COSO 2013-Internal Control over External Financial Reporting

Presentación general
1- Es uno de los tres informes de COSO y es poco conocido; los otros dos son la estructura y el de herramientas para evalua
2- Se refiere al proceso de control interno para reportes financieros externos; nótese que no es sólo Estados Financieros, si
3. Lo anterior es uno de los cambios de COSO 2013 respecto a COSO 1992; antes era para Estados Financieros.

Este informe de COSO debe comprarse ( está en inglés ); no obstante en la página de la Asociación de Auditores Ext
4.
5. El referido informe pretende ayudar a quienes son responsables de diseñar, implementar y administrar el sistema de con
6. Dichos informes son enviados usualmente a : Entidades públicas,entidades privadas, entidades sin fines de lucro y entida
7. En lo referente a Estados Financieros,se inserta con estándares contables incluyendo tanto estados anuales como interm
8 En lo relativo a otros reportes distintos a Estados Financieros. El documento alude a información seleccionada para fines
9 Entre los objetivos a considerar para este tipo de reportes ,están:leyes, regulaciones y estándares
10 Como objetivos pertinenentes, están :Estándares contables,consideraciones de materialidad, el reflejo de las transaccion
11 Lo anterior debe considerar:existencia y ocurrencia,completitud,derechos y obligaciones,valuaciones , asignaciones pres
12 Entre los riesgos que deben considerarse para los objetivos están los riesgos de omisiuón y de inexactitud. Lo de omision
13. En las respuestas a los riesgos, debe analizarse como se controlan los riesgos anteriores.
14 Este informe atañe a todo tipo de empresas y de tamaño de las mismas.
15 En lo referente a documentación , es un tema importante, reconociendo la relativa ala Administración y la relativa a Aud
16 Este informe de COSO 2013 transita por el mismo camino de la estructura COSO, esto es por cada elemento, cada uno d
17 En cada hoja de este formato excel se entra a un resumen de estos puntos.Se previene que estas hojas son sólo una guía
18 Tanto los elementos como los factores se refieren a la empresa como un todo y ahí debe hacerse el primer análisis
19 El segundo análisis es con un ZOOM a reportes financieros externos, esto es, aplicar lo mismo anterior a ese proceso, re
xternal Financial Reporting- A Compendium of Approaches and Examples

e herramientas para evaluar el control interno

sólo Estados Financieros, sino cualquier reporte financiero externo
os Financieros.

Asociación de Auditores Externos de Chile A.G www.aechile.cl puede verse el borrador completo que es casi igual al documento final

dministrar el sistema de control interno de los reportes financieros externos ( ICEFR )

es sin fines de lucro y entidades gubernamentales.
stados anuales como intermedios.Tambiém incluye los enviados para fines de tributación, reguladores y otros.
ón seleccionada para fines específicos
ares
el reflejo de las transacciones de todo tipo
aciones , asignaciones presentaciones y exposiciones
e inexactitud. Lo de omisiones materiales debido a fraudes, y elusiones de la Administración

istración y la relativa a Auditores Externos.

cada elemento, cada uno de los 17 principioa y de los enfoques todo ello aplicado a reportes financieros externos.
tas hojas son sólo una guía para facilitar la lectura del informe, pero no lo sustituye
rse el primer análisis
o anterior a ese proceso, revisando tanto los elementos como los principios de COSO 2013 a dicho proceso específico
ium of Approaches and Examples

nterno
reporte financiero externo

le A.G www.aechile.cl puede verse el borrador completo que es casi igual al documento final

de los reportes financieros externos ( ICEFR )

amentales.
ém incluye los enviados para fines de tributación, reguladores y otros.

po
exposiciones
s debido a fraudes, y elusiones de la Administración

os.
cipioa y de los enfoques todo ello aplicado a reportes financieros externos.
r la lectura del informe, pero no lo sustituye

o los elementos como los principios de COSO 2013 a dicho proceso específico
 Entorno de Control
Principio
1 La organización demuestra un compromiso con la
integridad y valores éticos

El Directorio demuestra independencia de la

2 Administración y supervisa el desarrrollo y
cumplimiento del control interno

La Administración establece con el Directorio la

supervisión de las estructuras, las líneas de
3 reportes y los sistemas de autoridad y
responsabilidad para el logro de los objetivos

La organización demuestra un compromiso para

4 atraer, desarrollar y retener personas capaces que
ayudan al logro de los oojetivos
 La organización tiene personas responsables para
5 el control interno en este proceso y el logro de los
objetivos contemplados en los reportes financieros
externos
 Entorno de Control
Enfoque Aterrizaje

Establecer estándares de conducta Desarrollarlos, comunicarlos y evaluar su cumplimiento

Hacerlo en el día a día en todos los niveles, relaciones con proveed
Liderar con ejemplos lo relativo a integridad y valores éticos incumplimientos, hacer revisiones y tomar correcciones
Evaluar a : Administración , personal, outsourcing, Capacitar y tomar exámenes, revisarlo como componente del cont
proveedores y socios de negocios su adhesión a estándares auditorías éticas
de conducta
Desarrollar procesos para apreciar desviaciones a Trabajar en ello, evaluar y tomar acciones correctivas
estándares de conducta

Directorio establece: roles,líneas de autoridad y responsabilidades

Directorio asigna al Comité de Auditoría la revisión del proceso de

financieros externos.Evaluación y cambio de Auditores externos, s
Directorio establece
Comité de Auditoría trata entre otros temas lo relativo a :observac
interno,potenciales impactos en dichos reportes, medidas correcti
interna, la calidad de las revelacioners, contratación ,trabajo y pag
calendario de reuniones con la Administración . Reuniones con los
abogados. Fija calendario y reuniones del Comité de Auditoría
Directorio Incluye posibilidad de evaluaciones externas al Directo
Establece y revisa capacidades de miembros del Directorio posibles nuevos Directores
Opera independientemente de la Administración Que esté establecido y funcione
Directorio revisa el desarrollo, aplicación y cumplimiento de
cada elemento de COSO Contar con estas evaluaciones y hacer correcciones que se requier

Considera todas las estructuras de la empresa Incluye ubicaciones geográficas ,sucursales y unidades y también l
Lo hace por escrito, vela por segregación de funciones todo ello r
Establece las líneas de reporte yEnseconcreto
preocupa queelesté
para clarode
proceso lo reportes
de accountablity
financieros externos.Vela
Define y asigna los límites de autoridad y responsabilidad Auditoría Interna del Comité de Auditoría

Establece políticas y prácticas para ello
Determina las carencias y establece planes
Atrae, dearrolla y retiene individuos
Directorio establece y opera planes de sucesión
Especialmente en este caso para lo relativo a reportes financieros
Incluye toda la empresa y especialmente en este caso a los recurso
proceso de reportes financieros externos
Establece tutorías para cumplir este rol incluyendo servicios extern
Contar con un plan de contingencia y especialmente para quienes
especialmente en puestos claves.Incluye servicios externos de trib
outsourcing
Se definen en los respectivos niveles
Establece medidas de performance, incentivos y
reconocimientos
Si bien todo ello es para la empresa en general; en este caso es pa
Evalúa lo anterior en el proceso de reportes financieros externos.
Considera las presiones excesivas
Evalúa los logros, reconocimientos y medidas disciplinarias
cuando corresponde
u cumplimiento
es, relaciones con proveedores en este tema, en
ar correcciones

omo componente del control interno, tener hot lines y hacer

s correctivas

ridad y responsabilidades

la revisión del proceso de control interno de los reportes

o de Auditores externos, su plan de trabajo y cumplimiento

mas lo relativo a :observaciones a dicho control

eportes, medidas correctivas, comunicaciones con auditoría
ontratación ,trabajo y pagos a los auditores externos,
ación . Reuniones con los auditores externos , reuniones con
l Comité de Auditoría
iones externas al Directorio y revisión de capacidades de

rrecciones que se requieran

es y unidades y también los servicios de outsourcing

de funciones todo ello relativo a reportes financieros externos
ntablity
financieros externos.Vela además por la relación directa de
a

vo a reportes financieros externos.

en este caso a los recursos financieros que intervienen en el

ncluyendo servicios externos

pecialmente para quienes participan en este proceso
servicios externos de tributación y otros servicios de
eneral; en este caso es para todas las personas que intervienen
ernos.
 Principio Enfoq

La organización especifica los objetivos con suficiente claridad

6 para permitir la identificación y evaluación de los riesgos en
relación a los objetivos
Identificar las cuentas contables de los Estados Financ
Especificar los objetivos de los reportes financieros
Determinar la materialidad
Revisar la aplicación de los estándares contables
Considerar el rango de actividades de la empresa

La organización identifica los riesgos para el logro de los

7 objetivos a través de toda la empreaa y analiza los riesgos
como una base para determinar como los riesgos deberían ser
administrados
Incluye toda la empresa, sucursales, unidades etc
Analiza factores externos e internos
Abraza a todos los niveles de la organización
Estima el riesgo potencial de los riesgos identificados
Determina las respuestas a los riesgos

8 La organización considera el potencial fraude en la evaluación

de los riesgos para el logro de los objetivos
Considera varios tipos de fraude
Analiza incentivos y presiones
Evalúa las oportunidades
Revisa las racionalizaciones y reeingenierías hechas q
La organización identifica y mide los cambios que podrían
9 impactar significativamente el sistema de control interno

Cambios originados en factores externos

Evalúa los cambios en el modelo de negocios

Evalúa los cambios en el liderazgo

 Evaluación de riesgos
Enfoque Aterriz

ables de los Estados Financieros, exposiciones y aseveraciones Existencia,completitud,derechos y obligaciones , valuaciones

los reportes financieros Y su relación o no con IFRS
En cada cuenta significativa
estándares contables Verlos
Revisaruno
queaestén
uno ,dejando
todas lasevidencia
actividades y los productos y esté
idades de la empresa externosd

cursales, unidades etc Levantar y definir riesgos primarios y eventos de riesgos

internos Identificar los factores de riesgo.especialmente para el proce
e la organización Con zoom a reportes financieros externos
e los riesgos identificados Con un proceso sistemático para calcular su efecto
los riesgos Determinar en cada uno. Lo que se evita, lo se acepta, lo que

aude Considera fraude en el reporte mismo,omisión o pérdida de a

es Analizar el punto y cómo ello puede afectar las cifras
Ver oportunidades de hacer fraudes , revisando las posibilid
y reeingenierías hechas que podrían afectar al control interno. Posibles vaciós por racionalizaciones de procesos y bajas de c

ores externos Y sus efectos en el proceso de reportes financieros externos

odelo de negocios Y como afectan al control interno; a veces resultan de rápido
Y eventuales cambios en la cultura y filosofía y que pudieren
erazgo proceso de reportes financieros externos.
 Aterrizaje

chos y obligaciones , valuaciones y presentación y disclosures

evidencia
actividades y los productos y estén incluidos en los reportes financieros

imarios y eventos de riesgos

esgo.especialmente para el proceso de reportes financieros externos.
ieros externos
para calcular su efecto
que se evita, lo se acepta, lo que se reduce y lo que se comparte

rte mismo,omisión o pérdida de activos, corrupción y adulteraciones

o puede afectar las cifras
r fraudes , revisando las posibilidades
izaciones de procesos y bajas de costos que hubieren dejado vaciós

de reportes financieros externos

nterno; a veces resultan de rápidos crecimientos
cultura y filosofía y que pudieren afectar al control interno y en especial al
eros externos.
 Control de actividades
Principio Foco

La organización selecciona y desarrolla control de

10 actividades que contribuyen a la mitigación de los
riesgos para el logro de los objetivos a niveles
aceptables

Integrar riesgos con control de actividades

Entorno externo y como está organizadas la empresa
Determinar los procesos relevantes
Evaluar un mix de controles
Controles por niveles
Segregación de funciones
Monitoreo de controles

La organización selecciona y desarrolla controles

11 generales para actividades de tecnología para soportar
el logro de los ojetivos
Usar matrices de riesgos y controles
Evaluar controles finales de usuarios

Desarrollar si no hubiere e implementar monitoreo sobre TI

cuando hubiere outsourcing
Configurar infraestuctura de IT con accesos restringidos y
segregación de funciones
Soportes de back up
Tener y administrar seguridades de acceso
Aplicar a los desarrollos control de ciclos para vigencia y control
de paquetes de software

Id anterior para software desarrollados in house

Determinar relaciones y controles entre TI y negocios
Velar por controles en el proceso de adquisición de TI

La organización despliega control de actividades por

12 medio de políticas que establecen lo que se espera y
procedimientos que ponen las políticas en acción

Políticas y procedimientos
Controles en unidades de negocios
Evaluaciones de los controles
Controles insertos
Determinar responsabilidadfes y accountabilities
Temporalidad
Acciones correctivas
Competencia profesional
Refresco de politicas y procedimientos
 actividades
Aterrizaje

Usar matrices de controles, workshops,inventario de control de

es actividades,mapas de los riesgos identificados y los controles asociados
s la empresa Incide en en el desarrollo y aplicación de los controles
Para determinar los controles respectivos
Controles manuales y automáticos para prevenir y detectar
Asignarlos claramente en cada nivel y que se sepan
Siempre que fuere posible y de no serlo ver controles para cada caso
Implementarlo e incluir controles en outsourcing

Documentación administración y y controles

Documentarlos e implementarlos

monitoreo sobre TI Documentación administración y y controles

os restringidos y Documentación administración y y controles

Documentación administración y y controles

so Documentación administración y y controles
s para vigencia y control Documentación administración y y controles

n house Documentación administración y y controles

TI y negocios Documentación administración y y controles
uisición de TI Documentación administración y y controles

Desarrollando y documentando políticas y procedimientos

Aprovechar jefaturas y liderazgos
Hacerlo periodicamente
Como parte de los procesos
abilities Qué se espera que haga cada cual y cómo rinde cuenta
Determinar la frecuencia de cada control
Determinar responsabilidades por incumplimientos
Las personas que aplican los controles deben conocerlos y ser competentes
Ir actualizándolos
 Principio Foco

13 La organización obtiene o genera y usa información relevante

y de calidad para soportar el funcionamiento del control
interno
Identifica los requerimientos de información
Captura fuentes externas e internas de información
Pasar de datos a información
Mantiene calidad por medio de procesamiento
Obtener información externa
Repositorios de datos
Seguridad para la información
Costo-beneficio

La organización internamente comunica la información ,

14 incluyendo objetivos y responsabilidades para control interno
en los aspectos que esta información es necesaria para el
control interno

Comunica información para el control interno

Comunicaciones con el Directorio
Líneas de denuncia y otros
Tener métodos de comunicación
Comunicaciones internas relativa a reportes financieros ex
Obtener información interna no financiera
15 La organización comunica a partes externas materias relativas
al control interno
Comunicaciones a terceras partes
Obtener información externa
Comunicaciones hacia y desde Comité de Auditoría

Comunicaciones de entes especiales

 Información y comunicación
Foco Aterrizaje

s de información Es un proceso que debe existir para identificar y usar esta información para el funcionamiento del
internas de información Se requiere sistemas de datos
n Contar con un sistema que atienda los requerimientos para llegar a información
o de procesamiento Información obtenida debe ser :oportuna,segura, completa, accequible, protegida, verificable y m
na Precisar qué se requiere, cómo y de quienes
Especificarlos, ver su uso y controles
ón Contar con sistemas y controles incluyendo su conservación
Debe hacerse el análisis de la información obtenida, lo cual lleva a sus usos y lo que se logra

el control interno Es un proceso y requiere tener definidos los usuarios en cada información , su uso y responsabilid
ctorio Entre la Administración y el Directorio según sus requerimientos, especialmente para reportes fin
Deben existir y ser seguras para quien las usa
ación Considerar: oportunidad, calendario de envio,audiencia y naturaleza de la información
lativa a reportes financieros externos Precisar qué se requiere, cómo y de quienes
a no financiera Requerida para estos reportes, precisarla y de quien obtenerla

partes Definir qué y a quienes, especialmente en reportes financieros externos

na Qué, de quienes , plazos y especialmente para reportes financieros externos
sde Comité de Auditoría Especialmente en el tema de reportes financieros externos.

speciales Canales abiertos entre otros con :clientes, proveedores auditores externos, reguladors, analistas fi
reportes financieros externos.
 Aterrizaje

ión para el funcionamiento del control interno y logro de objetivos

información
uible, protegida, verificable y mantenerse, debiendo ser revisada

sus usos y lo que se logra

mación , su uso y responsabilidad

specialmente para reportes financieros

a de la información

ernos
externos

xternos, reguladors, analistas financieros todo relativo especialmente con

 Principio Foco

16 La organización selecciona, desarrolla y ejecuta tanto monitoreos en

línea como posteriores para evaluar si los componentes de COSO
están presentes y funcionando
Se recomienda usar informe COSO de evalua
Monitoreos periódicos ojalá continuos
Determinar línea base
Uso de Métricas
Tener un tablero de mando
Uso de tecnología para el monitoreo
Uso de evaluaciones separadas
Incluir monitoreos de outsourcing

17 La organización evalúa y comunica las deficiencias de control interno

en forma oportuna a quienes son responsables de hacer las
correcciones, incluyendo a la alta administración y al Directorio
Evaluar y comunicar las deficiencias detectad
reportes financieros externos
Monitorear las acciones correctivas
Tener informes tipos
 Monitoreo de actividades
Foco Aterrizaje

a usar informe COSO de evaluación de control inter Leerlo y aplicarlo

eriódicos ojalá continuos Definir calendario y materias
ea base De dónde estamos partiendo
as Definirlas y usarlas , especialmente para reportes financieros externos.
ro de mando Bien hecho, funcional,didáctico y ojalá sistémico que vaya mostrando el estado del arte
ogía para el monitoreo Ojalá sistémico; uso de patrones y desviaciones es recomendable
ciones separadas Aprovechar Auditoría Interna
reos de outsourcing Recordar que uno de los cambios de COSO 2013 es que incluyó el outsourcing

unicar las deficiencias detectadas en el proceso de A todos quienes habiendo intervenido, se detectaron deficiencias
cieros externos
acciones correctivas Fijar fechas, responsables y evaluar correcciones
s tipos Separar las significativas de las que no lo son , incluir las fuentes u orígenes de las defic
ncieros externos.
vaya mostrando el estado del arte
omendable

e incluyó el outsourcing

deficiencias

as fuentes u orígenes de las deficiencias