Este documento presenta información sobre los marcos COSO I y COSO II. Explica que COSO I se enfoca en control interno y proporciona un marco de cinco componentes: ambiente de control, evaluación de riesgos, actividades de control, información y comunicación, y monitoreo. COSO II amplía el enfoque a gestión de riesgos empresariales y describe ocho componentes interrelacionados que cubren identificación de eventos, establecimiento de objetivos, evaluación de riesgos, respuesta a riesgos, actividades de control, inform
8. ¿Qué es COSO?
Organización voluntaria del sector privado,
establecida en los EEUU formada el año 1985 ,
dedicada a proporcionar orientación a la gestión
ejecutiva y las entidades de gobierno sobre los
aspectos fundamentales de organización de este, la
ética empresarial, control interno, gestión del
riesgo empresarial, el fraude, y la presentación de
informes financieros. COSO ha establecido un
modelo común de control interno contra el cual las
empresas y organizaciones pueden evaluar sus
sistemas de control.
En esta presentación se expondrá exclusivamente lo
relativo al Control Interno.
9. Informe COSO.
Hace más de una década el Committee of
Sponsoring Organizations of the Treadway
Commission, conocido como COSO,
publicó el Internal Control - Integrated
Framework (COSO I) para facilitar a las
empresas a evaluar y mejorar sus sistemas
de control interno. Desde entonces ésta
metodología se incorporó en las políticas,
reglas y regulaciones y ha sido utilizada por
muchas compañías para mejorar sus
actividades de control hacia el logro de sus
objetivos.
10. ACERCA DE COSO
Integrada por las siguientes instituciones dedicadas a guiar a las
administración ejecutiva y a los participantes del Gobierno de la
empresa para lograr el establecimiento de operaciones de
negocios más efectivas, eficientes y éticas . Promueve y difunde
estructuras ( frameworks ) y guías basados en profundas
investigaciones, análisis y mejores prácticas:
American Accounting Association ( AAA)
American Institute of CPAs ( AICPA )
Financial Executives International (FEI)
The Association of Accountants and Financial Professional in
Business ( IMA )
The Institute of Internal Auditors ( IIA )
11. Informe COSO.
Hacia fines de Septiembre de 2004, como
respuesta a una serie de escándalos, e
irregularidades que provocaron pérdidas
importante a inversionistas, empleados y otros
grupos de interés, nuevamente el Committee of
Sponsoring Organizations of the Treadway
Commission, publicó el Enterprise Risk
Management - Integrated Framework (COSO II)
y sus Aplicaciones técnicas asociadas, el cual
amplía el concepto de control interno,
proporcionando un foco más robusto y extenso
sobre la identificación, evaluación y gestión
integral de riesgo.
12. Informe COSO.
Este nuevo enfoque no sustituye el
marco de control interno, sino que lo
incorpora como parte de él,
permitiendo a las compañías mejorar
sus prácticas de control interno o
decidir encaminarse hacia un proceso
más completo de gestión de riesgo.
13. Informe COSO.
A nivel organizacional, este
documento destaca la
necesidad de que la alta
dirección y el resto de la
organización comprendan
cabalmente la trascendencia
del control interno, la
incidencia del mismo sobre
los resultados de la gestión,
el papel estratégico a
conceder a la auditoría y
esencialmente la
consideración del control
como un proceso integrado
a los procesos operativos de
la empresa y no como un
conjunto pesado,
compuesto por mecanismos
burocráticos.
A nivel regulatorio o
normativo, el Informe COSO
ha pretendido que cuando
se plantee cualquier
discusión o problema de
control interno, tanto a nivel
práctico de las empresas,
como a nivel de auditoría
interna o externa, o en los
ámbitos académicos o
legislativos, los
interlocutores tengan una
referencia conceptual
común, lo cual hasta ahora
resultaba complejo, dada la
multiplicidad de definiciones
y conceptos divergentes que
han existido sobre control
interno.
14. Informe COSO.
COSO I
(MICI)
COSO II
(ERM)
Internal
Control -
Integrated
Framework
Enterprise
Risk
Management
- Integrated
Framework
15. Informe COSO.
Establecer una
definición común
de control interno
que responda a las
necesidades de las
distintas partes.
Objetivos
Facilitar un
modelo en base al
cual las empresas
y otras entidades,
cualquiera sea su
tamaño y
naturaleza, puedan
evaluar sus
sistemas de
control interno
16. Control Interno.
Proceso realizado por el consejo de
directores, administradores y otro personal
de una entidad, diseñado para proporcionar
seguridad razonable mirando el
cumplimiento de los objetivos en las
siguientes categorías:
Efectividad y eficiencia de las operaciones.
Confiabilidad de la información financiera.
Cumplimiento de las leyes y regulaciones
aplicables.
17. Control Interno.
El Control Interno puede juzgarse efectivo en cada
una de las categorías anteriores respectivamente,
si quienes lo llevan a cabo tienen seguridad
razonable sobre que:
Comprenden la extensión en la cual se están
obteniendo los objetivos de las operaciones de la
entidad.
Los EEFF publicados se están preparando
confiablemente.
Se está cumpliendo con las leyes y regulaciones
aplicables.
18. Control Interno.
Efectuado por personas de la
organización: No solamente son políticas,
manuales y formatos realizados, son
personas que interactúan y se comunican
a lo largo de toda la estructura
organizacional de una empresa o entidad.
19. ESTRUCTURA DE COSO I
COSO I
AMBIENTE DE CONTROL
EVALUACION DE RIESGO
ACTIVIDAD DE CONTROL
INFORMACION y COMUNICACION
MONITOREO
20. ESTRUCTURA DEL COSO I
COSO ofrece un marco
de trabajo integrado
que define el control
interno en cinco
elementos
interrelacionados:
Ambiente de
Control.
Evaluación del
Riesgo.
Actividades de
Control.
Información &
Comunicación.
Monitoreo.
21. 1. AMBIENTE DE CONTROL
Establece el tono de una organización , influyendo en la
conciencia que los empleados tienen sobre el control.
Es el fundamento de todos los demás componentes del
control interno, proporcionando disciplina y estructura.
Se considera lo siguiente:
Integridad y valores Éticos.
Compromisos para la competencia.
Consejos de directores o comité de Auditoria.
Filosofía de la Administración y Estilo de operación.
Estructura Organizativa.
Asignación de Autoridad y Responsabilidad.
Políticas de Recursos Humanos.
22. 2. EVALUACION DEL RIESGO
Identificación y análisis de los riesgos
relevantes para la consecución de los objetivos,
constituyendo una base para determinar cómo
se deben administrar los riesgos.
23. Diversos tipos de Riesgos se pueden resumir
en los siguientes:
Contabilidad errónea e inapropiada.
Costos excesivos/ingresos deficientes.
Sanciones legales.
Fraude o robo.
Decisiones Erróneas de la Gerencia.
Interrupción del negocio.
Deficiencia en el logro de objetivos.
Desventaja ante la competencia-
desprestigio de imagen.
24. 3. Actividades de Control.
Políticas y procedimientos que ayudan a asegurar
que las directivas administrativas se lleven a cabo.
Tipos de Actividades de Control:
Revisiones de alto nivel.
Funciones directas o actividades administrativas.
Procesamiento de la información.
Controles físicos.
Indicadores de desempeños.
Segregación de responsabilidades.
Políticas y procesamiento.
25. Cambio en el entorno de operación.
Personal nuevo.
Sistemas de Información nuevos o
modernizados.
Modelo del negocio, productos o
actividades nuevas.
Nuevos pronunciamientos de contabilidad.
Diversos tipos de Riesgos se pueden
resumir en los siguientes:
26. 4. INFORMACION Y COMUNICACION
Identificación, obtención y comunicación
de información pertinente en una forma y
en un tiempo que le permita a los
empleados cumplir con sus
responsabilidades.
Debe de existir una comunicación efectiva
en un sentido amplio, que fluya hacia
abajo, a lo largo y hacia arriba de la
organización.
27. 5. Monitoreo: Supervisión.
Proceso que valora el desempeño de
sistema en el tiempo.
El monitoreo asegura que el control interno
continua operando efectivamente. Este
proceso implica la valoración por parte del
personal apropiado, del diseño y operación
de los controles en una adecuada base de
tiempo y realizando las acciones apropiadas.
28. Cualquiera que sea el área de
observación indicada (Monitoreo), cada
una de ellas debe contener lo siguiente:
1. Descripción de la deficiencia encontrada.
2. Causa del problema.
3. Consecuencia de la debilidad
encontrada, y de ser posible su
cuantificación.
4. Correctivos adecuados según la
circunstancia.
5. Cualquier otro punto.
29. Gestión de Riesgo.
Todas las organizaciones
independientemente de su tamaño,
naturaleza o estructura, enfrentan riesgos.
LOS OBJETIVOS DE LA GESTION DE
RIESGO SON IDENTIFICAR, CONTROLAR Y
ELIMINAR LAS FUENTES DE RIESGOS.
30. Definición de Riesgo
Es la probabilidad que ocurra un
determinado evento que puede tener efectos
negativos para la institución.
Riesgos es uno de los cinco componentes
del Marco de Control Interno COSO.
32. Estructura del COSO II.
Los 8 componentes del
coso II están
interrelacionados entre si.
Estos procesos debe ser
efectuados por el director,
la gerencia y los demás
miembros del personal de
la empresa a lo largo de su
organización
Los 8 componentes están
alineados con los 4
objetivos.
Donde se consideran las
actividades en todos los
niveles de la organización
33. La administración de riesgos de la empresa (ERM) COSO
describe en su marco basado en principios tales como:
La definición de administración de riesgos de la
empresa
Los principios críticos y componentes de un
proceso de administración de riesgo corporativo
efectivo.
Pautas para las empresa, para que ellas sean
capaces de administrar sus riesgos.
Criterios para determinar si la administración de
riesgo de la empresa es efectiva.
34. Conceptos claves de el COSO II
Administración del riesgo en la
determinación de la estrategia.
Eventos y riesgo.
Apetito de riesgo.
Tolerancia al riesgo.
Visión de portafolio de riesgo.
35. Administración de Riesgos: Proceso efectuado por el
Directorio, Gerencia y otros miembros del personal ,
aplicado en el establecimiento de la estrategia y a lo
largo de la organización , diseñados para identificar
eventos potenciales que puedan afectarla y administrar
riesgos de acuerdo a su apetito de riesgos , de modo
de proveer seguridad razonable en cuanto al logro de
los objetivos de la organización.
Eventos y Riesgos : Se deben identificar eventos y
riesgos potenciales que afectan la implementación de
las estrategias o el logro de los objetivos , con impacto
positivos, negativos o ambos.
36. Apetito de Riesgo: Es la cantidad de riesgo en un
nivel amplio que una empresa esta dispuesta a
aceptar para generar valor.
Se considera en el establecimiento de la estrategia
, permite el alineamiento de la organización, las
personas , procesos e infraestructura; Expresados
en términos cualitativos o cuantitativos.
Tolerancia al Riesgo: Es el nivel aceptable de
desviación en relación con el logro de los
objetivos. Se alinea con el apetito de Riesgo.
37. Visión de portafolio de Riesgos.
ERM propone que el riesgo sea considerado desde
una perspectiva de la entidad en su conjunto o de
portafolio de riesgos.
ƒPermite desarrollar una visión de portafolio de
riesgos tanto a nivel de unidades de negocio como
a nivel de la entidad.
ƒ Es necesario considerar como los riesgos
individuales se interrelacionan.
ƒPermite determinar si el perfil de riesgo residual de
la entidad esta acorde con su apetito de riesgo
global.
39. 1. Ambiente interno
Sirve como la base fundamental para los
otros componentes del ERM, dándole
disciplina y estructura.
Dentro de la empresa sirve para que los
empleados creen conciencia de los
riesgos que se pueden presentar en la
empresa
40. 2. Establecimientos de objetivos.
Es importante para que la empresa prevenga
los riesgo, tenga una identificación de los
eventos, una evaluación del riesgo y una clara
respuesta a los riesgos en la empresa.
La empresa debe tener una meta clara que se
alineen y sustenten con su visión y misión, pero
siempre teniendo en cuenta que cada decisión
con lleva un riesgo que debe ser previsto por la
empresa .
41. 3. Identificación de eventos
Se debe identificar los eventos que afectan los
objetivos de la organización aunque estos sean
positivos, negativos o ambos, para que la
empresa los pueda enfrentar y proveer de la
mejor forma posible.
La empresa debe identificar los eventos y debe
diagnosticarlos como oportunidades o riesgos.
Para que pueda hacer frente a los riesgos y
aprovechar las oportunidades.
42. IDENTIFICACIÓN DE EVENTOS
EVENTOS EXTERNOS
- La Economía.
- El Comercio.
- Catástrofes.
- Medio Ambiente.
- Políticas de gobierno.
- Cambios de ámbitos sociales.
- Tecnología.
45. 4. EVALUACIÓN DE RIESGOS
En la evaluación de riesgos se mezclan
los potenciales eventos futuros
relacionados a la entidad y sus objetivos,
lo que considera en el análisis del
tamaño de la estructura, la complejidad
de los procesos, funciones y el grado de
regulación de sus actividades, entre
otros.
48. 5. Respuesta al riesgo
Una vez evaluado el riesgo la gerencia identifica y
evalúa posibles repuestas al riesgo en relación al las
necesidades de la empresa.
Las respuestas al riesgo pueden ser:
Evitarlo: se discontinúan las actividades que generan
riesgo.
Reducirlo: se reduce el impacto o la probabilidad de
ocurrencia o ambas
Compartirlo: se reduce el impacto o la probabilidad de
ocurrencia al transferir o compartir una porción del
riesgo.
Aceptarlo: no se toman acciones que afecten el
impacto y probabilidad de ocurrencia del riesgo.
49. 6. Actividades de control
Son las políticas y procedimientos para
asegurar que las respuesta al riesgo se
lleve de manera adecuada y oportuna.
Tipo de actividades de control:
Preventiva, detectivas, manuales,
computarizadas o controles gerenciales
50. 7. Información y comunicación
La información es necesaria en todos los niveles
de la organización para hacer frente a los
riesgos identificando, evaluando y dando
respuesta a los riesgos.
La comunicación se debe realizar en sentido
amplio y fluir por toda la organización en todo
los sentidos.
Debe existir una buena comunicación con los
clientes, proveedores, reguladores y
accionistas.
51. 8. Monitoreo.
Sirve para monitorear que el proceso de
administración de los riesgos sea efectivo
a lo largo del tiempo y que todos los
componentes del marco ERM funcionen
adecuadamente.
El monitoreo se puede medir a través de:
Actividades de monitoreo continuo.
Evaluaciones puntuales.
Una combinación de ambas formas
52. Monitoreo.
Las regulaciones también pueden comunicar a
la entidad disposiciones u otras materias que
afecten las funciones o los procesos de
administración de riesgos.
Los auditores internos y externos
permanentemente proponen recomendaciones
para fortalecer la Administración de riesgos.
53. Monitoreo.
ROLES Y RESPONSABILIDADES
Todo el personal en una entidad tiene algún
tipo de responsabilidad en la
Administración de Riesgos:
- Directores.
- Gerentes.
- Oficiales de Riesgos.
- Auditor Interno.
- Otros miembros de la Organización.
54. El personal debe ser consultado
periódicamente sobre si conocen,
cumplen los códigos de conducta de
su entidad.
Monitoreo.
57. Diferencia Entre COSO Y COSO ERM
En cuanto a sus componentes
Como se puede observar desde el COSO I, el componente
que tiene una profundización mayor, es la Evaluación de
Riesgos, la cual pasa a transformarse en el centro del
análisis de un control interno moderno
58. Análisis
COSO II “ERM” toma muchos aspectos importantes que el
coso I no considera, como por ejemplo:
El establecimiento de objetivos
Identificación de riesgo
Respuesta a los riesgos
Se puede decir que estos componentes son claves para
definir las metas de la empresa .
Si los objetivos son claros se puede decidir que riegos tomar
para hacer realidad las metas de la organización.
Amplía el concepto de control interno, proporcionando un
foco más robusto y extenso sobre la identificación,
evaluación y gestión integral de riesgo.
De esta manera se puede hacer una clara identificación,
evaluación, mitigación y respuesta para los riesgos.
59. 1. AMBIENTE DE CONTROL
Común en IC Y ERM Introducido en IC y
Expandido en ERM
Incremental para
ERM
Demuestra
compromiso con la
integridad y valores
éticos
Ejercicios
responsabilidad de
supervisión
Establece la
filosofía de
gestión de
riesgos
Establece estructuras,
autoridad, y la
responsabilidad
- Establece la
cultura de riesgo
Demuestra
compromiso con la
competencia
- Establece el
apetito de riesgo
Hace cumplir la
rendición de cuentas
- -
60. 2. Evaluación de riesgos
Común en IC Y ERM Introducido en IC y
Expandido en ERM
Incremental para ERM
Evalúa el riesgo de fraude Identifica y analiza
los riesgos / eventos
Distingue los riesgos y
oportunidades
Identifica y analiza
cambios significativos
Desarrolla vista de
cartera a nivel de
entidad (evaluación
compuesta de riesgo
de las unidades
individuales.)
61. 3. Actividades de control
Común en IC Y ERM Introducido en IC y
Expandido en
ERM
Incremental para
ERM
Selecciona y desarrolla
el control actividades
- -
Selecciona y desarrolla
en general controles
sobre la tecnología
- -
Se implementa a través
de políticas y
procedimientos
- -
62. 4. Información y comunicación
Común en IC Y ERM Introducido en IC y
Expandido en ERM
Incremental
para ERM
Se comunica
internamente
Utiliza la información
relevante
-
Se comunica
externamente
- -
- -
63. 5. Actividades de Monitoreo
Común en IC Y ERM Introducido en IC y
Expandido en ERM
Incremental
para ERM
Lleva a cabo
evaluaciones en curso y
/ o separadas
- -
Evalúa y comunica
deficiencias
- -
64. COSO en la Organización.
GOBIERNOS CORPORATIVOS
GESTION DE RIESGOS
ACCIONISTAS DIRECTORIO ADM. SUPERIOR
ENTORNO
65. COSO en la Organización.
Gobiernos Corporativos: Es el conjunto de
relaciones, de mejores prácticas, que debe
establecer una empresa entre su Junta de
Accionistas , su Directorio y su Administración
Superior para acrecentar el valor para sus
accionistas y responder a los objetivos de todos
sus stakeholder.
66. NORMAS FUNDAMENTALES DE
CONTROL INTERNO
PERSONAL COMPETENTE Y CONFIABLE.
Capacitación
Supervisión
Rotación
Vacaciones
Fianzas
Respaldo de la Alta Dirección
Documentos y Registros
Segregación adecuada de funciones
Niveles de autorización y responsabilidad
Auditorías Internas y Externas
67. AUDITORIA INTERNA
La función de auditoría interna ha
cambiado notablemente en los últimos
años, pasando de una auditoria tradicional
orientada a la protección de la empresa
(activos) hacia una auditoria enfocada al
control de los riesgos, a fin de aumentar el
valor de la organización para los
accionistas.
68. COSO y Auditoria Interna.
La auditoria interna se considerará entonces
como una parte del sistema de control.
Informe COSO es una herramienta utilizada
por la Auditoria interna para realizar el control
interno de la empresa.
La responsabilidad de los Auditores Internos
en este proceso es la de revisar el Control
implementado.