Taller de Capacitación: Metodología para el Monitoreo … proceso, efectuado por el Directorio, Gerencia y el personal en general de una entidad, diseñado para ... Alcance de la

Módulo I: Sistema de Control Interno

29 de abril de 2013

Taller de Capacitación:Metodología para el Monitoreo del Sistema de Control Interno Empresas de la Corporación FONAFE

Módulo I: Sistema de Control Interno Pág. 229 de Abril de 2013

Modulo I► Introducción: Control interno según

COSO► ¿Qué es control interno?§ Definiciones clave§ Marco de referencia integrado COSO§ Actualización del Marco COSO – 2012§ Beneficios de implementar un SCI

► Marco normativo internacional y local

► Componentes COSO► Entorno de Control► Evaluación de Riesgos► Actividades de Control► Información y Comunicación► Monitoreo

Agenda

Introducción: Control interno según COSO


Algunos conceptos clave:

► Es un proceso.

► Es realizado por la gente, no son sólo políticas, encuestas y formularios.

► Es aplicada en la definición de la estrategia.

► Se aplica en toda la organización.

► Su objetivo es identificar acontecimientos que afecten eventualmente a la entidad y administrar el riesgo de acuerdo con el nivel de riesgo aceptado.

► Provee seguridad razonable a la gerencia y al directorio de una entidad.

► Está orientada al logro de objetivos.

► Ayuda a fortalecer la gobernanza corporativa y, entre otros de sus beneficios, sirve para diversificar la obtención de financiamientos y listar en el mercado de valores.

Soci

edad

/ E

ntid

adU

nida

d de

neg

ocio

s

Pro

ceso

/ A

ctiv

idad

Objetivos de Negocios de COSO

Com

pone

ntes

de

CO

SO

Nivel de la Organización

Información y comunicación

Monitoreo

Actividades de control

Evaluación de riesgos

Entorno de Control

Alcance Tradicional del 404 de la Ley

SOX

¿Qué es control interno?Definiciones clave


¿Qué es control interno?Marco de referencia integrado COSO

§ En 1985 se formó la ComisiónTreadway, en respuesta a fracasos producidos por la deficiencia de los controles internos.

§ En 1992 publicó el Marco de Referencia Integrado de Control Interno.

§ En 2004 publicó el COSO-ERM§ En el 2012 actualizó el Marco

COSO.

Control Interno según COSO

Un proceso, efectuado por el Directorio, Gerencia y el personal en general de una entidad, diseñado para proporcionar seguridad razonable con respecto al logro de objetivos.

Deficiencias materiales de

Control Interno

Disminuye la confianza en la organización (reputación)

Aumenta el riesgo

No se alcanzan los objetivos (pérdidas financieras)

Entorno de control

Actividades de controlMonitoreo



Efectividad y eficiencia en las operaciones

Confiabilidad en el reporte financiero

Cumplimiento con leyes y regulaciones

Directorio

Gerencia

Personal

Logro de objetivos estratégicos


§ Entorno de control: permite conocer el grado de conciencia general que existe dentro de la organización con respecto a los controles (es decir, el “tono” en los niveles superiores).

§ Evaluación de riesgos: muestra el proceso que lleva a cabo la gerencia para identificar, gestionar y remediar los riesgos que podrían echar por tierra los objetivos de negocios.

§ Actividades de control: se centra en los programas, las iniciativas y las actividades que apuntan a mitigar los riesgos relevantes de manera eficaz.

§ Información y comunicación: facilita el flujo de información transparente en la organización, y permite contar con reportes confiables dentro y fuera de la organización.

§ Actividades de Monitoreo: somete el marco de control interno a revisiones continuas.

► COSO busca fortalecer los controles internos de una entidad, a través de suscinco (5) componentes:

¿Qué es control interno?Marco de referencia integrado COSO (cont.)


¿Qué es control interno?Actualización del Marco COSO en el año 2012

¿Qué se mantiene? ¿Qué es lo que cambia?1. Definición de control interno2. Cinco componentes de control interno3. Los criterios fundamentales para

evaluar la efectividad del sistema de control interno

4. Uso de juicio para evaluar la efectividad del sistema de control interno

1. Codificación de los principios con aplicación universal para su uso en el desarrollo y evaluación de la efectividad de sistema de control interno

2. Ampliación del objetivo de reporte financiero, incluyendo el reporte interno y externo, así como el reporte financiero y no financiero

3. Foco en los objetivos operacionales, de cumplimiento y en el reporte no financiero

Beneficios del Marco COSO actualizado

Mejora del gobierno

Mejora de la calidad de la evaluación de riesgos

Fortalecimiento de esfuerzos anti-fraude

Mayor aplicabilidad en varios modelos de negocio

Uso extendido del reporte financiero

Adaptación de controles a cambios del negocio


¿Qué es control interno?Actualización del Marco COSO en el año 2012 (cont.)

Entorno de control




Actividades de monitoreo

1. Demostración de compromiso respecto de la integridad y valores éticos2. Ejercicio de la responsabilidad de supervisión3. Establecimiento de estructura, autoridad y responsabilidad4. Demostración de compromiso con la competencia profesional5. Refuerzo de hacerse responsable (“accountability”)

6. Especificación de objetivos relevantes7. Identificación y análisis de riesgos8. Evaluación de riesgos de fraude9. Identificación y análisis de cambios significativos

10. Selección y desarrollo de actividades de control11. Selección y desarrollo de controles generales de TI12. Despliegue del control a través de políticas y procedimientos

13. Uso de información relevante14. Comunicación interna15. Comunicación externa

16. Conducción de evaluaciones continuas / independientes17. Evaluación y reporte de deficiencias

17 principios del Marco COSO


¿Qué es control interno?Beneficios de implementar un SCI

Transparencia/Cumplimiento

Control de Riesgos

Imagen Institucional

Eficiencia y mejora de la gestión

Efectividad de controles

Calidad / Clase Mundial

Soci

edad

/ En

tidad

Uni

dad

de n

egoc

ios

Proc

eso

/ Act

ivid

ad

Objetivos de Control

Elem

ento

s C

OSO

Nivel de la Organización


Monitoreo



Entorno de Control

Alcance de la Sección 404 de la

Ley SOX

La adopción del SCI permitirá fortalecer los controles internos al tomar acción sobre las principales debilidades de control interno identificadas, a lo largo de la organización.


Marco normativo internacional y localEvolución normativa del Control Interno

COSO IControl Interno Marco Integrado

Normas Técnicas de Control Interno RC 072-98-CGR

Ley Orgánica del Sistema Nacional de Control y de la Contraloría General de la República Nº 27785 –CGRJul. 2002Art. 7 parrafo 4: “obligación del titular del control interno”

Normas de Control Interno RC 320-2006-CGR

D.U Nº 067-2009Decreto de Urgencia que modifica el Art. 10 de la Ley Nª 28716Ley Marco

Modernización del Estado Ley Nº 27658

COSO IIGestión de RiesgosCorporativos –Marco Integrado

Guía para laImplementación delControl Interno RC 458-2008 –CGR(Plazos 24m: 12 primeros avance de la implementación, 12 reporte final)

Ley Nº 29743 –Ley que modifica el Articulo 10ª de la Ley Nº 28716, Ley de Control Interno de las Entidades del EstadoJul.2011

Ley Nº 28716 de Control Interno de las Entidades del Estado Ley

1992

1998

2002

2006

20082009

2011

2004

2012

Actualización del Marco COSO I

Componentes COSO

Pág. 1229 de Abril de 2013 Módulo I: Sistema de Control Interno

El entorno de control brinda información general sobre la conciencia de la organización con respecto a los controles y sobre sus intenciones de evitar riesgos.

COSO identificó indicadores clave que sirven como referencia para determinar la cultura de "riesgo" corporativa y cómo influye en términos generales sobre la arquitectura de control, los cuales se indican a continuación:

Integridad y valores éticos

• Código de conducta• Capacitación sobre ética• Políticas que hagan

hincapié en las normas éticas

• Inicio oportuno de acciones legales contra los que violan el código

• Prácticas de contratación (por ejemplo, verificación de referencias)

• Otros

Directorio / comité de auditoría

• Directorio y comité integrado por personas independientes y competentes

• Participación activa en las principales decisiones de la gerencia

• Supervisión del desempeño de la gerencia

Compromiso con la competencia

• Procedimientos eficaces de contratación y evaluación del desempeño por parte de RRHH

• Funciones y responsabilidades definidas claramente (por ejemplo, descripciones de los puestos / matriz de capacidades, etc.)

• Capacitación

Filosofía y estilo operativo de la

gerencia

Políticas y procedimientos de

RRHH

Estructura de la organización

Asignación de responsabilidades

Indicadores del Entorno de Control

Indi

cado

rFa

ctor

es q

ue

Con

trib

uyen

Componente 1: Entorno de Control


Componente 1: Entorno de ControlFoco de revisión

XXXXXXXXXXXXXXX

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

XXXXXXXXXXXXXXX


A Revisar la filosofía de la Dirección respecto del SCI y su compromiso con los valores éticos

q Declaración de valores

q Difusión del Código de Ética

q Cultura de control interno

Comité de Control Interno

Grupo Directivo

Grupo Operativo

Grupo Evaluador

B Revisar la administración estratégica de la Compañía, así como su seguimiento periódico

C Revisar la estructura organizacional, autoridad y responsabilidad

D Revisar la gestión de RRHH y compromiso con la competencia profesional

q Políticas de reclutamiento y selección

q Procedimiento de inducción

q Políticas de capacitación y evaluación de desempeño

q Descripciones y perfiles de puestos definidos

XXXXXXXXXXXXXXX


XXXXXXXXXXXXXXX


Gestión de proveedores

► Pareto de proveedores (general, por tipo de compra, por familia de productos)

► Identificación de proveedores comunes, estimando poder de negociación relativo


Componente 2: Evaluación de riesgosDefinición de riesgo

Un Riesgo de Negocio es un hecho, una acción o una omisión que podría afectar adversamente la capacidad de una

organización de lograr sus objetivos de negocios y ejecutar sus estrategias con éxito.

En algunas circunstancias podría resultar ser una oportunidad.

► Riesgo = "¿Qué puede fallar?"

► El riesgo tiene dos componentes: ü probabilidad ü impacto

► El riesgo no desaparece por más que exista un control. El control sólo reduce el impacto o probabilidad de ocurrencia del riesgo.

► La ausencia de un control no es un riesgo.


Componente 2: Evaluación de riesgosCategorías de riesgosLos riesgos pueden provenir de diversas fuentes y afectar los objetivos de negocios de distintos niveles de la organización.

Integridad de la Información Financiera

Eficiencia y Eficacia de las Operaciones

Cumplimiento de Leyes y

Reglamentaciones

Origen de la Amenaza Efecto en laOrganización

Riesgos externos

Riesgosinternos

Riesgosinherentes

Riesgos deentidad

Riesgos deprocesos

Riesgos deactividades


Componente 2: Evaluación de riesgosCategorías de riesgos (cont.)Clasificación orientada a objetivos:

M Riesgos de Cumplimiento: se refiere a la falta de supervisión con respecto a las decisiones de la gerencia, su compromiso con las normas éticas y la competencia profesional, las políticas y los procedimientos, así como falta de cumplimiento de la normativa legal local.

M Riesgos Estratégicos: aquellos riesgos asociados a las decisiones estratégicas, tácticas y operativas, que impactan en los objetivos estratégicos de la Compañía.

M Riesgos Financieros / De Información: riesgos que impactan el logro de objetivos financieros (p.e. liquidez, estabilidad financiera, etc.), que pueden verse afectados si la información es incompleta o inexacta.

M Riesgos Tecnológicos: comprenden los riesgos asociados con la implementación y el uso de ciertas tecnologías (por ejemplo, plataformas de sistemas de TI o producción), y la capacidad de recuperar dichos recursos ante hechos catastróficos.

M Riesgos Operativos: aquellos riesgos que impactan el logro de objetivos de los procesos operativos de la Compañía, los cuales están alineados a la estrategia de la misma.


Impacto: Nivel de exposición financiera de la Compañía ante un riesgo, o cuantía de la pérdida financiera que se pudiera generar si ocurriera el evento de riesgo. Los niveles de impacto de carácter cuantititativo se obtienen del nivel de materialidadde la Compañía, considerando los saldos de las cuentas significativas de sus EstadosFinancieros.También se consideran en este criterio factores cualitativos que no pueden ser de fácil valorización, tales como el impacto respecto de la reputación e imagen de la Compañía, pérdidas humanas , etc.

Probabilidad: Grado de posibilidad de que ocurra el evento de riesgo en un período de tiempo determinado. Puede ser estimada en función a cuántas veces históricamente ha ocurrido el evento de riesgo en la Compañía o qué posibilidad existe de que ocurra en el futuro.

Componente 2: Evaluación de riesgosCriterios de evaluación de riesgos


Muy baja

Moderada

Muy alta

El evento no ha ocurrido pero podría presentarse al menos 1 vez en los siguientes 5 años

Mensual o menor

1,000 – 2,000

Impacto

Bajo - “Entre“

Moderado - “Entre”

Extremo - “Mayor a ”

250

2,000

En miles de S/.

5

M A A MA MAMuy alto impacto

B M A MA MAAlto impacto

Moderado impacto B M M A MA

Bajo impactoB B M A MA

Muy bajo impacto B B M M A

Muy baja Baja Moderada Alta Muy alta

1

2

3

4

5

Alto - “Entre”

500 – 1,000

Muy Bajo - “Menor a“

250 - 500

Alto

Bajo

5

1

2

3

4

5Probab.

Semestral o trimestral

1 vez al año

1 vez en los siguientes 3 años

Componente 2: Evaluación de riesgosEjemplos de criterios de evaluación de riesgos


Componente 2: Evaluación de riesgosMetodología para la evaluación de riesgos

II.Identificación de riesgos y

controles

I.Identificación de procesos

críticos y definición de criterios para la evaluación

de riesgos

III.Evaluación

de riesgos y controles

IV.Elaboración de Plan de Acción

V.Reporte de Resultados

• Revisión de • Revisión de estrategias, objetivos clave del negocio.

• Identificación de los procesos clave.

• Desarrollo de criterios para la evaluación de riesgos.

• Desarrollo de criterios para la evaluación de controles.

• Identificación de • Identificación de riesgos a nivel entidad y transaccionales.

• Definición del universo de riesgos.

• Identificación de controles.

• Identificación del • Identificación del riesgo inherente / bruto al que está expuesta la Entidad.

• Evaluación del diseño del control (configuración del control con respecto al riesgo que se está mitigando).

• Estimación del riesgo residual al que está expuesta la Compañía.

Alto

Medio

Bajo

AltoMedioBajo

1

2

3

4

5

6

7

89

10

11IMPACTO

P R O B A B I L I D A D

• Identificación de • Identificación de mejoras en los controles que mitiguen los riesgos a un nivel aceptado por la Entidad.

• Elaboración de un Plan de Acción

• Matriz de Riesgos y • Matriz de Riesgos y Controles.

• Plan de Acción.

Evaluación de Riesgos


Componente 2: Evaluación de riesgosEstrategias de tratamiento de riesgos

Son 6 las estrategias posibles de tratamiento de los riesgos:

• Explotar: aceptar niveles de riesgo altos para aprovechar oportunidades

• Retener: conservar el riesgo sin tomar ninguna acción adicional más que su adecuado monitoreo

• Reducir: establecer controles para disminuir la probabilidad de ocurrencia del riesgo• Evitar: dejar de realizar la actividad que genera el riesgo

• Transferir: transferir a un tercero la administración del riesgo

• Mitigar: establecer controles para disminuir el impacto del riesgo

Explotar

Evitar

Retener

Reducir

Transferir

Mitigar


Componente 2: Evaluación de riesgosFoco de revisión

A Revisar el Plan Integral de Gestión de Riesgos, así como los criterios de evaluación de riesgos

B Revisar la identificación de riesgos (incluyendo los de fraude)

C Revisar la evaluación (valoración) de riesgos

D Revisar las estrategias de respuesta a los riesgos

Explotar

Evitar

Retener

Reducir

Transferir

Mitigar


Componente 3: Actividades de controlDefinición de control

Se define Control como toda medida tomada para mitigar o gestionar el riesgo, y para que la probabilidad de que un negocio / proceso logre sus metas y objetivos

sea mayor.

Los controles son actividades incorporadas al proceso que ayudan a prevenir o detectar la ocurrencia de un evento de riesgo, a fin de cumplir los objetivos generales del negocio y del proceso:

Inicio Actividad 1 S/N

Actividad 2

Actividad 3

Actividad 4 Actividad 5 Fin

Modelo de Flujo de Proceso

Tareas que constituyenlas actividades de control


Componente 3: Actividades de control Categorías de controles

Tipos de control

Según la oportunidad en que se ejecuta el Control Según el grado de automatización

Preventivo: Actividad que ayuda a evitar que ocurra un riesgo.

Detectivo: Actividad que permite identificar errores luego de ocurrido el riesgo.

Manual: Actividad que depende de la habilidad de la persona para prevenir o detectar los errores ocurridos.

Semiautomático: Actividad que depende de la habilidad de la persona para prevenir o detectar los errores ocurridos utilizando información proveniente de un sistema.

Automático: Actividad que es realizada internamente por el sistema.


Componente 3: Actividades de control Evaluación de controles

La evaluación de los controles se realiza en dos (2) dimensiones:

► Diseño del control: Si el control está diseñado para reducir el riesgo identificado (está directamente relacionado con el riesgo).

► Efectividad operativa del control: Si el control funciona tal como fue diseñado, aplicándose sistemáticamente a todas las operaciones del proceso, y si, según datos confiables, logró corregir los errores de manera oportuna.


Componente 3: Actividades de control Evaluación de controles (cont.)

Riesgo Control - diseño inadecuado Control - diseño adecuadoQue no se depositen los fondos recaudados.

La conciliación bancaria es realizada por el Cajero.

Semanalmente, la conciliación bancaria es realizada por el Asistente Contable (no se encarga de los pagos ni recepción dedinero), dejando como evidencia su firma en el archivo excel correspondiente.

Ejemplo de evaluación de controles:

RiesgoControl – operatividad

inadecuadaControl - operatividad

adecuadaQue no se depositen los fondos recaudados.

-No hay evidencia de la ejecución de la conciliación.-No se evidencia la fecha de la ejecución de la conciliación o fue realizada con un mes de retraso.-Hay meses por los que no se realizó conciliación.-Se mantienen partidas de conciliación inapropiadas.

La conciliación ha sido realizada:-Por la persona indicada, evidenciándose con su firma en el documento correspondiente y en la oportunidad debida.-Se cuenta con evidencia de la ejecución y revisión.-No se mantienen partidas de conciliación inapropiadas.


Componente 3: Actividades de control Foco de revisión

A Revisar los procedimientos de autorización / aprobación y si se realizan análisis de segregación de funciones

B Revisar si se ha realizado una evaluación costo-beneficio de los controles

C Revisar si se han implementado controles de accesos a los recursos o archivos

D Revisar si se aplican verificaciones / conciliaciones, así como las entregas a rendir

E Revisar si los procesos están documentados y si son revisados (actualizados) periódicamente

q Información críticaq Equiposq Activos de TIq Archivo central


►La eficacia del Control Interno depende de la comunicación oportuna de expectativas y resultados.

►Las estrategias de comunicación son esenciales para adaptar el entorno a nuevas condiciones o actuar frente a deficiencias críticas.

Componente 4: Información y Comunicación

Gerencia

Comunicación ascendente

Unidades Funcionales / Personal

Proveedores

Comunicación descendente

v Funciones y características de la información

v Información y responsabilidad

v Calidad y suficiencia de la información

v Sistemas de información

v Flexibilidad al cambio

v Archivo institucional

v Comunicación interna

v Comunicación externa

v Canales de comunicación


Componente 4: Información y ComunicaciónFoco de revisión

A Revisar si se han definido las características de la información, así como la responsabilidad sobre ella

B Revisar si hay una integración de los sistemas de información con las operaciones clave

C Revisar si hay una cultura de flexibilidad al cambio

D Revisar si el archivo central cuenta con las condiciones de seguridad necesarios para la custodia de la información

E Revisar si se han definido e implementado políticas de comunicación interna y externa

q Información claveq Plazos de entrega internosq Nivel de exactitud y precisiónq Niveles de detalle y rigorq Mecanismos de recuperación de datos

Gerencia

PersonalCompañía


Componente 5: Monitoreo

Compromisos de

mejoramiento

Seguimiento de

resultados

Prevención y monitoreo1

2

3

► La prevención y monitoreo se debe efectuar sobre los diferentes documentos que regulen y sustenten el desarrollo de las actividades de la organización, sean éstos de gestión, operativos o de control.

► Ello con la finalidad de tener una seguridad razonable de que se van a cumplir con los objetivos así como aquellos relacionados con el control interno.

Implica:► Reportar las deficiencias, pues provee información necesaria para la mejora

continua de los procesos de la organización. Para ello se requiere registrar y comunicar las deficiencias de manera oportuna, a través de reportes, con la finalidad que se tomen acciones correctivas.

► Implementar y dar seguimiento a las medidas correctivas tomadas.

► Son las acciones necesarias para corregir las desviaciones encontradas en el sistema de control interno y en gestión de operaciones, al efectuarse la autoevaluación y la evaluación independiente.

Incluye tres (3) aspectos:


Componente 5: MonitoreoFoco de revisión

A Revisar si se han definido e implementado actividades de prevención y monitoreo

B Revisar si se han definido e implementado actividades de seguimiento de resultados

C Revisar si hay evidencia de compromisos de mejora

q Prevención y monitoreoq Monitoreo oportuno del control

interno

q Reporte de deficiencias

q Implantación y seguimiento de medidas correctivas

q Autoevaluaciónq Evaluaciones independientes

(Insert suitableslide here)




Módulo I: Sistema de Control Interno

29 de abril de 2013

Taller de Capacitación:Metodología para el Monitoreo del Sistema de Control Interno Empresas de la Corporación FONAFE

Documents

Taller de Capacitación: Metodología para el Monitoreo … proceso, efectuado por el Directorio, Gerencia y el personal en general de una entidad, diseñado para ... Alcance de la