CONTROL INTERNO

BASADO EN EL
INFORME COSO
 Alcance
Nuevos paradigmas.

Conceptos metodolgicos de COSO.

Bases de MEYCOR COSO AG, una

herramienta para la implantacin del
control interno basado en COSO.
 Informe COSO
En 1992, COSO public el Sistema
Integrado de Control Interno, un informe
que establece una definicin comn de
control interno y proporciona un estndar
mediante el cual las organizaciones
pueden evaluar y mejorar sus sistemas de
control.
 El objetivo de COSO
Mejorar la calidad de la informacin
financiera concentrndose en el manejo
corporativo, las normas ticas y el
control interno.
Unificar criterios ante la existencia de
una importante variedad de interpreta-
ciones y conceptos sobre el control
interno.
Gestin del Riesgo empresarial (ERM)

El control interno es una parte integral de la

Administracin del riesgo empresarial y est
abarcado dentro de ste.
La Administracin del riesgo empresarial es
ms amplia que el control interno, expandiendo
y elaborando sobre el control interno para
formar una concepcin ms robusta que se
enfoca ms sobre el riesgo.
El Marco Integrado Control Interno sigue
siendo totalmente vlido para las entidades y
otros que ponen nfasis en el control interno.
 Basilea II
Incluye varios cambios que, si bien sern
exigibles a principios de 2007, marcan un rumbo
sobre el que hay que empezar.
Basilea I se centraba en el anlisis de riesgos
de crdito y de mercado. Ahora se aumenta la
regulacin de fondos propios exigidos por la
normativa y la exposicin al riesgo.
Se incluye la necesidad de tener en cuenta un
nuevo riesgo: el riesgo operacional o sea el
resultado de la prdida derivada de fallos en los
procesos internos, en la actuacin de personas
o de sistemas inadecuados o errneos as como
de factores externos.
Conformidad con ley SARBANES
OXLEY
Utilizacin de COSO, modelo del
Gobierno Corporativo, y de COBIT,
modelo del Gobierno de la Tecnologa
de la Informacin, para lograr
conformidad con la ley SARBANES-
OXLEY
 Conceptos
Metodolgicos del
INFORME COSO

Los nuevos conceptos del

control interno en las
organizaciones
 Definicin de Control Interno
Es un proceso que involucra a todos los
integrantes de la organizacin sin excepcin,
diseado para dar un grado razonable de apoyo
en cuanto a la obtencin de los objetivos en las
siguientes categoras:
Eficacia y eficiencia de las operaciones (O)
Fiabilidad de la informacin financiera (F)
Cumplimiento de las leyes y normas que son
aplicables(C)
Estas tres categoras se interrelacionan entre s.
 Qu se puede obtener a travs de
COSO?
La definicin de un marco de referencia
aplicable a cualquier organizacin.
COSO considera que el control interno
debe ser un proceso integrado con el
negocio que ayude a conseguir los
resultados esperados en materia de
rentabilidad y rendimiento.
Trasmitir el concepto de que el esfuerzo
involucra a toda la organizacin: desde la
Alta Direccin hasta el ltimo empleado.
 Componentes del Control
Interno
Son 5 componentes (Entorno de control,
Evaluacin de los Riesgos, Actividades de
control, Informacin y comunicacin, y
Supervisin) que interactan entre si y estn
integrados al proceso de Direccin.
El sistema de control debe incorporarse de
manera armnica con las actividades operativas
de la organizacin.
Esto ayuda a que se fomente la calidad de la
delegacin de poderes, se eviten prdidas y
haya una respuesta rpida ante los cambios.
 Entorno de Control
Es la base de los dems componentes,
aportando disciplina y estructura.
Incluye: la integridad, los valores ticos y
la capacidad de los empleados de la
entidad, la filosofa de la Direccin y el
estilo de gestin, la asignacin de la
autoridad y las responsabilidades, la
organizacin y el desarrollo de los
empleados y la orientacin de la
Direccin.
 Evaluacin de los riesgos
Primeramente deben identificarse los
objetivos organizacionales, vinculados y
coherentes. Luego deben identificarse y
evaluarse los riesgos relevantes que
pueden afectar el alcanzar esos objetivos.
Los riesgos deben ser administrados,
atendiendo a la existencia de un medio
interno y externo cambiante.
 Actividades de Control
Son las polticas y procedimientos que
ayudan a asegurar que se toman las
medidas para limitar los riesgos que
pueden afectar que se alcancen los
objetivos organizacionales.
Son ejemplos: autorizaciones, verifica-
ciones, conciliaciones, segregacin de
funciones, revisiones de rentabilidad
operativa, etc.
 Informacin y Comunicacin
Se debe identificar, ordenar y comunicar en
forma oportuna la informacin necesaria para
que los empleados puedan cumplir con sus
obligaciones.
La informacin puede ser operativa o financiera,
de origen interno o externo.
Deben existir adecuados canales de
comunicacin.
El personal debe ser informado de la
importancia de que participe en el esfuerzo de
aplicar el control interno.
 Supervisin
Debe existir un proceso que compruebe
que el sistema de control interno se
mantiene en funcionamiento a travs del
tiempo.
La misma tiene tareas permanentes y
revisiones peridicas. Estas ltimas
dependern en cuanto a su frecuencia de
la evaluacin de la importancia de los
riesgos en juego.
 Interrelacin
La organizacin debe
lograr cumplir con
esas tres categoras
de objetivos (O, F,C)
ya vistas.
Los 5 componentes
descriptos son
acciones necesarias
para lograr esos
objetivos.
 Limitaciones a atender
La confianza en el sistema de control
interno no debe dejar de considerar que:
Pueden existir fallas resultantes de errores de
juicio.
La colusin de dos o ms personas o la
accin de la Direccin pueden burlar el
sistema.
El sistema a disear debe explicitar las
limitaciones de recursos (relacin costo
beneficio).
 Funciones y
responsabilidades
La Alta Gerencia es la responsable ltima del
sistema de control. La integridad y la tica
deben ser elementos que aporten ejemplo a los
dems empleados. Debe dirigir a los gerentes
que a su vez son los responsables en sus
respectivas reas.
El Consejo de Administracin fija las pautas y la
visin global del negocio. El Consejo debe tener
un papel activo en el conocimiento de las
acciones que se ejecutan. Debe asegurarse de
contar con vas de comunicacin efectivas con
la Alta Direccin y las reas financieras, legales
y de auditora interna.
 La Auditora Interna debe desempear un papel
de supervisin sobre la eficiencia y permanencia
de los sistemas de control. Para ello debe contar
con una ubicacin jerrquica adecuada.
Los empleados en general tienen la
responsabilidad de participar en el esfuerzo de
aplicar el control interno, cuyos detalles deben
ser incorporados a la descripcin de los puestos
de trabajo. Ellos deben comunicar al nivel
superior las desviaciones que detecten a los
cdigos de conducta, a las polticas establecidas
o la legalidad de las acciones realizadas.
 MEYCOR COSO AG
El Informe COSO define una estructura, un
marco de referencia.
Dentro del mismo se debe analizar cmo
interactuan los componentes en la realidad
peculiar de cada organizacin.
Debe contarse con una herramienta que asista
en el proceso de evaluacin peridica y
proactiva del sistema de control interno.
La evaluacin puede querer centrarse en un
solo objetivo (por ejemplo la informacin
financiera). Puede tambin querer referirse a
una unidad de la organizacin o a una actividad
en particular.
Matriz de COSO
 Evaluacin de los riesgos
Determinacin de los Objetivos.
Objetivos globales (tales como la Misin).
Objetivos especficos de las diversas
actividades (por ej. Produccin), estos
sub-objetivos medibles a travs de metas
deben ser coherentes.
 Los objetivos deben ser:
Definidos de modo de identificar los criterios
para medir el rendimiento y establecer factores
crticos de xito (que pueden ser a nivel de
actividad o unidad operacional).
Coherentes y compatibles.
Como ejemplo se puede considerar: efectuar
pagos slo para compras autorizadas, que los
sistemas informticos se encuentren disponibles
segn los requerimientos del negocio, etc.
 Los riesgos
La identificacin y el anlisis de riesgos es un
proceso interactivo que involucra al personal
responsable de cumplir con los objetivos fijados
ya que es el ms idneo.
Los riesgos pueden ser el resultado del efecto
de factores internos y externos, por ejemplo: las
averas de los sistemas informticos, los
cambios en la responsabilidad de los directivos,
etc.
Una vez identificados debe estimarse su
importancia, evaluar la probabilidad de que
impacte a la organizacin y qu medidas deben
tomarse para atenuar sus efectos.
 Actividades de Control
Son polticas, procedimientos y acciones
que afectan a una o ms reas de la
organizacin.
Algunos ejemplos seran:
Anlisis efectuados por la Direccin.
Gestin directa de los responsables.
Proceso de informacin.
Controles fsicos.
Indicadores de rendimiento y segregacin de
funciones.
Relacionamiento de los elementos

Las actividades de control, al enfrentar

adecuadamente a los riesgos, ayudan a
alcanzar los objetivos de los Departa-
mentos y actividades, logrando as
alcanzar los objetivos del negocio.
 Informacin y comunicacin
Debe asegurase que se obtenga
informacin de calidad y no meros datos.
La informacin debe ser protegida ya que
se trata de un activo valioso.
Las vas de comunicacin interna deben
asegurar que el personal conozca los
elementos suficientes para cumplir con su
tarea.
 Supervisin

Las actividades de supervisin continua y

evaluaciones puntuales.

Las deficiencias detectadas deben ser

oportunamente comunicadas.
MEYCOR COSO
AG
Detalle de funcionalidades
 Ingreso al sistema
El sistema cuenta con un control de acceso al
mismo compuesto por un login y una
contrasea.

El Administrador (ADMIN) deber conocer la

herramienta y sus fundamentos tericos, y a la hora
de hacer los relevamientos podr distribuir el acceso
a los cuestionarios segn el perfil de los revisores.
 Men Principal

El Men Principal cuenta con una barra

de herramientas que permite un acceso
ms directo a las opciones ms usadas.
 Grupos de trabajo y revisores

Se definen grupos de trabajo y los revisores

que participarn en la revisin.
 Gua metodolgica

Existe una gua metodolgica que facilita la

aplicacin de la metodologa COSO. Esta
gua contiene los pasos a seguir durante la
evaluacin, documentacin, y accesos
directos a los formularios donde la
informacin debe ser ingresada.
 Cuestionarios Generales

Los cuestionarios generales de los 5

componentes pueden ser evaluados a
diferentes niveles de la organizacin.
Formularios de Cuestionarios
Generales

Los cuestionarios generales pueden ser

generados en formato RTF (con ingreso
manual de respuestas) o en formato HTML
(con ingreso automtico de respuestas).
 Cargar respuestas desde Formularios HTML

Este formulario le permite cargar las

respuestas de los cuestionarios
generales desde los formularios HTML.
Sincronizacin de Evaluaciones Off-line

Este formulario le permite sincronizar las

respuestas de los cuestionarios generales que
los revisores hayan ingresado en bases off-line.
 Informe de Cuestionarios Generales

Permite evaluar los resultados de la revisin de

los 5 componentes tanto a nivel numrico como
grfico, con diferente nivel de desagregacin.
 Comparacin de Cuestionarios
Generales

Permite comparar los resultados de la revisin entre

s y contra el promedio, tanto a nivel numrico
como grfico, con diferente nivel de desagregacin.
Comparacin de diferentes perodos

Permite comparar los resultados obtenidos en

diferentes perodos tanto a nivel numrico como
grfico, con diferente nivel de desagregacin.
Codificacin de la estructura organizacional

Antes de comenzar la revisin, se deben

determinan los niveles que componen la
estructura de la organizacin.
 Organigrama

Se identifica el organigrama, definiendo los

objetivos de cada rea y sus responsables.
Reporte del organigrama
 Procesos y sub-procesos

Se definen los procesos y sub-procesos y se

los asigna a las unidades del organigrama
correspondientes.
Reporte de Procesos y Sub-
procesos
 Asignacin de procesos

Se asignan los procesos y sub-procesos que

sern revisados por cada grupo de trabajo.
 Ponderacin de procesos

Los procesos y sub-procesos pueden ser ponderados

y rankeados a efectos de determinar las actividades
que son crticas para el negocio y que por tanto
requieren mayor atencin.
 Ingreso de actividades de los
procesos

Procesos y sub-procesos Jerarqua de tareas que

asignados a unidades. se realizan en el proceso.
 Riesgos y Actividades de Control

Es posible marcar las

actividades de control que
luego sern auditadas

Se definen los objetivos de control, los

riesgos y las actividades de control relativas
a los procesos y sub-procesos a ser evaluados
Seleccin de actividades de control a auditar

Mediante la utilizacin de filtros es posible

seleccionar dentro del universo de las actividades
de control, aquellas que requieran ser auditadas
 Creacin de proyectos de
auditora

Los usuarios supervisores pueden crear

proyectos de auditora. Para los proyectos se
definen los auditores asignados y los objetivos
de procesos que se van a auditar en el proyecto.
 Asignacin de objetivos y riesgos

El supervisor que cre un proyecto debe definir los

objetivos que auditar cada auditor.
Se definen tambin los riesgos de cada objetivo que
sern alcanzados por el proyecto de auditora.
Auditora de actividades de control
Objetivos y riesgos a auditar
segn la asignacin del auditor.

Registro de Vinculacin Registro de tareas

hallazgos. de archivos. realizadas.
Informe final de auditora

Seleccin de observaciones que

se incluyen en el informe final.

Informe final de auditora

generado automticamente.
Clculo de exposicin
Impacto x Probabilidad de Riesgo
Eval. Act. de Control

MATRIZ DE RIESGOS Y CONTROL

CONTROLES
BUENO BR MALO
RIESGO 4 2,5 1
16 4,00 6,40 16,00
10 2,50 4,00 10,00
6,25 1,56 2,50 6,25
4 1,00 1,60 4,00
2,5 0,63 1,00 2,50
1 0,25 0,40 1,00
 Informe de Riesgos y Actividades de
Control

Es posible ver la ponderacin

de riesgos y el resultado de la
evaluacin de las actividades
de control existentes.

Se evala el cumplimiento de los objetivos

de control, a efectos de determinar si ante
los riesgos identificados, los mismos se
encuentran adecuadamente cubiertos.
 Informe de Riesgos y Actividades de
Control

Permite evaluar los resultados de la revisin de

los objetivos tanto a nivel numrico como grfico.
 Resumen de Riesgos y Actividades de Control

Permite visualizar en forma resumida los

resultados de la revisin de los objetivos y
los factores de riesgos de los procesos
 Mapas de riesgos y grficas de
exposicin
Mapa de riesgos
segn la
probabilidad e
impacto

Grfica de exposicin
considerando la
evaluacin de los
controles
 Tratamiento de riesgos
Se define el trata-
miento que se da a los
riesgos.

Segn el tratamiento
realizado se simula el
cambio en la expo-
sicin al riesgo.
 Definicin de proyectos de
mejora
Los nuevos controles que se incluyen en el tratamiento
se agrupan en proyectos de implantacin.

Los proyectos se
priorizan segn el
Controles incluidos en impacto y la relacin
el proyecto. costo-riesgo.
Comparacin de diferentes perodos

Permite comparar las evaluaciones de los

procesos obtenidas en diferentes perodos
tanto a nivel numrico como grfico.
 Meycor COSO Web
Publicacin, Distribucin y Revisin de
Documentos

El mdulo web de Meycor COSO AG, facilita la

publicacin y distribucin de documentos de
manera sencilla, a la vez que permite emitir
un juicio acerca de los mismos.
 Meycor COSO Web
Respuesta a Cuestionarios Generales

Meycor COSO Web permite contestar los

cuestionarios de autoevaluacin de forma
remota
 Prestaciones de MEYCOR
COSO AG para personalizar y
mejorar el detalle y la
informacin de la revisin
 Contiene una gua metodolgica que facilita la
aplicacin de la metodologa COSO y lo asiste
durante todo el procesos de revisin.
Permite codificar los niveles jerrquicos de la
organizacin para as determinar el
organigrama de acuerdo a la nomenclatura de
la misma.
Permite identificar los procesos y sub-procesos,
efectuar un ranking de los mismos, as como
asociarlos a las reas correspondientes.
Permite la creacin de grupos de trabajo y de
revisores, que facilitan la distribucin de las
tareas.
 Permite asignar a los revisores privilegios de
Administrador.
Contiene los objetivos, riesgos y actividades de
control genricos del Informe COSO.
Permite manejar varias versiones de los
cuestionarios generales.
Permite marcar las actividades de control que
luego sern objeto de auditora.
Permite el uso de ponderadores a nivel de
procesos, objetivos y riesgos.
 Permite evaluar los cuestionarios generales a
cualquier nivel jerrquico.
Permite exportar todos los reportes a formato
RTF, HTML y EXCEL.
Permite exportar todas las grficas a formato
BMP.
Genera formularios de evaluacin de
cuestionarios generales en HTML.
Permite la sincronizacin de cuestionarios
generales y evaluacin de riesgos y actividades
de control de bases off-line.
 Permite acceso multi-usuario a la evaluacin de
riesgos y actividades de control.

Permite efectuar un ranking de los procesos.

Permite comparar los resultados de diferentes

perodos.

Incluye ayuda en lnea.

 DATASEC
IT Security & Control

Patria 716 - CP 11300 - Montevideo - Uruguay

Tel: (5982) 711-58-78/ 711-04-20
Fax: (5982) 711-58-94
Web site: www.datasec-soft.com