controles de transacciones hasta los
superiores; deben agruparse y sistematizarse por niveles.
• Integración de políticas con procedimientos y controles como un
conjunto integrado.
46
47
Principio 10 Selecciona y desarrolla control de
las actividades
•
•
•
•
•
•
•
Foco en :
Integrar los controles con los riesgos.
Especificar los factores de riesgos ( causas ).
Determinar los procesos significativos , riesgos y controles ).
Evaluar qué tipo de controles se necesitan y su mezcla.
Detallar los controles por niveles.
Contar con segregación de funciones.
47
48
Principio 11 Selecciona y desarrolla controles
para la tecnología
• Foco en :
• Determinar con detalles las relaciones de los procesos con
tecnología, sus riesgos y controles automáticos y generales en los
respectivos procesos( nota del profesor Valdivieso, se recomienda
ver COBIT ).
• Establecer la tecnología en uso y su infraestuctura, sus riesgos y
controles.
• Determinar y probar todo lo relativo a seguridad de IT en sus
disntintos ámbitos .
• Analizar todo lo referente a adquisiones de TI y sus controles. ( de
nuevo, favor ver COBIT )
• TI es ahora con COSO 2013 parte integrante del Control interno.
48
49
Principio 12 Políticas y procedimientosDeploys
through policies and procedures
• Foco en :
• Políticas y procedimientos.
• Establecer accountabilities en la ejecución de políticas y
procedimientos.
• Controles hacerlos oportunamente.
• Ver las desviaciones y corregirlas.
• Usar las competencias personales.
• Revisar y retroalimentar políticas y procedimientos.
49
INFORMACIÓN Y CONTROL
PRINCIPIOS INVOLUCRADOS
CONTROL DE ACTIVIDADES
13 Usa información relevante
14La organización interna comunica información incluyendo
objetivos y responsabilidades para el soporte y funcionamiento
del control interno
15 Comunicación con entes externos las materias de operación
del control interno.
50
51
Principio 13 Usa información relevante
• Foco en :
• Determinar la información relevante.
• Determinar y tipificar las fuentes de data tanto internas como
externas.
• Analizar los procesos informáticos relacionados con información
relevante.
• Revisar las entradas, procesos y salidas.
• Considerar costos y beneficios.
51
52
Principio 14 La organización interna comunica información
incluyendo objetivos y responsabilidades para el soporte
y funcionamiento del control interno
•
•
•
•
•
Foco en :
Determinar los tipos de información y destinatarios.
Comunicaciones con el Directorio.
Líneas tipo hot lines y su confidencialidad.
Métodos de comunicación, oportunidad, audiencias y tipos de
comunicación.
52
53
Principio 15 Comunicación con entes externos las
materias de operación del control interno.
• Foco en :
• Especificar a quienes y qué tipo de información , ej.accionistas,
reguladores, clientes, bancos etc .
• Canales de comunicación y su seguridad.
• Comunicaciones con el Directorio.
• Líneas de comunicacióin y tipos incluyendo hot lines.
• Métodos usados.
53
54
•
•
•
•
•
•
•
PRINCIPALES CAMBIOS EN INFORMACION Y
CONTROL RESPECTO A COSO 1992
Enfatiza en la calidad de la información .
Pone foco en verificar las fuentes de la información.
Incluye la confianza, la privacidad y los requerimientos
regulatorios.
Llama a poner atención en la complejidad de los procesos, su
información y la relación con entes externos que usan la
información.
Destaca el impacto de la tecnología en la generación y
difusión de la comunicación.
Abre un gran abanico de todo lo que es información
interna.
Hoy la información es parte del negocio y su gestión.
54
MONITOREO
Principios
CONTROL
DEinvolucrados
ACTIVIDADES
16 Conduce evaluaciones en línea o separadas
17 Evalúa y comunica las deficiencias
PRINCIPALES CAMBIOS EN INFORMACION Y CONTROL
RESPECTO A COSO 1992
• La separación entre monitoreo en línea y separado
• Uso amplio de tecnología.
Ver documento de Introductorio COSO
« COSOs Guidance on Monitoring Internal Control
Systems «
La publicación completa puede comprarse
55
56
Principio 16 Evaluaciones en línea y separadas
•
•
•
•
•
•
•
Foco en ;
Mezcla de ongoing y después .Determinar y especificar.
Ver como cambian en el tiempo.
Determinar el conocimiento y entendimiento de los receptores.
Integrarlas con los procesos de negocios.
Ver frecuencia y alcance.
Evaluar el feedback
56
57
Principio 17 Evaluar y comunicar las deficiencias
•
•
•
•
•
Foco en :
A quienes comunicar, preferente a. Directorio y alta Administración
A quienes deben corregirlas.
Monitorear si se corrigieron oportunamente.
Dejar evidencias y registros.
57
Tomo 2 Herramientas de evaluación para ver el
funcionamiento del control interno
•
•
•
•
•
•
El documento tiene más de 100 páginas con una detallada metodología tendiente a :
Si hay una seguridad razonable para el logro de los objetivos, lo que requiere de :
Cada componenente y cada principio de COSO estén presentes y operando.
Los cinco componentes de COSO estén operando juntos y en forma integrada
Cada principio se cumpla en cada entidad de la empresa.
Las principales deficiencias de control interno se levanten en cada principio y
elemento y se comuniquen para buscar soluciones.
58
59
ORGANIZACIÓN DEL DOCUMENTO HERRAMIENTAS
•
•
•
•
•
•
•
•
•
•
•
•
1. Visión general de la estructura de control interno.
2 Evaluación de los componentes de COSO
3 Evaluación de los 17 principios de COSO
4 Resumen de las deficiencias observadas
5 Escenario A si los principios y los componenentes están presentes y
funcionando.
6 Escenario B si los componenentes están funcionando juntos y en forma
integrada.
7 Escenario C Cómo las debilidades significativas de las actividades de
control impactan los principios , los componenentes y el control interno.
8 Escenario D Si los principios y componenentes están presentes y
funcionan en una División Orgánica,Unidad operativa y función.
9 Escenario E Cómo las evaluaciones funcionan en localizaciones
combinadas ej Matriz en EEUU y divisiones en Europa y América Latina.
El documento no es una especie de Pizza de calentar y comer, muy por el
contrario,cada cual debe desarrollarla y aplicarla en su empresa.
MI RECOMENDACIÓN , no se enreden en detalles, vayan a lo principal.
Veremos brevemente algo de esto en el curso.
59
60
ORGANIZACIÓN DEL DOCUMENTO HERRAMIENTAS
•
•
•
•
•
•
•
•
•
•
•
•
1. Visión general de la estructura de control interno.
2 Evaluación de los componentes de COSO
3 Evaluación de los 17 principios de COSO
4 Resumen de las deficiencias observadas
5 Escenario A si los principios y los componenentes están presentes y
funcionando.
6 Escenario B si los componenentes están funcionando juntos y en forma
integrada.
7 Escenario C Cómo las debilidades significativas de las actividades de
control impactan los principios , los componenentes y el control interno.
8 Escenario D Si los principios y componenentes están presentes y
funcionan en una División Orgánica,Unidad operativa y función.
9 Escenario E Cómo las evaluaciones funcionan en localizaciones
combinadas ej Matriz en EEUU y divisiones en Europa y América Latina.
El documento no es una especie de Pizza de calentar y comer, muy por el
contrario,cada cual debe desarrollarla y aplicarla en su empresa.
MI RECOMENDACIÓN , no se enreden en detalles, vayan a lo principal.
Veremos brevemente algo de esto en el curso.
60
Tomo 3 – Control Interno para proceso de
reportes financieros externos ( Ojo los Estados
Financieros son sólo una parte)
• Basado en el modelo COSO lo
aplica a reportes financieros
externos, es como un zoom
especializado a esa materia
• Considera los cambios
ocurridos en los negocios, el
entorno y las operaciones desde
COSO UNO de 1992
• Entrega ejemplos ilustrativost
• Alineado coimpletamente con
COSO 2013
61
Internal Control over External Financial Reporting
(ICEFR): A Compendium of Approaches and
Examples
• Approaches and Examples illustrate how various characteristics of
principles may be present and functioning within a system of
internal control relating to external financial reporting
▫ Approaches are designed to give a summary-level description of activities
that management may consider as they apply the Framework
▫ Examples illustrate one or more points of focus of a particular principle. They
are not designed to provide a comprehensive, end-to-end example of how a
principle may be fully applied in practice.
▫ Selected approaches and examples do not illustrate all aspects of components
and relevant principles that would be necessary for effective internal control
• Stakeholders should refer to the Framework for the requirements of
effective internal control
− Compendium supplements and can be used in concert
62
Illustrative documents are responsive to public
comments
• ICEFR: A Compendium of Approaches and Examples
▫ Add or clarify specific examples, including:
Establishing responsibilities for reviewing financial statements
Monitoring investigation and reporting of whistleblower allegations
Monitoring identification and protection of sensitive financial information
Monitoring identification and analysis of risk of material misstatement due to
fraud
▫ Address a risk-based approach for achieving external financial reporting
objectives
Specify suitable objectives for external financial reporting
Risks to achieving suitable objectives
Responses to risks
63
64
COSO ERM Y COSO-RELACIONES
• En risk response, debe tenerse con precisión como se atiende cada
riesgo y esto tiene que ver con los controles; COSO es más general.
• En Risk assessment, debe determinarse los riesgos y trabajar con
metodologías de riesgo inherente y riesgo residual .COSO no tiene
este foco detallado.
• En entorno de control COSO ERM menciona el rol de los Directores
independientes.
• COSO ERM trabaja con riesgos interrelacionados; COSO no lo
menciona.
• COSO es más amplio en control de actividades y las relaciones con
tecnología.
• En información y comunicaciones COSO ERM tiene un enfoque más
amplio y de gestión, incluyendo proyecciones. COSO es más fuerte
en la calidad y precisión de la información.
• En monitoreo ,COSO ERM incluye más precisión e involucra a entes
externos.
64
65
COSO ERM Y RISK RESPONSE ( Respuestas )
• COSO ERM agrega un elemento que es las respuestas a los riesgos.
• Esto significa que formulados los riesgos primarios , conviene
desagregarlos en eventos de riesgos y determinar lo que se acepta y
lo que no se acepta y de lo que se acepta, qué se transfiere y lo que
se mitiga.
• De lo que se mitiga , para cada evento de riesgo debe haber uno o
más controles, verificando su existencia y funcionamiento.
• Mi consejo y experiencia es trabajar conjuntamente con COSO y
COSO ERM.
• COSO es más profundo en Control Interno y COSO ERM en
administración y control de riesgos.
65
66
APETITO DE RIESGO Y TOLERANCIA AL RIESGO
• COSO ERM es explícito.
• El apetito de riesgo debe cuantificarse por cada riesgo;ejemplo, la
empresa en sus inversiones acepta inversiones en renta variable en
acciones nacionales hasta un 5 % de su cartera de inversiones.
• La tolerancia al riesgo acepta hasta un 6 %
• Este es un punto sustantivo para un Auditor Interno, revisar que
todos los riesgos primarios de la Matriz de Riesgos tengan sus
apetitos y tolerancias establecidos y revisar su existencia y
cumplimiento, informando, usualmente al Comité de Auditoría.
66
67
APETITO DE RIESGO Y TOLERANCIA AL RIESGO
• COSO ERM es explícito.
• El apetito de riesgo debe cuantificarse por cada riesgo;ejemplo, la
empresa en sus inversiones acepta inversiones en renta variable en
acciones nacionales hasta un 5 % de su cartera de inversiones.
• La tolerancia al riesgo acepta hasta un 6 %
• Este es un punto sustantivo para un Auditor Interno, revisar que
todos los riesgos primarios de la Matriz de Riesgos tengan sus
apetitos y tolerancias establecidos y revisar su existencia y
cumplimiento, informando, usualmente al Comité de Auditoría.
67
68
TRABAJO CONJUNTO CON COSO Y COSO ERM
68
69
COSO ERM
• Data del año 2004 , su definición dice:
• “The Enterprise Risk Management—Integrated Framework
defines enterprise risk management as a process, effected by an
entity’s board of directors, management and other personnel,
applied in strategy setting and across the enterprise, designed to
identify potential events that may affect the entity, and to manage
risk to be within its risk appetite, to provide reasonable assurance
regarding the achievement of entity objectives”
Comentarios
• Pone énfasis en la estrategia, la identificación de los
riesgos, su administración como un proceso, el
establecimiento de los apetitos de riesgos y lograr la
seguridad razonable para alcanzar los objetivos.
69
70
COSO ERM Y COSO-RELACIONES
• COSO ERM es fundamentalmente para Administración de riesgos,
incluyendo a COSO en lo relativo a Control interno.
• COSO ERM es más amplio que COSO incluye las estrategias ( parte superior
del cubo ) como algo previo y a un nivel superior y su relación con los
objetivos de la empresa y tiene que ver con la misión y visión de la
empresa. COSO no se involucra con las estrategias.
• En COSO ERM,debe determinarse los apetitos de riesgos y la
tolerancia.Esto debe hacerse en forma precisa.
• COSO ERM incluye una desagregación de los objetivos estratégicos para
llegar a objetivos funcionales, pero relacionados con los estratégicos; COSO
no lo hace.
• En COSO ERM, en event identification, conviene hacer un análisis FODA
para a visualizar aspectos positivos que pueden ayudar en los negocios
como las amenazas y posibles cursos de acción.
• En COSO ERM, risk response ( respuesta a riesgos ) se relaciona con
separar riesgos en : evitar, transferir y administrar.
70
71
COSO ERM Y COSO-RELACIONES
• En risk response, debe tenerse con precisión como se atiende cada
riesgo y esto tiene que ver con los controles; COSO es más general.
• En Risk assessment, debe determinarse los riesgos y trabajar con
metodologías de riesgo inherente y riesgo residual .COSO no tiene
este foco detallado.
• En entorno de control COSO ERM menciona el rol de los Directores
independientes.
• COSO ERM trabaja con riesgos interrelacionados; COSO no lo
menciona.
• COSO es más amplio en control de actividades y las relaciones con
tecnología.
• En información y comunicaciones COSO ERM tiene un enfoque más
amplio y de gestión, incluyendo proyecciones. COSO es más fuerte
en la calidad y precisión de la información.
• En monitoreo ,COSO ERM incluye más precisión e involucra a entes
externos.
71
72
COSO ERM Y RISK RESPONSE ( Respuestas )
• COSO ERM agrega un elemento que es las respuestas a los riesgos.
• Esto significa que formulados los riesgos primarios , conviene
desagregarlos en eventos de riesgos y determinar lo que se acepta y
lo que no se acepta y de lo que se acepta, qué se transfiere y lo que
se mitiga.
• De lo que se mitiga , para cada evento de riesgo debe haber uno o
más controles, verificando su existencia y funcionamiento.
• Mi consejo y experiencia es trabajar conjuntamente con COSO y
COSO ERM.
• COSO es más profundo en Control Interno y COSO ERM en
administración y control de riesgos.
72
73
APETITO DE RIESGO Y TOLERANCIA AL RIESGO
• COSO ERM es explícito.
• El apetito de riesgo debe cuantificarse por cada riesgo;ejemplo, la
empresa en sus inversiones acepta inversiones en renta variable en
acciones nacionales hasta un 5 % de su cartera de inversiones.
• La tolerancia al riesgo acepta hasta un 6 %
• Este es un punto sustantivo para un Auditor Interno, revisar que
todos los riesgos primarios de la Matriz de Riesgos tengan sus
apetitos y tolerancias establecidos y revisar su existencia y
cumplimiento, informando, usualmente al Comité de Auditoría.
73
74
APETITO DE RIESGO Y TOLERANCIA AL RIESGO
• COSO ERM es explícito.
• El apetito de riesgo debe cuantificarse por cada riesgo;ejemplo, la
empresa en sus inversiones acepta inversiones en renta variable en
acciones nacionales hasta un 5 % de su cartera de inversiones.
• La tolerancia al riesgo acepta hasta un 6 %
• Este es un punto sustantivo para un Auditor Interno, revisar que
todos los riesgos primarios de la Matriz de Riesgos tengan sus
apetitos y tolerancias establecidos y revisar su existencia y
cumplimiento, informando, usualmente al Comité de Auditoría.
74
75
COSO Y AUDITORÍA INTERNA
• El desarrollo e implementación es ajeno a Auditoría Interna.
• No obstante, mi experiencia es que en su desarrollo suele pedirse
ayuda a Auditoría Interna.
• Recuerden la actual definición de Auditoría Interna
• Auditoría interna es una actividad independiente y objetiva de
aseguramiento y consulta, concebida para agregar valor y
mejorar las operaciones de una organización. Ayuda a una
organización a cumplir sus objetivos aportando un enfoque
sistemático y disciplinado para evaluar y mejorar la eficacia de los
procesos de gestión de riesgos,control y gobierno.
75
Decisión
Desarrollo e
implementación
Auditoría
• La empresa en su Directorio decide adoptarlo
• Se comunica a todos los niveles y se designa un jefe de
proyecto
• Refcuerden es una ESTRUCTURA y no partes sueltas
• Se compara lo que hay y se levantan los Gaps
• Se desarrolla el proyecto y se implementa, Auditoría
Interna puede ser parte del proyecto
• Se audita su funcionamiento y se levantan diferencias y
observaciones
• Se hace un plan de mejoras con encargados y plazos
• Se vuelve a revisar el resultado del plan
76
Entorno de
control
Información y
comunicaciónes
Monitoreo
Evaluació n de
Riesgos
Actividades de
control
77
78
II ) EVALUACIÓN DEL CONTROL INTERNO USANDO COSO
• COSO tiene un documento específico para hacer este trabajo.
• Se llama «Illustrative Tools for Assessing Effectiviness of a System
of Internal Control «
• Está en inglés y debe comprarse, tiene 146 páginas.
• Uds en el curso pueden usar el borrador final de COSO que es muy
parecido al documento final.El ideal es comprarlos tres documentos
de COSO
• Uds pueden acceder a él en el sitio web de la Asociación de
Auditores Externos de Chie AG cuyo link es:
www.aechile.cl
• Ahí buscan la pestaña de Gobierno Corporativo y luego Sección
COSO y luego busquen COSO 2013 Estructura borrador final 2011
• En la clase explicaremos su contenido y forma de usarlo.
78
79
CONTENIDO Y FORMA DE USARLO
•
•
•
•
•
•
Veamos en las diapositivas siguientes que hice un print pantalla
La secuencia parece al revés,pero tiene su lógica
Primero deben tener una visión general
Segundo deben revisar cada uno de los cinco componentes
Tercero deben revisar los 17 principios
Finalmente debe hacerse un registro de las deficiencias lo que resulta de
lo anterior
• El documento al final incluye ejemplos que se los recomiendo
• Es mi experiencia tanto profesional como académica que a la mayoría de
las personas les resulta complejo porque hay que trabajar interelacionado
todo con todo. Recuerden la Torre Eiffel Por años y años los Auditores
tanto en su formación académica cono laboral trabajan por partes aisladas y
esto no sirve en la evaluación
• Veremos con ejemplos que explicaremos ,pero Uds la única manera de
aprender esto es usarlo
79
80
Enseguida hay que relacionar con los objetivos –
parte superior del cubo
Esta parte no está en el borrador sino en el documento final
Ejemplo de Evaluación de riesgo y objetivos- ( sólo principio
7 .hay que hacerlo con todas las relaciones)
Puntos de Focos
Objetivos de operaciones
Refleja elecciones de la Administración sobre estructura, la
industria y performance
Considera tolerancia al riesgo para el logro de los objetivos
Incluye metas deseadas
Se asignan recursos para metas
Objetivos de Reporte Financiero Externo
Acorde a principios contables
Considera la materialidad en la presentación de EEFF
Refleja todas las transacciones y sus aseveraciones
Objetivos de reportes externos no financieros
Consistentes con leyes y regulaciones y respeto a entes
externos
Niveles de precisión establecidos por terceras partes
Acorde a rangos de seguridad aceptables
Objetivos de Reportes Internos
Seguros y completos acorde a las necesidades
Niveles de precisión predefinidos
Con límites establecidos
Objetivos de Compliance
Entonces- para aprender a nadar no se hace por
powerpoint, hay que aprender en la piscina
• Atrévanse a usar estas herramientas para evaluar el
cumplimiento de COSO 2013, es motivador y útil
para Uds y vuestra organización y verán que
pueden cruzar la piscina sin ahogarse
• Ánimo y suerte