Documente Academic
Documente Profesional
Documente Cultură
E+E
Objetivos del curso
• Los participantes:
Aprenderán el marco teórico del
Modelo COSO
A mediados Inicios -
1992 2002
de los 70s 1980s
Publicación Ley
Investigación Incrementó
del Marco Sarbanes-Oxley
del el enfoque
Integrado de
“Escándalo en Control
Control
Watergate” Interno y
Interno-COSO
1977 cumplimiento
Ley de
prácticas de 1990s – 2000
corrupción Continúa el enfoque en
extranjeras Controles Internos, Riesgos
(Foreign 1985 Administrativos y
Corrupt Comisión Nacional de responsabilidades
Practices Informes Financieros (Blue Ribbon Commission,
Act- FCPA) Fraudulentos Competency Framework for
- (Treadway Internal Audit, Others)
Commission)
E+E
Cómo inició todo...
• A mediados de los 70s, la SEC y el fiscalista especial del Escándalo Watergate, se enfocaron
en el control interno.
– Corporaciones estuvieron realizando pagos ilícitos, incluyendo sobornos a funcionarios
del gobierno.
• La Ley de Prácticas de Corrupción Extranjeras (Foreign Corrupt Practices Act -FCPA) de 1977
fue resultado de las investigaciones del Escándalo Watergate y de la participación de la SEC.
– El tema principal de esta ley fue que el control interno debe disuadir la realización de
pagos ilegales.
• Al inicio de los 80s, se dio un creciente enfoque dirigido al ambiente de control y a los
procesos de control interno.
– Para Industrias específicas y para entidades en general.
• La Comisión Nacional de Informes Financeros Fraudulentos, conocida como Treadway
Commission, fue creada en 1985.
– Identificar los factores que causan informes financieros fraudulentos
– Hacer recomendaciones para reducir incidencias.
E+E
La Evolución Continúa...
• Dos volúmenes
• Volumen 1 – Resumen ejecutivo, Marco de referencia,
Reporte a partes externas (documento y adendum)
• Volumen 2 – Herramientas de evaluación
• El estudio COSO se encuentra actualmente en
revisión.
• Para consulta pueden ver www.coso.org
E+E
Treadway Commission
Operacional Financiero
De Cumplimiento
• Ayudar a mantener el
cumplimiento con las leyes y
regulaciones a través de un
monitoreo periódico.
E+E
COSO
Eficiencia y
eficacia de las
operaciones.
Cumplimiento
de leyes y Confiabilidad de
regulaciones la información
aplicables. financiera.
E+E
Conceptos Clave
Monitoreo
Información y
Comunicación
Actividades de Control
Evaluación de Riesgos
Ambiente de Control
E+E
Relación entre Componentes y Objetivos
Monitoreo
Información y
Comunicación
Actividades de Control
|
Evaluación de Riesgos
Ambiente de Control
E+E
Marco Integrado de Control Interno
E+E
Ambiente de control
Compromiso Comité
Integridad hacia la Directivo y Estilo operativo
y valores competencia Comité de y filosofía de la
éticos. (habilidades y Auditoría. administración.
conocimientos)
Asignación de Políticas y
Estructura autoridad y prácticas de
organizacional. responsabilidad. recursos
humanos.
E+E
Ambiente de Control (3)
• Independencia de la administración.
• Frecuencia y duración de las juntas entre el director Comité
Directivo y
de finanzas, contabilidad, auditores internos y Comité de
externos. Auditoría.
Riesgo
Posibilidad de que un evento desfavorable pueda afectar negativamente la
habilidad de la organización para el logro de sus objetivos.
Administración de riesgos
Es el proceso para incrementar la confianza en la
habilidad de una organización para anticipar, priorizar y
superar obstáculos para alcanzar sus metas.
Control Interno
Es un proceso diseñado para proveer una seguridad razonable con respecto al logro
de los objetivos de negocios.
• La efectividad y eficiencia de las operaciones
• Confiabilidad de la información financiera
• Cumplimiento de las leyes y regulaciones aplicables
E+E
Evaluación de Riesgos (pasos)
Identificación de riesgos: es un
proceso generalmente integrado con
el proceso de planeación.
• Identificación de riesgos:
– A nivel de la entidad: que se pueden originar por
factores internos y externos.
Externos
Internos
• Riesgos:
– Lo adecuado de los mecanismos para identificar
riesgos que se originan de factores externos e
internos.
– Identificación de riesgos importantes para cada
objetivo a nivel de actividad.
– Detalle y relevancia del proceso de análisis de
riesgos, incluyendo la determinación de la
importancia del riesgo, la probabilidad de que ocurra
y la acción necesaria.
E+E
Análisis de la Evaluación de Riesgos (5)
• Administrar el cambio:
– Existencia de mecanismos para anticipar,
identificar y reaccionar a eventos rutinarios o
actividades que afecten el logro de objetivos.
– Existencia de mecanismos para identificar y
reaccionar a cambios que pueden tener efectos
dramáticos y profundos en la entidad y pueden
demandar la atención de la alta administración.
E+E
Actividades de control
• Información:
– Obtener información interna y externa y
proporcionar a la administración los informes
necesarios sobre el desempeño de la entidad para
establecer objetivos.
– Proporcionar información a las personas correctas
con el suficiente detalle y oportunamente para
permitir que realicen sus responsabilidades eficiente
y eficazmente.
E+E
Evaluación de la Información y la Comunicación (2)
• Información: (cont.)
– Desarrollar una revisión de sistemas de información
con base en planes estratégicos para sistemas de
información.
– Apoyo de la administración al desarrollo de
sistemas de información necesarios para demostrar
el compromiso de los recursos apropiados
(humanos y financieros).
E+E
Evaluación de la Información y la Comunicación (3)
• Comunicación:
– Eficacia con la que se comunican las tareas de los
empleados y las responsabilidades de control.
– Establecimiento de canales de comunicación para
que el personal reporte sospechas de situaciones
inapropiadas / irregulares.
– Receptividad de la administración hacia las
sugerencias de los empleados.
– Lo adecuado de la comunicación en toda la
organización.
E+E
Evaluación de la Información y la Comunicación (4)
• Comunicación: (cont.)
– Integridad y oportunidad de la información y su suficiencia
para permitir al personal llevar a cabo sus
responsabilidades eficazmente.
– Apertura y eficacia de los canales con clientes,
proveedores y otros terceros.
– A qué grado se han comunicado a terceros los valores
éticos de la entidad.
– Lo oportuno y apropiado de las acciones de seguimiento
de la administración hacia comunicados de clientes,
proveedores, reguladores y otros terceros.
E+E
Monitoreo
• Es el proceso de evaluar la
calidad del desempeño del
control interno en el
tiempo.
E+E
Monitoreo (2)
• Monitoreo continuo:
– Grado en que el personal, al realizar sus actividades
regulares, obtiene evidencia de que el sistema de
control interno continúa funcionando.
– Grado en que las comunicaciones externas corroboran
información generada internamente o indican
problemas.
– Comparación periódica de los importes registrados por
el sistema de contabilidad con los activos físicos.
– Capacidad de respuesta a las recomendaciones de los
auditores internos y externos como medio para
fortalecer el control interno.
E+E
Evaluación del Monitoreo (2)
• Evaluaciones independientes:
– Alcance y frecuencia de evaluaciones independientes
de los sistemas de control interno.
– Lo apropiado del proceso de evaluación.
– Si la metodología para evaluar el sistema es lógica y
apropiada.
• Reportar deficiencias:
– Existencia de mecanismos para capturar y reportar
deficiencias de control interno.
– Lo apropiado de los protocolos de reporte.
– Lo apropiado de acciones de seguimiento.
E+E
Control Interno Eficaz
Gerencia Ejecutiva:
Gerencia Financiera:
Auditoría Interna:
Proporciona apoyo a las actividades de evaluación de riesgos
y controles.
Monitorea la exposición de la organización y realiza recomendaciones
sobre aspectos de riesgo y actividades de control.
Comité de Auditoría:
Auditoría Externa:
Identificar y evaluar la
eficacia de controles
Cubrir adecuadamente
“suaves”, así como, de
los 15 puntos Objetivos
controles “duros”.
/ Componentes.
Enfatizando en los
aspectos “suaves”,
informales del control
interno.
E+E
Controles
Monitoreo
Información y
comunicación
Actividades de
control
Evaluación de
riesgos
Ambiente de
control
Metodología de Implantación
E+E
Enfoque
COSO(1) ofrece un marco de referencia integral que define el control interno a través de
cinco componentes interrelacionados:
Monitoreo (contempla tanto los
Información y Comunicación objetivos de generación
Objetivos de control de información financiera,
Actividades de Control
como de cualquier otro
Evaluación de Riesgos
aspecto material que
Ambiente de Control deba revelarse)
Evaluación del
Organizar y entrenar
Gente Ambiente de Información y Comunicación
equipo de trabajo
Módulos
Control
Evaluación y Diseño e
Tecnología Selección de Implantación de Soporte a la Solución
Tecnología la Solución
• Procesos
– Identificación y documentación de controles existentes, riesgos y
objetivos de control
– Desarrollar y documentar controles faltantes
– Brindar recomendaciones para aquellas deficiencias de control
identificadas
– Desarrollar un programa de precertificación para la dictaminación de los
controles internos
– Desarrollo del proceso de revelación
• Tecnología
– Evaluación de la infraestructura existente de TI
– Selección de la herramienta apropiada para administar el control interno
– Implementar, probar y dar soporte a la herramienta seleccionada
E+E
Alcance y Metodología
• Este enfoque “por módulos” permite tomar cualquier componente y desarrollarlo, obteniendo los resultados
previstos para el mismo. Esto le permite a la empresa adecuar esta metodología a sus necesidades reales de
implantación o alineación hacia COSO.
Identificar
Fasesy
Document Monitorear,
Planear y dimensionar Evaluar y ar Probar y Certificar
Proyecto Definir Controles Remediar y Afirmar
Frentes
Admon del Planeación del
Gestión del Proyecto y Aseguramiento de Calidad
Proyecto Programa
Evaluación del
Organizar y entrenar
Gente Ambiente de Información y Comunicación
equipo de trabajo
Módulos
Control
Evaluación y Diseño e
Tecnología Selección de Implantación de Soporte a la Solución
Tecnología la Solución
Módulo Actividades
Módulo Actividades
Módulo Actividades
Módulo Actividades
Módulo Actividades
Módulo Actividades
Módulo Actividades
Módulo Actividades
Módulo Actividades
Módulo Actividades
Módulo Actividades
Módulo Actividades
Entregables
Módulo Actividades
Módulo Actividades
Módulo Actividades
Entregables
Objetivo:
Recabar y presentar • Conclusiones de la Certificación
resultados de la • Reporte de Revelaciones (Disclosure)
revisión del control • Certificaciones firmadas y entregadas por el CEO y
interno el CFO
E+E
Alcance y Metodología (17)
Módulo Actividades
Entregables
Objetivo:
Revelar los • Resumen de la evaluación del control interno
resultados de la • Reporte de la afirmación del control interno
evaluación de los
los controles
Herramientas Tecnológicas
E+E
Herramientas Tecnológicas
Repositorio de mejores prácticas en materia de riesgos y controles
E+E
Herramientas Tecnológicas (2)
Debate
E+E
Un pequeño debate...
Autoevaluación
• Posibles resultados:
2.Guía de Entrevista
a la Administración y – Incrementar el interés y la conciencia de la
Autoevaluación.
administración.
– Incrementar el papel y la credibilidad de la
auditoría.
– Requerimientos adicionales de servicios.
E+E
Realizar una Sola Revisión de una
Entidad Completa (7)
• Beneficios potenciales:
3.Autoevaluación
de Control Interno. – La evaluación es realizada por el “dueño”
del control interno – Director General – no
por auditoría interna
– El Director General obtiene una importante
comprensión de cómo el proceso de
control trabaja en la organización
– Debido a que el Director General involucra
a un equipo de ejecutivos, ellos aprenderán
del proceso de control y se convertirán en
“dueños” más eficaces de su parte del
proceso.
E+E
Realizar una Sola Revisión de una
Entidad Completa (9)
• Debilidades:
3.Autoevaluación
de Control Interno. • La verdadera debilidad surge cuando el
Director General y el equipo elegido
realizan una evaluación como la hubiera
hecho auditoría.
• Las mejoras más bien serán parte de
cómo hace negocios la organización en
lugar de pasos extra requeridos por los
auditores.
• No existe garantía que la administración a
través de toda la organización quiera
hacer el esfuerzo.
E+E
Herramientas de Implementación
Actividad: ________________________
Acciones/
Control Otros Evaluación
Análisis de Riesgo Actividades/ Objetivos y
Objetivos O, F, C Factores de Riesgo Probabiidad Comentarios Afectados Conclusión
E+E
Autoevaluación de Control
• Ventajas:
– Considera los controles “suaves” eficazmente, en
consecuencia, es una herramienta poderosa para cumplir
con los retos del marco de COSO.
– Produce más sugerencias y de mayor calidad.
– Permite la implementación más oportuna de las
sugerencias.
– Incrementa la comprensión del personal y la “pertenencia”
del control.
– Aumenta la comprensión del auditor acerca del negocio.
– Permite una cobertura frecuente (evaluación anual de
controles).
E+E
Autoevaluación de Control (3)
• Barreras potenciales:
– Cultura corporativa: altos ejecutivos de una
organización rígida y autoritaria se pueden
resistir al enfoque.
– Personal de auditoría inexperto: el enfoque
necesita profesionales conocedores que puedan
facilitar eficazmente.
Otros marcos de referencia
E+E
Más allá de COSO: Otros Marcos
• Fundamentos conceptuales:
– Los controles pueden ser preventivos (diseñados
para prevenir actos indeseables), o de detección
(diseñados para descubrir y remediar los efectos de
actos indeseables que han ocurrido)
– El término control comprende todas las variaciones
del término, como control administrativo, control
operativo, control interno, etc.
E+E
Internal Control Framework of the IASB (3)
• Ambiente de Control:
– El comité directivo:
• Debe reconocer que el “tone at the top” y la actitud
hacia el control de riesgos afecta la naturaleza y el
alcance de las actividades con derivados.
• Debe revisar las decisiones planeadas de la
administración en relación con lo apropiado y eficaz de
las estrategias de derivados.
E+E
Principios de Control de COSO en la
Administración de Derivados (2)
• Ambiente de Control:
– El comité de auditoría debe trabajar con auditores
externos e internos para supervisar la implementación
de las políticas de administración de riesgos,
procedimientos y límites.
– La administración ejecutiva debería autorizar el uso de
derivados solo después que los riesgos y beneficios
esperados han sido analizados cuidadosamente y los
objetivos y expectativas sobre derivados han sido
claramente comunicados.
E+E
Principios de Control de COSO en la
Administración de Derivados (3)
• Ambiente de Control:
– La alta gerencia debe estar consciente de la decisión
relacionada con el grado de autoridad sobre
derivados que es delegada a la gerencia.
– La gerencia debe ser competente para comprender
los derivados.
– Los empleados involucrados en dichas actividades
deben poseer habilidades y experiencia necesaria.
– El proceso de entrenamiento debe desarrollar e
incrementar habilidades específicas relacionadas con
las responsabilidades y expectativas sobre derivados.
E+E
Principios de Control de COSO en la
Administración de Derivados (4)
• Evaluación de Riesgos:
– Desde la perspectiva de la administración de riesgos,
los objetivos de la entidad relacionados con el uso de
derivados deben ser consistentes con los objetivos de
la administración de riesgos.
– Deben existir mecanismos para la identificación y
evaluación de riesgos de negocio relacionados con
las circunstancias únicas de la entidad, el uso de
derivados debe estar basado en una cuidadosa
evaluación de dichos riesgos.
E+E
Principios de Control de COSO en la
Administración de Derivados (5)
• Evaluación de Riesgos:
– La administración debe:
• Conectar claramente los beneficios y apoyo del uso de
derivados con los objetivos de la entidad.
• Obtener una comprensión del personal, los sistemas
operativos de la administración, metodologías de
valuación, supuestos y documentación para identificar y
evaluar la capacidad para administrar la exposición a
riesgos asociada con las actividades de derivados.
• Proporcionar criterios específicos de medición para el
logro de los objetivos de actividades de derivados, tal
como valor en riesgo.
E+E
Principios de Control de COSO en la
Administración de Derivados (6)
• Evaluación de Riesgos:
– Los procedimientos de análisis de procesos para
actividades de derivados debe incluir:
• Identificar el riesgo.
• Estimar su importancia.
• Evaluar la probabilidad de que ocurra.
E+E
Principios de Control de COSO en la
Administración de Derivados (7)
• Actividades de Control:
– Las políticas que gobiernan el uso de derivados
deben estar claramente definidas y ser comunicadas
a través de toda la organización
– Las políticas de administración de riesgos deben
incluir procedimientos para identificar, medir, evaluar y
limitar los riesgos de negocio como fundamento para
utilizar derivados para propósitos de administración de
riesgos.
E+E
Principios de Control de COSO en la
Administración de Derivados (8)
• Actividades de Control:
– Las políticas de administración de riesgos para
derivados deben incluir:
• Controles relacionados con supervisión y
responsabilidades.
• La naturaleza y alcance de las actividades de
derivados, incluyendo limitaciones en su uso.
• Proceso de información y controles operacionales.
E+E
Principios de Control de COSO en la
Administración de Derivados (9)
• Actividades de Control:
– Las políticas deben proporcionar:
• Monitoreo contra límites.
• Transmisión de posiciones a los sistemas de medición
de riesgos oportuna y exacta.
• Evaluación de controles dentro de los sistemas de
administración de información, incluyendo la evaluación
de los recursos proporcionados para mantener la
integridad del sistema de medición de riesgos.
E+E
Principios de Control de COSO en la
Administración de Derivados (10)
• Información y Comunicación:
– Las comunicaciones deben asegurar que las tareas y
responsabilidades de control relacionadas con
derivados son comprendidas en toda la organización.
– Deben existir sistemas adecuados para la captura de
información, procesamiento, establecimiento y
administración de informes, para que las
transacciones se conduzcan de forma ordenada y
eficaz.
E+E
Principios de Control de COSO en la
Administración de Derivados (11)
• Información y Comunicación:
– Deben establecerse mecanismos para obtener y
comunicar información pertinente sobre actividades
de derivados.
– Directores y gerencia ejecutiva deben obtener
información suficiente y oportuna para monitorear el
logro de objetivos y estrategias sobre el uso de
instrumentos derivados.
E+E
Principios de Control de COSO en la
Administración de Derivados (12)
• Monitoreo:
– Los sistemas de control relacionados con actividades de
derivados deben ser monitoreados para asegurar la
integridad de los informes generados por el sistema.
– La estructura de la organización debe incluir una función
independiente de monitoreo sobre derivados,
proporcionando a los altos ejecutivos (senior management)
una comprensión de los riesgos de actividades de
derivados, validación de resultados y evaluación del
cumplimiento con políticas establecidas.
E+E
Principios de Control de COSO en la
Administración de Derivados (13)
• Roles y responsabilidades:
Comité Directivo:
La dirección de las políticas proporcionadas por el comité son importantes para determinar la
naturaleza y alcance del uso de derivados.
Junto con la alta gerencia el comité debe considerar cuidadosamente los recursos requeridos para
utilizar los derivados eficazmente.
Debe asegurar que las políticas requieran el empleo de profesionales competentes para realizar
las actividades de administración de riesgo, dicha política debe definir cuando es apropiado el uso
de consultores externos.
El comité debe tomar una decisión cuidadosa acerca del buen juicio de los gerentes al utilizar
derivados.
E+E
Principios de Control de COSO en la
Administración de Derivados (16)
• Roles y responsabilidades:
Comité de Auditoría:
• Roles y responsabilidades:
Director General:
• Roles y responsabilidades:
Director de Finanzas:
• Roles y responsabilidades:
Contralor:
• Roles y responsabilidades:
Unidad de Negocio:
• Qué hacer:
– Las acciones que deben tomarse para aplicar COSO
a los derivados depende de la posición y papel de las
partes involucradas, e incluyen:
• Iniciar una autoevaluación de los sistemas de control
de la entidad, dirigiendo la atención específicamente a
áreas de operaciones de derivados que son de
principal importancia.
• Integrar totalmente la administración de actividades de
derivados al sistema de administración de riesgos de
la entidad, desarrollando e implementando una
política de administración de riesgos integradora.
E+E
Principios de Control de COSO en la
Administración de Derivados (22)
• Qué hacer:
– Las acciones incluyen: (cont.)
• Asegurar que los objetivos de las políticas sobre el uso
de derivados están claramente articulados y
documentados.
• Requerir que cualquier uso de derivados sea
claramente conectado con los objetivos generales de la
entidad y los objetivos a nivel de actividad.
E+E
Principios de Control de COSO en la
Administración de Derivados (23)