81726983 Coso Erm Bueno
UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONÓMICAS ESCUELA DE AUDITORIA AUDITORIA IV EDIFICIO S3 - S
Views 83 Downloads 0 File size 273KB
Recommend stories
- Author / Uploaded
- Andres
Citation preview
UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONÓMICAS ESCUELA DE AUDITORIA AUDITORIA IV EDIFICIO S3 - SALON 110 LIC. LUDWING HERNANDEZ
“METODO COSO-ERM” Integrantes: Carne No.
GRUPO 6
Nombre
8211954 Leonel Estuardo Lima Merlos 8810530 Marco Tulio, Hernández 8911034 Werner Nilson, Rodas Calel 9518066 Carlos Eduardo, Sic 9716101 Ibis Kris, Garcia Perez 200013040 Mynor Alcides, López Botello 200116507 Julio Saúl, Mendoza Zacarías 200512650 Paolo Salvatore Molina Morales 200612656 Rolando Enrique, Garcia Barrio 200613111 Bryan Arturo, Cabrera Méndez 200711652 Lilian Carolina, Garcia Barrios 200711832 Chrystian Josue, Monterroso Borrayo
Guatemala, 06 de Agosto de 2010.
Guatemala 06 de Agosto 2010.
INTRODUCCION
Este trabajo comprende todo lo referente al sistema C.O.S.O E.R.M. que en ingles dice committeé of sponsoring of the Treadway ( Comité de Patrocionio de la Treadway ), Enterprise Risk Management ( Gestión Del Riesgo Empresarial), el cual incluye un marco integral para la Administración de Riesgos Corporativos.-
El COSO ERM ayuda a la creación del valor permitiendo al Management ( Administrador ) manejarse eficazmente con eventos futuros potenciales que crean incertidumbre, también ayuda responder con comportamientos que reduzcan la probabilidad de resultados desventajosos e incrementen los beneficios.-
El Sistema COSO ERM proyecta mayores capacidades para alinear el apetito por el riesgo y la estrategia, conectar crecimiento, riesgo y retorno, mejorar las decisiones en respuesta a los riesgos, minimizar sorpre sas y perdidas operacionales, identificar y gestionar riesgos cruzados, proveer respuestas integrales a riesgos múltiples, dimensionar oportunidades, racionalizar el capital, etc.
Como comprenderán el objeto de estudio de este tema COSO ERM es un instrumento de mucha importancia para reducir los riesgos empresariales, asegurando y orientando a prevenir o dar respuesta a todos los riesgos a los cuales esta expuesto el ente empresarial.-
2
Guatemala 06 de Agosto 2010.
ANTECEDENTES ¿Qué es COSO? Committee of Sponsoring Organizations of the Treadway Commission (COSO). Creado en 1985. Es una organización del sector privado, dedicada a mejorar la calidad de los reportes financieros mediante la ética de negocio, controles internos eficaces y gobierno corporativo. Treadway Commission on Fraudulent Financial Reporting 1987. Marco Integrado de Control Interno publicado en 1992 . ¿Por qué es Importante COSO? COSO proporciona un marco integral del control interno y herramientas de evaluación para sistemas de control. Proporciona una terminología utilizada comúnmente y principios usados como guía para desarrollar una arquitectura efectiva para la administración de riesgos. Proporciona una visión integral del sistema de control institucional. ¿Cómo se Inició ERM? ERM comenzó en las empresas de servicios financieros, seguros, servicios públicos, petróleo, gas, e industrias manufactureras químicas. ¿Por qué ahí? En estas industrias los riesgos están bien documentados y medidos; comúnmente se utilizan sofisticados modelos estadísticos; existe entendimiento y supervisión sobre la sensibilidad del mercado y riesgos.
3
Guatemala 06 de Agosto 2010. ¿Cómo se Inició ERM? Los Auditores Internos utilizan ERM porque la metodología tradicional de muestreo usualmente no es suficiente para obtener los resultados deseados. La metodología tradicional es a menudo ineficaz y costosa. El enfoque cambió de auditoría basada en control. Se enfoca en el riesgo para determinar qué es importante y seleccionar la muestra de control. La auditoría “basada en riesgo” es ahora la norma del IIA. Control Interno – Marco Integral. Efectividad y eficacia de las operaciones. Confiabilidad en los reportes financieros. Cumplimiento con las leyes y reglamentos aplicables. El nuevo marco COSO descansa en los primeros conceptos de control interno y refleja lo valioso de ERM. Conceptos Clave sobre ERM. Todas las entidades existen para darles valor a sus accionistas. Todas las entidades enfrentan la incertidumbre, por lo tanto, ¿cuánta es aceptable? La incertidumbre puede ser un riesgo o una oportunidad. ERM no se refiere a controles, se refiere a desempeño. C.O.S.O. (Committee of Sponsoring Organizations of the Treadway Commision) (Comité de Organizaciones Patrocinadoras de la Comisión Treadway), organización del sector privado voluntaria, dedicada a mejorar la calidad de los reportes financieros a través de éticas comerciales, controles internos efectivos y gobierno corporativo. Lo anterior, con el objetivo de lograr un Control Interno más eficaz en las instituciones. HISTORIA El C.O.S.O. se formó en 1985 en Estados Unidos, como patrocinador de la “National Commission on Fraudulent Financial Reporting”, las instituciones participantes en la elaboración del informe de Control Interno Corporativo, denominado C.O.S.O., son: American Accounting Association (AAA) 4
Guatemala 06 de Agosto 2010. American Institute of Certified Public Accountants (AICPA) Financial Executive Institute (FAI) Institute of Internal Auditors (IIA) Institute of Managment Accountants (IMA) Se puede decir que el C.O.S.O., es el proceso ejecutado por el consejo directivo, la administración y otro personal de una entidad, designado para proporcionar seguridad razonable referente al logro de objetivos en las siguientes categorías: Efectividad y eficacia de las operaciones. Confiabilidad en los reportes financieros. Cumplimiento con las leyes y reglamentos aplicables. C.O.S.O II ó ERM (Enterprise Risk Management) “Es un proceso efectuado por la Alta Dirección, la Administración y otro personal de una empresa, aplicado para el establecimiento de estrategias a través de la organización, y diseñado para: Identificar posibles eventos que puedan afectar a la entidad. Administrar riesgos alineados con su apetito al riesgo. Proporcionar seguridad razonable respecto al logro de los objetivos de la entidad. La identificación de errores e irregularidades potenciales, es un requerimiento absoluto para determinar qué procedimiento de control debe ser implementado. Conceptos y Herramientas utilizadas por C.O.S.O. II ó ERM El Ambiente de Control Define el tono de la organización, influye en la conciencia de riesgo de las personas, y es la base de los demás componentes del ERM. Características de un ambiente que soporta la administración de riesgos: Existencia de una estructura de gobierno de administración de riesgos explícita, por ejemplo, Comité de Supervisión de Administración de Riesgos. Existencia de una estructura organizacional para la administración de riesgos, con roles y responsabilidades bien definidas.
5
Guatemala 06 de Agosto 2010. Una cultura de administración de riesgos clara, por ejemplo, que sea un tema regular dentro de las reuniones de la Gerencia, etc. Existencia de programas formales de entrenamiento y concientización en temas de riesgos. La administración de riesgos es vista como un habilitador del negocio y no como un costo a ser incurrido. Definición de Objetivos Los objetivos son establecidos a nivel estratégico, estableciendo una base para los objetivos operacionales, de reporte y de cumplimiento. El establecimiento de objetivos, es una condición previa para la identificación de eventos, la evaluación de riesgos y la respuesta al riesgo efectiva (el contexto contra el cual evaluar eventos y riesgos). Los objetivos son alineados con el apetito al riesgo de la entidad, el cual indica los niveles de tolerancia al riesgo para la misma. La definición de los objetivos debe fluir (efecto cascada) a través de la entidad. La definición de objetivos depende de: El tipo de negocio, la Industria, preferencias, juicios, el estilo administrativo. Un evento es definido como un incidente u ocurrencia emanada de fuentes internas o externas de la entidad, que podrían afectar la implantación de la estrategia o el logro de los objetivos. Apetito al Riesgo Es una vista de alto nivel, de cuánto riesgo la Administración y la Junta Directiva, están dispuestas a aceptar en el logro de sus metas. Características de un ambiente, que soporta la administración de riesgos: La Gerencia formula el apetito al riesgo a nivel de entidad. Las instituciones pueden expresar su apetito al riesgo como el equilibrio aceptable del crecimiento, los riesgos y el retorno, o como una medida de valor agregado a los accionistas, ajustada al riesgo. Entidades, tales como organizaciones sin fines de lucro, expresan su apetito al riesgo, como el nivel de riesgo que ellos aceptarían.
6
Guatemala 06 de Agosto 2010.
Tolerancia al Riesgo Es el nivel aceptable de variación, alrededor de los objetivos. La tolerancia al riesgo es medible, preferiblemente en las mismas unidades de los objetos relacionados. Al establecer la tolerancia al riesgo, la Gerencia considera, la importancia relativa de los objetivos relacionados. La tolerancia al riesgo se alinea con el apetito al riesgo. Respuesta al Riesgo Identifica y evalúa, posibles respuestas al riesgo. Evalúa alternativas, con relación al apetito al riesgo de la entidad, versus los costos y beneficios de las potenciales respuestas al riesgo, y el grado en el cual una respuesta, reducirá el impacto de probabilidad del riesgo. Selecciona e implanta las respuestas, basado en una evaluación y completa del portafolio de riesgos y respuestas. Componentes del C.O.S.O. II ó ERM Ambiente Interno Establece la cultura de riesgo de la entidad. Considera cómo las acciones de la entidad, pueden afectar su cultura de riesgo. Establecimiento de Objetivos La Administración considera los riesgos estratégicos en el establecimiento de objetivos. Define el apetito / tolerancia al riesgo de la entidad. Identificación de Eventos Se identifican los eventos internos y externos, que afectan la estrategia y el logro de los objetivos. Diferencia entre riesgos y oportunidades. Evaluación de Riesgos Comprensión del grado (probabilidad e impacto), en que eventos potenciales pueden impactar en el logro de los objetivos, requiere una combinación de métodos, cuantitativos y cualitativos.
7
Guatemala 06 de Agosto 2010.
Actividades de Control Políticas y procedimientos, que ayudan a asegurar, que las respuestas al riesgo son ejecutadas. Incluye controles de tecnología. Información y Comunicación Se identifica, captura y comunica información relevante en forma oportuna, para permitir al personal, ejecutar sus responsabilidades. Monitoreo Actividades de seguimiento continuo. Evaluaciones separadas. Una combinación de ambos. Beneficios derivados del C.O.S.O. II ó ERM -Mayor posibilidad de alcanzar los objetivos. -Consolida reportes de riesgos distintos, a nivel de la Junta Directiva. -Incrementa el entendimiento de riesgos clave, y sus más amplias implicaciones. -Identifica y comparte riesgos, alrededor del negocio. -Crea mayor enfoque de la gerencia, en asuntos que realmente importan. -Menos sorpresas y crisis. -Mayor enfoque interno, en hacer lo correcto en la forma correcta. -Incrementa la posibilidad, de que cambios por iniciativas puedan ser logrados. -Capacidad de tomar mayor riesgo, por mayores recompensas. -Más información sobre riesgos tomados y decisiones realizadas.
Cambios importantes de C.O.S.O. a C.O.S.O. II ó ERM, desde el punto de vista de la Auditoría Interna. Área C.O.S.O. C.O.S.O. II
8
Guatemala 06 de Agosto 2010. -Auditoría Interna Orientada Controles internos Riesgos de negocio. -Técnicas de Evaluación de Riesgos. -Factores de riesgo Planificación de escenarios. -Pruebas de Auditoria Controles importantes Riesgos importantes. -Métodos de Auditoría Interna Énfasis en completar pruebas de control interno. -Énfasis en cobertura de riesgo de negocio significativo. Área C.O.S.O. C.O.S.O. II -Recomendaciones de Auditoría Interna. -Control Interno Manejo de riesgo. -Reportes de Auditoría Interna -Dirigido a funciones de control -Dirigido a procesos de riesgos. -Rol de Auditoría Interna Función independiente de evaluación Integrado con manejo de riesgo y gobierno corporativo. LEY SARBANES-OXLEY – Julio 30, 2002 FRENTE A LOS FRAUDES CONTABLES La Ley Sarbanes-Oxley, conocida también como SarOx ó SOA (por sus siglas en inglés Sarbanes Oxley Act), es la ley que regula las funciones financieras contables y de auditoria y penaliza en una forma severa, el crimen corporativo y de cuello blanco. Debido a los múltiples fraudes, la corrupción administrativa, los conflictos de interés, la negligencia y la mala práctica de algunos profesionales y ejecutivos que conociendo los códigos de ética, sucumbieron ante el atractivo de ganar dinero fácil y a través de empresas y corporaciones engañando a socios, empleados y grupos de interés, entre ellos sus clientes y proveedores. APLICACIÓN: La Ley se aplica a todas las empresas norteamericanas y extranjeras que cotizan en la bolsa de valores de Estados Unidos (empresas públicas). Esto incluye a: a:
9
Guatemala 06 de Agosto 2010.
La Casa Matriz Subsidiarias Afiliadas RESPONSABILIDADES CORPORATIVAS POR INFORMES FINANCIEROS La administración debe implantar controles internos y procedimientos que aseguren que la información financiera es procesada, registrada y revelada de acuerdo a la normativa de la Comisión de Valores (SEC). Estos controles reciben el nombre de Controles y Procedimientos de Revelación. CEO y el CFO son responsables de: Establecer y mantener los ““Controles y Procedimientos de Revelación para el emisor. Diseñar dichos “Controles y Procedimientos de Revelación que asegure que la información importante sea revelada, para el periodo en que emiten el informe. Evaluar la eficacia de los ““Controles y Procedimientos de Revelación”” Presentar en su informe sus conclusiones respecto a la eficacia de los ““Controles y Procedimientos de Revelación” basado en la evaluación de ellos.
EVALUACION GERENCIAL DE LOS CONTROLES INTERNOS Los Auditores externos deben emitir una opinión sobre el control interno. Este informe: Señalará la responsabilidad de la administración de establecer y mantener una
estructura y
procedimientos adecuados de control interno para informes financieros. Incluirá una evaluación de la efectividad de la estructura y procedimientos de control interno del emisor para los informes financieros
10
Guatemala 06 de Agosto 2010.
Gobierno Corporativo Adopción de un código de digo ética. Eliminar préstamos personales a ejecutivos. Se recomienda que sea el CEO quien firme la declaración anual de impuesto a la renta. Información más oportuna. La ley establece responsabilidad corporativa y criminal por fraude. Gobierno Corporativo Es el conjunto de mecanismos que aseguren a los proveedores de recursos financieros un justo retorno de su inversión. Lo conforman el conjunto de normas que deben guiar el comportamiento de los accionistas controladores, directores y administradores de las compañías, a fin de maximizar el valor de esta y que definen las obligaciones y responsabilidades de estos.
Comité de auditoria Establecimiento formal del comité de auditoria. Todos los miembros deben ser independientes. Debe tener al menos un miembro experto en finanzas. Todos los servicios de auditorias permitidos deben ser pre-aprobados por el comité de auditoria. Comité de auditoria La esencia es valorar los procesos de la compañía relacionados con sus riesgos y a el ambiente de control, supervisar la presentación de información financiera y evaluar los procesos tanto de auditoria interna como de la auditoria independiente Auditores externos La SEC establece la PCAOB (Public Company Accounting Oversight Board) con las facultades de ““auditar a auditores””: Prohibición de ciertos servicios por parte de las firmas auditoras externas. Rotación cada cinco años de socio encargado de auditoria y socio recurrente. El auditor externo debe reportar al comité de auditoria: 11
Guatemala 06 de Agosto 2010.
Todas las políticas contables significativas, discusiones con la gerencia sobre aplicaciones de los principios contables generalmente aceptados, comunicaciones importantes con la gerencia. Se prohíbe auditar una empresa si el CEO, CFO, Contralor y/o Contador trabajaron en la firma auditora y en la auditoria del último año.
ESTRUCTURA DE CONTROL INTERNO CON EL METODO COSO-ERM Actualmente las empresas necesitan un sistema que verifique, controle, determine, la situación administrativa y financiera para evitar fraudes, corregir errores y comprobar su veracidad. El COSO es un método de control interno que se lleva en una empresa e institución, para detectar algún tipo de fraude, se compone de tres objetivos y consta de cinco componentes interrelacionados, ya que los componentes son la
estructura de una organización conteniendo
normas, misión, visión y todo lo relacionado para que una compañía funcione bien.
ERM – ENTERPRISE RISK MANAGEMENT (GESTIÓN DE RIESGOS CORPORATIVOS) Es un proceso efectuado por el consejo de administración de una entidad, su dirección y restante personal, aplicable a la definición de estrategias en toda la empresa y diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionarlos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre la consecución de objetivos de la entidad. ESTRUCTURA DEL CONTROL INTERNO: La ERM, considera varios componentes, y los define de la siguiente manera: a) Ambiente Interno El ambiente interno abarca el talante de una organización, que influye en la conciencia de sus empleados sobre el riesgo y forma la base de los otros componentes de la gestión de riesgos corporativos, proporcionando disciplina y estructura. Los factores del ambiente interno incluyen la filosofía de gestión de riesgos de una entidad, su riesgo aceptado, la supervisión ejercida por el
12
Guatemala 06 de Agosto 2010. consejo de administración, la integridad, valores éticos y competencia de su personal y la forma en que la dirección asigna la autoridad y responsabilidad y organiza y desarrolla a sus empleados. b) Establecimiento de Objetivos: Se fijan a escala estratégica, estableciendo con ellos una base para los objetivos operativos, de información y de cumplimiento. Cada entidad se enfrenta a una gama de riesgos procedentes de fuentes externas e internas y una condición previa para la identificación eficaz de eventos, la evaluación de sus riesgos y la respuesta a ellos es fijar los objetivos, que tienen que estar alineados con el riesgo aceptado por la entidad, que orienta a su vez los niveles de tolerancia al riesgo de la misma. c) Identificación de eventos: La dirección identifica los eventos potenciales que, de ocurrir, afectarán a la entidad y determina si representan oportunidades o si pueden afectar negativamente a la capacidad de la empresa para implantar la estrategia y lograr los objetivos con éxito. Los eventos con impacto negativo representan riesgos, que exigen la evaluación y respuesta de la dirección. Los eventos con impacto positivo representan oportunidades, que la dirección reconduce hacia la estrategia y el proceso de fijación de objetivos. Cuando identifica los eventos, la dirección contempla una serie de factores internos y externos que pueden dar lugar a riesgos y oportunidades, en el contexto del ámbito global de la organización.
d) Evaluación de Riesgos La evaluación de riesgos permite a una entidad considerar la amplitud con que los eventos potenciales impactan en la consecución de objetivos. La dirección evalúa estos acontecimientos desde una doble perspectiva -probabilidad e impacto- y normalmente usa una combinación de métodos cualitativos y cuantitativos. Los impactos positivos y negativos de los eventos potenciales deben examinarse, individualmente o por categoría, en toda la entidad. Los riesgos se evalúan con un doble enfoque: riesgo inherente y riesgo residual.
13
Guatemala 06 de Agosto 2010. e) Respuesta a los riesgos Una vez evaluados los riesgos relevantes, la dirección determina cómo responder a ellos. Las respuestas pueden ser las de evitar, reducir, compartir y aceptar el riesgo. Al considerar su respuesta, la dirección evalúa su efecto sobre la probabilidad e impacto del riesgo, así como los costes y beneficios, y selecciona aquella que sitúe el riesgo residual dentro de las tolerancias al riesgo establecidas. La dirección identifica cualquier oportunidad que pueda existir y asume una perspectiva del riesgo globalmente para la entidad o bien una perspectiva de la cartera de riesgos, determinando si el riesgo residual global concuerda con el riesgo aceptado por la entidad.” f) Las actividades de control Son las políticas y procedimientos que ayudan a asegurar que se lleven a cabo las respuestas de la dirección a los riesgos. Las actividades de control tienen lugar a través de la organización, a todos los niveles y en todas las funciones. Incluyen una gama de actividades tan diversas- como aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones del funcionamiento operativo, seguridad de los activos y segregación de funciones. g) Información y Comunicación La información pertinente se identifica, capta y comunica de una forma y en un marco de tiempo que permiten a las personas llevar a cabo sus responsabilidades. Los sistemas de información usan datos generados internamente y otras entradas de fuentes externas y sus salidas informativas facilitan la gestión de riesgos y la toma de decisiones informadas relativas a los objetivos. También existe una comunicación eficaz fluyendo en todas direcciones dentro de la organización. Todo el personal recibe un mensaje claro desde la alta dirección de que deben considerar seriamente las responsabilidades de gestión de los riesgos corporativos. Las personas entienden su papel en dicha gestión y cómo las actividades individuales se relacionan con el trabajo de los demás. Asimismo, deben tener unos medios para comunicar hacia arriba la información significativa. También debe haber una comunicación eficaz con terceros, tales como los clientes, proveedores, reguladores y accionistas.
14
Guatemala 06 de Agosto 2010.
h) Supervisión La gestión de riesgos corporativos se supervisa revisando la presencia y funcionamiento de sus componentes a lo largo del tiempo, lo que se lleva a cabo mediante actividades permanentes de supervisión, evaluaciones independientes o una combinación de ambas técnicas. Durante el transcurso normal de las actividades de gestión, tiene lugar una supervisión permanente. El alcance y frecuencia de las evaluaciones independientes dependerá fundamentalmente de la evaluación de riesgos y de la eficacia de los procedimientos de supervisión permanente. Las deficiencias en la gestión de riesgos corporativos se comunican de forma ascendente, trasladando los temas más importantes a la alta dirección y al consejo de administración.
Relación del Método COSO-ERM y el proceso de Administración de Riesgos Los riesgos se analizan considerando su probabilidad e impacto como base para determinar cómo deben ser gestionados y se evalúan desde una doble perspectiva, inherente y residual. Es por ello que se necesita lo siguiente: 1. Respuesta al riesgo La dirección selecciona las posibles respuestas - evitar, aceptar, reducir o compartir los riesgos desarrollando una serie de acciones para alinearlos con el riesgo aceptado y las tolerancias al riesgo de la entidad. 2. Actividades de control Las políticas y procedimientos se establecen e implantan para ayudar a asegurar que las respuestas a los riesgos se llevan a cabo eficazmente. 3. Información y comunicación
15
Guatemala 06 de Agosto 2010. La información relevante se identifica, capta y comunica en forma y plazo adecuado para permitir al personal afrontar sus responsabilidades. Una comunicación eficaz debe producirse en un sentido amplio, fluyendo en todas direcciones dentro de la entidad. 4. Supervisión La totalidad de la gestión de riesgos corporativos se supervisa, realizando modificaciones oportunas cuando se necesiten. Esta supervisión se lleva a cabo mediante actividades permanentes de la dirección, evaluaciones independientes o ambas actuaciones a la vez. La gestión de riesgos corporativos no constituye estrictamente un proceso en serie, donde cada componente afecta sólo al siguiente, sino un proceso multidireccional e iterativo en que casi cualquier componente puede influir en otro. Existe una relación directa entre los objetivos que la entidad desea lograr y los componentes de la gestión de riesgos corporativos, que representan lo que hace falta para lograr aquellos. La relación se representa con una matriz tridimensional, en forma de cubo. Las cuatro categorías de objetivos estrategia, operaciones, información y cumplimiento están representadas por columnas verticales, los ocho componentes lo están por filas horizontales y las unidades de la entidad, por la tercera dimensión del cubo. Este gráfico refleja la capacidad de centrarse sobre la totalidad de la gestión de riesgos corporativos de una entidad o bien por categoría de objetivos, componente, unidad o cualquier subconjunto deseado. 5. Eficacia La afirmación de que la gestión de riesgos corporativos de una entidad es eficaz es un juicio resultante de la evaluación de si los ocho componentes están presentes y funcionan de modo eficaz. Así, estos componentes también son criterios para estimar la eficacia de dicha gestión. Para que estén presentes y funcionen de forma adecuada, no puede existir ninguna debilidad material y los riesgos necesitan estar dentro del nivel de riesgo aceptado por la entidad. Cuando se determine que la gestión de riesgos es eficaz en cada una de las cuatro categorías de objetivos, respectivamente, el consejo de administración y la dirección tendrán la seguridad razonable de que conocen el grado de consecución de los objetivos estratégicos y operativos de la entidad, que su información es fiable y que se cumplen las leyes y la normas aplicables. 16
Guatemala 06 de Agosto 2010. Los ocho componentes no funcionan de modo idéntico en todas las entidades. Su aplicación en las pequeñas y medianas empresas, por ejemplo, puede ser menos formal y estructurada. Sin embargo, estas entidades podrían poseer una gestión eficaz de riesgos corporativos, siempre que cada componente esté presente y funcione adecuadamente. 6. Limitaciones Aunque la gestión de riesgos corporativos proporciona ventajas importantes, también presenta limitaciones. Además de los factores comentados anteriormente, las limitaciones se derivan de hechos como que el juicio humano puede ser erróneo durante la toma de decisiones, que las decisiones sobre la respuesta al riesgo y el establecimiento de controles necesitan tener en cuenta los costes y beneficios relativos, que pueden darse fallos por error humano, que pueden eludirse los controles mediante connivencia de dos o más personas y que la dirección puede hacer caso omiso a las decisiones relacionadas con la gestión de riesgos corporativos. Estas limitaciones impiden que el consejo o la dirección tengan seguridad absoluta de la consecución de los objetivos de la entidad. Relación del Método COSO-ERM en Auditoría Interna La utilización de los métodos COSO-ERM, proporciona grandes beneficios para la Auditoría Interna, ayuda a la creación de valor, permitiendo:
Manejarse eficazmente con eventos futuros potenciales que crean incertidumbres.
Responder con comportamientos que reduzcan la probabilidad de resultados desventajosos e incrementen los beneficios.
El rol fundamental del auditor interno al momento de hacer uso del método es proveer aseguramiento objetivo a la dirección y a la junta sobre la efectividad de la gestión de riesgo de la siguiente manera:
Asegurar que los riesgos claves del negocio están siendo gestionados apropiadamente y,
Asegurar que el sistema de Control Interno está siendo operado efectivamente.
17
Guatemala 06 de Agosto 2010. Además de lo antes mencionado el Auditor Interno debe:
Proveer Consejo
Motivar y soportar las decisiones gerenciales sobre riesgos
No decidir sobre riesgos
Documentar responsabilidades del Auditor Interno en Estatutos de Auditoria Interna aprobado por el Comité de Auditoría
Por otra parte existen los roles legítimos de Auditoria interna, los cuales son: 1. Consultoría:
Apoyar a la gerencia en su trabajo, facilitando, identificando y evaluando los riesgos.
Utilizar herramientas y técnicas usadas por el Auditor Interno para el análisis de riesgos y controles.
Defender el establecimiento del método COSO ERM, aportando su experiencia en gestión de riesgos en la organización.
Proporcionar entrenamiento a la gerencia sobre riesgos y controles, y respuesta a riesgos.
Coordinar el monitoreo y reporte sobre riesgos.
2. Salvaguardas:
Asegurar que la actividad no amenaza la Independencia y Objetividad del Auditor Interno y que la gerencia mantenga la responsabilidad de gestión de riesgo.
Confirmar que actividad podría mejorar los procesos de gestión de riesgos, control y gobierno de la organización.
Los informes según el Método COSO-ERM y de la Ley SOX 18
Guatemala 06 de Agosto 2010. Todos los escándalos corporativos de ENRON, WORLDCOM, PHARMALAT, entre otros, dieron lugar a la formación y puesta en vigor de la Ley Sarbanes-Oxley de 2002 – Ley SOX. Esta ley creó el Board para chequear la contabilidad de las Compañías Públicas (Public Company Accounting Oversight Board o PCAOB). En la ley se explican sus funciones, poderes, estructuras, y deja a la nueva entidad la capacidad para establecer reglas para llevar a la práctica sus amplias responsabilidades. La ley Sarbanes-Oxley requiere que el PCAOB practique inspecciones anuales de las firmas registradas que auditen al año más de 100 empresas públicas, así como una revisión, por lo menos cada tres años, de las otras firmas que auditen o desempeñen un papel importante en las auditorias de compañías públicas. Al término de cada revisión, el PCAOB emite un informe con sus observaciones sobre la firma o trabajo inspeccionado, así como críticas, desviaciones y fallas potenciales en los sistemas de control de calidad de la firma. Conviene destacar que el PCAOB no debe hacer pública ninguna información sobre las críticas y defectos potenciales, a menos que la firma no las corrija dentro de los doce meses siguientes. La Ley Sarbanes-Oxley otorga considerable libertad al PCAOB en cuanto al diseño y adopción de estándares sobre auditoría y la conducta profesional de los auditores. Entre otras cosas, autoriza, pero no requiere al PCAOB, la designación de un grupo profesional de Contadores que proponga normas a este organismo. Las disposiciones de la Ley Sarbanes-Oxley y del PCAOB requieren que las firmas de Contadores Públicos registradas se adhieran a las reglas del PCAOB para fines de auditoría (incluido atestiguar), control de calidad, ética e independencia. Por lo tanto, cualquier firma registrada que no se sujete a los estándares aplicables, será objeto de medidas disciplinarias. Desde su creación PCAOB ha emitido 4 normas de auditoría, todas aprobadas por SEC y que están acompañadas a los reportes que emiten las firmas de auditoría, estas normas son:
19
Guatemala 06 de Agosto 2010. Norma de Auditoría No. 1 Referencia en los reportes de auditores de las normas de PCAOB aprobadas por SEC en mayo 14, 2003. Esta norma requiere que las firmas de contabilidad de compañías públicas incluyan una declaración de que el contrato o convenio fue llevado a cabo de acuerdo con las normas establecidas por PCAOB. Esta declaración reemplaza a las anteriores “normas de auditoría generalmente aceptadas”. Norma de Auditoría No. 2 Una auditoría sobre el control Interno de los reportes financieros conjuntamente con la Auditoría de los Estados Financieros (aprobada por el SEC en junio 17, 2004). Esta norma establece requisitos y provee directrices que aplican cuando un auditor está contratado para auditar los estados financieros de una compañía, así también la evaluación de la gerencia en relación con la efectividad del control interno sobre reportes financieros, de acuerdo con la sección 404 de la Ley Sarbanes-Oxley. Norma de Auditoría No. 3 Documentación de Auditoría (aprobada por SEC en 6/18/2004). Esta norma establece requerimientos generales sobre la documentación que los auditores deben preparar y retener en relación con trabajos manejados de acuerdo con las normas de PCAOB. Estos trabajos incluyen auditoría de estados financieros, auditoría del control interno sobre reportes financieros y una revisión de información financiera interna. Norma de Auditoría No. 4
20
Guatemala 06 de Agosto 2010. Reportar si una debilidad material previamente reportada todavía existe (aprobada por el SEC en 2/6/2006). Esta norma describe los pasos a seguir por los auditores cuando una compañía voluntariamente contrata a una firma de auditores para reportar si una debilidad material previamente identificada en el reporte anual del control interno, ya no existe. Adicionalmente, el PCAOB ha adoptado ciertas Reglas del “board" incluyendo “Reglas sobre Ética e Independencia” concernientes a Independencia, Servicios de Impuestos y Honorarios Eventuales. La junta de PCAOB adoptó esas reglas en junio 26, 2005. El SEC las aprobó en abril 19, 2006 con diferentes fechas para ser efectivas. Y aunque la ley SOX es estadounidense, es aplicable a todas las empresas que están registradas en la New York Stock Exchange (NYSE) y la National Association of Securities Dealers by Automatic Quotation, conocida como NASDAQ, y bajo la supervisión de la Securities and Exchange Commission (SEC). Por lo tanto, también rige para todas las empresas extranjeras que cotizan en dichas bolsas de valores, incluyendo a la casa matriz, las subsidiarias y afiliadas. Por lo tanto, quedan afectas a la SOX las empresas que emitan títulos de deuda o capital en las bolsas mencionadas, o que sean subsidiarias o filiales de empresas que cotizan en Estados Unidos. OBJETIVOS:
Mejorar la identificación de riegos y los procedimientos de análisis de riesgos Evaluar los riegos y darle respuesta. Considerar los Riegos en la formulación de la estrategia. Monitorear el comportamiento de la compañía La creación del valor, permitiendo al Management: 1. Manejarse eficazmente con eventos futuros potenciales que crean incertidumbre. 2. Responder con comportamientos que reduzcan la probabilidad de resultados desventajosos e incrementen los beneficios.
21
Guatemala 06 de Agosto 2010.
Alinea el apetito por el riesgo y la estrategia Gestionar los riesgos considerando el nivel de apetito ó aversión al riesgo de la
Organización. Lograr una visión de portafolio de Riesgos a nivel de la Compañía. Conectar crecimiento, riego y retorno. Mejorar las respuestas a los riesgos. Minimizar sorpresas y pérdidas operacionales. Identificar y gestionar riesgos cruzados. Proveer respuestas integrales a riesgos múltiples. Dimensionar Oportunidades. Racionalizar el Capital.
EL PAPEL DE AUDITOR INTERNO Es mantener la Objetividad e independencia requeridas por las Normas del IIA cuando provean servicios de aseguramiento y consulta. OBJETIVIDAD: Actitud mental independiente: Llevar a cabo el trabajo con honesta confianza en el producto de su labor y sin comprometer de manera significativa su calidad. No subordinar su juicio al de otros sobre temas de Auditoría Interna ROL FUNDAMENTAL DEL AUDITOR INTERNO Proveer aseguramiento objetivo a la Dirección y a la Junta sobre la EFECTIVIDAD de la Gestión de Riesgos: 1. ASEGURAR que los riesgos claves del negocio están siendo GESTIONADOS apropiadamente y, 2. ASEGURAR que el Sistema de Control Interno esta siendo OPERADO efectivamente.
Proveer Consejos Motivar y Soportar las Decisiones Gerenciales sobre Riesgos. No decidir sobre Riesgos. Documentar responsabilidades del AI en Estatus de Auditor Interno aprobados por Comité
de Auditoría. Apoyar a Gerencia en su trabajo: Facilitación, Identificación y Evaluación de Riesgos.
22
Guatemala 06 de Agosto 2010.
Herramientas y Técnicas usadas por AI para análisis de Riesgos y Controles. Defender el establecimiento, aportando su experiencia en Gestión De Riesgos Entrenar a la Gerencia, sobre Riesgos y Controles y Respuesta a Riesgos. Coordinar, monitorear y reportar riesgos. Desarrollo de Estrategias de Gestión de Riesgos para aprobación de La Junta.
ROLES QUE AUDITOR INTERNO NO DEBE REALIZAR:
Imponer Procesos de Gestión de Riesgos. Manejar el aseguramiento sobre los Riesgos de los que es responsable. Tomar decisiones de Riesgo en respuesta a los Riesgos. Implementar respuestas a Riesgos a favor de la Administración. Tener Responsabilidad en la Gestión de Riesgos.
INFORME COSO ERM El Informe COSO ERM es un documento que contiene las principales directivas para la implantación, gestión y control de un sistema de Control Interno. Debido a la gran aceptación de la que ha gozado, desde su publicación en 1992, el Informe COSO se ha convertido en el estándar de referencia en todo lo que concierne al Control Interno. No puede por lo tanto faltar una sección expresamente dedicada a este documento en toda web que pretenda dedicarse a la auditoria con profesionalidad. Recientemente, el interés de los profesionales de la auditoria y las finanzas por el informe COSO se ha reavivado gracias también a las nuevas exigencias en lo que concierne al Control Interno introducidas por el Sarbanes Oxley Act. . EL METODO COSO-ERM Y EL PAPEL DEL AUDITOR INTERNO En la implementación del método COSO-ERM es fundamental el papel que desempeña dentro del mismo el auditor interno, debido a que realiza una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Cuando se menciona que el método COSO-ERM busca la detección de riesgos que puedan afectar a la organización resulta primordial comprender que un riesgo representa una incertidumbre de que ocurra un acontecimiento que pudiera afectar el logro de los objetivos. Se mide en términos de consecuencias y probabilidad.
23
Guatemala 06 de Agosto 2010. Asimismo ayuda a una organización a cumplir con sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar los procesos de gestión de riesgos, control y gobierno. Tomando en consideración los riesgos y el papel que debe desempeñar un Auditor dentro de una empresa para la correcta aplicación del método COSO-ERM es importante acotar que debe gestionar efectivamente la actividad de auditoría interna para asegurar que agregue valor a la organización. Asimismo este método le da las directrices al Auditor Interno para mantener su objetividad e independencia requeridas, cuando provean servicios de aseguramiento y consulta. Cuando se menciona objetividad se refiere a que el Auditor Interno debe llevar a cabo el trabajo con honesta confianza en el producto de su labor y sin comprometer de manera significativa su calidad. La auditoría interna, en los roles de aseguramiento y consultoría, contribuye a la gestión de riesgo de formas variadas. Siendo la auditoría interna una actividad independiente, objetiva, su rol principal con respecto al COSO-ERM es proveer aseguramiento objetivo a la junta sobre la efectividad de la gestión de riesgo.
La auditoría interna con respecto al ERM tiene las siguientes funciones:
Brindar aseguramiento sobre procesos de gestión de riesgo.
Brindar aseguramiento de que los riesgos son correctamente evaluados.
Evaluación de los procesos de gestión de riesgo.
Evaluación de reporte de riesgos claves.
Revisión del manejo de los riesgos claves.
24
Guatemala 06 de Agosto 2010. La auditoría interna también tiene roles legítimos realizados con salvaguarda y entre ellos están:
Facilitación, identificación y evaluación de riesgos.
Entrenamiento a la gerencia sobre respuesta a riesgos.
Coordinación de actividades de ERM.
Consolidación de reportes sobre riesgos.
Mantenimiento y desarrollo del marco ERM.
Defender el establecimiento del ERM.
Desarrollo de estrategias de gestión de riesgo para la aprobación de la junta.
10. EJEMPLO DE INFORMES, SEGÚN EL METODO COSO-ERM El informe es un manual de control interno que publica el Instituto de Auditores Internos de España en colaboración con la empresa de auditoría Coopers & Lybrand. En control interno lo último que ha habido es el informe COSO (Sponsoring Organizations of the Treadway Commission), -comenta- que es denominado así, porque se trata de un trabajo que encomendó el Instituto Americano de Contadores Públicos, la Asociación Americana de Contabilidad, el Instituto de Auditores Internos que agrupa a alrededor de cincuenta mil miembros y opera en aproximadamente cincuenta países, el Instituto de Administración y Contabilidad, y el Instituto de Ejecutivos Financieros. Ha sido hecho para uso de los consejos de administración de las empresas privadas en España y en los países de habla hispana. Ahí se resume muy bien lo que es control interno, los alcances, etc. COSO es una institución creada en Estados Unidos por el sector privado voluntario, dedicado a mejorar la calidad de los reportes financieros a través de negocios con ética profesional, efectivo control interno y un gobierno corporativo.
25
Guatemala 06 de Agosto 2010. a. Informe de la administración de la Compañía: El informe COSO define “control interno” como un proceso efectuado por el Consejo de Administración, la alta dirección y en “cascada” por el resto del personal de una organización, diseñado para proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías:
Eficacia y eficiencia de las operaciones
Confiabilidad de la información financiera
Cumplimiento de las leyes y normas que sean aplicables
b. Informe del Auditor independiente: La integración propuesta a realizar del COSO en el proceso de auditoría interna requiere que se clasifiquen los resultados de la auditoría según los términos del marco COSO y que esta información se utilice en los informes de más alto nivel para la conducción de la entidad. El enfoque se construye sobre algunos de estos conceptos incorporando los criterios COSO en cada etapa del proceso de auditoría. De acuerdo con COSO, los tres objetivos primarios que debe contener el informe del auditor independiente son asegurar:
Operaciones eficientes y eficaces
Informes financieros exactos
Cumplimiento con las leyes y la normativa aplicable.
El informe también destaca cinco componentes esenciales de un sistema de control interno eficaz: EL AMBIENTE DE CONTROL Que establece el fundamento para un sistema de control interno proporcionando la estructura y disciplina fundamentales.
26
Guatemala 06 de Agosto 2010.
EVALUACION DEL RIESGO Que implica la identificación y análisis por parte de la conducción y no del auditor interno de los riesgos relevantes para lograr los objetivos predeterminados. ACTIVIDADES DE CONTROL Las políticas, procedimientos y prácticas que aseguran el logro de los objetivos de la conducción y que se cumple con las estrategias para mitigar los riesgos. INFORMACION Y COMUNICACIÓN Que sustenta todos los otros componentes del control comunicando las responsabilidades de control a los empleados y brindándoles información en tiempo y forma que les permita cumplir con sus funciones. SUPERVISION Que cubre los descuidos externos de los controles internos por parte de la conducción o terceros externos al proceso, o la aplicación de metodologías independientes como procedimientos personalizados o checklists estándar por parte de empleados que forman parte del proceso. Se deben utilizar estos elementos para definir el objetivo de control a ser auditado, evaluar los componentes del sistema de control de la entidad e informar los resultados a la conducción. La integración del COSO de esta manera agrega estructura al proceso de auditoría, asegura que se consideran los criterios adecuados en las fases claves de cada auditoría y proporciona una pista para sustentar las conclusiones a las que se llegó. INFORMACION FINANCIERA En las auditorías en las que el objetivo es la información financiera, se asigna importancia a la adecuación y eficacia de los controles administrativos que rigen la confiabilidad de la información financiera utilizada para fines de comunicación externos. Una auditoría basada en dichos controles debe brindar seguridad razonable de que no existen manifestaciones erróneas o incompletas en los datos analizados. Rastrear los controles de auditoría y la información financiera hasta los
27
Guatemala 06 de Agosto 2010. estados contables es indicador de una auditoría con un objetivo relacionado con la información financiera. CUMPLIMIENTO Las auditorías basadas en el cumplimiento apuntan a la adecuación y eficacia de los controles administrativos que rigen el cumplimiento con las leyes y la normativa externa e interna. Tales auditorías tratan principalmente con la correlación entre las leyes y los procedimientos de la entidad y, la práctica real. Por lo general durante las auditorías de esta naturaleza se consulta al asesor letrado perteneciente al plantel un indicador excelente de que una auditoría debería tener al cumplimiento como objetivo.
INFORMES BASADOS EN COSO Comunicar las evaluaciones de auditoría a la conducción utilizando un formulario de evaluación de control basado en el COSO desarrollado. Este formulario brinda a la conducción un panorama de cómo el área auditada se “defiende” contra los requerimientos de control del COSO. Se muestran las clasificaciones para cada componente de control, así como una clasificación global lo que determina si existe seguridad razonable de que se lograrán los objetivos de la conducción. Asimismo, se registran los fundamentos para cualquier clasificación insatisfactoria.
El formulario de evaluación del control se completa con anterioridad a la reunión que da por finalizada la auditoría y se revisa con otros auditores y con la conducción de la auditoría. Estas revisiones internas determinan si existe base suficiente para la clasificación asignada. Es conveniente que los auditores analicen las clasificaciones con el auditado ya sea en forma directa, utilizando el formulario de evaluación o bien en forma indirecta durante la revisión y el análisis de los hallazgos de la auditoría. El formulario de evaluación del control se termina a medida que se prepara el informe de la auditoría y se envía un formulario al titular de auditoría al finalizar cada proyecto. Las clasificaciones de control se sintetizan a nivel grupal y a nivel de segmentos de la entidad, 28
Guatemala 06 de Agosto 2010. formando una base para el informe sobre el estado de los controles internos que se remite a la conducción superior. Se rastrea la información a fin de determinar tendencias de control desfavorables así como áreas de riesgos de auditoría para tratar en la planificación de proyectos de auditoría futuros.
BENEFICIOS DE LAS AUDITORIAS BASADAS EN COSO Eficacia La prueba de los cinco componentes de control COSO proporciona un fundamento sólido para determinar el grado de seguridad brindado por los controles. Eficiencia Enfocar un único objetivo COSO evita una costosa “dispersión en el alcance”. Capacidad de ser comparado Utilizar un marco común de auditoría y un sistema de clasificación permite que se pueda comparar a los controles de diferentes áreas. Comunicación Integrar los criterios del COSO a las discusiones con los responsables mejora la comprensión de los conceptos de control. Comité de Auditoría En aquellas entidades con Comité de Auditoría, Informar en términos del marco COSO ayuda a representar las fortalezas y debilidades del sistema de control interno. Ejemplo Informe sobre control interno con el METODO COSO-ERM INFORME DE DE AUDITORÍA INTERNA
29
Guatemala 06 de Agosto 2010. Fecha 31-07-2009. TEMA: Archivo de
AUDITORES INTERNOS
documentos
ENCARGADO: JOEL PEREZ, EMPLEADO ENCARGADO: HORAS DE AUDITORÍA OSCAR LOPEZ
APROXIMADAS: 30
NATURALEZA DE LA SOLICITUD: El Gerente del Departamento de Reclamos solicitó a Auditoría Interna (AI) que investigue la facturación de la Empresa de Archivo de Documentos 1,2,3. Dicho Departamento creía que se le estaba cobrando a LAGARAGA S.A. por el almacenaje de las cajas después de su fecha planeada de destrucción. RELEVAMIENTOS EFECTUADOS: A.I. solicitó a 1.2.3. que detallara todas las cajas de LAGARRAGA,S.A. que estaban actualmente archivadas, utilizando su base de datos. A partir de esta base de datos, AI realizó una primera revisión analítica para verificar que los datos estuvieran completos. Luego, A.I. averiguó los datos de las cajas que habían pasado la fecha de su destrucción. Adicionalmente, A.I. revisó el contrato con 1,2,3 a fin de determinar la responsabilidad de cada una de las partes con respecto a las cajas una vez vencida la fecha planificada para su destrucción. TEMAS MÁS SIGNIFICATIVOS DE AUDITORÍA: Se observó que menos del 2% del total de los documentos que se encontraban archivados en el Depósito de Documentos de LAGARRAGA,S.A. habían excedido la fecha planificada para su destrucción. El contrato con 1,2,3 estipulaba que era responsabilidad de LAGARRAGA,S.A. solicitar la destrucción de los documentos. 1,2,3 no es responsable de la disposición automática de estos ítems. APORTE DE AUDITORÍA INTERNA: A.I. ha distribuido a los departamentos individuales una lista de las cajas que tenían vencida la fecha planificada para su destrucción. Cada departamento será responsable de solicitar que se destruyan las cajas ó actualizar la fecha planificada para su destrucción. A.I. ha solicitado que la Unidad Administradora de Contratos del Departamento Administrativo (ACD) asuma la responsabilidad del monitoreo del contrato con 1,2,3.
30
Guatemala 06 de Agosto 2010. SEGUIMIENTO: En el 2º trimestre de 2009, AI hará el seguimiento con el ACD para determinar el estado de esta iniciativa. Auditores:
Empleados Tema:
Sistema
de
BRIAN
Suscripción Responsables:
Automatizada.
Jorge
López
José Martínez
CABRERA WERNER
Horas: 125
GONZALEZ
LINEAS PERSONALES Alcance:
Se revisó el procedimiento del sistema utilizando para el desarrollo e Implementación del Sistema de Suscripción Automatizada (SSA).
Se revisó el procedimiento de las transacciones efectuadas mediante el SSA sobre nuevos negocios, renovaciones y endosos, incluyendo los procedimientos de suscripción para la aceptación, modificación o rechazo de los riesgos suspendidos a un suscriptor por el SSA.
Se revisaron las pruebas e implementación de los cambios de programación requeridos por el SSA al sistema de Líneas Personales (IMPACT)
Se revisaron las interfaces del sistema con IMPACT que afectarán al SSA (por ej.: pedidos de VAP, MVR e informes CLUE).
Se revisaron los procedimientos de desarrollo, prueba, implementación y modificaciones de control para las tablas que contienen las reglamentaciones estatales sobre suscripción. Exposición al Riesgo ■Bajo □Medio (después
de
considerar
los
Conclusión Auditoría
□ Alto
de□Ejemplar □Satisfactoria ■Satisfactoria. mejorar.
controles)
□ Insatisfactoria
Comentarios de Auditoría:
31
Necesita
Guatemala 06 de Agosto 2010.
El Equipo de Implementación del SSA ha entregado el SSA con dos semanas de anticipación y dentro del presupuesto.
Durante el desarrollo del sistema se siguió de cerca el procedimiento de desarrollo del sistema corporativo. La versión final del sistema SSA y todos los cambios de programación de IMPACT se probaron exhaustivamente antes de ser trasladada a la producción.
Los nuevos negocios, las transacciones de renovación y endoso se muestran a través del SSA. El SSA suspende correctamente las transacciones a los suscriptores que infringen los modelos de suscripción definidos. Los suscriptores cumplen procedimientos bien definidos para aceptar, modificar o rechazar estos riesgos.
Las interfaces del sistema con IMPACT que afectan el SSA están funcionando correctamente. Recomendaciones Las listas de suscripción deben ser trasladadas a un ambiente de Importantes Auditoría
de producción seguro. Adicionalmente, la Gerencia de Suscripción de Líneas Personales debe definir quién es la autorizada que controla los cambios en las listas. Para más detalles, ver el Plan de Acción
Correctiva (PAC) 95-11. Respuesta de la Gerencia: Fecha en la que se implementarán todas las ■Acepta recomendaciones: 31/12/2006 □Está en desacuerdo. Seguimiento planificado por la Dirección y Auditoría Interna: Auditoría Interna verificará que las listas del SSA se trasladen a un ambiente de producción seguro y que se definan los procedimientos del control de los cambios.
32
Guatemala 06 de Agosto 2010.
CONCLUSION
El método COSO-ERM siendo un método eminentemente bueno, ayuda a la creación de valor, permitiendo a la empresa manejarse eficazmente con eventos futuros potenciales que crean incertidumbre.
Siendo una herramienta para mejorar la identificación de riesgos y los procedimientos de Análisis de Riesgos, es de suma importancia poder adecuarlo a los intereses de la organización y con ello poder darle valor a las actividades realizadas incrementando con ello los niveles de control y de responsabilidad.
El Método COSO-ERM debido a que ayuda una organización a proteger los derechos de sus grupos de interés, requiere realizar las actividades de una forma consiente y objetiva y realizar las mismas con ética y profesionalismo para brindar información transparente, clara
33
Guatemala 06 de Agosto 2010. e integral para la comprensión obteniendo con ello manejar los riesgos de la manera más adecuada.
El Método COSO-ERM logra la optimización de recursos mediante la detección y prevención de riesgos y con ello tener las herramientas para tomar las mejores decisiones que nos permitan llevar a la organización a niveles óptimos de seguridad y tener mejor control sobre las operaciones de la misma.
RECOMENDACIONES
Es importante su utilización e implementación para así responder con comportamientos que reduzcan la probabilidad de resultados desventajosos e incrementen los beneficios.
Se recomienda a toda organización con o sin fines de lucro, seguir los lineamientos que el método COSO-ERM nos brinda para así obtener uno de los principios subyacentes que es el de agregar valor a sus grupos de interés.
34
Guatemala 06 de Agosto 2010.
Realizar las actividades de manera ordenada y llevar a cabo una supervisión adecuada con el objeto principal de lograr los objetivos y lograr la creación de valor para la consecución de los objetivos de la organización.
Es recomendable identificar los potenciales eventos que pueden impactar en los objetivos, evaluar los riesgos y darle respuesta a las inquietudes que puedan surgir a raíz de cada riesgo en particular, así como es fundamental considerar los riesgos en la formulación de la estrategia a tomar para aplicar el COSO-ERM en toda la empresa y con ello monitorear el comportamiento del Método.
BIBLIOGRAFIA
Dr. José Lago Rodríguez, Cía. Ex Presidente de FLAI Director At Large IIA Board of Directors [email protected]
35
Guatemala 06 de Agosto 2010.
Controls for Sarbanes Oxley––ISACA http://www.isaca.org/ www.celtaconsulting.com
Lic. Cesar Ganduglia
36