La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

1 CLAIN 2014 TEMA COSO 2013 PRINCIPALES CAMBIOS EN RELACIÓN A COSO 1992 Y SU USO EN LA EVALUACIÓN DEL CONTROL INTERNO Nota previa Esta presentación excede.

Presentaciones similares


Presentación del tema: "1 CLAIN 2014 TEMA COSO 2013 PRINCIPALES CAMBIOS EN RELACIÓN A COSO 1992 Y SU USO EN LA EVALUACIÓN DEL CONTROL INTERNO Nota previa Esta presentación excede."— Transcripción de la presentación:

1 1 CLAIN 2014 TEMA COSO 2013 PRINCIPALES CAMBIOS EN RELACIÓN A COSO 1992 Y SU USO EN LA EVALUACIÓN DEL CONTROL INTERNO Nota previa Esta presentación excede con mucho a la exposición, les he querido dejar material para vuestra lectura y trabajo Buenos Aires- Argentina -16 de mayo del 2014 Profesor Carlos Valdivieso Valenzuela 1

2 2 ACERCA DE COSO The Commitee of Sponsoring Organization of the Treading Commission es una organización privada y voluntaria formada el año 1985,integrada por las siguientes instituciones dedicadas a guiar a las administración ejecutiva y a los participantes del Gobierno de la empresa para lograr el establecimiento de operaciones de negocios más efectivas, eficientes y éticas. Promueve y difunde estructuras ( frameworks ) y guías basados en profundas investigaciones, análisis y mejores prácticas: American Accounting Associaton ( AAA) American Institute of CPAs ( AICPA ) Financial Executives International (fei) The Associaton of Accountants and Financial Profesional in Bussiness ( ima ) The Institute of Internal Auditors ( IIA )

3 3 COSO ES UNA ESTRUCTURA La estructura (del latín structūra) es la disposición y orden de las partes dentro de un todo. También puede entenderse como un sistema de conceptos coherentes enlazados, cuyo objetivo es precisar la esencia del objeto de estudio. Tanto la realidad como el lenguaje tienen estructura tendiendo a que refleje fielmente la estructura de la realidad ( fuente, resumen a partir de wikipedia)latínordenconceptosesenciarealidad lenguaje O sea, todo armado y coherente, nada suelto por sí sólo. Algunos Auditores tienden a tomar elementos específicos, esto NO SIRVE, están todas las piezas relacionadas. Esto que es abstracto, aterrizémoslo con una foto en la diapositiva siguiente. 3

4 4 COSO ES UNA ESTRUCTURA( Framework ) TODO UNIDO E INTEGRADO 4

5 5 Es de 1992 COSOs Internal Control – Integrated Framework (1992 Edition) Refrescar los objetivos Mejoras Irabajará mejor a futuro COSOs Internal Control – Integrated Framework Mayo 2013 ) Cambios significativos en los negocios, el entorno y los riesgos asociados Actualiza,mejora y clarifica el Framework Aumenta el foco en las operaciones,cumplimien to y objetivos de informes no financieros Expande información interna y la no financiera Codifica el criterio en el desarrollo y estructura del sistema de control interno. Principios Atributos Tomado de COSO IC-IF-ED Traducción libre al español de Carlos Valdivieso Valenzuela Porqué fué necesario actualizar COSO ?

6 6 Tomado de COSO IC-IF-ED Traducción libre al español de Carlos Valdivieso Valenzuela Fecha de publicación mayo 2013 Fecha obligatoria máxima de implementación 15 diciembre 2014 Sept -EneroFeb - OctubreDic - MarzoAbril - Dic Estudio y análisis por los interesados Diseño y construcción Exposición Pública Finalización

7 7 COSO COSO ERM e ISO Estructuras desarrolladas y aceptadas internacionalmente He tenido la oportunidad y la suerte de estar cercano a la génesis de las tres estructuras. COSO original data de 1992; antes,hubo participaciones de numerosas entidades, y personas, cientos de workshops y finalmente un borrador el que se circularizó en ejemplares aprox el que anduvo por un año para comentarios tanto en EEUU como fuera de eses país, finalmente en 1992 nace COSO 1992.COSO 2013 es una actualización de COSO 1992 y resulta de un amplio trabajo internacional con más de 700 aportes. COSO ERM es un hijo de COSO para focalizarse en riesgos (ERM, es Enterprise Risk Management). Nace de un encargo a la Universidad de Virginia en EEUU, quien después de una larga investigación concluye que no había un entendimiento global y uniforme en lo relativo a riesgos y su administración; luego el Comité COSO con ayuda externa lleva adelante el proyecto el que cuenta con aportes tanto en EEUU como en el exterior. En 2004 nace COSO ERM, COSO 1992 sigue vigente en paralelo con COSO 2013 hasta el 15 de diciembre 2013.En EEUU debe explicitarse en las Memorias de empresan que transan valores el uso de COSO. ISO , la única ISO de riesgos, nace el 2009 después de un trabajo internacional de varios años. Se aprueba por 160 países. 7

8 8 COSO ERM Y COSO No confundirlos son complementarios COSO ERM 2004 COSO

9 9 COSO LA EVOLUCIÓN DE LOS DOCUMENTOS NO CONFUNDIRSE COSO ERM ( Año 2004 ), QUE ES PARA RIESGOS Y LO VEREMOS

10 10 COSO 2013 LO INTEGRAN TRES DOCUMENTOS Internal Control-Integrated Framework, esto es la estructura central, es el más conocido Illustrative Tools for Assessing Effectiveness of a System of Internal Control, son las herramientas para medir la efectividad en la operación del sistema de control interno. Internal Control over External Financial Reporting: A Compendium of Approaches and examplesDocumento relativo al proceso de informes financieros enviados al exterior de la empresa ( Los Estados Financieros, son sólo uno de ellos). Los documentos están sólo en inglés y traerlos resulta unos US $ 500 aprox. En el link siguiente están los borradores finales que son casi idénticos a los documentos finales, es de la Asociación de Auditores Externos de Chile AG a quienes les colaboro. Ahí buscar Gobierno Corporativo y luego pestaña COSO, documentos de apoyo.Tienen unas 400 páginas

11 11 Fuente: ISO – Traducción libre al español del señor Carlos Valdivieso Valenzuela

12 12 COSO E ISO Unica ISO de RIESGOS Fuente Linkedin ISO31000 Risk Group 12

13 13 Cambios en el entorno Llevaron a la actualización del Framework Expectativas en la gobernabilidad Globalización de los mercadosy las operaciones Cambios y creciente complejidad de los negocios Requerimientos en complejidad de leyes, reglas y estándares Expectativas de las competencias y accountabilities Use de y confianza en tecnologías envolventes Expectativas relativas a prevenir y detectar fraudes COSO Cube (2013 Edition) LOS CAMBIOS CONSIDERADOS

14 14 COSO Diapositiva libre de Carlos Valdivieso Valenzuela El nuevo COSO 2013 mantiene su estructura de representación Cambia en su sistematización en 17 principios y 86 atributos Tiene materias nuevas. Original COSO Cube

15 15 Informe Tomo 1 – Control Interno ( Edición 2013 ) :Contiene Resumen ejecutivo Framework y apéndices Herramientas para medir la efectividad del control interno ( es un tomo aparte ) Explicita Definición de control interno Categorías y objetivos Componentes y principios

16 16 EN LO GENERAL, LO QUE NO CAMBIA Y LO QUE CAMBIA RESPECTO A COSO 1992 Fuente COSO IC-IF-ED Traducción y adaptación libre al español de Carlos Valdivieso Valenzuela Qué no está cambiando...Qué está cambiando... 1.Definición de control interno. 2.Cinco componentes de control interno 3.El criterio fundamental para determinar la efectividad de los sistemas de control interno. 4.Uso del juicio en la evaluación de la eficacia de l0s sistemas de control interno. 1.Codificación de principios con aplicación universal para usarse en el desarrollo y evaluación de la eficacia de los sistemas de control interno. 2.Expande el objetivo de reportes financieros para ir también a informes internos y externos en un sentido amplio, incluyendo objetivos no financieros. 3.Incrementa el foco en las operaciones, cumplimiento ( compliance ) y reportes no financieros y objetivos basados en lo determinado y alimentado como input por los usuarios. 4 Otros que resumiremos hoy El lector experimentado en COSO encontrará mucho conocido en esta actualización, la que se ha construido a partir de la base de lo que ha probado ser efectivo en su versión original durante 21 años

17 17 DEFINICIÓN DE CONTROL INTERNO SEGÚN COSO DEFINICION: Proceso, efectuado por el consejo de administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: Eficacia y eficiencia de las operaciones Fiabilidad de la información financiera Cumplimiento de leyes y normas que sean aplicables El Informe COSO es un documento que contiene las principales directivas para la implantación, gestión y control de un sistema de control interno; funciona como un framework ; esto es una estructura integrada La diapositiva siguiente no es mía, la encontré en la web pero no tengo a su autor 17

18 18 NUEVO COSO 18

19 19 Entorno de control Evaluación de los riesgos Actividades de control Información y comunicaciones Actividades de monitoreo Actualización en 2013 integra componentes con principios En los 17 principios dejé el inglés para apreciar los conceptos originales, los explicaré en español 1.Demonstrates commitment to integrity and ethical values 2.Exercises oversight responsibility 3.Establishes structure, authority and responsibility 4.Demonstrates commitment to competence 5.Enforces accountability 6.Specifies suitable objectives 7.Identifies and analyzes risk 8.Assesses fraud risk 9.Identifies and analyzes significant change 10.Selects and develops control activities 11. Selects and develops general controls over technology 12.Deploys through policies and procedures 13.Uses relevant information 14.Communicates internally 15.Communicates externally 16.Conducts ongoing and/or separate evaluations 17.Evaluates and communicates deficiencies

20 20 Entorno de control Veamos lo anterior con más detalle 1.The organization demonstrates a commitment to integrity and ethical values. 2.The board of directors demonstrates independence from management and exercises oversight of the development and performance of internal control. 3.Management establishes, with board oversight, structures, reporting lines, and appropriate authorities and responsibilities in the pursuit of objectives. 4.The organization demonstrates a commitment to attract, develop, and retain competent individuals in alignment with objectives. 5.The organization holds individuals accountable for their internal control responsibilities in the pursuit of objectives.

21 21 6. The organization specifies objectives with sufficient clarity to enable the identification and assessment of risks relating to objectives. 7. The organization identifies risks to the achievement of its objectives across the entity and analyzes risks as a basis for determining how the risks should be managed. 8. The organization considers the potential for fraud in assessing risks to the achievement of objectives. 9. The organization identifies and assesses changes that could significantly impact the system of internal control. Evaluación de riesgos Update articulates principles of effective internal control (continued)

22 The organization selects and develops control activities that contribute to the mitigation of risks to the achievement of objectives to acceptable levels. 11. The organization selects and develops general control activities over technology to support the achievement of objectives. 12.The organization deploys control activities through policies that establish what is expected and procedures that put policies into place. Actividades de control Update articulates principles of effective internal control (continued)

23 The organization obtains or generates and uses relevant, quality information to support the functioning of internal control. 14. The organization internally communicates information, including objectives and responsibilities for internal control, necessary to support the functioning of internal control. 15.The organization communicates with external parties regarding matters affecting the functioning of internal control. Information & Communication Update articulates principles of effective internal control (continued)

24 The organization selects, develops, and performs ongoing and/or separate evaluations to ascertain whether the components of internal control are present and functioning. 17.The organization evaluates and communicates internal control deficiencies in a timely manner to those parties responsible for taking corrective action, including senior management and the board of directors, as appropriate. Actividades de monitoreo Update articulates principles of effective internal control (continued)

25 25 17 PRINCIPIOS CON 86 ATRIBUTOS PRINCIPIOS 17 PRINCIPIOS INTERRLACIONADOS PARA LOS 5 ELEMENTOS DE COSO ATRIBUTOS 86 ATRIBUTOS QUE SOPORTAN LOS PRINCIPIOS DEBEN VER EL DOCUMENTO COSO, VA UN EJEMPLO ESTRUCTURA COSO DE LO ANTERIOR RESULTA LA ESTRUCTURA COSO ES UN TODO INDIVISIBLE-RECORDAR LA TORRE EIFFEL

26 26 CADA UNO DE LOS 17 PRINCIPIOS TIENE ATRIBUTOS- EN TOTAL SON 86 Se recomienda ver el documento de COSO va un ejemplo de algunos atributos para control de actividades para mejor entender como se armó la estructura.Aquí va uno de los 86 atributos, la traducción libre al español para este curso es del profesor Carlos Valdivieso. Selecciona y desarrolla control de actividades que contribuyan a la mitigación de riesgos a niveles aceptables para el logro de los objetivos; para ello: a ) Integra los controles con los riesgos de forma de mitigarlos. b )Determina los procesos de negocios relevantes que requieren sus contrles de actividades. c ) Considera los factores de entorno e internos de la empresa, sus operaciones en calidad, complejidad y cantidad para seleccionar y desarrollar las actividades de control más apropiadas. d ) Hace un mix de actividades de control manuales y automatizadas. e ) Determina el tipo de actividades de control por niveles y las detalla. f ) Revisa la segregación de funciones y las cambia en caso de ser necesario para tener buenas actividades de control.

27 27 Agilidad Claridad Confidencialida d Beneficios de la actualización Fuente COSO IC-IF-ED Traducción libre al español de Carlos Valdivieso Valenzuela Administración y Directorio Otros usuarios Entes externos Performance Mejora la gobernabilidad. Expande su uso más allá de lo financiero. Mejora la calidad de la medición de riesgos. Fortalece los esfuerzos antifraude. Adapta controles a los negocios y su dinámica. Mayor uso en distintos modelos de negocios.

28 28 ALCANCE COSO contiene un planteamiento general, con los fundamentos del control interno. No hay por tanto, aspectos específicos del tipo checklist, los que siguen siendo válidos y útiles, pero ubicados en una ESTRUCTURA INTEGRADA Cada empresa debe analizar cómo lo desarrolla a su realidad. Es la experiencia de este relator, involucrado en el tema desde 1992 que aquí radica el principal problema y la gran oportunidad; hay algunos que se sienten desorientados cuando por tantos años la auditoría interna le ha dicho: vaya y haga esto en detalle; a su vez, hay otros, que ven en esto una posibilidad de desarrollo profesional; el desafío no es menor. Es también mi experiencia, que hay pocos reparos a COSO mismo y el problema es de implementación. Vaya un ejemplo; el principio 7 dice « identifica y analiza los riesgos «, pues bien, Uds saben lo que esto significa en la práctica, riesgos primarios, eventos de riesgo y controles, nada de simple. 28

29 29 ANÁLISIS POR COMPONENTE DE COSO ENTORNO DE CONTROL EVALUACIÓN DE RIESGOS CONTROL DE ACTIVIDADES INFORMACIÓN YCOMUNICACIONES MONITOREO DE ACTIVIDADES ____________________________ Todo ello para: Logro de la eficiencia y eficacia de las Operaciones que permitan el logro de los objetivos, consistentes con la MISIÓN, el alcance de las metas, incluyendo rentabilidad y salvaguarda de recursos. Confiabilidad de informes financieros y no financieros tanto con destino externo como interno. Cumplimiento de leyes y regulaciones que afecten a la empresa.

30 30 LA FAMOSA SEGURIDAD RAZONABLE Reasonable AssuranceThe concept that internal control, no matter how well designed and operated, cannot guarantee that an entitys objectives will be met. This is because of Inherent Limitations in all internal control systems O sea,que provea una seguridad razonable (NO ABSOLUTA ) a una persona competente,con bases sólidas, permitiéndole dar una opinión fundada relativa al sistema de control interno en el logro de los objetivos de la empresa, pero no lo puede garantizar por las limitaciones inherentes de todo sistema de control interno, Algo así como : El sistema de control interno de la empresa XX al 31 de diciembre del 2012 es eficaz y proporciona una seguridad razonable de que el proceso de preparación de la información financiera es fiable, de que la empresa tiene procedimientos eficaces para asegurar el cumplimiento de las leyes y normativas que le sean aplicables y de que la dirección conoce hasta qué punto la empresa está alcanzando sus objetivos operacionales. 30

31 31 OBJETIVOS Y SUBOJETIVOS Los objetivos generales de la empresa se deben desagregar en subobjetivos por Unidades de la empresa,deben ser claros, cuantificables, medibles y auditables. Estos subojetivos deben ser conocidos por todo el personal a quienes los incumbe. 31

32 32 ENTORNO DE CONTROL PRINCIPIOS INVOLUCRADOS 1. La organización como un todo demuestra compromiso con la integridad y valores éticos. 2. El Directorio demuestra independencia de la Administración y supervisa el desarrollo y funcionamiento del sistema de control interno. 3.El Directorio junto a la Administración supervisan la estructura de la empresa, las líneas de autoridad y responsabilidad y el logro de los objetivos. Ejercita la responsabilidad de supervisión. 4. La empresa demuestra compromiso con la competencia para atraer, desarrollar y retener al personal y alinearlo con los objetivos. 5.Hace cumplir las rendiciones ( accountability ) por la autoridad y responsabilidad que le han otorgado para el logro de los objetivos. 32

33 33 PRINCIPALES CAMBIOS EN ENTORNO DE CONTROL RESPECTO A COSO 1992 Integra los 5 principios y los relaciona aplicándolos en el Directorio, Administración, personal, comités, especialmente de Auditoría, estructura de organización, políticas y prácticas, dejando definiciones por escrito y velando por su cumplimiento. Explicita y define el Gobierno Corporativo, los roles y lo que debe hacer cada cual y refuerza el concepto de accountability. Define lo relativo a supervisión de riesgos, los recursos requeridos y las relaciones existentes para el logro de los objetivos que deben estar explícitos. Involucra al outsourcing como parte del entorno de control. Los puntos anteriores deben constar por escrito y ( según este relator ) dejar pistas de auditoría y revisar su comportamiento. 33

34 34 PRINCIPIO 1.La organización como un todo demuestra compromiso con la integridad y valores éticos. Foco en : Directorio y Administración en todos sus niveles demuestran compromiso con los aspectos éticos como aspecto central del control interno. Establece Standard de Conducta, difundido a todos los niveles tanto internos como al outsourcing. Evalúa su cumplimiento y desviaciones. 34

35 35 Principio 2 El Directorio demuestra independencia de la Administración y supervisa el desarrollo y funcionamiento del sistema de control interno. Foco en : Directorio tiene y efectúa supervisión superior del Control Interno, su diseño y cumplimiento Directorio revisa sus capacidades y conocimientos de control interno(si les faltare, deben capacitarse ) Son y actúan independiente de la Administración. 35

36 36 Principio 3 El Directorio junto a la Administración supervisan la estructura de la empresa, las líneas de autoridad y responsabilidad y el logro de los objetivos. Ejercita la responsabilidad de supervisión. Foco en Considera toda la estructura de la empresa. Establece líneas de autoridad y responsabilidad y reportes Define los límites de autoridad. Define la autoridad de servicios de outsourcing. 36

37 37 Principio 4 La empresa demuestra compromiso con la competencia para atraer, desarrollar y retener al personal y alinearlo con los objetivos. Foco en : Define políticas y prácticas relativas a talentos de Recursos Humanos. Evalúa junto con la Administración las competencias requeridas en distintos cargos y como obtener resultados para llenar los gaps. Atrae, desarrolla y mantiene los recursos humanos requeridos. Establece planes de sucesiones. 37

38 38 Principio 5. Hace cumplir las rendiciones ( accountability ) por la autoridad y responsabilidad que le han otorgado para el logro de los objetivos. Foco en : Se definen con claridad y se supervisan las accountabilities y analiza los incumplimientos de control interno y sus correcciones. El Directorio y la Administración establecen mediciones, incentivos y retroalimentaciones para mejoras. Alinea incentivos con cumplimientos de control interno. Tiene cuidado en las presiones para el logro de metas que pudieren afectar al control interno, Evalúa los resultados y cumplimiento de estándares de conducta. 38

39 39 EVALUACIÓN DE RIESGOS PRINCIPIOS INVOLUCRADOS 6 Especifica los objetivos relevantes 7 Identifica y analiza los riesgos 8Aprecia y analiza riesgos de fraude 9Identifica y analiza los cambios significativos

40 40 PRINCIPALES CAMBIOS EN LA EVALUACIÓN DE RIESGOS RESPECTO A COSO 1992 La identificación de los objetivos relevantes, es una precondición para la evaluación de riesgos.El orden es MISIÓN, y objetivos para cumplir la Misión. De dichos objetivos derivan los primeros riesgos. Establece la relación de los riesgos con las operaciones, informes y cumplimiento ( compliance) Especifica que deben contemplarse la identificación de los riesgos, el análisis y sus respuestas. Incluye las tolerancias al riesgo, como prerequisito. Contempla que deben entenderse los cambios significativos tanto de origen interno como externo y sus relaciones con los sistemas de control interno. Considera el riesgo de fraude y sus relaciones con los informes, como parte de la administración de riesgos. 40

41 41 Principio 6 Especifica los objetivos relevantes Foco en : Claridad y documentación en : objetivos, informes y compliance ( nota del profesor Valdivieso, ojo, se refiere a la parte superior del cubo COSO ). Debe reflejar las selecciones de objetivos hechos por la empresa. Considera la tolerancia al riesgo determinada. Incluye las metas financieras. Es la base para la alocación de recursos humanos y financieros. 41

42 42 Principio 7 Identifica y analiza los riesgos Foco en : Para la determinación y administración de riesgos, deben incluirse todas las filiales y subsidiarias y luego todas las funiciones y niveles. Analizar tanto los factores internos como externos. Definir y explicitar los riesgos Asignar los riesgos por niveles. Analizar los riesgos inherentes. Contar con un sistema de respuesta a los riesgos. 42

43 43 Principio 8 Aprecia y analiza riesgos de fraude Foco en : Especificar los posibles tipos de fraudes, ej :En Estados Financieros,pérdidas de activos, etc. Presiones por lograr metas lleva a distintos fraudes. Vacíos en control interno que dejan oportunidades de fraudes ( nota de este profesor, algo así como donde las dan las toman ) Ahorros de costos por racionalizaciones que dejan vacíos de control interno. 43

44 44 Principio 9 Identifica y analiza los cambios significativos Foco en : Analizar cambios tanto de origen interno como externo, ej regulatorios, económico los riesgoss etc y como afectan a los riesgos. Cambios en el modelo de negocios, productos, distribución y como afectan a los riesgos. Cambios en liderazgos, jefaturas y estilos de administración y como afectan a los riesgos. 44

45 45 CONTROL DE ACTIVIDADES PRINCIPIOS INVOLUCRADOS 10 Selecciona y desarrolla control de las actividades 11Selecciona y desarrolla controles para la tecnología 12 Despliegue de políticas y procedi mientos

46 46 PRINCIPALES CAMBIOS EN EL CONTROL DE ACTIVIDADES RESPECTO A COSO 1992 La tecnología en sentido amplio, es parte integrante del Sistema de Control Interno.Aquí hay un cambio de énfasis importante. Foco en la tecnología y los procesos de negocios. El control de actividades se relaciona con los riesgos. Recomendación para usar todas las técnicas que se necesiten. Amplitud de controles desde los controles de transacciones hasta los superiores; deben agruparse y sistematizarse por niveles. Integración de políticas con procedimientos y controles como un conjunto integrado. 46

47 47 Principio 10 Selecciona y desarrolla control de las actividades Foco en : Integrar los controles con los riesgos. Especificar los factores de riesgos ( causas ). Determinar los procesos significativos, riesgos y controles ). Evaluar qué tipo de controles se necesitan y su mezcla. Detallar los controles por niveles. Contar con segregación de funciones. 47

48 48 Principio 11 Selecciona y desarrolla controles para la tecnología Foco en : Determinar con detalles las relaciones de los procesos con tecnología, sus riesgos y controles automáticos y generales en los respectivos procesos( nota del profesor Valdivieso, se recomienda ver COBIT ). Establecer la tecnología en uso y su infraestuctura, sus riesgos y controles. Determinar y probar todo lo relativo a seguridad de IT en sus disntintos ámbitos. Analizar todo lo referente a adquisiones de TI y sus controles. ( de nuevo, favor ver COBIT ) TI es ahora con COSO 2013 parte integrante del Control interno. 48

49 49 Principio 12 Políticas y procedimientosDeploys through policies and procedures Foco en : Políticas y procedimientos. Establecer accountabilities en la ejecución de políticas y procedimientos. Controles hacerlos oportunamente. Ver las desviaciones y corregirlas. Usar las competencias personales. Revisar y retroalimentar políticas y procedimientos. 49

50 50 CONTROL DE ACTIVIDADES INFORMACIÓN Y CONTROL PRINCIPIOS INVOLUCRADOS 13 Usa información relevante 14 La organización interna comunica información incluyendo objetivos y responsabilidades para el soporte y funcionamiento del control interno 15 Comunicación con entes externos las materias de operación del control interno.

51 51 Principio 13 Usa información relevante Foco en : Determinar la información relevante. Determinar y tipificar las fuentes de data tanto internas como externas. Analizar los procesos informáticos relacionados con información relevante. Revisar las entradas, procesos y salidas. Considerar costos y beneficios. 51

52 52 Principio 14 La organización interna comunica información incluyendo objetivos y responsabilidades para el soporte y funcionamiento del control interno Foco en : Determinar los tipos de información y destinatarios. Comunicaciones con el Directorio. Líneas tipo hot lines y su confidencialidad. Métodos de comunicación, oportunidad, audiencias y tipos de comunicación. 52

53 53 Principio 15 Comunicación con entes externos las materias de operación del control interno. Foco en : Especificar a quienes y qué tipo de información, ej.accionistas, reguladores, clientes, bancos etc. Canales de comunicación y su seguridad. Comunicaciones con el Directorio. Líneas de comunicacióin y tipos incluyendo hot lines. Métodos usados. 53

54 54 PRINCIPALES CAMBIOS EN INFORMACION Y CONTROL RESPECTO A COSO 1992 Enfatiza en la calidad de la información. Pone foco en verificar las fuentes de la información. Incluye la confianza, la privacidad y los requerimientos regulatorios. Llama a poner atención en la complejidad de los procesos, su información y la relación con entes externos que usan la información. Destaca el impacto de la tecnología en la generación y difusión de la comunicación. Abre un gran abanico de todo lo que es información interna. Hoy la información es parte del negocio y su gestión. 54

55 55 CONTROL DE ACTIVIDADES MONITOREO Principios involucrados 16Conduce evaluaciones en línea o separadas 17Evalúa y comunica las deficiencias PRINCIPALES CAMBIOS EN INFORMACION Y CONTROL RESPECTO A COSO 1992 La separación entre monitoreo en línea y separado Uso amplio de tecnología. Ver documento de Introductorio COSO « COSOs Guidance on Monitoring Internal Control Systems « La publicación completa puede comprarse

56 56 Principio 16 Evaluaciones en línea y separadas Foco en ; Mezcla de ongoing y después.Determinar y especificar. Ver como cambian en el tiempo. Determinar el conocimiento y entendimiento de los receptores. Integrarlas con los procesos de negocios. Ver frecuencia y alcance. Evaluar el feedback 56

57 57 Principio 17 Evaluar y comunicar las deficiencias Foco en : A quienes comunicar, preferente a. Directorio y alta Administración A quienes deben corregirlas. Monitorear si se corrigieron oportunamente. Dejar evidencias y registros. 57

58 58 Tomo 2 Herramientas de evaluación para ver el funcionamiento del control interno El documento tiene más de 100 páginas con una detallada metodología tendiente a : Si hay una seguridad razonable para el logro de los objetivos, lo que requiere de : Cada componenente y cada principio de COSO estén presentes y operando. Los cinco componentes de COSO estén operando juntos y en forma integrada Cada principio se cumpla en cada entidad de la empresa. Las principales deficiencias de control interno se levanten en cada principio y elemento y se comuniquen para buscar soluciones.

59 59 ORGANIZACIÓN DEL DOCUMENTO HERRAMIENTAS 1. Visión general de la estructura de control interno. 2 Evaluación de los componentes de COSO 3 Evaluación de los 17 principios de COSO 4 Resumen de las deficiencias observadas 5 Escenario A si los principios y los componenentes están presentes y funcionando. 6 Escenario B si los componenentes están funcionando juntos y en forma integrada. 7 Escenario C Cómo las debilidades significativas de las actividades de control impactan los principios, los componenentes y el control interno. 8 Escenario D Si los principios y componenentes están presentes y funcionan en una División Orgánica,Unidad operativa y función. 9 Escenario E Cómo las evaluaciones funcionan en localizaciones combinadas ej Matriz en EEUU y divisiones en Europa y América Latina. El documento no es una especie de Pizza de calentar y comer, muy por el contrario,cada cual debe desarrollarla y aplicarla en su empresa. MI RECOMENDACIÓN, no se enreden en detalles, vayan a lo principal. Veremos brevemente algo de esto en el curso. 59

60 60 ORGANIZACIÓN DEL DOCUMENTO HERRAMIENTAS 1. Visión general de la estructura de control interno. 2 Evaluación de los componentes de COSO 3 Evaluación de los 17 principios de COSO 4 Resumen de las deficiencias observadas 5 Escenario A si los principios y los componenentes están presentes y funcionando. 6 Escenario B si los componenentes están funcionando juntos y en forma integrada. 7 Escenario C Cómo las debilidades significativas de las actividades de control impactan los principios, los componenentes y el control interno. 8 Escenario D Si los principios y componenentes están presentes y funcionan en una División Orgánica,Unidad operativa y función. 9 Escenario E Cómo las evaluaciones funcionan en localizaciones combinadas ej Matriz en EEUU y divisiones en Europa y América Latina. El documento no es una especie de Pizza de calentar y comer, muy por el contrario,cada cual debe desarrollarla y aplicarla en su empresa. MI RECOMENDACIÓN, no se enreden en detalles, vayan a lo principal. Veremos brevemente algo de esto en el curso. 60

61 61 Tomo 3 – Control Interno para proceso de reportes financieros externos ( Ojo los Estados Financieros son sólo una parte) Basado en el modelo COSO lo aplica a reportes financieros externos, es como un zoom especializado a esa materia Considera los cambios ocurridos en los negocios, el entorno y las operaciones desde COSO UNO de 1992 Entrega ejemplos ilustrativost Alineado coimpletamente con COSO 2013

62 62 Internal Control over External Financial Reporting (ICEFR): A Compendium of Approaches and Examples Approaches and Examples illustrate how various characteristics of principles may be present and functioning within a system of internal control relating to external financial reporting Approaches are designed to give a summary-level description of activities that management may consider as they apply the Framework Examples illustrate one or more points of focus of a particular principle. They are not designed to provide a comprehensive, end-to-end example of how a principle may be fully applied in practice. Selected approaches and examples do not illustrate all aspects of components and relevant principles that would be necessary for effective internal control Stakeholders should refer to the Framework for the requirements of effective internal control Compendium supplements and can be used in concert

63 63 Illustrative documents are responsive to public comments ICEFR: A Compendium of Approaches and Examples Add or clarify specific examples, including: Establishing responsibilities for reviewing financial statements Monitoring investigation and reporting of whistleblower allegations Monitoring identification and protection of sensitive financial information Monitoring identification and analysis of risk of material misstatement due to fraud Address a risk-based approach for achieving external financial reporting objectives Specify suitable objectives for external financial reporting Risks to achieving suitable objectives Responses to risks

64 64 COSO ERM Y COSO-RELACIONES En risk response, debe tenerse con precisión como se atiende cada riesgo y esto tiene que ver con los controles; COSO es más general. En Risk assessment, debe determinarse los riesgos y trabajar con metodologías de riesgo inherente y riesgo residual.COSO no tiene este foco detallado. En entorno de control COSO ERM menciona el rol de los Directores independientes. COSO ERM trabaja con riesgos interrelacionados; COSO no lo menciona. COSO es más amplio en control de actividades y las relaciones con tecnología. En información y comunicaciones COSO ERM tiene un enfoque más amplio y de gestión, incluyendo proyecciones. COSO es más fuerte en la calidad y precisión de la información. En monitoreo,COSO ERM incluye más precisión e involucra a entes externos. 64

65 65 COSO ERM Y RISK RESPONSE ( Respuestas ) COSO ERM agrega un elemento que es las respuestas a los riesgos. Esto significa que formulados los riesgos primarios, conviene desagregarlos en eventos de riesgos y determinar lo que se acepta y lo que no se acepta y de lo que se acepta, qué se transfiere y lo que se mitiga. De lo que se mitiga, para cada evento de riesgo debe haber uno o más controles, verificando su existencia y funcionamiento. Mi consejo y experiencia es trabajar conjuntamente con COSO y COSO ERM. COSO es más profundo en Control Interno y COSO ERM en administración y control de riesgos. 65

66 66 APETITO DE RIESGO Y TOLERANCIA AL RIESGO COSO ERM es explícito. El apetito de riesgo debe cuantificarse por cada riesgo;ejemplo, la empresa en sus inversiones acepta inversiones en renta variable en acciones nacionales hasta un 5 % de su cartera de inversiones. La tolerancia al riesgo acepta hasta un 6 % Este es un punto sustantivo para un Auditor Interno, revisar que todos los riesgos primarios de la Matriz de Riesgos tengan sus apetitos y tolerancias establecidos y revisar su existencia y cumplimiento, informando, usualmente al Comité de Auditoría. 66

67 67 APETITO DE RIESGO Y TOLERANCIA AL RIESGO COSO ERM es explícito. El apetito de riesgo debe cuantificarse por cada riesgo;ejemplo, la empresa en sus inversiones acepta inversiones en renta variable en acciones nacionales hasta un 5 % de su cartera de inversiones. La tolerancia al riesgo acepta hasta un 6 % Este es un punto sustantivo para un Auditor Interno, revisar que todos los riesgos primarios de la Matriz de Riesgos tengan sus apetitos y tolerancias establecidos y revisar su existencia y cumplimiento, informando, usualmente al Comité de Auditoría. 67

68 68 TRABAJO CONJUNTO CON COSO Y COSO ERM 68

69 69 COSO ERM Data del año 2004, su definición dice: The Enterprise Risk ManagementIntegrated Framework defines enterprise risk management as a process, effected by an entitys board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and to manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives Comentarios Pone énfasis en la estrategia, la identificación de los riesgos, su administración como un proceso, el establecimiento de los apetitos de riesgos y lograr la seguridad razonable para alcanzar los objetivos. 69

70 70 COSO ERM Y COSO-RELACIONES COSO ERM es fundamentalmente para Administración de riesgos, incluyendo a COSO en lo relativo a Control interno. COSO ERM es más amplio que COSO incluye las estrategias ( parte superior del cubo ) como algo previo y a un nivel superior y su relación con los objetivos de la empresa y tiene que ver con la misión y visión de la empresa. COSO no se involucra con las estrategias. En COSO ERM,debe determinarse los apetitos de riesgos y la tolerancia.Esto debe hacerse en forma precisa. COSO ERM incluye una desagregación de los objetivos estratégicos para llegar a objetivos funcionales, pero relacionados con los estratégicos; COSO no lo hace. En COSO ERM, en event identification, conviene hacer un análisis FODA para a visualizar aspectos positivos que pueden ayudar en los negocios como las amenazas y posibles cursos de acción. En COSO ERM, risk response ( respuesta a riesgos ) se relaciona con separar riesgos en : evitar, transferir y administrar. 70

71 71 COSO ERM Y COSO-RELACIONES En risk response, debe tenerse con precisión como se atiende cada riesgo y esto tiene que ver con los controles; COSO es más general. En Risk assessment, debe determinarse los riesgos y trabajar con metodologías de riesgo inherente y riesgo residual.COSO no tiene este foco detallado. En entorno de control COSO ERM menciona el rol de los Directores independientes. COSO ERM trabaja con riesgos interrelacionados; COSO no lo menciona. COSO es más amplio en control de actividades y las relaciones con tecnología. En información y comunicaciones COSO ERM tiene un enfoque más amplio y de gestión, incluyendo proyecciones. COSO es más fuerte en la calidad y precisión de la información. En monitoreo,COSO ERM incluye más precisión e involucra a entes externos. 71

72 72 COSO ERM Y RISK RESPONSE ( Respuestas ) COSO ERM agrega un elemento que es las respuestas a los riesgos. Esto significa que formulados los riesgos primarios, conviene desagregarlos en eventos de riesgos y determinar lo que se acepta y lo que no se acepta y de lo que se acepta, qué se transfiere y lo que se mitiga. De lo que se mitiga, para cada evento de riesgo debe haber uno o más controles, verificando su existencia y funcionamiento. Mi consejo y experiencia es trabajar conjuntamente con COSO y COSO ERM. COSO es más profundo en Control Interno y COSO ERM en administración y control de riesgos. 72

73 73 APETITO DE RIESGO Y TOLERANCIA AL RIESGO COSO ERM es explícito. El apetito de riesgo debe cuantificarse por cada riesgo;ejemplo, la empresa en sus inversiones acepta inversiones en renta variable en acciones nacionales hasta un 5 % de su cartera de inversiones. La tolerancia al riesgo acepta hasta un 6 % Este es un punto sustantivo para un Auditor Interno, revisar que todos los riesgos primarios de la Matriz de Riesgos tengan sus apetitos y tolerancias establecidos y revisar su existencia y cumplimiento, informando, usualmente al Comité de Auditoría. 73

74 74 APETITO DE RIESGO Y TOLERANCIA AL RIESGO COSO ERM es explícito. El apetito de riesgo debe cuantificarse por cada riesgo;ejemplo, la empresa en sus inversiones acepta inversiones en renta variable en acciones nacionales hasta un 5 % de su cartera de inversiones. La tolerancia al riesgo acepta hasta un 6 % Este es un punto sustantivo para un Auditor Interno, revisar que todos los riesgos primarios de la Matriz de Riesgos tengan sus apetitos y tolerancias establecidos y revisar su existencia y cumplimiento, informando, usualmente al Comité de Auditoría. 74

75 75 COSO Y AUDITORÍA INTERNA El desarrollo e implementación es ajeno a Auditoría Interna. No obstante, mi experiencia es que en su desarrollo suele pedirse ayuda a Auditoría Interna. Recuerden la actual definición de Auditoría Interna Auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos,control y gobierno. 75

76 76 Decisión La empresa en su Directorio decide adoptarlo Se comunica a todos los niveles y se designa un jefe de proyecto Refcuerden es una ESTRUCTURA y no partes sueltas Desarrollo e implementación Se compara lo que hay y se levantan los Gaps Se desarrolla el proyecto y se implementa, Auditoría Interna puede ser parte del proyecto Auditoría Se audita su funcionamiento y se levantan diferencias y observaciones Se hace un plan de mejoras con encargados y plazos Se vuelve a revisar el resultado del plan

77 77 Entorno de control Evaluació n de Riesgos Actividades de control Monitoreo Información y comunicaciónes

78 78 II ) EVALUACIÓN DEL CONTROL INTERNO USANDO COSO COSO tiene un documento específico para hacer este trabajo. Se llama «Illustrative Tools for Assessing Effectiviness of a System of Internal Control « Está en inglés y debe comprarse, tiene 146 páginas. Uds en el curso pueden usar el borrador final de COSO que es muy parecido al documento final.El ideal es comprarlos tres documentos de COSO Uds pueden acceder a él en el sitio web de la Asociación de Auditores Externos de Chie AG cuyo link es: Ahí buscan la pestaña de Gobierno Corporativo y luego Sección COSO y luego busquen COSO 2013 Estructura borrador final 2011 En la clase explicaremos su contenido y forma de usarlo. 78

79 79 CONTENIDO Y FORMA DE USARLO Veamos en las diapositivas siguientes que hice un print pantalla La secuencia parece al revés,pero tiene su lógica Primero deben tener una visión general Segundo deben revisar cada uno de los cinco componentes Tercero deben revisar los 17 principios Finalmente debe hacerse un registro de las deficiencias lo que resulta de lo anterior El documento al final incluye ejemplos que se los recomiendo Es mi experiencia tanto profesional como académica que a la mayoría de las personas les resulta complejo porque hay que trabajar interelacionado todo con todo. Recuerden la Torre Eiffel Por años y años los Auditores tanto en su formación académica cono laboral trabajan por partes aisladas y esto no sirve en la evaluación Veremos con ejemplos que explicaremos,pero Uds la única manera de aprender esto es usarlo 79

80 80

81

82

83

84

85

86

87

88

89

90

91

92

93

94

95

96

97 Enseguida hay que relacionar con los objetivos – parte superior del cubo

98 Esta parte no está en el borrador sino en el documento final Ejemplo de Evaluación de riesgo y objetivos- ( sólo principio 7.hay que hacerlo con todas las relaciones) Puntos de Focos Objetivos de operaciones Refleja elecciones de la Administración sobre estructura, la industria y performance Considera tolerancia al riesgo para el logro de los objetivos Incluye metas deseadas Se asignan recursos para metas Objetivos de Reporte Financiero Externo Acorde a principios contables Considera la materialidad en la presentación de EEFF Refleja todas las transacciones y sus aseveraciones Objetivos de reportes externos no financieros Consistentes con leyes y regulaciones y respeto a entes externos Niveles de precisión establecidos por terceras partes Acorde a rangos de seguridad aceptables Objetivos de Reportes Internos Seguros y completos acorde a las necesidades Niveles de precisión predefinidos Con límites establecidos Objetivos de Compliance

99 Entonces- para aprender a nadar no se hace por powerpoint, hay que aprender en la piscina Atrévanse a usar estas herramientas para evaluar el cumplimiento de COSO 2013, es motivador y útil para Uds y vuestra organización y verán que pueden cruzar la piscina sin ahogarse Ánimo y suerte


Descargar ppt "1 CLAIN 2014 TEMA COSO 2013 PRINCIPALES CAMBIOS EN RELACIÓN A COSO 1992 Y SU USO EN LA EVALUACIÓN DEL CONTROL INTERNO Nota previa Esta presentación excede."

Presentaciones similares


Anuncios Google