• Author / Uploaded
• María Soledad González Zamora

Citation preview

!"#$%"&'"("&)))&*&!+,'"& )-.$/,+#"&#$&'"-.,"%&)-.$,-"&& !"#$%&"'()$("*+,+( Descripción del Curso El objetivo del presente curso es el de presentar a los participantes la nueva estructura del Marco Integrado de Control Interno COSO, publicada en mayo de 2013, cuyos objetivos son: aclarar los requerimientos del control interno, actualizar el contexto de la aplicación del control interno a muchos cambios en las empresas y ambientes operativos, y ampliar su aplicación al expandir los objetivos operativos y de emisión de informes. Este nuevo Marco Integrado permite una mayor cobertura de los riesgos a los que se enfrentan actualmente las organizaciones.

www.auditool.org

MODELO COSO III MARCO INTEGRADO DE CONTROL INTERNO – INTERNAL CONTROL INTEGRATED FRAMEWORK Introducción El Comité de organizaciones patrocinadoras de la Comisión Treadway (COSO, por sus siglas en inglés) presentó en 1992 la primera versión del Marco Integrado de Control Interno, que ha sido aceptado alrededor del mundo y se ha convertido en un marco líder en diseño, implementación y conducción de control interno y evaluación de su efectividad. El Comité tenía como principal objetivo definir un nuevo marco conceptual capaz de integrar las diversas definiciones y conceptos utilizados en el campo del control interno. Teniendo en cuenta los grandes cambios que han tenido la industria y los avances tecnológicos, el Comité lanzó en mayo de 2013 una versión actualizada que permitirá que las empresas desarrollen y mantengan efectiva y eficientemente sistemas de control interno que ayuden en el proceso de adaptación a los cambios, cumplimiento de los objetivos de la empresa, mitigación de los riesgos a un nivel aceptable, y apoyo a la toma de decisiones y al gobierno. Este modelo presentado por COSO ha enfocado la atención hacia el mejoramiento del control interno y del gobierno corporativo, y responde a la presión pública para un mejor manejo de los recursos públicos o privados en cualquier tipo de organización, como consecuencia de los numerosos escándalos, la crisis financiera y los fraudes presentados. Un sistema de control interno efectivo requiere la toma de decisiones y es diseñado con el fin de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos en relación con la eficacia y la eficiencia de las operaciones, la confiabilidad de la información financiera, y el cumplimento de leyes y normas aplicables. El Marco Integrado de Control Interno abarca cada una de las áreas de la empresa, y engloba cinco componentes relacionados entre sí: el entorno de control, la evaluación del riesgo, el sistema de información y comunicación, las actividades de control, y la supervisión del sistema de control. De la misma manera, el marco apoya la administración, la dirección, los accionistas y demás partes que interactúan con la entidad, ofreciendo un entendimiento de lo que constituye un sistema de control interno efectivo. Un sistema de control interno debe verse como un proceso integrado y dinámico y se caracteriza por las siguientes propiedades: • •

2

Permite aplicar el control interno a cualquier tipo de entidad y de acuerdo con sus necesidades. Presenta un enfoque basado en principios que proporcionan flexibilidad y se pueden aplicar a nivel de entidad, a nivel operativo y a nivel funcional.

www.auditool.org

•

•

•

•

• • •

• •

Establece los requisitos para un sistema de control interno efectivo, considerando los componentes y principios existentes, cómo funcionan y cómo interactúan. Proporciona un método para identificar y analizar los riesgos, así como para desarrollar y gestionar respuestas adecuadas a dichos riesgos dentro de unos niveles aceptables y con un mayor enfoque sobre las medidas antifraude. Constituye una oportunidad para ampliar el alcance de control interno más allá de la información financiera, a otras formas de presentación de la información, operaciones y objetivos de cumplimiento. Es una oportunidad para eliminar controles ineficientes, redundantes o inefectivos que proporcionan un valor mínimo en la reducción de riesgos para la consecución de los objetivos de la entidad. Brinda una mayor confianza en la supervisión efectuada por el consejo sobre los sistemas de control interno. Ofrece mayor confianza con respecto al cumplimiento de los objetivos de la entidad. Genera mayor confianza en la capacidad de la entidad para identificar, analizar y responder a los riesgos y a los cambios que se produzcan en el entorno operativo y de negocios. Permite lograr una mayor comprensión de la necesidad de un sistema de control interno efectivo. Facilita el entendimiento de que mediante la aplicación de un criterio profesional oportuno la dirección puede eliminar controles no efectivos, redundantes o ineficientes.

Comité de organizaciones patrocinadoras de la Comisión Treadway – Committee of Sponsoring Organizations of Treadway Commission (COSO) El Comité de organizaciones patrocinadoras de la Comisión Treadway fue conformado en 1985 con la finalidad de identificar los factores que originaban la presentación de información financiera falsa o fraudulenta y emitir las recomendaciones que garantizaran la máxima transparencia informativa en ese sentido. COSO se dedica a desarrollar marcos y orientaciones generales sobre el control interno, la gestión del riesgo empresarial y la prevención del fraude, diseñados para mejorar el desempeño organizacional y la supervisión, y reducir el riesgo de fraude en las organizaciones. Asimismo, el Comité sustenta que una buena gestión del riesgo y un sistema de control interno son necesarios para el éxito a largo plazo de las organizaciones. El Comité estaba conformado por cinco instituciones representativas en Estados Unidos en el campo de la contabilidad, las finanzas y la auditoria interna: •

3

American Accounting Association (AAA) – Asociación de Contadores Públicos Norteamericanos

www.auditool.org

•

• •

•

American Institute of Certified Public Accountants (AICPA) – Instituto Norteamericano de Contadores Públicos Certificados (Contadores CPA que forman parte de empresas de contabilidad que hacen auditorías externas de estados financieros). Financial Executive Institute (FEI) – Asociación Internacional de Ejecutivos de Finanzas. Institute of Internal Auditors (IIA) – Instituto de Auditores Internos (Auditores encargados de la evaluación de los sistemas de control interno en el interior de las organizaciones). Institute of Management Accountants (IMA) – Instituto de Contadores Empresariales (Contadores que trabajan en empresas).

La complejidad en las operaciones de las empresas y organizaciones hizo necesario adoptar procesos administrativos que debían incluir planificación, organización, dirección y control. A su vez, estos procesos requerían de personal capacitado para implementar y mantener las normas de control interno en el ámbito de la gestión con el fin de asegurar el cumplimiento de los objetivos de la empresa. De esta manera, las empresas empezaron a implementar sus propias políticas para el control interno, generando una diversidad de conceptos que carecían de uniformidad. Esta situación hizo evidente la necesidad de un marco conceptual que estandarizara las buenas prácticas con respecto a control interno, facilitando así la implementación y comprensión de sistemas de control interno adecuados. En primera medida, este marco debía establecer una definición común de control interno, y luego presentar un modelo que se pudiera adecuar a cualquier empresa sin distinción alguna. Por esta razón, el comité COSO, en septiembre de 1992, emitió en los Estados Unidos el informe Internal Control – Integrated Framework (Marco Integrado de Control Interno, COSO I) –, luego de un trabajo arduo de cinco años y orientado a establecer una definición común de control interno y proveer una guía para la creación y el mejoramiento de la estructura de control interno de las entidades. Este Marco fue publicado para las empresas de los Estados Unidos, pero sin embargo ha sido utilizado y aceptado a nivel mundial. Fue creado para facilitar a las empresas los procesos de evaluación y mejoramiento continuo de sus sistemas de control interno. Además, ha sido incluido en las políticas, reglas y regulaciones, para que las empresas mejoren sus actividades de control hacia el logro de sus objetivos. Es el caso de la Ley Sarbarnes Oxley, según la cual las empresas que cotizan en bolsa tienen que cumplir con una sección de control interno (sección 404), que solicita la implementación y evaluación de un sistema de control interno en las organizaciones. Como respuesta a una serie de escándalos e irregularidades que provocaron pérdidas importantes a inversionistas, empleados y otros grupos de interés, en septiembre de 2004, el comité COSO publicó el Enterprise Risk Management – Integrated Framework y sus aplicaciones técnicas asociadas (COSO II), en el cual se amplía el concepto de control interno, y se proporciona un enfoque más completo y extenso sobre la identificación, evaluación y gestión integral del riesgo.

4

www.auditool.org

Este nuevo enfoque no sustituye el marco de control interno sino que lo incorpora como parte de él, y permite a las compañías mejorar sus prácticas de control interno o decidir encaminarse hacia un proceso más completo de gestión de riesgo. Adicionalmente, dado que COSO Enterprise Risk Management - Integrated Framework se encuentra completamente alineado con el Internal Control - Integrated Framework, las mejoras en la gestión de riesgo permiten mejorar un trabajo eficaz en control interno bajo las disposiciones de la Ley Sarbanes-Oxley. En mayo de 2013 el Comité COSO publicó la actualización del Marco Integrado de Control Interno, cuyos objetivos son: aclarar los requerimientos del control interno, actualizar el contexto de la aplicación del control interno a muchos cambios en las empresas y ambientes operativos, y ampliar su aplicación al expandir los objetivos operativos y de emisión de informes. Este nuevo Marco Integrado permite una mayor cobertura de los riesgos a los que se enfrentan actualmente las organizaciones.

Algunos de los factores más relevantes que contribuyeron a la actualización del Marco Integrado de Control Interno son: • • • • • • •

5

Variación de los modelos de negocio como consecuencia de la globalización. Mayor necesidad de información a nivel interno debido a los entornos cambiantes. Incremento del número y complejidad de las normativas aplicables al mundo empresarial a nivel internacional. Nuevas expectativas sobre la responsabilidad y competencias de los gestores de las organizaciones. Incremento de las expectativas de los grupos de interés (inversores, reguladores) en la prevención y detección del fraude. Aumento del uso de las nuevas tecnologías, y su desarrollo constante. Exigencias en la fiabilidad de la información reportada.

www.auditool.org

Los siguientes cuadros presentan los cambios más significativos presentes en el Marco Integrado de Control Interno 2013, a nivel general y en cada componente:

COSO 1992 Se mantiene: Definición del concepto de Control Interno

Cinco componentes del control interno

COSO 2013 Cambia Ampliación y aclaración de conceptos con el objetivo de abarcar las actuales condiciones del mercado y la economía global Codificación de principios y puntos de enfoque con aplicación internacional para el desarrollo y evaluación de la eficacia del Sistema de Control Interno Aclaración de la necesidad de establecer objetivos de negocio como condición previa a los objetivos de control interno

Criterios a utilizar en el proceso de evaluación de la eficacia del Sistema de Control Interno

Extensión de los objetivos de reporte más allá de los informes financieros externos, a los de carácter interno y a los no financieros tanto externos como internos

Uso del Juicio profesional para la evaluación de la eficacia del Sistema de Control Interno

Inclusión de una guía orientadora para facilitar la supervisión del Control Interno sobre las operaciones, el cumplimiento y los objetivos de reporte

Componentes

Cambios Representativos Se recogen en cinco principios la relevancia de la integridad y los valores éticos, la importancia de la filosofía de la administración y su manera de operar, la necesidad de una estructura organizativa, la adecuada asignación de responsabilidades y la importancia de las políticas de recursos humanos

Entorno de Control

Se explican las relaciones entre los componentes del Control Interno para destacar la importancia del Entorno de Control Se amplía la información sobre el Gobierno Corporativo de la organización, reconociendo diferencias en las estructuras, requisitos, y retos a lo largo de diferentes jurisdicciones, sectores y tipos de entidades Se enfatiza la supervisión del riesgo y la relación entre el riesgo y la respuesta al mismo

Evaluación de Riesgos

6

Se amplía la categoría de objetivos de Reporte, considerando todas las tipologías de reporte internos y externos

www.auditool.org

Componentes

Cambios Representativos Se aclara que la evaluación de riesgos incluye la identificación, análisis y respuesta a los riesgos Se incluyen los conceptos de velocidad y persistencia de los riesgos como criterios para evaluar la criticidad de los mismos Se considera la tolerancia al riesgo en la evaluación de los niveles aceptables de riesgo Se considera el riesgo asociado a las fusiones, adquisiciones y externalizaciones Se amplía la consideración del riesgo al fraude

Actividades de Control

Información y Comunicación

Actividades de Monitoreo – Supervisión

Se indica que las actividades de control son acciones establecidas por políticas y procedimientos Se considera el rápido cambio y evolución de la tecnología Se enfatiza la diferenciación entre controles automáticos y Controles Generales de Tecnología Se enfatiza la relevancia de la calidad de información dentro del Sistema de Control Interno Se profundiza en la necesidad de información y comunicación entre la entidad y terceras partes Se enfatiza el impacto de los requisitos regulatorios sobre la seguridad y protección de la información Se refleja el impacto que tiene la tecnología y otros mecanismos de comunicación en la rapidez y calidad del flujo de información Se clarifica la terminología definiendo dos categorías de actividades de monitoreo: evaluaciones continuas y evaluaciones independientes Se profundiza en la relevancia del uso de la tecnología y los proveedores de servicios externos

Control interno Las empresas deben implementar un sistema de control interno eficiente que les permita enfrentarse a los rápidos cambios del mundo de hoy. Es responsabilidad de la administración y de los directivos desarrollar un sistema que garantice el cumplimiento de los objetivos de la empresa y se convierta en una parte esencial de la cultura organizacional. El Marco Integrado de Control Interno propuesto por COSO provee un enfoque integral y herramientas para la implementación de un sistema de control interno efectivo y en pro de la mejora continua.

7

www.auditool.org

Cada empresa, en el cumplimiento de su misión, debe alcanzar sus objetivos. Por esta razón, los directivos y la administración deben articular sus objetivos, desarrollar estrategias para lograrlos, identificar los riesgos relacionados para mitigarlos y cumplir la estrategia planteada. De esta manera, el Marco Integrado de Control Interno es diseñado para controlar los riesgos que puedan afectar el cumplimiento de los objetivos, reduciendo dichos riesgos a un nivel aceptable. Es así como este Marco afirma que el control interno proporciona razonables garantías para que las empresas puedan lograr sus objetivos, y mantener y mejorar su rendimiento. Cada empresa debe tener su propio sistema de control interno No pueden existir dos empresas con el mismo sistema debido a que sus características cambian (industria, leyes y regulaciones pertinentes, tamaño, naturaleza, entre otras). El control interno es definido como un proceso integrado y dinámico llevado a cabo por la administración, la dirección y demás personal de una entidad, diseñado con el propósito de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos relacionados con las operaciones, la información/Reporting y el cumplimiento. De esta manera, el control interno se convierte en una función inherente a la administración, integrada al funcionamiento organizacional y a la dirección institucional y deja, así, de ser una función que se asignaba a un área específica de una empresa. En este sentido, el sistema de control interno debe orientarse a promover todas las condiciones necesarias para que el equipo de trabajo dé su mayor esfuerzo con el fin de lograr los resultados deseados, debido a que promueve el buen funcionamiento de la organización. El concepto de responsabilidad toma gran importancia y se convierte en un factor clave para el gobierno de las organizaciones, teniendo en cuenta que el principal propósito del sistema de control interno es detectar oportunamente cualquier desviación significativa en el cumplimiento de las metas y objetivos establecidos. La implementación de un sistema de control interno eficiente debe proporcionar: • • • • • • • • •

8

Consecución de objetivos de rentabilidad y rendimiento para prevenir la pérdida de recursos. Operaciones eficaces y eficientes. Desarrollo de tareas y actividades continuas, establecidas como un medio para llegar a un fin. Control interno efectuado por las personas de la entidad y las acciones que estas aplican en cada nivel de la entidad. Producción de informes financieros confiables para la toma de decisiones. Seguridad razonable, no absoluta, al consejo y la alta dirección de la entidad. Cumplimiento de las leyes y regulaciones pertinentes. Adaptación a la estructura de la entidad. Promoción, evaluación y preocupación por la seguridad, calidad y mejora continua de todos los procesos de la entidad.

www.auditool.org

El modelo de control interno COSO 2013 actualizado está compuesto por los cinco componentes establecidos en el marco anterior, y 17 principios y puntos de enfoque que presentan las características fundamentales de cada componente. Se caracteriza por tener en cuenta los siguientes aspectos y generar diferentes beneficios: • • • • • • •

Mayores expectativas del gobierno corporativo. Globalización de mercados y operaciones. Cambio continuo en mayor complejidad en los negocios. Mayor demanda y complejidad en leyes, reglas, regulaciones y estándares. Expectativas de competencias y responsabilidades. Uso y mayor nivel de confianza en tecnologías que evolucionan rápidamente. Expectativas relacionadas con prevenir, desalentar y detectar el fraude.

La efectividad del sistema de control interno depende de estas características, y de esta manera se puede obtener una certeza razonable del logro de los objetivos de la entidad. Un sistema de control interno efectivo reduce a un nivel aceptable el riesgo de no alcanzar un objetivo de la entidad y puede hacer referencia a las categorías de objetivos. Para esto es indispensable que los componentes y principios estén presentes y en funcionamiento. Esto quiere decir que los componentes y principios relevantes existen en el diseño e implementación del sistema de control interno para alcanzar los objetivos especificados. Además, los componentes y principios deben ser aplicados en el sistema de control interno y funcionar de manera integrada. Cuando se determina que el Sistema de Control Interno es efectivo la alta dirección y la Junta Directiva tienen una seguridad razonable acerca del cumplimiento de las tres categorías de objetivos.

9

www.auditool.org

Sin embargo, es importante aclarar que un eficaz sistema de control interno no garantiza el éxito de una entidad. Este puede ayudar a la consecución de los objetivos y suministrar información sobre el progreso de la entidad, pero el desempeño de la administración y directivas y factores externos como condiciones económicas tienen gran influencia en el éxito de la entidad. El control interno no puede evitar que se aplique un deficiente criterio profesional o se adopten malas decisiones. Además, el sistema de control interno puede garantizar solo una seguridad razonable en relación con el cumplimiento de los objetivos de la organización. Las limitaciones siempre están presentes e impiden que el Consejo de Administración y la dirección tengan una seguridad absoluta. Sin embargo, estas limitaciones tienen que ser tenidas en cuenta al momento de seleccionar, desarrollar y desplegar los controles, para que minimicen en lo posible dichas limitaciones. Las limitaciones pueden originarse por los siguiente factores: • • • • • • •

La falta de adecuación de los objetivos establecidos como condición previa para el control interno. El criterio profesional de las personas en la toma de decisiones puede ser erróneo y estar sujeto a sesgos. Fallos humanos conscientes e inconscientes. La capacidad de la dirección de anular el control interno. La capacidad de la dirección y demás miembros del personal para eludir los controles mediante confabulación entre ellos. Acontecimientos externos que escapan al control de la organización. Conspiraciones o complots.

Por esta razón, el Marco Integrado de Control Interno requiere de un criterio profesional en el diseño, implementación, y conducción del control interno y la evaluación de su efectividad. El uso del criterio profesional ayuda a la administración a tomar mejores decisiones con respecto al sistema de control interno, teniendo en cuenta que esto no garantiza resultados perfectos. La administración hace uso del criterio profesional en diferentes momentos: • • • • • •

10

Aplicación de los componentes de control interno en relación con las categorías de los objetivos. Aplicación de los componentes y principios de control interno dentro de la estructura de la entidad. Especificación de objetivos generales y específicos apropiados y evaluación de riesgos para su cumplimiento. Selección, desarrollo y despliegue de los controles necesarios para llevar a cabo los principios. Evaluar si los componentes y principios están presentes, funcionando y operando de manera integrada en la entidad. Evaluación de la severidad de una o más deficiencias de control interno de acuerdo con las leyes, reglas, regulaciones y estándares externos pertinentes.

www.auditool.org

Objetivos Cada entidad tiene una misión, la cual determina los objetivos y las estrategias necesarias para cumplirla. Los objetivos pueden ser establecidos mediante un proceso estructurado o informal dependiendo de la entidad, y junto con la evaluación de los puntos fuertes y débiles de la entidad, y de las oportunidades y amenazas del entorno, define una estrategia global. Es responsabilidad de la Administración y la Alta Dirección establecer los objetivos del negocio y es necesario fijar los objetivos con carácter previo al diseño e implementación del sistema de control interno, con el fin de controlar y mitigar de manera adecuada los riesgos que afectan a dichos objetivos. Los objetivos deben complementarse, estar relacionados entre sí y ser coherentes con las capacidades y expectativas de la entidad y las unidades empresariales y sus funciones. Establecer objetivos es un requisito previo para un control interno eficaz. Los objetivos proporcionan las metas medibles hacia las que la entidad se mueve al desarrollar sus actividades. Esta responsabilidad está establecida en los procesos de la administración, como se presenta a continuación: • • • •

Determinar los objetivos estratégicos y seleccionar la estrategia dentro del contexto de la entidad establecido en su misión y visión. Establecer los objetivos de la entidad y desarrollar la tolerancia al riesgo con base en los requerimientos de la entidad según las circunstancias. Alinear los objetivos con la estrategia de la entidad y el apetito general del riesgo. Establecer los objetivos generales y específicos para la entidad y sus niveles según sean las circunstancias.

El Marco Integrado de Control Interno establece tres categorías de objetivos que permiten a las organizaciones centrarse en diferentes aspectos del control interno. Estas son: •

Objetivos operativos: estos objetivos se relacionan con el cumplimiento de la misión y visión de la entidad. Hacen referencia a la efectividad y eficiencia de las operaciones, incluidos sus objetivos de rendimiento financiero y operacional, y la protección de sus activos frente a posibles pérdidas. Por lo tanto, estos objetivos constituyen la base para la evaluación del riesgo en relación con la protección de los activos de la entidad, y la selección y desarrollo de los controles necesarios para mitigar dichos riesgos. Los objetivos operativos deben reflejar el entorno empresarial, industrial y económico en que se desenvuelve la entidad; y están relacionados con el mejoramiento del desempeño financiero, la productividad, la calidad, las prácticas ambientales, y la innovación y satisfacción de empleados y clientes.

11

www.auditool.org

•

Objetivos de información/Reporting: estos objetivos se refieren a la preparación de reportes para uso de la organización y los accionistas, teniendo en cuenta la veracidad, oportunidad y transparencia. Estos reportes relacionan la información financiera y no financiera interna y externa y abarcan aspectos de confiabilidad, oportunidad, transparencia y demás conceptos establecidos por los reguladores, organismos reconocidos o políticas de la entidad. La presentación de informes a nivel externo da respuesta a las regulaciones y normativas establecidas y a las solicitudes de los grupos de interés, y los informes a nivel interno atienden a las necesidades internas de la organización tales como la estrategia de la entidad, plan operativo y métricas de desempeño.

Reporting Financiero Externo • • • •

!"#$%&'(&$"&)#'( *'%&+,'(-.$&$/.#0,'( .$%#01#+.,'( 2"3)./&/.4$(+#( 0#'")%&+,'( 5.'%0.3"/.4$(+#( "%.).+&+#'(

Reporting Financiero Interno • • •

*'%&+,'(-.$&$/.#0,'(+#( )&'(+.6.'.,$#'( !&'78-),9(:(20#'";"#'%,( !./&/.4$( +#(?.#'@,'(

A$)./%,'( +#(.$%#0E'F(

M,'(/"*+,1$'+#(0.#'@,'( ',$(/0#&+,'(;&0&(%0&%&0( ),'(/&13.,'(+#(),'( $.6#)#'(+#(0.#'@,'J('"'( .1;&/%,'(C('";#06.'&0( )&'(0#';"#'%&'(&(),'( 0.#'@,'F( B#(;"+#$(/0#&0(/,1.%E'( ;&0&(@".&0( +#%#01.$&+&'( -"$/.,$#'N(/,1.%E(+#( /"1;).1.#$%,J(/,1.%E( +#(0.#'@,'J(#$%0#(,%0,'F(

Alta Dirección Debe evaluar el Sistema de Control Interno en relación con el Marco Integrado de Control Interno, centrándose en la manera como la entidad aplica los diecisiete principios para respaldar los componentes del control interno. Asimismo, debe dar consejo y dirección a la Administración, realizar una gestión constructiva y exigente, aprobar políticas y transacciones y supervisar las actividades de la Administración. La Dirección tiene un papel fundamental en el control interno de la organización, pues establece la importancia del Sistema de Control Interno y los estándares de conducta a través de la organización. Los miembros de la Alta Dirección son: # Director administrativo # Director ejecutivo de auditoría # Director de cumplimiento # Director financiero

64

# # # #

Director de información Director legal Director de operaciones Director de riesgos

www.auditool.org

Otros miembros de la dirección y del personal Los directivos y demás personal de la entidad deben revisar los cambios de la nueva versión del Marco Integrado de Control Interno 2013, y evaluar las implicaciones en el actual Sistema de Control Interno de la entidad.

Auditores internos Deben revisar los planes de auditoría y evaluar los cambios en el Marco para considerar las posibles consecuencias en los planes de auditoría, en las evaluaciones y cualquier información generada sobre el Sistema de Control Interno. Las actividades de auditoría deben ser llevadas a cabo por profesionales competentes y en alineación con los riesgos relevantes para la entidad.

Auditores externos Cuando un auditor externo es contratado para evaluar el Sistema de Control Interno de la entidad, puede evaluar el sistema en relación con el Marco Integrado de Control Interno, centrándose en la manera como la entidad ha seleccionado, desarrollado y desplegado los controles que incidan en los principios asociados a los componentes del control interno.

Estructura de la Organización – Ámbito de aplicación del Sistema de Control Interno La estructura de la organización, representada en la tercera dimensión del cubo del Marco Integrado de Control Interno está relacionada con los objetivos y los componentes y representa el ámbito de aplicación del Sistema de Control Interno. Este ámbito de aplicación incluye todos los niveles de la organización: entidad, divisiones, unidades operativas y funciones (internas y externas).

Implementación del Marco Integrado de Control Interno El siguiente modelo de negocios envuelve la mayoría de los procesos de administración y gobierno en una empresa. GOBIERNO Marco IntegradoGestión de Riesgo Empresarial, ERM

Entorno de control

Establecimiento de Estrategias Planificación del negocio Adaptación

Evaluación de riesgos

Información y comunicación Monitoreo Supervisión

65

Ejecución Actividades de control Marco Integrado de Control Interno

www.auditool.org

El modelo de negocios inicia con el gobierno, el cual incluye la visión y misión de la organización, y la supervisión del Consejo de Administración de la planificación y las operaciones de la empresa. También se incluyen las actividades de la Dirección para garantizar la efectividad del establecimiento de la estrategia y demás procesos de gestión de la organización. Un gobierno efectivo asegura la responsabilidad, la rendición de cuentas, la equidad y transparencia en las relaciones de la organización con sus diferentes grupos de interés (accionistas, prestamistas, clientes, proveedores, empleados, gobiernos, reguladores y comunidades en la que opera la organización). El establecimiento de la estrategia de la organización es el proceso en el que la administración articula un plan de alto nivel para lograr uno o más objetivos en relación con la misión de la organización. Usualmente, la estrategia es presentada en forma de objetivos generales, iniciativas y tácticas. Juntos, estos elementos del gobierno y el establecimiento de la estrategia, proporcionan orientación a la empresa y claramente tienen un lugar para asegurar el éxito de la organización en el cumplimiento de las demandas y expectativas de las partes interesadas. Dentro del modelo de negocios hay cuatro elementos que se basan en el círculo Deming: planear, hacer, verificar y actuar (plan, do, check, act cycle). En el modelo se presentan como planificación del negocio, ejecución, monitoreo y adaptación. •

Planificación del negocio: articula las metas específicas o planes de trabajo sobre el modo como la administración contribuye al logro de los objetivos de la estrategia general. Explica por qué esos objetivos son alcanzables y proporciona un proceso favorable para la implementación y ejecución de la estrategia corporativa a través de la organización dentro del horizonte de planificación especifica.

•

Ejecución: consiste en las operaciones centrales de la organización, relacionadas con el diseño, construcción y operación de los procesos que hacen que el planeamiento funciones cumpla con el rendimiento esperado de acuerdo con los valores y estrategia de la organización.

•

Monitoreo: envuelve las actividades establecidas por la administración para la revisión y supervisión de la ejecución de las operaciones de la organización en relación con el plan estratégico general, incluyendo un nivel aceptable de riesgo. Las actividades de monitoreo consideran tanto las medidas de rendimiento que demuestran el progreso hacia el logro de los objetivos del negocio como las metas estratégicas a largo plazo; así como las métricas de riesgo para asegurar que el riesgo se mantiene en niveles aceptables.

66

www.auditool.org

•

Adaptación: describe los procesos organizativos, mediante los cuales los problemas identificados a través de las actividades de monitoreo exigen acciones de seguimiento y corrección de la administración, y son traducidos a cambios ejecutables en la estrategia corporativa, plan de negocios, o tácticas de ejecución. La adaptación es esencial cuando se considera la capacidad de recuperación y agilidad de la empresa, elementos vitales para el éxito en un entorno de negocios que cambia rápidamente.

Herramientas ilustrativas para evaluar la eficacia del Sistema de Control Interno El Marco Integrado de Control Interno presenta un apartado titulado Herramientas ilustrativas para evaluar la eficacia del Sistema de Control Interno, el cual es una ayuda muy útil para evaluar la efectividad del Sistema de control Interno de una organización sobre la base de los requisitos establecidos en el Marco. Para esto, el Marco presenta una serie de plantillas o formularios que dan una guía para la realización del trabajo a través de ejemplos de cómo desarrollar las evaluaciones. Estos formularios pueden ser personalizados acorde con las necesidades y características de la organización y demás aspectos que la administración considere necesarios para la evaluación del Sistema de Control Interno. Además, permiten presentar un resumen de los resultados de la evaluación por principios, componentes y sistemas de control interno en general. La administración puede utilizar estos formularios con diferentes finalidades: # Apoyar la determinación de si los componentes y principios están presentes y funcionando correctamente. # Apoyar la evaluación de si los cinco componentes del Sistema de Control Interno están operando al mismo tiempo de una manera integrada. # Apoyar la evaluación de la eficacia del Sistema de Control Interno en relación con una o más categorías de objetivos. # Documentar la evaluación general de la administración en relación con la efectividad del Sistema de Control Interno, considerando los componentes y principios. # Documentar las deficiencias encontradas durante el proceso de evaluación.

67

www.auditool.org

Formulario de evaluación de los principios Resume la decisión de la Administración sobre si cada principio está presente y funcionando. Se tienen en cuenta los puntos de enfoque para apoyar la decisión de la administración.

68

www.auditool.org

Formulario por cada componente Resume la decisión de la Administración sobre si cada componente, incluyendo sus principios, están presentes y funcionando.

Formulario de evaluación general Resume la decisión de la administración sobre si los cinco componentes están presentes, funcionando y operando de una manera integrada, incluyendo la gravedad de las deficiencias del Control Interno o una combinación de deficiencias cuando se consideran colectivamente a lo largo de los componentes.

69

www.auditool.org

Formulario de resumen de deficiencias de control interno Aporta un registro de todas las deficiencias del Control Interno que se han encontrado, y que se pueden aprovechar en la evaluación de los componentes y principios.

Control Interno sobre la información financiera externa: un compendio de métodos y ejemplos Este documento ayuda en la implementación del Marco Integrado de Control Interno sobre el reporte financiero externo, debido a que proporciona distintos enfoques y ejemplos para ilustrar cómo las entidades pueden aplicar los componentes y los principios a sus Sistemas de Control Interno. Este compendio es una actualización del “Internal control over Financial Reporting” de 2006, y tiene en cuenta las expectativas de la supervisión del gobierno de la organización, la globalización de los mercados y las operaciones, la mayor complejidad de las leyes, regulaciones, reglas y estándares, el uso de nuevas tecnologías, y las crecientes expectativas relativas a la prevención y la detección del fraude.

70

www.auditool.org

Anexos A. Requisitos de cada componente COMPONENTE

Entorno de control

Evaluación de riesgos

-.

CARACTERÍSTICA

SÍ

NO

Los funcionarios conocen la normatividad vigente que regula su conducta Se enfatiza en la importancia de la integridad y el comportamiento ético, respetando los códigos de conducta Existe un código de conducta que recopila los valores y principios éticos que promueve la entidad y se ha dado a conocer a todo el personal Los funcionarios se comportan de acuerdo con el código de conducta establecido Se ha efectuado un análisis de las competencias requeridas por el personal para desempeñar adecuadamente sus funciones Existe un plan de capacitación continuo que contribuye al mejoramiento de las competencias del personal La Dirección demuestra un compromiso permanente con el Sistema de Control Interno y con los valores éticos del mismo Las decisiones de la entidad se toman luego de que se realizado un cuidadoso análisis de los riesgos asociados Existe un compromiso permanente hacia la elaboración responsable de información financiera, contable y de gestión La organización cuenta con una estructura organizativa que manifiesta claramente la relación jerárquica funcional Existe un diagrama de la estructura organizativa El personal conoce los objetivos de la organización y cómo su función contribuye al logro de los mismos Existe una clara asignación de responsabilidades Existen procedimientos definidos para la promoción, selección, capacitación, evaluación, compensación, y sanción del personal La misión de la entidad es conocida y comprendida por la Dirección y el personal Los objetivos establecidos concuerdan con la misión de la entidad Los objetivos son conocidos y comprendidos por todo el personal de la entidad

71 71

www.auditool.org

COMPONENTE

Actividades de control

CARACTERÍSTICA

SÍ

NO

Los objetivos particulares de los procesos sustantivos de la entidad se encuentran identificados Las herramientas de medición del grado de cumplimiento de los objetivos han sido definidas Los riesgos tanto internos como externos que interfieren en el cumplimiento de los objetivos han sido identificados Existen mecanismos de identificación de riesgos adecuados y eficaces Se tienen en cuenta las observaciones y recomendaciones de auditoria anteriores Existe una estimación de riesgos, considerando la probabilidad de ocurrencia e impacto Las tareas y responsabilidades vinculadas a la autorización, aprobación, procesamiento y registro, pagos o recepción de fondos, auditoría y custodia de fondos, valores o bienes de la organización están asignadas a diferentes personas Las condiciones bancarias son realizadas por personas ajenas al manejo de las cuentas bancarias Existe un flujo de información adecuado entre las distintas áreas de la entidad Los funcionarios son conscientes de cómo sus acciones influyen en toda la entidad Existen documentos acerca de la estructura de control interno, y están disponibles y al alcance de todo el personal Los procedimientos de control aseguran que las tareas son realizadas exclusivamente por los funcionarios que tienen asignada esa función La delegación de funciones y tareas se encuentran dentro de los lineamientos establecidos por la dirección Las transacciones de la organización son registradas oportuna y adecuadamente Solo las personas autorizadas tienen acceso a los recursos y activos de la organización Solo las personas autorizadas tienen acceso a los registros y datos de la organización Los funcionarios se rotan en las tareas que pueden dar lugar a irregularidades Existen procedimientos que aseguran el acceso autorizado a los sistemas de información Los recursos tecnológicos son regularmente evaluados con el fin de corroborar que cumplen con los requisitos de los sistemas de información Existen indicadores y criterios para la medición de la

72 72

www.auditool.org

COMPONENTE

Sistemas de información y comunicación

Supervisión del sistema de control - Monitoreo

CARACTERÍSTICA

SÍ

NO

gestión Si se encuentran desvíos con lo previsto, se toman las medidas correctivas apropiadas Existen manuales de procedimientos para los procesos sustantivos de la organización Están definidos los distintos reportes que deben remitirse a los distintos niveles internos para la toma de decisiones La información es apropiada de acuerdo con los niveles de autoridad y responsabilidad asignados La información circula en todos los sentidos dentro de la organización y está disponible Los sistemas de información son revisados continuamente con el fin de comprobar si es eficaz para la toma de decisiones, y la información elaborada sigue siendo relevante para los objetivos de la organización La dirección es consciente de la importancia del sistema de información organizacional Existen mecanismos que aseguran la comunicación en todos los sentidos El sistema de comunicación proporciona oportunamente a todos los usuarios la información necesaria para cumplir con sus responsabilidades Existen canales de comunicación adecuados con terceros y partes externas El Sistema de Control Interno es evaluado periódicamente por la Dirección con el fin de revisar su eficacia y vigencia Existen herramientas definidas de autoevaluación que permiten evaluar el Sistema de Control Interno Se dispone de la información adecuada sobre si se están logrando los objetivos operacionales de la organización Se cumplen las leyes y normatividad relevantes

73 73

www.auditool.org

B. Lista de chequeo – Actualizando el Sistema de Control Interno Las empresas deben iniciar el proceso de actualización de sus sistemas de control interno e implementar los conceptos, principios y puntos de enfoque establecidos en el Marco Integrado de Control Interno 2013, presentado por el Comité COSO. La siguiente lista de chequeo presenta los puntos importantes a tener en cuenta en este proceso de actualización. Acción

Sí

No

Crear un equipo y plan de trabajo: los directivos y la Administración deben trabajar en equipo para lograr implementar y mantener un Sistema de Control Interno efectivo y actualizado. Para esto deben establecer un plan de trabajo que les permita estar atentos al logro de los objetivos y al progreso. Utilizar el enfoque de bloque – Cubo: usar los cinco componentes del Marco Integrado de Control Interno (entorno de control, evaluación de riesgos, actividades de control, sistemas de información y comunicación, y supervisión). De esta manera, se debe enfocar en los principios de cada componente y los puntos de enfoque de cada principio. Construir/trabajar a partir de lo que se está haciendo en la actualidad: las empresas que tienen un Sistema de Control Interno efectivo y eficaz pueden iniciar el proceso de actualización a partir de este, y redefinir los procesos de control ayudándose de los principios y puntos de enfoque. Esquematizar los componentes y principios ayuda a tener una visión más clara del proceso. Poner atención a los puntos de enfoque: cada principio está acompañado de puntos de enfoque. Aunque no todos son aplicables en todas las circunstancias, estos presentan una visión clara para la implementación y evaluación del Sistema de Control Interno. Uso de las herramientas ilustrativas y control interno del reporte financiero externo: el Marco Integrado de Control Interno incluye herramientas ilustrativas para evaluar la efectividad del Sistema de Control Interno y un compendio de enfoques y ejemplos de control interno del reporte financiero externo, los cuales brindan importantes ejemplos e ideas para la aplicación del marco a una situación específica. Enfocarse al rol de las tecnologías de información (TI): los cambios constantes en la tecnología llevaron a la actualización del Marco Integrado de Control Interno, lo que hace necesario que las empresas también estén al tanto de los desarrollos en tecnología para implementarlos en los sistemas de control interno. Buscar el valor agregado: la implementación del Marco Integrado de Control Interno no se debe hacer solo por cumplir con unos requerimientos sino que es una oportunidad de mejorar la efectividad e incrementar la eficiencia del Sistema de Control Interno. Realizar el cambio: la versión del Marco Integrado de Control Interno de 1992 será sustituida por la nueva versión lanzada en 2013. Sin embargo, este marco no es requerimiento para que las empresas inicien el cambio, pero cada empresa debe indicar qué versión está implementando.

74 74

www.auditool.org

Referencias 1. Laski, Julián Pablo. El control interno como estrategia de aprendizaje organizacional: El Modelo COSO y sus alcances en América Latina. 2. Coopers & Lybrand. (1997). Los nuevos conceptos del control interno. España. 3. www.coso.org 4. COSO. (2013). Control Interno – Marco Integrado. Resumen Ejecutivo. 5. COSO. (2013). Control Interno – Marco Integrado. Marco y anexos. 6. http://www.journalofaccountancy.com/News/20137970 7. http://www.journalofaccountancy.com/Issues/2013/Jul/20137707.htm 8. http://prezi.com/kodj0czuhtxl/copy-of-coso-2013/ 9. Abella Ramon, Guerola Joaquin & Cendon Ana. (2012). Actualización COSO I: Análisis del borrador del Marco de Control Interno actualizado.

75 75

www.auditool.org