Documente Academic
Documente Profesional
Documente Cultură
Control en el
Sector
Pblico
Mdulo 3:
Control interno con
el enfoque COSO
CONTENIDO
INTRODUCCIN ..................................................................................................................................... 3
1. COSO.................................................................................................................................................. 5
2.1. CONCEPTOS CLAVE RELACIONADOS CON LAS DEFINICIONES DE CONTROL INTERNO DE COSO ............................... 10
2.1.1. Proceso .................................................................................................................................... 11
2.1.2. Efectuado por personas .......................................................................................................... 11
2.1.3. Adaptable a la estructura de la entidad.................................................................................. 12
2.1.4. Capaz de brindar seguridad razonable ................................................................................... 12
2.1.5. Engranado para el logro de objetivos ..................................................................................... 12
2
Introduccin
En este curso, el trmino enfoque COSO de control interno o control interno
bajo el enfoque COSO (abreviadamente, enfoque COSO) designa al abordaje
que en diversos estudios y publicaciones patrocinados por el denominado
Committee of Sponsoring Organizations of the Treadway Commission (Comit
de Organizaciones Patrocinantes de la Comisin Treadway, conocido como
COSO, por sus siglas en ingls), se le da a un tipo de proceso de control de la
gestin organizacional que en dichas publicaciones ha sido etiquetado como
control interno.
3
Objetivos del mdulo
4
1. COSO
Una de las instituciones ms influyentes en una temtica que ha sido
denominada convencionalmente como control interno es el Committee of
Sponsoring Organizations of the Treadway Commission (Comit de
Organizaciones Patrocinantes de la Comisin Treadway), conocido
internacionalmente como COSO, por su sigla en ingls. En esta seccin, se
aborda el surgimiento de COSO y su misin, as como algunas de las principales
publicaciones que ha patrocinado.
5
Los pasos para reducir su incidencia.
Dicha comisin tuvo como primer chairman al abogado James C. Treadway Jr.
De ello deriva que fuera conocida como la Treadway Commission. Treadway Jr.
era General Counsel de Pain Weber Inc. y anteriormente fue miembro de la U.
S. Securities and Exchange Commission.
1
Figura 0.1. James Treadway Jr. (a la derecha) en una foto de 1984
1
Foto recuperada el 1 de abril de 2013, de
http://www.sechistorical.org/collection/photos/full/1984_0101_sec_4.jpg
6
La iniciativa formada por las cinco instituciones del sector privado
patrocinadoras de la citada comisin fue denominada Committee of Sponsoring
Organizations of the Treadway Commission (Comit de Organizaciones
Patrocinantes de la Comisin Treadway). Es referida usualmente mediante sus
siglas en ingls: COSO.
Manejo de riesgos
Marcos empresariales
BRINDAR exhaustivos
a travs del sobre
THOUGHT desarrollo de
Control interno
LEADERSHIP
Orientacin Disuasin de
fraudes
diseados para
Mejorar Reducir
7
1.3. Principales publicaciones de COSO
2
COOPERS & LYBRAND fue la denominacin de una firma establecida en 1957, resultante de la fusin
realizada de COOPER BROTHERS & CO (Reino Unido), MCDONALD, CURRIE AND CO (Canad) and LYBRAND, ROSS
BROS & MONTGOMERY (Estados Unidos de Amrica) (PwC, 2013).
3
PRICEWATERHOUSECOOPERS fue la denominacin de la firma establecida en 1998 resultante de la fusin a
escala global de PRICE WATERHOUSE y COOPERS & LYBRAND. En el ao 2010, PRICEWATERHOUSECOOPERS adopt
formalmente el nombre comercial PwC, aunque la denominacin PRICEWATERHOUSECOOPERS se mantiene
como nombre completo de la organizacin a nivel global para fines legales (PwC, 2013).
8
2. Definicin de control interno bajo el
enfoque COSO
Las versiones de los aos 1992 y 2013 del ICIF definen control interno en un
sentido procesal, tal como se indica a continuacin:
9
COSO (2013, p. 1)
Un proceso.
Efectuado por personas.
Adaptable a la estructura de la entidad.
Capaz de brindar seguridad razonable.
Engranado para el logro de objetivos.
Figura 0.1. Conceptos clave de la definicin de control interno formulada por COSO.
Efectuado
por Personal
Adaptable a la
Proceso estructura de
la entidad
10
2.1.1. Proceso
Segn COSO (2013, pp. 3, 145), incorporado dentro de este proceso estn los
controles. Un control es una poltica (policy) o procedimiento (procedure) que
forma parte del control interno. Una poltica es un enunciado de un miembro
de la gerencia o del consejo respecto a qu se debera hacer para llevar a
efecto el control interno. Un procedimiento es una accin que implementa una
poltica.
Efectuado
por Personal
Adaptable a la
Proceso estructura de
la entidad
11
La gerencia (management), que conjuntamente con el consejo de
directores marcan la pauta para la organizacin respecto a la importancia
del control interno y los estndares esperados de conducta en la entidad.
El resto del personal (other personnel).
Consejo de Board of
directores directors
PERSONAS DE LA
Gerencia Management
ORGANIZACIN
12
Operaciones. Relacionado con el uso efectivo y eficiente de los
recursos de la entidad.
Reporteo financiero. Relacionado con la preparacin de confiables
estados financieros publicados.
Cumplimiento. Relacionado con el cumplimiento por parte de la
entidad de leyes y regulaciones que le sean aplicables.
Relacionados Efectivo
con el uso de
Operaciones recursos Desempeo
Eficiente
CATEGORAS DE
Relacionado Estados
OBJETIVOS DEL Reporteo con la Transparencia
preparacin de financieros
CONTROL INTERNO financiero confiables
financiera
SEGN ICIF 1992
Relacionados Leyes
con el
Conformidad cumplimiento Juridicidad
de
Regulaciones
13
Reporting Objectives. These prdidas
pertain to internal and external
financial and non-financial Objetivos de reporteo. Estos se
reporting and may encompass refieren al reporteo financiero y
reliability, timeliness, no financiero interno y externo y
transparency, or other terms as pueden abarcar confiabilidad,
set forth by regulators, standard oportunidad, transparencia u
setters, or the entitys policies. otros trminos estipulados por
reguladores, fijadores de
Compliance Objectives. These estndares u las polticas de la
pertain to adherence to laws and entidad.
regulations to which the entity is
subject (COSO, 2013, p. 2). Objetivos de conformidad. Estos
se refieren a la adherencia a
leyes y regulaciones a la cual la
entidad est sujeta.
Efectividad y
eficiencia
Objetivos de Pertinentes a
Incluido
operaciones
Salvaguarda de
activos
Financiero
CATEGORAS DE
No financiero
OBJETIVOS DEL Objetivos de Pertinentes a
reporteo
CONTROL INTERNO reporteo Interno
SEGN ICIF 2013
Externo
Leyes
Objetivos de Pertinentes a
adherencia a
conformidad
Regulaciones
14
3. Componentes del control interno
bajo el enfoque COSO
Las dos versiones del ICIF consideran que el control interno tiene cinco
componentes. En ambas versiones, los nombres de los componentes coinciden,
salvo en el quinto, tal como se indica en la Tabla 1.
Tabla 1. Componentes del control interno en las dos versiones del ICIF
Nombre de componente
N.
En ICIF 1992 En ICIF 2013
1 Control environment Control environment
2 Risk assessment Risk assessment
3 Control activities Control activities
4 Information and Information and
communication communication
5 Monitoring Monitoring activities
15
La Tabla 2 presenta una breve descripcin de los cinco componentes de control
interno basada en la versin 2013 del ICIF. Cabe indicar que una novedad en
esta versin es la asociacin explcita de cada componente con dos o ms
principios, sumando en total 17 principios.
16
Figura 1. Componentes del control interno en ICIF-COSO
MONI TOREO
&
N
N
I
CI
ACTIV D E OL
AC
ID
N
&
ADES R
ICA
NT
RM
COMUNICACI
INFORMACIN
C O
UN
FO
IN
M
CO
S
VALO GO
RACI IES
N D ER
L
RO
ENT O NT
ORN L C
O DE
id
rte
io
m
ac
po
or
er
nf
Re
Op
Co
Unidad Operativa
Funcin
Valoracin de riesgos
Divisin
Actividades de control
Informacin y comunicacin
Actividades de monitoreo
17
El consejo directivo y la alta gerencia marcan desde el alto nivel la pauta
acerca de la importancia del control interno, incluidos los estndares
esperados de conducta.
COSO (2013, p. 31) seala cinco principios relativos con este componente. A
continuacin, citamos a dichos principios, as como su traduccin aproximada:
18
exercises oversight of the supervisin del desarrollo y [la]
development and performance performance de[l] control
of internal control. interno.
De adversidad
ENFOQUES PARA
CONCEPTUALIZAR
EL RIESGO
De bipolaridad
19
3.2.1.1. Riesgo bajo un enfoque de adversidad
Sea una variable x y una persona P. Pueden presentarse los siguientes casos:
Con este enfoque, de manera similar al anterior, el riesgo (en trminos amplios
o en trminos puros) es subjetivo. En efecto, respecto a una variable
determinada, una persona A puede estar en situacin de riesgo y, al mismo
tiempo, una persona B estar fuera de una situacin de riesgo. Analcese, por
ejemplo, el caso de una operacin crediticia en la cual el acreedor puede
determinar y modificar mensualmente la tasa efectiva anual i de inters
flotante aplicable. En este caso, si el deudor ha podido establecer y conocer la
20
distribucin de probabilidad de valores de i para los prximos 12 meses, se
tiene que para dicho perodo:
3.2.2.1. Evento
EVENTO
De fuentes
Internas
Incidente o
Externas
u
Que afectan
Ocurrencia
Logro de
objetivos
21
3.2.2.2. Oportunidad y riesgo
con impacto
Oportunidad
positivo
Posibilidad de
ocurrencia de
un evento ...
con impacto
Riesgo
negativo
22
De manera complementaria a lo sealado por COSO, se puede mencionar lo
siguiente:
La
Figura 7 correspondiente a un caso en el cual ambos atributos son
variables numricas continuas y algunos valores hipotticos de ambas
variables son representados mediante puntos.
La Figura 8 correspondiente a un caso en el cual el atributo verosimilitud
se refiere a la probabilidad de ocurrencia de un evento (probabilidad
entendida en el sentido dado en Estadstica Inferencial) y la adversidad
se refiere a un importe de prdida que se generara en el caso de
ocurrencia del mismo evento.
23
Figura 7. Mapa de riesgos cuando las variables verosimilitud y adversidad son numricas continuas.
El mapa ilustra mediante puntos tres de las infinitas combinaciones hipotticas de valores de ambas
variables.
4 P = (1;4)
Adversidad
3
Q = (2;2)
2
R = (4;1)
1
1 2 3 4
Verosimilitud
El mapa ilustra mediante puntos tres de las infinitas combinaciones hipotticas de valores de ambas
variables:
$100 $200 $300 $400
U = (0,2;$400)
Adversidad = Prdida
V = (0,4;$200)
W = (0,8;$100)
Si los dos atributos bsicos indicados son variables discretas con dominio finito,
se puede usar de manera alternativa o complementaria a un mapa de riesgo
24
similar al ilustrado en las dos figuras precedentes, un grfico denominado
matriz de riesgo, tal como el ilustrado en la Figura 9.
Figura 9. Mapa de riesgos cuando las variables verosimilitud y adversidad tienen cada una tres valores
hipotticos discretos y cualitativos.
En este caso, el mapa adopta una forma matricial que ilustra las nueve posibles combinaciones
hipotticas de valores de ambas variables:
() = () ()
Dnde:
25
Ejemplo 1. Monto de riesgo
Para el caso de la
14=22=41=4
Ejemplo 2. Apetito y mapa de riesgo cuando las variables verosimilitud y adversidad son numricas
continuas
26
Figura 7, si se establece como apetito de riesgo un valor de 4, todas las
combinaciones de valores de las variables verosimilitud y adversidad que
corresponden a un monto de riesgo ascendente a 4 conformarn la curva
de apetito de riesgo. Correspondern a montos de riesgo aceptables
cualesquiera combinaciones de valores de las referidas variables
representadas por puntos:
Figura 10. Curva de apetito de riesgo que pasa por los puntos P, Q y R, cuando las variables
verosimilitud y adversidad son numricas continuas.
O E
S
P = (1;4)
4
Zona al NE
de la curva
Adversidad
T = (3;3)
3
Q = (2;2)
2
S = (1;1) R = (4;1)
1
Zona al SO
de la curva
1 2 3 4
Verosimilitud
27
Partiendo del caso de la Figura 8, si se establece como apetito de riesgo
un valor de USD 80, todas las combinaciones de valores de las variables
probabilidad y prdida que corresponden a un monto de riesgo
ascendente a USD 80 conformarn la curva de apetito de riesgo.
Correspondern a montos de riesgo aceptables cualesquiera combinacin
de valores de las referidas variables representadas por puntos:
O E
S
$100 $200 $300 $400
U = (0,2;$400)
Adversidad = Prdida
Zona al NE
de la curva
Y = (0,6;$300)
V = (0,4;$200)
X = (0,2;$100) W = (0,8;$100)
Zona al SO
de la curva
Ejemplo 4. Apetito y matriz de riesgo cuando las variables verosimilitud y adversidad son numrica
discretas
Figura 12. Matriz de riesgo y niveles de riesgo asociados con cada combinacin hipottica de
verosimilitud y adversidad.
28
1 = Reducida 2 = Mediana 3 = Elevada
(1;3) (2;3) (3;3)
MR = 1 x 3 = 3 MR = 2 x 3 = 6 MR = 3 x 3 = 9
= Bajo = Alto = Muy alto
Adversidad
(1;2) (2;2) (3;2)
MR = 1 x 2 = 2 MR = 2 x 2 = 4 MR = 3 x 2 = 6
= Muy bajo = Moderado = Alto
MR = 1 x 1 = 1 MR = 2 x 1 = 2 MR = 3 x 1 = 3
= Bajsimo = Muy bajo = Bajo
1 = Reducida 2 = Mediana 3 = Elevada
Verosimilitud
29
Evitacin ocurre cuando se abandona las actividades que generan
riesgo; puede involucrar abandonar una lnea de producto, declinar la
expansin a un nuevo mercado geogrfico o vender una divisin.
Reduccin ocurre cuando se toma accin para reducir la verosimilitud,
el impacto o ambos; involucra tpicamente una mirada de decisiones de
negocio cotidianas.
Comparticin ocurre cuando se reduce el riesgo o el impacto,
transfiriendo o compartiendo de otra manera una porcin del riesgo;
tcnicas comunes incluyen compra de seguros, formar joint ventures,
realizar transacciones de cobertura o tercerizar una actividad.
Aceptacin
CATEGORAS DE Evitacin
RESPUESTA AL
RIESGO Reduccin
Comparticin
La aceptacin del riesgo suele darse cuando el monto de riesgo est dentro del
apetito de riesgo. Cuando el nivel de riesgo supera al apetito de riesgo, se
puede adoptar las opciones de reduccin o comparticin, si se verifica
previamente que, adoptando dichas respuestas, el nivel de riesgo se reducira
hasta un nivel igual o menor que el apetito de riesgo. Si ello no se puede
verificar, entonces la respuesta apropiada sera la evitacin del riesgo.
30
respuesta al riesgo. De acuerdo con dichos marcos (COSO, 2004, p. 49 y COSO,
2013, p. 75):
Figura 14. Respuesta al riesgo a partir de un riesgo inherente que conlleva a un riesgo residual.
Riesgo Riesgo
inherente residual
Respuesta al
riesgo
La verosimilitud de E es 3.
La adversidad en el caso de producirse E es 3.
Con esta informacin se tiene que el monto de riesgo inherente asociado con el referido
evento es 9, valor que se encuentra muy por encima del apetito de riesgo. Ante esta
situacin se ha identificado que en anteriores PIP, los retrasos en las contrataciones
han estado asociadas con:
Ante esta situacin, se ha planteado adoptar las siguientes acciones antes del inicio de
la ejecucin del proyecto:
31
(1) Identificacin de productos complejos cuya formulacin de trminos de
referencia (TDR) requieran apoyo tcnico especializado.
(2) Contratacin de consultores para que formulen y tengan concluidos los TDR de
los productos complejos referidos en (1) dentro de un plazo que venza seis
meses antes de que se requiera contratar o adquirir dichos productos.
(3) Formulacin y conclusin de TDR por las reas usuarias para aquellos bienes y
servicios que no califiquen como productos complejos dentro en un plazo que
venza seis meses antes de la fecha que se requiera iniciar el proceso de
adquisicin o contratacin de tales bienes y servicios.
(4) Uso de recursos del endeudamiento para financiar parcial o totalmente la
adquisicin o contratacin de los productos complejos.
(5) Aplicacin de normativa internacional para los procesos de adquisicin o
contratacin de los productos complejos y de otros bienes y servicios priorizados
cuya contratacin o adquisicin pueda ser financiada parcialmente con recursos
de la operacin de endeudamiento externo.
La verosimilitud de E es 1.
La adversidad en el caso de producirse E es 2.
Con esta informacin se tiene que el monto de riesgo residual asociado con E es 2,
valor que se encuentra por debajo del apetito de riesgo. Se tiene, entonces, que de ser
implementadas las 5 acciones descritas, las mismas configuraran respuestas al riesgo
en la categora de reduccin.
Figura 16.
Figura 15. Matriz de riesgos del presente ejemplo para el caso en el cual las variables verosimilitud y
adversidad son discretas.
32
Riesgo inherente
MR = 1 x 3 = 3 MR = 2 x 3 = 6 MR = 3 x 3 = 9
= Bajo = Alto = Muy alto
Riesgo residual
Adversidad
(1;2) (2;2) (3;2)
MR = 1 x 2 = 2 MR = 2 x 2 = 4 MR = 3 x 2 = 6
Figura 16. Mapa de riesgos del presente ejemplo del presente ejemplo para el caso en el cual las
variables verosimilitud y adversidad son continuas.
33
Riesgo
inherente
A = (3;3)
Curva
3
Adversidad
de
2
ap
e ti
Riesgo de
to
residual riesg
o
B = (1;2)
1 1 2 3
Verosimilitud
34
VALORACIN DE RIESGOS
Riesgos
Proceso Identificar
Establecimiento Precondicin de para para el
dinmico e
de objetivos logro de
iterativo Valuar
objetivos
Por otro lado, en el marco del ICIF 2013, la especificacin de objetivos s forma
parte de dicho proceso de valuacin. Al respecto considera que una
organizacin especifica objetivos (COSO, 2013, p. 15):
COSO (2013, p. 59) seala cuatro principios relativos con este segundo
componente del control interno. A continuacin citamos a dichos principios, as
como una traduccin aproximada de los mismos:
4
En ingls, los atributos de los objetivos sealados en (1) son referidos como specific, measurable or
observable, attainable, relevant y time-based. Las iniciales correspondientes a estos cinco atributos forman
el acrnimo SMART.
35
objectives. [los] objetivos.
36
ACTIVIDADES DE CONTROL
Polticas Para Directivas del
establecen ayudar a management
Acciones asegurar para mitigar
ejecucin
Procedimientos riesgos
37
Tipo sealado Traduccin
Detalle (*)
en el ICIF 2013 aproximada
Las (re)conciliaciones comparan dos o ms elementos de
Reconciliations (Re)conciliaciones datos y, si se identifican diferencias, se toma accin para
que los datos concuerden (COSO, 2013, p. 93).
Los controles supervisores valoran si otras actividades de
control transaccional (es decir, verificaciones particulares,
reconciliaciones, autorizaciones y aprobaciones, controles
Supervisory Controles
sobre data permanente y actividades de control fsico)
controls supervisores
estn siendo desempeadas de forma completa, precisa y
de acuerdo con las polticas y procedimientos (COSO,
2013, p. 93).
Control
preventivo Diseado para evitar
38
3.3.4. Principios relativos a las actividades de control
COSO (2013, p. 87) seala tres principios relativos con este componente. A
continuacin se cita dichos principios, as como su traduccin aproximada:
39
Figura 20. Informacin como parte del cuarto componente del control interno (basado en ICIF 2013)
INFORMACIN
Combinada
Con base en la Requeri-
DATA pertinencia a mientos
Sumarizada
Figura 21. Comunicacin como parte del cuarto componente del control interno (esquematizacin
basada en el ICIF 2013)
COMUNICACIN
Proveer
PROCESO
CONTINUO E Compartir Informacin
ITERATIVO necesaria
Obtener
40
Figura 22. Tipologa de comunicaciones (basada en ICIF 2013)
COMUNICACIN
Permite entrada de informacin externa relevante.
Externa
Provee informacin a externos.
COSO (2013, p. 105) seala tres principios relativos con este componente. A
continuacin se cita dichos principios, as como su traduccin aproximada:
41
El monitoreo es un input clave de la valoracin de la efectividad del
control interno de la organizacin.
ACTIVIDADES DE MONITOREO
De acuerdo con COSO (2013, p. 126), el monitoreo puede ser hecho de dos
maneras: a travs de evaluaciones sobre la marcha o de evaluaciones
separadas, o de alguna combinacin de las dos. Al respecto indica (COSO,
2013, p. 126):
Evaluaciones
a travs de sobre la marcha
FORMAS DE alternativa o
complemen
MONITOREAR -tariamente
Evaluaciones
separadas
42
3.5.2. Principios relativos a las actividades de monitoreo
COSO (2013, p. 123) seala dos principios relativos con este componente. A
continuacin citamos dichos principios, as como su traduccin aproximada:
43