CLAIN 2014

1

1

CLAIN 2014 TEMA COSO 2013

PRINCIPALES CAMBIOS EN RELACIÓN A COSO 1992Y SU USO EN LA EVALUACIÓN DEL CONTROL INTERNO

Nota previa Esta presentación excede con mucho a la exposición , les he

querido dejar material para vuestra lectura y trabajo

Buenos Aires- Argentina -16 de mayo del 2014Profesor Carlos Valdivieso [email protected]

2

ACERCA DE COSO • The Commitee of Sponsoring Organization of the Treading

Commission es una organización privada y voluntaria formada el año 1985 ,integrada por las siguientes instituciones dedicadas a guiar a las administración ejecutiva y a los participantes del Gobierno de la empresa para lograr el establecimiento de operaciones de negocios más efectivas, eficientes y éticas . Promueve y difunde estructuras ( frameworks ) y guías basados en profundas investigaciones, análisis y mejores prácticas:

• American Accounting Associaton ( AAA) • American Institute of CPAs ( AICPA )• Financial Executives International (fei)• The Associaton of Accountants and Financial Profesional in

Bussiness ( ima )• The Institute of Internal Auditors ( IIA )

3

3

COSO ES UNA ESTRUCTURA• La estructura (del latín structūra) es la disposición y

orden de las partes dentro de un todo. También puede entenderse como un sistema de conceptos coherentes enlazados, cuyo objetivo es precisar la esencia del objeto de estudio. Tanto la realidad como el lenguaje tienen estructura tendiendo a que refleje fielmente la estructura de la realidad ( fuente, resumen a partir de wikipedia)

• O sea, todo armado y coherente, nada suelto por sí sólo.• Algunos Auditores tienden a tomar elementos específicos,

esto NO SIRVE, están todas las piezas relacionadas.• Esto que es abstracto, aterrizémoslo con una foto en la

diapositiva siguiente.

https://es.wikipedia.org/wiki/Lat%C3%ADn

https://es.wikipedia.org/wiki/Orden

https://es.wikipedia.org/wiki/Concepto

https://es.wikipedia.org/wiki/Esencia

https://es.wikipedia.org/wiki/Realidad

https://es.wikipedia.org/wiki/Lenguaje

4

4

COSO ES UNA ESTRUCTURA( Framework )

TODO UNIDO E INTEGRADO

5

Es de 1992 COSO’s Internal Control – Integrated Framework (1992 Edition)

Refrescar los objetivos

Mejoras

Irabajará mejor a futuro COSO’s Internal Control – Integrated Framework Mayo 2013 )

Cambios significativos en los negocios, el

entorno y los riesgos asociados

Actualiza,mejora y clarifica el Framework

Aumenta el foco en las operaciones,cumplimiento y objetivos de

informes no financieros

Expande información interna y la no

financiera

Codifica el criterio en el desarrollo y

estructura del sistema de control

interno.

PrincipiosAtributos

Tomado de COSO IC-IF-EDTraducción libre al español de Carlos Valdivieso Valenzuela

Porqué fué necesario actualizar COSO ?

6

Tomado de COSO IC-IF-EDTraducción libre al español de Carlos Valdivieso Valenzuela

Fecha de publicación mayo 2013 Fecha obligatoria máxima de implementación 15 diciembre

2014

Sept -Enero Feb - Octubre Dic - Marzo Abril - Dic

Estudio y análisis por los

interesados

Diseño y construcció

n Exposición

PúblicaFinalizació

n

2010 2011 2012

7

7

COSO 2013. COSO ERM e ISO 31.000Estructuras desarrolladas y aceptadas internacionalmente• He tenido la oportunidad y la suerte de estar cercano a la génesis de las

tres estructuras.• COSO original data de 1992; antes,hubo participaciones de numerosas

entidades, y personas , cientos de workshops y finalmente un borrador el que se circularizó en 40.000 ejemplares aprox el que anduvo por un año para comentarios tanto en EEUU como fuera de eses país, finalmente en 1992 nace COSO 1992 .COSO 2013 es una actualización de COSO 1992 y resulta de un amplio trabajo internacional con más de 700 aportes.

• COSO ERM es un hijo de COSO para focalizarse en riesgos (ERM , es Enterprise Risk Management). Nace de un encargo a la Universidad de Virginia en EEUU , quien después de una larga investigación concluye que no había un entendimiento global y uniforme en lo relativo a riesgos y su administración; luego el Comité COSO con ayuda externa lleva adelante el proyecto el que cuenta con aportes tanto en EEUU como en el exterior. En 2004 nace COSO ERM, COSO 1992 sigue vigente en paralelo con COSO 2013 hasta el 15 de diciembre 2013.En EEUU debe explicitarse en las Memorias de empresan que transan valores el uso de COSO.

• ISO 31.000 , la única ISO de riesgos, nace el 2009 después de un trabajo internacional de varios años. Se aprueba por 160 países.

8

8 COSO ERM Y COSO

No confundirlos son complementarios• COSO ERM 2004 COSO 2013

9

COSO LA EVOLUCIÓN DE LOS DOCUMENTOSNO CONFUNDIRSE COSO ERM ( Año 2004 ) , QUE ES PARA RIESGOS Y LO VEREMOS

1992 2006 2009 2013

10

COSO 2013 LO INTEGRAN TRES DOCUMENTOS • “Internal Control-Integrated Framework,” esto es la

estructura central, es el más conocido• “Illustrative Tools for Assessing Effectiveness of a System of

Internal Control”, son las herramientas para medir la efectividad en la operación del sistema de control interno.

• “Internal Control over External Financial Reporting: A Compendium of Approaches and examples”Documento relativo al proceso de informes financieros enviados al exterior de la empresa ( Los Estados Financieros , son sólo uno de ellos) .

• Los documentos están sólo en inglés y traerlos resulta unos US $ 500 aprox.

• En el link siguiente están los borradores finales que son casi idénticos a los documentos finales, es de la Asociación de Auditores Externos de Chile AG a quienes les colaboro .

• www.aechile.cl• Ahí buscar Gobierno Corporativo y luego pestaña COSO,

documentos de apoyo .Tienen unas 400 páginas

http://www.aechile.cl/

11

11

Fuente: ISO 31000 – Traducción libre al español del señor Carlos Valdivieso Valenzuela

12

12

COSO E ISO 31.000- Unica ISO de RIESGOS

Fuente Linkedin ISO31000 Risk Group

13

Cambios en el entorno Llevaron a la actualización del Framework

Expectativas en la gobernabilidad

Globalización de los mercadosy las operaciones

Cambios y creciente complejidad de los negocios

Requerimientos en complejidad de leyes, reglas y estándares

Expectativas de las competencias y accountabilities

Use de y confianza en tecnologías envolventes

Expectativas relativas a prevenir y detectar fraudes COSO Cube (2013 Edition)

LOS CAMBIOS CONSIDERADOS

14

COSODiapositiva libre de Carlos Valdivieso

Valenzuela

• El nuevo COSO 2013 mantiene su estructura de representación

• Cambia en su sistematización en 17 principios y 86 atributos

• Tiene materias nuevas.

Original COSO Cube

15

Informe Tomo 1 – Control Interno ( Edición 2013 )

:Contiene ▫ Resumen ejecutivo▫ Framework y apéndices ▫ Herramientas para medir

la efectividad del control interno ( es un tomo aparte )

• Explicita ▫ Definición de control

interno▫ Categorías y objetivos▫ Componentes y principios

16

EN LO GENERAL, LO QUE NO CAMBIA Y LO QUE CAMBIA RESPECTO A COSO 1992

Fuente COSO IC-IF-EDTraducción y adaptación libre al español de Carlos Valdivieso Valenzuela

Qué no está cambiando ... Qué está cambiando...1. Definición de control interno.2. Cinco componentes de control

interno3. El criterio fundamental para

determinar la efectividad de los sistemas de control interno.

4. Uso del juicio en la evaluación de la eficacia de l0s sistemas de control interno.

1. Codificación de principios con aplicación universal para usarse en el desarrollo y evaluación de la eficacia de los sistemas de control interno.

2. Expande el objetivo de reportes financieros para ir también a informes internos y externos en un sentido amplio, incluyendo objetivos no financieros.

3. Incrementa el foco en las operaciones, cumplimiento ( compliance ) y reportes no financieros y objetivos basados en lo determinado y alimentado como input por los usuarios.

4 Otros que resumiremos hoy

El lector experimentado en COSO encontrará mucho conocido en esta actualización, la que se ha construido a partir de la base de lo que ha probado ser efectivo en su versión original durante 21 años

17

DEFINICIÓN DE CONTROL INTERNO SEGÚN COSO

• DEFINICION:

Proceso, efectuado por el consejo de administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías:• Eficacia y eficiencia de las operaciones• Fiabilidad de la información financiera• Cumplimiento de leyes y normas que sean aplicables• El Informe COSO es un documento que contiene las principales

directivas para la implantación, gestión y control de un sistema de control interno; funciona como un framework ; esto es una estructura integrada

• La diapositiva siguiente no es mía, la encontré en la web pero no tengo a su autor

17

18

NUEVO COSO

18

19

Entorno de control

Evaluación de los riesgos

Actividades de control

Información y comunicaciones

Actividades de monitoreo

Actualización en 2013 integra componentes con principiosEn los 17 principios dejé el inglés para apreciar los conceptos originales, los explicaré en español

1.Demonstrates commitment to integrity and ethical values2.Exercises oversight responsibility3.Establishes structure, authority and responsibility4.Demonstrates commitment to competence5.Enforces accountability

6.Specifies suitable objectives7.Identifies and analyzes risk8.Assesses fraud risk9.Identifies and analyzes significant change

10.Selects and develops control activities11. Selects and develops general controls over technology12.Deploys through policies and procedures

13.Uses relevant information14.Communicates internally15.Communicates externally

16.Conducts ongoing and/or separate evaluations17.Evaluates and communicates deficiencies

20

Entorno de control

Veamos lo anterior con más detalle

1. The organization demonstrates a commitment to integrity and ethical values.

2. The board of directors demonstrates independence from management and exercises oversight of the development and performance of internal control.

3. Management establishes, with board oversight, structures, reporting lines, and appropriate authorities and responsibilities in the pursuit of objectives.

4. The organization demonstrates a commitment to attract, develop, and retain competent individuals in alignment with objectives.

5. The organization holds individuals accountable for their internal control responsibilities in the pursuit of objectives.

21

6. The organization specifies objectives with sufficient clarity to enable the identification and assessment of risks relating to objectives.

7. The organization identifies risks to the achievement of its objectives across the entity and analyzes risks as a basis for determining how the risks should be managed.

8. The organization considers the potential for fraud in assessing risks to the achievement of objectives.

9. The organization identifies and assesses changes that could significantly impact the system of internal control.

Evaluación de riesgos

Update articulates principles of effective internal control (continued)

22

10. The organization selects and develops control activities that contribute to the mitigation of risks to the achievement of objectives to acceptable levels.

11. The organization selects and develops general control activities over technology to support the achievement of objectives.

12. The organization deploys control activities through policies that establish what is expected and procedures that put policies into place.

Actividades de control


23

13. The organization obtains or generates and uses relevant, quality information to support the functioning of internal control.

14. The organization internally communicates information, including objectives and responsibilities for internal control, necessary to support the functioning of internal control.

15. The organization communicates with external parties regarding matters affecting the functioning of internal control.

Information & Communication


24

16. The organization selects, develops, and performs ongoing and/or separate evaluations to ascertain whether the components of internal control are present and functioning.

17. The organization evaluates and communicates internal control deficiencies in a timely manner to those parties responsible for taking corrective action, including senior management and the board of directors, as appropriate.

Actividades de monitoreo


25

17 PRINCIPIOS CON 86 ATRIBUTOS

PRINCIPIOS

• 17 PRINCIPIOS INTERRLACIONADOS PARA LOS 5 ELEMENTOS DE COSO

ATRIBUTOS

• 86 ATRIBUTOS QUE SOPORTAN LOS PRINCIPIOS• DEBEN VER EL DOCUMENTO COSO , VA UN

EJEMPLO

ESTRUCTURA COSO

• DE LO ANTERIOR RESULTA LA ESTRUCTURA COSO

• ES UN TODO INDIVISIBLE-RECORDAR LA TORRE EIFFEL

26

CADA UNO DE LOS 17 PRINCIPIOS TIENE ATRIBUTOS- EN TOTAL SON 86

• Se recomienda ver el documento de COSO va un ejemplo de algunos atributos para control de actividades para mejor entender como se armó la estructura.Aquí va uno de los 86 atributos, la traducción libre al español para este curso es del profesor Carlos Valdivieso.

• “Selecciona y desarrolla control de actividades que contribuyan a la mitigación de riesgos a niveles aceptables para el logro de los objetivos”; para ello:

• a ) Integra los controles con los riesgos de forma de mitigarlos.• b )Determina los procesos de negocios relevantes que requieren sus

contrles de actividades.• c ) Considera los factores de entorno e internos de la empresa , sus

operaciones en calidad, complejidad y cantidad para seleccionar y desarrollar las actividades de control más apropiadas.

• d ) Hace un mix de actividades de control manuales y automatizadas.• e ) Determina el tipo de actividades de control por niveles y las detalla.• f ) Revisa la segregación de funciones y las cambia en caso de ser

necesario para tener buenas actividades de control.

27

Agilidad

Clar

idad

Confidencialidad

Beneficios de la actualización Fuente COSO IC-IF-ED

Traducción libre al español de Carlos Valdivieso ValenzuelaAdministración y

Directorio

Otros usuario

s

Entes externos

Performance

• Mejora la gobernabilidad.

• Expande su uso más allá de lo financiero.

• Mejora la calidad de la medición de riesgos.

• Fortalece los esfuerzos antifraude.

• Adapta controles a los negocios y su dinámica.

• Mayor uso en distintos modelos de negocios.

28

28

ALCANCE• COSO contiene un planteamiento general, con los fundamentos del

control interno.• No hay por tanto, aspectos específicos del tipo checklist, los que siguen

siendo válidos y útiles, pero ubicados en una ESTRUCTURA INTEGRADA

• Cada empresa debe analizar cómo lo desarrolla a su realidad.• Es la experiencia de este relator, involucrado en el tema desde 1992 que

aquí radica el principal problema y la gran oportunidad; hay algunos que se sienten desorientados cuando por tantos años la auditoría interna le ha dicho: vaya y haga esto en detalle; a su vez, hay otros, que ven en esto una posibilidad de desarrollo profesional; el desafío no es menor.

• Es también mi experiencia, que hay pocos reparos a COSO mismo y el problema es de implementación.

• Vaya un ejemplo; el principio 7 dice « identifica y analiza los riesgos «, pues bien, Uds saben lo que esto significa en la práctica, riesgos primarios, eventos de riesgo y controles, nada de simple.

29

ANÁLISIS POR COMPONENTE DE COSO

• ENTORNO DE CONTROL• EVALUACIÓN DE RIESGOS• CONTROL DE ACTIVIDADES• INFORMACIÓN YCOMUNICACIONES• MONITOREO DE ACTIVIDADES____________________________ Todo ello para:• Logro de la eficiencia y eficacia de las Operaciones que permitan el logro de los objetivos, consistentes con la MISIÓN, el alcance de las metas, incluyendo rentabilidad y salvaguarda de recursos.• Confiabilidad de informes financieros y no financieros tanto con destino externo como interno.• Cumplimiento de leyes y regulaciones que afecten a la

empresa.

30

30

LA FAMOSA “SEGURIDAD RAZONABLE “

• “Reasonable Assurance—The concept that internal control, no matter how well designed and operated, cannot guarantee that an entity’s objectives will be met. This is because of Inherent Limitations in all internal control systems”.

--------------------------------------------------------------------------- O sea,que provea una seguridad razonable (NO ABSOLUTA ) a

una persona competente,con bases sólidas, permitiéndole dar una opinión fundada relativa al sistema de control interno en el logro de los objetivos de la empresa, pero no lo puede garantizar por las limitaciones inherentes de todo sistema de control interno,

-------------------------------------------------------------------------Algo así como : El sistema de control interno de la empresa XX al 31 de

diciembre del 2012 es eficaz y proporciona una seguridad razonable de que el proceso de preparación de la información financiera es fiable, de que la empresa tiene procedimientos eficaces para asegurar el cumplimiento de las leyes y normativas que le sean aplicables y de que la dirección conoce hasta qué punto la empresa está alcanzando sus objetivos operacionales.

31

31

OBJETIVOS Y SUBOJETIVOS• Los objetivos generales de la empresa se deben

desagregar en subobjetivos por Unidades de la empresa,deben ser claros, cuantificables, medibles y auditables.

• Estos subojetivos deben ser conocidos por todo el personal a quienes los incumbe.

32

32

ENTORNO DE CONTROL • PRINCIPIOS INVOLUCRADOS

1. La organización como un todo demuestra compromiso con la integridad y valores éticos.

2. El Directorio demuestra independencia de la Administración y supervisa el desarrollo y funcionamiento del sistema de control interno.

3.El Directorio junto a la Administración supervisan la estructura de la empresa, las líneas de autoridad y responsabilidad y el logro de los objetivos. Ejercita la responsabilidad de supervisión .

4. La empresa demuestra compromiso con la competencia para atraer, desarrollar y retener al personal y alinearlo con los objetivos.

5.Hace cumplir las rendiciones ( accountability ) por la autoridad y responsabilidad que le han otorgado para el logro de los objetivos.

33

33

PRINCIPALES CAMBIOS EN ENTORNO DE CONTROL RESPECTO A COSO 1992

• Integra los 5 principios y los relaciona aplicándolos en el Directorio, Administración, personal, comités, especialmente de Auditoría , estructura de organización, políticas y prácticas, dejando definiciones por escrito y velando por su cumplimiento.

• Explicita y define el Gobierno Corporativo, los roles y lo que debe hacer cada cual y refuerza el concepto de accountability.

• Define lo relativo a supervisión de riesgos, los recursos requeridos y las relaciones existentes para el logro de los objetivos que deben estar explícitos.

• Involucra al outsourcing como parte del entorno de control.

• Los puntos anteriores deben constar por escrito y ( según este relator ) dejar pistas de auditoría y revisar su comportamiento.

34

34

PRINCIPIO 1.La organización como un todo demuestra compromiso con la integridad y valores éticos.Foco en :•Directorio y Administración en todos sus niveles demuestran compromiso con los aspectos éticos como aspecto central del control interno.• Establece Standard de Conducta, difundido a todos los

niveles tanto internos como al outsourcing .• Evalúa su cumplimiento y desviaciones.

35

35

Principio 2 El Directorio demuestra independencia de la Administración y supervisa el desarrollo y funcionamiento del sistema de control interno.• Foco en :• Directorio tiene y efectúa supervisión superior del Control

Interno, su diseño y cumplimiento• Directorio revisa sus capacidades y conocimientos de

control interno(si les faltare, deben capacitarse )• Son y actúan independiente de la Administración.

36

36

Principio 3 El Directorio junto a la Administración supervisan la estructura de la empresa, las líneas de autoridad y responsabilidad y el logro de los objetivos. Ejercita la responsabilidad de supervisión .• Foco en • Considera toda la estructura de la empresa.• Establece líneas de autoridad y responsabilidad y reportes• Define los límites de autoridad.• Define la autoridad de servicios de outsourcing.

37

37

Principio 4 La empresa demuestra compromiso con la competencia para atraer, desarrollar y retener al personal y alinearlo con los objetivos.• Foco en :• Define políticas y prácticas relativas a talentos de

Recursos Humanos.• Evalúa junto con la Administración las competencias

requeridas en distintos cargos y como obtener resultados para llenar los gaps.

• Atrae, desarrolla y mantiene los recursos humanos requeridos.

• Establece planes de sucesiones.

38

38Principio 5 .Hace cumplir las rendiciones ( accountability ) por la autoridad y responsabilidad que le han otorgado para el logro de los objetivos.

• Foco en :• Se definen con claridad y se supervisan las

accountabilities y analiza los incumplimientos de control interno y sus correcciones.

• El Directorio y la Administración establecen mediciones, incentivos y retroalimentaciones para mejoras.

• Alinea incentivos con cumplimientos de control interno .• Tiene cuidado en las presiones para el logro de metas que

pudieren afectar al control interno,• Evalúa los resultados y cumplimiento de estándares de

conducta.

39

EVALUACIÓN DE RIESGOS PRINCIPIOS INVOLUCRADOS

6 Especifica los objetivos relevantes

7 Identifica y analiza los riesgos

8 Aprecia y analiza riesgos de fraude

9 Identifica y analiza los cambios significativos

40

40

PRINCIPALES CAMBIOS EN LA EVALUACIÓN DE RIESGOS RESPECTO A COSO 1992

• La identificación de los objetivos relevantes, es una precondición para la evaluación de riesgos .El orden es MISIÓN, y objetivos para cumplir la Misión . De dichos objetivos derivan los primeros riesgos.• Establece la relación de los riesgos con las operaciones , informes y cumplimiento ( compliance)• Especifica que deben contemplarse la identificación de los riesgos, el análisis y sus respuestas .• Incluye las tolerancias al riesgo, como prerequisito.• Contempla que deben entenderse los cambios

significativos tanto de origen interno como externo y sus relaciones con los sistemas de control interno.

• Considera el riesgo de fraude y sus relaciones con los informes , como parte de la administración de riesgos.

41

41Principio 6 Especifica los objetivos relevantes

• Foco en :• Claridad y documentación en : objetivos, informes y

compliance ( nota del profesor Valdivieso, ojo, se refiere a la parte

superior del cubo COSO ).• Debe reflejar las selecciones de objetivos hechos por la

empresa.• Considera la tolerancia al riesgo determinada.• Incluye las metas financieras.• Es la base para la alocación de recursos humanos y

financieros.

42

42

Principio 7 Identifica y analiza los riesgos• Foco en :• Para la determinación y administración de riesgos, deben

incluirse todas las filiales y subsidiarias y luego todas las funiciones y niveles.

• Analizar tanto los factores internos como externos.• Definir y explicitar los riesgos• Asignar los riesgos por niveles.• Analizar los riesgos inherentes.• Contar con un sistema de respuesta a los riesgos.

43

43

Principio 8 Aprecia y analiza riesgos de fraude • Foco en :• Especificar los posibles tipos de fraudes, ej :En Estados

Financieros,pérdidas de activos, etc.• Presiones por lograr metas lleva a distintos fraudes.• Vacíos en control interno que dejan oportunidades de

fraudes ( nota de este profesor, algo así como donde las dan las toman )

• Ahorros de costos por racionalizaciones que dejan vacíos de control interno.

44

44

Principio 9 Identifica y analiza los cambios significativos

• Foco en :• Analizar cambios tanto de origen interno como externo , ej

regulatorios , económico los riesgoss etc y como afectan a los riesgos .

• Cambios en el modelo de negocios, productos, distribución y como afectan a los riesgos.

• Cambios en liderazgos, jefaturas y estilos de administración y como afectan a los riesgos.

45

CONTROL DE ACTIVIDADES CONTROL DE ACTIVIDADES PRINCIPIOS INVOLUCRADOS

10 Selecciona y desarrolla control de las actividades

11 Selecciona y desarrolla controles para la tecnología

12 Despliegue de políticas y procedimientos

46

46

PRINCIPALES CAMBIOS EN EL CONTROL DE ACTIVIDADES RESPECTO A COSO 1992

• La tecnología en sentido amplio, es parte integrante del Sistema de Control Interno.Aquí hay un cambio de énfasis importante.

• Foco en la tecnología y los procesos de negocios.

• El control de actividades se relaciona con los riesgos.

• Recomendación para usar todas las técnicas que se necesiten.

• Amplitud de controles desde los controles de transacciones hasta los superiores; deben agruparse y sistematizarse por niveles.

• Integración de políticas con procedimientos y controles como un conjunto integrado.

47

47

Principio 10 Selecciona y desarrolla control de las actividades• Foco en :• Integrar los controles con los riesgos.• Especificar los factores de riesgos ( causas ).• Determinar los procesos significativos , riesgos y controles

).• Evaluar qué tipo de controles se necesitan y su mezcla.• Detallar los controles por niveles.• Contar con segregación de funciones.

48

48

Principio 11 Selecciona y desarrolla controles para la tecnología

• Foco en :• Determinar con detalles las relaciones de los procesos con

tecnología, sus riesgos y controles automáticos y generales en los respectivos procesos( nota del profesor Valdivieso, se recomienda ver COBIT ).

• Establecer la tecnología en uso y su infraestuctura, sus riesgos y controles.

• Determinar y probar todo lo relativo a seguridad de IT en sus disntintos ámbitos .

• Analizar todo lo referente a adquisiones de TI y sus controles. ( de nuevo, favor ver COBIT )

• TI es ahora con COSO 2013 parte integrante del Control interno.

49

49

Principio 12 Políticas y procedimientosDeploys through policies and procedures• Foco en :• Políticas y procedimientos.• Establecer accountabilities en la ejecución de políticas y

procedimientos.• Controles hacerlos oportunamente.• Ver las desviaciones y corregirlas.• Usar las competencias personales.• Revisar y retroalimentar políticas y procedimientos.

50

CONTROL DE ACTIVIDADES INFORMACIÓN Y CONTROL PRINCIPIOS INVOLUCRADOS

13 Usa información relevante

14La organización interna comunica información incluyendo objetivos y responsabilidades para el soporte y funcionamiento del control interno 15 Comunicación con entes externos las materias de operación del control interno.

51

51

Principio 13 Usa información relevante• Foco en :• Determinar la información relevante.• Determinar y tipificar las fuentes de data tanto internas

como externas.• Analizar los procesos informáticos relacionados con

información relevante.• Revisar las entradas, procesos y salidas.• Considerar costos y beneficios.

52

52

Principio 14 La organización interna comunica información incluyendo objetivos y responsabilidades para el soporte y funcionamiento del control interno

• Foco en :• Determinar los tipos de información y destinatarios.• Comunicaciones con el Directorio.• Líneas tipo hot lines y su confidencialidad.• Métodos de comunicación, oportunidad, audiencias y tipos

de comunicación.

53

53

Principio 15 Comunicación con entes externos las materias de operación del control interno.• Foco en :

• Especificar a quienes y qué tipo de información , ej.accionistas, reguladores, clientes, bancos etc .

• Canales de comunicación y su seguridad.• Comunicaciones con el Directorio.• Líneas de comunicacióin y tipos incluyendo hot lines.• Métodos usados.

54

54

PRINCIPALES CAMBIOS EN INFORMACION Y CONTROL RESPECTO A COSO 1992

• Enfatiza en la calidad de la información .• Pone foco en verificar las fuentes de la información. • Incluye la confianza, la privacidad y los requerimientos

regulatorios.• Llama a poner atención en la complejidad de los procesos, su

información y la relación con entes externos que usan la información.

• Destaca el impacto de la tecnología en la generación y difusión de la comunicación.

• Abre un gran abanico de todo lo que es información interna.

• Hoy la información es parte del negocio y su gestión.

55

CONTROL DE ACTIVIDADES MONITOREO

Principios involucrados 16 Conduce evaluaciones en línea o separadas17 Evalúa y comunica las deficiencias

PRINCIPALES CAMBIOS EN INFORMACION Y CONTROL RESPECTO A COSO 1992

• La separación entre monitoreo en línea y separado• Uso amplio de tecnología.

Ver documento de Introductorio COSO « COSOs Guidance on Monitoring Internal Control Systems «

La publicación completa puede comprarse

56

56

Principio 16 Evaluaciones en línea y separadas• Foco en ;• Mezcla de ongoing y después .Determinar y especificar.• Ver como cambian en el tiempo.• Determinar el conocimiento y entendimiento de los

receptores.• Integrarlas con los procesos de negocios.• Ver frecuencia y alcance.• Evaluar el feedback

57

57

Principio 17 Evaluar y comunicar las deficiencias• Foco en :• A quienes comunicar, preferente a. Directorio y alta

Administración • A quienes deben corregirlas.• Monitorear si se corrigieron oportunamente.• Dejar evidencias y registros.

58

Tomo 2 Herramientas de evaluación para ver el funcionamiento del control interno• El documento tiene más de 100 páginas con una detallada metodología

tendiente a :• Si hay una seguridad razonable para el logro de los objetivos, lo que

requiere de :• Cada componenente y cada principio de COSO estén presentes y

operando.• Los cinco componentes de COSO estén operando juntos y en forma

integrada • Cada principio se cumpla en cada entidad de la empresa.• Las principales deficiencias de control interno se levanten en cada

principio y elemento y se comuniquen para buscar soluciones.

59

59

ORGANIZACIÓN DEL DOCUMENTO HERRAMIENTAS

• 1. Visión general de la estructura de control interno.• 2 Evaluación de los componentes de COSO• 3 Evaluación de los 17 principios de COSO• 4 Resumen de las deficiencias observadas• 5 Escenario A si los principios y los componenentes están

presentes y funcionando.• 6 Escenario B si los componenentes están funcionando juntos y

en forma integrada.• 7 Escenario C Cómo las debilidades significativas de las

actividades de control impactan los principios , los componenentes y el control interno.

• 8 Escenario D Si los principios y componenentes están presentes y funcionan en una División Orgánica,Unidad operativa y función.

• 9 Escenario E Cómo las evaluaciones funcionan en localizaciones combinadas ej Matriz en EEUU y divisiones en Europa y América Latina.

• El documento no es una especie de Pizza de calentar y comer, muy por el contrario,cada cual debe desarrollarla y aplicarla en su empresa.

• MI RECOMENDACIÓN , no se enreden en detalles, vayan a lo principal.

• Veremos brevemente algo de esto en el curso.

60

60

ORGANIZACIÓN DEL DOCUMENTO HERRAMIENTAS

• 1. Visión general de la estructura de control interno.• 2 Evaluación de los componentes de COSO• 3 Evaluación de los 17 principios de COSO• 4 Resumen de las deficiencias observadas• 5 Escenario A si los principios y los componenentes están

presentes y funcionando.• 6 Escenario B si los componenentes están funcionando juntos y

en forma integrada.• 7 Escenario C Cómo las debilidades significativas de las

actividades de control impactan los principios , los componenentes y el control interno.

• 8 Escenario D Si los principios y componenentes están presentes y funcionan en una División Orgánica,Unidad operativa y función.

• 9 Escenario E Cómo las evaluaciones funcionan en localizaciones combinadas ej Matriz en EEUU y divisiones en Europa y América Latina.

• El documento no es una especie de Pizza de calentar y comer, muy por el contrario,cada cual debe desarrollarla y aplicarla en su empresa.

• MI RECOMENDACIÓN , no se enreden en detalles, vayan a lo principal.

• Veremos brevemente algo de esto en el curso.

61

Tomo 3 – Control Interno para proceso de reportes financieros externos ( Ojo los Estados Financieros son sólo una parte)

• Basado en el modelo COSO lo aplica a reportes financieros externos, es como un zoom especializado a esa materia

• Considera los cambios ocurridos en los negocios, el entorno y las operaciones desde COSO UNO de 1992

• Entrega ejemplos ilustrativost

• Alineado coimpletamente con COSO 2013

62

Internal Control over External Financial Reporting (ICEFR): A Compendium of Approaches and Examples• Approaches and Examples illustrate how various

characteristics of principles may be present and functioning within a system of internal control relating to external financial reporting▫ Approaches are designed to give a summary-level description of

activities that management may consider as they apply the Framework

▫ Examples illustrate one or more points of focus of a particular principle. They are not designed to provide a comprehensive, end-to-end example of how a principle may be fully applied in practice.

▫ Selected approaches and examples do not illustrate all aspects of components and relevant principles that would be necessary for effective internal control

• Stakeholders should refer to the Framework for the requirements of effective internal control − Compendium supplements and can be used in concert

63

Illustrative documents are responsive to public comments• ICEFR: A Compendium of Approaches and Examples

▫ Add or clarify specific examples, including: Establishing responsibilities for reviewing financial statements Monitoring investigation and reporting of whistleblower allegations Monitoring identification and protection of sensitive financial

information Monitoring identification and analysis of risk of material

misstatement due to fraud ▫ Address a risk-based approach for achieving external financial

reporting objectives Specify suitable objectives for external financial reporting Risks to achieving suitable objectives Responses to risks

64

64

COSO ERM Y COSO-RELACIONES• En risk response, debe tenerse con precisión como se

atiende cada riesgo y esto tiene que ver con los controles; COSO es más general.

• En Risk assessment, debe determinarse los riesgos y trabajar con metodologías de riesgo inherente y riesgo residual .COSO no tiene este foco detallado.

• En entorno de control COSO ERM menciona el rol de los Directores independientes.

• COSO ERM trabaja con riesgos interrelacionados; COSO no lo menciona.

• COSO es más amplio en control de actividades y las relaciones con tecnología.

• En información y comunicaciones COSO ERM tiene un enfoque más amplio y de gestión, incluyendo proyecciones. COSO es más fuerte en la calidad y precisión de la información.

• En monitoreo ,COSO ERM incluye más precisión e involucra a entes externos.

65

65

COSO ERM Y RISK RESPONSE ( Respuestas )• COSO ERM agrega un elemento que es las respuestas a

los riesgos.

• Esto significa que formulados los riesgos primarios , conviene desagregarlos en eventos de riesgos y determinar lo que se acepta y lo que no se acepta y de lo que se acepta, qué se transfiere y lo que se mitiga.

• De lo que se mitiga , para cada evento de riesgo debe haber uno o más controles, verificando su existencia y funcionamiento.

• Mi consejo y experiencia es trabajar conjuntamente con COSO y COSO ERM.

• COSO es más profundo en Control Interno y COSO ERM en administración y control de riesgos.

66

66

APETITO DE RIESGO Y TOLERANCIA AL RIESGO• COSO ERM es explícito.

• El apetito de riesgo debe cuantificarse por cada riesgo;ejemplo, la empresa en sus inversiones acepta inversiones en renta variable en acciones nacionales hasta un 5 % de su cartera de inversiones.

• La tolerancia al riesgo acepta hasta un 6 %

• Este es un punto sustantivo para un Auditor Interno, revisar que todos los riesgos primarios de la Matriz de Riesgos tengan sus apetitos y tolerancias establecidos y revisar su existencia y cumplimiento, informando, usualmente al Comité de Auditoría.

67

67





68

68

TRABAJO CONJUNTO CON COSO Y COSO ERM

69

69

COSO ERM

• Data del año 2004 , su definición dice:

• “The Enterprise Risk Management—Integrated Framework defines enterprise risk management as a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and to manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives”

Comentarios• Pone énfasis en la estrategia, la identificación de los

riesgos, su administración como un proceso, el establecimiento de los apetitos de riesgos y lograr la seguridad razonable para alcanzar los objetivos.

70

70

COSO ERM Y COSO-RELACIONES• COSO ERM es fundamentalmente para Administración de

riesgos, incluyendo a COSO en lo relativo a Control interno.• COSO ERM es más amplio que COSO incluye las estrategias

( parte superior del cubo ) como algo previo y a un nivel superior y su relación con los objetivos de la empresa y tiene que ver con la misión y visión de la empresa. COSO no se involucra con las estrategias.

• En COSO ERM,debe determinarse los apetitos de riesgos y la tolerancia.Esto debe hacerse en forma precisa.

• COSO ERM incluye una desagregación de los objetivos estratégicos para llegar a objetivos funcionales, pero relacionados con los estratégicos; COSO no lo hace.

• En COSO ERM, en event identification, conviene hacer un análisis FODA para a visualizar aspectos positivos que pueden ayudar en los negocios como las amenazas y posibles cursos de acción.

• En COSO ERM, risk response ( respuesta a riesgos ) se relaciona con separar riesgos en : evitar, transferir y administrar.

71

71

COSO ERM Y COSO-RELACIONES• En risk response, debe tenerse con precisión como se

atiende cada riesgo y esto tiene que ver con los controles; COSO es más general.

• En Risk assessment, debe determinarse los riesgos y trabajar con metodologías de riesgo inherente y riesgo residual .COSO no tiene este foco detallado.

• En entorno de control COSO ERM menciona el rol de los Directores independientes.

• COSO ERM trabaja con riesgos interrelacionados; COSO no lo menciona.

• COSO es más amplio en control de actividades y las relaciones con tecnología.

• En información y comunicaciones COSO ERM tiene un enfoque más amplio y de gestión, incluyendo proyecciones. COSO es más fuerte en la calidad y precisión de la información.

• En monitoreo ,COSO ERM incluye más precisión e involucra a entes externos.

72

72

COSO ERM Y RISK RESPONSE ( Respuestas )• COSO ERM agrega un elemento que es las respuestas a

los riesgos.

• Esto significa que formulados los riesgos primarios , conviene desagregarlos en eventos de riesgos y determinar lo que se acepta y lo que no se acepta y de lo que se acepta, qué se transfiere y lo que se mitiga.

• De lo que se mitiga , para cada evento de riesgo debe haber uno o más controles, verificando su existencia y funcionamiento.

• Mi consejo y experiencia es trabajar conjuntamente con COSO y COSO ERM.

• COSO es más profundo en Control Interno y COSO ERM en administración y control de riesgos.

73

73





74

74





75

75

COSO Y AUDITORÍA INTERNA

• El desarrollo e implementación es ajeno a Auditoría Interna.

• No obstante, mi experiencia es que en su desarrollo suele pedirse ayuda a Auditoría Interna.

• Recuerden la actual definición de Auditoría Interna• Auditoría interna es una actividad independiente y objetiva

de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos,control y gobierno.

76

Decisión

• La empresa en su Directorio decide adoptarlo • Se comunica a todos los niveles y se designa un jefe de proyecto

• Refcuerden es una ESTRUCTURA y no partes sueltas

Desarrollo e implementaci

ón

• Se compara lo que hay y se levantan los Gaps• Se desarrolla el proyecto y se implementa, Auditoría Interna puede ser parte del proyecto

Auditoría

• Se audita su funcionamiento y se levantan diferencias y observaciones

• Se hace un plan de mejoras con encargados y plazos

• Se vuelve a revisar el resultado del plan

77

Entorno de control

Evaluació n de Riesgos

Actividades de control Monitoreo

Información y comunicación

es

78

78

II ) EVALUACIÓN DEL CONTROL INTERNO USANDO COSO

• COSO tiene un documento específico para hacer este trabajo.

• Se llama «Illustrative Tools for Assessing Effectiviness of a System of Internal Control «

• Está en inglés y debe comprarse, tiene 146 páginas.• Uds en el curso pueden usar el borrador final de COSO

que es muy parecido al documento final.El ideal es comprarlos tres documentos de COSO

• Uds pueden acceder a él en el sitio web de la Asociación de Auditores Externos de Chie AG cuyo link es:

www.aechile.cl• Ahí buscan la pestaña de Gobierno Corporativo y luego

Sección COSO y luego busquen COSO 2013 Estructura borrador final 2011

• En la clase explicaremos su contenido y forma de usarlo.

http://www.aechile.cl/

79

79

CONTENIDO Y FORMA DE USARLO • Veamos en las diapositivas siguientes que hice un print pantalla• La secuencia parece al revés,pero tiene su lógica• Primero deben tener una visión general • Segundo deben revisar cada uno de los cinco componentes• Tercero deben revisar los 17 principios• Finalmente debe hacerse un registro de las deficiencias lo que

resulta de lo anterior • El documento al final incluye ejemplos que se los recomiendo• Es mi experiencia tanto profesional como académica que a la

mayoría de las personas les resulta complejo porque hay que trabajar interelacionado todo con todo. Recuerden la Torre Eiffel Por años y años los Auditores tanto en su formación académica cono laboral trabajan por partes aisladas y esto no sirve en la evaluación

• Veremos con ejemplos que explicaremos ,pero Uds la única manera de aprender esto es usarlo

80

Enseguida hay que relacionar con los objetivos – parte superior del cubo

Esta parte no está en el borrador sino en el documento final

Ejemplo de Evaluación de riesgo y objetivos- ( sólo principio 7 .hay que hacerlo con todas las relaciones)

Puntos de FocosObjetivos de operaciones

Refleja elecciones de la Administración sobre estructura, la industria y performance

Considera tolerancia al riesgo para el logro de los objetivosIncluye metas deseadasSe asignan recursos para metas

Objetivos de Reporte Financiero ExternoAcorde a principios contablesConsidera la materialidad en la presentación de EEFFRefleja todas las transacciones y sus aseveraciones Objetivos de reportes externos no financieros

Consistentes con leyes y regulaciones y respeto a entes externos Niveles de precisión establecidos por terceras partesAcorde a rangos de seguridad aceptables Objetivos de Reportes InternosSeguros y completos acorde a las necesidadesNiveles de precisión predefinidosCon límites establecidosObjetivos de Compliance

Entonces- para aprender a nadar no se hace por powerpoint, hay que aprender en la piscina• Atrévanse a usar estas herramientas para evaluar el

cumplimiento de COSO 2013, es motivador y útil para Uds y vuestra organización y verán que pueden cruzar la piscina sin ahogarse

• Ánimo y suerte

Documents

CLAIN 2014