CONTROL CONTROL INTERNO BASADO INTERNO BASADO

EN EL INFORME EN EL INFORME COSOCOSO

AlcanceAlcance Nuevos paradigmas.

Conceptos metodológicos de COSO.

Bases de MEYCOR COSO AG, una herramienta para la implantación del control interno basado en COSO.

Informe COSOInforme COSO En 1992, COSO publicó el Sistema

Integrado de Control Interno, un informe que establece una definición común de control interno y proporciona un estándar mediante el cual las organizaciones pueden evaluar y mejorar sus sistemas de control.

El objetivo de COSOEl objetivo de COSO Mejorar la calidad de la información

financiera concentrándose en el manejo corporativo, las normas éticas y el control interno. 

Unificar criterios ante la existencia de una importante variedad de interpreta-ciones y conceptos sobre el control interno.

Gestión del Riesgo empresarial Gestión del Riesgo empresarial ((ERM)ERM)

“El control interno es una parte integral de la Administración del riesgo empresarial y está abarcado dentro de éste.”

“La Administración del riesgo empresarial es más amplia que el control interno, expandiendo y elaborando sobre el control interno para formar una concepción más robusta que se enfoca más sobre el riesgo.”

“El Marco Integrado Control Interno sigue siendo totalmente válido para las entidades y otros que ponen énfasis en el control interno.”

Basilea IIBasilea II Incluye varios cambios que, si bien serán exigibles a

principios de 2007, marcan un rumbo sobre el que hay que empezar.

Basilea I se centraba en el análisis de riesgos de crédito y de mercado. Ahora se aumenta la regulación de fondos propios exigidos por la normativa y la exposición al riesgo.

Se incluye la necesidad de tener en cuenta un nuevo riesgo: el riesgo operacional o sea el resultado de la pérdida derivada de fallos en los procesos internos, en la actuación de personas o de sistemas inadecuados o erróneos así como de factores externos.

Conformidad con ley SARBANES Conformidad con ley SARBANES OXLEYOXLEY

Utilización de COSO, modelo del Gobierno Corporativo, y de COBIT, modelo del Gobierno de la Tecnología de la Información, para lograr conformidad con la ley SARBANES-OXLEY

Conceptos Conceptos Metodológicos del Metodológicos del INFORME COSOINFORME COSO

Los nuevos conceptos del control interno en las

organizaciones

Definición de Control InternoDefinición de Control Interno Es un proceso que involucra a todos los

integrantes de la organización sin excepción, diseñado para dar un grado razonable de apoyo en cuanto a la obtención de los objetivos en las siguientes categorías:Eficacia y eficiencia de las operaciones (O)Fiabilidad de la información financiera (F)Cumplimiento de las leyes y normas que son

aplicables(C) Estas tres categorías se interrelacionan entre sí.

¿Qué se puede obtener a través de ¿Qué se puede obtener a través de COSO?COSO?

La definición de un marco de referencia aplicable a cualquier organización.

COSO considera que el control interno debe ser un proceso integrado con el negocio que ayude a conseguir los resultados esperados en materia de rentabilidad y rendimiento.

Trasmitir el concepto de que el esfuerzo involucra a toda la organización: desde la Alta Dirección hasta el último empleado.

Componentes del Control Componentes del Control InternoInterno

Son 5 componentes (Entorno de control, Evaluación de los Riesgos, Actividades de control, Información y comunicación, y Supervisión) que interactúan entre si y están integrados al proceso de Dirección.

El sistema de control debe incorporarse de manera armónica con las actividades operativas de la organización.

Esto ayuda a que se fomente la calidad de la delegación de poderes, se eviten pérdidas y haya una respuesta rápida ante los cambios.

Entorno de ControlEntorno de Control Es la base de los demás componentes,

aportando disciplina y estructura. Incluye: la integridad, los valores éticos y la

capacidad de los empleados de la entidad, la filosofía de la Dirección y el estilo de gestión, la asignación de la autoridad y las responsabilidades, la organización y el desarrollo de los empleados y la orientación de la Dirección.

Evaluación de los riesgosEvaluación de los riesgos Primeramente deben identificarse los

objetivos organizacionales, vinculados y coherentes. Luego deben identificarse y evaluarse los riesgos relevantes que pueden afectar el alcanzar esos objetivos.

Los riesgos deben ser administrados, atendiendo a la existencia de un medio interno y externo cambiante.

Actividades de ControlActividades de Control Son las políticas y procedimientos que

ayudan a asegurar que se toman las medidas para limitar los riesgos que pueden afectar que se alcancen los objetivos organizacionales.

Son ejemplos: autorizaciones, verifica-ciones, conciliaciones, segregación de funciones, revisiones de rentabilidad operativa, etc.

Información y ComunicaciónInformación y Comunicación Se debe identificar, ordenar y comunicar en forma

oportuna la información necesaria para que los empleados puedan cumplir con sus obligaciones.

La información puede ser operativa o financiera, de origen interno o externo.

Deben existir adecuados canales de comunicación.

El personal debe ser informado de la importancia de que participe en el esfuerzo de aplicar el control interno.

SupervisiónSupervisión Debe existir un proceso que compruebe que

el sistema de control interno se mantiene en funcionamiento a través del tiempo.

La misma tiene tareas permanentes y revisiones periódicas. Estas últimas dependerán en cuanto a su frecuencia de la evaluación de la importancia de los riesgos en juego.

InterrelaciónInterrelación La organización debe

lograr cumplir con esas tres categorías de objetivos (O, F,C) ya vistas.

Los 5 componentes descriptos son acciones necesarias para lograr esos objetivos.

Limitaciones a atenderLimitaciones a atender La confianza en el sistema de control

interno no debe dejar de considerar que:Pueden existir fallas resultantes de errores de

juicio.La colusión de dos o más personas o la acción

de la Dirección pueden burlar el sistema.El sistema a diseñar debe explicitar las

limitaciones de recursos (relación costo beneficio).

Funciones y Funciones y responsabilidadesresponsabilidades

La Alta Gerencia es la responsable última del sistema de control. La integridad y la ética deben ser elementos que aporten ejemplo a los demás empleados. Debe dirigir a los gerentes que a su vez son los responsables en sus respectivas áreas.

El Consejo de Administración fija las pautas y la visión global del negocio. El Consejo debe tener un papel activo en el conocimiento de las acciones que se ejecutan. Debe asegurarse de contar con vías de comunicación efectivas con la Alta Dirección y las áreas financieras, legales y de auditoría interna.

La Auditoría InternaAuditoría Interna debe desempeñar un papel de supervisión sobre la eficiencia y permanencia de los sistemas de control. Para ello debe contar con una ubicación jerárquica adecuada.

Los empleadosempleados en general tienen la responsabilidad de participar en el esfuerzo de aplicar el control interno, cuyos detalles deben ser incorporados a la descripción de los puestos de trabajo. Ellos deben comunicar al nivel superior las desviaciones que detecten a los códigos de conducta, a las políticas establecidas o la legalidad de las acciones realizadas.

MEYCOR COSO AGMEYCOR COSO AG El Informe COSO define una estructura, un marco

de referencia. Dentro del mismo se debe analizar cómo

interactuan los componentes en la realidad peculiar de cada organización.

Debe contarse con una herramienta que asista en el proceso de evaluación periódica y proactiva del sistema de control interno.

La evaluación puede querer centrarse en un solo objetivo (por ejemplo la información financiera). Puede también querer referirse a una unidad de la organización o a una actividad en particular.

Matriz de COSOMatriz de COSO

Evaluación de los riesgosEvaluación de los riesgos Determinación de los Objetivos. Objetivos globales (tales como la Misión). Objetivos específicos de las diversas

actividades (por ej. Producción), estos sub-objetivos medibles a través de metas deben ser coherentes.

Los objetivos deben ser:Los objetivos deben ser: Definidos de modo de identificar los criterios

para medir el rendimiento y establecer factores críticos de éxito (que pueden ser a nivel de actividad o unidad operacional).

Coherentes y compatibles. Como ejemplo se puede considerar: efectuar

pagos sólo para compras autorizadas, que los sistemas informáticos se encuentren disponibles según los requerimientos del negocio, etc.

Los riesgosLos riesgos La identificación y el análisis de riesgos es un

proceso interactivo que involucra al personal responsable de cumplir con los objetivos fijados ya que es el más idóneo.

Los riesgos pueden ser el resultado del efecto de factores internos y externos, por ejemplo: las averías de los sistemas informáticos, los cambios en la responsabilidad de los directivos, etc.

Una vez identificados debe estimarse su importancia, evaluar la probabilidad de que impacte a la organización y qué medidas deben tomarse para atenuar sus efectos.

Actividades de ControlActividades de Control Son políticas, procedimientos y acciones que

afectan a una o más áreas de la organización.

Algunos ejemplos serían: Análisis efectuados por la Dirección.Gestión directa de los responsables.Proceso de información.Controles físicos. Indicadores de rendimiento y segregación de

funciones.

Relacionamiento de los elementosRelacionamiento de los elementos

Las actividades de control, al enfrentar adecuadamente a los riesgos, ayudan a alcanzar los objetivos de los Departa-mentos y actividades, logrando así alcanzar los objetivos del negocio.

Información y comunicaciónInformación y comunicación Debe asegurase que se obtenga

información de calidad y no meros datos. La información debe ser protegida ya que

se trata de un activo valioso. Las vías de comunicación interna deben

asegurar que el personal conozca los elementos suficientes para cumplir con su tarea.

Supervisión

Las actividades de supervisión continua y evaluaciones puntuales.

Las deficiencias detectadas deben ser oportunamente comunicadas.

MEYCOR COSO MEYCOR COSO AGAG

Detalle de funcionalidades

Ingreso al sistemaIngreso al sistema

El Administrador (ADMIN) deberá conocer la herramienta y sus fundamentos teóricos, y a la hora de hacer los relevamientos podrá distribuir el acceso a los cuestionarios según el perfil de los revisores.

El sistema cuenta con un control de acceso al mismo compuesto por un login y una contraseña.

Menú PrincipalMenú Principal

El Menú Principal cuenta con una barra de herramientas que permite un acceso más directo a las opciones más usadas.

Grupos de trabajo y revisoresGrupos de trabajo y revisores

Se definen grupos de trabajo y los revisores que participarán en la revisión.

Guía metodológicaGuía metodológica

Existe una guía metodológica que facilita la aplicación de la metodología COSO. Esta guía contiene los pasos a seguir durante la evaluación, documentación, y accesos directos a los formularios donde la información debe ser ingresada.

Cuestionarios GeneralesCuestionarios Generales

Los cuestionarios generales de los 5 componentes pueden ser evaluados a diferentes niveles de la organización.

Formularios de Cuestionarios Formularios de Cuestionarios GeneralesGenerales

Los cuestionarios generales pueden ser generados en formato RTF (con ingreso manual de respuestas) o en formato HTML (con ingreso automático de respuestas).

Cargar respuestas desde Formularios HTMLCargar respuestas desde Formularios HTML

Este formulario le permite cargar las respuestas de los cuestionarios generales desde los formularios HTML.

Sincronización de Evaluaciones Off-lineSincronización de Evaluaciones Off-line

Este formulario le permite sincronizar las respuestas de los cuestionarios generales que los revisores hayan ingresado en bases off-line.

Informe de Cuestionarios GeneralesInforme de Cuestionarios Generales

Permite evaluar los resultados de la Permite evaluar los resultados de la revisión de los 5 componentes tanto a revisión de los 5 componentes tanto a nivel numérico como gráfico, con nivel numérico como gráfico, con diferente nivel de desagregación.diferente nivel de desagregación.

Comparación de Cuestionarios Comparación de Cuestionarios GeneralesGenerales

Permite comparar los resultados de la revisión entre sí y contra el promedio, tanto a nivel numérico como gráfico, con diferente nivel de desagregación.

Comparación de diferentes períodosComparación de diferentes períodos

Permite comparar los resultados obtenidos en diferentes períodos tanto a nivel numérico como gráfico, con diferente nivel de desagregación.

Codificación de la estructura organizacionalCodificación de la estructura organizacional

Antes de comenzar la revisión, se deben determinan los niveles que componen la estructura de la organización.

OrganigramaOrganigrama

Se identifica el organigrama, definiendo los objetivos de cada área y sus responsables.

Reporte del organigramaReporte del organigrama

Procesos y sub-procesosProcesos y sub-procesos

Se definen los procesos y sub-procesos y se los asigna a las unidades del organigrama correspondientes.

Reporte de Procesos y Sub-Reporte de Procesos y Sub-procesosprocesos

Asignación de procesosAsignación de procesos

Se asignan los procesos y sub-procesos que serán revisados por cada grupo de trabajo.

Ponderación de procesosPonderación de procesos

Los procesos y sub-procesos pueden ser Los procesos y sub-procesos pueden ser ponderados y rankeados a efectos de ponderados y rankeados a efectos de determinar determinar las actividades que son críticas las actividades que son críticas para el negocio y que por tanto requieren para el negocio y que por tanto requieren mayor atención. mayor atención.

Ingreso de actividades de los Ingreso de actividades de los procesosprocesos

Procesos y sub-Procesos y sub-procesos asignados procesos asignados a unidadesa unidades. .

Jerarquía de tareas Jerarquía de tareas que se realizan en el que se realizan en el procesoproceso. .

Riesgos y Actividades de ControlRiesgos y Actividades de Control

Se definen los objetivos de control, los riesgos y las actividades de control relativas a los procesos y sub-procesos a ser evaluados

Es posible marcar las actividades de control que luego serán auditadas

Selección de actividades de control a auditarSelección de actividades de control a auditar

Mediante la utilización de filtros es posible seleccionar dentro del universo de las actividades de control, aquellas que requieran ser auditadas

Creación de proyectos de Creación de proyectos de auditoríaauditoría

Los usuarios supervisores pueden crear proyectos de auditoría. Para los proyectos se definen los auditores asignados y los objetivos de procesos que se van a auditar en el proyecto.

Asignación de objetivos y riesgosAsignación de objetivos y riesgos

El supervisor que creó un proyecto debe definir los objetivos que auditará cada auditor.Se definen también los riesgos de cada objetivo que serán alcanzados por el proyecto de auditoría.

Auditoría de actividades de controlAuditoría de actividades de control

Registro de

hallazgos.

Vinculación de

archivos.

Registro de tareas

realizadas.

Objetivos y riesgos a auditar según la asignación del auditor.

Informe final de auditoríaInforme final de auditoría

Informe final de auditoría generado automáticamente.

Selección de observaciones que se incluyen en el informe final.

Cálculo de exposiciónCálculo de exposición

MATRIZ DE RIESGOS Y CONTROLCONTROLESBUENO BR MALO

RIESGO 4 2,5 116 4,00 6,40 16,0010 2,50 4,00 10,00

6,25 1,56 2,50 6,254 1,00 1,60 4,00

2,5 0,63 1,00 2,501 0,25 0,40 1,00

Impacto x Probabilidad de RiesgoEval. Act. de Control

Informe de Riesgos y Actividades de Informe de Riesgos y Actividades de ControlControl

Se evalúa el cumplimiento de los objetivos de control, a efectos de determinar si ante los riesgos identificados, los mismos se encuentran adecuadamente cubiertos.

Es posible ver la ponderación de riesgos y el resultado de la evaluación de las actividades de control existentes.

Informe de Riesgos y Actividades de Informe de Riesgos y Actividades de ControlControl

Permite evaluar los resultados de la revisión de los objetivos tanto a nivel numérico como gráfico.

Resumen de Riesgos y Actividades de ControlResumen de Riesgos y Actividades de Control

Permite visualizar en forma resumida los resultados de la revisión de los objetivos y los factores de riesgos de los procesos

Mapas de riesgos y gráficas de Mapas de riesgos y gráficas de exposiciónexposición

Mapa de riesgos según

la probabilidad

e impacto

Gráfica de exposición

considerando la evaluación de los

controles

Tratamiento de riesgosTratamiento de riesgosSe define el trata-miento que se da a los riesgos.

Según el tratamiento realizado se simula el cambio en la expo-sición al riesgo.

Definición de proyectos de Definición de proyectos de mejoramejora

Los nuevos controles que se incluyen en el tratamiento se agrupan en proyectos de implantación.

Controles incluidos en el proyecto.

Los proyectos se priorizan según el impacto y la relación costo-riesgo.

Comparación de diferentes períodosComparación de diferentes períodos

Permite comparar las evaluaciones de los procesos obtenidas en diferentes períodos tanto a nivel numérico como gráfico.

Meycor COSO WebMeycor COSO WebPublicación, Distribución y Revisión de Publicación, Distribución y Revisión de

DocumentosDocumentos

El módulo web de Meycor COSO AG, facilita la publicación y distribución de documentos de manera sencilla, a la vez que permite emitir un juicio acerca de los mismos.

Meycor COSO WebMeycor COSO WebRespuesta a Cuestionarios GeneralesRespuesta a Cuestionarios Generales

Meycor COSO Web permite contestar los cuestionarios de autoevaluación de forma remota

Prestaciones dePrestaciones de MEYCOR MEYCOR COSO AG COSO AG para personalizar y para personalizar y

mejorar el detalle y la mejorar el detalle y la información de la revisióninformación de la revisión

Contiene una guía metodológica que facilita la aplicación de la metodología COSO y lo asiste durante todo el procesos de revisión.

Permite codificar los niveles jerárquicos de la organización para así determinar el organigrama de acuerdo a la nomenclatura de la misma.

Permite identificar los procesos y sub-procesos, efectuar un ranking de los mismos, así como asociarlos a las áreas correspondientes.

Permite la creación de grupos de trabajo y de revisores, que facilitan la distribución de las tareas.

Permite asignar a los revisores privilegios de Administrador.

Contiene los objetivos, riesgos y actividades de control genéricos del Informe COSO.

Permite manejar varias versiones de los cuestionarios generales.

Permite marcar las actividades de control que luego serán objeto de auditoría.

Permite el uso de ponderadores a nivel de procesos, objetivos y riesgos.

Permite evaluar los cuestionarios generales a cualquier nivel jerárquico.

Permite exportar todos los reportes a formato RTF, HTML y EXCEL.

Permite exportar todas las gráficas a formato BMP.

Genera formularios de evaluación de cuestionarios generales en HTML.

Permite la sincronización de cuestionarios generales y evaluación de riesgos y actividades de control de bases off-line.

Permite acceso multi-usuario a la evaluación de riesgos y actividades de control.

Permite efectuar un ranking de los procesos.

Permite comparar los resultados de diferentes períodos.

Incluye ayuda en línea.

DATASECIT Security & Control

Patria 716 - CP 11300 - Montevideo - UruguayTel: (5982) 711-58-78/ 711-04-20Fax: (5982) 711-58-94Web site: www.datasec-soft.com