• Author / Uploaded
• Anonymous qas8YF4h4

Citation preview

Coso III Objetivo. Aclarar los requerimientos del control interno, actualizar el contexto de la aplicación del control interno a muchos cambios en las empresas y ambientes operativos; y, ampliar su aplicación al expandir los objetivos operativos y de emisión de informes. Este Marco Integrado permite una mayor cobertura de los riesgos a los que se enfrentan actualmente las organizaciones. Componentes y sus principios. Entorno control

de Evaluación riesgos

1: Demuestra compromiso con la integridad y los valores éticos 2: Ejerce responsabilidad de supervisión 3: Establece estructura, autoridad y responsabilidad 4: Demuestra Compromiso para la competencia 5: Hace cumplir con la responsabilidad

de Actividades de Sistema de Supervisión del control información sistema de control monitoreo

6: Especifica objetivos relevantes 7: Identifica y analiza los riesgos 8: Evalúa el riesgo de fraude 9: Identifica y analiza cambios importantes

10: Selecciona y desarrolla actividades de control 11: Selecciona y desarrolla controles generales sobre tecnología 12: Se implementa a través de políticas y procedimientos 13: Usa información Relevante

14: Comunica internamente 15: Comunica externamente

16: Conduce evaluaciones continuas y/o independientes 17: Evalúa y comunica deficiencias

Evaluación de riesgos Este componente identifica los posibles riesgos asociados con el logro de los objetivos de la organización. Toda organización debe hacer frente a una serie de riesgos de origen tanto interno como externo, que deben ser evaluados. Estos riesgos afectan a las entidades en diferentes sentidos, como en su habilidad para competir con éxito, mantener una posición financiera fuerte y una imagen pública positiva.

Por ende, se entiende por riesgo cualquier causa probable de que no se cumplan los objetivos de la organización. De esta manera, la organización debe prever, conocer y abordar los riesgos con los que se enfrenta, para establecer mecanismos que los identifiquen, analicen y disminuyan. Este es un proceso dinámico e iterativo que constituye la base para determinar cómo se gestionaran los riesgos Relación entre Componente y Principios 06. La organización especifica objetivos con suficiente claridad para permitir la identificación y valoración de los riesgos relacionados a los objetivos. 07. La organización identifica los riesgos sobre el cumplimiento de los objetivos a través de la entidad y analiza los riesgos para determinar cómo esos riesgos deben de administrarse. 08. La organización considera la posibilidad de fraude en la evaluación de riesgos para el logro de los objetivos. 09. La organización identifica y evalúa cambios que pueden impactar significativamente al sistema de control interno. Principios 6. Especifica objetivos para la identificación y valoración de los riesgos relacionados a dichos objetivos. La organización define los objetivos con suficiente claridad para permitir la identificación y evaluación de los riesgos relacionados a los objetivos. Antes de llevar a cabo la evaluación de riesgos, se deben establecer los objetivos asociados a los diferentes niveles de la entidad, los objetivos operativos, de información/Reporting y de cumplimiento, los cuales deben ser consistentes con la misión de la entidad. Para determinar si los objetivos son pertinentes, la administración debe considerar:      

Alineación de los objetivos establecidos con las prioridades estratégicas. Articulación de la tolerancia al riesgo para los objetivos. Alineación entre los objetivos establecidos y las leyes, reglas, regulaciones y estándares aplicables a la entidad. Articulación de los objetivos en términos que sean específicos, medibles u observables, asequibles, relevantes y temporales. Objetivos en cascada a través de la organización y sus sub-unidades. Alineación de los objetivos con otras circunstancias que requieran especial atención de la entidad.



Confirmación de la pertinencia de los objetivos dentro del proceso de establecimiento de los objetivos antes de que estos sean usados como base para la evaluación de los riesgos.

Algunos factores que influyen en la evaluación de los riesgos son:        

Políticas y procedimientos Aprobaciones y autorizaciones Conciliaciones y verificaciones Seguridad de activos Segregación de funciones Identificación de eventos Valoración de riesgos Respuesta al riesgo

7. Analiza los riesgos para determinar cómo deben de administrarse. ¿Cuáles son los desafíos en la identificación de riesgos? • Los riesgos por definición son potenciales, en consecuencia difusos. • Toda actividad se enfrenta a múltiples riesgos, y nunca existe la certeza absoluta de haberlos identificado en su totalidad. • Los actores no entienden siempre lo mismo por “riesgo”: se confunde la historia con la probabilidad, y la no detección con la no ocurrencia. • Sin saber los objetivos establecidos, es difícil hacer propuestas efectivas de gestión de riesgos y que generen valor. Evaluación de Riesgos Riesgo Inherente y Residual • El Riesgo Inherente. es el riesgo existente ante la ausencia de alguna acción que la dirección pueda tomar para alterar tanto la probabilidad o el impacto del mismo. RIESGO INHERENTE= PROBABILIDAD inh * IMPACTO inh − Impacto Inh: impacto de un evento, sin considerar las acciones y controles mitigantes. − Probabilidad Inh: probabilidad de ocurrencia de evento no deseado sin considerar las acciones y controles mitigantes. Definidos los riesgos inherentes se deben identificar los controles mitigantes y de ahí resulta el riesgo residual: • El Riesgo Residual es el riesgo que persiste luego de la respuesta de la Dirección al Riesgo.

RIESGO RESIDUAL = RIESGO INHERENTE – EFECTIVIDAD DE CONTROLES RIESGO RESIDUAL = PROBABILIDAD • La Evaluación del Riesgo se aplica primero al Riesgo Inherente. • Una vez que se desarrollaron las respuestas a los riesgos, la Dirección considera el Riesgo Residual. • Las iniciativas efectivas de ERM requieren que se evalúe el Riesgo Inherente y el Residual. VALORACIÓN DE LOS RIESGOS ESCALA DE MEDIDA CUALITATIVA DE LA PROBABILIDAD Probabilidad Alta Media Baja

Definición. Es muy frecuente la materialización del riesgo o se presume que llegará a materializarse Es frecuente la materialización del riesgo o se presume que posiblemente se podrá materializar Es poco frecuente la materialización del riesgo o se presume que no llegará a materializarse

ESCALA DE MEDIDA CUALITATIVA DEL IMPACTO Impacto Desastroso Moderado leve

Definición. Si el hecho llegara a presentarse, tendría alto impacto o efecto sobre la entidad Si el hecho llegara a presentarse tendría medio impacto o efecto en la entidad Si el hecho llegara a presentarse tendría bajo impacto o efecto en la entidad

MATRIZ DE PROBABILIDAD E IMPACTO La evaluación de la importancia de cada riesgo y, por consiguiente, de su prioridad generalmente se realiza usando una tabla de búsqueda o una matriz de probabilidad e impacto.

PROBABILIDA D

VALORACION DE RIESGOS

Alta

3

Media

2

Baja

1

Riesgo moderado Riesgo tolerable Riesgo aceptable 1 Leve

Impacto

Riesgo importante Riesgo moderado Riesgo tolerable 2 moderado

Riesgo inaceptable Riesgo importante Riesgo moderado 3 catastrófico

Nivel de riego. Nivel de riesgo Riesgo Inaceptable Riesgo Importante Riesgo Moderado Riesgo Tolerable Riesgo Aceptable

Descripción. Se requiere acción inmediata. Planes de tratamiento requeridos, implementados y reportados a la Alta Dirección Se requiere atención de la alta dirección. Planes de tratamiento requeridos, implementados y reportados a los jefes de las oficinas, divisiones, entre otros. Debe ser administrado con procedimientos normales de control. Menores efectos que pueden ser fácilmente remediados. Se administra con procedimientos rutinarios. Riesgo insignificante. No se requiere ninguna acción.

8. Considera la posibilidad de fraude en la evaluación de riesgos La organización considera la probabilidad de fraude al evaluar los riesgos para la consecución de los objetivos. La administración debe considerar los posibles actos de corrupción ya sean del personal de la entidad o de los proveedores de servicios externos, que afectan directamente el cumplimiento de los objetivos. El Marco Integrado de Control Interno establece la necesidad de considerar el riego de fraude potencial que pueda afectar a la consecución de los objetivos de la organización. Por lo tanto se definen varios tipos de fraude, enfatizando así el análisis y gestión del fraude.

Riegos de fraude. Procesos. • Falta/ debilidad de controles • Falta de políticas y procedimientos, falta de apego por parte del personal • Documentación confusa • Alteración de información • Falta de supervisión a las operaciones • Conflictos de interés Administración. • Directivos que controlan más de una función clave • Ausencia de auditorías periódicas • Inadecuado resguardo de información sensitiva/ confidencial • Ausencia de un código de conducta (sanciones) Personal. Baja o alta rotación del personal • Salarios bajos vs nivel de responsabilidad • Exceso de confianza del empleado • Falta de personal backup en posiciones clave • Personal sin ausencias sin rotación Sistemas. Inadecuada segregación de funciones • Falta/ debilidad de controles automáticos • Falta de administración de accesos de los usuarios a sistemas • Falta/ debilidad en el monitoreo de operaciones Combatir el fraude desde el origen— atacar las causas y no solo los síntomas Compañías líderes llevan a cabo las siguientes actividades como parte de un programa formal antifraude: • Educar a los líderes sobre las implicaciones y consideraciones de negocio de los riesgos de fraude • Definir el alcance y objetivos de un programa antifraude • Documentar las actividades antifraude existentes en la compañía • Evaluar las actividades antifraude existentes en la compañía • Identificar áreas potenciales de remediación

• Establecer y ejecutar un plan para la remediación • Crear documentación soporte • Conducir recorridos o "walthroughs" formales • Capacitar sobre conciencia de fraude, evaluación de riesgos de fraude, ética y valores • Monitorear la efectividad de los controles 9. Identifica y evalúa cambios que pueden impactar significativamente la gestión de riesgos La organización identifica y evalúa cambios que podían impactar significativamente el sistema de control interno. Este proceso se desarrolla paralelamente a la evaluación de riesgos y requiere que se establezcan controles para identificar y comunicar los cambios que puedan afectar los objetivos de la entidad.        

Cambios en el ambiente externo Cambios físicos del ambiente Cambios en el modelo del negocio Adquisiciones y ventas de activos significativas Operaciones extranjeras Crecimiento rápido Nuevas tecnologías Cambios significativos de personal

Actividades de control En el diseño organizacional deben establecerse las políticas y procedimientos que ayuden a que las normas de la organización se ejecuten con una seguridad razonable para enfrentar de forma eficaz los riesgos. Las actividades de control se definen como las acciones establecidas a través de las políticas y procedimientos que contribuyan a garantizar que se lleven a cabo las instrucciones de la dirección para mitigar los riesgos con impacto potencial en los objetivos. Las actividades de control se ejecutan en todos los niveles de la entidad, en las diferentes etapas de los procesos de negocio y en el entorno tecnológico, y sirven como mecanismos para asegurar el cumplimiento de los objetivos. Según su naturaleza pueden ser preventivas o de detección y pueden abarcar una amplia gama de actividades manuales y automatizadas. Las actividades de control conforman una parte fundamental de los elementos de control interno, estas actividades están orientadas a minimizar los riesgos que dificulten la realización de los objetivos generales de la organización. Cada control que se realice debe estar de acuerdo con el riesgo que previene, teniendo en cuenta que demasiados controles son tan peligrosos como lo es tomar riesgos excesivos. Estos controles permiten:   

Prevenir la ocurrencia de riesgos innecesarios Minimizar el impacto de las consecuencias de los mismos Restablecer el sistema en el menor tiempo posible

En todos los niveles de la organización existen responsabilidades en las actividades de control, debido a esto es necesario que todo el personal dentro de la organización conozca cuales son las tareas de control que debe ejecutar. Para esto se debe explicitar cuales son las funciones de control que le corresponde a cada individuo.