En 1992, COSO publicó el Sistema Integrado de Control Interno, un informe que establece una definición común de control interno y proporciona un estándar mediante el cual las organizaciones pueden evaluar y mejorar sus sistemas de control.
El proposito es de mejorar la calidad de la información financiera concentrándose en el manejo corporativo, las normas éticas y el control interno.
Ademas de unificar criterios ante la existencia de una importante variedad de interpretaciones y conceptos sobre el control interno.
3. Alcance
Nuevos paradigmas.
Conceptos metodológicos de COSO.
Bases de MEYCOR COSO AG, una herramienta para la
implantación del control interno basado en COSO.
3
4. Informe COSO
En 1992, COSO publicó el Sistema Integrado de
Control Interno, un informe que establece una
definición común de control interno y
proporciona un estándar mediante el cual las
organizaciones pueden evaluar y mejorar sus
sistemas de control.
4
5. El objetivo de COSO
5
Mejorar la calidad de la información financiera
concentrándose en el manejo corporativo, las normas
éticas y el control interno.
Unificar criterios ante la existencia de una importante
variedad de interpretaciones y conceptos sobre el
control interno.
6. Gestión del Riesgo empresarial (ERM)
6
“El control interno es una parte integral de la
Administración del riesgo empresarial y está
abarcado dentro de este.”
“La Administración del riesgo empresarial es más
amplia que el control interno, expandiendo y
elaborando sobre el control interno para formar
una concepción mas robusta que se enfoca más
sobre el riesgo.”
“El Marco Integrado Control Interno sigue siendo
totalmente válido para las entidades y otros que
ponen énfasis en el control interno.”
7. Basilea II
7
Incluye varios cambios que, si bien serán exigibles a
principios de 2007, marcan un rumbo sobre el que hay que
empezar.
Basilea I se centraba en el análisis de riesgos de crédito y de
mercado. Ahora se aumenta la regulación de fondos propios
exigidos por la normativa y la exposición al riesgo.
Se incluye la necesidad de tener en cuenta un nuevo riesgo:
el riesgo operacional o sea el resultado de la pérdida
derivada de fallos en los procesos internos, en la actuación
de personas o de sistemas inadecuados o erróneos así como
de factores externos.
8. Conformidad con ley SARBANES OXLEY
8
Utilización de COSO, modelo del
Gobierno Corporativo, y de COBIT,
modelo del Gobierno de la Tecnología
de la Información, para lograr
conformidad con la ley SARBANES-
OXLEY
10. Definición de Control Interno
10
Es un proceso que involucra a todos los integrantes de la
organización sin excepción, diseñado para dar un grado
razonable de apoyo en cuanto a la obtención de los
objetivos en las siguientes categorías:
Eficacia y eficiencia de las operaciones (O)
Fiabilidad de la información financiera (F)
Cumplimiento de las leyes y normas que son aplicables(C)
Estas tres categorías se interrelacionan entre sí.
11. ¿Qué se puede obtener a través de COSO?
11
La definición de un marco de referencia aplicable a
cualquier organización.
COSO considera que el control interno debe ser un
proceso integrado con el negocio que ayude a
conseguir los resultados esperados en materia de
rentabilidad y rendimiento.
Trasmitir el concepto de que el esfuerzo involucra a
toda la organización: desde la Alta Dirección hasta
el último empleado.
12. Entorno de Control
12
Es la base de los demás componentes, aportando disciplina y
estructura.
Incluye: la integridad, los valores éticos y la capacidad de los
empleados de la entidad, la filosofía de la Dirección y el estilo de
gestión, la asignación de la autoridad y las responsabilidades, la
organización y el desarrollo de los empleados y la orientación de la
Dirección.
13. Evaluación de los riesgos
Primeramente deben identificarse los objetivos
organizacionales, vinculados y coherentes. Luego deben
identificarse y evaluarse los riesgos relevantes que
pueden afectar el alcanzar esos objetivos.
Los riesgos deben ser administrados, atendiendo a la
existencia de un medio interno y externo cambiante.
13
Germán Lynch Navarro – glynch@idepro.edu.ec
14. Actividades de Control
14
Son las políticas y procedimientos que ayudan a asegurar que se
toman las medidas para limitar los riesgos que pueden afectar que se
alcancen los objetivos organizacionales.
Son ejemplos: autorizaciones, verificaciones, conciliaciones,
segregación de funciones, revisiones de rentabilidad operativa, etc.
15. Información y Comunicación
15
Se debe identificar, ordenar y comunicar en forma
oportuna la información necesaria para que los
empleados puedan cumplir con sus obligaciones.
La información puede ser operativa o financiera, de
origen interno o externo.
Deben existir adecuados canales de comunicación.
El personal debe ser informado de la importancia
de que participe en el esfuerzo de aplicar el control
interno.
16. Supervisión
16
Debe existir un proceso que compruebe que el
sistema de control interno se mantiene en
funcionamiento a través del tiempo.
La misma tiene tareas permanentes y revisiones
periódicas. Estas últimas dependerán en cuanto a
su frecuencia de la evaluación de la importancia de
los riesgos en juego.
17. Interrelación
17
La organización debe lograr
cumplir con esas tres
categorías de objetivos (O,
F,C) ya vistas.
Los 5 componentes
descriptos son acciones
necesarias para lograr esos
objetivos.
18. Limitaciones a atender
18
La confianza en el sistema de control interno no
debe dejar de considerar que:
Pueden existir fallas resultantes de errores de juicio.
La colusión de dos o más personas o la acción de la
Dirección pueden burlar el sistema.
El sistema a diseñar debe explicitar las limitaciones de
recursos (relación costo beneficio).
19. Funciones y responsabilidades
19
La Alta Gerencia es la responsable última del
sistema de control. La integridad y la ética deben
ser elementos que aporten ejemplo a los demás
empleados. Debe dirigir a los gerentes que a su vez
son los responsables en sus respectivas áreas.
El Consejo de Administración fija las pautas y la
visión global del negocio. El Consejo debe tener un
papel activo en el conocimiento de las acciones que
se ejecutan. Debe asegurarse de contar con vías de
comunicación efectivas con la Alta Dirección y las
áreas financieras, legales y de auditoría interna.
20. 20
La Auditoría Interna debe desempeñar un papel de
supervisión sobre la eficiencia y permanencia de
los sistemas de control. Para ello debe contar con
una ubicación jerárquica adecuada.
Los empleados en general tienen la responsabilidad
de participar en el esfuerzo de aplicar el control
interno, cuyos detalles deben ser incorporados a la
descripción de los puestos de trabajo. Ellos deben
comunicar al nivel superior las desviaciones que
detecten a los códigos de conducta, a las políticas
establecidas o la legalidad de las acciones
realizadas.
21. MEYCOR COSO AG
21
El Informe COSO define una estructura, un marco
de referencia.
Dentro del mismo se debe analizar cómo
interactúan los componentes en la realidad peculiar
de cada organización.
Debe contarse con una herramienta que asista en el
proceso de evaluación periódica y proactiva del
sistema de control interno.
La evaluación puede querer centrarse en un solo
objetivo (por ejemplo la información financiera).
Puede también querer referirse a una unidad de la
organización o a una actividad en particular.
23. Evaluación de los riesgos
23
Determinación de los Objetivos.
Objetivos globales (tales como la Misión).
Objetivos específicos de las diversas
actividades (por ej. Producción), estos sub-
objetivos medibles a través de metas deben
ser coherentes.
24. Los objetivos deben ser:
24
Definidos de modo de identificar los criterios para
medir el rendimiento y establecer factores críticos
de éxito (que pueden ser a nivel de actividad o
unidad operacional).
Coherentes y compatibles.
Como ejemplo se puede considerar: efectuar pagos
sólo para compras autorizadas, que los sistemas
informáticos se encuentren disponibles según los
requerimientos del negocio, etc.
25. Los riesgos
25
La identificación y el análisis de riesgos es un
proceso interactivo que involucra al personal
responsable de cumplir con los objetivos fijados ya
que es el más idóneo.
Los riesgos pueden ser el resultado del efecto de
factores internos y externos, por ejemplo: las
averías de los sistemas informáticos, los cambios en
la responsabilidad de los directivos, etc.
Una vez identificados debe estimarse su
importancia, evaluar la probabilidad de que
impacte a la organización y qué medidas deben
tomarse para atenuar sus efectos.
26. Actividades de Control
26
Son políticas, procedimientos y acciones que
afectan a una o más áreas de la organización.
Algunos ejemplos serían:
Análisis efectuados por la Dirección.
Gestión directa de los responsables.
Proceso de información.
Controles físicos.
Indicadores de rendimiento y segregación de
funciones.
27. Relacionamiento de los elementos
27
Las actividades de control, al enfrentar
adecuadamente a los riesgos, ayudan a alcanzar los
objetivos de los Departamentos y actividades,
logrando así alcanzar los objetivos del negocio.
28. Información y comunicación
Debe asegurase que se obtenga información
de calidad y no meros datos.
La información debe ser protegida ya que se
trata de un activo valioso.
Las vías de comunicación interna deben
asegurar que el personal conozca los
elementos suficientes para cumplir con su
tarea.
29. Supervisión
Las actividades de supervisión continua y
evaluaciones puntuales.
Las deficiencias detectadas deben ser
oportunamente comunicadas.
31. Ingreso al sistema
El Administrador (ADMIN) deberá conocer la
herramienta y sus fundamentos teóricos, y a la hora
de hacer los relevamientos podrá distribuir el acceso
a los cuestionarios según el perfil de los revisores.
El sistema cuenta con un control de acceso al
mismo compuesto por un login y una
contraseña.
32. Menú Principal
El Menú Principal cuenta con una barra
de herramientas que permite un acceso
más directo a las opciones más usadas.
33. Grupos de trabajo y revisores
Se definen grupos de trabajo y los revisores
que participarán en la revisión.
34. Guía metodológica
Existe una guía metodológica que facilita la
aplicación de la metodología COSO. Esta
guía contiene los pasos a seguir durante la
evaluación, documentación, y accesos
directos a los formularios donde la
información debe ser ingresada.
36. Formularios de Cuestionarios Generales
Los cuestionarios generales pueden ser
generados en formato RTF (con ingreso
manual de respuestas) o en formato HTML
(con ingreso automático de respuestas).
37. Cargar respuestas desde Formularios HTML
Este formulario le permite cargar las
respuestas de los cuestionarios
generales desde los formularios HTML.
38. Sincronización de Evaluaciones Off-line
Este formulario le permite sincronizar las
respuestas de los cuestionarios generales que
los revisores hayan ingresado en bases off-line.
39. Informe de Cuestionarios Generales
Permite evaluar los resultados de la revisión de
los 5 componentes tanto a nivel numérico como
gráfico, con diferente nivel de desagregación.
40. Comparación de Cuestionarios Generales
Permite comparar los resultados de la revisión entre
sí y contra el promedio, tanto a nivel numérico
como gráfico, con diferente nivel de desagregación.
41. Comparación de diferentes períodos
Permite comparar los resultados obtenidos en
diferentes períodos tanto a nivel numérico como
gráfico, con diferente nivel de desagregación.
42. Codificación de la estructura organizacional
Antes de comenzar la revisión, se deben
determinan los niveles que componen la
estructura de la organización.
47. Asignación de procesos
Se asignan los procesos y sub-procesos que
serán revisados por cada grupo de trabajo.
48. Ponderación de procesos
Los procesos y sub-procesos pueden ser ponderados
y rankeados a efectos de determinar las actividades
que son críticas para el negocio y que por tanto
requieren mayor atención.
49. Ingreso de actividades de los procesos
Procesos y sub-procesos
asignados a unidades.
Jerarquía de tareas que
se realizan en el proceso.
50. Riesgos y Actividades de Control
Se definen los objetivos de control, los
riesgos y las actividades de control relativas
a los procesos y sub-procesos a ser evaluados
Es posible marcar las
actividades de control que
luego serán auditadas
51. Selección de actividades de control a auditar
Mediante la utilización de filtros es posible
seleccionar dentro del universo de las actividades
de control, aquellas que requieran ser auditadas
52. Creación de proyectos de auditoría
Los usuarios supervisores pueden crear
proyectos de auditoría. Para los proyectos se
definen los auditores asignados y los objetivos
de procesos que se van a auditar en el proyecto.
53. Asignación de objetivos y riesgos
El supervisor que creó un proyecto debe definir los
objetivos que auditará cada auditor.
Se definen también los riesgos de cada objetivo que
serán alcanzados por el proyecto de auditoría.
54. Auditoría de actividades de control
Registro de
hallazgos.
Vinculación
de archivos.
Registro de tareas
realizadas.
Objetivos y riesgos a auditar
según la asignación del auditor.
55. Informe final de auditoría
Informe final de auditoría
generado automáticamente.
Selección de observaciones que
se incluyen en el informe final.
56. Cálculo de exposición
MATRIZ DE RIESGOS Y CONTROL
CONTROLES
BUENO BR MALO
RIESGO 4 2,5 1
16 4,00 6,40 16,00
10 2,50 4,00 10,00
6,25 1,56 2,50 6,25
4 1,00 1,60 4,00
2,5 0,63 1,00 2,50
1 0,25 0,40 1,00
Impacto x Probabilidad de Riesgo
Eval. Act. de Control
57. Informe de Riesgos y Actividades de Control
Se evalúa el cumplimiento de los objetivos
de control, a efectos de determinar si ante
los riesgos identificados, los mismos se
encuentran adecuadamente cubiertos.
Es posible ver la ponderación
de riesgos y el resultado de la
evaluación de las actividades
de control existentes.
58. Informe de Riesgos y Actividades de Control
Permite evaluar los resultados de la revisión de
los objetivos tanto a nivel numérico como gráfico.
59. Resumen de Riesgos y Actividades de Control
Permite visualizar en forma resumida los
resultados de la revisión de los objetivos y
los factores de riesgos de los procesos
60. Mapas de riesgos y gráficas de exposición
Mapa de riesgos
según la
probabilidad e
impacto
Gráfica de exposición
considerando la
evaluación de los
controles
61. Tratamiento de riesgos
Se define el trata-
miento que se da a los
riesgos.
Según el tratamiento
realizado se simula el
cambio en la expo-
sición al riesgo.
62. Definición de proyectos de mejora
Los nuevos controles que se incluyen en el tratamiento
se agrupan en proyectos de implantación.
Controles incluidos en
el proyecto.
Los proyectos se
priorizan según el
impacto y la relación
costo-riesgo.
63. Comparación de diferentes períodos
Permite comparar las evaluaciones de los
procesos obtenidas en diferentes períodos
tanto a nivel numérico como gráfico.
64. Meycor COSO Web
Publicación, Distribución y Revisión de Documentos
El módulo web de Meycor COSO AG, facilita la
publicación y distribución de documentos de
manera sencilla, a la vez que permite emitir
un juicio acerca de los mismos.
65. Meycor COSO Web
Respuesta a Cuestionarios Generales
Meycor COSO Web permite contestar los
cuestionarios de autoevaluación de forma
remota
66. Prestaciones de MEYCOR COSO AG
para personalizar y mejorar el
detalle y la información de la
revisión
67. Contiene una guía metodológica que facilita la aplicación
de la metodología COSO y lo asiste durante todo el
procesos de revisión.
Permite codificar los niveles jerárquicos de la organización
para así determinar el organigrama de acuerdo a la
nomenclatura de la misma.
Permite identificar los procesos y sub-procesos, efectuar
un ranking de los mismos, así como asociarlos a las áreas
correspondientes.
Permite la creación de grupos de trabajo y de revisores,
que facilitan la distribución de las tareas.
68. Permite asignar a los revisores privilegios de
Administrador.
Contiene los objetivos, riesgos y actividades de
control genéricos del Informe COSO.
Permite manejar varias versiones de los cuestionarios
generales.
Permite marcar las actividades de control que luego
serán objeto de auditoría.
Permite el uso de ponderadores a nivel de procesos,
objetivos y riesgos.
69. Permite evaluar los cuestionarios generales a cualquier nivel
jerárquico.
Permite exportar todos los reportes a formato RTF, HTML y
EXCEL.
Permite exportar todas las gráficas a formato BMP.
Genera formularios de evaluación de cuestionarios generales
en HTML.
Permite la sincronización de cuestionarios generales y
evaluación de riesgos y actividades de control de bases off-
line.
70. Permite acceso multi-usuario a la evaluación de
riesgos y actividades de control.
Permite efectuar un ranking de los procesos.
Permite comparar los resultados de diferentes
períodos.
Incluye ayuda en línea.