CONTROL INTERNO BASADO EN EL INFORME COSO Alcance  Nuevos paradigmas.  Conceptos metodológicos de COSO.  Bases de MEYCOR COSO AG, una herramienta para la.

Download Report

Transcript CONTROL INTERNO BASADO EN EL INFORME COSO Alcance  Nuevos paradigmas.  Conceptos metodológicos de COSO.  Bases de MEYCOR COSO AG, una herramienta para la.

CONTROL INTERNO
BASADO EN EL
INFORME COSO
Alcance
 Nuevos paradigmas.
 Conceptos metodológicos de COSO.
 Bases de MEYCOR COSO AG, una
herramienta para la implantación del
control interno basado en COSO.
Informe COSO
 En 1992, COSO publicó el Sistema
Integrado de Control Interno, un informe
que establece una definición común de
control interno y proporciona un estándar
mediante el cual las organizaciones
pueden evaluar y mejorar sus sistemas de
control.
El objetivo de COSO
 Mejorar la calidad de la información
financiera concentrándose en el manejo
corporativo, las normas éticas y el
control interno.
 Unificar criterios ante la existencia de
una importante variedad de interpretaciones y conceptos sobre el control
interno.
Gestión del Riesgo empresarial (ERM)
 “El control interno es una parte integral de la
Administración del riesgo empresarial y está
abarcado dentro de éste.”
 “La Administración del riesgo empresarial es
más amplia que el control interno, expandiendo
y elaborando sobre el control interno para
formar una concepción más robusta que se
enfoca más sobre el riesgo.”
 “El Marco Integrado Control Interno sigue
siendo totalmente válido para las entidades y
otros que ponen énfasis en el control interno.”
Basilea II
 Incluye varios cambios que, si bien serán
exigibles a principios de 2007, marcan un rumbo
sobre el que hay que empezar.
 Basilea I se centraba en el análisis de riesgos
de crédito y de mercado. Ahora se aumenta la
regulación de fondos propios exigidos por la
normativa y la exposición al riesgo.
 Se incluye la necesidad de tener en cuenta un
nuevo riesgo: el riesgo operacional o sea el
resultado de la pérdida derivada de fallos en los
procesos internos, en la actuación de personas
o de sistemas inadecuados o erróneos así como
de factores externos.
Conformidad con ley SARBANES
OXLEY
 Utilización de COSO, modelo del
Gobierno Corporativo, y de COBIT,
modelo del Gobierno de la Tecnología
de la Información, para lograr
conformidad con la ley SARBANESOXLEY
Conceptos
Metodológicos del
INFORME COSO
Los nuevos conceptos del
control interno en las
organizaciones
Definición de Control Interno
 Es un proceso que involucra a todos los
integrantes de la organización sin excepción,
diseñado para dar un grado razonable de apoyo
en cuanto a la obtención de los objetivos en las
siguientes categorías:
 Eficacia y eficiencia de las operaciones (O)
 Fiabilidad de la información financiera (F)
 Cumplimiento de las leyes y normas que son
aplicables(C)
 Estas tres categorías se interrelacionan entre sí.
¿Qué se puede obtener a través de
COSO?
 La definición de un marco de referencia
aplicable a cualquier organización.
 COSO considera que el control interno
debe ser un proceso integrado con el
negocio que ayude a conseguir los
resultados esperados en materia de
rentabilidad y rendimiento.
 Trasmitir el concepto de que el esfuerzo
involucra a toda la organización: desde la
Alta Dirección hasta el último empleado.
Componentes del Control
Interno
 Son 5 componentes (Entorno de control,
Evaluación de los Riesgos, Actividades de
control, Información y comunicación, y
Supervisión) que interactúan entre si y están
integrados al proceso de Dirección.
 El sistema de control debe incorporarse de
manera armónica con las actividades operativas
de la organización.
 Esto ayuda a que se fomente la calidad de la
delegación de poderes, se eviten pérdidas y
haya una respuesta rápida ante los cambios.
Entorno de Control
 Es la base de los demás componentes,
aportando disciplina y estructura.
 Incluye: la integridad, los valores éticos y
la capacidad de los empleados de la
entidad, la filosofía de la Dirección y el
estilo de gestión, la asignación de la
autoridad y las responsabilidades, la
organización y el desarrollo de los
empleados y la orientación de la
Dirección.
Evaluación de los riesgos
 Primeramente deben identificarse los
objetivos organizacionales, vinculados y
coherentes. Luego deben identificarse y
evaluarse los riesgos relevantes que
pueden afectar el alcanzar esos objetivos.
 Los riesgos deben ser administrados,
atendiendo a la existencia de un medio
interno y externo cambiante.
Actividades de Control
 Son las políticas y procedimientos que
ayudan a asegurar que se toman las
medidas para limitar los riesgos que
pueden afectar que se alcancen los
objetivos organizacionales.
 Son ejemplos: autorizaciones, verificaciones, conciliaciones, segregación de
funciones, revisiones de rentabilidad
operativa, etc.
Información y Comunicación
 Se debe identificar, ordenar y comunicar en
forma oportuna la información necesaria para
que los empleados puedan cumplir con sus
obligaciones.
 La información puede ser operativa o financiera,
de origen interno o externo.
 Deben
existir
adecuados
canales
de
comunicación.
 El personal debe ser informado de la
importancia de que participe en el esfuerzo de
aplicar el control interno.
Supervisión
 Debe existir un proceso que compruebe
que el sistema de control interno se
mantiene en funcionamiento a través del
tiempo.
 La misma tiene tareas permanentes y
revisiones periódicas. Estas últimas
dependerán en cuanto a su frecuencia de
la evaluación de la importancia de los
riesgos en juego.
Interrelación
 La organización debe
lograr cumplir con
esas tres categorías
de objetivos (O, F,C)
ya vistas.
 Los 5 componentes
descriptos
son
acciones necesarias
para
lograr
esos
objetivos.
Limitaciones a atender
 La confianza en el sistema de control
interno no debe dejar de considerar que:
Pueden existir fallas resultantes de errores de
juicio.
La colusión de dos o más personas o la
acción de la Dirección pueden burlar el
sistema.
El sistema a diseñar debe explicitar las
limitaciones de recursos (relación costo
beneficio).
Funciones y
responsabilidades
 La Alta Gerencia es la responsable última del
sistema de control. La integridad y la ética
deben ser elementos que aporten ejemplo a los
demás empleados. Debe dirigir a los gerentes
que a su vez son los responsables en sus
respectivas áreas.
 El Consejo de Administración fija las pautas y la
visión global del negocio. El Consejo debe tener
un papel activo en el conocimiento de las
acciones que se ejecutan. Debe asegurarse de
contar con vías de comunicación efectivas con
la Alta Dirección y las áreas financieras, legales
y de auditoría interna.
 La Auditoría Interna debe desempeñar un papel
de supervisión sobre la eficiencia y permanencia
de los sistemas de control. Para ello debe contar
con una ubicación jerárquica adecuada.
 Los empleados en general tienen la
responsabilidad de participar en el esfuerzo de
aplicar el control interno, cuyos detalles deben
ser incorporados a la descripción de los puestos
de trabajo. Ellos deben comunicar al nivel
superior las desviaciones que detecten a los
códigos de conducta, a las políticas establecidas
o la legalidad de las acciones realizadas.
MEYCOR COSO AG
 El Informe COSO define una estructura, un
marco de referencia.
 Dentro del mismo se debe analizar cómo
interactuan los componentes en la realidad
peculiar de cada organización.
 Debe contarse con una herramienta que asista
en el proceso de evaluación periódica y
proactiva del sistema de control interno.
 La evaluación puede querer centrarse en un
solo objetivo (por ejemplo la información
financiera). Puede también querer referirse a
una unidad de la organización o a una actividad
en particular.
Matriz de COSO
Evaluación de los riesgos
 Determinación de los Objetivos.
 Objetivos globales (tales como la Misión).
 Objetivos específicos de las diversas
actividades (por ej. Producción), estos
sub-objetivos medibles a través de metas
deben ser coherentes.
Los objetivos deben ser:
 Definidos de modo de identificar los criterios
para medir el rendimiento y establecer factores
críticos de éxito (que pueden ser a nivel de
actividad o unidad operacional).
 Coherentes y compatibles.
 Como ejemplo se puede considerar: efectuar
pagos sólo para compras autorizadas, que los
sistemas informáticos se encuentren disponibles
según los requerimientos del negocio, etc.
Los riesgos
 La identificación y el análisis de riesgos es un
proceso interactivo que involucra al personal
responsable de cumplir con los objetivos fijados
ya que es el más idóneo.
 Los riesgos pueden ser el resultado del efecto
de factores internos y externos, por ejemplo: las
averías de los sistemas informáticos, los
cambios en la responsabilidad de los directivos,
etc.
 Una vez identificados debe estimarse su
importancia, evaluar la probabilidad de que
impacte a la organización y qué medidas deben
tomarse para atenuar sus efectos.
Actividades de Control
 Son políticas, procedimientos y acciones
que afectan a una o más áreas de la
organización.
 Algunos ejemplos serían:
Análisis efectuados por la Dirección.
Gestión directa de los responsables.
Proceso de información.
Controles físicos.
Indicadores de rendimiento y segregación de
funciones.
Relacionamiento de los elementos
 Las actividades de control, al enfrentar
adecuadamente a los riesgos, ayudan a
alcanzar los objetivos de los Departamentos y actividades, logrando así
alcanzar los objetivos del negocio.
Información y comunicación
 Debe asegurase que se obtenga
información de calidad y no meros datos.
 La información debe ser protegida ya que
se trata de un activo valioso.
 Las vías de comunicación interna deben
asegurar que el personal conozca los
elementos suficientes para cumplir con su
tarea.
Supervisión
 Las actividades de supervisión continua y
evaluaciones puntuales.
 Las deficiencias detectadas deben ser
oportunamente comunicadas.
MEYCOR COSO
AG
Detalle de funcionalidades
Ingreso al sistema
El sistema cuenta con un control de acceso al
mismo compuesto por un login y una
contraseña.
El Administrador (ADMIN) deberá conocer la
herramienta y sus fundamentos teóricos, y a la hora
de hacer los relevamientos podrá distribuir el acceso
a los cuestionarios según el perfil de los revisores.
Menú Principal
El Menú Principal cuenta con una barra
de herramientas que permite un acceso
más directo a las opciones más usadas.
Grupos de trabajo y revisores
Se definen grupos de trabajo y los revisores
que participarán en la revisión.
Guía metodológica
Existe una guía metodológica que facilita la
aplicación de la metodología COSO. Esta
guía contiene los pasos a seguir durante la
evaluación, documentación, y accesos
directos a los formularios donde la
información debe ser ingresada.
Cuestionarios Generales
Los cuestionarios generales de los 5
componentes pueden ser evaluados a
diferentes niveles de la organización.
Formularios de Cuestionarios
Generales
Los cuestionarios generales pueden ser
generados en formato RTF (con ingreso
manual de respuestas) o en formato HTML
(con ingreso automático de respuestas).
Cargar respuestas desde Formularios HTML
Este formulario le permite cargar las
respuestas
de
los
cuestionarios
generales desde los formularios HTML.
Sincronización de Evaluaciones Off-line
Este formulario le permite sincronizar las
respuestas de los cuestionarios generales que
los revisores hayan ingresado en bases off-line.
Informe de Cuestionarios Generales
Permite evaluar los resultados de la revisión de
los 5 componentes tanto a nivel numérico como
gráfico, con diferente nivel de desagregación.
Comparación de Cuestionarios
Generales
Permite comparar los resultados de la revisión entre
sí y contra el promedio, tanto a nivel numérico
como gráfico, con diferente nivel de desagregación.
Comparación de diferentes períodos
Permite comparar los resultados obtenidos en
diferentes períodos tanto a nivel numérico como
gráfico, con diferente nivel de desagregación.
Codificación de la estructura organizacional
Antes de comenzar la revisión, se deben
determinan los niveles que componen la
estructura de la organización.
Organigrama
Se identifica el organigrama, definiendo los
objetivos de cada área y sus responsables.
Reporte del organigrama
Procesos y sub-procesos
Se definen los procesos y sub-procesos y se
los asigna a las unidades del organigrama
correspondientes.
Reporte de Procesos y Subprocesos
Asignación de procesos
Se asignan los procesos y sub-procesos que
serán revisados por cada grupo de trabajo.
Ponderación de procesos
Los procesos y sub-procesos pueden ser ponderados
y rankeados a efectos de determinar las actividades
que son críticas para el negocio y que por tanto
requieren mayor atención.
Ingreso de actividades de los
procesos
Procesos y sub-procesos
asignados a unidades.
Jerarquía de tareas que
se realizan en el proceso.
Riesgos y Actividades de Control
Es posible marcar las
actividades de control que
luego serán auditadas
Se definen los objetivos de control, los
riesgos y las actividades de control relativas
a los procesos y sub-procesos a ser evaluados
Selección de actividades de control a auditar
Mediante la utilización de filtros es posible
seleccionar dentro del universo de las actividades
de control, aquellas que requieran ser auditadas
Creación de proyectos de
auditoría
Los usuarios supervisores pueden crear
proyectos de auditoría. Para los proyectos se
definen los auditores asignados y los objetivos
de procesos que se van a auditar en el proyecto.
Asignación de objetivos y riesgos
El supervisor que creó un proyecto debe definir los
objetivos que auditará cada auditor.
Se definen también los riesgos de cada objetivo que
serán alcanzados por el proyecto de auditoría.
Auditoría de actividades de control
Objetivos y riesgos a auditar
según la asignación del auditor.
Registro de
hallazgos.
Vinculación
de archivos.
Registro de tareas
realizadas.
Informe final de auditoría
Selección de observaciones que
se incluyen en el informe final.
Informe final de auditoría
generado automáticamente.
Cálculo de exposición
Impacto x Probabilidad de Riesgo
Eval. Act. de Control
MATRIZ DE RIESGOS Y CONTROL
CONTROLES
BUENO
BR
MALO
RIESGO
4
2,5
1
16
4,00
6,40
16,00
10
2,50
4,00
10,00
6,25
1,56
2,50
6,25
4
1,00
1,60
4,00
2,5
0,63
1,00
2,50
1
0,25
0,40
1,00
Informe de Riesgos y Actividades de
Control
Es posible ver la ponderación
de riesgos y el resultado de la
evaluación de las actividades
de control existentes.
Se evalúa el cumplimiento de los objetivos
de control, a efectos de determinar si ante
los riesgos identificados, los mismos se
encuentran adecuadamente cubiertos.
Informe de Riesgos y Actividades de
Control
Permite evaluar los resultados de la revisión de
los objetivos tanto a nivel numérico como gráfico.
Resumen de Riesgos y Actividades de Control
Permite visualizar en forma resumida los
resultados de la revisión de los objetivos y
los factores de riesgos de los procesos
Mapas de riesgos y gráficas de
exposición
Mapa de riesgos
según la
probabilidad e
impacto
Gráfica de exposición
considerando la
evaluación de los
controles
Tratamiento de riesgos
Se define el tratamiento que se da a los
riesgos.
Según el tratamiento
realizado se simula el
cambio en la exposición al riesgo.
Definición de proyectos de
mejora
Los nuevos controles que se incluyen en el tratamiento
se agrupan en proyectos de implantación.
Controles incluidos en
el proyecto.
Los
proyectos
se
priorizan según el
impacto y la relación
costo-riesgo.
Comparación de diferentes períodos
Permite comparar las evaluaciones de los
procesos obtenidas en diferentes períodos
tanto a nivel numérico como gráfico.
Meycor COSO Web
Publicación, Distribución y Revisión de
Documentos
El módulo web de Meycor COSO AG, facilita la
publicación y distribución de documentos de
manera sencilla, a la vez que permite emitir
un juicio acerca de los mismos.
Meycor COSO Web
Respuesta a Cuestionarios Generales
Meycor COSO Web permite contestar los
cuestionarios de autoevaluación de forma
remota
Prestaciones de MEYCOR
COSO AG para personalizar y
mejorar el detalle y la
información de la revisión
 Contiene una guía metodológica que facilita la
aplicación de la metodología COSO y lo asiste
durante todo el procesos de revisión.
 Permite codificar los niveles jerárquicos de la
organización
para
así
determinar
el
organigrama de acuerdo a la nomenclatura de
la misma.
 Permite identificar los procesos y sub-procesos,
efectuar un ranking de los mismos, así como
asociarlos a las áreas correspondientes.
 Permite la creación de grupos de trabajo y de
revisores, que facilitan la distribución de las
tareas.
 Permite asignar a los revisores privilegios de
Administrador.
 Contiene los objetivos, riesgos y actividades de
control genéricos del Informe COSO.
 Permite manejar varias
cuestionarios generales.
versiones
de
los
 Permite marcar las actividades de control que
luego serán objeto de auditoría.
 Permite el uso de ponderadores a nivel de
procesos, objetivos y riesgos.
 Permite evaluar los cuestionarios generales a
cualquier nivel jerárquico.
 Permite exportar todos los reportes a formato
RTF, HTML y EXCEL.
 Permite exportar todas las gráficas a formato
BMP.
 Genera
formularios
de
evaluación
cuestionarios generales en HTML.
de
 Permite la sincronización de cuestionarios
generales y evaluación de riesgos y actividades
de control de bases off-line.
 Permite acceso multi-usuario a la evaluación de
riesgos y actividades de control.
 Permite efectuar un ranking de los procesos.
 Permite comparar los resultados de diferentes
períodos.
 Incluye ayuda en línea.
DATASEC
IT Security & Control
Patria 716 - CP 11300 - Montevideo - Uruguay
Tel: (5982) 711-58-78/ 711-04-20
Fax: (5982) 711-58-94
Web site: www.datasec-soft.com