Transcript Diapositiva 1

Administración Integral de
Riesgos de Negocio
Septiembre 2008
Actualmente…
• Es muy difícil predecir el futuro.
• El Consejo de Administración debe atender el tema de los riesgos.
• Para prosperar se tendrán que conocer y administrar los riesgos.
• La capacidad de dominar el riesgo se ha transformado en una ventaja
estratégica básica.
• Ignorar los riesgos puede significar el fracaso individual o el de la
organización.
Premisas de administración de riesgos
• El riesgo es un hecho de la vida; la vida está constantemente
cambiando.
• La economía está creando grandes oportunidades y retos.
• El riesgo es la razón de ser de la empresa.
• Las organizaciones necesitan un nuevo proceso de negocio
estratégico.
• Ese proceso es la Administración Integral de Riesgos de Negocio
(AIRN).
Definición de riesgo
“El impacto y la probabilidad de que una
amenaza pueda afectar adversamente la
capacidad de una organización para lograr
sus estrategias y objetivos de negocio”
El Riesgo de Negocio provee el contexto para el enfoque de
AIRN
– Riesgo de Negocio - “La posibilidad de que un evento o acción,
interna o externa, afecte adversamente la capacidad de una
organización para ejecutar exitosamente sus estrategias y
alcanzar sus objetivos”.
– La AIRN es el proceso de identificación y gestión global de los
riesgos clave del negocio con el objeto de mitigar la exposición total
de la entidad.
Un enfoque para toda la entidad ayuda a ver el riesgo y la
oportunidad desde un punto de vista integral
• La Administración Integral de Riesgos de Negocio:
– Optimiza oportunidades, riesgos, crecimiento y capital
– Sistemáticamente evalúa y gestiona riesgos
– Consolida riesgos y oportunidades para mejorar resultados
– Es parte integral del proceso de toma de decisiones de la gerencia
– Enriquece el Gobierno Corporativo a través de una estructura de
supervisión
Definición de administración integral de riesgos
“La AIR es un enfoque estructurado
y disciplinado que coordina
estrategias, procesos, recursos
humanos, tecnológicos y
conocimientos con el fin de evaluar
y administrar los riesgos
enfrentados”
Gente
Procesos
Estrategia
Tecnología
Conocimiento
Proceso de administración integral de riesgos
“La AIR está basada en un proceso,
lo que implica un enfoque
sistemático para desarrollar las
capacidades de Administración de
Riesgos”
Establecer el proceso
de AIR
• Metas y Objetivos
• Lenguaje común
• Estructura de supervisión
Evaluar los Riesgos
del Negocio
• Identificar
• Determinar la fuente
• Medir
Mejora Continua de
las Capacidades de
AR
Monitorear
Desempeño
de AR
Información
para la Toma
de
Decisiones
Desarrollar Estrategias
de AR
Retener
Reducir
Aprovechar  Transferir
Evitar

Diseñar /
Implementar
Capacidades de
AR
Estrategias básicas de administración de riesgos
Aceptar
Si
Rechazar
No
El riesgo es inherente
en el modelo de
negocio o normal para
las operaciones
futuras.
• Fuera de estrategia
• Ofrece recompensas
no atractivas
Retener
Reducir
Transferir
Aprovechar
Dejar el riesgo –
fijar nuevo
precio, asegurar
o planear
dependiendo de
los niveles de
tolerancia
Controlar o
dispersar el riesgo
Requiere una
contraparte
independiente
financieramente
capaz que esté de
acuerdo en
aceptar el riesgo
Puede incrementar
la exposición y
posiblemente
conduzca al
supuesto de riesgo
adicional, mientras
que al mismo
tiempo se
incrementa la
ventaja competitiva
Evitar
Incluye cualquier
acción necesaria
para eliminar
completamente
todos los elementos
de la exposición a un
riesgo específico
Modelo de riesgos de negocio
Fuentes de
Incertidumbre
Riesgos del entorno
Incertidumbres que
afectan la viabilidad de
nuestro modelo de
negocios
Riesgos de procesos
Incertidumbres que afectan
la ejecución de nuestro
modelo de negocios
Riesgos de información
Para la toma de
decisiones
Incertidumbres acerca de la
pertinencia y confiabilidad
de la información sobre la
cual se basan nuestras
decisiones
Modelo para identificar la fuente de riesgos críticos
Riesgos del entorno
Competencia, Regulatorio, Industria, Otro
Riesgos de procesos
Riesgo Operacional
Riesgo de Facultades
Procesamiento de Información /
Riesgo Tecnológico
Riesgo Financiero
Riesgo de Integridad
Riesgos de informacion para la toma de decisiones
Operacional
Financiera
Estratégica
Los mapas de riesgo nos ayudan a colocar todos los
riesgos identificados en perspectiva. Es una herramienta
indispensable en la etapa de priorización.
Traduciendo el Mapa
de Riesgo en
acciones
concretas….
SIGNIFICANCIA
A través de la clasificación de riesgos según la
posibilidad de ocurrencia y la significancia del
impacto, identificamos los temas más urgentes para
usar mejor los recursos escasos.
Acciones urgentes son requeridas para aquellos
riesgos que tiene tanto una alta posibilidad de
ocurrencia y alta significancia, dado que ellos son los
que más afectarían al fracaso de la empresa.
Los riesgos que son tanto de baja significancia como
de baja posibilidad de ocurrencia no requieren
ninguna acción, pues representan las ganancias y
pérdidas habituales en el normal desenvolvimiento
de la operaciones del negocio.
Los temas que son o de alta significancia o de alta
posibilidad de ocurrencia (pero no ambos),
representan pérdidas inesperadas que deben ser
absorbidas por las reservas de capital.
POSIBILIDAD DE OCURRENCIA
POSIBILIDAD DE OCURRENCIA
Mapa de riesgo
Evaluar
el costo
beneficio
Acción
urgente
Evaluar
el costo
beneficio
Mínima
prioridad
SIGNIFICANCIA
Infraestructura de administración integral de riesgos
La infraestructura debe ser coherente y alineada en sus componentes:
Estrategias
y
Políticas
Procesos no
se alinean a
estrategias
Procesos
Personas
no realizan
procesos
Estructura
Reportes de
Gestión
Reportes no
proveen
información
relevante
Modelos y
Metodologías
Metodologías
no tienen
información
adecuada
Sistemas e
Información
Información no
esta disponible
para análisis
Beneficios aportados por la AIR
Las empresas implementan el enfoque de AIR para mejorar el
desempeño e incrementar el valor de mercado:
Conocimiento Mejorado
del Riesgo
Incremento en
Confianza
Toma de Decisiones
Coordinada
• Mejora en entendimiento
de riesgos que afectan
utilidades y capital
• Cuantificación de efectos
de estrategias alternativas
• Prever y comunicar
incertidumbres asociadas a
metas de desempeño
• Administración de riesgos
a costos más bajos que la
competencia
• Adecuada evaluación de
riesgos inherentes en
transacciones
• Mayor certidumbre por
procesos sistemáticos de
evaluación de riesgos
• Mejora en la transparencia
de riesgos e
involucramiento de los
accionistas
• Asumir riesgos que
intimidan a la competencia
• Establecimiento de límites
de riesgo
• Mejora en la asignación de
recursos y capital
• Integración de AR con
planeación estratégica
• Enfoque de portafolios a la
AR
Poner en marcha la AIR
Dirigir desde la alta gerencia
• Involucrar a ejecutivos clave
– Crear una visión de AIR
– Establecer objetivos realistas
– Integrar en los procesos de planeación estratégica y de negocios
– Desarrollar un plan de acción
• Identificar prioridades para actuar
– Identificar los riesgos y priorizarlos
– Pensar en lo impensable, prevenir sorpresas es el corazón de la AR
– Dominar los riesgos inherentes en el modelo de negocio
– Aplicar un perspectiva de riesgo a los principales eventos de cambio
En resumen…
• Los exitosos comprenden los riesgos y crean valor ante la
incertidumbre.
• La AIR es un cambio de actitud que requiere de un enfoque a la
medida y un proceso de cambio efectivo guiado desde el más alto
nivel de la organización.
• La AIR es un proceso continuo y no una serie de ejercicios únicos.
• Hoy se pueden controlar los riesgos, mañana será diferente y hay que
anticiparnos.
• La AIR afecta la forma en que pensamos e implica sobrellevar un
cambio cultural y no puede ocurrir de un día para otro.
Mejores prácticas en Control
Interno.
La Ley Sarbanes Oxley.
Septiembre 2008
¿Qué es el Control Interno?
• El Control Interno significa diferentes cosas para diferentes personas.
• Personal Facultado en el tema define el Control Interno* como: el proceso
diseñado para proveer una seguridad razonable en relación con el
logro de los objetivos de la organización.
• Los tres objetivos principales que tiene el Control Interno son:
– Promover eficiencia en las operaciones
– Asegurar confiabilidad en la información financiera
– Mantener el cumplimiento con las leyes y regulaciones aplicables.
• “El control interno ayuda a la entidad a llegar a donde quiere llegar, evitando
los peligros y sorpresas que puedan suceder a lo largo del camino”
* Marco Integrado - Control Interno, Committee of Sponsoring Organizations (COSO) of the
Treadway Commission
¿Por qué el Control Interno es importante?
•
•
Operacional
Promover eficiencia y
eficacia en las
operaciones a través de
los procesos
estandarizados.
Asegurar la salvaguarda
de los activos a través de
las actividades de control
Financiero
•
Promover la integridad de
los datos en la toma de
decisiones del negocio.
•
Asistir en la prevención y
detección de fraudes a
través de la creación de
un rastro de evidencia
auditable.
De Cumplimiento
•
Ayudar a mantener el
cumplimiento con las leyes y
regulaciones a través de un
monitoreo periódico
Eventos Seleccionados en la Evolución del Control Interno
1970
1980
1990
A mediados
Inicios -1980s
1992
de los 70s
Incrementó el
Publicación del
Investigación
enfoque en
Marco
del
Control
Integrado de
“Escándalo
Interno y
Control InternoWatergate”
cumplimiento
COSO
1977
Ley de prácticas de
corrupción
extranjeras
(Foreign Corrupt
Practices
1985
Act- FCPA)
Comisión Nacional
de Informes
Financieros
Fraudulentos
- (Treadway
Commission)
2000
2002
Ley
SarbanesOxley
1990s – 2000
Continúa el enfoque en
Controles Internos,
Riesgos Administrativos y
responsabilidades
(Blue Ribbon Commission,
Competency Framework
for Internal Audit)
Como todo inicio...
• A mediados de los 70s, la SEC y el fiscalista especial del Escándalo
Watergate, se enfocaron en el control interno.
– Ciertas corporaciones realizaron pagos ilícitos, incluyendo sobornos a funcionarios del
gobierno.
• La Ley de Prácticas de Corrupción Extranjeras (Foreign Corrupt Practices Act
-FCPA) de 1977 fue resultado de las investigaciones del Escándalo Watergate y
de la participación de la SEC.
– Una de las consideraciones de la Ley respecto al Control Interno es que éste debe ser un
elemento adicional para prevenir la realización de pagos ilegales.
• Al inicio de los 80s, se dió un creciente enfoque dirigido al ambiente de control
y a los procesos de control interno.
• La Comisión Nacional de Informes Financieros Fraudulentos, conocida como
Treadway Commission, fue creada en 1985 y pretende:
– Identificar los factores que causan informes financieros fraudulentos
– Hacer recomendaciones para reducir incidencias.
La Evolución Continúa...
• La Treadway Commission emitió un reporte sobre Informes
Financieros Fraudulentos en el cual:
– Se enfatizó en el ambiente de control, en los códigos de conducta, y en el
involucramiento de Comités de Auditoría
– Se realizó un llamado a diferentes organizaciones para integrar varios
comités y desarrollar un punto de referencia común. El resultado fue el
Committee of Sponsoring Organizations (COSO)
– El modelo COSO incorporó el aprendizaje de otros modelos existentes (ej. CoCo,
Cadbury, Turnbull, etc.)
• COSO desarrolló y publicó, un criterio ampliamente aceptado para
establecer evaluaciones efectivas sobre el control interno
– Definió un criterio común de control y un modelo de ambiente de control –
“Control Interno – Marco Integrado”.
– Establece el medio para monitorear, evaluar e informar respecto al control interno.
– Resume los roles y responsabilidades de la gerencia.
La Evolución Continúa...
• Blue Ribbon Commission
– Enfocado a fortalecer la independencia de los Comites de Auditoría,
definiendo la confiabilidad y aprobando la efectividad.
– Informe emitido en 1999, destacando 10 recomendaciones y requerimientos
para los Comites de Auditoría.
– Reglas aplicadas por la SEC, NASDAQ, NYSE, AICPA.
• Marco de competencia para Auditoría Interna (CFIA)
– Emitido por el Instituto de Auditores Internos
– Define la aportación de “valor agregado” de los departamentos de auditoría
interna del futuro.
– Auditoría Interna deberá proveer aseguramiento acerca de la exposición de la
compañía al riesgo y sobre estrategias de control
La Evolución Continúa...
• Ley Sarbanes-Oxley
– Ley firmada en Julio 2002
– Requiere responsabilidad ejecutiva para la infraestructura de control interno.
– Certificación trimestral de estados financieros y testimonio anual de la
efectividad de la infraestructura de controles internos.
CONCLUSIÓN:
Las organizaciones están siendo continuamente conducidas hacia la
aplicación de estándares mas elevados de control interno y
administración de riesgos
Obligaciones y oportunidades derivadas de los objetivos de
la Ley Sarbanes Oxley
• Restaurar la confianza del público en el mercado público de valores
• Mejorar el gobierno corporativo y promover prácticas éticas de
negocios
• Mejorar la transparencia e integridad de los estados financieros y sus
revelaciones
• Asegurar que los ejecutivos de la compañía estén conscientes de la
información financiera al emanar de un ambiente bien controlado
• Hacer responsable a la administración de la compañía de información material
que es presentada ante la SEC y liberada a los inversionistas
• Alcanzar nuevos niveles de excelencia corporativa
Principales requerimientos
Secciones de la Ley Sarbanes-Oxley
Requerimiento
Implicación en la información
302
• Requiere que el CEO y el CFO certifiquen los
reportes entregados periódicamente a la SEC.
409
• Requerimiento de revelar cualquier cambio
material de manera oportuna
404
• Requerimiento de entregar un reporte sobre el
Control Interno
• Requiere documentación, evaluación y remediación de
controles internos duros transparencia y exactitud
802
• Retención y protección de documentos y registros
de auditoría
• Digitalización y fácil acceso a registros históricos,
incluyendo correspondencia y correos electrónicos —
exactitud
• Errores en los reportes podrían ocasionar penas legales
a los directivos — exactitud
• Ambigüedad entre ‘oportuna’ y ‘material’---oportunidad
Otros requerimientos
• 103 Retención y salvaguarda de documentos de auditoría
• 201 Monitoreo y pre-aprobación de servicios diferentes a la
auditoría
• 301 Monitoreo de quejas por parte del Comité de Auditoría
• 306 Monitoreo y prevención de operaciones con información
privilegiada
• 406 Creación y revelación del Código de Ética
• 407 Revelación de expertos financieros en el Comité de
Auditoría
• 408 Simplificación de revisiones de la SEC
• 401 Revelación de información financiera
• 501 Monitoreo y revelación de analista de valores
• 402 Monitoreo y prevención de préstamos a ejecutivos
• 806 Comunicación y recepción de denuncias
• 403 >10% Revelación de tenencia accionaria en dos días
hábiles
• 906 Certificación de la información financiera
• 1102 Retención y salvaguarda de información
Sarbanes–Oxley y sus regulaciones buscan asegurar un mínimo de calidad, exactitud, transparencia y oportunidad en la
preparación de información financiera.
Comprendiendo los Requerimientos, Sección 404
Resumen de los Requerimientos
Requiere que anualmente la Administración:
• Declare su responsabilidad por establecer y mantener una estructura de control
interno adecuada y procedimientos para reporte financiero
Sección 404
• Conducir una evaluación de la eficacia de los controles internos y procedimientos
para reporte financiero de la Compañía
Requiere al auditor independiente que:
• Atestigüe la evaluación de la Administración. El objetivo del auditor en una Auditoría
al control interno sobre la información financiera, es expresar una opinión sobre las
aseveraciones hechas por la Dirección respecto al control interno sobre la
información financiera.
Para formarse dicha opinión, el auditor debe planear y ejecutar su Auditoría para
obtener una seguridad razonable respecto a si la compañía mantuvo, en todos sus
aspectos importantes, control interno efectivo sobre la información financiera a la
fecha indicada en el reporte hecho por la gerencia.
Comprendiendo los Requerimientos, Sección 404
La información necesaria para soportar la afirmación incluye:
• Información acerca del ambiente de control de la compañía
• Documentación del proceso para identificar, clasificar y evaluar el riesgo
• Documentación de los objetivos de control para cubrir riesgos identificados y
actividades de control relacionadas
• Documentación de sistemas de información y procedimientos de comunicación
• Documentación del proceso de creación, de revelación y actividades de control
relacionadas
• Resultados de la última evaluación de controles de la administración
• Lista de las deficiencias encontradas y procedimientos propuestos para
remediarlas
• Documentación del proceso de comunicación de deficiencias
• Documentación de los procedimientos de monitoreo
Ausencia de la información mencionada puede resultar en que la administración no
tenga la documentación necesaria para soportar su afirmación.
Comprendiendo los Requerimientos, Sección 404
COSO
En los Estados Unidos, el Committee of Sponsoring Organizations ("COSO") de la Comisión Treadway
publicó el Marco Integrado de Control Interno. El cual es conocido como el reporte COSO, y proporciona
una marco adecuado para los propósitos de la evaluación por parte de la gerencia.
Comprendiendo los Requerimientos, Sección 404
“Divisiones / Empresas / Ciclos de negocios / Procesos”
Partiendo de los estados financieros consolidados se determina el monto sobre el cual se definirá si
determinada entidad / ciclo / proceso, en cada una de las divisiones que forman el grupo, será sujeto a
diagramación e identificación de objetivos y actividades de control.
Estados
Financieros
consolidados
Cuentas
materiales en
BG y ER
Divisiones
Entidades
Entidades
Ciclos de negocio
Sistemas de información
Validación conjunta con el auditor externo
Entidades
Comprendiendo los Requerimientos, Sección 404
“Divisiones / Empresas / Ciclos de negocios / Procesos”
Divisiones
Entidades
Entidades
Entidades
Una vez mapeado el
macroproceso, utilizando
ciertos factores clave de
decisión, se seleccionan los
procesos sobre los cuales se
identifican Riesgos, Objetivos y
Actividades de control.
Ciclos de negocio
Macroproceso
Procesos
Procesos
Procesos
Sistemas de información
A partir de la selección de las
entidades con operaciones
materiales y riesgos
identificados, se lleva a cabo el
“mapeo” del Macroproceso
relativo al ciclo seleccionado.
Cuentas
individuales
en BG y ER
por entidad
Dichos procesos se relacionan
con cuentas contables
específicas.
Sobre una plataforma
tecnológica uniforme que
permita automatizar gran parte
de los controles.
Comprendiendo los Requerimientos, Sección 404
“Divisiones / Empresas / Ciclos de negocios / Procesos”
Divisiones
Entidades
Entidades
Entidades
Ciclos de negocio
Macroproceso
Procesos
Procesos
Cuentas
individuales en
BG y ER por
entidad
Procesos
Sistemas de información
PROCESO: Compras operativas
Versión #1
CICLO: Egresos
Código: P- 01
Recibe pedido
Entrega material
Entrega
documentos a
revisión
Recibe vale de
entrada original en
obras metropolitanas
Compras
Recibe material y
elabora vale de
entrada
Recibe copia y
original de vale de
entrada en caso de
obras foráneas
Autoriza contrarecibos
según calendario de pagos
y/ o cadenas productivas y
entrega documentación a
cuentas por pagar
Recibe documentos
y genera
contrarecibos
4
Cuentas por
pagar
Procesos
1
Almacén
Proveedor
Octubre 200X
3
Recibe
documentación
Codifica y elabora
cuenta por pagar
4
Elaboró:
Revisó:
Autorizó:
Fin
Comprendiendo los Requerimientos, Sección 404
“Divisiones / Empresas / Ciclos de negocios / Procesos”
CICLOS DE
NEGOCIOS
CONSTRUCCION
Empresas
X
PESADA
Empresas
X
VIVIENDA
OPERACIÓN DE
Empresas X
INFRAESTRUCTURA
DESARROLLO
Empresas
X
Empresas
X
INMOBILIARIO
SERVICIOS
Empresas X
CORPORATIVAS
INGRESOS-ESTIMACIONES
COSTO DEL TRABAJO Y
RECONOCIMIENTO DE
INGRESOS
INVENTARIOS
N/A
N/A
N/A
DESEMBOLSOS
NOMINAS - PERSONAL
CONTABILIDAD E INFORMES
FINANCIEROS
ACTIVO FIJO
N/A
N/A
N/A
N/A
N/A
PIADISA, PARQUES Y
N/ASUR
C ENTRO
N/A
N/A
TESORERIA
CUENTAS POR COBRAR Y
PARTES RELACIONADAS
PRESTAMOS COMERCIAL Y
VALUACION
Tecnológia de la información
REVISAR EN C ADA DIVISION
C UBRE A TODAS LAS DIVISIONES
Comprendiendo los Requerimientos, Sección 404
Matriz de controles
Matri z SO X
C i cl o:
C ódi go:
Subsi di ari a: Banco
Proce so:
Subproce so:
Uni dad de ne goci o:
C ontrol
C ue ntas C ontabl e s y Ase ve raci one s (**)
Eval uaci ón al
Di se ño de l
control
C ontrol
e fe ctuado:
De scri pci ón
de l Ri e sgo
Acti vi dad de
control
O bje ti vo de
C ontrol
Fre cue nci a de l
control (D, S,
M, T, SEM, A)
Ti po de
C ontrol
(*)
Nombre de l
áre a due ña
de l control
Manual
TI
Adecuado
No.
Nombre y nivel
(*) Ti po de control : (i de nti fi car e l ti po y si e s pre ve nti vo o de te cti vo)
Revisión : Prevent ivo ó Det ect ivo
Aut orización: Prevent ivo
Verificación: Prevent ivo ó Det ect ivo
Conciliación: Det ect ivo
Segregación de funciones: Prevent ivo
(**) Ase ve raci ón:
I: Int egridad
E: Exist encia
O: Ocurrencia
V: Valuación
M: Medición
D: Derechos y obligaciones
P: Present ación y revelación
O tros
Ase ve raci one s
Nombre y
núme ro de
cue nta
re l aci onada
La acti vi dad de
control ¿e s de
Sal vaguarda de
Acti vos?
I
E
O
V
M
D
P
T ot al
T ot al
C oordi nador:
Re vi sor:
Inadecuado
Ri e sgo
Ase sor:
Re sponsabl e / Proce so
Re sponsabl e / C
Nombre y puest o
Comprendiendo los Requerimientos, Sección 404
Sentido de Urgencia
• Las compañías deben estar preparadas para soportar sus afirmaciones
y proporcionar soporte a los auditores independientes
• Se debe desarrollar un programa de control interno
– El nivel de esfuerzo es significativo
– Diseminar un marco de referencia de control interno
– Documentar controles
– Evaluar la eficacia de controles
– Debido a que la evaluación formal y el reporte de los auditores externos es a la
fecha de cierre de la compañía, se requiere tiempo para remediar las
deficiencias de control potenciales
– Algunas deficiencias de control pueden requerir de un lapso significativo de tiempo de
los directores para corregirlas
– Los auditores independientes necesitan suficiente tiempo para planear y
ejecutar su trabajo
– Los auditores independientes serán requeridos a hacer más pruebas de controles
Sección 404. Después de la autoevaluación...
Estándar No. 2
• En junio de 2003, la “SEC” (Securities and Exchange Commission) reformó sus
reglas respecto al “Securities Exchange Act of 1934”. La reforma a la regla
requiere que las compañías incluyan en su informe anual un reporte hecho por
la dirección respecto a la efectividad del control interno sobre la información
financiera, así como un reporte hecho por los auditores externos.
• En marzo de 2004, el Public Company Accounting Oversight Board (PCAOB)
aprobó y emitió el “Standard No. 2” An Audit of Internal Control over Financial
Reporting Performed in Conjunction with an Audit of Financial Statements.
Sección 404. Después de la autoevaluación...
• El objetivo del auditor en una auditoría al control interno sobre la información
financiera, es expresar una opinión sobre las aseveraciones hechas por la
Dirección respecto al control interno sobre la información financiera. Para
formarse dicha opinión, el auditor debe planear y ejecutar su auditoría para
obtener una seguridad razonable respecto a si la compañía mantuvo, en todos
sus aspectos importantes, control interno efectivo sobre la información
financiera a la fecha indicada en el reporte hecho por la gerencia.
• El auditor, como todos los años, debe auditar la situación financiera de la
empresa a una fecha determinada, ya que la información que el auditor
obtenga durante su auditoría es relevante en la conclusión respecto a la
efectividad del control interno sobre la información financiera.
• Mantener un control interno efectivo significa que no existen “debilidades
materiales”. Por lo tanto, el objetivo de una auditoría de control interno es
obtener seguridad razonable de que no existan “debilidades materiales” a la
fecha especificada en la aseveración de la Dirección.
Sección 404. Después de la autoevaluación...
Deficiencias y debilidades
• Una de las tareas más complicadas en el análisis del control interno se
refiere a la clasificación de deficiencias y/o debilidades. Determinar la
definición y/o naturaleza correctamente es vital, por lo que esto debe
expandirse a todos los niveles de la empresa.
• El PCAOB ofrece las siguientes definiciones:
– Una deficiencia de control existe cuando el diseño o la operación del
control no permite a la administración o a los empleados, prevenir o detectar
errores en el curso normal de operaciones, de manera oportuna.
– Una deficiencia en diseño existe cuando:
– Un control necesario para cumplir el objetivo de control esta ausente o
– Un control existente no está adecuadamente diseñado, y por la tanto aunque opere
según fue diseñado, el objetivo de control no siempre se cumple. Una deficiencia en
operación existe cuando un control adecuadamente diseñado no opera según fue
diseñado, o cuando la persona responsable del control no cuenta con las atribuciones o
la capacidad necesarias para llevar a cabo el control eficientemente.
Sección 404. Después de la autoevaluación...
Deficiencias y debilidades
• Una deficiencia significativa es una deficiencia de control, o una
combinación de éstas, que afectan de manera adversa la habilidad de la
compañía para iniciar, autorizar, registrar, procesar, o reportar información
financiera a terceros de manera confiable y de acuerdo con principios de
contabilidad generalmente aceptados, de tal forma que haya una posibilidad
más que remota de que un error en la información financiera intermedia o
anual de la compañía, que se considere material pueda o no ser prevenido o
detectado.
• Una debilidad material es una deficiencia de control, o una combinación de
estas, que resulta en una posibilidad más que remota de que un error en la
información financiera intermedia o anual de la compañía, que se considere
material pueda o no ser prevenido o detectado.
Contacto:
Alfonso Gómez
3686-2400 ext. 1217
[email protected]