CONTROL INTERNO BASADO EN EL INFORME COSO

Alcance
Nuevos paradigmas. Conceptos metodolgicos de COSO.

Bases de MEYCOR COSO AG, una herramienta para la implantacin del control interno basado en COSO.

Informe COSO
En 1992, COSO public el Sistema Integrado de Control Interno, un informe que establece una definicin comn de control interno y proporciona un estndar mediante el cual las organizaciones pueden evaluar y mejorar sus sistemas de control.

El objetivo de COSO
Mejorar la calidad de la informacin financiera concentrndose en el manejo corporativo, las normas ticas y el control interno. Unificar criterios ante la existencia de una importante variedad de interpretaciones y conceptos sobre el control interno.

Gestin del Riesgo empresarial (ERM)

El control interno es una parte integral de la Administracin del riesgo empresarial y est abarcado dentro de ste. La Administracin del riesgo empresarial es ms amplia que el control interno, expandiendo y elaborando sobre el control interno para formar una concepcin ms robusta que se enfoca ms sobre el riesgo. El Marco Integrado Control Interno sigue siendo totalmente vlido para las entidades y otros que ponen nfasis en el control interno.

Basilea II
Incluye varios cambios que, si bien sern exigibles a principios de 2007, marcan un rumbo sobre el que hay que empezar. Basilea I se centraba en el anlisis de riesgos de crdito y de mercado. Ahora se aumenta la regulacin de fondos propios exigidos por la normativa y la exposicin al riesgo. Se incluye la necesidad de tener en cuenta un nuevo riesgo: el riesgo operacional o sea el resultado de la prdida derivada de fallos en los procesos internos, en la actuacin de personas o de sistemas inadecuados o errneos as como de factores externos.

Conformidad con ley SARBANES OXLEY

Utilizacin de COSO, modelo del Gobierno Corporativo, y de COBIT, modelo del Gobierno de la Tecnologa de la Informacin, para lograr conformidad con la ley SARBANES-OXLEY

Conceptos Metodolgicos del INFORME COSO

Los nuevos conceptos del control interno en las organizaciones

Definicin de Control Interno

Es un proceso que involucra a todos los integrantes de la organizacin sin excepcin, diseado para dar un grado razonable de apoyo en cuanto a la obtencin de los objetivos en las siguientes categoras:
Eficacia y eficiencia de las operaciones (O) Fiabilidad de la informacin financiera (F) Cumplimiento de las leyes y normas que son aplicables(C)

Estas tres categoras se interrelacionan entre s.

Qu se puede obtener a travs de COSO?

La definicin de un marco de referencia aplicable a cualquier organizacin. COSO considera que el control interno debe ser un proceso integrado con el negocio que ayude a conseguir los resultados esperados en materia de rentabilidad y rendimiento. Trasmitir el concepto de que el esfuerzo involucra a toda la organizacin: desde la Alta Direccin hasta el ltimo empleado.

Componentes del Control Interno

Son 5 componentes (Entorno de control, Evaluacin de los Riesgos, Actividades de control, Informacin y comunicacin, y Supervisin) que interactan entre si y estn integrados al proceso de Direccin. El sistema de control debe incorporarse de manera armnica con las actividades operativas de la organizacin. Esto ayuda a que se fomente la calidad de la delegacin de poderes, se eviten prdidas y haya una respuesta rpida ante los cambios.

Entorno de Control
Es la base de los dems componentes, aportando disciplina y estructura. Incluye: la integridad, los valores ticos y la capacidad de los empleados de la entidad, la filosofa de la Direccin y el estilo de gestin, la asignacin de la autoridad y las responsabilidades, la organizacin y el desarrollo de los empleados y la orientacin de la Direccin.

Evaluacin de los riesgos

Primeramente deben identificarse los objetivos organizacionales, vinculados y coherentes. Luego deben identificarse y evaluarse los riesgos relevantes que pueden afectar el alcanzar esos objetivos. Los riesgos deben ser administrados, atendiendo a la existencia de un medio interno y externo cambiante.

Actividades de Control
Son las polticas y procedimientos que ayudan a asegurar que se toman las medidas para limitar los riesgos que pueden afectar que se alcancen los objetivos organizacionales. Son ejemplos: autorizaciones, verificaciones, conciliaciones, segregacin de funciones, revisiones de rentabilidad operativa, etc.

Informacin y Comunicacin
Se debe identificar, ordenar y comunicar en forma oportuna la informacin necesaria para que los empleados puedan cumplir con sus obligaciones. La informacin puede ser operativa o financiera, de origen interno o externo. Deben existir adecuados canales de comunicacin. El personal debe ser informado de la importancia de que participe en el esfuerzo de aplicar el control interno.

Supervisin
Debe existir un proceso que compruebe que el sistema de control interno se mantiene en funcionamiento a travs del tiempo. La misma tiene tareas permanentes y revisiones peridicas. Estas ltimas dependern en cuanto a su frecuencia de la evaluacin de la importancia de los riesgos en juego.

Interrelacin
La organizacin debe lograr cumplir con esas tres categoras de objetivos (O, F,C) ya vistas. Los 5 componentes descriptos son acciones necesarias para lograr esos objetivos.

Limitaciones a atender
La confianza en el sistema de control interno no debe dejar de considerar que:
Pueden existir fallas resultantes de errores de juicio. La colusin de dos o ms personas o la accin de la Direccin pueden burlar el sistema. El sistema a disear debe explicitar las limitaciones de recursos (relacin costo beneficio).

Funciones y responsabilidades
La Alta Gerencia es la responsable ltima del sistema de control. La integridad y la tica deben ser elementos que aporten ejemplo a los dems empleados. Debe dirigir a los gerentes que a su vez son los responsables en sus respectivas reas. El Consejo de Administracin fija las pautas y la visin global del negocio. El Consejo debe tener un papel activo en el conocimiento de las acciones que se ejecutan. Debe asegurarse de contar con vas de comunicacin efectivas con la Alta Direccin y las reas financieras, legales y de auditora interna.

 La Auditora Interna debe desempear un papel de supervisin sobre la eficiencia y permanencia de los sistemas de control. Para ello debe contar con una ubicacin jerrquica adecuada. Los empleados en general tienen la responsabilidad de participar en el esfuerzo de aplicar el control interno, cuyos detalles deben ser incorporados a la descripcin de los puestos de trabajo. Ellos deben comunicar al nivel superior las desviaciones que detecten a los cdigos de conducta, a las polticas establecidas o la legalidad de las acciones realizadas.

MEYCOR COSO AG
El Informe COSO define una estructura, un marco de referencia. Dentro del mismo se debe analizar cmo interactuan los componentes en la realidad peculiar de cada organizacin. Debe contarse con una herramienta que asista en el proceso de evaluacin peridica y proactiva del sistema de control interno. La evaluacin puede querer centrarse en un solo objetivo (por ejemplo la informacin financiera). Puede tambin querer referirse a una unidad de la organizacin o a una actividad en particular.

Matriz de COSO

Evaluacin de los riesgos

Determinacin de los Objetivos. Objetivos globales (tales como la Misin). Objetivos especficos de las diversas actividades (por ej. Produccin), estos sub-objetivos medibles a travs de metas deben ser coherentes.

Los objetivos deben ser:

Definidos de modo de identificar los criterios para medir el rendimiento y establecer factores crticos de xito (que pueden ser a nivel de actividad o unidad operacional). Coherentes y compatibles. Como ejemplo se puede considerar: efectuar pagos slo para compras autorizadas, que los sistemas informticos se encuentren disponibles segn los requerimientos del negocio, etc.

Los riesgos
La identificacin y el anlisis de riesgos es un proceso interactivo que involucra al personal responsable de cumplir con los objetivos fijados ya que es el ms idneo. Los riesgos pueden ser el resultado del efecto de factores internos y externos, por ejemplo: las averas de los sistemas informticos, los cambios en la responsabilidad de los directivos, etc. Una vez identificados debe estimarse su importancia, evaluar la probabilidad de que impacte a la organizacin y qu medidas deben tomarse para atenuar sus efectos.

Actividades de Control
Son polticas, procedimientos y acciones que afectan a una o ms reas de la organizacin. Algunos ejemplos seran:
Anlisis efectuados por la Direccin. Gestin directa de los responsables. Proceso de informacin. Controles fsicos. Indicadores de rendimiento y segregacin de funciones.

Relacionamiento de los elementos

Las actividades de control, al enfrentar adecuadamente a los riesgos, ayudan a alcanzar los objetivos de los Departamentos y actividades, logrando as alcanzar los objetivos del negocio.

Informacin y comunicacin
Debe asegurase que se obtenga informacin de calidad y no meros datos. La informacin debe ser protegida ya que se trata de un activo valioso. Las vas de comunicacin interna deben asegurar que el personal conozca los elementos suficientes para cumplir con su tarea.

Supervisin
Las actividades de supervisin continua y evaluaciones puntuales. Las deficiencias detectadas deben ser oportunamente comunicadas.

MEYCOR COSO AG
Detalle de funcionalidades

Ingreso al sistema
El sistema cuenta con un control de acceso al mismo compuesto por un login y una contrasea.

El Administrador (ADMIN) deber conocer la herramienta y sus fundamentos tericos, y a la hora de hacer los relevamientos podr distribuir el acceso a los cuestionarios segn el perfil de los revisores.

Men Principal

El Men Principal cuenta con una barra de herramientas que permite un acceso ms directo a las opciones ms usadas.

Grupos de trabajo y revisores

Se definen grupos de trabajo y los revisores que participarn en la revisin.

Gua metodolgica

Existe una gua metodolgica que facilita la aplicacin de la metodologa COSO. Esta gua contiene los pasos a seguir durante la evaluacin, documentacin, y accesos directos a los formularios donde la informacin debe ser ingresada.

Cuestionarios Generales

Los cuestionarios generales de los 5 componentes pueden ser evaluados a diferentes niveles de la organizacin.

Formularios de Cuestionarios Generales

Los cuestionarios generales pueden ser generados en formato RTF (con ingreso manual de respuestas) o en formato HTML (con ingreso automtico de respuestas).

Cargar respuestas desde Formularios HTML

Este formulario le permite cargar las respuestas de los cuestionarios generales desde los formularios HTML.

Sincronizacin de Evaluaciones Off-line

Este formulario le permite sincronizar las respuestas de los cuestionarios generales que los revisores hayan ingresado en bases off-line.

Informe de Cuestionarios Generales

Permite evaluar los resultados de la revisin de los 5 componentes tanto a nivel numrico como grfico, con diferente nivel de desagregacin.

Comparacin de Cuestionarios Generales

Permite comparar los resultados de la revisin entre s y contra el promedio, tanto a nivel numrico como grfico, con diferente nivel de desagregacin.

Comparacin de diferentes perodos

Permite comparar los resultados obtenidos en diferentes perodos tanto a nivel numrico como grfico, con diferente nivel de desagregacin.

Codificacin de la estructura organizacional

Antes de comenzar la revisin, se deben determinan los niveles que componen la estructura de la organizacin.

Organigrama

Se identifica el organigrama, definiendo los objetivos de cada rea y sus responsables.

Reporte del organigrama

Procesos y sub-procesos

Se definen los procesos y sub-procesos y se los asigna a las unidades del organigrama correspondientes.

Reporte de Procesos y Subprocesos

Asignacin de procesos

Se asignan los procesos y sub-procesos que sern revisados por cada grupo de trabajo.

Ponderacin de procesos

Los procesos y sub-procesos pueden ser ponderados y rankeados a efectos de determinar las actividades que son crticas para el negocio y que por tanto requieren mayor atencin.

Ingreso de actividades de los procesos

Procesos y sub-procesos asignados a unidades.

Jerarqua de tareas que se realizan en el proceso.

Riesgos y Actividades de Control

Es posible marcar las actividades de control que luego sern auditadas

Se definen los objetivos de control, los riesgos y las actividades de control relativas a los procesos y sub-procesos a ser evaluados

Seleccin de actividades de control a auditar

Mediante la utilizacin de filtros es posible seleccionar dentro del universo de las actividades de control, aquellas que requieran ser auditadas

Creacin de proyectos de auditora

Los usuarios supervisores pueden crear proyectos de auditora. Para los proyectos se definen los auditores asignados y los objetivos de procesos que se van a auditar en el proyecto.

Asignacin de objetivos y riesgos

El supervisor que cre un proyecto debe definir los objetivos que auditar cada auditor. Se definen tambin los riesgos de cada objetivo que sern alcanzados por el proyecto de auditora.

Auditora de actividades de control

Objetivos y riesgos a auditar segn la asignacin del auditor.

Registro de hallazgos.

Vinculacin de archivos.

Registro de tareas realizadas.

Informe final de auditora

Seleccin de observaciones que se incluyen en el informe final. Informe final de auditora generado automticamente.

Clculo de exposicin
Impacto x Probabilidad de Riesgo Eval. Act. de Control
MATRIZ DE RIESGOS Y CONTROL CONTROLES BUENO BR MALO RIESGO 4 2,5 1 16 4,00 6,40 16,00 10 2,50 4,00 10,00 6,25 1,56 2,50 6,25 4 1,00 1,60 4,00 2,5 0,63 1,00 2,50 1 0,25 0,40 1,00

Informe de Riesgos y Actividades de Control

Es posible ver la ponderacin de riesgos y el resultado de la evaluacin de las actividades de control existentes. Se evala el cumplimiento de los objetivos de control, a efectos de determinar si ante los riesgos identificados, los mismos se encuentran adecuadamente cubiertos.

Informe de Riesgos y Actividades de Control

Permite evaluar los resultados de la revisin de los objetivos tanto a nivel numrico como grfico.

Resumen de Riesgos y Actividades de Control

Permite visualizar en forma resumida los resultados de la revisin de los objetivos y los factores de riesgos de los procesos

Mapas de riesgos y grficas de exposicin

Mapa de riesgos segn la probabilidad e impacto

Grfica de exposicin considerando la evaluacin de los controles

Tratamiento de riesgos
Se define el tratamiento que se da a los riesgos.

Segn el tratamiento realizado se simula el cambio en la exposicin al riesgo.

Los nuevos controles que se incluyen en el tratamiento se agrupan en proyectos de implantacin.

Definicin de proyectos de mejora

Controles incluidos en el proyecto.

Los proyectos se priorizan segn el impacto y la relacin costo-riesgo.

Comparacin de diferentes perodos

Permite comparar las evaluaciones de los procesos obtenidas en diferentes perodos tanto a nivel numrico como grfico.

Meycor COSO Web

Publicacin, Distribucin y Revisin de Documentos

El mdulo web de Meycor COSO AG, facilita la publicacin y distribucin de documentos de manera sencilla, a la vez que permite emitir un juicio acerca de los mismos.

Meycor COSO Web

Respuesta a Cuestionarios Generales

Meycor COSO Web permite contestar los cuestionarios de autoevaluacin de forma remota

Prestaciones de MEYCOR COSO AG para personalizar y mejorar el detalle y la informacin de la revisin

 Contiene una gua metodolgica que facilita la aplicacin de la metodologa COSO y lo asiste durante todo el procesos de revisin. Permite codificar los niveles jerrquicos de la organizacin para as determinar el organigrama de acuerdo a la nomenclatura de la misma. Permite identificar los procesos y sub-procesos, efectuar un ranking de los mismos, as como asociarlos a las reas correspondientes. Permite la creacin de grupos de trabajo y de revisores, que facilitan la distribucin de las tareas.

 Permite asignar a los revisores privilegios de Administrador. Contiene los objetivos, riesgos y actividades de control genricos del Informe COSO.

Permite manejar varias cuestionarios generales.

versiones

de

los

Permite marcar las actividades de control que luego sern objeto de auditora. Permite el uso de ponderadores a nivel de procesos, objetivos y riesgos.

 Permite evaluar los cuestionarios generales a cualquier nivel jerrquico. Permite exportar todos los reportes a formato RTF, HTML y EXCEL. Permite exportar todas las grficas a formato BMP. Genera formularios de evaluacin cuestionarios generales en HTML. de

Permite la sincronizacin de cuestionarios generales y evaluacin de riesgos y actividades de control de bases off-line.

 Permite acceso multi-usuario a la evaluacin de riesgos y actividades de control. Permite efectuar un ranking de los procesos.

Permite comparar los resultados de diferentes perodos. Incluye ayuda en lnea.

DATASEC IT Security & Control

Patria 716 - CP 11300 - Montevideo - Uruguay Tel: (5982) 711-58-78/ 711-04-20 Fax: (5982) 711-58-94 Web site: www.datasec-soft.com