Está en la página 1de 6

COSO IV

GENERALIDADES
Este proyecto fue comisionado por COSO, el cual se lidera el desarrollo de estructuras
comprensivas y orientación sobre control interno, administración del riesgo de la empresa y
disuasión del fraude, diseñadas para mejorar el desempeño y la vigilancia organizacionales y
para reducir la extensión del fraude en las organizaciones.

NUEVAS INCORPORACIONES
· Enfoque basado en principios (17)
· Fortalece el rol en la definición de objetivos para el control interno
· Relevancia a la tecnología
· Fortalece los conceptos de Gobierno Corporativo
· Fortalece de los objetivos, la relacionada con la presentación de reportes.
· Enfatiza en algunas consideraciones relacionadas con el Fraude y la Corrupción.
· Da alcance a diferentes modelos de negocio y estructuras organizacionales.
·
DEFINIENDO EL FRAUDE
La definición de fraude que brinda COSO es concisa: “El fraude es cualquier acto u omisión
intencional diseñado para engañar a los demás, resultando en una pérdida para la víctima y/o una
ganancia para el perpetrador.” Sin embargo, el alcance del fraude es expansivo. La Guía
considera las siguientes categorías:

• Reporte fraudulento de información • “Cualquier declaración errónea intencional


financiera de información contable constituye un
reporte fraudulento de información
financiera.”

• Reporte fraudulento de información no • “Reporte fraudulento de riesgos y


financiera esquemas no financieros” que podrían dar
lugar a falsedad en los reportes de
información ambiental, seguridad, control de
calidad o métricas operativas.
• Malversación de activos • “Por parte de empleados, clientes o
proveedores, u organizaciones criminales”
afectando los activos tangibles e intangibles
de la organización así como las
oportunidades de negocio.
Algunos ejemplos incluyen:

1
• Robo de empleados.
• Facturas de proveedores ficticios.
• Falsas reclamaciones de clientes.
• Ciberataques externos.
• Otros actos ilegales y de corrupción • Constituyen actos ilegales: “violaciones a
las leyes o regulaciones gubernamentales
que podrían ocasionar un impacto material,
directo o indirecto, en los reportes
financieros externos”.
• Como ejemplos se incluyen el soborno,
instigación, encubrimiento o complicidad en
el fraude, violación a las leyes, uso ilícito de
información personal, secretos comerciales o
información de seguridad nacional;
violaciones de carácter laboral, de
exportación de tecnología o leyes de
protección al consumidor.
• La corrupción se define como "el mal uso
del poder delegado para la obtención de un
beneficio privado" (p.ej. violaciones del U.S.
Foreign Corrupt Practices Act (FCPA por sus
siglas en inglés) o leyes similares de otros
países).

EVALUACIÓN Y GESTIÓN DEL RIESGO DE FRAUDE


Es importante mencionar que los cinco principios de gestión del riesgo de fraude no son
obligatorios para el cumplimiento del Marco de COSO 2013. La Guía Antifraude “está destinada a
ser de apoyo y es consistente con el Marco de COSO 2013”. Una organización "puede utilizar el
segundo principio de la gestión del riesgo de fraude de la Guía de forma independiente para
realizar una evaluación del riesgo de fraude que cumpla con el principio 8 del Marco COSO de
2013” o, puede "implementar la Guía como un proceso independiente, compatible y más
exhaustivo para evaluar específicamente el riesgo de fraude de la organización como parte de un
programa o proceso de gestión del riesgo de fraude más amplio.”
La opción que elija una organización debe reflejar un entendimiento profundo de los riesgos de
fraude que enfrenta y una evaluación sincera de sus capacidades de gestión del riesgo de fraude.

2
PRINCIPIOS DE LA GESTIÓN DEL RIESGO DE FRAUDE
La Guía Antifraude proporciona orientación detallada y recursos para la implementación de cada
uno de los principios de gestión del riesgo de fraude:
Principio 1 se refiere al gobierno del riesgo de fraude mediante el establecimiento de una base de
comportamiento ético (no solo de cumplimiento) y de un "programa de gobierno corporativo
relacionado específicamente al riesgo de fraude.”
La Guía señala que es "crítico para el éxito de un Programa de Gestión del Riesgo de Fraude que
un miembro de la Alta Gerencia asuma la responsabilidad general de la gestión del riesgo de
fraude y que reporte al Directorio de manera periódica.”
Principio 2 aborda la evaluación del riesgo de fraude mediante la identificación de esquemas
específicos, la evaluación de su probabilidad e impacto potencial y la evaluación de la efectividad
de los controles existentes en la organización. La Guía reconoce que la tolerancia al riesgo es
una consideración importante, una organización debe invertir en la gestión de sus riesgos más
críticos.
Principio 3 aborda las actividades de control antifraude. Los controles son específicos para cada
riesgo de fraude y han sido diseñados para prevenir (y disuadir) eventos de fraude o para
detectarlos lo antes posible. Una organización debe utilizar una combinación de controles en
diferentes puntos de un proceso de negocios. Los controles preventivos son ampliamente
difundidos; mientras que los controles detectivos operan detrás. Como veremos más adelante, la
Guía describe cómo el análisis de datos (data analytics) proporciona no sólo controles detectivos
eficientes desde el punto de vista de costos, sino también una visión diferente en la identificación
de anomalías, tendencias e indicadores de riesgo.
La Guía describe procedimientos antifraude en el área de Recursos Humanos, incluyendo la
verificación de antecedentes (background checks), revisión de sistemas de compensación e
incentivos, evaluación de segregación de funciones, ejecución de encuestas a empleados,
ejecución de entrevistas de salida e implementación de sistemas confidenciales de reporte
(Whistleblower System).La Guía también destaca el problema del abuso de la posición de
confianza o evasión de controles por parte de la Gerencia señalando que "todos los casos,
aunque pocos, de fraudes catastróficos ocurridos en el pasado fueron perpetrados por ejecutivos
de la Alta Gerencia."

PROCESOS A SEGUIR
EY recomienda que cada organización considere este proceso, y vea la publicación de la Guía
Antifraude como una oportunidad para revisar sus riesgos de fraude, evaluar sus actividades de
mitigación de riesgos de todos los tipos de fraude que la Guía describe, y para desarrollar e
implementar un plan de acción.

3
Como primer paso, recomendamos que la organización seleccione un equipo conformado por
representantes de diferentes áreas y líneas de negocio, con perspectivas diversas acerca de las
operaciones de la organización, los riesgos de fraude que enfrenta y los controles antifraude
existentes. Este equipo debe:
• Revisar la Guía Antifraude como un documento de referencia.
• Revisar los resultados de las evaluaciones de riesgo de fraude recientes para determinar
si ofrecen una representación clara de las vulnerabilidades de la organización y una base
sólida para la toma de decisiones de gestión para la asignación de recursos.
• Realizar preguntas directas para evaluar el nivel de preparación, por ejemplo:
• Reporte fraudulento de información financiera. ¿Qué declaraciones falsas se podrían
estar haciendo a la Gerencia, y repitiéndose en los reportes financieros, regulatorios o en
las descripciones de productos?
• Reporte fraudulento de información no financiera. ¿Cuáles de nuestros reportes son
considerados críticos por nuestros reguladores, clientes o la Gerencia?
• Malversación de activos. ¿Qué activos, datos personales y propiedad intelectual debe
proteger la organización?
• Otros actos ilegales y corrupción. ¿Qué violaciones de las regulaciones podrían tener un
impacto material en los reportes financieros externos?
• Evaluación. ¿Qué esquemas de fraude son comunes en las líneas de negocio de la
organización y en los países en los que opera? ¿La organización está explotando su
información para identificar y evaluar los riesgos de fraude?
• Prevención. ¿Quién podría engañar a la organización? ¿Por qué y cómo? ¿Están dentro
o fuera de la organización, o una combinación de ambos?
• Detección. ¿La organización está invirtiendo en controles detectivos adecuados?
• Respuesta. Si se recibe un reporte de fraude, ¿la organización está preparada para
responder con la suficiente rapidez para proteger los activos críticos, cumplir con las
expectativas legales y proteger su reputación?
• Revisar el Programa y la estructura de gobierno a cargo de la gestión de los tipos de
fraude que la Guía describe, p.ej. estructura de la contraloría financiera en la
organización, comité de divulgación y reporte a entidades regulatorias, Programa
Anticorrupción, Programa de Seguridad Informática (Cyber Security), entre otros

CONCLUSIONES

· Cada persona dentro de una organización tiene responsabilidades relacionadas con la gestión
de riesgos corporativos. El número uno de la compañía es el responsable final y debe asumir
la “propiedad” sobre el tema. Otros gerentes le dan apoyo a la filosofía de gestión de riesgos,

4
promueven el cumplimiento del apetito al riesgo acordado, y/ó administran los riesgos dentro
de sus esferas de responsabilidad en forma consistente con la tolerancia al riesgo. Otros
funcionarios son responsables por ejecutar la gestión de riesgos corporativos de acuerdo con
las políticas y directivas establecidas.
· El Consejo de Dirección provee un importante visón de alto nivel sobre el proceso completo.
Ciertos terceros generalmente proveen información útil para gestionar eficientemente los
riesgos, pero no son responsables por la eficiencia del proceso en forma directa.
· Las entidades existen con el fin último de generar valor para sus grupos de interés.
· En su camino cotidiano se enfrentan con la falta de certeza en diversos ámbitos, por lo que el
reto de toda organización consiste en determinar cuanta incertidumbre se puede y se desea
aceptar mientras se genera valor.
· Las entidades operan en ambientes donde factores como la globalización, la tecnología, las
regulaciones de los organismos de contralor, los mercados cambiantes y la competencia,
crean incertidumbre. La mencionada incertidumbre está representada por eventos, que a su
vez implican riesgos pero que también generan oportunidades para la entidad. Un evento con
impacto negativo será un riesgo que la dirección deberá acotar para permitir la generación de
valor. Por el contrario, un evento con impacto positivo, puede compensar los impactos
negativos y/o generar oportunidades que ayuden a la creación o maximización de valor.
· En este sentido, la gestión de riesgos corporativos le permitirá a la dirección tratar a la
incertidumbre de una manera eficaz, y administrar los riesgos y oportunidades asociados, con
la finalidad de generar más valor.

BIBLIOGRAFÍA

· Laski, Julián Pablo. El control interno como estrategia de aprendizaje organizacional:


El Modelo COSO y sus alcances en América Latina.

· Coopers&Lybrand. (1997). Los nuevos conceptos del control interno. España.

· COSO. (2013). Control Interno – Marco Integrado. Resumen Ejecutivo.

· COSO. (2013). Control Interno – Marco Integrado. Marco y anexos.

5
ANEXOS

También podría gustarte