Informe Coso II-II
31 de Julio del 2018 INFORME COSO Curso: Control interno. Docente: Mauro Antón Nunura. En 1992, COSO (Comité de Organi
Views 333 Downloads 6 File size 1MB
Recommend stories
- Author / Uploaded
- eduardo valencia
- Categories
- Evaluación
- Información
- Política
- Tecnología
- Business
Citation preview
31 de Julio del 2018
INFORME COSO Curso: Control interno. Docente: Mauro Antón Nunura.
En 1992, COSO (Comité de Organizaciones Patrocinadoras de la Comisión de normas) publicó el Sistema Integrado de Control Interno, un informe que establece una definición común de control interno y proporciona un estándar mediante el cual las organizaciones pueden evaluar y mejorar sus sistemas de control.
Presentado por:
Infante López, Fabiola. Samaniego Tocto, Elizabeth. Vargas Juárez, Milagros. INFORME COSO
0
INDICE 1.
DEFINICIÓN: .......................................................................................... 4
2.
ESPECIFICACIONES: ................................................................................. 5
3.
HISTORIA Y EVOLUCIÓN: ........................................................................... 5
4.
OBJETIVOS: .......................................................................................... 7 4.1.
Eficacia y eficiencia en las operaciones: ................................................ 7
4.2.
Confiabilidad de los informes financieros: .............................................. 7
4.3.
Cumplimiento con los aspectos legales y regulatorios: ............................... 7
Se relaciona con el cumplimiento de las leyes y las regulaciones. ............................ 7 5.
VENTAJAS DEL INFORME COSO: ................................................................... 8
6.
COMPONENTES DEL COSO I: ....................................................................... 9 6.1.
Ambiente de control: ........................................................................ 9
6.2.
Evaluación de riesgos: ...................................................................... 10
6.3.
Actividades de control: .................................................................... 10
6.4.
Información y comunicación: ............................................................. 11
6.5.
Supervisión: .................................................................................. 11
7.
COMPONENTES DEL COSO II: ..................................................................... 12 7.1.
Ambiente interno: .......................................................................... 13
7.2.
Establecimiento de objetivos: ............................................................ 13
7.3.
Identificación de eventos: ................................................................. 13
7.4.
Evaluación de riesgos: ...................................................................... 14
7.5.
Respuesta al riesgo:......................................................................... 14
7.6.
Actividades de control: .................................................................... 14
7.7.
Información y Comunicación: ............................................................. 14
7.8.
Monitoreo: .................................................................................... 14
8.
RELACIÓN ENTRE COSO I & COSO II ............................................................. 15
9.
CONTROL INTERNO Y AUDITORÍA INTERNA EFECTIVOS ....................................... 15 9.1.
Prevención de riesgos por fraudes....................................................... 16
9.2.
Debilidades en el ambiente de control ................................................. 16
Estilo Administrativo Autocrático:............................................................ 16
Obediencia Incondicional Del Personal: ..................................................... 16
Agrupamiento En Exceso Del Personal: ...................................................... 16
Personal De Calidad Deficiente: .............................................................. 16
Alta Rotación Del Personal: ................................................................... 16
Moral Baja: ....................................................................................... 16
INFORME COSO
1
Resultados A Cualquier Costo: ................................................................ 16
Manuales Y Procedimientos Pobremente Estructurados: ................................. 16
9.3.
Implicaciones ................................................................................. 16
9.4.
Las personas: funciones y responsabilidades .......................................... 17
10.
LIMITACIONES: ................................................................................... 18 Elusión de los controles por la dirección ....................................................... 20
11.
MEJORES PRÁCTICAS INTERNACIONALES EN CONTROL INTERNO ......................... 21
12.
DEFINICIÓN: ...................................................................................... 21
13.
Generalidades .................................................................................... 27
14.
Objetivos y Componentes ....................................................................... 30
15.
Implementación y Herramientas de evaluación .............................................. 35
CONCLUSIONES: ............................................................................................. 39 BIBLIOGRAFÍA: ............................................................................................... 40
INFORME COSO
2
INTRODUCCIÓN
Debido al mundo económico integrado que existe hoy en día se ha creado la necesidad de integrar metodologías y conceptos en todos los niveles de las diversas áreas administrativas y operativas con el fin de ser competitivos y responder a las nuevas exigencias empresariales, surge así un nuevo concepto de control interno donde se brinda una estructura común el cual es documentado en el denominado informe COSO. El informe COSO es un sistema de implementación de control interno que permite mejorar la calidad de la información financiera concentrándose en el manejo corporativo, las normas éticas y el control interno, así como unificar criterios ante la existencia de una importante variedad de interpretaciones y conceptos sobre el control interno, todo mediante la verificación y análisis del correcto funcionamiento de sus procedimientos, información financiera y contable confiable y gestiones oportunas. Las mejores prácticas internacionales en control interno de los procesos pueden ser un punto de partida importante a la hora de crear, proteger y dar valor a los clientes. Las mejores prácticas son estándares que han surgido de la experiencia e investigación de muchos años, es decir, no es necesaria la “reinvención de la rueda”, las herramientas ya están, es sólo conocerlas, entenderlas, y aplicarlas en el control interno.
INFORME COSO
3
INFORME COSO I 1. DEFINICIÓN: La abreviatura COSO proviene de sus siglas que en español significa “Comité de Organizaciones Patrocinadoras de la Comisión de normas”, consiste en un informe emitido por el mencionado Comité conformado y creado en Estados Unidos en el año 1985, donde participan auditores internos, contadores, administradores, peritos contables, entre otros. Es un informe o documento que contiene las principales directrices para la implantación, gestión y control de un sistema de Control interno. Debido a la gran aceptación de la que ha gozado, desde su publicación en 1992, el informe COSO se ha convertido en el estándar de referencia, ha sufrido modificaciones y actualización con el pasar de los años en su estructura de evaluación. ¿Por qué hablar de control interno? El Control Interno se ha convertido en una parte esencial de la gestión en cualquier organización, pública o privada, que busca el logro de los objetivos y metas institucionales. Las instituciones públicas tienen bajo su responsabilidad el cuidado, manejo y uso de recursos públicos federales y estatales que les son transferidos para el ejercicio de sus funciones sustantivas. Todo Sistema de Control Interno (SCI) propio de una institución pública, requiere actualización y/o adecuaciones:
Derivadas de modificaciones legales y normativas. Para lograr mayores índices de eficacia en la consecución de sus objetivos y metas. Para elevar la eficiencia en el uso de los recursos públicos.
INFORME COSO
4
2. ESPECIFICACIONES: En la actualidad existen dos versiones del Informe COSO: -Versión de 1992. -Versión del 2004, la que incorpora las exigencias de la Ley Sarbanes Oxley a su modelo; y a su vez para dotar de Control Interno de un mayor enfoque hacia el Enterprise Risk Management (Gestión del Riesgo). Ley SOX: abreviatura para Sarbanes Oxley Act es una ley americana que ha sido emitida en el 2002 en los Estados Unidos para dar una respuesta firme a los repetidos escándalos financieros sucedidos en los años anteriores. Objetivos de la ley SOX: - Monitorear la industria de la contabilidad, - Sancionar a los ejecutivos que cometan fraudes corporativos. - Incrementar el presupuesto para auditores, investigadores. 3. HISTORIA Y EVOLUCIÓN: En 1985 se formó la Comisión Nacional para Emisión de Informes Fraudulentos, conocida como la Treadway Commission, a fin de identificar las causas de la proliferación actual de emisión de informes fraudulentos. En 1987 la Treadway Commission solicitó realizar un estudio para desarrollar una definición común del control interno y marco conceptual. En 1988, el Comité de Organizaciones Patrocinantes de la Comisión Treadway, conocido como COSO, seleccionó a Coopers & Lybrand para estudiar el control interno. En septiembre de 1992 se publicó el informe del Marco Conceptual integrado de Control Interno (Estudio COSO I). El denominado "INFORME COSO" sobre control interno, publicado en Estados Unidos en 1992, surgió como una respuesta a las inquietudes que planteaban la diversidad de conceptos, definiciones e interpretaciones existentes en torno a la temática referida. Plasma los resultados de la tarea realizada durante más de cinco años por el grupo de trabajo que la Treadway Commission, National Commission on Fraudulent Financial Reporting creó en Estados Unidos en 1985 bajo la sigla COSO (Committee of Sponsoring Organizations). El grupo estaba constituido por representantes de las siguientes organizaciones: Asociación Americana de Contabilidad (AAA). Instituto de Contadores Públicos Certificados de los Estados Unidos (AICPA). Instituto Ejecutivo Financiero (FEI).
INFORME COSO
5
Instituto de Auditores Internos (IIA). Instituto de Contadores Administrativos (IMA). Se trataba entonces de materializar un objetivo fundamental: Definir un nuevo marco conceptual del control interno, capaz de integrar las diversas definiciones y conceptos que venían siendo utilizados sobre este tema, logrando así que, al nivel de las organizaciones públicas o privadas, de la auditoría interna o externa, o de los niveles académicos o legislativos, se cuente con un marco conceptual común, una visión integradora que satisfaga las demandas generalizadas de todos los sectores involucrados. Committee of Sponsoring Organizations, creó COSO, para facilitar a las empresas a evaluar y mejorar sus sistemas de control interno. Desde entonces ésta metodología se incorporó en las políticas, reglas y regulaciones y ha sido utilizada por muchas compañías para mejorar sus actividades de control hacia el logro de sus objetivos. Existen en la actualidad dos versiones del Informe COSO. La versión del 1992 y la versión del 2004, publicada recientemente. Hacia fines de Septiembre de 2004, como respuesta a una serie de escándalos, e irregularidades que provocaron pérdidas importante a inversionistas, empleados y otros grupos de interés, nuevamente el Committee of Sponsoring Organizations of the Treadway Commission, publicó el Enterprise Risk Management - Integrated Framework y sus Aplicaciones técnicas asociadas, el cual amplía el concepto de control interno, proporcionando un foco más robusto y extenso sobre la identificación, evaluación y gestión integral de riesgo. Este nuevo enfoque no intenta ni sustituye el marco de control interno, sino que lo incorpora como parte de él, permitiendo a las compañías mejorar sus prácticas de control interno o decidir encaminarse hacia un proceso más completo de gestión de riesgo. Adicionalmente, dado que COSO Enterprise Risk Management - Integrated Framework se encuentra completamente alineado con el Internal Control - Integrated Framework, las mejoras en la gestión de riesgo permitirán mejorar, aún más, sobre la inversión ya realizada en control interno bajo las disposiciones de la Ley SarbanesOxley.
INFORME COSO
6
4. OBJETIVOS: El Informe COSO es un documento que contiene las principales directivas para la implantación, gestión y control de un sistema de Control Interno. Debido a la gran aceptación de la que ha gozado, desde su publicación en 1992, el Informe COSO se ha convertido en el estándar de referencia en todo lo que concierne al Control Interno. Recientemente, el interés de los profesionales de la auditoria y las finanzas por el informe COSO se ha reavivado gracias también a las nuevas exigencias en lo que concierne al Control Interno introducido por el Sarbanes Oxley Act (SOX). Es un proceso efectuado por el consejo de administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: 4.1.
Eficacia y eficiencia en las operaciones:
Se relaciona con los objetivos del negocio incluyendo el desempeño y metas de rentabilidad. Eficacia: Capacidad de alcanzar las metas y/o resultados propuestos. Eficiencia: Capacidad de producir el máximo de resultados con el mínimo de recursos, energía y tiempo. Se refiere básicamente a los objetivos empresariales: - Rendimiento y rentabilidad. - Salvaguarda de los recursos. 4.2.
Confiabilidad de los informes financieros:
Se relaciona con la preparación de estados financieros confiables. Elaboración y publicación de Estados Contables confiables, estados contables intermedios y toda otra información de carácter contable y financiera que deba ser publicada. Abarca también la información de gestión de uso entorno. 4.3. Cumplimiento con los aspectos legales y regulatorios: Se relaciona con el cumplimiento de las leyes y las regulaciones. Cumplimiento de aquellas leyes y normas a las cuales está sujeta la organización. De esta forma logra evitar: - Efectos perjudiciales para su reputación. - Contingencias. - Otros eventos de pérdidas y demás consecuencias negativas.
INFORME COSO
7
El Informe COSO tiene dos objetivos fundamentales: Encontrar una definición clara del Control Interno: Para que pueda ser utilizada por todos los interesados en el tema. Proponer un modelo ideal o de referencia del Control Interno: Para que las empresas y las demás organizaciones puedan evaluar la calidad de sus propios sistemas de Control Interno. Todo esto es aplicado al Control Interno de una organización: El control interno comprende el plan de organización, el conjunto de métodos y procedimientos que aseguren que los activos estén debidamente protegidos, que los registros contables son fidedignos y que la actividad de la empresa se desarrolla eficazmente, según las directrices marcadas por la administración. El control interno posee cinco componentes que pueden ser implementados en todas las compañías de acuerdo a las características administrativas, operacionales y de tamaño; los componentes son: un ambiente de control, una valoración de riesgos, las actividades de control (políticas y procedimientos), información y comunicación y finalmente el monitoreo o supervisión.
5. VENTAJAS DEL INFORME COSO: De manera general podemos citar algunas ventajas del uso de informe COSO: Permite a la Dirección de la empresa poseer una visión global del riesgo y accionar los planes para su correcta gestión. Posibilita la priorización de los objetivos, los riesgos claves del negocio, y de los controles implantados, lo que permite su adecuada gestión, toma de decisión es más segura, facilitando la asignación del capital. Permite dar soporte a las actividades de planificación estratégicas y de control interno. Ayuda a conseguir los resultados esperados en materia de rentabilidad y rendimiento.
INFORME COSO
8
6. COMPONENTES DEL COSO I: El marco integrado de control que plantea el informe COSO I consta de cinco componentes interrelacionados, derivados del estilo de la dirección, e integrados al proceso de gestión:
Ambiente de control. Evaluación de riesgo. Actividades de control. Información y comunicación. Monitorización.
6.1.
Ambiente de control:
El ambiente de control define al conjunto de circunstancias que enmarcan el accionar de una entidad desde la perspectiva del control interno y que son por lo tanto determinantes del grado en que los principios de este último imperan sobre las conductas y los procedimientos organizacionales. Marca las pautas de comportamiento en una organización y tiene una influencia directa en el nivel de conciencia del personal sobre la cultura del control. Es la base de todos los demás componentes, aportando disciplina y estructura. Abarca: integridad, honradez, valores éticos, capacidad de los empleados, filosofía de dirección y estilo de la gestión, la manera en que la dirección asigna la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados. Las entidades sometidas a un control eficaz se esfuerzan por tener personal competente e inculcan en toda la organización un sentido de integridad y concientización sobre el control “Algunos indicios de un buen Ambiente de Control pueden ser: políticas y procedimientos adecuados, y un código de conducta escrito que ponga énfasis en los valores compartidos y el trabajo en equipo para conseguir los objetivos de la entidad”. Un adecuado Ambiente de Control se verifica por medio de 7 aspectos: Integridad y valores éticos. Compromiso de competencia profesional. Filosofía de dirección y el estilo de gestión. Estructura Organizativa. Asignación de autoridad y responsabilidad.
INFORME COSO
9
Políticas y prácticas de RR.HH. Consejo de Administrativo/Comité de Auditoría. 6.2.
Evaluación de riesgos:
El control interno ha sido pensado esencialmente para limitar los riesgos que afectan las actividades de las organizaciones. A través de la investigación y análisis de los riesgos relevantes y el punto hasta el cual el control vigente los neutraliza se evalúa la vulnerabilidad del sistema. Algunos ejemplos de riesgos:
Fallar en cumplir con los objetivos y metas de la organización. Fallas en la salvaguarda de los activos. Insatisfacción del cliente. Daño a la reputación y/o imagen de la organización. Implementar inadecuadas políticas, normas y procedimientos organizacionales no alineados con los objetivos. Utilización de recursos en forma ineficaz o ineficiente. Pérdida de personal clave. Fraudes perpetrados por el personal de la organización. Hurto. Incendio.
6.3.
Actividades de control:
Están constituidas por los procedimientos específicos establecidos como un reaseguro para el cumplimiento de los objetivos, orientados primordialmente hacia la prevención y neutralización de los riesgos. Son Políticas y Procedimientos que ayudan a asegurar que se llevan a cabo las instrucciones de la dirección con relación a los Controles y Riesgos. Las Actividades de Control se distribuyen a lo largo y a lo ancho de la organización, en todos los niveles y funciones. Incluyen un amplio abanico de actividades diversas
INFORME COSO
10
tales como: aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones de rentabilidad operativa, salvaguarda de activos, segregación de funciones, etc. 6.4.
Información y comunicación:
Así como es necesario que todos los agentes conozcan el papel que les corresponde desempeñar en la organización, es imprescindible que cuenten con la información y comunicación periódica y oportuna que deben manejar para orientar sus acciones en consonancia con los demás, hacia el mejor logro de los objetivos. Hay que identificar, recopilar y comunicar información pertinente en forma y plazo que permitan cumplir a cada empleado con sus responsabilidades. Los sistemas de información deben ser funcionales para el suministro de información que permita dirigir y controlar el negocio en forma adecuada. Dichos sistemas deben permitir manejar no solo datos internos, sino generados externamente. La información es necesaria en todos los niveles de la organización para cumplir con los objetivos del Control Interno (Operaciones, Información Confiable y Cumplimiento). Para ser eficiente y eficaz en las operaciones resulta necesario tener información sobre nuestros procesos, nuestra competencia, el mercado, los sistemas de información, etc. La información financiera confiable no solo es útil para el armado de EECC, sino también para la toma de decisiones gerenciales (fijación de precios, satisfacción del cliente, estadísticas de accidentes, preparar presupuestos, etc.). Para cumplir con la ley resulta necesario tener información sobre el personal, posibles factores contaminantes, requerimientos fiscales.
6.5.
Supervisión:
Incumbe a la dirección la existencia de una estructura de control interno idónea y eficiente, así como su revisión y actualización periódica para mantenerla en un nivel adecuado. La SUPERVISION se basa en comprobar que el sistema funciona a lo largo del tiempo. Se realiza a través de a) supervisión continuada b) evaluaciones periódicas puntuales c) combinación de las 2 anteriores
INFORME COSO
11
Las deficiencias detectadas en el control interno deberán ser notificadas a niveles superiores, y la alta dirección deberá estar informada de los hallazgos significativos. a) Supervisión continuada:
Deben ser consideradas como “actividades normales de gestión y supervisión”. Requieren una estructura correctamente diseñada y una segregación de funciones adecuada y lógica. Supervisión habitual de tareas administrativas (controles de exactitud e integridad; comparación de información de los sistemas con los activos físicos). Revisión y conciliación de informes financieros a la par que los utilizan, y detección de errores. Seguimiento de las recomendaciones de Auditores Internos y Externos.
b) Evaluaciones periódicas puntuales
Periódicamente se efectúan revisiones puntuales para revisar, entre otras cuestiones, los procedimientos de supervisión continuada. Se trata de “Evaluaciones de las Actividades de Control”.
Alcance y frecuencia: Revisión Selectiva de Actividades: Dependerá de la magnitud de los riesgos de control y de la importancia de los controles para reducir el nivel de estos. Los riesgos críticos deben mitigarse. Revisión y conciliación de informes financieros, de procedimientos, de metodologías de trabajo. Evaluación Global del Sistema de Control Interno: motivada por cambios importantes (estrategia, adquisiciones, enajenaciones, nuevos negocios, etc.) 7. COMPONENTES DEL COSO II: Los 8 componentes del coso II están interrelacionados entre sí. Estos procesos deben ser efectuados por el director, la gerencia y los demás miembros del personal de la empresa a lo largo de su organización Los 8 componentes están alineados con los 4 objetivos. Donde se consideran las actividades en todos los niveles de la organización El COSO II describe en su marco basado en principios tales como:
La definición de administración de riesgos de la empresa Los principios críticos y componentes de un proceso de administración de riesgo corporativo efectivo. Pautas para las empresas, para que ellas sean capaces de administrar sus riesgos.
INFORME COSO
12
Criterios para determinar si la administración de riesgo de la empresa es efectiva
Conceptos claves para el COSO II:
Administración del riesgo en la determinación de la estrategia Eventos y riesgo Apetito de riesgo Tolerancia al riesgo Visión de portafolio de riesgo
El informe COSO II se encuentra compuesto por ocho componentes interrelacionados, derivados del estilo de la dirección, e integrados al proceso de gestión:
Ambiente interno. Establecimiento de objetivos. Identificación de eventos. Evaluación de riesgos. Respuesta al riesgo. Actividades de control. Información y comunicación. Monitoreo.
7.1.
Ambiente interno:
Sirve como la base fundamental para los otros componentes de la entidad, dándole disciplina y estructura. Dentro de la empresa sirve para que los empleados creen conciencia de los riesgos que se pueden presentar en la empresa. 7.2.
Establecimiento de objetivos:
Es importante para que la empresa prevenga los riesgos, tenga una identificación de los eventos, una evaluación del riesgo y una clara respuesta a los riesgos en la empresa. La empresa debe tener una meta clara que se alineen y sustenten con su visión y misión, pero siempre teniendo en cuenta que cada decisión con lleva un riesgo que debe ser previsto por la empresa. 7.3.
Identificación de eventos:
Se debe identificar los eventos que afectan los objetivos de la organización, aunque estos sean positivos, negativos o ambos, para que la empresa los pueda enfrentar y proveer de la mejor forma posible. INFORME COSO
13
La empresa debe identificar los eventos y debe diagnosticarlos los cuales podrían ser oportunidades o riesgos. Para que pueda hacer frente a los riesgos y aprovechar las oportunidades. 7.4.
Evaluación de riesgos:
La Administración debe evaluar los riesgos que enfrenta la institución para el logro de sus objetivos. Asimismo, debe evaluar los riesgos que enfrenta la institución tanto de fuentes internas como externas. Esta evaluación proporciona las bases para el desarrollo de respuestas al riesgo apropiadas. 7.5.
Respuesta al riesgo:
Una vez evaluado el riesgo la gerencia identifica y evalúa posibles repuestas al riesgo en relación a las necesidades de la empresa. Las respuestas al riesgo pueden ser: Evitarlo: se discontinúan las actividades que generan riesgo. Reducirlo: se reduce el impacto o la probabilidad de ocurrencia o ambas Compartirlo: se reduce el impacto o la probabilidad de ocurrencia al transferir o compartir una porción del riesgo. Aceptarlo: no se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo. 7.6.
Actividades de control:
Son las políticas y procedimientos para asegurar que la respuesta al riesgo se lleve de manera adecuada y oportuna. Tipo de actividades de control: Preventiva, detectivas, manuales, computarizadas o controles gerenciales. 7.7.
Información y Comunicación:
La información es necesaria en todos los niveles de la organización para hacer frente a los riesgos identificando, evaluando y dando respuesta a los riesgos. La comunicación se debe realizar en sentido amplio y fluir por toda la organización en todos los sentidos. Debe existir una buena comunicación con los clientes, proveedores, reguladores y accionistas.
7.8.
Monitoreo:
INFORME COSO
14
Sirve para monitorear que el proceso de administración de los riesgos sea efectivo a lo largo del tiempo y que todos los componentes del marco ERM funcionen adecuadamente. El monitoreo se puede medir a través de: -
Actividades de monitoreo continuo Evaluaciones puntuales Una combinación de ambas formas
8. RELACIÓN ENTRE COSO I & COSO II
EL COSO EN LA ORGANIZACIÓN:
9. CONTROL INTERNO Y AUDITORÍA INTERNA EFECTIVOS
INFORME COSO
15
9.1.
Prevención de riesgos por fraudes
Ningún sistema de controles puede evitar todos los fraudes. Pero las compañías que mantienen sistemas de control bajo revisión y actualización, son las menos susceptibles. Enfoque de Procesos: Si las debilidades de control se ven aisladamente el riesgo puede no ser apreciado en su totalidad. 9.2.
Debilidades en el ambiente de control Estilo Administrativo Autocrático:
Existirá un dominio administrativo. Pueden existir numerosas transacciones fuera del sistema principal.
Obediencia Incondicional Del Personal:
Los procedimientos se siguen por rutina o consentimiento del personal. Incluso puede existir confabulación obligada para el fraude.
Agrupamiento En Exceso Del Personal:
Algunos empleados pueden haber trabajado juntos en otros países, compañías o sectores con una moral pobre. Debilitamiento de la segregación de funciones
Personal De Calidad Deficiente:
Los controles internos son tan efectivos como la gente que los opera.
Alta Rotación Del Personal:
Baja experiencia por deficiente curva de aprendizaje. No se absorbe en forma adecuada la cultura de la compañía.
Moral Baja:
El personal descontento probablemente opere los controles en forma poco efectiva.
Resultados A Cualquier Costo:
Un trabajo malo podría implicar la manipulación de los resultados para demostrar cumplimiento de objetivos.
Manuales Y Procedimientos Pobremente Estructurados:
Actividades de Control no vinculadas a los riesgos que enfrenta el negocio en cada área.
9.3.
Implicaciones
INFORME COSO
16
Compromiso de la alta dirección: Para que un sistema de control interno funcione efectivamente, se requiere que la autoridad acepte y apoye las medidas de control, de manera plena, permanente y no como algo temporal o momentáneo.
Es necesario y conveniente reforzar algunas líneas de acción clave como son: La identificación precisa de los responsables del control interno La elaboración y aplicación de los manuales de organización y operativos La constante vigilancia de la normatividad organizacional El apoyo decidido a las innovaciones para mejorar el control
Cultivar una cultura con énfasis en el CI y Gestión de riesgos. La implementación de un SCII es responsabilidad de todos.
9.4.
Las personas: funciones y responsabilidades
9.4.1.- La Dirección: El Director General, Presidente (máxima autoridad ejecutiva de la organización) es el responsable último y debería asumir la “titularidad” del Sistema de Control Interno. Es quien influye en mayor medida para sostener un “Ambiente de Control” favorable (influyendo sobre la integridad, ética y predisposición hacia los controles). Debe revisar cómo el resto de los directivos y alta gerencia controlan el negocio. 9.4.2.- El Consejo de Administración y/o Comité de Auditoría: Conocer las actividades de la organización y su entorno. Dedicar el tiempo necesario al cumplimiento de sus responsabilidades como consejero. Ser un veedor “objetivo, capaz y curioso” del funcionamiento de los sistemas de control. Identificar e impedir que la Dirección pueda eludir los controles e ignorar o suprimir las comunicaciones procedentes de sus subordinados, lo cual permitiría a una dirección deshonesta manejar los resultados de manera intencionada sin dejar rastro de tales irregularidades. 9.4.3.- Auditores Internos: Desempeñan un papel importante en la evaluación de la eficacia de los sistemas de control y ayuda a mantenerla a lo largo del tiempo. Es clave en la “punta de la pirámide” (componente supervisión).
INFORME COSO
17
Interviene tanto en la “supervisión continuada” como en las “evaluaciones periódicas” (como lo hace también la auditoría externa). 9.4.4.- Demás empleados: El Control Interno es hasta cierto punto, la responsabilidad de todos los miembros de una organización y, por lo tanto, debe ser una parte explícita o implícita de la descripción del puesto de trabajo de cada empleado. Casi todos los empleados producen y/o utilizan información que pasa por el Sistema de Control Interno, o intervienen en las actividades de control. Todo el personal debe ser responsable de comunicar al nivel superior los problemas surgidos en el transcurso de las operaciones, así como cualquier incumplimiento del código de conducta u otras violaciones de políticas o normas legales. 9.4.5.- Auditores Externos: No tienen responsabilidad sobre el buen funcionamiento del sistema. Pero contribuyen fuertemente aportando una opinión independiente y objetiva, proporcionando a la dirección información útil para el ejercicio de sus responsabilidades. “Todos los Miembros de la Organización son responsables del CONTROL INTERNO”
10. LIMITACIONES:
El informe COSO encara las limitaciones de un sistema de control interno y los roles y responsabilidades de las partes que afectan a un sistema. Las limitaciones incluyen el juicio humado defectuoso, falta de comprensión de las instrucciones, errores, atropellos de la gerencia, colusión, y consideraciones de costo versus beneficio. El informe COSO define deficiencias como "condiciones dentro de un sistema de control interno digno de atención". Las deficiencias deberían ser reportadas a la persona responsable por la actividad y a la gerencia que está como mínimo un nivel por encima del individuo responsable. Un sistema de control interno es juzgado efectivo si están presentes y funcionando efectivamente los cinco componentes respecto de las operaciones, los reportes financieros y el cumplimiento.
INFORME COSO
18
LO QUE SE PUEDE LOGRAR CON EL CONTROL INTERNO El Control Interno puede ayudar a que una entidad consiga sus objetivos de rentabilidad y a prevenir la pérdida de recursos, puede ayudar a la obtención de información financiera confiable, puede reforzar la confianza de que la empresa cumple con la normatividad aplicable. LO QUE NO SE PUEDE LOGRAR CON EL CONTROL INTERNO Un Sistema de Control Interno, no importa lo bien concebido que esté y lo bien que funcione, únicamente puede dar un grado de seguridad razonable, no absoluta, a la dirección y al consejo en cuanto a la consecución de los objetivos de la entidad. El Control Interno no puede hacer que un gerente malo se convierta en un buen gerente. Asimismo, los cambios en la política o en los programas gubernamentales, las acciones que tomen los competidores o las condiciones económicas pueden estar fuera de control de la dirección. El Control Interno (incluso un Control Interno eficaz) funciona a diferentes niveles con respecto a los diferentes objetivos. En el caso de los objetivos relacionados con la eficacia y eficiencia de las operaciones (consecución de su misión básica, de los objetivos de rentabilidad y análogos) el Control Interno puede ayudar a asegurar que la dirección sea consiente del progreso o del estancamiento de la entidad. Juicio humano La eficacia de los controles se verá limitada por el riesgo de errores humanos en la toma de decisiones, estas decisiones se tienen que tomar basadas en el juicio humano, dentro de unos límites temporales, en base a la información disponible y bajo la presión diaria de la actividad laboral. Disfunciones del sistema A pesar de estar bien diseñados, los controles internos pueden fallar, puede que el personal comprenda mal las instrucciones o que se cometan errores de juicio.
INFORME COSO
19
Elusión de los controles por la dirección El Sistema de Control Interno no puede ser más eficaz que las personas responsables de su funcionamiento, incluso aquellas entidades que tienen un buen ambiente de control (aquellas que tienen elevados niveles de integridad y conciencia del control) existe la posibilidad de que el personal directivo eluda el Sistema de Control Interno. El término “elusión de los controles por la dirección” en el sentido en que se emplea en éste documento se refiere a la omisión de políticas o procedimientos establecidos con finalidades ilegítimas, con ánimo de lucro personal o para mejorar la presentación de la situación financiera o para disimular el incumplimiento de obligaciones legales. La elusión incluye prácticas tales como actos deliberados de falsificación ante bancos, abogados, contadores y proveedores, así como la emisión intencionada de documentos falsos entre otras. La elusión no se debe confundir con la intervención, términos que se refiere a los actos de la dirección efectuados con finalidades legítimas, que se desvían de las políticas y procedimientos establecidos. La intervención de la dirección es necesaria para hacer frente a transacciones o acontecimientos puntuales y no recurrentes que, de otra forma no serían procesados correctamente por el Sistema de control. Las intervenciones se hacen de manera abierta y tienen su correspondiente soporte documental, mientras que la elusión normalmente ni se documenta ni se comunica, en un claro intento de encubrir los hechos. Confabulación La confabulación de dos o más personas puede provocar fallas en el Sistema de control. Cuando las personas actúan de forma colectiva para cometer y encubrir un acto, los datos financieros y otras informaciones de gestión pueden verse alterados de un modo no identificable por el Sistema de Control. Relación costo / beneficio Las entidades deben considerar los costos y beneficios relativos a la implantación de controles. A la hora de decidir si se ha de implantar un determinado control, se considerarán tanto el riesgo de fracaso como el posible efecto en la entidad, junto a los costos correspondientes a la implantación del nuevo control. Existen distintos niveles de precisión en cuanto a la determinación del costo y el beneficio de la implantación de controles. Generalmente resulta más fácil determinar el costo, pudiéndose cuantificar de forma bastante precisa, normalmente se tienen en cuenta todos los costos directos correspondientes a la implantación de un control, así como los costos indirectos si resultan cuantificables.
INFORME COSO
20
11. MEJORES PRÁCTICAS INTERNACIONALES EN CONTROL INTERNO Descripción General: En la actualidad existen herramientas muy utilizadas que pueden ayudar a comparar que tan buenas prácticas en control interno tiene una organización: COSO (Commite of Sponsoring Organizations of the Treadway Commission y COBIT (Control Objectives for Information and related Technology). COSO: El Informe COSO es un documento que define unos parámetros para la implantación, gestión y control de un sistema de Control Interno. Debido a la gran aceptación de la que ha gozado, desde su publicación en 1992, el Informe COSO se ha convertido en el estándar de referencia en todo lo que concierne al Control Interno. COBIT: Provee un modelo de “mejores prácticas” que le pueden ayudar al Auditor a evaluar de manera ágil y consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de información y tecnología contribuyen al logro de los objetivos del negocio.
COSO III 12. DEFINICIÓN:
INFORME COSO
21
El 14 de mayo de 2013, el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) publicó una versión actualizada de su Marco Integrado de Control Interno (Marco 2013) que proporciona unas mejoras a las entidades que utilicen el Marco de 1992, COSO Control Interno – Marco Integrado (el “Marco de 1992”) para cumplir con la Sección 404 de la Ley Sarbanes-Oxley de 2002 (SOX), y la información sobre cómo hacer la transición del Marco 1992 al Marco 2013. El Marco 2013 crea una estructura más formal para el diseño y la evaluación de la efectividad del control interno a través de 17 principios para describir los componentes del control interno relevantes para todas las entidades, desarrolla los conceptos de evaluación de riesgos, riesgo inherente, tolerancia al riesgo, tratamiento de los riesgos y la vinculación entre riesgos en las actividades de evaluación y control. Cuyos objetivos son: aclarar los requerimientos del control interno; actualizar el contexto de la aplicación del control interno a muchos cambios en las empresas y ambientes operativos; y ampliar su aplicación al expandir los objetivos operativos y de emisión de informes. Este nuevo Marco Integrado permite una mayor cobertura de los riesgos a los que se enfrentan actualmente las organizaciones. Asimismo, a diferencia del Marco 1992, incluye explícitamente el concepto de riesgo de fraude al evaluar los riesgos para el logro de los objetivos de la organización, teniendo en cuenta: Sesgo de la administración. Nivel de juicios y estimaciones en informes externos. Fraudes y situaciones comunes a los sectores y mercados en los que opera la entidad. Las regiones geográficas en las que opera la entidad. Los incentivos que pueden motivar un comportamiento fraudulento. La naturaleza de la tecnología y la capacidad de la administración para manejar la información. Transacciones inusuales o complejas sujetas a la influencia significativa en su gestión.
INFORME COSO
22
La vulnerabilidad de la administración y los posibles esquemas para eludir las actividades de control existentes. Además, se añaden consideraciones respecto al uso de los proveedores de servicios externalizados y una mayor relevancia de la tecnología de la información. Se anima a las empresas a la transición de sus aplicaciones y la documentación relacionada con la actualización al Marco 2013 tan pronto como sea posible, dependiendo de las circunstancias particulares de las entidades. Durante el período de transición, establecido del 14 de mayo de 2013 al 15 de diciembre de 2014, se recomienda indicar la versión utilizada en los informes externos que se elaboren. El Marco ERM y el Marco 2013 tienen diferentes enfoques pero los dos marcos se complementan entre sí para el diseño, implementación, realización y evaluación de la gestión de riesgos empresariales. Algunos de los factores más relevantes que contribuyeron a la actualización del Marco Integrado de Control Interno son: Variación de los modelos de negocio como consecuencia de la globalización. Mayor necesidad de información a nivel interno debido a los entornos cambiantes. Incremento del número y complejidad de las normativas aplicables al Mundo empresarial a nivel internacional. Nuevas expectativas sobre la responsabilidad y competencias de los gestores de las organizaciones. Incremento de las expectativas de los grupos de interés (inversores, reguladores) en la prevención y detección del fraude. Aumento del uso de las nuevas tecnologías, y su desarrollo constante. Exigencias en la fiabilidad de la información reportada. Los siguientes cuadros presentan los cambios más significativos presentes en el Marco Integrado de Control Interno 2013, a nivel general y en cada componente:
INFORME COSO
23
1.
A Nivel General COSO 1992 Se mantiene:
COSO 2013 Cambia:
Definición del concepto de Ampliación y aclaración de Control Interno conceptos con el objetivo de abarcar las actuales condiciones del mercado y la economía global Cinco componentes control interno
del Codificación de principios y puntos de enfoque con aplicación internacional para el desarrollo y evaluación de la eficacia del Sistema de Control Interno Aclaración de la necesidad de establecer objetivos de negocio como condición previa a los objetivos de control interno
Criterios a utilizar en el proceso de evaluación de la eficacia del Sistema de Control Interno
Extensión de los objetivos de Reporte más allá de los informes financieros externos, a los de carácter interno y a los no financieros, tanto externos como internos
Uso del Juicio profesional para Inclusión de una guía la evaluación de la eficacia del orientadora para facilitar la Sistema de Control Interno supervisión del Control Interno sobre las operaciones, el cumplimiento y los objetivos de reporte Definición del conce
INFORME COSO
24
2.
A Nivel de Componentes
Componentes Entorno de Control
Evaluación de Riesgos
Cambios Representativos Se recogen en cinco principios la relevancia de la integridad y los valores éticos, la importancia de la filosofía de la administración y su manera de operar, la necesidad de una estructura organizativa, la adecuada asignación de responsabilidades y la importancia de las políticas de recursos humanos. Se explican las relaciones entre los componentes del Control Interno para destacar la importancia del Entorno de Control. Se amplía la información sobre el Gobierno Corporativo de la organización, reconociendo diferencias en las estructuras, requisitos, y retos a lo largo de diferentes jurisdicciones, sectores y tipos de entidades. Se enfatiza la supervisión del riesgo y la relación entre el riesgo y la respuesta al mismo. Se amplía la categoría de objetivos de Reporte, considerando todas las tipologías de reporte internos y externos. Se aclara que la evaluación de riesgos incluye la identificación, análisis y respuesta a los riesgos. Se incluyen los conceptos de velocidad y persistencia de los riesgos como criterios para evaluar la criticidad de los mismos. Se considera la tolerancia al riesgo en la evaluación de los niveles aceptables de riesgo. Se considera el riesgo asociado a las fusiones, adquisiciones y externalizaciones. Se amplía la consideración del riesgo al fraude.
INFORME COSO
25
Actividades de Control
Información Comunicación
Actividades Monitoreo Supervisión
Se indica que las actividades de control son acciones establecidas por políticas y procedimientos. Se considera el rápido cambio y evolución de la tecnología. Se enfatiza la diferenciación entre controles automáticos y controles generales de tecnología. y Se enfatiza la relevancia de la calidad de información dentro del Sistema de Control Interno. Se profundiza en la necesidad de información y comunicación entre la entidad y terceras partes. Se enfatiza el impacto de los requisitos regulatorios sobre la seguridad y protección de la información. Se refleja el impacto que tiene la tecnología y otros mecanismos de comunicación en la rapidez y calidad del flujo de información. de Se clarifica la terminología definiendo dos y categorías de actividades de monitoreo: evaluaciones continuas y evaluaciones independientes. Se profundiza en la relevancia del uso de la tecnología y los proveedores de servicios externos.
INFORME COSO
26
13. Generalidades El control interno es definido como un proceso integrado y dinámico llevado a cabo por la administración, la dirección y demás personal de una entidad, diseñado con el propósito de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos relacionados con las operaciones, la información y el cumplimiento. De esta manera, el control interno se convierte en una función inherente a la administración, integrada al funcionamiento organizacional y a la dirección institucional y deja, así, de ser una función que se asigne a un área específica de una empresa. En este sentido, el sistema de control interno debe orientarse a promover todas las condiciones necesarias para que el equipo de trabajo dé su mayor esfuerzo con el fin de lograr los resultados deseados, debido a que promueve el buen funcionamiento dela organización. El concepto de responsabilidad toma gran importancia y se convierte en un factor clave para el gobierno de las organizaciones, teniendo en cuenta que el principal propósito del sistema de control interno es detectar oportunamente cualquier desviación significativa en el cumplimiento de las metas y objetivos establecidos. La implementación de un sistema de control interno eficiente debe proporcionar: Consecución de objetivos de rentabilidad y rendimiento para prevenir la pérdida de recursos. Operaciones eficaces y eficientes. Desarrollo de tareas y actividades continuas, establecidas como un medio para llegar a un fin. Control interno efectuado por las personas de la entidad y las acciones que estas aplican en cada nivel de la entidad. Producción de informes financieros confiables para la toma de decisiones. Seguridad razonable, no absoluta, al consejo y la alta dirección de la entidad. Cumplimiento de las leyes y regulaciones pertinentes. INFORME COSO
27
Adaptación a la estructura de la entidad. Promoción, evaluación y preocupación por la seguridad, calidad y mejora continua de todos los procesos de la entidad. El modelo de control interno COSO2013 (COSO III) está compuesto por los cinco componentes establecidos en el marco anterior, y 17 principios y puntos de enfoque que presentan las características fundamentales de cada componente. Se caracteriza por tener en cuenta los siguientes aspectos y generar diferentes beneficios:
Mayores expectativas del gobierno corporativo. Globalización de mercados y operaciones. Cambio continuo en mayor complejidad en los negocios. Mayor demanda y complejidad en leyes, reglas, regulaciones y estándares. Expectativas de competencias y responsabilidades. Uso y mayor nivel de confianza en tecnologías que evolucionan rápidamente. Expectativas relacionadas con prevenir, desalentar y detectar el fraude. La efectividad del sistema de control interno depende de las características de claridad, agilidad, y confianza, y de esta manera se puede obtener una certeza razonable sobre el logro de los objetivos de la entidad. Un sistema de control interno efectivo reduce a un nivel aceptable el riesgo de no alcanzar un objetivo de la entidad. Para esto es indispensable que los componentes y principios estén presentes y en funcionamiento. Esto quiere decir que los componentes y principios relevantes existen en el diseño e implementación del sistema de control interno para alcanzar los objetivos especificados. Además, los componentes y principios deben ser aplicados en el sistema de control interno y funcionar de manera integrada. Sin embargo, es importante aclarar que un eficaz sistema de control interno no garantiza el éxito de una entidad. Éste puede ayudar a la consecución de los objetivos y suministrar información sobre el progreso de la entidad, pero el desempeño de la administración y directivas, así como factores
INFORME COSO
28
externos, como condiciones económicas, tienen gran influencia en el éxito de la entidad. El control interno no puede evitar que se aplique un deficiente criterio profesional o se adopten malas decisiones. Además, el sistema de control interno puede garantizar sólo una seguridad razonable en relación con el cumplimiento de los objetivos de la organización. Las limitaciones siempre están presentes e impiden que el Consejo de Administración y la Dirección tengan una seguridad absoluta. Sin embargo, estas limitaciones tienen que ser tomadas en cuenta al momento de seleccionar, desarrollar y desplegar los controles, para que minimicen en lo posible dichas limitaciones. Las limitaciones pueden originarse por los siguientes factores: La falta de adecuación de los objetivos establecidos como condición previa para el control interno. El criterio profesional de las personas en la toma de decisiones puede ser erróneo y estar sujeto a sesgos. La capacidad de la dirección de anular el control interno. Por esta razón, el Marco Integrado de Control Interno requiere de un criterio profesional en el diseño, implementación, y conducción del control interno y la evaluación de su efectividad. El uso del criterio profesional ayuda a la administración a tomar mejores decisiones con respecto al sistema de control interno, teniendo en cuenta que esto no garantiza resultados perfectos. La administración hace uso del criterio profesional en diferentes momentos: Aplicación de los componentes de control interno en relación con las categorías de los objetivos. Aplicación de los componentes y principios de control interno dentro de la estructura de la entidad. Especificación de objetivos generales y específicos apropiados y evaluación de riesgos para su cumplimiento. Selección, desarrollo y despliegue de los controles necesarios para
INFORME COSO
29
14. Objetivos y Componentes Cada entidad tiene una misión, la cual determina los objetivos y las estrategias necesarias para cumplirla. Los objetivos pueden ser establecidos mediante un proceso estructurado o informal dependiendo de la entidad, y junto con la evaluación de los puntos fuertes y débiles de la entidad, y de las oportunidades y amenazas del entorno, define una estrategia global. 1. Objetivos Es responsabilidad de la Administración y la Alta Dirección establecer los objetivos del negocio y es necesario fijar los objetivos con carácter previo al diseño e implementación del sistema de control interno, con el fin de controlar y mitigar de manera adecuada los riesgos que afectan a dichos objetivos. Los objetivos deben complementarse, estar relacionados entre sí y ser coherentes con las capacidades y expectativas de la entidad y las unidades empresariales y sus funciones. Establecer objetivos es un requisito previo para un control interno eficaz. Los objetivos proporcionan las metas medibles hacia las que la entidad se mueve al desarrollar sus actividades. Esta responsabilidad está establecida en los procesos de la administración, como se presenta a continuación: Determinar los objetivos estratégicos y seleccionar la estrategia dentro del contexto de la entidad establecido en su misión y visión. Establecer los objetivos de la entidad y desarrollar la tolerancia al riesgo con base en los requerimientos de la entidad según las circunstancias. Alinear los objetivos con la estrategia de la entidad y el apetito general del riesgo. Establecer los objetivos generales y específicos para la entidad y sus niveles según sean las circunstancias. El Marco Integrado de Control Interno establece tres categorías de objetivos que permiten a las organizaciones centrarse en diferentes aspectos del control interno. Estas son:
INFORME COSO
30
1.1. Objetivos operativos: estos objetivos se relacionan con el cumplimiento de la misión y visión de la entidad. Hacen referencia a la efectividad y eficiencia delas operaciones, incluidos sus objetivos de rendimiento financiero y operacional, y la protección de sus activos frente a posibles pérdidas. Por lo tanto, estos objetivos constituyen la base para la evaluación del riesgo en relación con la protección de los activos de la entidad, y la selección y desarrollo de los controles necesarios para mitigar dichos riesgos. Los objetivos operativos deben reflejar el entorno empresarial, industrial y económico en que se involucra la entidad; y están relacionados con el mejoramiento del desempeño financiero, la productividad, la calidad, las prácticas ambientales, y la innovación y satisfacción de empleados y clientes. 1.2. Objetivos de información: estos objetivos se refieren a la preparación de reportes para uso de la organización y los accionistas, teniendo en cuenta la veracidad, oportunidad y transparencia. Estos reportes relacionan la información financiera y no financiera interna y externa y abarcan aspectos de confiabilidad, oportunidad, transparencia y demás conceptos establecidos por los reguladores, organismos reconocidos o políticas de la entidad. La presentación de informes a nivel externo da respuesta a las regulaciones y normativas establecidas y a las solicitudes de los grupos de interés, y los informes a nivel interno atienden a las necesidades al interior de la organización tales como: la estrategia de la entidad, plan operativo y métricas de desempeño. 1.3.Objetivos de cumplimiento: están relacionados con el cumplimiento de las leyes y regulaciones a las que está sujeta la entidad. La entidad debe desarrollar sus actividades en función de las leyes y normas específicas. 2. Componentes del sistema de control interno Los cinco componentes deben funcionar de manera integrada para reducir a un nivel aceptable el riesgo de no alcanzar un objetivo. INFORME COSO
31
Los componentes son interdependientes, existe una gran cantidad de interrelaciones y vínculos entre ellos. Así mismo, dentro de cada componente el marco establece 17 principios que representan los conceptos fundamentales y son aplicables a los objetivos operativos, de información y de cumplimiento. Los principios permiten evaluar la efectividad del sistema de control interno. 2.5. Entorno de control Es el ambiente donde se desarrollan todas las actividades organizacionales bajo la gestión de la administración. El entorno de control es influenciado por factores tanto internos como externos, tales como la historia de la entidad, los valores, el mercado, y el ambiente competitivo y regulatorio. Comprende las normas, procesos y estructuras que constituyen la base para desarrollar el control interno de la organización. Este componente crea la disciplina que apoya la evaluación del riesgo para el cumplimiento de los objetivos de la entidad, el rendimiento de las actividades de control, uso de la información y sistemas de comunicación, y conducción de actividades de supervisión. Para lograr un entorno de control apropiado deben tenerse en cuenta aspectos como la estructura organizacional, la división del trabajo y asignación de responsabilidades, el estilo de gerencia y el compromiso. Un entorno de control ineficaz puede tener consecuencias graves, tales como pérdida financiera, pérdida de imagen o un fracaso empresarial. Por esta razón, este componente tiene una influencia muy relevante en los demás componentes del sistema de control interno, y se convierte en el cimiento de los demás proporcionando disciplina y estructura. Una organización que establece y mantiene un adecuado entorno de control es más fuerte a la hora de afrontar riesgos y lograr sus objetivos. Esto se puede obtener si se cuenta con: Actitudes congruentes con su integridad y valores éticos.
INFORME COSO
32
Procesos y conductas adecuados para la evaluación de conductas. Asignación adecuada de responsabilidades. Un elevado grado de competencia y un fuerte sentido de la responsabilidad para la consecución de los objetivos. Por esta razón, el Entorno de control está compuesto por el comportamiento que se mantiene dentro de la organización, e incluye aspectos como:
La integridad y los valores éticos de los recursos humanos. La competencia profesional. La delegación de responsabilidades. El compromiso con la excelencia y la transparencia. La atmosfera de confianza mutua. La filosofía y estilo de dirección. La estructura y plan organizacional. Los reglamentos y manuales de procedimientos. Las políticas en materia de recursos humanos. El Comité de Control.
2.2. Evaluación de riesgos Este componente identifica los posibles riesgos asociados con el logro de los objetivos de la organización. Toda organización debe hacer frente a una serie de riesgos de origen tanto interno como externo, que deben ser evaluados. Estos riesgos afectan a las entidades en diferentes sentidos, como en su habilidad para competir con éxito, mantener una posición financiera fuerte y una imagen pública positiva. Por ende, se entiende por riesgo cualquier causa probable de que no se cumplan los objetivos de la organización. De esta manera, la organización debe prever, conocer y abordar los riesgos con los que se enfrenta, para establecer mecanismos que los identifiquen, analicen y disminuyan. Este es un proceso dinámico e iterativo que constituye la base para determinar cómo se gestionaran los riesgos. 2.3. Actividades de control
INFORME COSO
33
En el diseño organizacional deben establecerse las políticas y procedimientos que ayuden a que las normas de la organización se ejecuten con una seguridad razonable para enfrentar de forma eficaz los riesgos. Las actividades de control se definen como las acciones establecidas a través de las políticas y procedimientos que contribuyen a garantizar que se lleven a cabo las instrucciones de la dirección para mitigar los riesgos con impacto potencial en los objetivos. Las actividades de control se ejecutan en todos los niveles de la entidad, en las diferentes etapas de los procesos de negocio y en el entorno tecnológico, y sirven como mecanismos para asegurar el cumplimiento de los objetivos. Según su naturaleza pueden ser preventivas o de detección y pueden abarcar una amplia gama de actividades manuales y automatizadas. Las actividades de control conforman una parte fundamental de los elementos de control interno. Estas actividades están orientadas a minimizar los riesgos que dificultan la realización de los objetivos generales de la organización. Cada control que se realice debe estar de acuerdo con el riesgo que previene, teniendo en cuenta que demasiados controles son tan peligrosos como lo es tomar riesgos excesivos. Estos controles permiten: Prevenir la ocurrencia de riesgos innecesarios. Minimizar el impacto de las consecuencias de los mismos. Restablecer el sistema en el menor tiempo posible. En todos los niveles de la organización existen responsabilidades en las actividades de control, debido a esto es necesario que todo el personal dentro de la organización conozca cuáles son las tareas de control que debe ejecutar. Para esto se debe explicitar cuáles son las funciones de control que le corresponden a cada individuo.
2.4. Información y comunicación El personal debe no solo captar una información sino también intercambiarla para desarrollar, gestionar y controlar sus operaciones. Por INFORME COSO
34
lo tanto, este componente hace referencia a la forma en que las áreas operativas, administrativas y financieras de la organización identifican, capturan e intercambian información. La información es necesaria para que la entidad lleve a cabo las responsabilidades de control interno que apoyan el cumplimiento de los objetivos. La gestión de la empresa y el progreso hacia los objetivos establecidos implican que la información es necesaria en todos los niveles de la empresa. 2.5. Supervisión del sistema de control – Monitoreo Todo el proceso ha de ser monitoreado con el fin de incorporar el concepto de mejoramiento continuo; así mismo, el Sistema de Control Interno debe ser flexible para reaccionar ágilmente y adaptarse a las circunstancias. Las actividades de monitoreo y supervisión deben evaluar si los componentes y principios están presentes y funcionando en la entidad. Es importante determinar, supervisar y medir la calidad del desempeño de la estructura de control interno, teniendo en cuenta: Las actividades de monitoreo durante el curso ordinario de las operaciones de la entidad. Evaluaciones separadas. Condiciones reportables. Papel asumido por cada miembro de la organización en los niveles de control. Es importante establecer procedimientos que aseguren que cualquier deficiencia detectada que pueda afectar al Sistema de Control Interno sea informada oportunamente para tomar las decisiones pertinentes. Los sistemas de control interno cambian constantemente, debido a que los procedimientos que eran eficaces en un momento dado, pueden perder su eficacia por diferentes motivos, como la incorporación de nuevos empleados, restricciones de recursos, entre otros. 2. Implementación y Herramientas de evaluación 1. Implementación
INFORME COSO
35
La implementación del Marco Integrado de Control Interno debe fundamentarse en el modelo de negocios dela entidad, el cual involucra la mayoría de los procesos de administración y gobierno en una empresa. El modelo de negocios inicia con el gobierno, el cual incluye la visión y misión de la organización, y la supervisión del Consejo de Administración de la planificación y las operaciones de la empresa. También incluye las actividades de la Dirección para garantizar la efectividad del establecimiento de la estrategia y demás procesos de gestión de la organización. Un gobierno efectivo asegura la responsabilidad, la rendición de cuentas, la equidad y transparencia en las relaciones de la organización con sus diferentes grupos de interés (accionistas, prestamistas, clientes, proveedores, empleados, gobiernos, reguladores y comunidades en la que opera la organización). El establecimiento de la estrategia de la organización es el proceso en el que la administración articula un plan de alto nivel para lograr uno o más objetivos en relación con la misión de la organización. Usualmente, la estrategia es presentada en forma de objetivos generales, iniciativas y tácticas. Juntos, estos elementos del gobierno y el establecimiento de la estrategia, proporcionan orientación a la empresa y claramente tienen un lugar para asegurar el éxito de la organización en el cumplimiento de las demandas y expectativas de las partes interesadas. Dentro del modelo de negocios hay cuatro elementos que se basan en el círculo Deming: planear, hacer, verificar y actuar (plan, do, check, actcycle). En el modelo se presentan como planificación del negocio, ejecución, monitoreo y adaptación. Planificación del negocio: articula las metas específicas o planes de trabajo sobre el modo como la administración contribuye al logro de los objetivos de la estrategia general. Explica por qué esos objetivos son alcanzables y proporciona un proceso favorable para la
INFORME COSO
36
implementación y ejecución de la estrategia corporativa a través de la organización dentro del horizonte de planificación especifica. Ejecución: consiste en las operaciones centrales de la organización, relacionadas con el diseño, construcción y operación de los procesos que hacen que el planeamiento funciones cumpla con el rendimiento esperado de acuerdo con los valores y estrategia de la organización. Monitoreo: involucra las actividades establecidas por la administración para la revisión y supervisión de la ejecución de las operaciones de la organización en relación con el plan estratégico general, incluyendo un nivel aceptable de riesgo. Las actividades de monitoreo consideran tanto las medidas de rendimiento que demuestran el progreso hacia el logro de los objetivos del negocio como las metas estratégicas a largo plazo; así como las métricas de riesgo para asegurar que el riesgo se mantiene en niveles aceptables. Adaptación: describe los procesos organizativos, mediante los cuales los problemas identificados a través de las actividades de monitoreo exigen acciones de seguimiento y corrección de la administración, y son traducidos a cambios ejecutables en la estrategia corporativa, plan de negocios, o tácticas de ejecución. La adaptación es esencial cuando se considera la capacidad de recuperación y agilidad de la empresa, elementos vitales para el éxito en un entorno de negocios que cambia rápidamente. 2. Herramientas ilustrativas para evaluar la eficacia del Sistema de Control Interno El Marco Integrado de Control Interno presenta un apartado titulado Herramientas ilustrativas para evaluar la eficacia del Sistema de Control Interno, el cual es una ayuda muy útil para evaluar la efectividad del Sistema de control Interno de una organización sobre la base de los requisitos establecidos en el Marco. Para esto, el Marco presenta una serie de plantillas o formularios que dan una guía para la realización del trabajo a través de ejemplos de cómo desarrollar las evaluaciones.
INFORME COSO
37
Estos formularios pueden ser personalizados acorde con las necesidades y características de la organización y demás aspectos que la administración considere necesarios para la evaluación del Sistema de Control Interno. Además, permiten presentar un resumen de los resultados de la evaluación por principios, componentes y sistemas de control interno en general. La administración puede utilizar estos formularios con diferentes finalidades: Apoyar la determinación de si los componentes y principios están presentes y funcionando correctamente. Apoyar la evaluación de si los cinco componentes del Sistema de Control Interno están operando al mismo tiempo de una manera integrada. Apoyar la evaluación de la eficacia del Sistema de Control Interno en relación con una o más categorías de objetivos. Documentar la evaluación general de la administración en relación con la efectividad del Sistema de Control Interno, considerando los componentes y principios. Documentar las deficiencias encontradas durante el proceso de evaluación. Formulario de evaluación de los principios Resume la decisión de la Administración sobre si cada principio está presente y funcionando. Se tienen en cuenta los puntos de enfoque para apoyar la decisión de la administración. Formulario por cada componente Resume la decisión de la Administración sobre si cada componente, incluyendo sus principios, están presentes y funcionando.
Formulario de evaluación general Resume la decisión de la administración sobre si los cinco componentes están presentes, funcionando y operando de una manera integrada,
INFORME COSO
38
incluyendo la gravedad de las deficiencias del Control Interno o una combinación de deficiencias cuando se consideran colectivamente a lo largo de los componentes. Formulario de resumen de deficiencias de control interno Aporta un registro de todas las deficiencias del Control Interno que se han encontrado, y que se pueden aprovechar en la evaluación de los componentes y principios. Control Interno sobre la información financiera externa: un compendio de métodos y ejemplos Este documento ayuda en la implementación del Marco Integrado de Control Interno sobre el reporte financiero externo, debido a que proporciona distintos enfoques y ejemplos para ilustrar cómo las entidades pueden aplicar los componentes y los principios a sus Sistemas de Control Interno. Este compendio es una actualización del “Internal control overFinancialReporting” de 2006, y tiene en cuenta las expectativas de la supervisión del gobierno de la organización; la globalización de los mercados y las operaciones; la mayor complejidad de las leyes, regulaciones, reglas y estándares; el uso de nuevas tecnologías; y las crecientes expectativas relativas a la prevención y la detección del fraude.
CONCLUSIONES: La auditoría interna se considerará entonces como una parte del sistema de control.
INFORME COSO
39
Informe COSO es una herramienta utilizada por la Auditoria interna para realizar el control interno de la empresa. La responsabilidad de los Auditores Internos en este proceso es la de revisar el Control implementado. En el marco de control postulado a través del Informe COSO, la interrelación de los cinco componentes (Ambiente de control, Evaluación de riesgos, Actividades de control, Información y comunicación, y Supervisión) genera una sinergia conformando un sistema integrado que responde dinámicamente a los cambios del entorno. El cumplimiento de las disposiciones de ley SOX incluidas en el Informe COSO II, nos permiten: mejorar la estructura de controles internos, financieros y no financieros; mejorar los procesos operacionales y financieros; alcanzar un nuevo nivel de Gobierno Corporativo; dar mayor credibilidad junto al mercado, en función del combate a los fraudes financieros. La ventaja de utilizar las mejores prácticas internacionales de control interno, es que se puede tomar un camino que garantiza en gran parte el logro de los objetivos del negocio, porque se cuenta con modelos, métodos y procedimientos que nacen de la experiencia de años de práctica y son frutos de los buenos resultados en las organizaciones en las cuales estas se han implementado.
BIBLIOGRAFÍA:
INFORME COSO
40
Coopers & Lybrand, “Los Nuevos Conceptos del Control Interno (Informe COSO)”, Ediciones Díaz de Santos, Madrid, 1997. Peña Bermúdez, Jesús M. “Control, Auditoria y Revisión Fiscal. (Informe COSO). Ediciones ECOE, EE.UU, 2008. Mantilla G. Samuel Alberto. Control Interno-Informe COSO. Ediciones ECCONOM. Tercera edición. Madrid, 2003. J.L. Pungitore, “Sistemas Administrativos y Control Interno”, Editorial Osmar D. Buyatti, Buenos Aires, 2007. Sindicatura General de la Nación, “Normas Generales de Control Interno”, Resolución SIGEN No. 107/98, 1998. Auditoría General de la Nación, Normas de Auditoría, Resolución No. 145/93, 1993 http://www.gestiopolis.com/delta/term/TER417.html http://auditool.org/index.php?option=com_content&task=view&id=252&Itemid http://www.upc.edu.pe/2/modulos/JER/JER_Interna.aspx?ARE=2&PFL=2&J ER=3749
HERRAMIENTA INTEGRADA DE CONTROL INTERNO Y ADMNISTRACIÓN DE RIESGOS; Alba Rocío Carvajal S, María Elena Escobar A. ADMINSTRACION DE RIESGOS E.R.M. Y LA AUDITORIA INTERNA; Rodrigo Estupiñán G. CONTROL INTERNO Y FRAUDES; Rodrigo Estupiñán G. CONTROL INTERNO ESTRUCTURA CONCEPTUAL INTEGRADA; Samuel Alberto Mantilla NORMAS DE AUDITORIA INTERNA; Instituto de Auditores internos The IIA. AUDITORIA UN ENFOQUE INTEGRAL, Arens Elder COSO 3 ESTANDAR VALORACION DE RIESGOS AS NZS 4360 NORMA NTC 5254 CODIGO DE ETICA IFAC
INFORME COSO
41
INFORME COSO
42