CONTROL INTERNO (Metodología COSO) Fundamentos de auditoría Prof. Elizabeth García Silva Talca, mayo 11 de 2016
COSO Hoy en día la gestión integral de los riesgos en los negocios, no es una moda, es una verdadera palanca de creación de valor en el mediano y largo plazo para las organizaciones, es una prioridad. En el año 1992 surge COSO, creado en EE.UU., por el Committee of Sponsoring Organizations of the Treadway Commission, como una forma de solucionar la diversidad de conceptos, definiciones e interpretaciones existentes en torno al Control Interno. El grupo de 5 grandes organizaciones fue el encargado de desarrollarlo, con el objetivo de: Acordar definición de CI que cubriera las necesidades de todos los sectores, independiente del rubro; Aportar una estructura de CI que facilitara la evaluación de cualquier SCI y en cualquier organización.
Definición control interno según COSO Es un proceso realizado por la dirección y el resto del personal de una entidad, diseñado con el objetivo de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: Eficacia y eficiencia de las operaciones. Confiabilidad de la información financiera. Cumplimiento de las leyes, reglamentos y normas que sean aplicables. Es una metodología capaz de abordar la gestión de riesgos en las empresas con un enfoque integrador y que supone una verdadera oportunidad de creación de valor para sus stokeholders(1). Esta metodología también recibe el nombre de Enterprise Risk Management Framework(2) (ERM o COSO II). Stokeholders: Los interesados Enterprise Risk Management Framework: Marco de Gestión de Riesgo Empresarial
Stakeholders
Objetivos según COSO II Este modelo divide los objetivos en cuatro categorías: Objetivos Estratégicos: Objetivos establecidos al más alto nivel y relacionados con el establecimiento de la misión y visión de la entidad. Objetivos Operativos: Son aquellos relacionados con la eficacia y eficiencia de las operaciones, incluyendo los objetivos relacionados con el desempeño y la rentabilidad. Objetivos relacionados con la Información suministrada a terceros: Son aquellos objetivos que afectan la efectividad del reporte de la información suministrada (interna y externa) y que va más allá de la información financiera. Objetivos relacionados con el Cumplimiento Regulatorio: Son aquellos objetivos relacionados con el cumplimiento, por parte de la entidad, con todas las leyes y regulaciones que le son aplicables. Los objetivos se establecen con anterioridad a que la Dirección identifique los posibles acontecimientos que pudiesen impedir su consecución, y deben estar alineados con la estrategia de la compañía, dentro del contexto de la visión y misión.
Misión Qué es? Para qué está? Qué necesidades Cubre? Se expresa en Presente Visión Cómo quiere que la vean? Qué quiere llegar a ser? Se expresa en futuro Políticas Medios que se utilizan para alcanzar los objetivos Deben adaptarse a los cambios Objetivos Propósitos de la organización Hacia dónde vamos?
identificación de eventos También se puede encontrar como Identificación de acontecimientos, y dependerán de qué tan incierto es el medio en que se mueve la entidad. Por lo tanto, debe considerar aspectos externos e internos, que afectan la consecución de los objetivos del negocio. Dentro de este modelo, resulta imprescindible la identificación de dichos eventos, los que pueden ser negativos o positivos. Es necesario evaluar desde una doble perspectiva qué efectos pueden tener estos acontecimientos en la consecución de los objetivos impuestos por la Dirección: Económico y probabilidad de ocurrencia. Aspectos Externos Aspectos Internos Eventos Negativos Eventos Positivos Económicos Infraestructura Implican riesgos Oportunidades Políticos Personas Mitigación de riesgos Sociales Procesos
Respuesta al riesgo Una vez que se han identificado los eventos, es necesario establecer qué efectos podrían provocar en la consecución de los objetivos fijados por la Dirección. Para lograrlo, será necesario una adecuada combinación de técnicas cuantitativas y cualitativas. La evaluación del riesgo estará centrada, en el inicio, en el riesgo inherente (riesgo existente antes de establecer mecanismos para su mitigación), y luego, en el riesgo residual (riesgo existente después del establecimiento de medidas de control). La Dirección deberá evaluar la respuesta al riesgo considerando cuatro categorías: evitar, reducir, compartir y aceptar. Una vez establecida la respuesta al riesgo más adecuada para cada situación, se deberá realizar una reevaluación del riesgo residual, realizando actividades de control necesarias para asegurar que la respuesta al riesgo implementada ha sido la adecuada. Estas medidas de control deben ser establecidas en toda la organización, en todos los niveles y en cada una de las funciones.
El modelo COSO II promueve una gestión de riesgos corporativos que tiene implícitas una gran variedad de beneficios, enfocados a lograr los objetivos de las empresas, así como asegurar una información eficaz cumpliendo con las leyes y normas, evitando daños a su reputación, entre los cuales mencionaremos: Conocimiento exhaustivo de los riesgos. Gestión más eficaz del control de los riesgos. Identificación proactiva y aprovechamiento de las oportunidades. Mejor respuesta y más rápida a los cambios en el entorno (mercados y grupos) Ayuda en el cumplimiento de las exigencias regulatorias en materia de gestión y control de riesgos. Más y mejor asignación de recursos para la gestión de riesgos y oportunidades. Toma de decisiones más segura. Mejor previsión de eventuales impactos de los riesgos que afecten a la entidad. Mayor identificación de oportunidades. Establecimiento de una base común para la comprensión y gestión del riesgo en la empresa, y especialmente, en el Consejo de Administración. Aumento de la credibilidad y confianza (mercado y grupos) Mejora la reputación corporativa. Mayor probabilidad de éxito en la implantación de la estrategia.
Dentro de los componentes del COSO, el Ambiente de control es la base fundamental para los otros componentes, dando disciplina y estructura que inciden en: la concientización del personal respecto del riesgo y del control; y en el modo en que las estrategias y los objetivos, las actividades del negocio son estructuradas y los riesgos son identificados, evaluados y gerenciados. Los factores que se contemplan son: Filosofía de la administración de riesgos Apetito de Riesgo Integridad y Valores Éticos Visión del Directorio Compromiso de competencia profesional Estructura organizativa Asignación de autoridad y responsabilidad Políticas y prácticas de recursos humanos
Para investigar: 1.- ¿Quiénes son responsables de la información y comunicación en una organización? 2.- ¿Qué es un sistema de información integrado y para qué sirve? 3.- ¿Qué significa ERP? Nota: Subir un archivo en word, letra arial 12, no más de dos páginas al aula virtual.