DEFINICION SEGUN COSO II (ERM)

COSO

II:

Enterprise

Risk

Management

(Administracin

de

Riesgos

Empresariales). El modelo COSO IC (COSO I) ha sido definido como el instrumento de auditora utilizado para evaluar los controles internos de las organizaciones. Pero las

necesidades de control han ido cambiando, los inversores no slo piden un modelo que d fiabilidad a los datos de los informes financieros, sino que a su vez se pudiera auditar su modelo de control de gestin, no tanto desde la bsqueda del beneficio o la rentabilidad sino del riesgo inherente. Por este motivo COSO ha seguido innovando y lo que haba sido un modelo de control interno ha pasado a ser un modelo de control estratgico, su nombre es COSO Enterprise Risk Management (ERM), su caracterstica bsica es la de ser compatible con COSO IC, incorporando un componente estratgico, que es el de poder gestionar el riesgo empresarial, porque provee a los consejos de administracin de una herramienta capaz de identificar y evaluar los riesgos de negocio y construir a su vez un programa efectivo para dar respuesta y capacidad de decisin a los riesgos identificados.

Por tanto, aunque los comienzos del modelo COSO IC estn esencialmente relacionados con la auditoria, la necesidad de desarrollar una herramienta de direccin que permita gestionar y reducir el riesgo empresarial, deja de ser una herramienta de auditora para convertirse en una herramienta de control estratgico, este desarrollo del modelo COSO IC es el denominado como COSO Enterprise Risk Management (ERM). El modelo COSO ERM ha sido diseado manteniendo las mismas dimensiones que el modelo COSO IC - (los objetivos, los niveles del enfoque y los componentes de control internos). La primera mejora del modelo fue expandir los objetivos al incorporar la estrategia, junto con los objetivos previos de las operaciones, el reporting y el acatamiento. La siguiente mejora fue ampliar los niveles del enfoque sobre las actividades de la empresa para incluir las divisiones o hasta el nivel de filiales. La mejora final fue ampliar la ltima dimensin con la idea de la "La valoracin de riesgo" en los siguientes cuatro componentes: el marco de objetivos, la identificacin del evento, la valoracin del riesgo y la reaccin ante el riesgo. Por este motivo y como conclusin a lo sealado hasta ahora, el objetivo principal del modelo COSO ERM es gestionar el riesgo empresarial. La filosofa que soporta la utilidad del modelo para una organizacin se basa en la idea de que una organizacin tiene un " riesgo implcito" al estar alineado o no con su estrategia. Las sorpresas en las operaciones se pueden reducir al identificar a priori aquellos eventos potenciales que pueden plantear una amenaza a la organizacin y establecer a tiempo las respuestas ms convenientes. Estas respuestas incluyen todas las fases de la toma de decisin racional. Finalmente el modelo COSO ERM incorpora una visin del portfolio de riesgos, en los que los riesgos no son vistos aisladamente sino que son identificados y llevados a la estructura organizativa.

Cmo se Inici ERM? ERM comenz en las empresas de servicios financieros, seguros, servicios pblicos, petrleo, gas, e industrias manufactureras qumicas En estas industrias los riesgos estn bien documentados y medidos; comnmente se utilizan sofisticados modelos estadsticos; existe entendimiento y supervisin sobre La sensibilidad del mercado y riesgos Cmo se Inici ERM? Los Auditores Internos utilizan ERM porque la metodologa tradicional de muestreo usualmente no es suficiente para obtener los resultados deseados. La metodologa tradicional es a menudo ineficaz y costosa. El enfoque cambi de auditora basada en control. Se enfoca en el riesgo para determinar qu es importante y seleccionar la muestra de control. Efectividad y eficacia de las operaciones Confiabilidad en los reportes financieros Cumplimiento con las leyes y reglamentos aplicables El nuevo marco COSO descansa en los primeros conceptos de control interno y refleja lo valioso de ERM

Conceptos Clave sobre ERM Todas las entidades existen para darle valor a sus accionistas Todas las entidades enfrentan la incertidumbre, por lo tanto, cunta es aceptable? La incertidumbre puede ser un riesgo o una oportunidad ERM no se refiere a controles, se refiere a desempeo

Qu no es ERM Una herramienta para la toma de decisiones Una tcnica de clasificacin para dar seguimiento a controles internos El nico seguro al respecto El trabajo de unos cuantos Mitos sobre ERM Es un soporte con el que se pueden tomar decisiones basados en informacin 100% confiable y basada en informacin sin margen de error. Slo sirve para catalogar o tomar inventario de todos los riesgos que afectan a una organizacin Con l, las auditoras sern infalibles Es un proceso independiente y aislado del resto de la organizacin Cuesta demasiado implementarlo. Beneficios de ERM Alinea la propensin al riesgo y la estrategia. Relaciona crecimiento, riesgo y retorno de la inversin Ampla las decisiones de respuesta al riesgo. Minimiza sorpresas y prdidas operacionales. Identifica y administra riesgos a lo largo de toda la organizacin. Proporciona respuestas integradas a los mltiples riesgos. Toma ventaja de las oportunidades. Mejora la asignacin de capital.

 Se relaciona con la gobernabilidad corporativa Proporciona informacin al Consejo Directivo s/riesgos Se conecta con el desempeo de la Administracin Ayuda a organizaciones a lograr objetivos y evitar prdidas Ayuda a asegurar reportes efectivos Ayuda a asegurar el cumplimiento con leyes y reglamentos 1. Modelo de Control Interno COSO 1.1 Definicin de control interno El control interno es un proceso llevado a cabo por la Junta Directiva de la entidad, los directivos y otro personal designado para proveer garanta razonable en cuanto al logro de objetivos en las tres siguientes categoras: Eficiencia y eficacia de las operaciones Razonabilidad de los estados financieros. Cumplimiento con las polticas y procedimientos internos y con las leyes y regulaciones aplicables. 1.2 Objetivos organizacionales. Los objetivos se pueden definir como los resultados a largo plazo que una organizacin aspira a lograr a travs de su misin bsica. Los objetivos son de vital importancia en el xito de las organizaciones, pues suministran direccin, ayuda en la evaluacin, revelan prioridades, permiten la coordinacin y son esenciales para las actividades de control, motivacin, organizacin y planificacin efectivas. Los objetivos deben reunir las siguientes caractersticas: ser medibles,

razonables, claros, coherentes y estimulantes.

La definicin de los objetivos puede ser un proceso altamente estructurado o informal, pueden definirse explcitamente o ser implcita. El conocimiento de las fortalezas y debilidades de la entidad, y de las oportunidades y amenazas, conducen hacia una estrategia global.

Generalmente, el plan estratgico se establece de manera amplia teniendo en cuenta la asignacin de recursos y prioridades determinadas por el alto nivel. La consecucin total de los objetivos definidos implica disponer de los recursos suficientes para ello. Una forma de aliviar la consecucin de recursos adicionales es cuestionar los objetivos de actividades que no apoyan los objetivos de la entidad y el proceso de negocios de la misma. Otra manera de balancear objetivos y recursos es identificar aquellos objetivos de actividad, que son muy importantes o crticos, para la consecucin de

objetivos globales. No todos los objetivos son iguales, algunas entidades los priorizan. Las entidades pueden identificar ciertos objetivos de actividad que sean crticos y prestar cuidadosa atencin a las actividades de monitoreo relacionadas con esos objetivos. Esta nocin refleja el concepto de Factores Crticos de xito, donde las actividades deben ser correctas para conseguir los objetivos de la entidad. 1.3 Los elementos del control interno del modelo COSO Adems de los objetivos, el control interno comprende cinco elementos interrelacionados. Estos se derivan de la forma como la gerencia maneja la

organizacin y estn integrados con el proceso de gestin.

De manera ilustrativa se puede decir que cuando se va a comenzar un negocio o cualquier actividad empresarial, se considera en primer lugar los objetivos de la misma. Una vez claros los objetivos y para llevarlos a feliz trmino es

necesario contar con el recurso humano idneo y los elementos fsicos indispensables. MODELO DE CONTROL INTERNO - COSO

MONI- TOREO ACTIVIDADES DE CONTROL

VALUACIN DE RIESGOS

AMBIENTE DE CONTROL

Teniendo

la

infraestructura

apropiada

se debe

pensar

en los posibles

problemas que se pueden presentar y que impedirn el logro de los objetivos fijados o en otras palabras qu riesgos debe enfrentar la empresa. Cuando son identificados dichos riesgos el siguiente paso consiste en minimizarlos

utilizando controles. Sin embargo, es claro que para mantener un efectivo sistema de control de la organizacin, la informacin y los canales de comunicacin son claves y las actividades de monitoreo permiten detectar las desviaciones que dificultarn la consecucin de los objetivos. Con esta breve Ilustracin, a continuacin se describen los cinco elementos: ambiente de control, valoracin de riesgos, actividades de control, informacin y comunicacin y monitoreo, tal como son presentados en el Control Interno - Marco Integrado publicado por el comit de Organizaciones Patrocinadoras de la Comisin Tread way, ampliamente conocida como COSO.

1.3.1 Ambiente de control El ambiente de control define el tono de una organizacin influenciando la

conciencia de control de su gente. Es el cimiento para todos los otros elementos del control interno, suministrando disciplina y estructura. Los

factores del Ambiente de Control incluyen la integridad, los valores ticos y la competencia de la gente de la entidad, la filosofa de la administracin y el estilo operacional, la forma cmo la administracin asigna autoridad y

responsabilidad y organiza y desarrolla a su gente y la provista por la Junta Directiva. 1.3.2 Evaluacin de riesgos

atencin y direccin

Se define como riesgo la probabilidad de que un suceso ocurra y provoque prdidas. Cada entidad enfrenta una variedad de riesgos de fuentes internas y externas que deben ser evaluadas. La evaluacin de riesgos comprende su identificacin y anlisis, conformando una base para determinar cmo los riesgos deben ser manejados. Es necesario entonces, que la organizacin posea mecanismos para identificar y manejar riesgos nuevos debido a las condiciones cambiantes de la economa, industria, condiciones reglamentarias y operacionales. 1.3.3 Actividades de control y administracin de riesgos. 1.3.3.1 Actividades de control Las actividades de control se refieren a las polticas y procedimientos que

ayudan a asegurar que los objetivos de la organizacin se lleven a cabo. Las actividades de control ayudan a asegurar que se tomen acciones necesarias para atacar riesgos y lograr los objetivos de la entidad. Las actividades de control ocurren a travs de toda la organizacin, a todos los niveles y en todas las funciones. Incluyen una gran y variada gama de actividades como aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones de comportamiento

operacional, seguridad de activos y segregacin n de tareas, entre otras.

Las actividades de control se pueden dividir en cuatro categoras, basadas en la naturaleza de los objetivos de la Entidad con las cuales se relacin:

Operacin, informacin financiera, cumplimiento y salvaguarda de activos. Si bien algunos de los controles se relacionan con un rea a menudo se

sobreponen, dependiendo de las circunstancias una actividad particular de control puede ayudar a satisfacer los objetivos en ms de una de las cuatro categoras de objetivos, as, los controles de operacin tambin pueden ayudar a asegurar informacin financiera confiable, los controles de informacin financiera pueden servir para efectuar cumplimiento y as todo lo dems.

1.3.4 Informacin y Comunicacin En este elemento del sistema de control interno se diferencian la informacin de la comunicacin, en que la primera son los datos necesarios para cumplir con las funciones y la comunicacin es la manera como la informacin fluye. La informacin pertinente debe ser identificada, capturada y comunicada de cierta forma y dentro de un marco de tiempo que permita a la gente cumplir con sus responsabilidades. Los sistemas de informacin producen reportes que contienen informacin relacionada con aspectos operacionales, financieros y de cumplimiento que hacen posible el manejo y control de la organizacin. Este elemento del modelo no slo est relacionado con la informacin generada internamente, sino tambin con la informacin de eventos externos. Una comunicacin eficaz debe ocurrir en un sentido amplio, circulando hacia abajo, hacia arriba y a travs de toda la organizacin. Todo el personal debe recibir un mensaje claro de la alta direccin que controla las responsabilidades y el personal debe tener medios para comunicar informacin significativa hacia arriba. Adems, todos los individuos deben entender su propio rol en el sistema de control

interno, as como la manera en que sus actividades individuales se relacionan o afectan el trabajo de los dems. Adicionalmente, se necesita comunicacin eficaz con los interesados externos, tener una

tales como clientes,

proveedores, reguladores y accionistas. 1.3.5 Monitoreo Los sistemas de control interno necesitan ser monitoreados. El monitoreo es un proceso que evala la calidad del comportamiento de los sistemas a travs del tiempo. Los sistemas de control interno cambian con el tiempo. La manera como se aplican los controles tiene que evolucionar. Debido a que los procedimientos pueden tornarse menos efectivos, o quizs no se desempeen ampliamente. Ello puede ocurrir a causa de la llegada de personal nuevo, la variacin de la efectividad del entrenamiento y la supervisin, la reduccin de tiempo y recursos u otras presiones adicionales. Adems, las circunstancias para las cuales se dise el sistema de control interno pueden cambiar, originando que se llegue a ser menos capaz de anticiparse a los riesgos originados por las nuevas condiciones. Por consiguiente, la administracin necesita determinar si el sistema de control interno contina siendo relevante y capaz de manejar los nuevos riesgos. El monitoreo asegura que el control interno contina operando efectivamente. Este proceso implica la valoracin, por parte del personal apropiado, del diseo y de la operacin de los controles en una adecuada base de tiempo y realizando las acciones necesarias. Se aplica para todas las actividades en una organizacin, lo mismo que algunas veces para contratistas externos. Por ejemplo, el outsoursing del procesamiento. El monitoreo puede hacerse de tres maneras: mediante actividades sobre la marcha o mediante evaluaciones separadas o a travs de una combinacin de las dos. Los sistemas de control interno usualmente se estructurarn para monitorearse a s mismos sobre una base de monitoreo sobre la marcha en

algn grado. A mayor grado de efectividad del monitoreo sobre la marcha, se necesitan menos evaluaciones separadas. La frecuencia de las evaluaciones separadas necesarias para que la Administracin tenga una seguridad razonable respecto de la efectividad del sistema de control interno es asunto del juicio de la Administracin. Para tomar tal determinacin deben hacerse las siguientes consideraciones : la naturaleza y el grado de cambios que ocurren y sus riesgos asociados, la competencia y la experiencia de la gente en la implementacin de los controles, lo mismo que los resultados del monitoreo sobre la marcha. Usualmente, alguna combinacin de monitoreo sobre la marcha y evaluaciones separadas asegurar que el sistema de control interno mantenga su efectividad en el tiempo. Debe reconocerse que los procedimientos de monitoreo sobre la marcha se construyen en las actividades normales, repetitivas, de una entidad. Puesto que se desempean con una base de tiempo real, reaccionan dinmicamente a las condiciones cambiantes y estn integrados en la entidad, son ms efectivos que los procedimientos desempeados en evaluaciones separadas. Dado que las evaluaciones separadas se realizan luego de los hechos, los problemas a menudo sern identificados ms rpidamente por las rutinas de monitoreo sobre la marcha. Algunas empresas con slidas actividades de monitoreo sobre la marcha conducirn al menos a una evaluacin separada de sus sistema de control, o de parte del mismo cada uno o dos aos. Una entidad que percibe una necesidad de evaluaciones separadas frecuentes deber centrarse en mejorar sus actividades de monitoreo sobre la marcha y por consiguiente enfatizar en construir controles inmersos en las actividades en vez de aadirlos.

Monitoreo sobre la marcha: Son mltiples las actividades que sirven para monitorear la efectividad del control interno en el curso ordinario de las operaciones. administracin y supervisin, Comparaciones, arqueos y Incluyen actos regulares de

conciliaciones, aprobaciones,

otras acciones rutinarias. Los siguientes son ejemplos de

actividades de monitoreo sobre la marcha:

En el desarrollo de las actividades regulares de administracin, la gestin operativa obtiene evidencia de que el sistema de control interno contina funcionando cuando los reportes de operacin estn integrados o se concilian con el sistema de informacin financiera y se usan para administrar operaciones en una base de monitoreo sobre la marcha, las inexactitudes o excepciones significativas a los resultados anticipados es probable que sean detectadas fcilmente. La efectividad del sistema de control interno es aumentada mediante la informacin oportuna y completa y mediante la solucin de esas excepciones.

Las comunicaciones recibidas de partes externas corroboran la informacin generada internamente o sealan problemas. Las entidades financieras corroboran implcitamente los datos de saldos al no elevar quejas o reclamos. Mediante el dilogo u otros medios, los reclamos de los clientes respecto a los saldos pueden indicar deficiencias sistmicas en el procesamiento de la informacin De la misma manera, los reguladores tambin pueden comunicarse con la entidad respecto del cumplimiento u otros asuntos que se reflejan en el funcionamiento del sistema de control interno.

La estructura organizacional apropiada y las actividades de supervisin proporcionan una visin amplia de las funciones de control y de la identificacin de deficiencias. Por ejemplo, la revisin de las tareas entre diferentes individuos sirve para prevenir el fraude de empleados puesto que inhibe la habilidad de un individuo para encubrir sus actividades

sospechosas. Los datos registrados mediante los sistemas de informacin se

comparan con las existencias fsicas. Los inventarios de productos

terminados, por ejemplo, se pueden examinar peridicamente. Puede verse que cada una de esas actividades de monitoreo sobre la marcha orienta aspectos importantes de cada uno de los componentes del control interno. Evaluaciones separadas: Mientras que los procedimientos de monitoreo

sobre la marcha usualmente proporcionan retroalimentacin importante sobre la efectividad de otros elementos de control, puede ser til tomar de tiempo en tiempo una mirada centrada directamente en la efectividad del sistema. Ello tambin proporciona una oportunidad para considerar la continua efectividad de los procedimientos de monitoreo sobre la marcha. Las evaluaciones del control interno varan en alcance y frecuencia,

dependiendo del significado de los riesgos que estn siendo controlados y de la importancia de los controles en la reduccin de aquellos. Los controles que se orientan a riesgos de prioridad alta y a aquellos ms crticos para reducir un riesgo dado, tendern a ser evaluados ms frecuentemente. La evaluacin de un sistema de control interno completo - que ser necesitada con menos - puede motivarse por

frecuencia que la valoracin de controles especficos

diversas razones : estrategia principal o cambio administrativo, adquisiciones y disposiciones, o cambios significativos en las operaciones o en los mtodos de procesamiento de informacin financiera. Cuando se toma una decisin para evaluar el sistema de control interno completo de una entidad, la atencin se debe dirigir a cada uno de los elementos del control interno con respecto a todas las actividades significativas. El alcance de la evaluacin tambin depender de las categoras de objetivos gestin, informacin financiera, cumplimiento y salvaguarda de activos - a los cuales est orientado. A menudo, las evaluaciones toman la forma de auto-valoraciones, en las que las personas responsables por una unidad o funcin particular determinan la

efectividad de los controles para sus actividades. Los auditores internos normalmente realizan evaluaciones del control interno como parte de sus obligaciones regulares, o por peticin especial de la alta direccin. De la misma manera, la Administracin puede usar el trabajo de los auditores externos para considerar la efectividad del control interno. Puede emplearse una combinacin de esos esfuerzos para conducir cualquiera de los procedimientos de evaluacin que la administracin considere necesarios. Cada elemento afecta a todos los dems y el funcionamiento e interrelacin de todos ellos originan un sistema integrado que reacciona dinmicamente ante las condiciones cambiantes. As, por ejemplo, si se desmejora el ambiente de control, los riesgos a afrontar cambiarn y por ende los controles, las funciones de supervisin y el tipo de informacin y comunicacin necesaria. 1.4 La Relacin entre los objetivos y los elementos del control interno. Existe una relacin directa entre las categoras de objetivos que son los que toda entidad trata de lograr: a) eficiencia y efectividad de las operaciones, b) salvaguarda de activos, c) razonabilidad financiera y d) cumplimiento de las polticas y los cinco elementos que representan lo que es necesario para lograr los objetivos: a) ambiente de control, b) valoracin de riesgos, c) actividades de control, d) informacin y comunicacin y e) monitoreo. Todos los cinco elementos son relevantes para cada objetivo y deben estar presentes y funcionando eficazmente para concluir que el control interno sobre las operaciones es apropiado. Por ejemplo, para garantizar que la entidad cumple con todas las normas, polticas y reglamentaciones internas y externas, la estructura de la organizacin requiere de mantener un nivel apropiado en cada uno de los elementos, es decir, tener un buen ambiente de control, un mecanismo de valoracin de riesgos, efectividad en las actividades de control, etc. Para lograr los diferentes objetivos dentro de la organizacin se disean

componentes o conjuntos de actividades, los cuales descansan sobre un sistema de control interno que es en s mismo un proceso efectuado por la gente proporcionando seguridad razonable. Un componente o actividad puede

enfocarse a la consecucin de uno o ms categoras de objetivos. Por ejemplo, en la entrega de una remesa de numerario se persigue ser eficiente y efectivo, cumplir con todas las polticas y procedimientos, reflejar apropiadamente el hecho en los estados financieros y tomar las medidas de seguridad necesarias. En la grfica se muestra un cubo donde se representa la interrelacin entre componentes, elementos del sistema de control y objetivos.

RE LAC I N E N T R E L O S O B J E T I V O S Y L O S E L E M E N T O S

C O M P O N E N T C O M P O N E N T C O M P O N E N T C O M P O N E N T C O M P O N E N T

MONITOREO

INFORMACIN Y COMUNICACION

ACTIVIDADES DE CONTROL

EVALUACION DE RIESGOS

AMBIENTE DE CONTROL

2. Administracin de Riesgo Una auditora basada en riesgos permite evaluar la entidad en un ambiente de riesgo, antes de verlo en un ambiente de control. Esto es, que en vez de identificar y examinar controles, la auditora se basar en la identificacin de riesgos y en el examen de como la gerencia mitiga estos riesgos. La mayora de las tcnicas para mitigar riesgos envolver los controles, pero el auditor examinar Qu tan bien han sido manejados estos riesgos? , en lugar de Son los controles sobre estos riesgos adecuados y efectivos? . En un esquema de auditora basada en controles y no en riesgos se efectan recomendaciones seguidas de recomendaciones que lleva a que los controles se coloquen sobre los controles haciendo los procesos sobrecargados, costosos y lentos. En un ambiente de riesgos, las directivas deben estar interesadas en algo ms que en el control interno para evitar todos o algunos riesgos. As, la gerencia puede optar por compartir las consecuencias de los riesgos a travs de contratos, seguridades, garantas y seguros. La gerencia tambin puede decidir aceptar algunos riesgos. En muchos casos, estas estrategias pueden ser menos costosas en el proceso del negocio que aplicar los controles adicionales. La auditora basada en los riesgos significa ampliacin de la perspectiva de la auditora interna para incluir todas las tcnicas de riesgo gerencial diferentes a actividades de control. Esta prctica tambin da al auditor una oportunidad para examinar los procesos que tengan controles excesivos permitindole recomendar pocos controles en la medida en que se identifiquen mtodos anticuados e ineficientes.

3. Clases de Riesgos: Se define como riesgo la probabilidad de que un suceso ocurra y provoque prdidas a una persona individual o jurdica. Para efectos metodolgicos los riesgos as : actos fortuitos, actos han sido clasificados en seis grupos,

indebidos de empleados, actos criminales de

terceros, inherentes, ineficiencia e ineficacia y tcnicos-informticos. a) Actor fortuitos Son aquellos riesgos de tipo natural que se sabe pueden ocurrir, pero no es posible determinar cundo se podrn producir, ni su magnitud, tales como: Temblor, terremoto, huracn, rayo, etc. Incendio Accidente y deterioro Muerte y/o accidente de empleados. b) Actos indebidos de empleados Son los provocados intencionalmente por personas empleadas de la

institucin se identifican los siguientes: Sabotaje Paro sindical Robo Manipulacin de la informacin Sustitucin Malversacin de fondos c) Actos criminales de terceros Son los riesgos provocados intencionalmente por personas ajenas a la entidad. Se identifican los siguientes: Robo Fraude Vandalismo Sustitucin Falsificacin

d) Propios de la naturaleza de la actividad El riesgo inherente es la susceptibilidad bsica de la actividad a errores, prdidas o irregularidades. A continuacin se identifican los riesgos propios de la naturaleza de la actividad inherentes y se describen algunos de ellos: Crdito : Contingencia de prdida por incumplimiento de los compromisos de la contraparte originado en el deterioro de su estructura financiera que puede llevar a no pago, pago parcial o pago inoportuno de las obligaciones. Liquidez: Contingencia de prdida por pago inoportuno a terceros. Tasas de inters: Prdidas relacionadas con las variaciones de las tasas de inters pactadas en las operaciones activas y pasivas del Banco. Tasa de Cambio: Prdidas originadas en la variacin de la cotizacin del peso en relacin con otras monedas. Se relaciona con los activos y pasivos expresados en monedas diferentes al peso. Cambiario: Prdidas originadas en problemas cambiarios de pases en los cuales se encuentra la contraparte.

e) Ineficiencia e Ineficacia Son los riesgos relacionados con el uso ineficiente e ineficaz de los recursos del Banco, que no permitan un mejor desempeo de los empleados y una mayor productividad en las actividades y procesos. Entre los recursos se cuentan el talento humano, recursos fsicos, financieros e informacin. A continuacin se definen los trminos eficiencia, eficacia y su correlacin con la efectividad, de la siguiente manera:

Eficiencia Se refiere a la utilizacin ptima (ms productiva y econmica) de recursos. Responde a la pregunta Qu tan bien estn siendo utilizados los

recursos de fuerza laboral, capital, materiales, informacin, etc?

Eficacia depende de si realmente la organizacin est haciendo lo que debe hace r, o de qu tan adecuadamente se estn logrando los resultados de acuerdo con el propsito esperado de precisin en el tiempo adecuado. Efectividad Se refiere a que el recurso utilizado sea pertinente para el proceso del negocio, as como a que su entrega sea oportuna, correcta, consistente y de manera utilizable. f) Tcnicos-informticos Son aquellos generados por el uso de tecnologa informtica en el desarrollo de las operaciones. Entre estos se tienen los siguientes riesgos con base en la 3 metodologa COBIT : Confidencialidad: Se refiere a la posibilidad de que la informacin sensible sea revelada de manera no autorizada, o de que sea interceptada en forma legible. Es decir, la informacin debe estar debidamente restringida o compartida segn el nivel de confidencialidad requerido para la actividad o proceso.

Dentro de los factores asociados a este riesgo estn: acceso no autorizado a la informacin o a los recursos; autorizacin de acceso a informacin no pertinente al objetivo de una actividad determinada.

Integridad: Se refiere a la posibilidad de que la informacin no sea precisa, completa y valida, de acuerdo con los valores y expectativas de la actividad o proceso. Es decir, las modificaciones a los datos o la informacin debe estar debidamente controlada con el fin de asegurar la proteccin de la precisin y suficiencia de los mismos. Se consideran factores de riesgos los siguientes: fuente de informacin no autorizada; informacin no precisa, incompleta, o no valida; modificacin o actualizacin no autorizada, errada o incompleta.

Disponibilidad: Se refiere a la posibilidad de que la informacin y los servicios informticos no estn disponibles cuando sean requeridos por el proceso o actividad ahora y en el futuro. Se consideran como factores de riesgo: acceso no adecuado a la informacin requerida, falta de informacin requerida por la actividad o proceso, no disponibilidad de recursos ante fallas o emergencias, inapropiada proteccin de los recursos (datos, sistemas de informacin, equipos), restricciones de uso de los recursos en el momento requerido.

Auditabilidad:

Se

refiere

la

posibilidad

de

no

poder

establecer

responsabilidades frente a cualquier evento dentro de un proceso o actividad determinada. Es decir, que la inexistencia o deficiencia de mecanismos de

verificacin, o de seguimiento no permita determinar el responsable de las acciones sobre la informacin.

COSO PARA PYMES (COSO III) Antecedentes Se emiti un borrador para discusin en el perodo de Octubre 2005 a Enero de 2006 y en Julio de 2006 se public el documento definitivo.

En un principio eran los 5 componentes del Modelo COSO emitido en 1992 ms un componente ms, e inclua 26 principios: Ambiente de control Evaluacin de riesgos Actividades de Control Informacin y Comunicacin Monitoreo + Roles y Responsabilidades Finalmente quedaron los cinco componentes

Define al sistema de control interno como un proceso realizado por la direccin, la gerencia y el personal de una entidad diseado para proporcionar una seguridad razonable con respecto al cumplimiento de los objetivos de la organizacin.

OBJETIVOS Promover eficiencia y eficacia en las operaciones Asegurar confiabilidad en la informacin financiera Lograr el cumplimiento con las leyes y regulaciones aplicables No sustituye a ninguno de los Modelos anteriores Est enfocado solamente a cumplir el objetivo de: - Asegurar la confiabilidad de la informacin financiera Son 20 principios y 76 Atributos Cada principio tiene varios atributos El no cumplir con un principio = Deficiencia No todos los Atributos son requeridos - Pero todos los Principios si son requeridos

Aplicaciones en las Pymes En las Pymes la evaluacin de los riesgos resulta ser ms informal y menos estructurada que en las grandes corporaciones, no obstante los conceptos mencionados son bsicos independientemente del tamao de la organizacin. Los objetivos de las Pymes son comunicados de manera ms fcil, directa y eficazmente a toda la organizacin. La identificacin y anlisis de los riesgos que pueden afectar a la concrecin de dichos objetivos a menudo se obtienen directamente de los empleados o terceros dado el grado de acercamiento que posee la alta direccin con respecto al resto de la empresa. Evaluacin A continuacin se mencionan algunos factores a tener en cuenta cuando se evalan los objetivos, riesgos y gestin del cambio:

Objetivos globales Si los objetivos determinados, expresan clara y completamente lo que la empresa desea conseguir. Si resulta eficaz la forma en que se comunican los objetivos al personal.

Existe vinculacin y coherencia entre los objetivos y las estrategias de la empresa.

Objetivos asignados a cada actividad

Conexin entre los objetivos de cada actividad y los globales. Idoneidad de los recursos en relacin a los objetivos.

Identificacin de los objetivos por actividad que son importantes para alcanzar los objetivos generales.

Riesgos

Idoneidad de los mecanismos aplicados para la identificacin de los riesgos externos e internos.

Integridad y relevancia del proceso de anlisis de los riesgos (estimacin, probabilidad y plan de accin acorde).

Identificacin de los riesgos importantes que puedan afectar los objetivos establecidos.

Gestin del cambio

Existencia de mecanismos para la previsin, identificacin y reaccin ante los acontecimientos que influyen en la realizacin de los objetivos globales o especficos.

Existencia de mecanismos para identificar y reaccionar ante los cambios en el entorno que pueden llegar a afectar a la organizacin.

Un nuevo modelo del informe COSO incluye 20 principios que no pueden dejarse a un lado si se busca prevenir riesgos de fraude y emitir balances confiables.

Cuando se hablaba de control interno, pareca un terreno reservado a las grandes corporaciones. Sin embargo, ya hay ejemplos concretos de que esta realidad ha

cambiado de la mano de una versin ms simplificada del informe COSO -el enfoque ms utilizado a nivel mundial por organizaciones pblicas y privadas para aplicar control interno y lograr una mejora continua en sus procesos-.

El Nuevo Modelo Simplificado

El Marco de Control Interno COSO para las ms pequeas compaas ha sido aprobado. Fue un documento muy esperado por las empresas ms pequeas en diferentes partes del mundo, ya que estas opinaban que los costos relacionados con el control interno eran directamente proporcionales a la cantidad de requerimientos de COSO y a la complejidad de su implementacin.

Es una versin reducida del marco COSO original emitido en 1992 , utilizando menos principios, pero adicionando un sistema de codificacin especial para facilitar el cumplimiento de la gua. El fuerte Comit de expertos de las principales instituciones de auditora interna, contabilidad, fraude y cumplimiento regulatorio que han estado involucrados en su adaptacin opina que "COSO Small Co." Es considerablemente ms pequeo y ms sencillo de interpretar que el marco COSO original.

El documento final incluye apenas 20 de los 26 principios originales incluidos en el borrador, mientras el nmero de atributos que contienen los principios fue cortado, llevndolo de 113 a 75. El documento ha sido dividido en tres captulos para que sea ms sencillo de comprender, implementar y auditar.

Estos captulos son: Resumen: Un resumen ejecutivo, proporcionando una visin de alto nivel para la Direccin y la alta gerencia

Principios y Ejemplos: Una descripcin del control interno sobre la divulgacin del reporte financiero en las empresas ms pequeas, principios fundamentales extrados del marco COSO original con atributos relacionados y ejemplos de cmo una compaa pequea podra aplicar los principios manteniendo una adecuada relacin costo-beneficio.

Herramientas: Un compendio de herramientas para ayudar a la gerencia a evaluar el control interno. Los Principios COSO para "las ms pequeas".

Cules

son

los 20

principios

bsicos

del

informe?

Para alcanzar un efectivo control interno sobre el reporte financiero, el documento indica bsicamente que las claves son: Ambiente de Control Integridad y Valores ticos: la sana integridad y los valores ticos, particularmente en la alta gerencia, han sido desarrollados, comprendidos y adoptados, fijando el estndar de conducta para la divulgacin financiera. Comit de Direccin: la Junta de Directores entiende y ejercita la responsabilidad por los errores relacionados con el reporte financiero y el control interno. Filosofa de Direccin y Estilo de Gestin. La filosofa del management y el estilo de apoya el alcance de un control interno efectivo sobre el reporte financiero. Estructura Organizativa: la estructura organizativa de la empresa soporta el alcance de un eficaz control interno sobre la informacin financiera. Competencias para el Adecuado Reporte Financiero: la compaa retiene a los individuos competentes en el reporte financiero y la deteccin de errores relacionados con dichos reportes. Autoridad y Responsabilidad: el Management y empleados son asignados de acuerdo a adecuados niveles de autoridad y responsabilidad para facilitar un efectivo control interno sobre el reporte financiero. Recursos Humanos: polticas y prcticas de RRHH son diseadas e implementadas para facilitar un efectivo control interno sobre el reporte financiero.

Evaluacin de Riesgos Objetivos del Reporte Financiero: el Management especifica los objetivos sobre el reporte financiero con suficiente claridad y criterio para permitir la identificacin de riesgos sobre la divulgacin del reporte financiero. Riesgos del Reporte Financiero. La compaa identifica y analiza los riesgos relacionados con el alcance de los objetivos de divulgacin del reporte financiero como base para determinar cmo los riesgos deberan ser manejados. Riesgos de Fraude. El riesgo potencial para la declaracin errnea material relacionada con la produccin del fraude se considera explcitamente en la identificacin de riesgos relacionados con los objetivos de divulgacin financiera.

Actividades de Control Integracin con la Evaluacin de Riesgos. Son tomadas acciones para direccionarlas a los riesgos de alcanzar los objetivos del reporte financiero. Seleccin y Desarrollo de las Actividades de Control. Las actividades de control son seleccionadas y desarrolladas considerando sus costos y su potencial efectividad para mitigar riesgos de alcanzar los objetivos del adecuado reporte financiero. Polticas y Procedimientos. Polticas relacionadas con la divulgacin de informacin confiable sobre el reporte financiero son establecidas y comunicadas a travs de la compaa, con sus correspondientes procedimientos, resultando en que dichas polticas y procedimientos sean llevadas a cabo. Tecnologa de la Informacin. Los controles de TI, donde son aplicables, son diseados e implementados para dar soporte al alcance de los objetivos del reporte financiero.

Informacin y Comunicacin Reporte de Informacin Financiera. La informacin pertinente es

identificada, capturada, utilizada en todos los niveles de la compaa, y distribuida en tiempo y forma tal que contribuya al alcance de los objetivos sobre el reporte financiero. Informacin sobre el Control Interno. La informacin utilizada para ejecutar otro componente del control interno es identificada, capturada, y distribuida en tiempo y forma tal que permita que el personal lleve a cabo sus responsabilidades frente al control interno. Comunicacin Interna. Las comunicaciones permiten y facilitan la comprensin y ejecucin de los objetivos de control, de los procesos y de las responsabilidades individuales frente al control interno, en todos los niveles de la organizacin. Comunicacin Externa. Los temas que podran afectar el alcance de los objetivos de la informacin financiera son comunicados a las terceras partes interesadas.

Monitoreo Evaluaciones Continuas y Puntuales. Evaluaciones permanentes y separadas permiten al management determinar si el control interno est presente y funciona en forma adecuada en el tiempo. Reporte de Deficiencias. Las deficiencias de control interno son identificadas y comunicadas de manera oportuna a las partes responsables de tomar acciones correctivas, a la gerencia y al Directorio.

Desearamos mencionar uno de los principios bsicos del Control Interno: " un control no debera tener un costo ms elevado que el beneficio que representa su utilizacin". Por esta razn entendemos que esta gua va a constituir un aspecto fundamental en la bsqueda de las mejores prcticas que las Pymes necesitan para transitar

en esta realidad cada vez ms competitiva, y donde el principal costo relacionado con el control es no controlar.

Detalles del informe COSO

La finalidad del marco COSO es establecer una definicin comn del control interno que responda a las necesidades de todas las empresas y otras entidades y definir un modelo o marco de referencia sobre la base del cual las empresas y otras entidades, sin importar su tamao y naturaleza, puedan evaluar su sistema de control interno.

El informe COSO define "control interno" como un proceso efectuado por el Consejo de Administracin, la alta direccin y en "cascada" por, el resto del personal de una organizacin , diseado para proporcionar un grado de seguridad razonable en cuanto a la consecucin de objetivos dentro de las siguientes categoras:

- Eficacia y eficiencia de las operaciones - Confiabilidad de la informacin financiera Cumplimiento de las leyes y normas que sean aplicables.

Un lugar lgico para comenzar una evaluacin general del control interno es la cspide el control interno a nivel de empresa o directivo.

Esta etapa incluye la revisin de aquellos elementos de los cinco componentes del control interno que tienen un efecto dominante sobre la organizacin. Estos componentes o "pilares" del control interno, tal como los detalla COSO son:

El entorno o ambiente de control es lo que marca la forma de comportamiento de una organizacin, que influye en la conciencia de control de su personal. Es el fundamento de los dems componentes del control interno, y provee disciplina,

estructura e integridad. COSO dice en otras palabras que las entidades sometidas a un control eficaz se esfuerzan por tener personal competente e inculcan en toda la organizacin un sentido de integridad y concientizacin sobre el control.

Por eso expresa tambin que algunos indicios de un buen Ambiente de Control pueden ser, entre otros, polticas y procedimientos adecuados y un cdigo de conducta escrito que haga hincapi en los valores compartidos y el trabajo en equipo para conseguir los objetivos de la entidad".

- La evaluacin del riesgo es la identificacin y el anlisis de los riesgos relevantes que corre la empresa para el logro de sus objetivos, conformando la base para determinar cmo se deben administrar los riesgos. Si bien ya est aprobado el "COSO II" o "COSO ERM" (Enterprise Risk Management o Sistema de Gestin del Riesgo), el enfoque COSO que estamos describiendo se refiere a que las organizaciones deben definir sus objetivos, comprender qu podra suceder que impida alcanzar los mismos en forma razonable (riesgos) y qu decisiones empresarias deben tomarse para mantener estos riesgos de acuerdo a los requisitos de los accionistas.

- Los sistemas de informacin y comunicacin soportan la base para identificar, capturar e intercambiar informacin en una forma y perodo de tiempo que permita al personal cumplir con sus responsabilidades. Los sistemas de informacin deben identificar, recopilar y comunicar informacin pertinente en tiempo y forma tal que permitan cumplir a cada empleado con sus responsabilidades. Estos sistemas de informacin deben ser funcionales para el suministro de informacin que permita dirigir y controlar el negocio en forma adecuada.

Asimismo deben permitir manejar no solo datos internos, sino los generados externamente. Debe existir una comunicacin eficaz. Debe fluir en todas las direcciones a travs de todos los mbitos de la organizacin (de arriba hacia

abajo, a la inversa y transversalmente). La direccin debe comunicar a sus empleados claramente que las responsabilidades de control han de tomarse en serio. Cada empleado debe conocer qu papel juega dentro la organizacin y dentro del sistema de control interno y cmo las actividades individuales estn relacionadas con el trabajo de los dems. Deben disponer de medios para comunicar la informacin significativa a los niveles superiores. Debe existir un sistema de comunicacin eficaz con terceros (clientes, proveedores, organismos y accionistas).

- Las Actividades de Control son las polticas y los procedimientos que deben seguirse para tener certeza que las instrucciones de la gerencia con relacin a sus riesgos y controles. Las Actividades de Control se distribuyen a lo largo y a lo ancho de la organizacin, en todos los niveles y funciones. Incluyen un amplio abanico de actividades diversas tales como: aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones de rentabilidad operativa, salvaguarda de activos, segregacin de funciones, etc.

Supervisin es un proceso llevado a cabo para verificar la calidad de desempeo del control interno a travs del tiempo. Se realiza a travs de a) supervisin continuada (desarrollada por las jefaturas, gerencias, direccin como recurso habitual de su responsabilidad frente a sus funciones y al control interno), y b) evaluaciones peridicas puntuales (principalmente mediante la actuacin de la auditora interna, pero tambin de la externa y otras revisiones dirigidas). Las deficiencias o debilidades de control interno detectadas debern ser notificadas a niveles superiores, y la alta direccin deber estar informada de los hallazgos significativos.

Trabajando con un marco como el descripto, se logra unificar en primera medida el concepto de Control Interno e inmediatamente los objetivos del control interno. Y es que resulta necesario comprender que Control Interno no constituye un objetivo en s mismo, sino que es un medio para alcanzar los objetivos organizacionales.

Por dicha razn diremos de aqu en ms que los objetivos de un adecuado control interno segn COSO son: Eficiencia y Eficacia en las Operaciones: se entiende por EFICACIA la capacidad de alcanzar las metas y/o resultados propuestos. En tanto EFICIENCIA debe ser interpretado como la capacidad de producir el mximo de resultados con el mnimo de recursos, energa y tiempo; se refiere bsicamente a los objetivos empresariales de rendimiento y rentabilidad y salvaguarda de los recursos. Confiabilidad en la Informacin generada por la organizacin. El enfoque pide la elaboracin y publicacin de Estados Contables confiables. Adems, se refiere a estados contables intermedios (trimestrales) y toda otra informacin que deba ser publicada segn los requerimientos de la SEC. Abarca tambin la informacin de gestin de uso interno de inters para la Direccin y terceros. Cumplimiento de la ley, normativa y regulaciones aplicables a la organizacin. COSO instruye su cumplimiento ("compliance") a fin de evitar efectos perjudiciales para la reputacin de la organizacin, contingencias, otros eventos de prdidas y dems consecuencias negativas.