Marco Integrado de Control Interno COSO. Auditoría Administrativa – H. Ricardo Flórez González - UnisabanetaContenido Visión del Proyecto COSO 2013 Marco.

Presentación del tema: "Marco Integrado de Control Interno COSO. Auditoría Administrativa – H. Ricardo Flórez González - UnisabanetaContenido Visión del Proyecto COSO 2013 Marco."— Transcripción de la presentación:

1 Marco Integrado de Control Interno COSO

2 Auditoría Administrativa – H. Ricardo Flórez González - UnisabanetaContenido Visión del Proyecto COSO 2013 Marco Integrado de Control Interno Documentos Ilustrativos – Herramientas ilustrativas para evaluar la eficacia de un Sistema de Control Interno – –Control Interno sobre la Información Financiera Externa: Un Compendio de Métodos y ejemplos Transición e Impacto Acciones Recomendadas

3 I. Visión General del Proyecto Coso 2013 Cátedra: Evaluación de la Gestión

4 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta ¿Qué es COSO? Formado el 1985 para patrocinar una “Comisión” que examine “reportes financieros fraudulentos” Fue una iniciativa conjunta de 5 organizaciones del sector privado Organismos patrocinadores: – American Accounting Association – American Institute of CPAs – Financial Executives International – Institute of Management Accountants – The Institute of Internal Auditors

5 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta ¿Misión de COSO? “Proveer liderazgo de pensamiento a través de la elaboración de marcos y guías para la gestión del riesgo empresarial, control interno y disuasión del fraude diseñado para mejorar el desempeño y gobernanza organizacional y para reducir el alcance del fraude en las organizaciones.” Principio Fundamental: Una buena gestión de riesgos y control interno son necesarios para el éxito a largo plazo de las organizaciones

6 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Evolución Marco Integrado de Control Interno – COSO 1992 Publicado originalmente en 1992 Recibió gran aceptación después de los escándalos financieros de la década de principio del 2000 Marco de control interno mayormente aceptación para uso en los EE.UU. y a nivel Latinoamericano Desde 1992 el ambiente operacional de las organizaciones ha cambiado mucho Los conceptos del Marco sin caducidad, pero el contexto necesita una reforma

7 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta 1992 2004 2006 2009 2013 COSO Publicaciones de Control Interno

8 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta ¿ Porque actualizar lo que funciona? El Marco se ha convertido en el Marco de control mas ampliamente adoptado a nivel mundial

9 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Cronograma del Proyecto

10 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Participantes del Proyecto COSO Junta Directiva COSO Junta Directiva COSO Advisory Council AICPA AAA FEI IIA IMA Public Accounting Firms Regulatory observers (SEC, GAO, FDIC, PCAOB) Others (IFAC, ISACA, others) COSO Advisory Council AICPA AAA FEI IIA IMA Public Accounting Firms Regulatory observers (SEC, GAO, FDIC, PCAOB) Others (IFAC, ISACA, others) PwC Autor & Líder del Proyecto PwC Autor & Líder del Proyecto Partes Interesadas Más de 700 partes interesadas del Marco respondieron a la encuesta mundial durante el 2011 Más de 200 participantes comentaron públicamente sobre las actualizaciones propuestas del Marco durante el primer trimestre del 2012 Más de 50 participantes comentaron públicamente sobre cambios propuestos en el último trimestre del 2012 Partes Interesadas Más de 700 partes interesadas del Marco respondieron a la encuesta mundial durante el 2011 Más de 200 participantes comentaron públicamente sobre las actualizaciones propuestas del Marco durante el primer trimestre del 2012 Más de 50 participantes comentaron públicamente sobre cambios propuestos en el último trimestre del 2012

11 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Objetivo del Proyecto El objetivo del proyecto es el de "refrescar" el Marco Las mejoras no pretenden alterar los conceptos fundamentales desarrollados en el marco original Sin embargo, puede haber cambios relativos a la aplicación de estos conceptos que podrían afectar cómo responden las empresas Otros objetivos del proyecto son: – Agregar más énfasis en los objetivos de control operativos y de cumplimiento – Identificar explícitamente principios y atributos para proporcionar eficiencia y una base para la evaluación de la eficacia

12 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Resultado del Proyecto #1 Marco Integrado de Control Interno (Edición 2013) Consta de tres volúmenes: 1.Resumen Ejecutivo 2.Marco y Apéndices 3.Herramientas ilustrativas para evaluar la Eficacia de un Sistema de Control Interno Establece: Definición del control interno Categorías de objetivos Componentes y principios del control interno Requisitos para la eficacia

13 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Ilustra enfoques y ejemplos de cómo se aplican los Principios para la preparación de estados financieros Considera cambios en los entornos empresariales y operacionales durante las dos ultimas décadas Proporciona ejemplos de diversas entidades - públicas, privadas, sin fines de lucro y de gobierno Se alinea con el Marco actualizado Resultados del Proyecto #2 Control Interno sobre la Información Financiera Externa: Un Compendio....

14 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Project deliverable #2 – Internal Control over External Financial Reporting: A Compendium.... Illustrates approaches and examples of how principles are applied in preparing financial statements Considers changes in business and operating environments during past two decades Provides examples from a variety of entities – public, private, not-for-profit, and government Aligns with the updated Framework

15 Internal Control–Integrated Framework II. Marco Integrado de Control Interno COSO 2013

16 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta COSO 2013 espera aumentar la facilidad de uso y ampliar la aplicación del Marco Lo que NO está cambiando Definición básica de control interno Tres categorías de objetivos y cinco componentes del control interno Cada uno de los cinco componentes del control interno son necesarios para un control interno efectivo Importante papel que juega el criterio en el diseño, implementación y realización del control interno, y en la evaluación de su eficacia Lo que SI está cambiando Cambios considerados en los entornos empresariales y operativos Se expanden los objetivos Operativos y de Reporte Conceptos fundamentales relacionados a los cinco componentes articulados como “Principios” (antes factores) Se añaden otros ejemplos y enfoques relacionados a operaciones, cumplimiento y reportes no financieros

17 Auditoría Administrativa – H. Ricardo Flórez González - UnisabanetaDefiniciones COSO Definición de Control Interno (sin cambio) El control interno es un proceso, efectuado por la Junta Directiva, Administración Y Demás Personal De Una Entidad, diseñado para proporcionar una seguridad RAZONABLE respecto al logro de objetivos relacionados a operaciones, reporte y cumplimento. Categorías de Objetivos (sin cambio): Operacionales Operacionales: Eficacia y Eficiencia en la operaciones, incluyendo objetivos de desempeño, financieros y operacionales, y la salvaguarda de activos Reporte Reporte: Reporte Interno y Externo, Financiero y no Financiero y puede incluir confianza, puntualidad, transparencia, u otros términos determinados por los organismos reguladores, Normas o políticas internas Cumplimiento Cumplimiento: Cumplimiento de leyes y regulaciones

18 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Componentes de Control Interno (Sin cambio) 19922013

19 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Objetivos de reporte : Sub - Categorías Utilización de Activos / Personal Encuestas de satisfacción del personal Indicadores de riesgos claves Resportes a Junta Directiva EEFF de división Presupuestos /Flujos de caja Cálculos financieros Índice Reporte de Control Interno Reporte de Sostenibilidad Custodia de Activos Cadena de proveedores EEFF Anuales EEFF mensuales Distribución de Utilidades Reporte Financiero Externo Reporte no Financiero Externo Reporte no Financiero Interno Reporte financiero Interno

20 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Cambios en el Entorno... …han provocado actualizaciones al Marco Expectativas de supervision de la gobernanza Globalización de mercados y operaciones Mayor complejidad y cambios en los negocios Exigencias y complejidades de leyes, normas, reglamentos y guías. Expectativas de aptitudes y responsabilidades El uso de, y la dependencia en, tecnologías que evolucionan Expectativas relativas a la prevención y detección del fraude Cubo COSO (Edición 2013) COSO 2013 Considera cambios en los entornos Empresariales y Operativos

21 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta COSO 1992 (Cambio #1)

22 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta 1.Compromiso con la integridad y los valores éticos (4) 2.Supervisión independiente de la Junta Directiva (5) 3.Estructura, líneas de reporte, autoridad y responsabilidad (3) 4.Atrae, retener y mantener personal competente (4) 5.Individuos son responsables por el control interno (5) 16.Evaluaciones continuas y/o separadas completadas (7) 17.Evaluación y comunicación de deficiencias de control interno (4) 13.Información relevante obtenida, generada y usada (5) 14.Información de control interno comunicado internamente (4) 15.Información de control interno comunicado externamente (5) 10.Selecciona y desarrolla actividades de control (6) 11. Selecciona y desarrolla controles generals de TI (4) 12. Controles implementados a través de políticas y procedimientos (6) 6.Especifica objetivos claros y adecuados (5) 7.Identifica y analiza los riesgos (5) 8.Evalua el potencial de riesgos de fraude (4) 9.Identifica y analiza cambios significativos (3 C1: Ambiente de Control C2: Evaluación del Riesgo C3: Actividades de Control C4: Información y Comunicación C5: Actividades de Monitoreo COSO 2013 (Actualización Cambio #1) 21 17 16 14 11 Puntos de Enfoque

23 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Ambiente de Control Principios del Componente AMBIENTE DE CONTROL El ambiente de control es el conjunto de normas, procesos y estructuras que proporcionan la base para llevar a cabo el control interno en la organización. La junta directiva y la alta gerencia establecen el tono (estilo) en la parte superior con respecto a la importancia del control interno incluyendo las normas de conducta esperadas. El ambiente de control comprende la integridad y los valores éticos de la organización; los parámetros que permiten al consejo de administración (Junta Directiva) llevar a cabo sus responsabilidades de supervisión, la estructura organizacional y la asignación de autoridad y responsabilidad, el proceso para la atracción, desarrollar y retener personas competentes, y el rigor en torno medidas de desempeño, incentivos y premios para impulsar la rendición de cuentas. El ambiente de control resultante tiene un impacto penetrante en el sistema global de control interno.

24 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta El ambiente de control está influenciado por una variedad de factores internos y externos, como: La historia de la entidad, Valores, Mercado y competencia Panorama normativo. Se define por las normas, procesos y estructuras que la gente utiliza en todos los niveles para llevar a cabo sus responsabilidades de control interno y toma de decisiones. Genera la disciplina que apoya la evaluación de los riesgos para el logro de los objetivos de la entidad, el desempeño de las actividades de control, el uso de la información y la comunicación y las actividades de seguimiento. Ambiente de Control Principios del Componente AMBIENTE DE CONTROL

25 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Una organización que establece y mantiene una posición fuerte ambiente de control es mas fuerte frente a las presiones internas y externas. Para ello, se debe demostrar un comportamiento coherente con el compromiso de la organización en cuanto a la integridad y los valores éticos, deben existir los procesos y las estructuras de supervisión adecuadas, un diseño organizacional que permita el logro de los objetivos de la entidad, con la asignación apropiada de autoridad y responsabilidad, un alto grado de competencia y un fuerte sentido de la rendición de cuentas para el logro de los objetivos. Ambiente de Control Principios del Componente AMBIENTE DE CONTROL

26 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta La cultura organizacional es compatible con el ambiente de control en la medida en que establece las expectativas de comportamiento, refleja un compromiso con la integridad y los valores éticos, la supervisión, la rendición de cuentas y el desempeño. El establecimiento de una cultura fuerte incluye, por ejemplo, establecer normas éticas y de comportamiento claras y que estas sean debidamente comunicadas y reforzadas en la practica. Como tal, la cultura es parte del control de la organización, abarca elementos de otros componentes del control interno, tales como las políticas y procedimientos, la facilidad de acceso a la información, y la capacidad de respuesta a resultados de las actividades de monitoreo (Planes de mejora). Por lo tanto la cultura está influida por el ambiente de control y otros componentes del control interno, y viceversa. Ambiente de Control Principios del Componente AMBIENTE DE CONTROL

27 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta 1.La organización demuestra un compromiso con la integridad y los valores éticos. 2.La Junta Directiva demuestra independencia de la administración y ejerce supervisión de la evolución y los resultados de los controles internos. 3.La Gestión se establece, con la supervisión de la Junta, estructuras, líneas de reporte, y autoridades y responsabilidades apropiadas en el logro de los objetivos. 4.La organización demuestra el compromiso para atraer, desarrollar y retener personas competentes en alineación con los objetivos. 5.La organización hace responsables a los individuos por sus responsabilidades de control interno en la búsqueda de los objetivos. Ambiente de Control Principios del Componente AMBIENTE DE CONTROL

28 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta 1. La organización demuestra un compromiso con la integridad y los valores éticos. AMBIENTE DE CONTROL Los siguientes puntos de atención pueden ayudar a la administración en la determinación de si este principio está presente y funcionamiento : Establece el tono en desde la cima - El consejo de administración y dirección en todos niveles de la entidad demuestran a través de sus directivas, acciones y comportamientos, la importancia de la integridad y los valores éticos para apoyar el funcionamiento de la sistema de control interno. Establece Normas de Conducta - Las expectativas de la junta directiva y la alta dirección en relación con la integridad y los valores éticos están definidos en las normas de la entidad de conducta y comprendido por todos los niveles de la organización, por los proveedores de servicios externos y socios de negocios. Evalúa adherencia a normas de conducta - Existen procesos para evaluar el comportamiento de los individuos y los equipos contra la entidad, faltando a las normas éticas y de conducta Atiende desviaciones en una manera oportuna - Las desviaciones de la entidad en cuanto al cumplimiento de normas de conducta son identificadas y subsanadas en forma oportuna y de manera coherente.

29 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta 2. La organización demuestra un compromiso con la integridad y los valores éticos. AMBIENTE DE CONTROL Los siguientes puntos de atención pueden ayudar a la administración en la determinación de si este principio está presente y funcionamiento : Establecer responsabilidades - la supervisión del Consejo de Administración identifica y acepta sus responsabilidades de supervisión en cuanto a los requisitos establecidos y expectativas. Exige experiencia- La junta directiva define, mantiene y evalúa periódicamente las habilidades y conocimientos necesarios entre sus miembros para que puedan hacer preguntas de sondeo de la alta dirección y tomar acciones correctivas eficaces. Función independiente - El consejo de administración tiene suficientes miembros que son independientes de la dirección y son objetivos en las evaluaciones y toma de decisiones. Provee de Supervisión del Sistema de Control Interno - El consejo de administración conserva la responsabilidad de supervisar el diseño, la implementación de la administración, y llevar a cabo el control interno : Ambiente de Control, Evaluación de Riesgos, Actividades de Control, Información y Comunicación, Actividades de Monitoreo.

30 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta 3. La Gestión se establece, con la supervisión de la Junta, estructuras, líneas de reporte, y autoridades y responsabilidades apropiadas en el logro de los objetivos. AMBIENTE DE CONTROL Los siguientes puntos de atención pueden ayudar a la administración en la determinación de si este principio está presente y funcionamiento : Considera todas las estructuras de la organización: la Gerencia y el Consejo de Administración: considerar las múltiples estructuras utilizadas (incluyendo unidades operativas, legales, la distribución geográfica y los proveedores de servicios externos ) para apoyar el logro de los objetivos. Establece una adecuada rendición de cuentas: La administración diseña y evalúa las líneas de presentación de informes para cada estructura de la entidad para permitir la ejecución de las autoridades y responsabilidades, de tal forma que se mejore el flujo de la información para la gestión y toma de decisiones de la entidad. Se definen y asignan responsabilidades y limites de autoridad: La Gerencia y el Concejo de Administración han de definir las responsabilidades y el uso procesos y tecnología para asignar responsabilidades y segregar apropiadamente deberes en los distintos niveles de la organización así: Consejo de Administración, Alta Dirección, Administradores, Personal, Outsourcing Proveedores.

31 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta 4. La organización demuestra el compromiso para atraer, desarrollar y retener personas competentes en alineación con los objetivos AMBIENTE DE CONTROL Los siguientes puntos de atención pueden ayudar a la administración en la determinación de si este principio está presente y funcionamiento : Establece políticas y prácticas: las políticas y prácticas reflejan las expectativas de competencia necesaria para apoyar el logro de los objetivos. Evalúa Competencia y atiende las deficiencias: El consejo de administración y la gerencia evalúan la competencia en toda la organización y en proveedores de servicios outsourcing en relación con las políticas y prácticas establecidas, así mismo, actúa, si es necesario para corregir las deficiencias. Atrae, desarrolla y retiene personas: La organización proporciona la tutoría y la formación necesarias para atraer, desarrollar y retener suficiente personal competente y proveedores de servicios outsourcing que apoyen el logro de los objetivos. Planifica y prepara procesos de sucesión: La Junta Directiva y la Administración desarrollan planes de contingencia para las asignaciones importantes de control interno.

32 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta 5. La organización hace responsables a los individuos por sus responsabilidades de control interno en la búsqueda de los objetivos. AMBIENTE DE CONTROL Hace cumplir la responsabilidad a través de la estructura, autoridades y responsabilidades: La Dirección y el Consejo de Administración establece los mecanismos para comunicar y hacer que las personas responsables del desempeño de los controles internos comprendan y ejecuten sus responsabilidades así como la toma de medidas correctivas. Establece medidas de desempeño, incentivos y recompensas: -La Administración y el Consejo Directivo promueven y establecen medidas de desempeño, incentivos y otras recompensas apropiadas para las responsabilidades a todos los niveles de la entidad, lo que refleja las dimensiones pertinentes de los estándares de desempeño y los resultados esperados de conducta, teniendo en cuenta la consecución de ambos objetivos a corto plazo y a largo plazo. Evalúa permanentemente las Medidas de desempeño, incentivos y recompensas: La Administración y el Consejo Directivo alinean los incentivos y recompensas con el cumplimiento de las responsabilidades de control interno en el logro de objetivos. Considera las presiones excesivas: La Administración y el Consejo Directivo evalúan y ajustan las presiones asociadas con el logro de los objetivos ya que asignan responsabilidades, establecen medidas de desempeño y evaluar el desempeño. Evalúa el desempeño y aplica recompensas o acciones disciplinarias : La Administración y el Consejo Directivo al evaluar el desempeño en cuanto a las funciones de control interno, responsabilidades, así como, la observancia de las normas de conducta ofrece recompensas o ejerce acciones disciplinarias según sea apropiado.

33 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Conceptos Clave (ISO 31000:2009) Principios del Componente Evaluación del Riesgo Gestión del Riesgo Apetito por el riesgo Aversión al Riesgo Riesgo Propio Contexto interno Contexto externo Evento Fuente de riesgo Consecuencia Probabilidad Nivel de riesgo Identificación de riesgos Análisis de riesgos Evaluación de riesgos Tratamiento del riesgo Control Riesgo residual Riesgo intrínseco

34 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Evaluación del Riesgo Principios del Componente Evaluación del Riesgo Cada entidad se enfrenta a una variedad de riesgos de fuentes externas e internas. Riesgo se define como la posibilidad de que se produzca un evento y afectar adversamente el logro de los objetivos. La evaluación del riesgo implica una dinámica y proceso iterativo para identificar y evaluar los riesgos para el logro de objetivos. Los riesgos para el logro de estos objetivos de la entidad se consideran en relación con la tolerancia al riesgo establecidos. Por lo tanto, la evaluación del riesgo constituye la base para determinar cómo se gestionarán los riesgos.

35 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Evaluación del Riesgo Principios del Componente Evaluación del Riesgo Una condición previa para la evaluación de riesgos es el establecimiento de objetivos, vinculando a los diferentes niveles de la entidad. La Administración especifica objetivos dentro de las categorías relacionadas con las operaciones, elaboración de informes y cumplimiento con claridad suficiente para ser capaz de identificar y analizar los riesgos a los que están expuestos los objetivos. La administración también considera la idoneidad de los objetivos para la entidad. La evaluación de riesgos también se requiere que la administración considere el impacto de los posibles cambios en el entorno externo y dentro de su propio modelo de negocio que pueden hacer que un control interno poco efectivo.

36 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta 6.La organización especifica objetivos con suficiente claridad para permitir la identificación y evaluación de riesgos relacionados con los objetivos. 7.La organización identifica los riesgos para el logro de sus objetivos a través de toda la organización y analiza los riesgos, como la base para determinar cómo los riesgos deberían ser manejar. 8.La organización considera la posibilidad de fraude en su evaluación de riesgos para el logro de los objetivos. 9.La organización identifica y evalúa los cambios que podrían afectar significativamente el sistema de control interno. Evaluación del Riesgo Principios del Componente Evaluación del Riesgo

37 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta 6.La organización especifica objetivos con suficiente claridad para permitir la identificación y evaluación de riesgos relacionados con los objetivos. Evaluación del Riesgo Una condición previa para la evaluación de riesgos es el establecimiento de objetivos, vinculados a diversos niveles de la entidad. Estos objetivos se alinean y apoyan a la entidad en la búsqueda de la su direccionamiento estratégico. Si bien la creación de estrategias y objetivos no es parte del proceso de control, los objetivos son la base sobre la que los enfoques de evaluación de riesgos sean implementados y las actividades de control se establezcan. Como parte de control interno, la administración especifica los objetivos y los agrupa en categorías amplias en todos los niveles de la entidad, en relación con las operaciones, elaboración de informes y cumplimiento. La agrupación de los objetivos dentro de estas categorías permite identificar los riesgos para el logro de estos.

38 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta 6.La organización especifica objetivos con suficiente claridad para permitir la identificación y evaluación de riesgos relacionados con los objetivos. (Continuación) Evaluación del Riesgo Al examinar la idoneidad de los objetivos, la administración puede considerar cuestiones tales como : La alineación entre los objetivos establecidos y las prioridades estratégicas Articulación de la tolerancia al riesgo de los objetivos La alineación entre los objetivos establecidos y las leyes establecidas, normas, reglamentos, y las normas aplicables a la entidad Articulación de los objetivos utilizando términos que sean específicos, medibles u observables, alcanzables, relevantes y sujetos a plazos en cascada de los objetivos a través de la entidad y subunidades Alineación de objetivos a otras circunstancias que requieren atención específica por la entidad. Aprobación objetivos dentro del proceso de fijación de objetivos Cuando los objetivos dentro de estas categorías no son claros, así como cuando no está claro cómo estos objetivos apoyan el direccionamiento estratégico, o si existe la preocupación de que los objetivos no son adecuados a los hechos, las circunstancias y las leyes, las normas, reglamentos y normas aplicables a la entidad, la administración debe comunicar su preocupación en el proceso de determinación de objetivos.

39 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta 6.La organización especifica objetivos con suficiente claridad para permitir la identificación y evaluación de riesgos relacionados con los objetivos. (Continuación) Evaluación del Riesgo Los siguientes puntos de atención pueden ayudar a la administración en la determinación de si este principio está presente y funcionando en lo que respecta a los objetivos de las operaciones: Reflejan los objetivos opciones : Los objetivos operacionales reflejan opciones acerca de la estructura, consideraciones de la industria, y el rendimiento de la entidad. Se consideran Tolerancias para los riesgos: La Administración considera los niveles aceptables de variación en relación con el logro de los objetivos de las operaciones. Se Incluyen objetivos de desempeño operativo y financiero: La organización refleja el nivel deseado de operaciones y el desempeño financiero de la entidad dentro de los objetivos operacionales.. Se constituye una base para comprometer recursos: La administración utiliza objetivos operacionales que sirven de base para la asignación de los recursos necesarios para alcanzar las operaciones deseadas y el desempeño financiero.

40 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta 7.La organización identifica los riesgos para el logro de sus objetivos a través de toda la organización y analiza los riesgos, como la base para determinar cómo los riesgos deberían ser manejar. Evaluación del Riesgo Se Incluyen, matriz, subsidiaria, división, unidad de operación, y niveles funcionales: La organización identifica y evalúa los riesgos en la entidad, filial, división, el equipo de operación y niveles funcionales pertinentes para el logro de objetivos. Se realizan análisis internos y externos de identificación de los factores de riesgo; la identificación del riesgo considera factores tanto internos como externos y su impacto en el logro de objetivos. Se involucra a niveles adecuados de administración: La organización propicia mecanismos efectivos de evaluación de riesgos que implican los niveles adecuados de gestión. Las estimaciones sobre la importancia de los riesgos identificados: los riesgos identificados se analizan a través de un proceso que incluye la estimación de la importancia potencial de el riesgo. Determina cómo responder a los riesgos: la evaluación del riesgo incluye considerar la forma en que el riesgo debe ser gestionado y si se debe aceptar, evitar, reducir o compartir el riesgo.

41 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta 8.La organización considera la posibilidad de fraude en su evaluación de riesgos para el logro de los objetivos. Evaluación del Riesgo Se consideran varios tipos de fraude-La evaluación del fraude considera informes fraudulentos, posible pérdida de activos y la corrupción resultante de la diversas formas en que pueden ocurrir fraude y mala conducta. Se evalúan Incentivos y presiones: La evaluación del riesgo de fraude considera incentivos y presiones. Se evalúan oportunidades: La evaluación del riesgo de fraude considera oportunidades para la adquisición no autorizada, uso o disposición de los bienes, la alteración de la los registros de información de la entidad, o cometer otros actos inapropiados. Se evalúan Actitudes y racionalizaciones: -La evaluación del riesgo de fraude considera cómo la gerencia y otro personal pueden participar o justificar acciones inapropiadas..

42 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta 9.La organización identifica y evalúa los cambios que podrían afectar significativamente el sistema de control interno. Evaluación del Riesgo Se evalúan los cambios en el medio ambiente: -La identificación de los riesgos externos considera los cambios en el entorno regulatorio, económico y físico en el que opera la entidad. Se evalúan los cambios en el modelo de negocios: La organización considera los impactos potenciales en el sistema de control interno, de las nuevas líneas de negocio, modificadas drásticamente, las composiciones de las líneas de negocio existentes, adquiridos o despojados, las nuevas operaciones comerciales, el rápido crecimiento, el cambio de dependencia de las geografías extranjeras y nuevas tecnologías. Se evalúa los cambios en el liderazgo: La organización considera los cambios en actitudes, valores y filosofías sobre el sistema de control interno.

43 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Principales Elementos de la Evaluación del Riesgo. Evaluación del Riesgo Se enfoca al Componente Evaluación del Riesgo en los objetivos relacionados a las Operaciones, Reporte y Cumplimiento Se clarifica que la evaluación de riesgo incluye procesos para la identificación del riesgo, análisis del riesgo y la respuesta al riesgo Expande la discusión relacionada a la severidad del riesgo mas allá de solo la Probabilidad y el Impacto e incluye “Velocidad” y “Persistencia”

44 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Actividades de Control Principios del Componente Actividades de Control Las actividades de control son las acciones establecidas por medio de políticas y procedimientos que ayudan a asegurar a las directivas acciones para mitigar los riesgos en la consecución de los objetivos. Las actividades de control son realizadas en todos los niveles de la entidad, en las diversas etapas dentro de los negocios procesos, y sobre el entorno tecnológico. Pueden ser de carácter preventivo o detectivo y pueden abarcar una amplia gama de manuales y actividades automatizadas, tales como autorizaciones y aprobaciones, verificaciones, conciliaciones y revisiones de gestión y resultados empresariales. La segregación de funciones es una forma de desarrollo de las actividades de control. Cuando la separación de funciones no es práctica, la administración debe desarrollar actividades de control alternativas

45 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Actividades de Control Principios del Componente Actividades de Control Las actividades de control sirven como mecanismos para la consecución de loss objetivos de la entidad y están estrechamente ligadas a los procesos por los cuales una entidad se esfuerza para alcanzar dichos objetivos. Las actividades de control pueden soportar una o más de las operaciones de la entidad, informar sobre el cumplimiento de los objetivos de cumplimiento. La tecnología afecta la forma como se realizan de las transacciones con los consumidores (válidez y precisión, la protección de los datos de los consumidores, información de la tarjeta de crédito, disponibilidad y la seguridad de su sitio web. Las actividades de control son necesarias para apoyar la presentación de informes de cumplimiento y los resultados de los objetivos de las operaciones.

46 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Actividades de Control Principios del Componente Actividades de Control 10.La organización selecciona y desarrolla actividades de control que contribuyen a la mitigación de los riesgos para cumplir con los objetivos a un nivel aceptable. 11.La organización selecciona y desarrolla actividades generales de control en relación a la tecnología para apoyar el logro de los objetivos. 12.La organización implementa actividades de control a través de políticas que establecen lo que se esta esperando así como también procedimientos que crean políticas adecuadas.

47 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta 10.La organización selecciona y desarrolla actividades de control que contribuyen a la mitigación de los riesgos para cumplir con los objetivos a un nivel aceptable. Actividades de Control Se integra con las actividades de evaluación de riesgos y Controles ayudar a asegurar que las respuestas al riesgo que aborden y reduzcan los riesgos. Considera factores específicos de la entidad: La Administración considera como el medio ambiente, la complejidad de la naturaleza, y el alcance de sus operaciones, así como la características específicas de su organización, afectan la selección y el desarrollo de las actividades de control. Determina los procesos empresariales relevantes: La Administración determina que procesos de negocio son relevantes y requieren actividades de control. Evalúa una mezcla de actividades y Tipos de control: Las actividades de control incluyen una gama y variedad de controles en los que se pueden incluir un diferentes de enfoques para mitigar los riesgos, (Manuales, Automatizados, preventivos, detectivos)

48 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta 10.La organización selecciona y desarrolla actividades de control que contribuyen a la mitigación de los riesgos para cumplir con los objetivos a un nivel aceptable. Actividades de Control Considera en qué nivel actividades serán aplicados: La Administración debe tener en cuenta como se aplicarán las actividades de control en los distintos niveles en la entidad. Aborda Segregación de funciones: La Administración debe segregar aquellas actividades que sean incompatibles, y para aquellos procesos en que dicha segregación no sea práctica, debe desarrollar actividades de control alternativas.

49 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta 10.La organización selecciona y desarrolla actividades de control que contribuyen a la mitigación de los riesgos para cumplir con los objetivos a un nivel aceptable. Actividades de Control Tipos de Controles Autorizaciones y aprobaciones Verificaciones Controles físicos Controles sobre los datos Conciliaciones Controles de seguimiento (Supervisión) Controles Preventivos o detectivos

50 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta 11.La organización selecciona y desarrolla actividades generales de control en relación a la tecnología para apoyar el logro de los objetivos. Actividades de Control Determina la dependencia entre el uso de la tecnología en los negocios Procesos y Controles Generales de Tecnología – La Administración entiende y determina la dependencia y vinculación entre los procesos de negocio, controles generales de las actividades de control automatizado, y tecnología. Establece Control de Infraestructura de Tecnologías de las actividades de gestión pertinente: selecciona y desarrolla actividades de control sobre la infraestructura de la tecnología, están diseñados e implementados para ayudar a garantizar la integridad, la precisión y la disponibilidad de la tecnología de procesamiento.

51 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta 11.La organización selecciona y desarrolla actividades generales de control en relación a la tecnología para apoyar el logro de los objetivos. Actividades de Control Establece un proceso de Gestión de Seguridad a las actividades de control: La Admnistración selecciona y desarrolla actividades de control que se han diseñado e implementado para restringir los derechos de acceso (perfiles) a la tecnología de los usuarios autorizados acorde con sus responsabilidades en el trabajo y para proteger los activos de la entidad de amenazas externas. Establece control de procesos a la adquisición de tecnología, desarrollo y mantenimiento: La Administración selecciona y desarrolla actividades de control sobre la adquisición, desarrollo y mantenimiento de tecnología e infraestructura para lograr los objetivos de gestión.

52 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta 12.La organización implementa actividades de control a través de políticas que establecen lo que se esta esperando así como también procedimientos que crean políticas adecuadas. Actividades de Control Establece políticas y procedimientos para apoyar las Directivas de Gestión: La Administración establece actividades de control a partir de los procesos empresariales y las actividades de los empleados en el día a día a través de políticas definiendo claramente lo que se espera de cada empleado y los procedimientos pertinentes especificando acciones. Establece la responsabilidad de rendición de cuentas para la ejecución de las políticas y Procedimientos de Gestión: se establece la responsabilidad y rendición de cuentas de la gestión sobre cada unidad de negocio o función, con base en los riesgos relevantes.

53 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta 12.La organización implementa actividades de control a través de políticas que establecen lo que se esta esperando, así como también procedimientos que crean políticas adecuadas. Actividades de Control Toma el personal de Acción Responsable acciones correctivas: Se investigan y actúan aquellas cuestiones detectadas como resultado de la ejecución de las actividades de control. Se usa personal competente- se contrata personal con la suficiente competencia para ejecutar las actividades de control con diligencia y atención continua Se evalúa de forma periódica las Políticas y Procedimientos de Gestión críticas: las actividades de control para determinar si siguen siendo pertinentes, y las actualiza cuando sea necesario.

54 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Aspectos a resaltar Actividades de Control Los conceptos fundamentales no han cambiado, pero la referencia en relación a tecnología ha cambiado muchos de los detalles Refleja la evolución en la tecnología (conceptos mas universales que incluyen controles generales de Tecnología) Habla sobre la relación con los controles automáticos

55 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Información y Comunicación Principios del Componente Información y Comunicación La información es necesaria para que la entidad lleve a cabo sus responsabilidades de control interno y para apoyar el logro de sus objetivos. La Gerencia (administración) obtiene, genera y utiliza información relevante y de calidad proveniente de fuentes internas y externas para apoyar el funcionamiento de los otros componentes del sistema de control interno. La comunicación es el proceso continuo e iterativo de proporcionar, compartir y obtener información. La comunicación es el medio por el cual se difunde información en toda la organización, que fluye hacia arriba, abajo, y en toda la entidad. Lo que permite al personal recibir un mensaje claro de la alta dirección sobre que sus responsabilidades de control deben ser tomadas en serio. La comunicación externa es doble : permite la comunicación de información relevante entrante externa y proporciona información a las partes externas en respuesta a requisitos y expectativas.

56 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Información y Comunicación Principios del Componente Información y Comunicación 13.La organización obtiene, genera y/o utiliza información relevante y de calidad para apoyar el funcionamiento de los controles internos. 14. La organización comunica internamente la información, incluyendo los objetivos y responsabilidades del control interno, necesarios para respaldar el funcionamiento de los controles internos. 15.La organización se comunica con partes externas sobre asuntos que afectan al funcionamiento del control interno.

57 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Principios del Componente Información y Comunicación 13.La organización obtiene, genera y/o utiliza información relevante y de calidad para apoyar el funcionamiento de los controles internos. Identifica los requisitos de información - Un proceso han identificado la información necesaria y esperada para apoyar el funcionamiento de los componentes del control interno y el logro de los objetivos de la entidad. Captura interna y externa de fuentes de información: Los sistemas de información permiten capturar información internas y externa. Los sistemas de información procesan los datos relevantes y los transforman en información: se transforman los datos relevantes en información. Mantiene la calidad en todos los sistemas de procesamiento de información: Se Produce información oportuna, actualizada, precisa, completa, restringida, verificable y retenida (conservación). Esta información se revisa para determinar su relevancia en apoyar los componentes de control interno.

58 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Principios del Componente Información y Comunicación 13.La organización obtiene, genera y/o utiliza información relevante y de calidad para apoyar el funcionamiento de los controles internos. Considera Costos y Beneficio: La naturaleza, la cantidad, y la precisión de la información comunicada soporta el logro de objetivos.

59 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Principios del Componente Información y Comunicación 14. La organización comunica internamente la información, incluyendo los objetivos y responsabilidades del control interno, necesarios para respaldar el funcionamiento de los controles internos. Se comunica la información de control interno – Existe una forma de comunicar la información necesaria para que todo el personal entienda y llevar a cabo sus responsabilidades de control interno. Se comunica con el Consejo de Administración – Hay una comunicación entre la dirección y el consejo de administración a fin de que ambos tengan la información necesaria para cumplir sus funciones con respecto a los objetivos de la entidad. Proporciona líneas de comunicación de denuncia– se cuenta con canales de comunicación, tales como líneas directas de denuncia de irregularidades para permitir la comunicación anónima o confidencial. Selecciona Medios relevantes de Comunicación-El medio de Comunicación utilizado considera el tiempo, el público y la naturaleza de la información.

60 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Principios del Componente Información y Comunicación 15. La organización se comunica con partes externas sobre asuntos que afectan al funcionamiento del control interno. Se comunica a Partes externas- Existen procesos para comunicar información relevante y oportuna a las partes externas, incluyendo accionistas, socios, propietarios, reguladores, clientes, analistas financieros y otras partes externas. Permite Comunicaciones entrantes - los canales de comunicación abiertos permiten la entrada de los clientes, consumidores, proveedores, auditores externos, reguladores, analistas financieros y otros, proporcionando la información pertinente sobre la gestión de la empresa. Se comunica con el Consejo de Administración - La información relevante como resultado de las evaluaciones llevadas a cabo por personal externo se comunica a la junta directiva.

61 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Principios del Componente Información y Comunicación 15. La organización se comunica con partes externas sobre asuntos que afectan al funcionamiento del control interno. Proporciona líneas de comunicación por separado - canales independientes de comunicación, tales como líneas directas de denuncia de irregularidades, existen y sirven como mecanismos a prueba de fallos para permitir la comunicación anónima o confidencial cuando los canales normales son inoperantes o ineficaces. Selecciona el medio de comunicación relevante: El medio de Comunicación considera el tiempo, el público y la naturaleza de los requisitos y las expectativas legales, regulatorios y fiduciarias comunicación y.

62 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Evaluaciones continuas, evaluaciones separadas o una combinación de los dos se utilizan para determinar si cada uno de los cinco componentes del control interno, incluidos los controles para que los principios dentro de cada componente, están presentes y en funcionamiento. Las Evaluaciones continuas, integradas a los procesos de negocio en los diferentes niveles de la entidad, proporcionan información oportuna. Las evaluaciones independientes, realizadas periódicamente, varían en alcance y frecuencia en función de la evaluación de riesgos, la eficacia de las evaluaciones continuas, y otras consideraciones de manejo. Los resultados se evalúan con los criterios establecidos por los reguladores, organismos de normalización, o la gerencia y la junta directiva, las deficiencias se comunican a la dirección y al consejo de administración, según corresponda. Actividades de Monitoreo Principios del Componente Actividades de Monitoreo

63 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Actividades de Monitoreo Principios del Componente Actividades de Monitoreo 16. La organización selecciona, desarrolla y lleva a cabo evaluaciones continuas y/o por separado para determinar si los componentes del control interno están presentes y en funcionamiento. 17.La organización evalúa y comunica las deficiencias de control interno de manera oportuna a las partes responsables de tomar acciones correctivas, incluyendo la alta gerencia y el Junta Directiva, según sea el caso.

64 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Principios del Componente Actividades de Monitoreo 16. La organización selecciona, desarrolla y lleva a cabo evaluaciones continuas y/o por separado para determinar si los componentes del control interno están presentes y en funcionamiento Considera una mezcla de las evaluaciones continuas e independientes- La Admnistración incluye un balance de las evaluaciones en curso e independientes. Considera Tasa de cambio - La Administración considera la tasa de cambio en los procesos de negocio comercialen la selección y el desarrollo de evaluaciones continuas y separadas. Establece Línea Base : El diseño y el estado actual de un sistema de control interno se utilizan para establecer una línea de base para las evaluaciones en continuas e independientes. Conocimiento Personal- Los Evaluadores tienen conocimientos suficientes para entender lo que se está evaluando.

65 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Principios del Componente Actividades de Monitoreo 16. La organización selecciona, desarrolla y lleva a cabo evaluaciones continuas y/o por separado para determinar si los componentes del control interno están presentes y en funcionamiento Se integra con procesos empresariales: las evaluaciones continuas se incorporan a los procesos de negocio y se adaptan a condiciones cambiantes. Ajusta Alcance y Frecuencia – La administración varía el alcance y la frecuencia de las evaluaciones independientes en función del riesgo. Evalúa objetivamente – Las evaluaciones indpendientes se realizan periódicamente para proporcionar información objetiva.

66 Auditoría Administrativa – H. Ricardo Flórez González - Unisabaneta Principios del Componente Actividades de Monitoreo 17.La organización evalúa y comunica las deficiencias de control interno de manera oportuna a las partes responsables de tomar acciones correctivas, incluyendo la alta gerencia y el Junta Directiva, según sea el caso. Evalúar Resultados – La Administración y el Consejo de Administración evaluan los resultados de las evaluaciones en curso e independientes. Comunicar Deficiencias - Las deficiencias se comunican a las partes responsables de tomar acciones correctivas y a la alta dirección según el caso. Monitoreo de Acciones correctivas – La Administración está atenta a identificar si las deficiencias son corregidas en forma oportuna.