• Author / Uploaded
• Andres

• Categories
• Información
• Evaluación
• Auditoría
• Planificación
• Toma de decisiones

Citation preview

Marco Integrado de Control Interno PROGRAMA II 116 AUDITORÍA DE SISTEMAS COMPUTACIONALES II Grupo 2

CONTENIDO COSO ..................................................................................................................................... 3 (Committee of Sponsoring Organizations of the Treadway) ......................................... 3 Historia................................................................................................................................ 3 Objetivo del Informe COSO ............................................................................................ 6 Control Interno .................................................................................................................. 7 Entorno de control ........................................................................................................... 9 Evaluación de riesgos ................................................................................................... 10 Actividades de control ................................................................................................... 10 Información y comunicación ......................................................................................... 11 Supervisión del sistema de control ............................................................................... 13 Informes Basados en Coso............................................................................................ 13 Beneficios de la implementación de COSO .............................................................. 14 Preguntas: ........................................................................................................................ 16 Bibliografía....................................................................................................................... 17

2

COSO (COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY) Es una iniciativa conjunta para combatir el fraude corporativo. Fue establecida en los Estados Unidos por cinco organizaciones del sector privado, dedicada a guiar a la administración ejecutiva y las entidades de gobierno en aspectos relevantes del gobierno organizativo, la ética empresarial, el control interno, la gestión del riesgo empresarial (ERM), el fraude y la información financiera. COSO ha establecido un modelo de control interno común contra el cual las empresas y organizaciones pueden evaluar sus sistemas de control. American Accounting Association (AAA) – Asociación de Contadores Públicos.

HISTORIA El C.O.S.O. se formó en 1985 en Estados Unidos, como patrocinador de la “National Commission on Fraudulent Financial Reporting”, las instituciones participantes en la elaboración del informe de Control Interno Corporativo, denominado C.O.S.O., son:  Norteamericanos. American Institute of Certified Public Accountants (AICPA) –Instituto Norteamericano de Contadores Públicos Certificados (Contadores CPA que forman parte de empresas de contabilidad que hacen auditorías externas de estados financieros).  Financial Executive Institute (FEI) – Asociación Internacional de Ejecutivos de Finanzas.  Institute of Internal Auditors (IIA) – Instituto de Auditores Internos (Auditores encargados de la evaluación de los sistemas de control interno en el interior de las organizaciones).  Institute of Management Accountants (IMA) – Instituto de Contadores Empresariales (Contadores que trabajan en empresas). El Comité de organizaciones patrocinadoras de la Comisión Treadway (COSO, por sus siglas en inglés) presentó en 1992 la primera versión del Marco integrado de Control Interno, que ha sido aceptado alrededor del mundo y se ha convertido en un marco líder en diseño, implementación y conducción de control interno y evaluación de su efectividad.

3

El Comité tenía como principal objetivo definir un nuevo marco conceptual capaz de integrar las diversas definiciones y conceptos utilizados en el campo del control interno. Teniendo en cuenta los grandes cambios que han tenido la industria y los avances tecnológicos, el Comité lanzó en mayo de 2013 una versión actualizada que permitirá que las empresas desarrollen y mantengan efectiva y eficientemente sistemas de control interno que ayuden en el proceso de adaptación a los cambios, cumplimiento de los objetivos de la empresa, mitigación de los riesgos a un nivel aceptable, y apoyo a la toma de decisiones y al gobierno. Este modelo presentado por COSO ha enfocado la atención hacia el mejoramiento del control interno y del gobierno corporativo, y responde a la presión pública para un mejor manejo de los recursos públicos o privados en cualquier tipo de organización, como consecuencia de los numerosos escándalos, la crisis financiera y los fraudes presentados. Un sistema de control interno efectivo requiere la toma de decisiones y es diseñado con el fin de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos en relación con la eficacia y la eficiencia de las operaciones, la confiabilidad de la información financiera, y el cumplimento de leyes y normas aplicables. El Marco Integrado de Control Interno abarca cada una de las áreas de la empresa, y engloba cinco componentes relacionados entre sí: el entorno de control, la evaluación del riesgo, el sistema de información y comunicación, las actividades de control, y la supervisión del sistema de control. De la misma manera, el marco apoya la administración, la dirección, los accionistas y demás partes que interactúan con la entidad, ofreciendo un entendimiento de lo que constituye un sistema de control interno efectivo. Un sistema de control interno debe verse como un proceso integrado y dinámico y se caracteriza por las siguientes propiedades:  Permite aplicar el control interno a cualquier tipo de entidad y de acuerdo con sus necesidades.  Presenta un enfoque basado en principios que proporcionan flexibilidad y se pueden aplicar a nivel de entidad, a nivel operativo y a nivel funcional.  Establece los requisitos para un sistema de control interno efectivo, considerando los componentes y principios existentes, cómo funcionan y cómo interactúan.  Proporciona un método para identificar y analizar los riesgos, así como para desarrollar y gestionar respuestas adecuadas a dichos riesgos dentro de 4





  

 

unos niveles aceptables y con un mayor enfoque sobre las medidas antifraude. Constituye una oportunidad para ampliar el alcance de control interno más allá de la información financiera, a otras formas de presentación de la información, operaciones y objetivos de cumplimiento. Es una oportunidad para eliminar controles ineficientes, redundantes o inefectivos que proporcionan un valor mínimo en la reducción de riesgos para la consecución de los objetivos de la entidad. Brinda una mayor confianza en la supervisión efectuada por el consejo sobre los sistemas de control interno. Ofrece mayor confianza con respecto al cumplimiento de los objetivos de la entidad. Genera mayor confianza en la capacidad de la entidad para identificar, analizar y responder a los riesgos y a los cambios que se produzcan en el entorno operativo y de negocios. Permite lograr una mayor comprensión de la necesidad de un sistema de control interno efectivo. Facilita el entendimiento de que mediante la aplicación de un criterio profesional oportuno la dirección puede eliminar controles no efectivos, redundantes o ineficientes.

En septiembre de 1992, el Comité COSO emitió en los Estados Unidos el informe: Internal Control - Integrated Framework (Marco Integrado de Control Interno, COSO I), orientado a establecer una definición común de control interno y proveer una guía para la creación y el mejoramiento de la estructura de control interno de las entidades. Este Marco fue publicado para las empresas de los Estados Unidos. Sin embargo, ha sido utilizado y aceptado a nivel mundial. Fue creado para facilitar a las empresas los procesos de evaluación y mejoramiento continuo de sus sistemas de control interno. Además, ha sido incluido en las políticas, reglas y regulaciones, para que las empresas mejoren sus actividades de control hacia el logro de sus objetivos. Es el caso de la Ley Sarbanes Oxley, según la cual las empresas que cotizan en bolsa tienen que cumplir con una sección de control interno (sección 404), que solicita la implementación y evaluación de un sistema de control interno en las organizaciones. En septiembre de 2004, el Comité COSO publicó el Enterprise Risk Management Integrated Framework y sus aplicaciones técnicas asociadas (COSO - ERM, o COSO II), en el cual se amplía el concepto de control interno, y se proporciona un 5

enfoque más completo y extenso sobre la identificación, evaluación y gestión integral del riesgo. Este nuevo enfoque no sustituye COSO, sino que lo incorpora como parte de él, y permite a las compañías mejorar sus prácticas de control interno decidir encaminarse hacia un proceso más completo de gestión de riesgo. Adicionalmente, dado que COSO - ERM se encuentra completamente alineado con el COSO, las mejoras en la gestión de riesgo permiten optimizar un trabajo eficaz en control interno bajo las disposiciones de la Ley Sarbanes - Oxley. En mayo de 2013 el Comité COSO publicó la actualización del Marco Integrado de Control Interno (COSO III), cuyos objetivos son: aclarar los requerimientos del control interno; actualizar el contexto de la aplicación del control interno a muchos cambios en las empresas y ambientes operativos; y ampliar su aplicación al expandir los objetivos operativos y de emisión de informes. Este nuevo Marco Integrado permite una mayor cobertura de los riesgos a los que se enfrentan actualmente las organizaciones.

OBJETIVO DEL INFORME COSO El Informe COSO tiene 2 objetivos fundamentales: encontrar una definición clara del Control Interno, que pueda ser utilizada por todos los interesados en el tema, y proponer un modelo ideal o de referencia del Control Interno para que las empresas y las demás organizaciones puedan evaluar la calidad de sus propios sistemas de Control Interno. El Informe COSO define el Control Interno como un proceso que garantice, con una seguridad razonable (y por lo tanto no absoluta), que se alcanzan los 3 objetivos siguientes:  Eficacia y eficiencia de las operaciones  Fiabilidad de la información financiera  Cumplimiento de las leyes y normas que sean aplicables. Desde nuestro punto de vista, basado en nuestra propia experiencia, nos parece conveniente a la hora de realizar una auditoría, descomponer los 3 objetivos anteriores en los siguientes:  Eficacia de las operaciones  Eficiencia de las operaciones  Fiabilidad de la información financiera  Fiabilidad de la información operativa y de gestión  Salvaguardia de los activos

6

 Cumplimiento de las leyes y normas aplicables, tanto internas como externas a la empresa. El primero de los 3 objetivos anteriores se refiere a los objetivos del negocio, entendidos en términos de rentabilidad y rendimiento de las operaciones de la empresa u organización. El segundo objetivo pretende garantizar que la empresa disponga de información financiera cierta, fiable y, muy importante, que esta información se obtenga tempestivamente, eso es, cuando sea necesaria y útil. En este sentido, la fiabilidad de la información no es solo una garantía frente a tercero, sino una exigencia de la dirección, ya que, sin esta información, no sería posible tomar decisiones empresariales acertadas. El tercer objetivo se refiere al cumplimiento de todas aquellas normas o reglas a las que se encuentre sujeta la empresa. El Control Interno favorece entonces que una empresa consiga sus objetivos de rentabilidad, rendimiento y minimice las pérdidas de recursos; favorece que la empresa disponga de información fiable y a tiempo; y por último favorece que la empresa cumpla con la ley y otras normas que le son de aplicación.

CONTROL INTERNO El sistema de control interno está divido en cinco componentes integrados que se relacionan con los objetivos de la empresa: entorno de control, evaluación de los riesgos, actividades de control, sistemas de información y comunicación, y actividades de monitoreo y supervisión. Un adecuado entorno de control, una metodología de evaluación de riesgos, un sistema de elaboración y difusión de información oportuna y fiable por de la organización y un proceso de monitoreo eficiente, apoyados en actividades de control efectivas, se constituyen en poderosas herramientas gerenciales. Existe una relación directa entre los objetivos de la entidad, los componentes y la estructura organizacional que es representada en forma de cubo de la siguiente manera:

7

Figura 1 COSO 1992

Figura 2 COSO 2013

Los cinco componentes deben funcionar de manera integrada para reducir a un nivel aceptable el riesgo de no alcanzar un objetivo.

8

Los componentes son interdependientes, existe una gran cantidad de interrelaciones y vínculos entre ellos. Así mismo, dentro de cada componente el marco establece 17 principios que representan los conceptos fundamentales y son aplicables a los objetivos operativos, de información y de cumplimiento. Los principios permiten evaluar la efectividad del sistema de control interno.

ENTORNO DE CONTROL Es el ambiente donde se desarrollan todas las actividades organizacionales bajo la gestión de la administración. El entorno de control es influenciado por factores tanto internos como externos, tales como la historia de la entidad, los valores, el mercado, y el ambiente competitivo y regulatorio. Comprende las normas, procesos y estructuras que constituyen la base para desarrollar el control interno de la organización. Este componente crea la disciplina que apoya la evaluación del riesgo para el cumplimiento de los objetivos de la entidad, el rendimiento de las actividades de control, uso de la información y sistemas de comunicación, y conducción de actividades de supervisión. Para lograr un entorno de control apropiado deben tenerse en cuenta aspectos como la estructura organizacional, la división del trabajo y asignación de responsabilidades, el estilo de gerencia y el compromiso. Un entorno de control ineficaz puede tener consecuencias graves, tales como pérdida financiera, pérdida de imagen o un fracaso empresarial. Por esta razón, este componente tiene una influencia muy relevante en los demás componentes del sistema de control interno, y se convierte en el cimiento de los demás proporcionando disciplina y estructura. Una organización que establece y mantiene un adecuado entorno de control es más fuerte a la hora de afrontar riesgos y lograr sus objetivos. Esto se puede obtener si se cuenta con:    

9

Actitudes congruentes con su integridad y valores éticos. Procesos y conductas adecuados para la evaluación de conductas. Asignación adecuada de responsabilidades. Un elevado grado de competencia y un fuerte sentido de la responsabilidad para la consecución de los objetivos.

Por esta razón, el entorno de control está compuesto por el comportamiento que se mantiene dentro de la organización, e incluye aspectos como:          

La integridad y los valores éticos de los recursos humanos, La competencia profesional, La delegación de responsabilidades, El compromiso con la excelencia y la transparencia, La atmosfera de confianza mutua, La filosofía y estilo de dirección, La estructura y plan organizacional, Los reglamentos y manuales de procedimientos, Las políticas en materia de recursos humanos y El Comité de Control.

EVALUACIÓN DE RIESGOS Este componente identifica los posibles riesgos asociados con el logro de los objetivos de la organización. Toda organización debe hacer frente a una serie de riesgos de origen tanto interno como externo, que deben ser evaluados. Estos riesgos afectan a las entidades en diferentes sentidos, como en su habilidad para competir con éxito, mantener una posición financiera fuerte y una imagen pública positiva. Por ende, se entiende por riesgo cualquier causa probable de que no se cumplan los objetivos de la organización De esta manera, la organización debe prever, conocer y abordar los riesgos con los que se enfrenta, para establecer mecanismos que los identifiquen, analicen y disminuyan. Este es un proceso dinámico e iterativo que constituye la base para determinar cómo se gestionaran los riesgos.

ACTIVIDADES DE CONTROL En el diseño organizacional deben establecerse las políticas y procedimientos que ayuden a que las normas de la organización se ejecuten con una seguridad razonable para enfrentar de forma eficaz los riesgos. Las actividades de control se definen como las acciones establecidas a través de las políticas y procedimientos que contribuyen a garantizar que se lleven a cabo las instrucciones de la dirección para mitigar los riesgos con impacto potencial en los objetivos.

10

Las actividades de control se ejecutan en todos los niveles de la entidad, en las diferentes etapas de los procesos de negocio y en el entorno tecnológico, y sirven como mecanismos para asegurar el cumplimiento de los objetivos Según su naturaleza pueden ser preventivas o de detección y pueden abarcar una amplia gama de actividades manuales y automatizadas. Las actividades de control conforman una parte fundamental de los elementos de control interno. Estas actividades están orientadas a minimizar los riesgos que dificultan la realización de los objetivos generales de la organización. Cada control que se realice debe estar de acuerdo con el riesgo que previene, teniendo en cuenta que demasiados controles son tan peligrosos como lo es tomar riesgos excesivos. Estos controles permiten:   

Prevenir la ocurrencia de riesgos innecesarios. Minimizar el impacto de las consecuencias de los mismos. Restablecer el sistema en el menor tiempo posible.

En todos los niveles de la organización existen responsabilidades en las actividades de control, debido a esto es necesario que todo el personal dentro de la organización conozca cuáles son las tareas de control que debe ejecutar. Para esto se debe explicitar cuáles son las funciones de control que l e corresponden a cada individuo.

INFORMACIÓN Y COMUNICACIÓN El personal debe no solo captar una información sino también intercambiarla para desarrollar, gestionar y controlar sus operaciones. Por lo tanto, este componente hace referencia a la forma en que las áreas operativas, administrativas y financieras de la organización identifican, capturan e intercambian información. La información es necesaria para que la entidad lleve a cabo las responsabilidades de control interno que apoyan el cumplimiento de los objetivos. La gestión de la empresa y el progreso hacia los objetivos establecidos implican que la información es necesaria en todos los niveles de la empresa. En este sentido, la información financiera no se utiliza solo para los estados financieros, sino también en la toma de decisiones. Por ejemplo, toda la información presentada a la Dirección con relación a medidas monetarias facilita el seguimiento de la rentabilidad de los productos, la evolución de deudores, las cuotas en el mercado, las tendencias en reclamaciones, etc. La información está compuesta por los datos que se combinan y sintetizan con base en la relevancia para los requerimientos de información.

11

Es importante que la dirección disponga de datos fiables a la hora de efectuar la planificación, preparar presupuestos, y demás actividades. Es por esto por lo que la información debe ser de calidad y tener en cuenta los siguientes aspectos:     

Contenido: ¿presenta toda la información necesaria? Oportunidad: ¿se facilita en el tiempo adecuado? Actualidad: ¿está disponible la información más reciente? Exactitud: ¿los datos son correctos y fiables? Accesibilidad: ¿la información puede ser obtenida fácilmente por las personas adecuadas?

La comunicación es el proceso continuo e iterativo de proporcionar, compartir y obtener la información necesaria, relevante y de calidad, tanto interna como externamente. La comunicación interna es el medio por el cual la información se difunde a través de toda la organización, que fluye en sentido ascendente, descendente y a todos los niveles de la entidad. Esto hace posible que el personal pueda recibir de la Alta Dirección un mensaje claro de las responsabilidades de control. La comunicación externa tiene dos finalidades: comunicar de afuera hacia el interior de la organización información externa relevante, y proporcionar información interna relevante de adentro hacia afuera, en respuesta a las necesidades y expectativas de grupos de interés externos. Para esto se tiene en cuenta:  Integración de la información con las operaciones y calidad de la información, analizando si ésta es apropiada, oportuna, fiable y accesible.  Comunicación de la información institucional eficaz y multidireccional.  Disposición de la información útil para la toma de decisiones.  Los canales de información deben presentar un grado de apertura y eficacia acorde con las necesidades de información internas y externas. La comunicación puede ser materializada en manuales de políticas, memorias, avisos o mensajes de video. Cuando se hace verbalmente la entonación y el lenguaje corporal le dan un énfasis al mensaje. La actuación de la Dirección debe ser ejemplo para el personal de la entidad. Un sistema de información comprende un conjunto de actividades, e involucra personal, procesos, datos y/o tecnología, que permite que la organización obtenga, 12

genere, use y comunique transacciones de información para mantener la responsabilidad y medir y revisar el desempeño o progreso de la entidad hacia el cumplimiento de los objetivos.

SUPERVISIÓN DEL SISTEMA DE CONTROL Monitoreo Todo el proceso ha de ser monitoreado con el fin de incorporar el concepto de mejoramiento continuo; así mismo, el Sistema de Control Interno debe ser flexible para reaccionar ágilmente y adaptarse a las circunstancias. Las actividades de monitoreo y supervisión deben evaluar si los componentes y principios están presentes y funcionando en la entidad. Es importante determinar, supervisar y medir la calidad del desempeño de la estructura de control interno, teniendo en cuenta:  Las actividades de monitoreo durante el curso ordinario de las operaciones de la entidad. Evaluaciones separadas.  Condiciones reportables.  Papel asumido por cada miembro de la organización en los niveles de control. Es importante establecer procedimientos que aseguren que cualquier deficiencia detectada que pueda afectar al Sistema de Control Interno sea informada oportunamente para tomar las decisiones pertinentes. Los sistemas de control interno cambian constantemente, debido a que los procedimientos que eran eficaces en un momento dado pueden perder su eficacia por diferentes motivos, como la incorporación de nuevos empleados, restricciones de recursos, entre otros.

INFORMES BASADOS EN COSO Comunicar las evaluaciones de auditoría a la conducción utilizando un formulario de evaluación de control basado en el COSO desarrollado. Este formulario brinda a la conducción un panorama de cómo el área auditada se “defiende” contra los requerimientos de control del COSO. Se muestran las clasificaciones para cada componente de control, así como una clasificación global lo que determina si existe seguridad razonable de que se lograrán los objetivos de la conducción. Asimismo, se registran los fundamentos para cualquier clasificación insatisfactoria.

El formulario de evaluación del control se completa con anterioridad a la reunión que da por finalizada la auditoría y se revisa con otros auditores y con la conducción de la auditoría. Estas revisiones internas determinan si existe base suficiente para la clasificación asignada. 13

Es conveniente que los auditores analicen las clasificaciones con el auditado ya sea en forma directa, utilizando el formulario de evaluación o bien en forma indirecta durante la revisión y el análisis de los hallazgos de la auditoría. El formulario de evaluación del control se termina a medida que se prepara el informe de la auditoría y se envía un formulario al titular de auditoría al finalizar cada proyecto. Las clasificaciones de control se sintetizan a nivel grupal y a nivel de segmentos de la entidad, formando una base para el informe sobre el estado de los controles internos que se remite a la conducción superior. Se rastrea la información a fin de determinar tendencias de control desfavorables, así como áreas de riesgos de auditoría para tratar en la planificación de proyectos de auditoría futuros.

BENEFICIOS DE LA IMPLEMENTACIÓN DE COSO Define las normas de conducta y actuación, funcionando como conductor del establecimiento del Sistema de Control Interno. Ayuda a reducir sorpresas aportando confianza en el cumplimiento de los objetivos, provee feedback del funcionamiento del negocio. Establece las formas de actuación en todos los niveles de la organización, través de la fijación de objetivos claros y medibles, y de actividades de control. Otorga una seguridad razonable sobre la adecuada administración de los riesgos del negocio. Y el establecimiento de mecanismos de monitoreo formales para la resolución de desviaciones al funcionamiento del sistema de control interno. En temas de Ambiente de Control, el definir e implementar el Código de Ética, apoyados de un Buzón de Denuncia ayuda a identificar los esquemas de fraude que se materializan en la empresa. Mejora de los procesos de la Compañía a través del establecimiento de controles, a nivel de automatización, alineación con los riesgos del negocio, y con el cumplimiento de objetivos.

14

Cambios en la Función de Auditoría Interna alineada a los riesgos de negocio críticos, asegurando el cumplimiento y apego de políticas, así como las actividades de control claves definidos en cada componente. Permite a la dirección de la empresa poseer una visión global del riesgo y accionar los planes para su correcta gestión. Posibilita la priorización de los objetivos, riesgos clave del negocio, y de los controles implantados, lo que permite su adecuada gestión. toma de decisiones más segura, facilitando la asignación del capital. Alinea los objetivos del grupo con los objetivos de las diferentes unidades de negocio, así como los riesgos asumidos y los controles puestos en acción. Permite dar soporte a las actividades de planificación estratégica y control interno. Permite cumplir con los nuevos marcos regulatorios y demanda de nuevas prácticas de gobierno corporativo. Fomenta que la gestión de riesgos pase a formar parte de la cultura del grupo.

15

PREGUNTAS: Mencione dos beneficios de la utilización COSO en una organización. Permite a la dirección de la empresa poseer una visión global del riesgo y accionar los planes para su correcta gestión. Posibilita la priorización de los objetivos, riesgos clave del negocio, y de los controles implantados, lo que permite su adecuada gestión. toma de decisiones más segura, facilitando la asignación del capital. Porque es importante desarrollar un adecuado control interno. Porque nos permitirá optimizar la utilización de recursos con calidad para alcanzar una adecuada gestión financiera y administrativa, logrando mejores niveles de productividad. Además, contar con un sistema de control actualizado en las áreas básicas de la empresa, permitirá alimentar el sistema de información y ayudar a la adecuada toma de decisiones, así como facilitar que las auditorias tanto de gestión como financieras sean efectivas.

16

BIBLIOGRAFÍA COSO Marco de referencia para la implementación, gestión y control de un adecuado Sistema de Control Interno https://www2.deloitte.com/content/dam/Deloitte/mx/Documents/risk/COSO Sesion1.pdf https://controlinternohoy.blogspot.com/2010/10/el-informe-coso.html Controls for Sarbanes Oxley––ISACA http://www.isaca.org/ https://www.aec.es/web/guest/centro-conocimiento/coso https://www.academia.edu/36813833/COSO_I_II_y_III

17