COSO 2013:

Hacia un Estándar Mejorado

de Control Interno
Agosto 13 de 2014
Agenda

Antecedentes

COSO 2013: Estructura Mejorada

Hacia una transición efectiva

Preguntas y Comentarios

1
1 COSO 2013: Hacia una Transición Efectiva Copyright © 2014 Deloitte Development LLC. All rights reserved.
Antecedentes
Antecedentes

Misión y Estructura de la Organización COSO

COSO

AAA AICPA FEI IMA IIA

• COSO1 es una iniciativa conjunta de las siguientes organizaciones:

– Asociación de Contadores Públicos Norteamericanos (“AAA”)
– Instituto Norteamericanos de Contadores Públicos Certificados (“AICPA”)
– Asociación Internacional de Ejecutivos de Finanzas (“FEI”)
– Instituto de Gerentes de Contabilidad (“IMA”)
– Instituto de Auditores Internos (“IIA”)

“…proporcionar liderazgo de pensamiento a través de la creación de

estructuras y orientaciones generales sobre la gestión del riesgo
empresarial, el control interno y la disuasión del fraude diseñado para
COSO - mejorar el desempeño organizacional, la gestión y reducir el alcance del
Misión… fraude en las organizaciones.”

www.coso.org/aboutus.htm

1 Committee of the Treadway Commission of the Sponsoring Organization

3 COSO 2013: Hacia una Transición Efectiva Copyright © 2014 Deloitte Development LLC. All rights reserved.
Antecedentes
¿Por qué mejorar lo que está funcionando?

Estructura Estructura Integrada de Control Interno COSO (1992)

Original

Reflejar cambios en los Expandir los objetivos Articular principios

Actualizar
ambientes de negocios de reporte y para evaluar la
Objetivos
y operaciones operaciones efectividad del sistema

Mejoras Actualización del Ampliación de la Clarificar

Contexto Aplicación Requerimientos

Estructura Estructura Integrada de Control Interno COSO (2013)

Actualizada

Fuente: Presentación COSO Mayo 2013

4 COSO 2013: Hacia una Transición Efectiva Copyright © 2014 Deloitte Development LLC. All rights reserved.
Antecedentes
¿Cuáles son los nuevos documentos?

Estructura 2013 Compendio CIRF

Externo
Componentes
Enfoques

Principios Herramientas
Ilustrativas
Ejemplos

Puntos de Enfoque
Plantillas

Escenarios

5 COSO 2013: Hacia una Transición Efectiva Copyright © 2014 Deloitte Development LLC. All rights reserved.
COSO 2013 –
Estructura Mejorada
de Control Interno
2013 Estructura de CI y Guías

Qué no cambia frente al Modelo COSO 1992?

• Definición de control interno

“Un proceso, efectuado por la junta directiva, la gerencia y otro

personal, diseñado para proveer seguridad razonable en relación
con el cumplimiento de objetivos relacionados con operaciones,
reporte y cumplimiento

Junta Directiva Comité Auditoría

Junta Directiva

Proceso
Presidencia

Centro Corporativo
Secretaría General Dirección de Auditoria

Ejecutado por
Interna

Vicepresidencia
Vicepresidencia de
Jurídica Estrategia y Crecimiento

Vicepresidencia de Oficina de
Talento Humano
Control Disciplinario

continuo. Es un personas. No son

Vicepresidencia
Financiera

Dirección de
Relacionamiento
con el Inversionista

Unidad de Finanzas
Corporativas
Vicepresidencia
Ejecutiva de Exploración y
Producción

Gerencia Técnica y
de Desarrollo de E y P
Gerencia de
Nuevos
Negocios E y P
Vicepresidencia
Ejecutiva del Downstream

Gerencia de Nuevos
Negocios del
Downstream
Vicepresidencia de
Servicios y Tecnología

Dirección de
HSE y Gestión Social

Dirección Instituto
Colombiano
del Petróleo

medio no un fin
Vicepresidencia de
Refinación y Dirección de
Unidad de Gestión Tecnología
de Riesgos Petroquímica
de Información
Vicepresidencia de

solo políticas y
Unidad Dirección de
Transporte Abastecimiento de
de Tesorería Bienes y Servicios
Vicepresidencia de Vicepresidencia de
Unidad de Información Exploración Suministro y Dirección de
Contable y Tributaria Mercadeo Seguridad Física
Vicepresidencia de
Producción Dirección de
Servicios y

en sí mismo.
Áreas de Áreas transversales
Beneficios al
Áreas de Subordinación Subordinación Personal
Direccionamiento a Negocios Negocio Administrativa Funcional

manuales.
Adaptable a la
estructura de la
Proporciona seguridad entidad
razonable a la Gerencia
y la Junta.

7 COSO 2013: Hacia una Transición Efectiva Copyright © 2014 Deloitte Development LLC. All rights reserved.
2013 Estructura Mejorada de Control Interno
Principales Cambios

Algunas mejoras al Modelo incluyen:

Objetivos

• Mayor énfasis en impacto de organizaciones

Alcance Organizacional
de servicios (terceros) en el sistema de
control interno

Actividades
Monitoreo
• Mayor descripción del impacto de aspectos

Procesos
Unidad de Negocios
de TI en el sistema de control interno

División
Información &

Entidad Legal
Comunicación

Componentes
• Uso de 17 principios para describir los
conceptos/prácticas clave asociadas a cada Actividades de Control
componente
Evaluación de Riesgos
• Una vía mas formal de diseñar y evaluar el
sistema de control interno, de acuerdo con los Ambiente de Control
principios.
Cubo COSO (Edición 2013)

Fuente: COSO Integrated Framework Executive Summary, May 2013.

8 COSO 2013: Hacia una Transición Efectiva Copyright © 2014 Deloitte Development LLC. All rights reserved.
Estructura Coso 2013
Control Interno

1 5 Principios
Ambiente de
Control 20 Puntos de
Enfoque

2 4 Principios
COMPONENTES
Evaluación de
Riesgos
27 Puntos de
Enfoque

3 3 Principios
Actividades de
COSO 2013
Control 16 Puntos de
Enfoque

4 3 Principios
Información y
Comunicación 14 Puntos de
Enfoque

5 2 Principios
Actividades de
Monitoreo 10 Puntos de
Enfoque

17 principios
87 puntos de enfoque
9 COSO 2013: Hacia una Transición Efectiva Copyright © 2014 Deloitte Development LLC. All rights reserved.
Estructura COSO 2013 (Ejemplo)

Componente Punto de
Principio (4)
(1) Enfoque (27)

Identificación Analiza factores

de Riesgos internos y
Externos
Evaluación de Determina
Riesgos respuesta a los
Consideración riesgos
de Fraude
Considera los
tipos de fraude

Obligatorios
Recomendaciones

10 COSO 2013: Hacia una Transición Efectiva Copyright © 2014 Deloitte Development LLC. All rights reserved.
2013 Estructura de Control Interno – Resumen de Principios

COMPONENTE RESUMEN DE PRINCIPIOS

Ambiente de 1. Demostrar compromiso con la integridad y los

Control valores éticos.
2. Rol Asesor / Supervisor de Junta Directiva
(Incluyendo su independencia).
3. La gerencia, bajo supervisión de la Junta, establece
la estructura, autoridad y responsabilidad para
cumplir objetivos.
4. Demostrar compromiso por ser competentes.
5. Reforzar las responsabilidades sobre el control
interno (Junta / Gerencia).

11 COSO 2013: Hacia una Transición Efectiva Copyright © 2014 Deloitte Development LLC. All rights reserved.
2013 Estructura de Control Interno – Resumen de Principios (cont.)

COMPONENTE RESUMEN DE PRINCIPIOS

Evaluación de 6. Definir objetivos lo suficientemente claros para

Riesgos identificar riesgos (Operaciones, Cumplimiento y
Reportes).
7. Identificar y analizar riesgos que impidan alcanzar
los objetivos.
8. Evaluar el riesgo de fraude que impidan alcanzar
los objetivos.
9. Identificar y analizar cambios que afecten el
cumplimiento de objetivos.

12 COSO 2013: Hacia una Transición Efectiva Copyright © 2014 Deloitte Development LLC. All rights reserved.
2013 Estructura de Control Interno – Resumen de Principios (cont.)

COMPONENTE RESUMEN DE PRINCIPIOS

Actividades de 10. Seleccionar e implementar actividades de control

Control que mitiguen los riesgos hasta niveles
aceptables.
11. Seleccionar e implementar controles generales
sobre TI.
12. Desplegar controles a través de políticas y
procedimientos.

13 COSO 2013: Hacia una Transición Efectiva Copyright © 2014 Deloitte Development LLC. All rights reserved.
2013 Estructura de Control Interno – Resumen de Principios (cont.)

COMPONENTE RESUMEN DE PRINCIPIOS

Información y 13. Usar información relevante para soportar el

Comunicaciones funcionamiento del Control Interno.
14. Comunicar internamente los objetivos y
responsabilidades de control interno.
15. Comunicar externamente aspectos relevantes
sobre el funcionamiento del control interno.

14 COSO 2013: Hacia una Transición Efectiva Copyright © 2014 Deloitte Development LLC. All rights reserved.
2013 Estructura de Control Interno – Resumen de Principios (cont.)

COMPONENTE RESUMEN DE PRINCIPIOS

Monitoreo 16. Desarrollar evaluaciones propias o separadas para

verificar que los controles están presentes y
funcionando conjuntamente.
17. Evaluar y comunicar sobre Deficiencias de
Control a aquellos responsables del gobierno.

15 COSO 2013: Hacia una Transición Efectiva Copyright © 2014 Deloitte Development LLC. All rights reserved.
2013 Estructura Mejorada de Control Interno
Define qué se entiende por Control Interno Efectivo

Para COSO, un sistema de control interno

efectivo requiere que:
Ambiente
• Cada uno de los cinco (5) componentes y 17 Monitoreo
de Control
principios estén presentes y funcionando

• Los cinco (5) componentes estén operando

de forma conjunta e integrada.

• Las deficiencias de control agregadas a Información y Evaluación

comunicaciones de Riesgos
través de principios y componentes no
resulten en la determinación de que existen
una o más deficiencias de control
importantes. Actividades
de Control

Componentes del SCI

16 COSO 2013: Hacia una Transición Efectiva Copyright © 2014 Deloitte Development LLC. All rights reserved.
Estructura Coso 2013

COSO
2013

Deficiencia de Deficiencia
control mayor

SOX

Deficiencia de Deficiencia Debilidad

control significativa material

Control Interno
Control interno efectivo
Reporte inefectivo

17 COSO 2013: Hacia una Transición Efectiva Copyright © 2014 Deloitte Development LLC. All rights reserved.
2013 Estructura Mejorada de Control Interno
Visión General de Un Proceso para concluir sobre la Efectividad del SCI

Interrelaci
Identificar Evaluar
Establecer o-nar con Concluir y
y Evaluar Efectivida
Objetivos SCI y sus Reportar
Riesgos d SCI
Principios

• Operacional • Criterios de • Prevenir • Valorar diseño, • Evaluar impacto

• Reporte riesgos • Detectar implementación de deficiencias
• Mapa de y de control en
• Cumplimiento • Monitorear funcionamiento
riesgos cumplimiento de
del SCI en un objetivos
periodo de • Comunicar
tiempo. deficiencias a
aquellos
responsables del
gobierno.
• Comunicar
externamente
conclusiones

18 COSO 2013: Hacia una Transición Efectiva Copyright © 2014 Deloitte Development LLC. All rights reserved.
Responsabilidades de Junta Directiva y Gerencia
Enfatizados por COSO 2013

Gerencia Junta Directiva Comité de Auditoría Auditor Interno

• Proveer liderazgo y • Vigilancia del • Vigilancia de • Proveer

dirección en la Sistema de Control riesgos y control aseguramiento
definición de objetivos Interno interno independiente y
a nivel de la entidad • Definir expectativas • Verificar el asesoría a la
• Mantener supervisión sobre integridad, cumplimiento de gerencia en gestión
y control sobre los valores éticos, responsabilidades del control interno
riesgos que enfrenta la transparencia y de la Gerencia en • Evaluar el diseño y
entidad responsabilidad el proceso de efectividad de los
• Liderar el desarrollo • Evaluación del reportes y controles
de actividades de riesgo de fraude cumplimiento • Comunicar
control a nivel de por omisión de • Interactuar con hallazgos e
entidad controles de la auditores externos interactuar con la
• Comunicar Gerencia • Supervisión de la Gerencia, Comité
expectativas y • Establecimiento de función de de Auditoría y
requerimientos de líneas de auditoría interna. Junta Directiva
información comunicación
• Evaluar las separadas de la
deficiencias de control gerencia (P.e.
que afectan la líneas de denuncia)
efectividad del sistema
de control interno

19 COSO 2013: Hacia una Transición Efectiva Copyright © 2014 Deloitte Development LLC. All rights reserved.
Relación COSO con otras estructuras y normatividad

¿Por qué COSO impacta otras estructuras y normas con las que debe cumplir la
organización?
Ley SOX Ley FCPA/Anticorrupción
• Usado por compañías • Usado por compañías
cotizantes en el NYSE para para diseñar y
generar sus informes de desarrollar programas
control interno de reporte de cumplimiento.
financiero externo anual.

Circular 038
• La norma usa buena parte de los conceptos de COSO para reforzar el gobierno, la
gestión de control interno y la disuasión del fraude.

Objetivo: Mantener
Objetivo: Generar Objetivo: Cumplir con
operaciones eficientes
reportes confiables leyes y regulaciones
y efectivas

COSO – Control Interno: Referente Integral

20 COSO 2013: Hacia una Transición Efectiva Copyright © 2014 Deloitte Development LLC. All rights reserved.
Oportunidades que plantea COSO a la Organización

Integrando el Control Interno al Modelo de Negocios

Generación de Valor

Misión - Visión

Estrategias

Objetivos Relacionados

Operacionales Reportes (Informes) Cumplimiento

Evaluación de Riesgos

Evaluación de Controles

Valoración Efectividad

21 COSO 2013: Hacia una Transición Efectiva Copyright © 2014 Deloitte Development LLC. All rights reserved.
Impacto en el cumplimiento
SOX
Consideraciones de implementación

Periodo de Transición y Consideración de Reporte

• Periodo de Transición: Mayo 14, 2013 – Diciembre 15, 2014

– COSO considerará la estructurada de 1992 sustituida después de Diciembre 15 de
2014.

• Si se aplica y referencia la Estructura Integrada de Control Interno – COSO

para reportes externos (P.e. SOX 404)
– El reporte externo debe declarar la estructura usada: COSO 1992 o COSO 2013.

Si bien la SEC no ha indicado que se acoja al periodo de transición establecido

por COSO, ha dejado claro que “(…) entre más tiempo los emisores continúen
usando la estructura de 1992, es más probable que reciban preguntas del personal
SEC acerca de si el uso que el emisor hace de la estructura de 1992 satisface los
requerimientos de la SEC para usar una estructura reconocida, confiable
(particularmente después del 15 diciembre 2014)…”3
3 Ver las minutas del 25 de septiembre de 2013 de la reunión del Center for Audit Quality SEC
Regulations Committee con el personal de la SEC-

23 COSO 2013: Hacia una Transición Efectiva Copyright © 2014 Deloitte Development LLC. All rights reserved.
Hacia una Transición Efectiva –
2013 Estructura de Control Interno COSO – Resumiendo

Importantes mejoras al Modelo COSO 1992 que pueden plantear desafíos a las
organizaciones:
Expansión del Gobierno Corporativo
• Consideraciones sobre el rol de la junta directiva en la organización (Guía, consejero y
supervisor)
• Discusiones sobre claridad en roles y responsabilidades de alta gerencia sobre el diseño y
efectividad del control interno.
Evaluación de Riesgos
• Discusiones más detalladas acerca de los conceptos de evaluación de riesgos, incluidos los
relacionados con el riesgo inherente, tolerancia al riesgo, y la correlación entre evaluación de
riesgos y actividades de control
• Considera el potencial de riesgo de fraude al evaluar los riesgos para el logro de los objetivos
de una organización
Proveedores Externos de Servicios (“PES”)
• Consideraciones relacionadas con las “PES” se incluyen en toda la estructura, incluyendo 12
de los 17 principios
• Requiere que la administración considere específicamente la forma en que los PES son
monitoreados
Tecnología Informática (“TI”)
• Las consideraciones relacionadas con TI se incluyen en 14 de 17 principios
• Debate sobre el uso de TI para ayudar en la monitorización continua
• Requisitos para garantizar la calidad de la información (integridad de datos)

25 COSO 2013: Hacia una Transición Efectiva Copyright © 2014 Deloitte Development LLC. All rights reserved.
Cinco Pasos para la Transición
Paso 5

Paso 4

Impulsar la
Paso 3 mejora continua
Desarrollar y
ejecutar un plan
de transición
Paso 2 COSO
Realizar la
-Dando prioridad al
Paso 1 sensibilización,
cumplimiento SOX-
capacitación y
Realizar la evaluación
Desarrollar evaluación integral
conciencia, de Impacto
experiencia y Preliminar
alineación

26 COSO 2013: Hacia una Transición Efectiva Copyright © 2014 Deloitte Development LLC. All rights reserved.
Paso 1: Desarrollar conciencia, experiencia y alineación

• Reunir a la administración y presentar COSO 2013

• Presentar una visión general actual del marco a los oficiales de cumplimiento y al Comité de
Auditoría

• Obtener apoyo y soporte de la Alta Gerencia

• Mapear sistema actual de control a los principios, considerando los conceptos de presencia y
funcionamiento

• Identificar oportunidades para expandir el control interno

• Reunirse con Auditores Externos para discutir expectativas (áreas de interés y/o preocupación
particular)

27 COSO 2013: Hacia una Transición Efectiva Copyright © 2014 Deloitte Development LLC. All rights reserved.
Paso 2: Realizar la evaluación de Impacto Preliminar

• Importante obtener una diagnóstico real, obteniendo información veraz y actualizada

considerando cambios en el negocio

• Realizar el mapeo de principios y componentes a controles

• Identifique controles que deban ajustarse, cambiarse o eliminarse para soportar una opinión
positiva sobre el SCI

• Identificar las áreas que podrían ser más difíciles y requieren de atención para abordar los
desafíos específicos

• Remediar las brechas

28 COSO 2013: Hacia una Transición Efectiva Copyright © 2014 Deloitte Development LLC. All rights reserved.
Paso 3: Realizar la sensibilización, capacitación y evaluación integral

• Desarrollar una evaluación más amplia a partir de la evaluación preliminar

• Focalizar esfuerzos sobre el cumplimiento SOX o pueden existir diversos niveles de

evaluación

• Considerar la definición de bases para el cumplimientos de otros objetivos fuera de SOX

29 COSO 2013: Hacia una Transición Efectiva Copyright © 2014 Deloitte Development LLC. All rights reserved.
Paso 4: Desarrollar y ejecutar un plan de transición COSO

• Fase 1: Definir el plan del proyecto Transición COSO 2013

• Fase 2: Gestionar el entrenamiento de los recursos

• Fase 3: Revisar la documentación para reflejar el cambio de COSO 2013

• Fase 4: Probar controles bajo el nuevo marco

• Fase: Concluir sobre el control interno bajo el nuevo marco

30 COSO 2013: Hacia una Transición Efectiva Copyright © 2014 Deloitte Development LLC. All rights reserved.
Paso 5: Impulsar la mejora continua
Línea de Defensa (TheIIA)

Junta Directiva/Comité de Auditoría

Alta Dirección

2ª Línea de Defensa 3ª Línea de Defensa

1ª Línea de Defensa

Controles Finanzas

Seguridad
Controles
Controles de
Medidas
Medidas de
de la
la Gerencia deControl
Control Gestión de Riesgos Auditoría Interna
Interno
Gerencia Interno
Calidad

Cumplimiento

31 COSO 2013: Hacia una Transición Efectiva Copyright © 2014 Deloitte Development LLC. All rights reserved.
 Algunas preguntas a considerar:
 ¿Sabemos si la empresa debe cumplir
con la transición al marco COSO
2013?
 ¿Tenemos un plan de acción realista?
 ¿Hemos concluido sobre nuestros
principios y puntos de enfoque
relevantes?
 ¿Nuestra documentación se encuentra
debidamente alineada con los 17
principios, que permitan promover una
procesos de auditoría externa?
32 COSO 2013: Hacia una Transición Efectiva
 ¿Estamos capacitados en el nuevo
marco?
 ¿Nuestra Compañía ha dedicado
recursos para esto?
 ¿Hemos identificados todas las
brechas para concluir si los principios
están presentes?
 ¿Podemos concluir que nuestros
controles están diseñados
adecuadamente, operando de manera
efectiva y que los cinco componentes
están funcionando conjuntamente e
integrados?
Copyright © 2014 Deloitte Development LLC. All rights reserved.
 Preguntas y
Respuestas

Nelson Valero
Socio Consultoría en Riesgos Empresariales
nvalero@deloitte.com

Mauricio Roa,
Gerente Senior Consultoría en Riesgos Empresariales
mroa@deloitte.com

Agosto 13 de 2014
About Deloitte
Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee, and its network of
member firms, each of which is a legally separate and independent entity. Please see www.deloitte.com/about for a detailed
description of the legal structure of Deloitte Touche Tohmatsu Limited and its member firms. Please see www.deloitte.com/us/about
for a detailed description of the legal structure of Deloitte LLP and its subsidiaries. Certain services may not be available to attest
clients under the rules and regulations of public accounting.

Copyright © 2014 Deloitte Development LLC. All rights reserved.

36 USC 220506
Member of Deloitte Touche Tohmatsu Limited