Embed Size (px)
Citation preview
El informe COSO Y el Control interno
CPC Juan Francisco Alvarez Illanes
Contenidos.
¿Qué es el COSO? 1
Informe COSO 2
Objetivos Informe COSO 3
Componentes del Control Interno. 4
¿Qué es C.O.S.O?
Committee of Sponsoring Organizatión of the Treadway Commission
C O S O
¿Qué es COSO?
• Organización voluntaria del sector privado,
establecida en los EEUU, dedicada a proporcionar orientación a la gestión ejecutiva y las entidades de gobierno sobre los aspectos fundamentales de organización de este, la ética, control interno, gestión del riesgo, el fraude, y la presentación de informes financieros confiables.
Finalidad del Informe COSO
• Establecer un modelo común de control interno con el cual las organizaciones pueden evaluar sus sistemas de control, evaluar las principales causas que pueden conducir a presentar información financiera fraudulenta, desarrollar recomendaciones para entidades públicas y sus auditores externos y organismos reguladores, para mejorar la calidad de la información financiera y promover la rendición de cuentas a través de elementos tales como:
• la ética en la gestión, controles internos efectivos y adecuadas prácticas de gobierno corporativo e implementar un marco de uso general de Control Interno, capaz de integrar las diversas definiciones y conceptos que venían siendo utilizados sobre este tema, logrando contar con un marco conceptual común,
Informe COSO.
COSO I COSO II
05
componentes
08
componentes
NUEVA ESTRUCTURA DEL SISTEMA DEL CONTROL INTERNO
Conjunto de planes,
métodos,
procedimientos, políticas
y normas para ofrecer
seguridad razonable
sobre el logro de los
objetivos de Control
Interno, así como
prevenir, administrar y
monitorear los riesgos.
ESTRUCTURA
DEL C.I. Es el primer nivel
orgánico de la
estructura de C.I.
cuyos
componentes se
interrelacionan,
orientan y
contribuyen al
cumplimiento de
los objetivos de
carácter
estratégico del C.I.
C.I.
Estratégico
1
SUBSISTEMA COMPONENTE FACTORES
A
Ambiente
del control
B
Evaluación
de riesgos
• Filosofía y estilo de la dirección.
• Integridad y valores éticos.
• Administración y gestión estratégica.
• Estructura organizacional.
• Administración de los recursos
humanos.
• Competencia personal y profesional.
• Asignación de autoridad y
responsabilidad.
• Desarrollo del potencial humano.
• Clima de confianza.
• Coordinación de acciones
institucionales.
• Función efectiva del órgano de
control institucional.
• Planeamiento de la administración
de riesgos.
• Identificación de riesgos.
• Análisis y valoración de riesgos.
• Respuesta la riesgo.
• Monitoreo de riesgos.
Es el segundo nivel
orgánico o sub-sistema
de la estructura de C.I.
que se orienta a
establecer los controles
operativos y asegurar
la adecuada ejecución
de los procesos,
actividades y
operaciones
relacionadas con la
gestión de la entidad.
C.I.
Operativo
2
C
Desarrollo de
actividades de
Control
gerencial
D
Establecimiento
de sistemas de
información y
comunicación
Conjunto de planes,
métodos,
procedimientos, políticas
y normas para ofrecer
seguridad razonable
sobre el logro de los
objetivos de Control
Interno, así como
prevenir, administrar y
monitorear los riesgos.
ESTRUCTURA
DEL C.I.
SUBSISTEMA COMPONENTE FACTORES
• Procedimientos de autorización y
aprobación.
• Asignación y segregación de funciones.
• Evaluación beneficio costo.
• Controles al acceso a los recursos y
archivos.
• Controles sobre toma de decisiones e
información.
• Registro, verificación y conciliación de la
información.
• Evaluación del desempeño e indicadores.
• Documentación de procesos actividades y
tareas.
• Revisión de procesos, actividades y
tareas.
• Controles de tecnología de información.
• Rendición de cuentas y de gestión.
• Controles sobre los sistemas
administrativos.
• Funciones y características de la
información.
• Información y responsabilidad.
• Flexibilidad al cambio.
• Archivo institucional.
• Comunicación interna.
• Comunicación externa.
• Canales de comunicación.
• Sistemas de información.
• Prevención y monitoreo.
• Monitoreo oportuno y continuo.
E
Actividades de
prevención y
monitoreo
Componentes COSO. I
• Ambiente de control
• Evaluación de riesgos
• Desarrollo de actividades de control Gerencial
• Sistemas de información y comunicación
• Supervisión del control interno
Componentes COSO. II • Ambiente de control
• Establecimiento de objetivos
• Identificación de eventos
• Evaluación de riesgos
• Respuesta a los riesgos
• Desarrollo de actividades de control Gerencial
• Sistemas de información y comunicación
• Supervisión y monitoreo del control interno
Informe COSO II.
• Este nuevo enfoque no sustituye el marco de control interno, sino que lo incorpora como parte de él, permitiendo a las entidades mejorar sus prácticas de control interno o decidir encaminarse hacia un proceso más completo de gestión de riesgo.
Informe COSO.
Establecer una definición común de control interno que responda a las necesidades de las distintas partes.
Objetivos
Facilitar un
modelo en base al
cual las empresas
y otras entidades,
cualquiera sea su
tamaño y
naturaleza, puedan
evaluar sus
sistemas de
control interno
Control interno
• Se define al control interno como un instrumento de gestión que se utiliza para proporcionar una garantía razonable del cumplimiento de los objetivos establecidos, es ejecutado por las personas en cada nivel de una organización y proporciona seguridad razonable para la consecución de los siguientes objetivos:
• (i) eficacia y eficiencia en las operaciones, • (ii) confiabilidad en la información
financiera, y • (iii) cumplimiento de las leyes y regulaciones. • Debe ser construido dentro de la
infraestructura de la entidad y debe estar entrelazado con sus actividades de operación.
Marco Legal del C.I.
Control Interno.
Aprueba
Normas de
Control
Interno
Ley de Control
Interno de las
Entidades del
Estado
Aprueba la Guía
para la
Implementación
del SCI de las
Entidades del
Estado
Sistema de control interno
– La Ley Nº 28716, Ley de Control Interno de la Entidades del Estado, define como sistema de control interno al conjunto de: Planes , métodos, procedimientos, acciones, actividades, políticas, normas, registros, organización, incluyendo la actitud de las autoridades y el personal, organizados e instituidos en cada entidad para la consecución de los objetivos institucionales
Normas de control interno R.C. nº 320-2006- CG
• Las Normas de Control Interno, constituyen lineamientos, criterios, métodos y disposiciones para la aplicación y regulación del control interno en las principales áreas de la actividad administrativa u operativa de las entidades, incluidas las relativas a la gestión financiera, logística, de personal, de obras, de sistemas de información y de valores éticos, entre otras.
ESTRUCTURA DEL CONTROL INTERNO COSO I
AMBIENTE DE CONTROL
EVALUACION DE RIESGO
ACTIVIDAD DE CONTROL
INFORMACION COMUNICACIONAL
MONITOREO
Quienes son responsables de la implementación del control interno
• Los titulares, funcionarios y servidores de cada entidad, según su competencia, son responsables de establecer, mantener, revisar y actualizar la estructura de control interno en función a la naturaleza de sus actividades y volumen de operaciones. Asimismo, es obligación de los titulares, la emisión de las normas específicas aplicables a su entidad, de acuerdo con su naturaleza, estructura, funciones y procesos en armonía con lo establecido en el presente documento.
Componente ambiente de control
• El componente ambiente de control define el establecimiento de un entorno organizacional favorable al ejercicio de buenas prácticas, valores, conductas y reglas apropiadas, para sensibilizar a los miembros de la entidad y generar una cultura de control interno.
• Estas prácticas, valores, conductas y reglas apropiadas contribuyen al establecimiento y fortalecimiento de políticas y procedimientos de control interno que conducen al logro de los objetivos institucionales y la cultura institucional de control.
Contenido:
• 1.1. Filosofía de la Dirección • 1.2. Integridad y los valores éticos • 1.3. Administración estratégica • 1.4. Estructura organizacional • 1.5. Administración de recursos humanos • 1.6. Competencia profesional • 1.7. Asignación de autoridad y
responsabilidades • 1.8. Órgano de Control Institucional.
Componente evaluación de riesgos
• El componente evaluación de riesgos abarca el proceso de identificación y análisis de los riesgos a los que está expuesta la entidad para el logro de sus objetivos y la elaboración de una respuesta apropiada a los mismos. La evaluación de riesgos es parte del proceso de administración de riesgos, e incluye: planeamiento, identificación, valoración o análisis, manejo o respuesta y el monitoreo de los riesgos de la entidad.
• Contenido • 2.1. Planeamiento de la gestión de riesgos • 2.2. Identificación de los riesgos • 2.3. Valoración de los riesgos • 2.4. Respuesta al riesgo.
Componente actividades de control gerencial
• El componente actividades de control gerencial comprende políticas y procedimientos establecidos para asegurar que se están llevando a cabo las acciones necesarias en la administración de los riesgos que pueden afectar los objetivos de la entidad, contribuyendo a asegurar el cumplimiento de estos.
Contenido activ. de Control Gerencial
• 3.1. Procedimientos de autorización y aprobación • 3.2. Segregación de funciones • 3.3. Evaluación costo-beneficio • 3.4. Controles sobre el acceso a los recursos o archivos • 3.5. Verificaciones y conciliaciones • 3.6. Evaluación de desempeño • 3.7. Rendición de cuentas • 3.8. Revisión de procesos, actividades y tareas • 3.9. Controles para las Tecnologías de la Información y
Comunicaciones (TIC).
Componente de información y comunicación
• Se entiende por el componente de información y comunicación, los métodos, procesos, canales, medios y acciones que, con enfoque sistémico y regular, aseguren el flujo de información en todas las direcciones con calidad y oportunidad. Esto permite cumplir con las responsabilidades individuales y grupales.
Contenido de información y comunicación
• 4.1. Funciones y características de la información • 4.2. Información y responsabilidad • 4.3. Calidad y suficiencia de la información • 4.4. Sistemas de información • 4.5. Flexibilidad al cambio • 4.6. Archivo institucional • 4.7. Comunicación interna • 4.8. Comunicación externa • 4.9. Canales de comunicación.
La supervisión
• El sistema de control interno debe ser objeto de supervisión para valorar la eficacia y calidad de su funcionamiento en el tiempo y permitir su retroalimentación. Para ello la supervisión, identificada también como seguimiento, comprende un conjunto de actividades de autocontrol incorporadas a los procesos y operaciones de la entidad, con fines de mejora y evaluación. Dichas actividades se llevan a cabo mediante la prevención y monitoreo, el seguimiento de resultados y los compromisos de mejoramiento.
Contenido de la supervisión
• 5.1. Normas básicas para las actividades de prevención y monitoreo
• 5.1.1. Prevención y monitoreo • 5.1.2. Monitoreo oportuno del control interno • 5.2. Normas básicas para el seguimiento de resultados • 5.2.1. Reporte de deficiencias • 5.2.2. Seguimiento e implantación de medidas correctivas • 5.3. Normas básicas para los compromisos de mejoramiento • 5.3.1. Autoevaluación • 5.3.2. Evaluaciones independientes.
COSO II
“Administración de riesgo de la empresa” ERM
Estructura del COSO II.
• Los 8 componentes del coso II están interrelacionados entre si. Estos procesos debe ser efectuados por el director, la gerencia y los demás miembros del personal de la empresa a lo largo de su organización
• Los 8 componentes están alineados con los 4 objetivos.
• Donde se consideran las actividades en todos los niveles de la organización
La administración de riesgos de la empresa (ERM) COSO describe en su marco basado en principios tales como:
• La definición de administración de riesgos de la entidad
• Los principios críticos y componentes de un proceso de administración de riesgo corporativo efectivo.
• Pautas para las organizaciones, para que ellas sean capaces de administrar sus riesgos.
• Criterios para determinar si la administración de riesgo de la empresa es efectiva
Conceptos claves de el COSO II
• Administración del riesgo en la determinación de la estrategia
• Eventos y riesgo
• Apetito de riesgo
• Tolerancia al riesgo
• Visión de portafolio de riesgo
Descripción de Componente del COSO II.
Ambiente interno
• Sirve como la base fundamental para los otros componentes del ERM, dandole disciplina y estructura.
• Dentro de la empresa sirve para que los empleados creen conciencia de los riesgos que se pueden presentar en la empresa
Establecimientos de objetivos.
• Es importante para que la entidad prevenga los riesgo, tenga una identificación de los eventos, una evaluación del riesgo y una clara respuesta a los riesgos en la organización.
• La entidad debe tener objetivos claros que se alineen y sustenten con su vision y mision, pero siempre teniendo en cuenta que cada decision con lleva un riesgo que debe ser previsto por la organización
Identificación de eventos
• Se debe identificar los eventos que afectan los objetivos de la organización aunque estos sean positivos, negativos o ambos, para que la empresa los pueda enfrentar y proveer de la mejor forma posible.
• La entidad debe identificar los eventos y debe diagnosticarlos como oportunidades o riesgos. Para que pueda hacer frente a los riesgos y aprovechar las oportunidades.
Actividades de control
• Son las políticas y procedimientos para asegurar que las respuesta al riesgo se lleve de manera adecuada y oportuna.
• Tipo de actividades de control:
• Preventiva, detectivas, manuales, computarizadas o controles gerenciales
Respuesta al riesgo
• Una vez evaluado el riesgo la gerencia identifica y evalúa posibles repuestas al riesgo en relación al las necesidades de la entidad.
• Las respuestas al riesgo pueden ser:
• Evitarlo: se discontinúan las actividades que generan riesgo.
• Reducirlo: se reduce el impacto o la probabilidad de ocurrencia o ambas
• Compartirlo: se reduce el impacto o la probabilidad de ocurrencia al transferir o compartir una porción del riesgo.
• Aceptarlo: no se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo.
Información y comunicación
• La información es necesaria en todos los niveles de la organización para hacer frente a los riesgos identificando, evaluando y dando respuesta a los riesgos.
• La comunicación se debe realizar en sentido amplio y fluir por toda la organización en todo los sentidos.
• Debe existir una buena comunicación con los clientes, contribuyentes, proveedores, reguladores y público en general.
Monitoreo.
• Sirve para monitorear que el proceso de administración de los riesgos sea efectivo a lo largo del tiempo y que todos los componentes del marco ERM funcionen adecuadamente.
• El monitoreo se puede medir a través de:
• Actividades de seguimiento continuo
• Evaluaciones puntuales
• Una combinación de ambas formas
Relación entre COSO I y COSO II.
Análisis
• COSO II “ERM” toma muchos aspectos importantes que el coso I no considera, como por ejemplo
– El establecimiento de objetivos
– Identificación de riesgo
– Respuesta a los riesgos • Se puede decir que estos componentes son claves para definir las
metas de la empresa .
• Si los objetivos son claros se puede decidir que riegos tomar para hacer realidad las metas de la organización.
• De esta manera se puede hacer una clara identificación, evaluación, mitigación y respuesta para los riesgos.
COSO en la Organización.
GOBIERNOS CORPORATIVOS
GESTION DE RIESGOS
ACCIONISTAS DIRECTORIO ADM. SUPERIOR
ENTORNO
COSO en la Organización. • Gobiernos Corporativos:
– Es el conjunto de relaciones, de mejores prácticas, que debe establecer una empresa entre su Junta de Accionistas , su Directorio y su Administración Superior para acrecentar el valor para sus accionistas y responder a los objetivos de todos sus stakeholder.
COSO y Auditoria Interna.
• La auditoria interna se considerará entonces como una parte del sistema de control.
• Informe COSO es una herramienta utilizada por la Auditoria interna para realizar el control interno de la empresa.
• La responsabilidad de los Auditores Internos en este proceso es la de revisar el Control implementado.
“Saber no es suficiente,
debemos aplicar.
Desear no es suficiente,
debemos hacer.
Si no levantas los ojos,
creerás que eres el
punto más alto”.
