COSO 2013-Internal Control over External Financial Reporting- A Compendium of Approaches and Examples

PRESENTACION GENERAL DEL MARCO

Es uno de los tres informes de COSO y es poco conocido; los otros dos son la estructura y el de herramientas
1- para evaluar el control interno

Se refiere al proceso de control interno para reportes financieros externos; nótese que no es sólo Estados
2- Financieros, sino cualquier reporte financiero externo

3. Lo anterior es uno de los cambios de COSO 2013 respecto a COSO 1992; antes era para Estados Financieros.

Este informe de COSO ( está en inglés y en Español)

4.

El referido informe pretende ayudar a quienes son responsables de diseñar, implementar y administrar el
5. sistema de control interno de los reportes financieros externos ( ICEFR )
Dichos informes son enviados usualmente a : Entidades públicas,entidades privadas, entidades sin fines de
6. lucro y entidades gubernamentales.

En lo referente a Estados Financieros,se inserta con estándares contables incluyendo tanto estados anuales
7. como intermedios.Tambiém incluye los enviados para fines de tributación, reguladores y otros.

En lo relativo a otros reportes distintos a Estados Financieros. El documento alude a información seleccionada
8 para fines específicos

9 Entre los objetivos a considerar para este tipo de reportes ,están:leyes, regulaciones y estándares
Como objetivos pertinenentes, están :Estándares contables,consideraciones de materialidad, el reflejo de las
10 transacciones de todo tipo
Lo anterior debe considerar:existencia y ocurrencia,completitud,derechos y obligaciones,valuaciones ,
11 asignaciones presentaciones y exposiciones
Entre los riesgos que deben considerarse para los objetivos están los riesgos de omisiuón y de inexactitud. Lo
12 de omisiones materiales debido a fraudes, y elusiones de la Administración

13. En las respuestas a los riesgos, debe analizarse como se controlan los riesgos anteriores.

14 Este informe atañe a todo tipo de empresas y de tamaño de las mismas.

En lo referente a documentación , es un tema importante, reconociendo la relativa ala Administración y la
15 relativa a Auditores Externos.

Este informe de COSO 2013 transita por el mismo camino de la estructura COSO, esto es por cada elemento,
16 cada uno de los 17 principioa y de los enfoques todo ello aplicado a reportes financieros externos.

En cada hoja de este formato excel se entra a un resumen de estos puntos.Se previene que estas hojas son
17 sólo una guía para facilitar la lectura del informe, pero no lo sustituye
Tanto los elementos como los factores se refieren a la empresa como un todo y ahí debe hacerse el primer
18 análisis
 El segundo análisis es con un ZOOM a reportes financieros externos, esto es, aplicar lo mismo anterior a ese
19 proceso, revisando tanto los elementos como los principios de COSO 2013 a dicho proceso específico
 f Approaches and Examples

uctura y el de herramientas

ese que no es sólo Estados

para Estados Financieros.

Español)

mplementar y administrar el

adas, entidades sin fines de

endo tanto estados anuales

dores y otros.

a información seleccionada

es y estándares
materialidad, el reflejo de las

obligaciones,valuaciones ,

misiuón y de inexactitud. Lo

riores.

tiva ala Administración y la

esto es por cada elemento,

cieros externos.

reviene que estas hojas son

ahí debe hacerse el primer

icar lo mismo anterior a ese
proceso específico
 PRINCIPIO
1 La organización demuestra un compromiso con la
integridad y valores éticos

El Directorio demuestra independencia de la

2 Administración y supervisa el desarrrollo y
cumplimiento del control interno

La Administración establece con el Directorio la

supervisión de las estructuras, las líneas de reportes
3
y los sistemas de autoridad y responsabilidad para
el logro de los objetivos

4 La organización demuestra un compromiso para

atraer, desarrollar y retener personas capaces que
ayudan al logro de los objetivos
 La organización tiene personas responsables para el
5 control interno en este proceso y el logro de los
objetivos contemplados en los reportes financieros
externos
 Entorno de Control
ENFOQUE APLICARLOS

Establecer estándares de conducta Desarrollarlos, comunicarlos y evaluar su cumplimiento

Hacerlo en el día a día en todos los niveles, relaciones con provee
Liderar con ejemplos lo relativo a integridad y valores éticos incumplimientos, hacer revisiones y tomar correcciones

Evaluar a : Administración , personal, outsourcing,

proveedores y socios de negocios su adhesión a estándares Capacitar y tomar exámenes, revisarlo como componente del con
de conducta auditorías éticas
Desarrollar procesos para apreciar desviaciones a
estándares de conducta Trabajar en ello, evaluar y tomar acciones correctivas

Directorio establece: roles,líneas de autoridad y responsabilidade

Directorio asigna al Comité de Auditoría la revisión del proceso d

financieros externos.Evaluación y cambio de Auditores externos,
Directorio establece
Comité de Auditoría trata entre otros temas lo relativo a :observa
interno,potenciales impactos en dichos reportes, medidas correc
interna, la calidad de las revelacioners, contratación ,trabajo y pa
de reuniones con la Administración . Reuniones con los auditores
calendario
Directorio yIncluye
reuniones del Comité
posibilidad de Auditoríaexternas al Direc
de evaluaciones
Establece y revisa capacidades de miembros del Directorio posibles nuevos Directores
Opera independientemente de la Administración Que esté establecido y funcione
Directorio revisa el desarrollo, aplicación y cumplimiento de
cada elemento de COSO Contar con estas evaluaciones y hacer correcciones que se requie

Considera todas las estructuras de la empresa Incluye ubicaciones geográficas ,sucursales y unidades y también
Lo hace por escrito, vela por segregación de funciones todo ello
Establece las líneas de reporte se
En preocupa que esté
concreto para claro lodedereportes
el proceso accountablity
financieros externos.Vel
Define y asigna los límites de autoridad y responsabilidad Auditoría Interna del Comité de Auditoría

Establece políticas y prácticas para ello
Determina las carencias y establece planes
Atrae, dearrolla y retiene individuos
Directorio establece y opera planes de sucesión
Especialmente en este caso para lo relativo a reportes financieros
Incluye toda la empresa y especialmente en este caso a los recur
proceso de reportes financieros externos
Establece tutorías para cumplir este rol incluyendo servicios exte
Contar con un plan de contingencia y especialmente para quiene
especialmente en puestos claves.Incluye servicios externos de tri
outsourcing
Se definen en los respectivos niveles
Establece medidas de performance, incentivos y
reconocimientos
Si bien todo ello es para la empresa en general; en este caso es p
Evalúa lo anterior en el proceso de reportes financieros externos.
Considera las presiones excesivas
Evalúa los logros, reconocimientos y medidas disciplinarias
cuando corresponde
Entorno de Control

y evaluar su cumplimiento
dos los niveles, relaciones con proveedores en este tema, en
siones y tomar correcciones

, revisarlo como componente del control interno, tener hot lines y hacer

mar acciones correctivas

neas de autoridad y responsabilidades

de Auditoría la revisión del proceso de control interno de los reportes

ión y cambio de Auditores externos, su plan de trabajo y cumplimiento

tre otros temas lo relativo a :observaciones a dicho control

s en dichos reportes, medidas correctivas, comunicaciones con auditoría
elacioners, contratación ,trabajo y pagos a los auditores externos, calendario
tración . Reuniones con los auditores externos , reuniones con abogados. Fija
omité de Auditoríaexternas al Directorio y revisión de capacidades de
d de evaluaciones

one

es y hacer correcciones que se requieran

cas ,sucursales y unidades y también los servicios de outsourcing

segregación de funciones todo ello relativo a reportes financieros externos y
odedereportes
accountablity
financieros externos.Vela además por la relación directa de
de Auditoría

para lo relativo a reportes financieros externos.

pecialmente en este caso a los recursos financieros que intervienen en el
ros externos
plir este rol incluyendo servicios externos
ngencia y especialmente para quienes participan en este proceso
aves.Incluye servicios externos de tributación y otros servicios de
mpresa en general; en este caso es para todas las personas que intervienen
nancieros externos.
SI PARCIAL NO PLAN DE ACCIÓN
 Eva
PRINCIPIO ENFOQUE

La organización especifica los objetivos con suficiente

6 claridad para permitir la identificación y evaluación de
los riesgos en relación a los objetivos
Identificar las cuentas contables de los Estados Finan
Especificar los objetivos de los reportes financieros
Determinar la materialidad
Revisar la aplicación de los estándares contables
Considerar el rango de actividades de la empresa

La organización identifica los riesgos para el logro de los

7 objetivos a través de toda la empreaa y analiza los
riesgos como una base para determinar como los
riesgos deberían ser administrados
Incluye toda la empresa, sucursales, unidades etc
Analiza factores externos e internos
Abraza a todos los niveles de la organización
Estima el riesgo potencial de los riesgos identificados
Determina las respuestas a los riesgos

8
La organización considera el potencial fraude en la
evaluación de los riesgos para el logro de los objetivos
Considera varios tipos de fraude
Analiza incentivos y presiones
Evalúa las oportunidades
Revisa las racionalizaciones y reeingenierías hechas q
La organización identifica y mide los cambios que
9 podrían impactar significativamente el sistema de
control interno

Cambios originados en factores externos

Evalúa los cambios en el modelo de negocios

Evalúa los cambios en el liderazgo

 Evaluación de riesgos
ENFOQUE APLICARLO

bles de los Estados Financieros, exposiciones y aseveraciones Existencia,completitud,derechos y obligaciones , valuaciones y presentació
os reportes financieros Y su relación o no con IFRS / NIIF PYME
En cada cuenta significativa
estándares contables Verlos
Revisaruno
queaestén
uno ,dejando
todas lasevidencia
actividades y los productos y estén incluidos en
dades de la empresa externosd

ursales, unidades etc Levantar y definir riesgos primarios y eventos de riesgos

nternos Identificar los factores de riesgo.especialmente para el proceso de reporte
e la organización Con zoom a reportes financieros externos
los riesgos identificados Con un proceso sistemático para calcular su efecto
os riesgos Determinar en cada uno. Lo que se evita, lo se acepta, lo que se reduce y lo

ude Considera fraude en el reporte mismo,omisión o pérdida de activos, corrup

es Analizar el punto y cómo ello puede afectar las cifras
Ver oportunidades de hacer fraudes , revisando las posibilidades
y reeingenierías hechas que podrían afectar al control interno. Posibles vaciós por racionalizaciones de procesos y bajas de costos que hu

res externos Y sus efectos en el proceso de reportes financieros externos

delo de negocios Y como afectan al control interno; a veces resultan de rápidos crecimiento
Y eventuales cambios en la cultura y filosofía y que pudieren afectar al con
razgo
al proceso de reportes financieros externos.
 APLICARLO SI PARCIAL

iones , valuaciones y presentación y disclosures

os productos y estén incluidos en los reportes financieros

ntos de riesgos
mente para el proceso de reportes financieros externos.

su efecto
lo se acepta, lo que se reduce y lo que se comparte

isión o pérdida de activos, corrupción y adulteraciones

ar las cifras
isando las posibilidades
rocesos y bajas de costos que hubieren dejado vaciós

nancieros externos
s resultan de rápidos crecimientos
ofía y que pudieren afectar al control interno y en especial
os.
NO PLAN DE ACCIÓN
 Control de actividades
PRINCIPIO FOCO

La organización selecciona y desarrolla control de

10 actividades que contribuyen a la mitigación de los
riesgos para el logro de los objetivos a niveles
aceptables

Integrar riesgos con control de actividades

Entorno externo y como está organizadas la empresa
Determinar los procesos relevantes
Evaluar un mix de controles
Controles por niveles
Segregación de funciones
Monitoreo de controles

La organización selecciona y desarrolla controles

11 generales para actividades de tecnología para soportar
el logro de los ojetivos
Usar matrices de riesgos y controles
Evaluar controles finales de usuarios

Desarrollar si no hubiere e implementar monitoreo sobre TI

cuando hubiere outsourcing
Configurar infraestuctura de IT con accesos restringidos y
segregación de funciones
Soportes de back up
Tener y administrar seguridades de acceso
Aplicar a los desarrollos control de ciclos para vigencia y control
de paquetes de software

Id anterior para software desarrollados in house

Determinar relaciones y controles entre TI y negocios
Velar por controles en el proceso de adquisición de TI

La organización despliega control de actividades por

12 medio de políticas que establecen lo que se espera y
procedimientos que ponen las políticas en acción

Políticas y procedimientos
Controles en unidades de negocios
Evaluaciones de los controles
Controles insertos
Determinar responsabilidadfes y accountabilities
Temporalidad
Acciones correctivas
Competencia profesional
Refresco de politicas y procedimientos
 Control de actividades
FOCO APLICABILIDAD

Usar matrices de controles, workshops,inventario de control de

de actividades actividades,mapas de los riesgos identificados y los controles asociados
á organizadas la empresa Incide en en el desarrollo y aplicación de los controles
evantes Para determinar los controles respectivos
Controles manuales y automáticos para prevenir y detectar
Asignarlos claramente en cada nivel y que se sepan
Siempre que fuere posible y de no serlo ver controles para cada caso
Implementarlo e incluir controles en outsourcing

ontroles Documentación administración y y controles

usuarios Documentarlos e implementarlos

mplementar monitoreo sobre TI Documentación administración y y controles

IT con accesos restringidos y Documentación administración y y controles

Documentación administración y y controles

des de acceso Documentación administración y y controles
trol de ciclos para vigencia y control Documentación administración y y controles

sarrollados in house Documentación administración y y controles

troles entre TI y negocios Documentación administración y y controles
ceso de adquisición de TI Documentación administración y y controles

Desarrollando y documentando políticas y procedimientos

gocios Aprovechar jefaturas y liderazgos
es Hacerlo periodicamente
Como parte de los procesos
es y accountabilities Qué se espera que haga cada cual y cómo rinde cuenta
Determinar la frecuencia de cada control
Determinar responsabilidades por incumplimientos
Las personas que aplican los controles deben conocerlos y ser competentes
dimientos Ir actualizándolos
SI PARCIAL NO PLAN DE ACCIÓN
 PRINCIPIO FOCO

13 La organización obtiene o genera y usa información relevante

y de calidad para soportar el funcionamiento del control
interno

Identifica los requerimientos de información

Captura fuentes externas e internas de información

Pasar de datos a información

Mantiene calidad por medio de procesamiento

Obtener información externa

Repositorios de datos

Seguridad para la información

Costo-beneficio

La organización internamente comunica la información ,

incluyendo objetivos y responsabilidades para control interno
14
en los aspectos que esta información es necesaria para el
control interno

Comunica información para el control interno

Comunicaciones con el Directorio

 Líneas de denuncia y otros

Tener métodos de comunicación

Comunicaciones internas relativa a reportes financieros e

Obtener información interna no financiera

15 La organización comunica a partes externas materias relativas

al control interno

Comunicaciones a terceras partes

Obtener información externa

Comunicaciones hacia y desde Comité de Auditoría

Comunicaciones de entes especiales

 Información y comunicación
FOCO APLICABILIDAD

s de información Es un proceso que debe existir para identificar y usar esta información para el funcionamiento de

nternas de información Se requiere sistemas de datos

n Contar con un sistema que atienda los requerimientos para llegar a información

de procesamiento Información obtenida debe ser :oportuna,segura, completa, accequible, protegida, verificable y m

a Precisar qué se requiere, cómo y de quienes

Especificarlos, ver su uso y controles

ón Contar con sistemas y controles incluyendo su conservación

Debe hacerse el análisis de la información obtenida, lo cual lleva a sus usos y lo que se logra

el control interno Es un proceso y requiere tener definidos los usuarios en cada información , su uso y responsabili

torio Entre la Administración y el Directorio según sus requerimientos, especialmente para reportes fi
 Deben existir y ser seguras para quien las usa

ción Considerar: oportunidad, calendario de envio,audiencia y naturaleza de la información

ativa a reportes financieros externos Precisar qué se requiere, cómo y de quienes

a no financiera Requerida para estos reportes, precisarla y de quien obtenerla

partes Definir qué y a quienes, especialmente en reportes financieros externos

a Qué, de quienes , plazos y especialmente para reportes financieros externos

de Comité de Auditoría Especialmente en el tema de reportes financieros externos.

peciales Canales abiertos entre otros con :clientes, proveedores auditores externos, reguladors, analistas
reportes financieros externos.
PLICABILIDAD SI

ón para el funcionamiento del control interno y logro de objetivos

nformación

ble, protegida, verificable y mantenerse, debiendo ser revisada

s usos y lo que se logra

ación , su uso y responsabilidad

pecialmente para reportes financieros

de la información

nos

xternos

ternos, reguladors, analistas financieros todo relativo especialmente con

PARCIAL NO

X
X

X
PLAN DE ACCIÓN

Poner en marcha el plan de control interno primeramente para luego seguir la

meta que es cumplir los objetivos tanto generales como específicos de dicho
plan.
 ejecución de de estos Sistemas se desarrolle de manera eficaz, eficiente y
 efectiva, deben nutrirse de un componente físico (hardware), de programas,
 información y conocimiento (software), de recurso humano, y de datos a
procesar o  difundir.
Los recursos físicos y humanos de la  organización deben tener asociados
 procesos, procedimientos y guías donde  se establece el manejo de estos y su
 adecuada utilización
Debe existir un documento (electrónico,  físico o como determine la entidad) que
 permita consultar toda la documentación  y/o archivos de importancia para el
 funcionamiento y gestión de la entidad
Se deben establecer mecanismos para  identificar la información externa.
 (Recepción de Peticiones, Quejas,  Reclamos y/o Denuncias, Buzón de
 sugerencias, Encuestas de satisfacción,  entre otras)
crear y mantener repositorios de datos, para tomar varias decisiones de
hardware y software. Por lo tanto, es mejor involucrar a todas las partes
interesadas durante la fase de desarrollo y uso de los repositorios de datos.
La entidad debe poner a disposición de  sus usuarios y/o grupos de interés,
 diferentes medios de acceso a la  información como página Web,  carteleras
comunitarias, periódico oficial,  buzón de sugerencias entre otros que  crea
conveniente
se tiene que realizar un análisis para poder conocer si un proyecto será rentable
o no. Si los beneficios son mayores a la inversión que debes realizar, entonces los
resultados serán positivos. Mientras que si los beneficios son igual o menores a
la inversión tal vez sea mejor que debas pensar en otro proyecto o estrategia.

La entidad debe tener establecido un  mecanismo donde se comunique

 información sobre programas, proyectos,  obras, contratos y administración de
los  recursos.

La entidad debe establecer un  mecanismo de comunicación con los  usuarios

internos y externos. Dicha  política, proceso o procedimiento debe  contener
entre otros, los siguientes  elementos: matriz de comunicaciones,  guía de
comunicaciones, proceso de  comunicación organizacional, proceso  de
comunicación y convocatoria, etc.
implementar una línea de denuncias anónima para reportar irregularidades de
empleados dentro de la entidad y así poder tener un mayor control sobre los
empleados desde una perspectiva externa.
La entidad debe identificar los usuarios  y/o grupos de interés a quienes van
 dirigidas sus productos y/o servicios   en la prestación del  servicio
Determinar las personas de la organización con quienes se establece
comunicación directa, adicional a la gerencia a quien se debe entregar el
informe. Estamos hablando del departamento contable, control interno,
administración, entre otros.

Para que la confianza en la información no financiera mejore, los directores

financieros y sus funciones financieras deben desempeñar un papel más
significativo al mostrar cómo los principios y conceptos del control interno se
pueden aplicar de manera más amplia. También deben estar al tanto de los
enfoques innovadores para aumentar la transparencia en los no financieros.

La entidad debe establecer directrices  claras para el manejo documental de tal

 manera que no haya contratiempos  entre la correspondencia recibida y la
 respuesta que se genera al usuario y/o  grupo de interés.
Se deben establecer mecanismos para  identificar la información externa.
 (Recepción de Peticiones, Quejas,  Reclamos y/o Denuncias, Buzón de
 sugerencias, Encuestas de satisfacción,  entre otras)
Durante el desarrollo de las auditorías, la comunicación es la base de una buena
coordinación entre los auditores internos. Así, debe quedar clara la forma en la
que se va retroalimentar el equipo con las observaciones que cada uno de sus
integrantes va a ir aportando en función de su percepción de las áreas auditadas.

establecer canales de comunicación recíproca y efectiva, para que los

responsables del Gobierno de la entidad comuniquen aquellas cuestiones que
consideren relevantes para la auditoría.
 PRINCIPIO FOCO

16 La organización selecciona, desarrolla y ejecuta tanto monitoreos en

línea como posteriores para evaluar si los componentes de COSO
están presentes y funcionando
Se recomienda usar informe COSO de evalua
Monitoreos periódicos ojalá continuos
Determinar línea base
Uso de Métricas
Tener un tablero de mando
Uso de tecnología para el monitoreo
Uso de evaluaciones separadas
Incluir monitoreos de outsourcing

17 La organización evalúa y comunica las deficiencias de control interno

en forma oportuna a quienes son responsables de hacer las
correcciones, incluyendo a la alta administración y al Directorio
Evaluar y comunicar las deficiencias detecta
reportes financieros externos
Monitorear las acciones correctivas
Tener informes tipos
 Monitoreo de actividades
FOCO APLICABILIDAD

usar informe COSO de evaluación de control intern Leerlo y aplicarlo

riódicos ojalá continuos Definir calendario y materias
ea base De dónde estamos partiendo
as Definirlas y usarlas , especialmente para reportes financieros externos.
ro de mando Bien hecho, funcional,didáctico y ojalá sistémico que vaya mostrando el estado del art
gía para el monitoreo Ojalá sistémico; uso de patrones y desviaciones es recomendable
iones separadas Aprovechar Auditoría Interna
eos de outsourcing Recordar que uno de los cambios de COSO 2013 es que incluyó el outsourcing

nicar las deficiencias detectadas en el proceso de A todos quienes habiendo intervenido, se detectaron deficiencias
ieros externos
acciones correctivas Fijar fechas, responsables y evaluar correcciones
s tipos Separar las significativas de las que no lo son , incluir las fuentes u orígenes de las defi
ILIDAD SI PARCIAL

cieros externos.
aya mostrando el estado del arte
mendable

incluyó el outsourcing

eficiencias

s fuentes u orígenes de las deficiencias

NO PLAN DE ACCIÓN