CONTROL INTERNO BASADO EN EL INFORME COSO

1
CONTROL INTERNO BASADO EN EL INFORME COSO
2
Alcance

• Nuevos paradigmas.
• Conceptos metodológicos de COSO.
• Bases de MEYCOR COSO AG, una herramienta para la
  implantación del control interno basado en COSO.

3
Informe COSO

• En 1992, COSO publicó el Sistema Integrado de
  Control Interno, un informe que establece una
  definición común de control interno y proporciona
  un estándar mediante el cual las organizaciones
  pueden evaluar y mejorar sus sistemas de control.

4
El objetivo de COSO

• Mejorar la calidad de la información financiera
  concentrándose en el manejo corporativo, las
  normas éticas y el control interno. 
• Unificar criterios ante la existencia de una
  importante variedad de interpreta-ciones y
  conceptos sobre el control interno.

5
Gestión del Riesgo empresarial (ERM)

• El control interno es una parte integral de la
  Administración del riesgo empresarial y está
  abarcado dentro de éste.
• La Administración del riesgo empresarial es más
  amplia que el control interno, expandiendo y
  elaborando sobre el control interno para formar
  una concepción más robusta que se enfoca más
  sobre el riesgo.
• El Marco Integrado Control Interno sigue siendo
  totalmente válido para las entidades y otros que
  ponen énfasis en el control interno.

6
Basilea II

• Incluye varios cambios que, si bien serán
  exigibles a principios de 2007, marcan un rumbo
  sobre el que hay que empezar.
• Basilea I se centraba en el análisis de riesgos
  de crédito y de mercado. Ahora se aumenta la
  regulación de fondos propios exigidos por la
  normativa y la exposición al riesgo.
• Se incluye la necesidad de tener en cuenta un
  nuevo riesgo el riesgo operacional o sea el
  resultado de la pérdida derivada de fallos en los
  procesos internos, en la actuación de personas o
  de sistemas inadecuados o erróneos así como de
  factores externos.

7
Conformidad con ley SARBANES OXLEY

• Utilización de COSO, modelo del Gobierno
  Corporativo, y de COBIT, modelo del Gobierno de
  la Tecnología de la Información, para lograr
  conformidad con la ley SARBANES-OXLEY

8
Conceptos Metodológicos del INFORME COSO

• Los nuevos conceptos del control interno en las
  organizaciones

9
Definición de Control Interno

• Es un proceso que involucra a todos los
  integrantes de la organización sin excepción,
  diseñado para dar un grado razonable de apoyo en
  cuanto a la obtención de los objetivos en las
  siguientes categorías
• Eficacia y eficiencia de las operaciones (O)
• Fiabilidad de la información financiera (F)
• Cumplimiento de las leyes y normas que son
  aplicables(C)
• Estas tres categorías se interrelacionan entre sí.

10
Qué se puede obtener a través de COSO?

• La definición de un marco de referencia aplicable
  a cualquier organización.
• COSO considera que el control interno debe ser un
  proceso integrado con el negocio que ayude a
  conseguir los resultados esperados en materia de
  rentabilidad y rendimiento.
• Trasmitir el concepto de que el esfuerzo
  involucra a toda la organización desde la Alta
  Dirección hasta el último empleado.

11
Componentes del Control Interno

• Son 5 componentes (Entorno de control, Evaluación
  de los Riesgos, Actividades de control,
  Información y comunicación, y Supervisión) que
  interactúan entre si y están integrados al
  proceso de Dirección.
• El sistema de control debe incorporarse de manera
  armónica con las actividades operativas de la
  organización.
• Esto ayuda a que se fomente la calidad de la
  delegación de poderes, se eviten pérdidas y haya
  una respuesta rápida ante los cambios.

12
Entorno de Control

• Es la base de los demás componentes, aportando
  disciplina y estructura.
• Incluye la integridad, los valores éticos y la
  capacidad de los empleados de la entidad, la
  filosofía de la Dirección y el estilo de gestión,
  la asignación de la autoridad y las
  responsabilidades, la organización y el
  desarrollo de los empleados y la orientación de
  la Dirección.

13
Evaluación de los riesgos

• Primeramente deben identificarse los objetivos
  organizacionales, vinculados y coherentes. Luego
  deben identificarse y evaluarse los riesgos
  relevantes que pueden afectar el alcanzar esos
  objetivos.
• Los riesgos deben ser administrados, atendiendo a
  la existencia de un medio interno y externo
  cambiante.

14
Actividades de Control

• Son las políticas y procedimientos que ayudan a
  asegurar que se toman las medidas para limitar
  los riesgos que pueden afectar que se alcancen
  los objetivos organizacionales.
• Son ejemplos autorizaciones, verifica-ciones,
  conciliaciones, segregación de funciones,
  revisiones de rentabilidad operativa, etc.

15
Información y Comunicación

• Se debe identificar, ordenar y comunicar en forma
  oportuna la información necesaria para que los
  empleados puedan cumplir con sus obligaciones.
• La información puede ser operativa o financiera,
  de origen interno o externo.
• Deben existir adecuados canales de comunicación.
• El personal debe ser informado de la importancia
  de que participe en el esfuerzo de aplicar el
  control interno.

16
Supervisión

• Debe existir un proceso que compruebe que el
  sistema de control interno se mantiene en
  funcionamiento a través del tiempo.
• La misma tiene tareas permanentes y revisiones
  periódicas. Estas últimas dependerán en cuanto a
  su frecuencia de la evaluación de la importancia
  de los riesgos en juego.

17
Interrelación

• La organización debe lograr cumplir con esas
  tres categorías de objetivos (O, F,C) ya vistas.
• Los 5 componentes descriptos son acciones
  necesarias para lograr esos objetivos.

18
Limitaciones a atender

• La confianza en el sistema de control interno no
  debe dejar de considerar que
• Pueden existir fallas resultantes de errores de
  juicio.
• La colusión de dos o más personas o la acción de
  la Dirección pueden burlar el sistema.
• El sistema a diseñar debe explicitar las
  limitaciones de recursos (relación costo
  beneficio).

19
Funciones y responsabilidades

• La Alta Gerencia es la responsable última del
  sistema de control. La integridad y la ética
  deben ser elementos que aporten ejemplo a los
  demás empleados. Debe dirigir a los gerentes que
  a su vez son los responsables en sus respectivas
  áreas.
• El Consejo de Administración fija las pautas y la
  visión global del negocio. El Consejo debe tener
  un papel activo en el conocimiento de las
  acciones que se ejecutan. Debe asegurarse de
  contar con vías de comunicación efectivas con la
  Alta Dirección y las áreas financieras, legales y
  de auditoría interna.

20

• La Auditoría Interna debe desempeñar un papel de
  supervisión sobre la eficiencia y permanencia de
  los sistemas de control. Para ello debe contar
  con una ubicación jerárquica adecuada.
• Los empleados en general tienen la
  responsabilidad de participar en el esfuerzo de
  aplicar el control interno, cuyos detalles deben
  ser incorporados a la descripción de los puestos
  de trabajo. Ellos deben comunicar al nivel
  superior las desviaciones que detecten a los
  códigos de conducta, a las políticas establecidas
  o la legalidad de las acciones realizadas.

21
MEYCOR COSO AG

• El Informe COSO define una estructura, un marco
  de referencia.
• Dentro del mismo se debe analizar cómo
  interactuan los componentes en la realidad
  peculiar de cada organización.
• Debe contarse con una herramienta que asista en
  el proceso de evaluación periódica y proactiva
  del sistema de control interno.
• La evaluación puede querer centrarse en un solo
  objetivo (por ejemplo la información financiera).
  Puede también querer referirse a una unidad de la
  organización o a una actividad en particular.

22
Matriz de COSO
23
Evaluación de los riesgos

• Determinación de los Objetivos.
• Objetivos globales (tales como la Misión).
• Objetivos específicos de las diversas
  actividades (por ej. Producción), estos
  sub-objetivos medibles a través de metas deben
  ser coherentes.

24
Los objetivos deben ser

• Definidos de modo de identificar los criterios
  para medir el rendimiento y establecer factores
  críticos de éxito (que pueden ser a nivel de
  actividad o unidad operacional).
• Coherentes y compatibles.
• Como ejemplo se puede considerar efectuar pagos
  sólo para compras autorizadas, que los sistemas
  informáticos se encuentren disponibles según los
  requerimientos del negocio, etc.

25
Los riesgos

• La identificación y el análisis de riesgos es un
  proceso interactivo que involucra al personal
  responsable de cumplir con los objetivos fijados
  ya que es el más idóneo.
• Los riesgos pueden ser el resultado del efecto de
  factores internos y externos, por ejemplo las
  averías de los sistemas informáticos, los cambios
  en la responsabilidad de los directivos, etc.
• Una vez identificados debe estimarse su
  importancia, evaluar la probabilidad de que
  impacte a la organización y qué medidas deben
  tomarse para atenuar sus efectos.

26
Actividades de Control

• Son políticas, procedimientos y acciones que
  afectan a una o más áreas de la organización.
• Algunos ejemplos serían
• Análisis efectuados por la Dirección.
• Gestión directa de los responsables.
• Proceso de información.
• Controles físicos.
• Indicadores de rendimiento y segregación de
  funciones.

27
Relacionamiento de los elementos

• Las actividades de control, al enfrentar
  adecuadamente a los riesgos, ayudan a alcanzar
  los objetivos de los Departa-mentos y
  actividades, logrando así alcanzar los objetivos
  del negocio.

28
Información y comunicación

• Debe asegurase que se obtenga información de
  calidad y no meros datos.
• La información debe ser protegida ya que se
  trata de un activo valioso.
• Las vías de comunicación interna deben asegurar
  que el personal conozca los elementos suficientes
  para cumplir con su tarea.

29
Supervisión

• Las actividades de supervisión continua y
  evaluaciones puntuales.
• Las deficiencias detectadas deben ser
  oportunamente comunicadas.

30
MEYCOR COSO AG

• Detalle de funcionalidades

31
Ingreso al sistema
El sistema cuenta con un control de acceso al
mismo compuesto por un login y una contraseña.
El Administrador (ADMIN) deberá conocer la
herramienta y sus fundamentos teóricos, y a la
hora de hacer los relevamientos podrá distribuir
el acceso a los cuestionarios según el perfil de
los revisores.
32
Menú Principal
El Menú Principal cuenta con una barra de
herramientas que permite un acceso más directo a
las opciones más usadas.
33
Grupos de trabajo y revisores
Se definen grupos de trabajo y los revisores que
participarán en la revisión.
34
Guía metodológica
Existe una guía metodológica que facilita la
aplicación de la metodología COSO. Esta guía
contiene los pasos a seguir durante la
evaluación, documentación, y accesos directos a
los formularios donde la información debe ser
ingresada.
35
Cuestionarios Generales
Los cuestionarios generales de los 5 componentes
pueden ser evaluados a diferentes niveles de la
organización.
36
Formularios de Cuestionarios Generales
Los cuestionarios generales pueden ser generados
en formato RTF (con ingreso manual de respuestas)
o en formato HTML (con ingreso automático de
respuestas).
37
Cargar respuestas desde Formularios HTML
Este formulario le permite cargar las respuestas
de los cuestionarios generales desde los
formularios HTML.
38
Sincronización de Evaluaciones Off-line
Este formulario le permite sincronizar las
respuestas de los cuestionarios generales que los
revisores hayan ingresado en bases off-line.
39
Informe de Cuestionarios Generales
Permite evaluar los resultados de la revisión de
los 5 componentes tanto a nivel numérico como
gráfico, con diferente nivel de desagregación.
40
Comparación de Cuestionarios Generales
Permite comparar los resultados de la revisión
entre sí y contra el promedio, tanto a nivel
numérico como gráfico, con diferente nivel de
desagregación.
41
Comparación de diferentes períodos
Permite comparar los resultados obtenidos en
diferentes períodos tanto a nivel numérico como
gráfico, con diferente nivel de desagregación.
42
Codificación de la estructura organizacional
Antes de comenzar la revisión, se deben
determinan los niveles que componen la estructura
de la organización.
43
Organigrama
Se identifica el organigrama, definiendo los
objetivos de cada área y sus responsables.
44
Reporte del organigrama
45
Procesos y sub-procesos
Se definen los procesos y sub-procesos y se los
asigna a las unidades del organigrama
correspondientes.
46
Reporte de Procesos y Sub-procesos
47
Asignación de procesos
Se asignan los procesos y sub-procesos que serán
revisados por cada grupo de trabajo.
48
Ponderación de procesos
Los procesos y sub-procesos pueden ser ponderados
y rankeados a efectos de determinar las
actividades que son críticas para el negocio y
que por tanto requieren mayor atención.
49
Ingreso de actividades de los procesos
Procesos y sub-procesos asignados a unidades.
Jerarquía de tareas que se realizan en el
proceso.
50
Riesgos y Actividades de Control
Es posible marcar las actividades de control que
luego serán auditadas
Se definen los objetivos de control, los riesgos
y las actividades de control relativas a los
procesos y sub-procesos a ser evaluados
51
Selección de actividades de control a auditar
Mediante la utilización de filtros es posible
seleccionar dentro del universo de las
actividades de control, aquellas que requieran
ser auditadas
52
Creación de proyectos de auditoría
Los usuarios supervisores pueden crear proyectos
de auditoría. Para los proyectos se definen los
auditores asignados y los objetivos de procesos
que se van a auditar en el proyecto.
53
Asignación de objetivos y riesgos
El supervisor que creó un proyecto debe definir
los objetivos que auditará cada auditor. Se
definen también los riesgos de cada objetivo que
serán alcanzados por el proyecto de auditoría.
54
Auditoría de actividades de control
Objetivos y riesgos a auditar según la asignación
del auditor.
Registro de hallazgos.
Vinculación de archivos.
Registro de tareas realizadas.
55
Informe final de auditoría
Selección de observaciones que se incluyen en el
informe final.
Informe final de auditoría generado
automáticamente.
56
Cálculo de exposición
Impacto x Probabilidad de RiesgoEval. Act. de
Control
57
Informe de Riesgos y Actividades de Control
Es posible ver la ponderación de riesgos y el
resultado de la evaluación de las actividades de
control existentes.
Se evalúa el cumplimiento de los objetivos de
control, a efectos de determinar si ante los
riesgos identificados, los mismos se encuentran
adecuadamente cubiertos.
58
Informe de Riesgos y Actividades de Control
Permite evaluar los resultados de la revisión de
los objetivos tanto a nivel numérico como gráfico.
59
Resumen de Riesgos y Actividades de Control
Permite visualizar en forma resumida los
resultados de la revisión de los objetivos y los
factores de riesgos de los procesos
60
Mapas de riesgos y gráficas de exposición
Mapa de riesgos según la probabilidad e impacto
Gráfica de exposición considerando la evaluación
de los controles
61
Tratamiento de riesgos
Se define el trata-miento que se da a los riesgos.
Según el tratamiento realizado se simula el
cambio en la expo-sición al riesgo.
62
Definición de proyectos de mejora
Los nuevos controles que se incluyen en el
tratamiento se agrupan en proyectos de
implantación.
Los proyectos se priorizan según el impacto y la
relación costo-riesgo.
Controles incluidos en el proyecto.
63
Comparación de diferentes períodos
Permite comparar las evaluaciones de los procesos
obtenidas en diferentes períodos tanto a nivel
numérico como gráfico.
64
Meycor COSO WebPublicación, Distribución y
Revisión de Documentos
El módulo web de Meycor COSO AG, facilita la
publicación y distribución de documentos de
manera sencilla, a la vez que permite emitir un
juicio acerca de los mismos.
65
Meycor COSO WebRespuesta a Cuestionarios
Generales
Meycor COSO Web permite contestar los
cuestionarios de autoevaluación de forma remota
66
Prestaciones de MEYCOR COSO AG para personalizar
y mejorar el detalle y la información de la
revisión
67

• Contiene una guía metodológica que facilita la
  aplicación de la metodología COSO y lo asiste
  durante todo el procesos de revisión.
• Permite codificar los niveles jerárquicos de la
  organización para así determinar el organigrama
  de acuerdo a la nomenclatura de la misma.
• Permite identificar los procesos y sub-procesos,
  efectuar un ranking de los mismos, así como
  asociarlos a las áreas correspondientes.
• Permite la creación de grupos de trabajo y de
  revisores, que facilitan la distribución de las
  tareas.

68

• Permite asignar a los revisores privilegios de
  Administrador.
• Contiene los objetivos, riesgos y actividades de
  control genéricos del Informe COSO.
• Permite manejar varias versiones de los
  cuestionarios generales.
• Permite marcar las actividades de control que
  luego serán objeto de auditoría.
• Permite el uso de ponderadores a nivel de
  procesos, objetivos y riesgos.

69

• Permite evaluar los cuestionarios generales a
  cualquier nivel jerárquico.
• Permite exportar todos los reportes a formato
  RTF, HTML y EXCEL.
• Permite exportar todas las gráficas a formato
  BMP.
• Genera formularios de evaluación de cuestionarios
  generales en HTML.
• Permite la sincronización de cuestionarios
  generales y evaluación de riesgos y actividades
  de control de bases off-line.

70

• Permite acceso multi-usuario a la evaluación de
  riesgos y actividades de control.
• Permite efectuar un ranking de los procesos.
• Permite comparar los resultados de diferentes
  períodos.
• Incluye ayuda en línea.

71
DATASECIT Security Control
Patria 716 - CP 11300 - Montevideo - UruguayTel
(5982) 711-58-78/ 711-04-20 Fax (5982)
711-58-94Web site www.datasec-soft.com