Está en la página 1de 46

INFORME COSO

HISTORIA
• En 1985 se formó la Comisión Nacional para Emisión de Informes
Fraudulentos, conocida como la Treadway Commission.
• En 1987 la Treadway Commission solicitó realizar un estudio para desarrollar
una definición común del control interno y marco conceptual.
• En 1988, el Comité de Organizaciones Patrocinantes de la Comisión
Treadway, conocido como COSO, seleccionó a Coopers & Lybrand para
estudiar el control interno.
• En septiembre de 1992 se publicó el informe del Marco Conceptual
integrado de Control Interno (Estudio COSO I).
• Existen en la actualidad dos versiones del Informe COSO. La versión del 1992
y la versión del 2004, publicada recientemente.
MODELOS DE CONTROL INTERNO (CI)
• En el contexto internacional COSO EUA
existen diversos modelos que:
• Han evolucionado fuertemente
CADBURY
• Se integran a procesos de Reino Unido

Gestión y Gobernanza
• El énfasis radica en: COCO Canadá
• El cumplimiento de las metas y
objetivos
• La prevención de riesgos TURNBULL Reino Unido
• Establecimiento de un ambiente
propicio a la ética e integridad en
el manejo de los recursos
COBIT EUA - TIC
• Destaca el modelo COSO
• Publicado en 1992
• Actualizado en Mayo 2013 MECI Colombia
OBJETIVOS DEL INFORME COSO
Establecer una definición común del
CONTROL INTERNO dentro de un
modelo que sirva como
“Marco de Referencia”

Informe Proporcionar un modelo o “marco” para


COSO que cualquier tipo de organización pueda
evaluar sus SISTEMAS DE CONTROL
y decidir cómo mejorarlos

Ayudar a la dirección de las empresas


a mejorar el CONTROL DE LAS
ACTIVIDADES de sus organizaciones
DEFINICIÓN DE CONTROL
INTERNO
En qué
Qué? Para Qué?
niveles ?

Eficacia y Eficiencia
CONTROL Proporcionar en las Operaciones
INTERNO un grado de
seguridad
Confiabilidad de la
Proceso efectuado razonable en Información Financiera
por la Dirección, cuanto a la
la alta gerencia y consecución
el resto Cumplimiento de las
del personal
de objetivos leyes y normas que
sean aplicables
LOS 3 OBJETIVOS Y
LOS 5 COMPONENTES

Posee 3
OBJETIVOS
CONTROL
INTERNO
Opera en 5 estratos que
constituyen los
COMPONENTES
Los 3 Objetivos sobre los cuales actúa el
CONTROL INTERNO

Eficacia y Eficiencia
en las Operaciones • EFICACIA: Capacidad de alcanzar las metas
y/o resultados propuestos.

• EFICIENCIA: Capacidad de producir el


Eficacia y máximo de resultados con el mínimo de
Eficiencia recursos, energía y tiempo. Se refiere
en las básicamente a los objetivos empresariales:
Operaciones • Rendimiento y rentabilidad
• Salvaguarda de los recursos
Los 3 Objetivos sobre los cuales actúa el
CONTROL INTERNO

Confiabilidad de la
Información Financiera

• Elaboración y publicación de Estados


Contables confiables, estados
Confiabilidad contables intermedios y toda otra
de la información que deba ser publicada.
información Abarca también la información de
financiera
gestión de uso interno.
Los 3 Objetivos sobre los cuales actúa el
CONTROL INTERNO

Cumplimiento de las leyes y • Cumplimiento de aquellas leyes y


normas que sean aplicables normas a las cuales está sujeta la
organización. De esta forma logra
evitar:
Cumplimiento • Efectos perjudiciales para su
de las leyes reputación.
y normas • Contingencias.
que sean • Otros eventos de pérdidas y
aplicables demás consecuencias
negativas.
LOS 5 COMPONENTES DEL
CONTROL INTERNO
• Marca las pautas de comportamiento en
una organización y tiene una influencia
directa en el nivel de conciencia del
personal sobre la cultura del control.
• Es la base de todos los demás
componentes, aportando disciplina y
estructura.
• Abarca: integridad, honradez, valores
éticos, capacidad de los empleados,
filosofía de dirección y estilo de la gestión,
la manera en que la dirección asigna la
autoridad y las responsabilidades y organiza
y desarrolla profesionalmente a sus
empleados.
LOS 5 COMPONENTES DEL
Ambiente de Control (cont.)
CONTROL INTERNO
Un adecuado Ambiente de Control se verifica
por medio de 7 aspectos:

1. Integridad y valores éticos


2. Compromiso de competencia profesional
3. Filosofía de dirección y el estilo de gestión
4. Estructura Organizativa
5. Asignación de autoridad y responsabilidad
6. Políticas y prácticas de RR.HH.
7. Consejo de Admin. / Comité de Auditoría
DEBILIDADES EN EL AMBIENTE DE CONTROL
QUE FAVORECEN EL FRAUDE.
1. ESTILO ADMINISTRATIVO AUTOCRÁTICO
• Existirá un dominio administrativo. Pueden existir numerosas transacciones fuera
del sistema principal.

2. OBEDIENCIA INCONDICIONAL DEL PERSONAL


• Los procedimientos se siguen por rutina o consentimiento del personal.
• Incluso puede existir confabulación obligada para el fraude.
3. AGRUPAMIENTO EN EXCESO DEL PERSONAL
• Algunos empleados pueden haber trabajado juntos en otros países, compañías o
sectores con una moral pobre.
• Debilitamiento de la segregación de funciones

4. PERSONAL DE CALIDAD DEFICIENTE


• Los controles internos son tan efectivos como la gente que los opera.
DEBILIDADES EN EL AMBIENTE DE CONTROL
QUE FAVORECEN EL FRAUDE.
5. ALTA ROTACIÓN DEL PERSONAL
• Baja experiencia por deficiente curva de aprendizaje.
• No se absorbe en forma adecuada la cultura de la compañía.

6. MORAL BAJA
• El personal descontento probablemente opere los controles en forma poco
efectiva.
7. RESULTADOS A CUALQUIER COSTO
• Un trabajo malo podría implicar la manipulación de los resultados para
demostrar cumplimiento de objetivos.

8. MANUALES Y PROCEDIMIENTOS POBREMENTE ESTRUCTURADOS


• Actividades de Control no vinculadas a los riesgos que enfrenta el negocio
en cada área.
DEBILIDADES EN EL AMBIENTE DE CONTROL
QUE FAVORECEN EL FRAUDE.

9. RESPONSABILIDAD NO VINCULADA A LA RENDICIÓN DE


CUENTAS
• Falta de responsabilidad.
• Posible ineficacia para la detección del fraude.

10.DEMASIADOS PROCEDIMIENTOS Y CONTROLES – CONTROLES


SIN SENTIDO
• Burocracia
• Sucede cuando no se ha utilizado un enfoque basado en riesgos
• Es común en la función pública.
• El personal tratará de evitar el sistema
• Inadecuada relación costo-beneficio.
LOS 5 COMPONENTES DEL
CONTROL INTERNO
DEFINIENDO “RIESGO”

ENFOQUE ANTIGUO:
• Definición (R.A.E.): “Contingencia o proximidad
de un daño” / “Estar una cosa expuesta a
perderse”
NUEVO ENFOQUE:
• “Es la contingencia de que suceda algo que
tendrá un impacto en los objetivos.”
QUÉ ES LA GESTIÓN INTEGRAL
DE RIESGOS ?
• Es una metodología consistente en:

• IDENTIFICAR todos los riesgos estratégicamente


relevantes
• ANALIZAR cada uno en función de su impacto y
probabilidad de ocurrencia (Score de Riesgo)
• EVALUAR la efectividad de controles existentes y
potenciales para mitigar su impacto
• DECIDIR el tratamiento de los “riesgos residuales”
RIESGOS A NIVEL DE LA ENTIDAD
FACTORES EXTERNOS
• DESARROLLO TECNOLÓGICO
• EXPECTATIVAS CAMBIANTES DE LOS CLIENTES
• COMPETENCIA
• LEGISLACIÓN Y REGULACIÓN NUEVA
• CATÁSTROFES NATURALES
• CAMBIOS ECONÓMICOS
• RUPTURA EN EL PROCESAMIENTO DE LA INFORMACIÓN
• CALIDAD DE PERSONAL, MÉTODOS DE ENTRENAMIENTO Y MOTIVACIÓN
• CAMBIO EN LAS RESPONSABILIDADES DE LA ADMINISTRACIÓN
• NATURALEZA DE LAS ACTIVIDADES DE LA ENTIDAD
• COMITÉ DE AUDITORÍA QUE NO ES EFECTIVO
• RECHAZO AL CAMBIO
EJEMPLOS DE RIESGOS
• Fallar en cumplir con los objetivos y metas de la organización.
• Fallas en la salvaguarda de los activos.
• Insatisfacción del cliente.
• Daño a la reputación y/o imagen de la organización.
• Implementar inadecuadas políticas, normas y procedimientos
organizacionales no alineados con los objetivos.
• Incumplimiento de legislación aplicable.
• Utilización de recursos en forma ineficaz o ineficiente.
• Pérdida de personal clave.
• Fraudes perpetrados por el personal de la organización.
• Hurto.
• Incendio.
APLICACIÓN DE LA GIR (GESTIÓN
INTEGRAL DE RIESGOS)

• Puede ser aplicado a todo tipo de organizaciones:

• cualquiera sea su tamaño


• públicas o privadas
• con o sin fin de lucro
• comerciales, industriales, de servicios.
ANALISIS DE RIESGO

ELEMENTOS DEL
RIESGO
Frecuencia (estimada o
PROBABILIDAD conocida) con la que
podría ocurrir el hecho
incierto.

Resultado que el
CONSECUENCIA hecho incierto podría
ocasionar.
ELEMENTOS DE RIESGO
MEDIDAS DE PROBABILIDAD
Nivel Denominación Descripción
(Valor 5) Se espera que ocurra en la
Entre 81% y 100%
Casi certeza mayoría de las circunstancias.
(Valor 4) Probablemente ocurrirá en la
Entre 61% y 80%
Probable mayoría de las circunstancias.
(Valor 3) Podría ocurrir en algún
Entre 41% y 60%
Posible momento.
(Valor 2) Pudo ocurrir en algún
Entre 21% y 40%
Improbable momento.
(Valor 1) Puede ocurrir sólo en
Entre 0% y 20%
Raro circunstancias excepcionales.
ELEMENTOS DE RIESGO
MEDIDAS DE CONSECUENCIA
Nivel Denominación Descripción
Requiere tratamiento mínimo, baja pérdida
1 Insignificante
financiera.
Requiere tratamiento menor, pérdida financiera
2 Menor
media.
3 Moderado Requiere tratamiento, pérdida financiera alta.
Requiere tratamiento intenso, pérdida financiera
4 Mayor
mayor.
Requiere tratamiento mayor, enorme pérdida
5 Catastrófico
financiera.
SCORE DE RIESGO
E Riesgo Extremo (EXTREME RISK),
requiere acción inmediata.

Riesgo Alto (HIGH RISK), necesita


H atención de la alta gerencia.

Riesgo Moderado (MODERATE RISK),


M debe especificarse responsabilidad
gerencial.

L Riesgo Bajo (LOW RISK), administrar


mediante procedimientos de rutina.
IMPACTO
PROBABILIDAD Insignificante Menor Moderado Mayor Catastrófico
1 2 3 4 5

Casi certeza (entre 81% y 100%) H H E E E

Probable (entre 61% y 80%) M H H E E

Posible (entre 41% y 60%) L M H E E

Improbable (entre 21% y 40%) L L M H E

Raro (entre 0% y 20%) L L M H H


OPCIONES PARA EL TRATAMIENTO
DEL RIESGO

T R A P

• TRATAR: tomar medidas tendientes a reducir la probabilidad


de ocurrencia y/o impacto.
• RENUNCIAR: no proseguir con la actividad riesgosa (cuando
esto sea practicable).
• ASUMIR: aceptar el riesgo inherente sin gestionarlo.
• PASAR: que otra parte soporte o comparta parte del riesgo.
CIRCUNSTANCIAS MÁS FRECUENTES QUE
AFECTAN AL CONTROL INTERNO

• CAMBIO EN EL AMBIENTE DE OPERACIÓN


• PERSONAL NUEVO
• SISTEMAS DE INFORMACIÓN NUEVOS O RECONSTRUIDOS
• CRECIMIENTO RÁPIDO
• NUEVAS TECNOLOGÍAS
• LÍNEAS, ACTIVIDADES Y PRODUCTOS
• REESTRUCTURACIÓN CORPORATIVA
LOS 5 COMPONENTES DEL
Definición CONTROL INTERNO
• Son Políticas y Procedimientos que ayudan a
asegurar que se llevan a cabo las instrucciones de
la dirección con relación a los Controles y Riesgos.
• Las Actividades de Control se distribuyen a lo largo
y a lo ancho de la organización, en todos los
niveles y funciones.
• Incluyen un amplio abanico de actividades
diversas tales como: aprobaciones,
autorizaciones, verificaciones, conciliaciones,
revisiones de rentabilidad operativa,
salvaguarda de activos, segregación de
funciones, etc.
TÉCNICAS PARA EL RELEVAMIENTO
PRELIMINAR DEL CONTROL INTERNO

DESCRIPTIVA

CUESTIONARIOS

CONTROL
INTERNO DIAGRAMA DE FLUJO
Relevamiento, Diseño y
A Documentación de los
ETAPAS EN Controles
LA
EVALUACIÓN
DE LAS
ACTIVIDADES
DE CONTROL Testeo de la efectividad
B
de los controles
Relevamiento, Diseño y Documentación
A de los Controles

1. Tomar conocimiento de las Políticas de la Organización.


2. Tomar conocimiento de las Prácticas vigentes en la Organización y ver su correlación
con las Mejores Prácticas de Control Interno.
3. Comprender los objetivos de control.
4. Relevar y comprender los Procesos Actuales de la Organización.
5. Verificar los procedimientos documentados / no documentados y si su redacción es
convincente con los objetivos de control definidos por la organización.
6. En caso de existir alguna deficiencia en la documentación del procedimiento, observar
la deficiencia.
7. En caso de no existir procedimiento documentado, observar esta deficiencia
Relevamiento, Diseño y Documentación
A de los Controles (cont.)

7. Calificar el Objetivo de Control –cualitativamente- , por ejemplo, en función de los


siguientes estados y de la información vigente:
a) CUMPLE (C)
b) CUMPLE PARCIALMENTE (CP)
c) NO CUMPLE (NC)
d) NO APLICA (N/A)
8. Comunicar / Informar - Actualizar la base / soporte definida por la organización
“matrices de riesgos y controles” , y presentar cada proceso y subproceso con las
formalidades requeridas por la misma.
Testeo de la efectividad
B de los controles

1. Repasar las Prácticas y controles vigentes.


2. Diseñar las pruebas de auditoría a efectos de verificar el cumplimento de los controles
comunicados.
3. Ejecutar las pruebas de cumplimiento. Debemos definir el grado de cumplimiento.
4. Definir una calificación para el resultado de las pruebas (p/Ej):
a. C = Cumple el objetivo de control
b. CP = Cumple parcialmente el Objetivo de Control
c. NC = No cumple el Objetivo de control
d. NA = El Control no aplica para el procedimiento
Testeo de la efectividad
B de los controles (cont.)

5. Determinar el grado de cumplimiento de las pruebas de control realizadas,


definiendo el porcentaje de efectividad deseado.
a. C = 100% de efectividad
b. CP = 95 a 99%
c. NC = 0 a 94%
6. Una vez calificada la efectividad, según sea el resultado se procederá de la
siguiente forma:
a. C: se da por efectivo el control
b. CP: se elabora un Plan de Acciones Correctivas
c. No cumple: Plan de Acciones Correctivas
PLAN DE ACCIONES CORRECTIVAS
Deberá contener:
i. La recomendación a la observación a solucionar.
ii.El responsable de implementar los cambios necesarios.
iii.La fecha máxima de implementación del proceso de regularización.
Una vez finalizado con este proceso de evaluaci ón de controles, las
observaciones form uladas, deber án ser consensuadas con los
responsables de su cum plim iento.
• El Due ño del Proceso es responsable de las correcciones
• Si una correcci ón se puede efectuar de inm ediato
• SOLI CI TE LA CORRECCI ÓN
• Docum ente
• Si una correcci ón no se puede hacer de inm ediato
• Haga un Plan de Acci ón con fecha de vencim iento para su
im plem entaci ón
• Docum ente
Utilización de Cuestionarios OBJETIVOS DEL DIAGRAMA
DE FLUJO
CUESTIONARIOS DE
EVALUACIÓN DEL • Descubrir vacíos que son fuente de
CONTROL INTERNO problema.
(COSO) • Simplificar el trabajo.
• Facilitar la visualización y distribución
Ambiente de Control
física de oficinas.
Análisis de Riesgo
Actividades de Control • Redistribuir funciones cuando ello sea
Información y Comunicación necesario.
Monitoreo / Supervisión • Disminuir costos.
• Iidentificar oportunidades de mejora.
LOS 5 COMPONENTES DEL
CONTROL INTERNO
INFORMACIÓN
• Hay que identificar, recopilar y comunicar información pertinente en forma
y plazo que permitan cumplir a cada empleado con sus
responsabilidades.
• Los sistemas de información deben ser funcionales para el suministro de
información que permita dirigir y controlar el negocio en forma adecuada.
• Dichos sistemas deben permitir manejar no solo datos internos, sino
generados externamente.
• PARA QUE UN SISTEMA DE INFORMACIÓN PUEDA CONSIDERARSE
EFICAZ DEBERA BRINDAR INFORMACIÓN NO SOLO COTIDIANA, SINO
TAMBIÉN ALERTAS (señales de advertencia).
• LOS SISTEMAS DE INFORMACIÓN NO SOLO DEBERÁN RECOGER LA
INFORMACIÓN FINANCIERA Y NO FINANCIERA, SINO TAMBIÉN
PROCESAR DICHA INFORMACIÓN Y COMUNICARLA EN UN PLAZO Y
DE FORMA QUE RESULTE ÚTIL PARA EL CONTROL DE LAS
ACTIVIDADES DE LA ENTIDAD.
CALIDAD DE LA INFORMACIÓN
El diseño del sistema debe responder a estos interrogantes:
• CONTENIDO: contiene toda la información necesaria?
• OPORTUNIDAD: se facilita en el tiempo adecuado?
• ACTUALIDAD: es la más reciente disponible?
• EXACTITUD: los datos son correctos?
• ACCESIBILIDAD: puede ser obtenida fácilmente por las personas?
• EJEMPLO: Si un sistema de información recoge el nivel de satisfacción del
contribuyente sobre la atención al público en las agencias, seguramente
notificará a los responsables de tomar decisiones, las quejas y otros
comentarios –positivos y negativos- recibidos.
• Los sistemas de información pueden ser formales e informales
(conversaciones con contribuyentes, proveedores, organismos de control,
empleados, etc.). Estas fuentes informales en oportunidades pueden ser
vitales para la identificación de riesgos y oportunidades.
• Asimismo existe información valiosa que se obtiene asistiendo a seminarios
profesionales o sectoriales, o formando parte de asociaciones específicas
del rubro en el que cada responsable actúe.
COMUNICACIÓN
• Debe ser una COMUNICACIÓN EFICAZ: debe fluir en todas las direcciones a través de
todos los ámbitos de la organización (de arriba hacia abajo, a la inversa y
transversalmente).
• Cada empleado debe conocer qué papel juega dentro la organización y dentro del
sistema de control interno y cómo las actividades individuales están relacionadas con el
trabajo de los demás.
• Debe existir un sistema de comunicación eficaz con terceros (clientes, proveedores,
organismos de control y accionistas).
• Cuando se generan incidentes, cada responsable debe prestar atención no solo al
propio acontecimiento, sino también a su causa.
• El personal tiene que saber los comportamientos esperados, aceptados e inaceptables.
• Deben existir líneas abiertas de comunicación y la clara voluntad de escuchar por parte
de los directivos.
• La Auditoría Interna es clave en este proceso.
• PROTECCIÓN AL DENUNCIANTE: Es necesario que se comunique al personal que no
tomará represalias como consecuencia de la transmisión de información relevante.
MEDIOS DE COMUNICACIÓN

• Manuales de políticas y procedimientos


• Memorias
• Avisos en cartelera
• Correo electrónico
• Verbalmente (reuniones, grupos grandes, a una
persona)
• Actuación de la Dirección al tratar a sus
subordinados
LOS 5 COMPONENTES DEL
CONTROL INTERNO
• La SUPERVISION se basa en comprobar
que el sistema funciona a lo largo del
tiempo.
• Se realiza a través de
a) supervisión continuada
b) evaluaciones periódicas puntuales
c) combinación de las 2 anteriores
Las deficiencias detectadas en el control
interno deberán ser notificadas a niveles
superiores, y la alta dirección deberá estar
informada de los hallazgos significativos.
EFICACIA DE UN SISTEMA DE
CONTROL INTERNO

Un Sistema de Control Interno puede funcionar diferente


en momentos distintos

• Control Interno = PROCESO


• Eficacia = ESTADO o del proceso en un momento
dado

Por dicha razón debe existir el


Monitoreo o Supervisión que
evalúe la EFICACIA de los Controles
FUNCIONES Y RESPONSABILIDADES QUE
DEBEN ESTAR INVOLUCRADOS
• TODOS LOS MIEBROS DE LA ORGANIZACIÓN
• LA DIRECCIÓN
• EL CONSEJO DE ADMINISTRACIÓN Y/O COMITÉ DE AUDITORÍA
• AUDITORES INTERNOS
• DEMÁS EMPLEADOS DE LA ORGANIZACIÓN
• AUDITORES EXTERNOS
F
P u
Supervisión r n
Uo
n g c
COMPONENTES

Información y comunicación
i
i r
Actividades de control ó
d a n
Evaluación de riesgos a m
d a
Ambiente de control