Control Interno y COSO

Elaborado para: Universidad Continental

Docente:

Yimmy Macha
Magister en Finanzas
Ingeniero Industrial
Auditor Interno

Agosto 2023
Agenda
• Gobierno Corporativo, riesgos empresariales y ética.
• El control interno y sus objetivos.
• Componentes del COSO.
• Principios y atributos de COSO.
• Limitaciones y beneficios.
Gobernanza
¿Qué es Gobernanza Corporativa?

Combinación de procesos y
estructuras implantadas por
el Consejo de
Administración para
informar, dirigir, gestionar y
vigilar las actividades de la
organización con el fin de
lograr sus objetivos.
 Principios de la Gobernanza Corporativa
• Debe existir un Consejo de administración organizado, con el número de miembros
necesarios y una estructura de comités adecuado, con protocolos de reunión, y con un
juicio rotundo e independiente sobre los asuntos de su incumbencia.

• Los miembros del Consejo de administración deben poseer las cualificaciones y

experiencia necesaria, con un entendimiento claro de su papel en las actividades de
gobernanza, un profundo conocimiento de las operaciones de la empresa y una
mentalidad objetiva e independiente.

• El Consejo de administración debe estar investido de autoridad suficiente y contar con

recursos para efectuar sus investigaciones.

• El Consejo de administración y la alta dirección deben entender perfectamente la

estructura de operaciones de la empresa, incluyendo aquellos elementos que pudieran
impedir la necesaria transparencia.
 Principios de la Gobernanza Corporativa
• El Consejo de administración y la alta dirección deben diseñar una estrategia
organizacional frente a la que se debe medir el éxito de la organización como un todo, y
la contribución de los actores individuales.

• El Consejo de administración y la alta dirección deben establecer políticas para el

gobierno de las operaciones clave de la empresa, y establecer líneas claras de
responsabilidad y rendición de cuentas en toda la organización.

• Debe existir una interacción eficaz entre el consejo, la dirección, los auditores (internos y
externos), y otros proveedores de servicios de aseguramiento.

• El Consejo de administración debe asegurarse de que la supervisión que efectúa la

dirección es adecuada, incluyendo el establecimiento y operación de controles internos
sólidos.
 Principios de la Gobernanza Corporativa
• El Consejo de administración debe comprobar que las políticas y prácticas de
compensación (especialmente las de la alta dirección) son compatibles con los valores
éticos, objetivos, estrategia y entorno de control de la organización, y fomentan la
conducta apropiada en las personas.

• El Consejo de administración debe comunicar y exigir a lo largo de toda la organización

una cultura ética, valores, y tono directivo, que permita a los empleados elevar sus
preocupaciones sin miedo a represalias, y que los conflictos de interés son investigados.

• La empresa emplea eficazmente a los auditores internos y externos, garantizando su

independencia, recursos, alcance de sus actividades, y eficiencia de sus operaciones.

• Se definen e implantan políticas de gestión de riesgos, procesos y responsabilidades,

tanto en el Consejo como en toda la organización.
 Principios de la Gobernanza Corporativa
• Se difunde la información pública de manera transparente y apropiada.

• Se informa de los procesos de gobernanza, comparándolos con las mejores prácticas y

con lo establecido en los códigos de gobernanza nacionales allí donde existan.

• Se garantiza la supervisión de transacciones entre partes interesadas, y las situaciones

donde puedan darse conflictos de interés.
Roles en la Gobernanza
 El papel de Auditoría Interna en la gobernanza

• Proporciona evaluaciones objetivas e independientes de la adecuación de

la estructura de gobernanza y de la eficacia de las actividades específicas
de gobernanza.

• Actúa como catalizador del cambio, asesorando e impulsando mejoras

para potenciar la estructura y prácticas de gobernanza de la organización.
 Norma 2110 MIPP (Marco internacional para la práctica profesional de AI)
La actividad de auditoría interna debe evaluar y hacer las recomendaciones
apropiadas para mejorar los procesos de gobernanza de la organización en el
cumplimiento de los siguientes objetivos:

• Toma de decisiones estratégicas y operacionales.

• Supervisión de la gestión y control del riesgo.
• Promover la ética y los valores apropiados dentro de la organización.
• Asegurar la gestión y responsabilidad eficaces en el desempeño de la
organización.
• Comunicar la información de riesgo y control a las áreas adecuadas de la
organización.
• Coordinar las actividades y la información de comunicación entre el Consejo de
Administración, auditores internos y externos, otros proveedores de
aseguramiento y la dirección.
Ética y Empresa

Parte de la filosofía que

trata de la moral y las
obligaciones del hombre;
es el conjunto de normas
morales que rigen la
conducta humana.
 ¿Porqué se implementan políticas de ética?

▪ Proteger a la alta dirección frente a riesgos y posibles penalizaciones.

▪ Responder a presiones de grupos de interés (stakeholders) .

▪ Reforzar el cumplimiento de normas, evitando todo aquello que pueda calificarse

como delito.

▪ Implantar o mantener un conjunto de valores en la cultura empresarial.

▪ Contribuir al desarrollo de la excelencia humana de los empleados.

 La Gestión de Riesgos
¿Qué es el Riesgo?

La posibilidad de que ocurra un acontecimiento que tenga un impacto en el

alcance de los objetivos. El riesgo se mide en términos de impacto y
probabilidad.
 La Gestión de Riesgos
La gestión de riesgos corporativos (enterprise risk manegement – ERM) se ocupa de los
riesgos y oportunidades que afectan a la creación de valor y a su preservación. Es un proceso
llevado a cabo por el Consejo de Administración de una empresa, su dirección y personal,
aplicado en la definición de la estrategia y a lo largo de toda la entidad, y diseñado para
identificar eventos potenciales que puedan afectar a la organización y gestionar sus riesgos
dentro de lo aceptado, proporcionado una seguridad razonable sobre el logro de los objetivos
de la empresa.
 Norma 2120 MIPP
La actividad de auditoría interna debe evaluar la eficacia y contribuir a la mejora de los
procesos de gestión de riesgos.

Determinar si los procesos de gestión de riesgos son eficaces es un juicio que se basa en la
evaluación realizada por el auditor interno, teniendo en cuenta si:

• Los objetivos de la organización están alineados con la misión de la empresa y la respaldan.

• Los riesgos significativos están identificados y evaluados.
• Se han seleccionado respuestas apropiadas al riesgo que alinean los riesgos con el apetito
de la organización.
• Se obtiene información sobre riesgos relevantes, permitiendo al personal, la dirección y el
Consejo cumplir con responsabilidades, y se comunica dicha información oportunamente a
través de la organización.
 El apetito por el riesgo
Es la cantidad de riesgo, en sentido amplio que una empresa está dispuesta a aceptar en
búsqueda de valor. Refleja la filosofía de gestión de riesgos de la empresa, e influyen en su
cultura y estilo de operaciones. Orienta la asignación de recursos. Ayuda a alinear la
organización, personas y procesos en el diseño de las infraestructuras necesarias para
responder a los riesgos y monitorizarlos.

Tolerancia al riesgo
Es el nivel aceptable de variación relativa a un objetivo específico. Se mide en las mismas
unidades que el objetivo al que corresponde.
 Procesos y técnicas de Gestión de Riesgos
I. Identificación de riesgos

Este componente comprense dos actividades:

A. Identificación de eventos potenciales que puedan afectar a la empresa.
B. Determinación de si estos sucesos potenciales representan oportunidades, o por el
contrario pueden impactar negativamente a la empresa.

La identificación puede llegar a incluir una larga lista de elementos endógenos y exógenos a la
empresa. Ejemplos:
Naturaleza Generación Consecuencias Potenciales Ejemplos
Medio Natural Exógena Daños en activos físicos, interrupción de Incendios, inundaciones, terremotos,
suministros de materias primas, pérdidas de pandemias, etc.
capital humano.
Política Exógena Apertura (o restricción) de acceso a Cambios en los cargos políticos y nuevas
mercados exteriores, mayores o menores leyes y regulaciones.
impuestos.
Procesos Endógena Pérdida de cuota de mercado, ineficiencia, Modificación de procesos sin control de
pérdida de satisfacción de clientes y cambios, errores en ejecución de procesos,
abandono de estos. externalización de suministros a clientes sin la
adecuada supervisión.
Técnicas de Identificación

Se deben examinar tanto eventos a nivel actividad o área y a nivel global de la empresa, tanto
de eventos pasados como exposiciones futuras. Algunas técnicas incluyen:

• Vinculación de eventos y objetivos

• Inventario de eventos
• Talleres de trabajo
• Entrevistas
• Cuestionarios y encuestas
• Análisis de flujos de trabajo
• Indicadores de eventos
• Indicadores de alarma
• Indicadores adelantados
• Seguimiento de datos de eventos con pérdidas
II. Evaluación de Riesgos

Es el proceso de medir y priorizar los riesgos.

La dirección evalúa los acontecimientos desde una doble perspectiva
(probabilidad e impacto), y puede usar una combinación de métodos
cualitativos y cuantitativos. El riesgo puede estar en dos instancias:

Riesgo inherente.- es aquél al que se enfrenta una entidad en ausencia de

acciones para modificar su probabilidad o impacto.

Riesgo residual.- es aquél que permanece después de que la empresa

desarrolle sus respuestas a los riesgos.
Escalas de medición de riesgo:

• Medición nominal o Categórica (Ejemplo: Social, económica)

• Medición ordinal (Ejemplo: alta, media, baja)
• Medición de intervalo (Ejemplo: 1,2,3,4)
• Medición por ratios (Ejemplo: 0.1, 0.2, 0.3)
 Técnicas de evaluación

Pueden ser cualitativas, que se establecen en términos subjetivos o también en

términos objetivos, pero dependen del conocimiento y juicio de las personas. Y
cuantitativas, cuando se dispone de suficiente información:

Técnicas probabilísticas: Valor en riesgo, flujo de caja en riesgo, beneficio en

riesgo, distribución de pérdidas, análisis retrospectivo o back testing).

Técnicas no probabilísticas: Análisis de sensibilidad, análisis de escenarios,

pruebas de tolerancia a situaciones límites (test de estrés), Benchmarking.
 Presentación de evaluaciones de riesgos

Algunas técnicas pueden ser mapas de riesgo y representaciones numéricas.

Ejemplo: Mapa de Riesgos

III. Respuesta a los riesgos

Evaluados los riesgos, se debe determinar como responder a ellos (evitar, reducir, compartir o
aceptar el riesgo).

Al considerar su respuesta, la dirección evalúa su efecto sobre la probabilidad e impacto del

riesgo, así como los costes y beneficios, y selecciona aquella que sitúe el riesgo residual
dentro de las tolerancias al riesgo establecidas.