CLAIN 2014 TEMA COSO 2013 PRINCIPALES CAMBIOS EN RELACIÓN A COSO 1992

CLAIN 2014 TEMA COSO 2013 PRINCIPALES CAMBIOS EN RELACIÓN A COSO 1992
Y SU USO EN LA EVALUACIÓN DEL CONTROL INTERNO Nota previa Esta presentación excede con mucho a la exposición , les he querido dejar material para vuestra lectura y trabajo Buenos Aires- Argentina -16 de mayo del 2014 Profesor Carlos Valdivieso Valenzuela

ACERCA DE COSO The Commitee of Sponsoring Organization of the Treading Commission es una organización privada y voluntaria formada el año 1985 ,integrada por las siguientes instituciones dedicadas a guiar a las administración ejecutiva y a los participantes del Gobierno de la empresa para lograr el establecimiento de operaciones de negocios más efectivas, eficientes y éticas . Promueve y difunde estructuras ( frameworks ) y guías basados en profundas investigaciones, análisis y mejores prácticas: American Accounting Associaton ( AAA) American Institute of CPAs ( AICPA ) Financial Executives International (fei) The Associaton of Accountants and Financial Profesional in Bussiness ( ima ) The Institute of Internal Auditors ( IIA )

COSO ES UNA ESTRUCTURA La estructura (del latín structūra) es la disposición y orden de las partes dentro de un todo. También puede entenderse como un sistema de conceptos coherentes enlazados, cuyo objetivo es precisar la esencia del objeto de estudio. Tanto la realidad como el lenguaje tienen estructura tendiendo a que refleje fielmente la estructura de la realidad ( fuente, resumen a partir de wikipedia) O sea, todo armado y coherente, nada suelto por sí sólo. Algunos Auditores tienden a tomar elementos específicos, esto NO SIRVE, están todas las piezas relacionadas. Esto que es abstracto, aterrizémoslo con una foto en la diapositiva siguiente.

COSO ES UNA ESTRUCTURA( Framework )
TODO UNIDO E INTEGRADO

Porqué fué necesario actualizar COSO ?
Tomado de COSO IC-IF-ED Traducción libre al español de Carlos Valdivieso Valenzuela Porqué fué necesario actualizar COSO ? Es de 1992 COSO’s Internal Control – Integrated Framework (1992 Edition) Cambios significativos en los negocios, el entorno y los riesgos asociados Actualiza,mejora y clarifica el Framework Codifica el criterio en el desarrollo y estructura del sistema de control interno. Principios Atributos Aumenta el foco en las operaciones,cumplimiento y objetivos de informes no financieros Expande información interna y la no financiera Refrescar los objetivos Mejoras Irabajará mejor a futuro COSO’s Internal Control – Integrated Framework Mayo 2013 )

Estudio y análisis por los interesados
Tomado de COSO IC-IF-ED Traducción libre al español de Carlos Valdivieso Valenzuela Fecha de publicación mayo Fecha obligatoria máxima de implementación 15 diciembre 2014 2010 2011 2012 Sept -Enero Feb - Octubre Dic - Marzo Abril - Dic Estudio y análisis por los interesados Diseño y construcción Exposición Pública Finalización

COSO 2013. COSO ERM e ISO 31.000 Estructuras desarrolladas y aceptadas internacionalmente
He tenido la oportunidad y la suerte de estar cercano a la génesis de las tres estructuras. COSO original data de 1992; antes,hubo participaciones de numerosas entidades, y personas , cientos de workshops y finalmente un borrador el que se circularizó en ejemplares aprox el que anduvo por un año para comentarios tanto en EEUU como fuera de eses país, finalmente en 1992 nace COSO COSO 2013 es una actualización de COSO 1992 y resulta de un amplio trabajo internacional con más de 700 aportes. COSO ERM es un hijo de COSO para focalizarse en riesgos (ERM , es Enterprise Risk Management). Nace de un encargo a la Universidad de Virginia en EEUU , quien después de una larga investigación concluye que no había un entendimiento global y uniforme en lo relativo a riesgos y su administración; luego el Comité COSO con ayuda externa lleva adelante el proyecto el que cuenta con aportes tanto en EEUU como en el exterior. En 2004 nace COSO ERM, COSO 1992 sigue vigente en paralelo con COSO 2013 hasta el 15 de diciembre En EEUU debe explicitarse en las Memorias de empresan que transan valores el uso de COSO. ISO , la única ISO de riesgos, nace el 2009 después de un trabajo internacional de varios años. Se aprueba por 160 países.

COSO ERM Y COSO No confundirlos son complementarios
COSO ERM COSO 2013

COSO LA EVOLUCIÓN DE LOS DOCUMENTOS NO CONFUNDIRSE COSO ERM ( Año 2004 ) , QUE ES PARA RIESGOS Y LO VEREMOS 1992 2006 2009 2013

COSO 2013 LO INTEGRAN TRES DOCUMENTOS
“Internal Control-Integrated Framework,” esto es la estructura central, es el más conocido “Illustrative Tools for Assessing Effectiveness of a System of Internal Control”, son las herramientas para medir la efectividad en la operación del sistema de control interno. “Internal Control over External Financial Reporting: A Compendium of Approaches and examples”Documento relativo al proceso de informes financieros enviados al exterior de la empresa ( Los Estados Financieros , son sólo uno de ellos) . Los documentos están sólo en inglés y traerlos resulta unos US $ 500 aprox. En el link siguiente están los borradores finales que son casi idénticos a los documentos finales, es de la Asociación de Auditores Externos de Chile AG a quienes les colaboro . Ahí buscar Gobierno Corporativo y luego pestaña COSO, documentos de apoyo .Tienen unas 400 páginas

Fuente: ISO 31000 – Traducción libre al español del señor Carlos Valdivieso Valenzuela

COSO E ISO 31.000- Unica ISO de RIESGOS Fuente Linkedin ISO31000 Risk Group

LOS CAMBIOS CONSIDERADOS
Cambios en el entorno Llevaron a la actualización del Framework Expectativas en la gobernabilidad Globalización de los mercadosy las operaciones Cambios y creciente complejidad de los negocios Requerimientos en complejidad de leyes, reglas y estándares Expectativas de las competencias y accountabilities Use de y confianza en tecnologías envolventes Expectativas relativas a prevenir y detectar fraudes COSO Cube (2013 Edition)

COSO Diapositiva libre de Carlos Valdivieso Valenzuela
El nuevo COSO 2013 mantiene su estructura de representación Cambia en su sistematización en 17 principios y 86 atributos Tiene materias nuevas. Original COSO Cube

Informe Tomo 1 – Control Interno ( Edición 2013 )
:Contiene Resumen ejecutivo Framework y apéndices Herramientas para medir la efectividad del control interno ( es un tomo aparte ) Explicita Definición de control interno Categorías y objetivos Componentes y principios

Qué no está cambiando ... Qué está cambiando...
EN LO GENERAL, LO QUE NO CAMBIA Y LO QUE CAMBIA RESPECTO A COSO 1992 Fuente COSO IC-IF-ED Traducción y adaptación libre al español de Carlos Valdivieso Valenzuela El lector experimentado en COSO encontrará mucho conocido en esta actualización, la que se ha construido a partir de la base de lo que ha probado ser efectivo en su versión original durante 21 años Qué no está cambiando ... Qué está cambiando... Definición de control interno. Cinco componentes de control interno El criterio fundamental para determinar la efectividad de los sistemas de control interno. Uso del juicio en la evaluación de la eficacia de l0s sistemas de control interno. Codificación de principios con aplicación universal para usarse en el desarrollo y evaluación de la eficacia de los sistemas de control interno. Expande el objetivo de reportes financieros para ir también a informes internos y externos en un sentido amplio, incluyendo objetivos no financieros. Incrementa el foco en las operaciones, cumplimiento ( compliance ) y reportes no financieros y objetivos basados en lo determinado y alimentado como input por los usuarios. 4 Otros que resumiremos hoy

DEFINICIÓN DE CONTROL INTERNO SEGÚN COSO
DEFINICION: Proceso, efectuado por el consejo de administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: Eficacia y eficiencia de las operaciones Fiabilidad de la información financiera Cumplimiento de leyes y normas que sean aplicables El Informe COSO es un documento que contiene las principales directivas para la implantación, gestión y control de un sistema de control interno; funciona como un framework ; esto es una estructura integrada La diapositiva siguiente no es mía, la encontré en la web pero no tengo a su autor

NUEVO COSO

Actualización en 2013 integra componentes con principios En los 17 principios dejé el inglés para apreciar los conceptos originales, los explicaré en español Entorno de control Demonstrates commitment to integrity and ethical values Exercises oversight responsibility Establishes structure, authority and responsibility Demonstrates commitment to competence Enforces accountability Evaluación de los riesgos Specifies suitable objectives Identifies and analyzes risk Assesses fraud risk Identifies and analyzes significant change Actividades de control Selects and develops control activities 11. Selects and develops general controls over technology Deploys through policies and procedures Información y comunicaciones Uses relevant information Communicates internally Communicates externally Actividades de monitoreo Conducts ongoing and/or separate evaluations Evaluates and communicates deficiencies

Veamos lo anterior con más detalle
Entorno de control The organization demonstrates a commitment to integrity and ethical values. The board of directors demonstrates independence from management and exercises oversight of the development and performance of internal control. Management establishes, with board oversight, structures, reporting lines, and appropriate authorities and responsibilities in the pursuit of objectives. The organization demonstrates a commitment to attract, develop, and retain competent individuals in alignment with objectives. The organization holds individuals accountable for their internal control responsibilities in the pursuit of objectives.

Update articulates principles of effective internal control (continued)
Evaluación de riesgos 6. The organization specifies objectives with sufficient clarity to enable the identification and assessment of risks relating to objectives. 7. The organization identifies risks to the achievement of its objectives across the entity and analyzes risks as a basis for determining how the risks should be managed. 8. The organization considers the potential for fraud in assessing risks to the achievement of objectives. 9. The organization identifies and assesses changes that could significantly impact the system of internal control.

Actividades de control
Update articulates principles of effective internal control (continued) Actividades de control 10. The organization selects and develops control activities that contribute to the mitigation of risks to the achievement of objectives to acceptable levels. 11. The organization selects and develops general control activities over technology to support the achievement of objectives. The organization deploys control activities through policies that establish what is expected and procedures that put policies into place.

Information & Communication
Update articulates principles of effective internal control (continued) Information & Communication 13. The organization obtains or generates and uses relevant, quality information to support the functioning of internal control. 14. The organization internally communicates information, including objectives and responsibilities for internal control, necessary to support the functioning of internal control. The organization communicates with external parties regarding matters affecting the functioning of internal control.

Actividades de monitoreo
Update articulates principles of effective internal control (continued) Actividades de monitoreo 16. The organization selects, develops, and performs ongoing and/or separate evaluations to ascertain whether the components of internal control are present and functioning. The organization evaluates and communicates internal control deficiencies in a timely manner to those parties responsible for taking corrective action, including senior management and the board of directors, as appropriate.

17 PRINCIPIOS CON 86 ATRIBUTOS
17 PRINCIPIOS INTERRLACIONADOS PARA LOS 5 ELEMENTOS DE COSO ATRIBUTOS 86 ATRIBUTOS QUE SOPORTAN LOS PRINCIPIOS DEBEN VER EL DOCUMENTO COSO , VA UN EJEMPLO ESTRUCTURA COSO DE LO ANTERIOR RESULTA LA ESTRUCTURA COSO ES UN TODO INDIVISIBLE-RECORDAR LA TORRE EIFFEL

CADA UNO DE LOS 17 PRINCIPIOS TIENE ATRIBUTOS- EN TOTAL SON 86
Se recomienda ver el documento de COSO va un ejemplo de algunos atributos para control de actividades para mejor entender como se armó la estructura.Aquí va uno de los 86 atributos, la traducción libre al español para este curso es del profesor Carlos Valdivieso. “Selecciona y desarrolla control de actividades que contribuyan a la mitigación de riesgos a niveles aceptables para el logro de los objetivos”; para ello: a ) Integra los controles con los riesgos de forma de mitigarlos. b )Determina los procesos de negocios relevantes que requieren sus contrles de actividades. c ) Considera los factores de entorno e internos de la empresa , sus operaciones en calidad, complejidad y cantidad para seleccionar y desarrollar las actividades de control más apropiadas. d ) Hace un mix de actividades de control manuales y automatizadas. e ) Determina el tipo de actividades de control por niveles y las detalla. f ) Revisa la segregación de funciones y las cambia en caso de ser necesario para tener buenas actividades de control.

Administración y Directorio
Beneficios de la actualización Fuente COSO IC-IF-ED Traducción libre al español de Carlos Valdivieso Valenzuela Administración y Directorio Mejora la gobernabilidad. Expande su uso más allá de lo financiero. Mejora la calidad de la medición de riesgos. Fortalece los esfuerzos antifraude. Adapta controles a los negocios y su dinámica. Mayor uso en distintos modelos de negocios. Claridad Agilidad Performance Entes externos Confidencialidad Otros usuarios

ALCANCE COSO contiene un planteamiento general, con los fundamentos del control interno. No hay por tanto, aspectos específicos del tipo checklist, los que siguen siendo válidos y útiles, pero ubicados en una ESTRUCTURA INTEGRADA Cada empresa debe analizar cómo lo desarrolla a su realidad. Es la experiencia de este relator, involucrado en el tema desde 1992 que aquí radica el principal problema y la gran oportunidad; hay algunos que se sienten desorientados cuando por tantos años la auditoría interna le ha dicho: vaya y haga esto en detalle; a su vez, hay otros, que ven en esto una posibilidad de desarrollo profesional; el desafío no es menor. Es también mi experiencia, que hay pocos reparos a COSO mismo y el problema es de implementación. Vaya un ejemplo; el principio 7 dice « identifica y analiza los riesgos «, pues bien, Uds saben lo que esto significa en la práctica, riesgos primarios, eventos de riesgo y controles, nada de simple.

ANÁLISIS POR COMPONENTE DE COSO
ENTORNO DE CONTROL EVALUACIÓN DE RIESGOS CONTROL DE ACTIVIDADES INFORMACIÓN YCOMUNICACIONES MONITOREO DE ACTIVIDADES ____________________________ Todo ello para: Logro de la eficiencia y eficacia de las Operaciones que permitan el logro de los objetivos, consistentes con la MISIÓN, el alcance de las metas, incluyendo rentabilidad y salvaguarda de recursos. Confiabilidad de informes financieros y no financieros tanto con destino externo como interno. Cumplimiento de leyes y regulaciones que afecten a la empresa.

LA FAMOSA “SEGURIDAD RAZONABLE “
“Reasonable Assurance—The concept that internal control, no matter how well designed and operated, cannot guarantee that an entity’s objectives will be met. This is because of Inherent Limitations in all internal control systems”. O sea,que provea una seguridad razonable (NO ABSOLUTA ) a una persona competente,con bases sólidas, permitiéndole dar una opinión fundada relativa al sistema de control interno en el logro de los objetivos de la empresa, pero no lo puede garantizar por las limitaciones inherentes de todo sistema de control interno, Algo así como : El sistema de control interno de la empresa XX al 31 de diciembre del es eficaz y proporciona una seguridad razonable de que el proceso de preparación de la información financiera es fiable, de que la empresa tiene procedimientos eficaces para asegurar el cumplimiento de las leyes y normativas que le sean aplicables y de que la dirección conoce hasta qué punto la empresa está alcanzando sus objetivos operacionales.

OBJETIVOS Y SUBOJETIVOS
Los objetivos generales de la empresa se deben desagregar en subobjetivos por Unidades de la empresa,deben ser claros, cuantificables, medibles y auditables. Estos subojetivos deben ser conocidos por todo el personal a quienes los incumbe.

ENTORNO DE CONTROL PRINCIPIOS INVOLUCRADOS
La organización como un todo demuestra compromiso con la integridad y valores éticos. El Directorio demuestra independencia de la Administración y supervisa el desarrollo y funcionamiento del sistema de control interno. El Directorio junto a la Administración supervisan la estructura de la empresa, las líneas de autoridad y responsabilidad y el logro de los objetivos. Ejercita la responsabilidad de supervisión . 4. La empresa demuestra compromiso con la competencia para atraer, desarrollar y retener al personal y alinearlo con los objetivos. 5.Hace cumplir las rendiciones ( accountability ) por la autoridad y responsabilidad que le han otorgado para el logro de los objetivos.

PRINCIPALES CAMBIOS EN ENTORNO DE CONTROL RESPECTO A COSO 1992
Integra los 5 principios y los relaciona aplicándolos en el Directorio, Administración, personal, comités, especialmente de Auditoría , estructura de organización, políticas y prácticas, dejando definiciones por escrito y velando por su cumplimiento. Explicita y define el Gobierno Corporativo, los roles y lo que debe hacer cada cual y refuerza el concepto de accountability. Define lo relativo a supervisión de riesgos, los recursos requeridos y las relaciones existentes para el logro de los objetivos que deben estar explícitos. Involucra al outsourcing como parte del entorno de control. Los puntos anteriores deben constar por escrito y ( según este relator ) dejar pistas de auditoría y revisar su comportamiento.

PRINCIPIO 1.La organización como un todo demuestra compromiso con la integridad y valores éticos.
Foco en : Directorio y Administración en todos sus niveles demuestran compromiso con los aspectos éticos como aspecto central del control interno. Establece Standard de Conducta, difundido a todos los niveles tanto internos como al outsourcing . Evalúa su cumplimiento y desviaciones.

Principio 2 El Directorio demuestra independencia de la Administración y supervisa el desarrollo y funcionamiento del sistema de control interno. Foco en : Directorio tiene y efectúa supervisión superior del Control Interno, su diseño y cumplimiento Directorio revisa sus capacidades y conocimientos de control interno(si les faltare, deben capacitarse ) Son y actúan independiente de la Administración.

Principio 3 El Directorio junto a la Administración supervisan la estructura de la empresa, las líneas de autoridad y responsabilidad y el logro de los objetivos. Ejercita la responsabilidad de supervisión . Foco en Considera toda la estructura de la empresa. Establece líneas de autoridad y responsabilidad y reportes Define los límites de autoridad. Define la autoridad de servicios de outsourcing.

Principio 4 La empresa demuestra compromiso con la competencia para atraer, desarrollar y retener al personal y alinearlo con los objetivos. Foco en : Define políticas y prácticas relativas a talentos de Recursos Humanos. Evalúa junto con la Administración las competencias requeridas en distintos cargos y como obtener resultados para llenar los gaps. Atrae, desarrolla y mantiene los recursos humanos requeridos. Establece planes de sucesiones.

Principio 5 .Hace cumplir las rendiciones ( accountability ) por la autoridad y responsabilidad que le han otorgado para el logro de los objetivos. Foco en : Se definen con claridad y se supervisan las accountabilities y analiza los incumplimientos de control interno y sus correcciones. El Directorio y la Administración establecen mediciones, incentivos y retroalimentaciones para mejoras. Alinea incentivos con cumplimientos de control interno . Tiene cuidado en las presiones para el logro de metas que pudieren afectar al control interno, Evalúa los resultados y cumplimiento de estándares de conducta.

PRINCIPIOS INVOLUCRADOS
EVALUACIÓN DE RIESGOS PRINCIPIOS INVOLUCRADOS 6 Especifica los objetivos relevantes 7 Identifica y analiza los riesgos Aprecia y analiza riesgos de fraude Identifica y analiza los cambios significativos

PRINCIPALES CAMBIOS EN LA EVALUACIÓN DE RIESGOS RESPECTO A COSO 1992
La identificación de los objetivos relevantes, es una precondición para la evaluación de riesgos .El orden es MISIÓN, y objetivos para cumplir la Misión . De dichos objetivos derivan los primeros riesgos. Establece la relación de los riesgos con las operaciones , informes y cumplimiento ( compliance) Especifica que deben contemplarse la identificación de los riesgos, el análisis y sus respuestas . Incluye las tolerancias al riesgo, como prerequisito. Contempla que deben entenderse los cambios significativos tanto de origen interno como externo y sus relaciones con los sistemas de control interno. Considera el riesgo de fraude y sus relaciones con los informes , como parte de la administración de riesgos.

Principio 6 Especifica los objetivos relevantes
Foco en : Claridad y documentación en : objetivos, informes y compliance ( nota del profesor Valdivieso, ojo, se refiere a la parte superior del cubo COSO ). Debe reflejar las selecciones de objetivos hechos por la empresa. Considera la tolerancia al riesgo determinada. Incluye las metas financieras. Es la base para la alocación de recursos humanos y financieros.

Principio 7 Identifica y analiza los riesgos
Foco en : Para la determinación y administración de riesgos, deben incluirse todas las filiales y subsidiarias y luego todas las funiciones y niveles. Analizar tanto los factores internos como externos. Definir y explicitar los riesgos Asignar los riesgos por niveles. Analizar los riesgos inherentes. Contar con un sistema de respuesta a los riesgos.

Principio 8 Aprecia y analiza riesgos de fraude
Foco en : Especificar los posibles tipos de fraudes, ej :En Estados Financieros,pérdidas de activos, etc. Presiones por lograr metas lleva a distintos fraudes. Vacíos en control interno que dejan oportunidades de fraudes ( nota de este profesor, algo así como donde las dan las toman ) Ahorros de costos por racionalizaciones que dejan vacíos de control interno.

Principio 9 Identifica y analiza los cambios significativos
Foco en : Analizar cambios tanto de origen interno como externo , ej regulatorios , económico los riesgoss etc y como afectan a los riesgos . Cambios en el modelo de negocios, productos, distribución y como afectan a los riesgos. Cambios en liderazgos, jefaturas y estilos de administración y como afectan a los riesgos.

CONTROL DE ACTIVIDADES
PRINCIPIOS INVOLUCRADOS 10 Selecciona y desarrolla control de las actividades Selecciona y desarrolla controles para la tecnología 12 Despliegue de políticas y procedimientos CONTROL DE ACTIVIDADES

PRINCIPALES CAMBIOS EN EL CONTROL DE ACTIVIDADES RESPECTO A COSO 1992
La tecnología en sentido amplio, es parte integrante del Sistema de Control Interno.Aquí hay un cambio de énfasis importante. Foco en la tecnología y los procesos de negocios. El control de actividades se relaciona con los riesgos. Recomendación para usar todas las técnicas que se necesiten. Amplitud de controles desde los controles de transacciones hasta los superiores; deben agruparse y sistematizarse por niveles. Integración de políticas con procedimientos y controles como un conjunto integrado.

Principio 10 Selecciona y desarrolla control de las actividades
Foco en : Integrar los controles con los riesgos. Especificar los factores de riesgos ( causas ). Determinar los procesos significativos , riesgos y controles ). Evaluar qué tipo de controles se necesitan y su mezcla. Detallar los controles por niveles. Contar con segregación de funciones.

Principio 11 Selecciona y desarrolla controles para la tecnología
Foco en : Determinar con detalles las relaciones de los procesos con tecnología, sus riesgos y controles automáticos y generales en los respectivos procesos( nota del profesor Valdivieso, se recomienda ver COBIT ). Establecer la tecnología en uso y su infraestuctura, sus riesgos y controles. Determinar y probar todo lo relativo a seguridad de IT en sus disntintos ámbitos . Analizar todo lo referente a adquisiones de TI y sus controles. ( de nuevo, favor ver COBIT ) TI es ahora con COSO 2013 parte integrante del Control interno.

Principio 12 Políticas y procedimientosDeploys through policies and procedures
Foco en : Políticas y procedimientos. Establecer accountabilities en la ejecución de políticas y procedimientos. Controles hacerlos oportunamente. Ver las desviaciones y corregirlas. Usar las competencias personales. Revisar y retroalimentar políticas y procedimientos.

INFORMACIÓN Y CONTROL PRINCIPIOS INVOLUCRADOS 13 Usa información relevante 14La organización interna comunica información incluyendo objetivos y responsabilidades para el soporte y funcionamiento del control interno 15 Comunicación con entes externos las materias de operación del control interno. CONTROL DE ACTIVIDADES

Principio 13 Usa información relevante
Foco en : Determinar la información relevante. Determinar y tipificar las fuentes de data tanto internas como externas. Analizar los procesos informáticos relacionados con información relevante. Revisar las entradas, procesos y salidas. Considerar costos y beneficios.

Determinar los tipos de información y destinatarios.
Principio 14 La organización interna comunica información incluyendo objetivos y responsabilidades para el soporte y funcionamiento del control interno Foco en : Determinar los tipos de información y destinatarios. Comunicaciones con el Directorio. Líneas tipo hot lines y su confidencialidad. Métodos de comunicación, oportunidad, audiencias y tipos de comunicación.

Principio 15 Comunicación con entes externos las materias de operación del control interno.
Foco en : Especificar a quienes y qué tipo de información , ej.accionistas, reguladores, clientes, bancos etc . Canales de comunicación y su seguridad. Comunicaciones con el Directorio. Líneas de comunicacióin y tipos incluyendo hot lines. Métodos usados.

PRINCIPALES CAMBIOS EN INFORMACION Y CONTROL RESPECTO A COSO 1992
Enfatiza en la calidad de la información . Pone foco en verificar las fuentes de la información. Incluye la confianza, la privacidad y los requerimientos regulatorios. Llama a poner atención en la complejidad de los procesos, su información y la relación con entes externos que usan la información. Destaca el impacto de la tecnología en la generación y difusión de la comunicación. Abre un gran abanico de todo lo que es información interna. Hoy la información es parte del negocio y su gestión.

MONITOREO Principios involucrados Conduce evaluaciones en línea o separadas Evalúa y comunica las deficiencias PRINCIPALES CAMBIOS EN INFORMACION Y CONTROL RESPECTO A COSO 1992 La separación entre monitoreo en línea y separado Uso amplio de tecnología. Ver documento de Introductorio COSO « COSOs Guidance on Monitoring Internal Control Systems « La publicación completa puede comprarse CONTROL DE ACTIVIDADES

Principio 16 Evaluaciones en línea y separadas
Foco en ; Mezcla de ongoing y después .Determinar y especificar. Ver como cambian en el tiempo. Determinar el conocimiento y entendimiento de los receptores. Integrarlas con los procesos de negocios. Ver frecuencia y alcance. Evaluar el feedback

Principio 17 Evaluar y comunicar las deficiencias
Foco en : A quienes comunicar, preferente a. Directorio y alta Administración A quienes deben corregirlas. Monitorear si se corrigieron oportunamente. Dejar evidencias y registros.

Tomo 2 Herramientas de evaluación para ver el funcionamiento del control interno
El documento tiene más de 100 páginas con una detallada metodología tendiente a : Si hay una seguridad razonable para el logro de los objetivos, lo que requiere de : Cada componenente y cada principio de COSO estén presentes y operando. Los cinco componentes de COSO estén operando juntos y en forma integrada Cada principio se cumpla en cada entidad de la empresa. Las principales deficiencias de control interno se levanten en cada principio y elemento y se comuniquen para buscar soluciones.

ORGANIZACIÓN DEL DOCUMENTO HERRAMIENTAS
1. Visión general de la estructura de control interno. 2 Evaluación de los componentes de COSO 3 Evaluación de los 17 principios de COSO 4 Resumen de las deficiencias observadas 5 Escenario A si los principios y los componenentes están presentes y funcionando. 6 Escenario B si los componenentes están funcionando juntos y en forma integrada. 7 Escenario C Cómo las debilidades significativas de las actividades de control impactan los principios , los componenentes y el control interno. 8 Escenario D Si los principios y componenentes están presentes y funcionan en una División Orgánica,Unidad operativa y función. 9 Escenario E Cómo las evaluaciones funcionan en localizaciones combinadas ej Matriz en EEUU y divisiones en Europa y América Latina. El documento no es una especie de Pizza de calentar y comer, muy por el contrario,cada cual debe desarrollarla y aplicarla en su empresa. MI RECOMENDACIÓN , no se enreden en detalles, vayan a lo principal. Veremos brevemente algo de esto en el curso.

Tomo 3 – Control Interno para proceso de reportes financieros externos ( Ojo los Estados Financieros son sólo una parte) Basado en el modelo COSO lo aplica a reportes financieros externos, es como un zoom especializado a esa materia Considera los cambios ocurridos en los negocios, el entorno y las operaciones desde COSO UNO de 1992 Entrega ejemplos ilustrativost Alineado coimpletamente con COSO 2013

Internal Control over External Financial Reporting (ICEFR): A Compendium of Approaches and Examples
Approaches and Examples illustrate how various characteristics of principles may be present and functioning within a system of internal control relating to external financial reporting Approaches are designed to give a summary-level description of activities that management may consider as they apply the Framework Examples illustrate one or more points of focus of a particular principle. They are not designed to provide a comprehensive, end-to-end example of how a principle may be fully applied in practice. Selected approaches and examples do not illustrate all aspects of components and relevant principles that would be necessary for effective internal control Stakeholders should refer to the Framework for the requirements of effective internal control Compendium supplements and can be used in concert

Illustrative documents are responsive to public comments
ICEFR: A Compendium of Approaches and Examples Add or clarify specific examples, including: Establishing responsibilities for reviewing financial statements Monitoring investigation and reporting of whistleblower allegations Monitoring identification and protection of sensitive financial information Monitoring identification and analysis of risk of material misstatement due to fraud Address a risk-based approach for achieving external financial reporting objectives Specify suitable objectives for external financial reporting Risks to achieving suitable objectives Responses to risks

COSO ERM Y COSO-RELACIONES
En risk response, debe tenerse con precisión como se atiende cada riesgo y esto tiene que ver con los controles; COSO es más general. En Risk assessment, debe determinarse los riesgos y trabajar con metodologías de riesgo inherente y riesgo residual .COSO no tiene este foco detallado. En entorno de control COSO ERM menciona el rol de los Directores independientes. COSO ERM trabaja con riesgos interrelacionados; COSO no lo menciona. COSO es más amplio en control de actividades y las relaciones con tecnología. En información y comunicaciones COSO ERM tiene un enfoque más amplio y de gestión, incluyendo proyecciones. COSO es más fuerte en la calidad y precisión de la información. En monitoreo ,COSO ERM incluye más precisión e involucra a entes externos.

COSO ERM Y RISK RESPONSE ( Respuestas )
COSO ERM agrega un elemento que es las respuestas a los riesgos. Esto significa que formulados los riesgos primarios , conviene desagregarlos en eventos de riesgos y determinar lo que se acepta y lo que no se acepta y de lo que se acepta, qué se transfiere y lo que se mitiga. De lo que se mitiga , para cada evento de riesgo debe haber uno o más controles, verificando su existencia y funcionamiento. Mi consejo y experiencia es trabajar conjuntamente con COSO y COSO ERM. COSO es más profundo en Control Interno y COSO ERM en administración y control de riesgos.

APETITO DE RIESGO Y TOLERANCIA AL RIESGO
COSO ERM es explícito. El apetito de riesgo debe cuantificarse por cada riesgo;ejemplo, la empresa en sus inversiones acepta inversiones en renta variable en acciones nacionales hasta un 5 % de su cartera de inversiones. La tolerancia al riesgo acepta hasta un 6 % Este es un punto sustantivo para un Auditor Interno, revisar que todos los riesgos primarios de la Matriz de Riesgos tengan sus apetitos y tolerancias establecidos y revisar su existencia y cumplimiento, informando, usualmente al Comité de Auditoría.

TRABAJO CONJUNTO CON COSO Y COSO ERM

COSO ERM Data del año 2004 , su definición dice:
“The Enterprise Risk Management—Integrated Framework defines enterprise risk management as a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and to manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives” Comentarios Pone énfasis en la estrategia, la identificación de los riesgos, su administración como un proceso, el establecimiento de los apetitos de riesgos y lograr la seguridad razonable para alcanzar los objetivos.

COSO ERM es fundamentalmente para Administración de riesgos, incluyendo a COSO en lo relativo a Control interno. COSO ERM es más amplio que COSO incluye las estrategias ( parte superior del cubo ) como algo previo y a un nivel superior y su relación con los objetivos de la empresa y tiene que ver con la misión y visión de la empresa. COSO no se involucra con las estrategias. En COSO ERM,debe determinarse los apetitos de riesgos y la tolerancia.Esto debe hacerse en forma precisa. COSO ERM incluye una desagregación de los objetivos estratégicos para llegar a objetivos funcionales, pero relacionados con los estratégicos; COSO no lo hace. En COSO ERM, en event identification, conviene hacer un análisis FODA para a visualizar aspectos positivos que pueden ayudar en los negocios como las amenazas y posibles cursos de acción. En COSO ERM, risk response ( respuesta a riesgos ) se relaciona con separar riesgos en : evitar, transferir y administrar.

En risk response, debe tenerse con precisión como se atiende cada riesgo y esto tiene que ver con los controles; COSO es más general. En Risk assessment, debe determinarse los riesgos y trabajar con metodologías de riesgo inherente y riesgo residual .COSO no tiene este foco detallado. En entorno de control COSO ERM menciona el rol de los Directores independientes. COSO ERM trabaja con riesgos interrelacionados; COSO no lo menciona. COSO es más amplio en control de actividades y las relaciones con tecnología. En información y comunicaciones COSO ERM tiene un enfoque más amplio y de gestión, incluyendo proyecciones. COSO es más fuerte en la calidad y precisión de la información. En monitoreo ,COSO ERM incluye más precisión e involucra a entes externos.

COSO ERM Y RISK RESPONSE ( Respuestas )
COSO ERM agrega un elemento que es las respuestas a los riesgos. Esto significa que formulados los riesgos primarios , conviene desagregarlos en eventos de riesgos y determinar lo que se acepta y lo que no se acepta y de lo que se acepta, qué se transfiere y lo que se mitiga. De lo que se mitiga , para cada evento de riesgo debe haber uno o más controles, verificando su existencia y funcionamiento. Mi consejo y experiencia es trabajar conjuntamente con COSO y COSO ERM. COSO es más profundo en Control Interno y COSO ERM en administración y control de riesgos.

APETITO DE RIESGO Y TOLERANCIA AL RIESGO
COSO ERM es explícito. El apetito de riesgo debe cuantificarse por cada riesgo;ejemplo, la empresa en sus inversiones acepta inversiones en renta variable en acciones nacionales hasta un 5 % de su cartera de inversiones. La tolerancia al riesgo acepta hasta un 6 % Este es un punto sustantivo para un Auditor Interno, revisar que todos los riesgos primarios de la Matriz de Riesgos tengan sus apetitos y tolerancias establecidos y revisar su existencia y cumplimiento, informando, usualmente al Comité de Auditoría.

COSO Y AUDITORÍA INTERNA
El desarrollo e implementación es ajeno a Auditoría Interna. No obstante, mi experiencia es que en su desarrollo suele pedirse ayuda a Auditoría Interna. Recuerden la actual definición de Auditoría Interna Auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos,control y gobierno.

Desarrollo e implementación
Decisión La empresa en su Directorio decide adoptarlo Se comunica a todos los niveles y se designa un jefe de proyecto Refcuerden es una ESTRUCTURA y no partes sueltas Desarrollo e implementación Se compara lo que hay y se levantan los Gaps Se desarrolla el proyecto y se implementa, Auditoría Interna puede ser parte del proyecto Auditoría Se audita su funcionamiento y se levantan diferencias y observaciones Se hace un plan de mejoras con encargados y plazos Se vuelve a revisar el resultado del plan

Actividades de control Monitoreo Información y comunicaciónes
Entorno de control Evaluació n de Riesgos Actividades de control Monitoreo Información y comunicaciónes

II ) EVALUACIÓN DEL CONTROL INTERNO USANDO COSO
COSO tiene un documento específico para hacer este trabajo. Se llama «Illustrative Tools for Assessing Effectiviness of a System of Internal Control « Está en inglés y debe comprarse, tiene 146 páginas. Uds en el curso pueden usar el borrador final de COSO que es muy parecido al documento final.El ideal es comprarlos tres documentos de COSO Uds pueden acceder a él en el sitio web de la Asociación de Auditores Externos de Chie AG cuyo link es: Ahí buscan la pestaña de Gobierno Corporativo y luego Sección COSO y luego busquen COSO 2013 Estructura borrador final 2011 En la clase explicaremos su contenido y forma de usarlo.

CONTENIDO Y FORMA DE USARLO
Veamos en las diapositivas siguientes que hice un print pantalla La secuencia parece al revés,pero tiene su lógica Primero deben tener una visión general Segundo deben revisar cada uno de los cinco componentes Tercero deben revisar los 17 principios Finalmente debe hacerse un registro de las deficiencias lo que resulta de lo anterior El documento al final incluye ejemplos que se los recomiendo Es mi experiencia tanto profesional como académica que a la mayoría de las personas les resulta complejo porque hay que trabajar interelacionado todo con todo. Recuerden la Torre Eiffel Por años y años los Auditores tanto en su formación académica cono laboral trabajan por partes aisladas y esto no sirve en la evaluación Veremos con ejemplos que explicaremos ,pero Uds la única manera de aprender esto es usarlo

Enseguida hay que relacionar con los objetivos – parte superior del cubo

Esta parte no está en el borrador sino en el documento final
Ejemplo de Evaluación de riesgo y objetivos- ( sólo principio 7 .hay que hacerlo con todas las relaciones) Puntos de Focos Objetivos de operaciones Refleja elecciones de la Administración sobre estructura, la industria y performance Considera tolerancia al riesgo para el logro de los objetivos Incluye metas deseadas Se asignan recursos para metas Objetivos de Reporte Financiero Externo Acorde a principios contables Considera la materialidad en la presentación de EEFF Refleja todas las transacciones y sus aseveraciones Objetivos de reportes externos no financieros Consistentes con leyes y regulaciones y respeto a entes externos Niveles de precisión establecidos por terceras partes Acorde a rangos de seguridad aceptables Objetivos de Reportes Internos Seguros y completos acorde a las necesidades Niveles de precisión predefinidos Con límites establecidos Objetivos de Compliance

Entonces- para aprender a nadar no se hace por powerpoint, hay que aprender en la piscina
Atrévanse a usar estas herramientas para evaluar el cumplimiento de COSO 2013, es motivador y útil para Uds y vuestra organización y verán que pueden cruzar la piscina sin ahogarse Ánimo y suerte

CLAIN 2014 TEMA COSO 2013 PRINCIPALES CAMBIOS EN RELACIÓN A COSO 1992

Presentaciones similares

Presentación del tema: "CLAIN 2014 TEMA COSO 2013 PRINCIPALES CAMBIOS EN RELACIÓN A COSO 1992"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback

Iniciar la sesión

Autorizarse a través de una red social:

CLAIN 2014 TEMA COSO 2013 PRINCIPALES CAMBIOS EN RELACIÓN A COSO 1992

Presentaciones similares

Presentación del tema: "CLAIN 2014 TEMA COSO 2013 PRINCIPALES CAMBIOS EN RELACIÓN A COSO 1992"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback