Embed Size (px)
Citation preview
COSO – MARCO INTEGRADO
CONTROL INTERNO
1
MARCO REFERENCIAL
Primero debemosPreguntarnos
Que entiende por COSO?
2
Que significa COSO?
CommitteeOfSponsoring Organisations of the Treadway Commission.
COMITÉ DE PATROCINIO DE LAS ORGANIZACIONES
COMITÉ DE ORGANIZACIONES PATROCINADORAS DE LA COMISION TREADWAY 3
4
AntecedentesAntecedentes
4La Administración de Riesgos como un Proceso de Toma de Decisiones La Administración de Riesgos como un Proceso de Toma de Decisiones
1A. DEFINICIÓN C.I.Instituto Americano de Contadores Públicos Certificados
AICPA - 1949
MARCO REFERENCIAL
CONTROL INTERNO
5
Principios del Control Interno
BASICOS:1. Separación de funciones de operación, custodia y registro.2. Dualidad o plurilateralidad de personas en cada operación, custodia y registro.3. Ninguna persona debe tener acceso a los registros contables que controlan su actividad.4. El trabajo de los empleados son de complemento y no de revisión,5. La función de registro de operaciones será exclusiva del área contable.
6
Control Contable
Los controles contables comprenden el plan de organización y todos los métodos y procedimientos cuya misión es salvaguardar los activos y la fiabilidad de los registros financieros; y deben diseñarse de tal manera que brinden la seguridad razonable.
7
Control Administrativo
Los controles administrativos se relacionan con normas y procedimientos relativos a la eficiencia operativa y a la adhesión a las políticas prescritas por la administración (5).
8
MARCO REFERENCIAL
FRAMEWORKCOSO – MARCO INTEGRADO
COMPONENTESESTRUCTURA CONCEPTUAL
9
Máxima autoridad de cada empresa, Juntas o Consejos
Auditores Internos
CEO, Directores Ejecutivos y/o Gerentes Generales.
Cuerpo gerencial
Personal de mandos medios
Técnicos
Administrativos, operativos y de servicios.
A QUIENES SIRVE EL MARCO INTEGRADO - COSO:
10
FRAMEWORK COSO – marco integrado
11
• Control interno es un proceso, efectuado (ejecutado) por el consejo directivo, CEO, gerencias y el resto de personal de una empresa, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías :
1. Efectividad, eficiencia (y economía) en las operaciones.
2. Suficiencia y confiabilidad de la información financiera.
3. Cumplimiento de las leyes y regulaciones aplicables.
El control interno es un proceso integral (dinámico que se adapta constantemente a los cambios que enfrenta la organización) efectuado por la gerencia y el personal, (de todo nivel tienen que estar involucrados en este proceso) y está diseñado para enfrentarse a los riesgos y para dar una seguridad razonable de que en la consecución de la misión de la empresa, se alcanzarán los siguientes objetivos gerenciales:
•Ejecución ordenada, ética, económica, eficiente y efectiva de las Operaciones.
•Cumplimiento de las obligaciones de respondabilidad.•Cumplimiento de las leyes y regulaciones aplicables.•Salvaguarda de los recursos para evitar pérdidas, mal uso y
daño.
2004 – ERMDefinición de Control Interno ante los cambios.
12
OBJETIVO DEL COSO
Establecer una definición de control interno que sea común para todas las organizaciones y que basados en la interpretación de este concepto, ayude a la organización a evaluar de mejor manera sus sistemas de control y a tomar decisiones de cómo mejorar estos sistemas.
Establecer una definición de control interno que sea común para todas las organizaciones y que basados en la interpretación de este concepto, ayude a la organización a evaluar de mejor manera sus sistemas de control y a tomar decisiones de cómo mejorar estos sistemas.
13
FRAMEWORK PWC
14
DEFINICIÓN DE C.I. – ES UN PROCESO
• El proceso de los negocios, que es conducido con o a lo largo de las unidades o funciones de la organización, es administrado mediante el proceso básico gerencial de planeación, organización, dirección y control. El control interno es parte de ese proceso y está integrado al mismo.
15
Comparación entre el Enfoque Tradicional y Comparación entre el Enfoque Tradicional y COSOCOSO
Concepto s/ Enfoque Tradic ional s/ Enfoque COSO
Sistema de Control Interno
visto como
"conjunto coordinado de
medidas""proceso"
Involucrados no se plantea en forma
explíc ita todos los miembros de la organizac ión
Relac ión del Control Interno
con el logro de los objetivos
de la empresa
un control interno eficaz
"asegura" a la
organizac ión el logro de
sus objetivos
un sistema de control interno eficaz
provee " razonable seguridad" en
cuanto al logro de los objetivos
Objetivos definidos
- P lan de Organizac ión - Ambiente de Control
- S istema de autorizac ión - Evaluac ión de Riesgos
- P racticas Sanas - Actividades de Control
- Calidad del Personal - Informac ión y Comunicac ión
- Supervisión
los conceptos involucrados son similares si bien se diferenc ian los
términos utilizados en uno y otro caso, incorporámdose como aporte
del Enfoque COSO el "cumplimientos con las leyes y regulac iones
aplicables"
Elementos o componentes
del Control interno
16
17
COMPONENTES ENFOQUE BASADO EN LOS PROCESOS DE AAI Y DE TECNOLOGIA RECORDEMOSLos planes de auditoria deben
Ambiente de Control Evaluación del ambiente interno de control. estar basados: riesgos/procesoscontroles y objetivos estratégicos
Evaluación de Riesgos
Identificación de objetivos estratégicos, riesgos inherentes, calificacióndel nivel de riesgos con base a auditorias recientes y entrevistas apersonal claves. Por lo tanto:
Evaluación del diseño de los procesos elaborados por los dueños de loscontroles.
Responsables de la evaluación de laeficacia de los sistemas de control
Identificación de controles claves.
Actividades de ControlEvaluación de controles generales y de aplicación de tecnología de lainformación. (No se trata de control de actividades)Pruebas para comprobar la efectividad de los controles claves,Definición de planes de acción y remediación.
Ayudan a mantener la eficacia a lo largodel tiempo.
Información y Evaluación de los mecanismos para información y comunicación depolíticas, procedimientos y controles.
ComunicaciónComunicación de resultados de auditoria y planes de acción sugeridos.
Monitoreo Evaluación de los procesos de seguimiento a planes de acción.
(o supervisión)Revisión de los procesos de auto evaluación en las diferentes areas. Desempeñan un papel importante de
supervisión.
EJEMPLO DE ADAPTACION DEL TRABAJO DE AI AL MARCO DE REFERENCIAAPLICACION DE LOS MARCOS DE REFERENCIA A LA FUNCION DE AUDITORIA INTERNA
Macroprocesos Modelo COSO
ESTRATEGICO Gerencia de una entidad
CORPORATIVO
Uso de la Tecnología
Provisión Servicios
Integridad Información
Administración Financiera
OPERATIVO
Procesos de Comrpas
Ingreso de Insumos
Salida de servicio (prod)
Operaciones
RECURSOS RRHH/Materiales/ Tecnológico
- Recursos
-Obligaciones.
-Manejo Tesorería
-Fondos/Inversiones
-Gastos Gestión
-Proyectos
- Planilla
-Impuestos
Procesos
18
SEGURIDAD - RAZONABLE
EL CONTROL INTERNO, NO TANTO COMO ES DISEÑADO Y OPERADO, PUEDE PROPORCIONAR SOLAMENTE SEGURIDAD RAZONABLE A LA ADMINISTRACIÓN Y AL CONSEJO DE DIRECTORES CON MIRAS A LA CONSECUCIÓN DE LOS OBJETIVOS DE UNA ENTIDAD.
LA PROBABILIDAD DE CONSEGUIRLOS ESTÁ AFECTADA POR LAS LIMITACIONES INHERENTES A TODOS LOS SISTEMAS DE CONTROL INTERNO:
ELLAS INCLUYEN LA REALIDAD DE QUE LOS JUICIOS HUMANOS EN LA TOMA DE DECISIONES PUEDEN SER DEFECTUOSOS.
LAS PERSONAS RESPONSABLES DEL ESTABLECIMIENTO DE LOS CONTROLES NECESITAN CONSIDERAR SUS COSTOS BENEFICIOS RELATIVOS.
LA DESINTEGRACIÓN PUEDE OCURRIR ACAUSA DE FALLAS HUMANAS TALES COMO ERRORES SIMPLES O EQUIVOCACIONES.
LOS CONTROLES PUEDEN CIRCUNSCRIBIRSE A LA COLUSIÓN DE DOS O MÁS PERSONAS.
LA ADMÓN. TIENE LA CAPACIDAD DE DESBORDAR EL SISTEMA DE CONTROL INTERNO.
19
Componentes del Control Interno
ESTRUCTURACONCEPTUAL
CONTROLINTERNO
EL CONTROL INTERNO ESTA COMPUESTO DE UN MARCO CONCEPTUAL Y POR CINCO COMPONENTES INTERRELACIONADOS, DERIVADOS DE CÓMO LA ADMINISTRACIÓN DIRIGE LA INSTITUCIÓN Y
ESTAN INTEGRADOS DENTRO DEL PROCESO DE ADMINISTRACIÓN 20
©2003 by Deloitte & Touche LLP. All rights reserved. 21
22
Componentes del Control Interno
ESTRUCTURACONCEPTUAL
CONTROLINTERNO
EL CONTROL INTERNO ESTA COMPUESTO DE UN MARCO CONCEPTUAL Y POR CINCO COMPONENTES INTERRELACIONADOS, DERIVADOS DE CÓMO LA ADMINISTRACIÓN DIRIGE LA INSTITUCIÓN Y
ESTAN INTEGRADOS DENTRO DEL PROCESO DE ADMINISTRACIÓN 23
24
25
AMBIENTE DE CONTROL La esencia de cualquier institución es su gente.
Sus atributos individuales, incluyendo la integridad, los valores éticos.
La competencia y el ambiente en que ella opera, la filosofía de los administradores y el estilo de operación.
El A/C proporciona una atmósfera en la cual la gente conduce sus actividades y cumple con sus responsabilidades de control, la manera como la administración asigna autoridad y responsabilidad, y como organiza y desarrolla a su gente la atención y dirección que le presta el consejo de directores; es por ello que dicho ambiente es la base de: (1) control, (2) de los demás componentes de control a proveer disciplina y estructura para el control.
26
AMBIENTEDE
CONTROL
INFLUENCIAPROFUNDA EN LA MANERA COMO SEESTRUCTURAN LASACTIVIDADES DE
LA ORGANIZACIÓN.
INFLUENCIAPROFUNDA EN LA MANERA COMO SEESTABLECEN LOS
OBJETIVOS.
INFLUENCIAPROFUNDA EN LA MANERA COMO SE
VALORAN LOSRIESGOS.
INFLUENCIAPROFUNDA EN LA CONCIENCIA DE
CONTROL DE SU GENTE
27
AMBIENTEDE
CONTROL
INFLUENCIADO POR LA HISTORIA.
INFLUENCIADO PORLA CULTURA DE LAORGANIZACIÓN.
INFLUENCIADOPOR UNA MALA
ADMINISTRACIÓN. INFLUENCIADO POR
EJECUTIVOS DEDOBLE MORAL.
28
AMBIENTE DE CONTROL
ACTITUD DELA ALTA GERENCIA
Comprometida con el controly su ejercicio
en la organización.
Prudente y equilibradaal asumir riesgos y
exigir resultados.
Ausente del conflicto deintereses.
VALORES YCOMPORTAMIENTOS
Practicas de RRHH:Integridad, com-
portamiento ético, y competencia.
Se exhorta a los dos primeros
Recursos humanosy clima
Organizacional
Crecimiento ydesarrollo del
recurso humano.
Personal capacitado, motivado y
comprometido.
Cultura y conciencia del
Control.
Políticas y procedimientos de control bien
definidos.
Evaluación de desempeño
incluye aspectos de control.
Estructura Organizacional
Responde a naturaleza, objetivos y
Necesidadesdel negocio.
Delegación de autoridad y
asignación deresponsabilidad
apropiada.
29
AMBIENTE DE CONTROL
ACTITUD DELA ALTA GERENCIA
La gente imita a sus lideres,
Objetivos comoSe logran,
Estándares deConducta/Ley,
Efectividad de los C.I. no
puede elevarsepor encima de la Integridad y
de los valores éticos.
VALORES YCOMPORTAMIENTOS
Liderazgo basadoen principios y
Valores.
Se exhorta a laintegridad y al
comportamiento Ético, ya que
este paga.
Recursos humanosy clima
Organizacional
Efectividad delControl depende de
La integridad y Valores del personal,
Clima ético Corporativo fuerte,
Especificar los Niveles de compe-tencia:=requisitos
Cultura y conciencia del
Control.
Factores que induzcana conductas
Adversas a los Valores éticos:
Débiles,Falta,Alta
Descentralización,UAI débil,
Admón.. asume y Enfrenta los Riesgos.
Confiar en Ind. Desempeño/
NIIF, otros.
Estructura Organizacional:AMB
Tono de lo alto = AltaInfluencia de la JD/AI,
Interacción entre JD – CAI – AI
JD = Experiencia y Apropiados = CI
Efectivo.
Posición y acceso De la UAI,
30
31
32
RIESGO DE MERCADO: Tasa de EVALUACION DE RIESGOS UVR, Precio de las acciones,
OBJETIVOSOBJETIVOS MANEJO CAMBIOSMANEJO CAMBIOSPROCESOPROCESOANALISISANALISISVALORACION VALORACION
Nivel de la Entidad• Los riesgos del nivel global de la organización pueden provenir de factores externos o internos. Ejemplos incluyen:
•FACTORES EXTERNOS•- Los desarrollos tecnológicos pueden afectar la naturaleza y oportunidad de la investigación y desarrollo, o dirigir hacia la procura de cambios.
•- Las necesidades o expectativas cambiantes de los usuarios pueden afectar el desarrollo del producto o servicio, el proceso de producción, el servicio al cliente, los precios o las garantías.
•- La competencia puede alterar las actividades de servicio.
•- La legislación y regulación nuevas pueden forzar cambios en las políticas y en las estrategias de operación.
•- Las catástrofes naturales pueden orientar los cambios en las operaciones o en los sistemas de información y hacer urgente la necesidad de planes de contingencia.
•- Los cambios económicos pueden tener un impacto sobre las decisiones relacionadas con financiación, desembolsos de capital y expansión.
• Los riesgos del nivel global de la organización pueden provenir de factores externos o internos. Ejemplos incluyen:
•FACTORES EXTERNOS•- Los desarrollos tecnológicos pueden afectar la naturaleza y oportunidad de la investigación y desarrollo, o dirigir hacia la procura de cambios.
•- Las necesidades o expectativas cambiantes de los usuarios pueden afectar el desarrollo del producto o servicio, el proceso de producción, el servicio al cliente, los precios o las garantías.
•- La competencia puede alterar las actividades de servicio.
•- La legislación y regulación nuevas pueden forzar cambios en las políticas y en las estrategias de operación.
•- Las catástrofes naturales pueden orientar los cambios en las operaciones o en los sistemas de información y hacer urgente la necesidad de planes de contingencia.
•- Los cambios económicos pueden tener un impacto sobre las decisiones relacionadas con financiación, desembolsos de capital y expansión.
33
Nivel de la Entidad• Los riesgos del nivel global de la organización pueden provenir de factores externos o internos. Ejemplos incluyen:
•FACTORES INTERNOS
•- Una ruptura en el procesamiento de los sistemas de información puede afectar adversamente las operaciones de la organización.
•- La calidad del personal vinculado y los métodos de entrenamiento y motivación pueden influenciar el nivel de conciencia de control en la entidad.
•- Un cambio en las responsabilidades de la administración puede afectar la manera como se efectúan ciertos controles.
•- La naturaleza de las actividades de la organización, y el acceso de los empleados a los activos, pueden contribuir a una equivocada apropiación de los recursos.
•- Un consejo o comité de auditoria que no actúa o que no es efectivo puede proporcionar oportunidades para indiscreciones.
• Los riesgos del nivel global de la organización pueden provenir de factores externos o internos. Ejemplos incluyen:
•FACTORES INTERNOS
•- Una ruptura en el procesamiento de los sistemas de información puede afectar adversamente las operaciones de la organización.
•- La calidad del personal vinculado y los métodos de entrenamiento y motivación pueden influenciar el nivel de conciencia de control en la entidad.
•- Un cambio en las responsabilidades de la administración puede afectar la manera como se efectúan ciertos controles.
•- La naturaleza de las actividades de la organización, y el acceso de los empleados a los activos, pueden contribuir a una equivocada apropiación de los recursos.
•- Un consejo o comité de auditoria que no actúa o que no es efectivo puede proporcionar oportunidades para indiscreciones.
34
EL PROCESO DE LA ADMINISTRACIÓN DEL EL PROCESO DE LA ADMINISTRACIÓN DEL RIESGORIESGO
Liderazgo y Estilode Operación
Comunicación e Información
Alineado con losobjetivos
Organización
Identificar Riesgos
Respuesta a losRiesgos
PROCESO DE LA ADMINISTRACIÓN DEL RIESGO
1
4
3
2
Mo
nito
reo
yR
evi
sió
nd
e R
iesg
os E
valu
ació
nd
e R
iesg
os
35
OBJETIVO FACTORES DE RIESGOOBJETIVO DE CONTROLINTERNO
PROBABILIDAD DEOCURRENCIA DELRIESGO
ACTIVIDADES DECONTROL
EVALUACIONES YCONCLUSIONES
INGRESOS
QUE EXISTAN INGRESOSREALIZADAS DE MANERATARDIA
EFICIENCIA EN EL TIEMPODE PERCEPCION YREMESA DE LOS FONDOS BAJA
SE CLASIFICANCONFORME A LOSINGRESOS PORTRANSFERENCIA DEFONDOS Y PORRECURSOS PROPIOS
EL CONTROL ESADECUADO
INGRESOS DE FONDOS
EL TIEMPO ENTRE ELINGRESO Y LOSREMESAS DE FONDOSES TARDIO
36
LLaa
IIddEEnnttiiffiiccaaccIIÓÓNN
deldel Riesgo Riesgo
SI
Evaluar Riesgos NO
Com
unic
ar y C
onsultar
Monitore
ar y revisar
Establecer el contexto - Contexto de la estrategia - El contexto organizacional - Contexto de la administración del riesgo - Desarrollo del criterio - Decidir la estructura
Identificar Riesgos - ¿Qué puede suceder? - ¿Cómo puede suceder?
Determinar posibilidades
Determinar consecuencias
Estimar el nivel de riesgo
Evaluar Riesgos - Compare contra los criterios - Establecer las prioridades del riesgo
Acep-ta el riesgo
Tratar Riesgos - Identificar opciones de tratamiento - Evaluar las opciones de tratamiento - Seleccionar opciones de tratamiento - Preparar planes de tratamiento - Implementar planes
37
MANEJO O RESPUESTA DE LOS RIESGOSMANEJO O RESPUESTA DE LOS RIESGOS
1. Eliminarlo2. Reducirlo
1. 1 Acciones para reducir o controlar las posibilidades (preventivo)
2. 2 Procedimientos para reducir o controlar las consecuencias (reactivo)
3. Transferirlo total o parcialmente4. Aceptarlo
38
MA
NE
JO
O R
ES
PU
ES
TA
MA
NE
JO
O R
ES
PU
ES
TA
DE
LO
S R
IES
GO
SD
E L
OS
RIE
SG
OS
Si
Aceptar
No
Identificar las
opciones de
tratamiento
Evaluar
opciones de
tratamiento
Preparar planes
de tratamiento
Implementar
planes de
tratamiento
Si
No
Preparar planes de tratamiento
Reduzca
posibilidades
Reduzca
consecuencias
Transfiera todo
o una parteEvite
Evite
Considerar costos y beneficios factibles
Recomendar estrategias de tratamiento
Seleccionar la estrategia de tratamiento
Riesgo ordenado y evaluado
Reduzca
posibilidades
Reduzca
consecuencias
Transfiera todo
o una parte
Riesgo Acepta-
ble
Riesgo Acepta-
ble
Com
unic
ar
y C
onsu
ltar
Monit
ore
ar
y r
evis
ar
Retener
Parte retenida Parte transferida
39
El monitoreo y la revisión de los riesgosEl monitoreo y la revisión de los riesgos
1. Evaluación Recurrente2. Comunicación Efectiva3. Documentación Apropiada
Los requisitos para la administración de riesgos Los requisitos para la administración de riesgos
1. Objetivo2. La política de Administración de Riesgos3. Planeación y Recursos
40
COMO MEDIR EL RIESGOCOMO MEDIR EL RIESGO
3 6 9
2 4 6
1 2 3
Alto 3
Medio 2
Baja 1
Baja 1 Medio 2 Alto 3
MAGNITUD
Pro
babi
lidad
41
COMO MEDIR EL RIESGOCOMO MEDIR EL RIESGO
Tipos de Riesgo
42
Corresponde a la evaluación propia e intrínseca de cada riesgo.
Es el riesgo que existe con anterioridad a la existencia de cualquier acción.
No depende de ningún control para mitigarlo, ni de tratamiento llevado a cabo para disminuir su probabilidad de ocurrencia ni su impacto.
RIESGO ABSOLUTO o INHERENTERIESGO ABSOLUTO o INHERENTE
COMO MEDIR EL RIESGOCOMO MEDIR EL RIESGO
Tipos de Riesgo
43
Surge de la aplicación de los controles existentes, o bien de la definición de nuevos controles para mitigar el riesgo inherente.
Disminuirá la probabilidad, la consecuencia o ambas, una vez puestos los controles en acción.
RIESGO CONTROLADORIESGO CONTROLADO
COMO MEDIR EL RIESGOCOMO MEDIR EL RIESGO
Tipos de Riesgo
44
RIESGO RESIDUALRIESGO RESIDUAL
• Se denomina así al Riesgo Tratado como un intento adicional para mitigarlo, luego de habérsele aplicado controles.
• Corresponde al tratamiento que se ha dado al riesgo, a fin de ubicarse en una escala con menor probabilidad y/o impacto.
• La decisión de asumir o tratar el riesgo residual deberá estar debidamente documentada.
Análisis del Riesgo Residual
45
Riesgo inherente
Riesgo residual
PROBABILIDAD
CONSECUENCIA
Riesgo controlado
A
B
C
46
La admón. de riesgos(Metodologías)(Metodologías)
OBJETIVOSORGANIZACIONALES
IDENTIFICACION YEVALUACIONDE RIESGOS
IDENTIFICACION DE LOSCONTROLES VIGENTES
IDENTIFICACION YEVALUACION DE LOS
RIESGOS RESIDUALES
ESACEPTABLE?
DOCUMENTAR LADECISION DEL
RIESGO
RIESGOS
CONTROLES
RIESGO RESIDUAL
-=
SI
NO
EVALUACION DE RIESGOS EN ERM
RiesgoInherente
RiesgoResidual
Respuesta al Riesgo
Riesgo Inherente: riesgo para la entidad en ausencia de cualquier acción realizada por la administración para alterar la probabilidad o el impacto.
Riesgo Residual: riesgo remanente después de la acción realizada por la administración para alterar su probabilidad o impacto.
Areas de Riesgo
48
RIESGO GENERALRIESGO GENERAL RIESGO DE DIRECCIÓNRIESGO DE DIRECCIÓN RIESGO RELACIONADO CON LAS RIESGO RELACIONADO CON LAS
CONDICIONES DEL MERCADOCONDICIONES DEL MERCADO RIESGO OPERATIVORIESGO OPERATIVO RIESGO FINANCIERORIESGO FINANCIERO RIESGO RELACIONADO CON LAS RIESGO RELACIONADO CON LAS
CONDICIONES EXTERNASCONDICIONES EXTERNAS RIESGO RELACIONADO CON LA RIESGO RELACIONADO CON LA
ADMINISTRACIÓN DE RECURSOS HUMANOSADMINISTRACIÓN DE RECURSOS HUMANOS RIESGO RELACIONADO CON LOS SITEMAS RIESGO RELACIONADO CON LOS SITEMAS
INFORMÁTICOSINFORMÁTICOS
49
Análisis del Riesgo Residual
Riesgo inherente
Riesgo residual
PROBABILIDAD
CONSECUENCIA
Riesgo controlado
A
B
C
50
Matriz de Riesgo
PROBAB
I
L
I
DAD
CONSECUENCIA
Alianzas
Marco Externo
Mercados
Proveedores
Productos
Clientes
Industria
Competidores
Sustitutos
Financiamiento
RESPUESTA AL RIESGO
Una vez evaluado el riesgo, la gerencia
Identifica y evaluaposibles respuestas alriesgo en relacion alapetito de riesgo de la
Entidad.
Evaluando Posibles
Respuestas =
Las respuestas son evaluadascon el objetivo de obtener
un riesgo residual alineado con el nivel de tolerancia
Definida.
En la evaluación de lasrespuestas al riesgo, la gerencia considera
varios aspectos
Respuesta al Riesgo
RESPUESTA AL RIESGO
EVITARLO: Se toman acciones de modo de discontinuar las actividades que generan Riesgo.
REDUCIRLO:Se toman acciones de modo de reducir el impacto, la probabilidadde ocurrencia del riesgo o ambos
COMPARTIRLO:Se toman acciones de modo de reducir el impacto o laprobabilidad de ocurrencia altransferir o compartir una porción del riesgo
ACEPTARLO:No se toman accionesque afecten el impactoy probabilidad de ocurrenciadel riesgo.
Respuesta al Riesgo
53
Actividades de controlSon todos aquellas que realiza la dirección, gerencia, administración, y demás
personal de la organización para cumplir diariamente con las actividades asignadas
(Están constituidas o expresadas en las políticas, sistemas y procedimientos
específicos, orientados a evitar las posibles consecuencias de los riesgos).
Son todos aquellas que realiza la dirección, gerencia, administración, y demás
personal de la organización para cumplir diariamente con las actividades asignadas
(Están constituidas o expresadas en las políticas, sistemas y procedimientos
específicos, orientados a evitar las posibles consecuencias de los riesgos).
Aprobaciones y autorizaciones Fianzas y seguros
Conciliaciones Análisis de registros de información
Segregación de funciones Verificaciones
Salvaguarda de activos Revisión de desempeños operacionales
Indicadores de desempeño Seguridades fisícas
Inspecciones Revisiones de informes de actividades de desempeño
Las actividades de control tienen distintas características, ya que pueden ser manuales o computarizadas, gerenciales u operacionales, general o específicas, preventivas, detectivas y
correctivas.
Sin embargo, lo trascendente es que sin importar su categoría o tipo, todas ellas estén apuntando hacia los riesgos (reales o potenciales) en beneficio de la organización, su misión, visión, valores y objetivos, así como a la protección de los recursos.
Sin embargo, lo trascendente es que sin importar su categoría o tipo, todas ellas estén apuntando hacia los riesgos (reales o potenciales) en beneficio de la organización, su misión, visión, valores y objetivos, así como a la protección de los recursos.
54
Actividades de control
PROPÓSITO CARACTERÍSITCAS PROPÓSITO CARACTERÍSITCAS PROPÓSITO CARACTERÍSITCAS
Diseñado paradetectar hechosindeseables.
Detienen el proceso o aislanlas causas del riesgo o lasregistran.
Diseñado paraprevenir resultadosindeseables.
Están incorporados enlos procesos deformas imperceptible.
Diseñado paracorregir efectos deun hechoindeseable.
Es el complemento deldetectivo al originar unaacción luego de laalarma.
Ejercen una función devigilancia.
Pasivos construidosdentro del sistemainconsciente.
Corrigen la evasión ofalta de los preventivos.
Detectan lamanifestación/ocurrencia de un hecho.
Actúan cuando se evadenlos preventivos.
Reducen la posibilidadde que se detecte.
Guías que evitan queexista las causas
Corrigen las causasdel riesgo que sedetectan.
Ayuda a la investigacióny corrección de causas.
No evitan las causas, laspersonas involucradas.
Impedimento a quealgo suceda mal.
Permite que la alarmase escuche y seremedie el problema.
Conscientes y obvios mideefectividad de controlespreventivos.
Más barato. Evitacostos decorrecciones. Mucho más costoso.
Más costosos - puedenimplicar correcciones.
Implican correcciones yreprocesos.
TIPOS DE CONTROLES
55
Actividades de Control
Las actividades de control son importantes no sólo porque en sí mismas implican la forma "correcta" de hacer las cosas, sino debido a que son el medio idóneo de asegurar en mayor grado el logro de los objetivos y estos sí que tiene mayor relevancia que hacer las cosas de forma "correcta".
Control en los Sistemas de Información
•Los sistemas están diseñados en toda la organización y todos ellos atienden a uno o más objetivos de control: dos grupos:
CONTROLES GENERALES: Tienen como propósito asegurar una operación y continuidad adecuada.Ejemplos: el control sobre el centro de procesamiento de datos y su seguridad física, contratación y mantenimiento del hardware y software, las operaciones, las funciones de desarrollo y mantenimiento de sistemas, soporte técnico, administración de base de datos y otros.
CONTROLES DE APLICACIÓN: Están dirigidos hacia el "interior" de cada sistema y funcionan para lograr el procesamiento, integridad y confiabilidad de la información, mediante la autorización y validación correspondiente. Desde luego estos controles incluyen las aplicaciones destinadas a interrelacionarse con otros sistemas de los que reciben o entregan información.
Las actividades de control son importantes no sólo porque en sí mismas implican la forma "correcta" de hacer las cosas, sino debido a que son el medio idóneo de asegurar en mayor grado el logro de los objetivos y estos sí que tiene mayor relevancia que hacer las cosas de forma "correcta".
Control en los Sistemas de Información
•Los sistemas están diseñados en toda la organización y todos ellos atienden a uno o más objetivos de control: dos grupos:
CONTROLES GENERALES: Tienen como propósito asegurar una operación y continuidad adecuada.Ejemplos: el control sobre el centro de procesamiento de datos y su seguridad física, contratación y mantenimiento del hardware y software, las operaciones, las funciones de desarrollo y mantenimiento de sistemas, soporte técnico, administración de base de datos y otros.
CONTROLES DE APLICACIÓN: Están dirigidos hacia el "interior" de cada sistema y funcionan para lograr el procesamiento, integridad y confiabilidad de la información, mediante la autorización y validación correspondiente. Desde luego estos controles incluyen las aplicaciones destinadas a interrelacionarse con otros sistemas de los que reciben o entregan información.
56
Actividades de control
Los sistemas de información vs. Tecnología:
Incrementar la productividad y competitividad.
Clave a muy corto plazo en este siglo: Ojo con lo que es gasto y con lo que es inversión.
TECNOLOGIA – SISTEMAS DE INFORMACION – PLATAFORMA.
Los sistemas de información vs. Tecnología:
Incrementar la productividad y competitividad.
Clave a muy corto plazo en este siglo: Ojo con lo que es gasto y con lo que es inversión.
TECNOLOGIA – SISTEMAS DE INFORMACION – PLATAFORMA.
57
58
Información y Comunicación:Indicadores de alerta y reportes cotidianos
•Que debemos ver con IMPORTANCIA:
•Organización cuenten con la información interna periódica y oportuna (Sinónimo: debe identificarse, capturarse, procesarse sintetizarse y comunicarse), sea esta financiera y no financiera (especialmente por el tema de riesgo cuantitativo y cualitativo).
• Se necesita también conocer la información externa relacionada.
•Es importante la actitud de la Alta Administración (primer componente y Gobierno Corporativo) para su funcionabilidad y control:
Sistemas Integrados a la Estructura: es decir, a las OPERACIONES, pero mas importantes aun dos cosas: apoyar de manera contundente la implantación de estrategias y estrechamente ligados a los procesos de planeación estratégicas= Alcanzar Objetivos Estratégicos = ÉXITO.
La Calidad de la Información: Es decir, un activo, un medio y hasta una ventaja competitiva: Toma de Decisiones (relevancia del contenido, oportunidad, actualización, exactitud y accesibilidad, principalmente).
Comunicación: Es decir, Canales Internos y deben comunicar los aspectos relevantes del sistema de información indispensables para los gerentes. Externos, éstos son el medio a través del cual se obtiene o proporciona información relativa clientes, proveedores, contratistas, entre otros.
•Que debemos ver con IMPORTANCIA:
•Organización cuenten con la información interna periódica y oportuna (Sinónimo: debe identificarse, capturarse, procesarse sintetizarse y comunicarse), sea esta financiera y no financiera (especialmente por el tema de riesgo cuantitativo y cualitativo).
• Se necesita también conocer la información externa relacionada.
•Es importante la actitud de la Alta Administración (primer componente y Gobierno Corporativo) para su funcionabilidad y control:
Sistemas Integrados a la Estructura: es decir, a las OPERACIONES, pero mas importantes aun dos cosas: apoyar de manera contundente la implantación de estrategias y estrechamente ligados a los procesos de planeación estratégicas= Alcanzar Objetivos Estratégicos = ÉXITO.
La Calidad de la Información: Es decir, un activo, un medio y hasta una ventaja competitiva: Toma de Decisiones (relevancia del contenido, oportunidad, actualización, exactitud y accesibilidad, principalmente).
Comunicación: Es decir, Canales Internos y deben comunicar los aspectos relevantes del sistema de información indispensables para los gerentes. Externos, éstos son el medio a través del cual se obtiene o proporciona información relativa clientes, proveedores, contratistas, entre otros.
59
60
61
(7) Participantes y Responsabilidades: Aquí
se evalúa Est. Org.
(1) Mantenimiento y ajuste:
CONTROL INTERNODireccion.
MONITOREO
COSO sus COMPONENTES
Interrelacionados: Sinergia: respuesta a
los cambios.
SISTEMA DE CONTROL INTERNO:
• Evaluado permanentemente:
Todo: P.E., proyecto, programa, negocio, segmento, etc.: Comunicar sus resultados: GIR
EFICACIA DEL SISTEMA DE CONTROL INTERNO:
• Efectivo = Cuenta con una seguridad razonable:
• Logro Objetivos (Riesgos) con EEE.
• Confiabilidad y validez de la Información Fin. Y No.
• Cumplimiento Normativo y Legal.
AUDITORIAS al SCI
Tratamiento de las Deficiencias detectadas.
Monitoreo Internamente las responsabilidades sobre el control corresponden conforme a lo siguiente:
Consejo de Administración: Establece no sólo la misión y los objetivos de la organización, sino también las expectativas relativas a la integridad y los valores éticos.
Gerencia: Debe asegurar que existe un ambiente propicio para el control.
Ejecutivos financieros: Entre otras cosas, apoyan la prevención y detección de reportes financieros fraudulentos.
Comité de Auditoria: Es el órgano que no sólo tiene la facultad de cuestionar a la Gerencia en relación con el cumplimiento de sus responsabilidades, sino también asegurar que se tomen las medidas correctivas necesarias.
Internamente las responsabilidades sobre el control corresponden conforme a lo siguiente:
Consejo de Administración: Establece no sólo la misión y los objetivos de la organización, sino también las expectativas relativas a la integridad y los valores éticos.
Gerencia: Debe asegurar que existe un ambiente propicio para el control.
Ejecutivos financieros: Entre otras cosas, apoyan la prevención y detección de reportes financieros fraudulentos.
Comité de Auditoria: Es el órgano que no sólo tiene la facultad de cuestionar a la Gerencia en relación con el cumplimiento de sus responsabilidades, sino también asegurar que se tomen las medidas correctivas necesarias.
62
Monitoreo Comité de Finanzas: Contribuye cumpliendo con la responsabilidad de evaluar la consistencia de los presupuestos con los planes operativos.
Unidad de Auditoria Interna: A través del examen de la efectividad y adecuación del sistema de control interno y mediante recomendaciones relativas a su mejoramiento.
Área Jurídica: Llevando a cabo la revisión de controles y otros instrumentos legales, con el fin de salvaguardar los bienes de la institución.
Personal de la Institución: Mediante la ejecución de las actividades que tiene cotidianamente asignadas y tomando las acciones necesarias para su control. También siendo responsable de comunicar cualquier problema que se presente en las operaciones, incumplimiento de normas o posibles faltas al código de conducta y otras violaciones.
Comité de Finanzas: Contribuye cumpliendo con la responsabilidad de evaluar la consistencia de los presupuestos con los planes operativos.
Unidad de Auditoria Interna: A través del examen de la efectividad y adecuación del sistema de control interno y mediante recomendaciones relativas a su mejoramiento.
Área Jurídica: Llevando a cabo la revisión de controles y otros instrumentos legales, con el fin de salvaguardar los bienes de la institución.
Personal de la Institución: Mediante la ejecución de las actividades que tiene cotidianamente asignadas y tomando las acciones necesarias para su control. También siendo responsable de comunicar cualquier problema que se presente en las operaciones, incumplimiento de normas o posibles faltas al código de conducta y otras violaciones. 63
Monitoreo Extremadamente la participación de las entidades externas consisten en lo siguiente:
Auditores Independientes: Proporcionan al Consejo de Administración y a la Gerencia un punto de vista objetivo e independiente, que contribuye al cumplimiento del logro de los objetivos de los reportes financieros, entre otros.
Autoridades (Ejecutivas/Legislativas): Participan mediante el establecimiento de requerimientos de control interno, así como en el examen directo de las operaciones de la Organización, haciendo recomendaciones que lo fortalezcan.
Ellos proporcionan información útil para el control interno. No son responsables de su efectividad, ni forman parte de él, sin embargo aportan elementos para su mejoramiento.
Extremadamente la participación de las entidades externas consisten en lo siguiente:
Auditores Independientes: Proporcionan al Consejo de Administración y a la Gerencia un punto de vista objetivo e independiente, que contribuye al cumplimiento del logro de los objetivos de los reportes financieros, entre otros.
Autoridades (Ejecutivas/Legislativas): Participan mediante el establecimiento de requerimientos de control interno, así como en el examen directo de las operaciones de la Organización, haciendo recomendaciones que lo fortalezcan.
Ellos proporcionan información útil para el control interno. No son responsables de su efectividad, ni forman parte de él, sin embargo aportan elementos para su mejoramiento.
64
INTOSAI 2004 - ERM
• COSO ERM es una herramienta valiosa para administrar la organización, para mejorar el desempeño y proteger los activos de la misma.
• COSO ERM es apropiado para organizaciones grandes y pequeñas, públicas y privadas.
• Se puede y debe adaptar a las necesidades de cada organización.
• Los auditores internos lo pueden usar para agregarle valor a la organización mediante el alineamiento de sus actividades con los objetivos de la organización
65
Gobierno corporativo
Ahora más que nunca, los consejos de administración deben trabajar estrechamente con los auditores internos para asegurar el fortalecimiento de los controles internos, la exactitud de los reportes financieros y la adecuada administración de los riesgos en cada empresa...
En pocos años la responsabilidad de los consejos de administración ha sido revisada e incrementada por los reguladores alrededor del mundo.
Roger Raber, CEONational Association of Corporate Directors (NACD)
66
HACIA DONDE VAMOS…….HACIA DONDE VAMOS…….
67
30 de abril 2012…….
COSO espera publicar la versión actualizada de Control Interno-Marco Integrado y de los documentos justificativos vinculados Durante el primer trimestre de 2013.
El Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) ha anunciado que el Control Integrado de actualización interna Marco (ICIF o marco) se espera que sea lanzado durante el primer trimestre de 2013. El marco final se espera que permiten a las organizaciones para adaptarse a la creciente complejidad y el ritmo de cambio, para mitigar los riesgos para el logro de los objetivos, y para proveer información confiable para apoyar la toma de decisiones de sonido.
68
