Taller de Capacitación: Metodología para el Monitoreo … proceso, efectuado por el Directorio,...
Transcript of Taller de Capacitación: Metodología para el Monitoreo … proceso, efectuado por el Directorio,...
Módulo I: Sistema de Control Interno
29 de abril de 2013
Taller de Capacitación:Metodología para el Monitoreo del Sistema de Control Interno Empresas de la Corporación FONAFE
Módulo I: Sistema de Control Interno Pág. 229 de Abril de 2013
Modulo I► Introducción: Control interno según
COSO► ¿Qué es control interno?§ Definiciones clave§ Marco de referencia integrado COSO§ Actualización del Marco COSO – 2012§ Beneficios de implementar un SCI
► Marco normativo internacional y local
► Componentes COSO► Entorno de Control► Evaluación de Riesgos► Actividades de Control► Información y Comunicación► Monitoreo
Agenda
Introducción: Control interno según COSO
Módulo I: Sistema de Control Interno Pág. 429 de Abril de 2013
Algunos conceptos clave:
► Es un proceso.
► Es realizado por la gente, no son sólo políticas, encuestas y formularios.
► Es aplicada en la definición de la estrategia.
► Se aplica en toda la organización.
► Su objetivo es identificar acontecimientos que afecten eventualmente a la entidad y administrar el riesgo de acuerdo con el nivel de riesgo aceptado.
► Provee seguridad razonable a la gerencia y al directorio de una entidad.
► Está orientada al logro de objetivos.
► Ayuda a fortalecer la gobernanza corporativa y, entre otros de sus beneficios, sirve para diversificar la obtención de financiamientos y listar en el mercado de valores.
Soci
edad
/ E
ntid
adU
nida
d de
neg
ocio
s
Pro
ceso
/ A
ctiv
idad
Objetivos de Negocios de COSO
Com
pone
ntes
de
CO
SO
Nivel de la Organización
Información y comunicación
Monitoreo
Actividades de control
Evaluación de riesgos
Entorno de Control
Alcance Tradicional del 404 de la Ley
SOX
¿Qué es control interno?Definiciones clave
Módulo I: Sistema de Control Interno Pág. 529 de Abril de 2013
¿Qué es control interno?Marco de referencia integrado COSO
§ En 1985 se formó la ComisiónTreadway, en respuesta a fracasos producidos por la deficiencia de los controles internos.
§ En 1992 publicó el Marco de Referencia Integrado de Control Interno.
§ En 2004 publicó el COSO-ERM§ En el 2012 actualizó el Marco
COSO.
Control Interno según COSO
Un proceso, efectuado por el Directorio, Gerencia y el personal en general de una entidad, diseñado para proporcionar seguridad razonable con respecto al logro de objetivos.
Deficiencias materiales de
Control Interno
Disminuye la confianza en la organización (reputación)
Aumenta el riesgo
No se alcanzan los objetivos (pérdidas financieras)
Entorno de control
Actividades de controlMonitoreo
Evaluación de riesgos
Información y comunicación
Efectividad y eficiencia en las operaciones
Confiabilidad en el reporte financiero
Cumplimiento con leyes y regulaciones
Directorio
Gerencia
Personal
Logro de objetivos estratégicos
Módulo I: Sistema de Control Interno Pág. 629 de Abril de 2013
§ Entorno de control: permite conocer el grado de conciencia general que existe dentro de la organización con respecto a los controles (es decir, el “tono” en los niveles superiores).
§ Evaluación de riesgos: muestra el proceso que lleva a cabo la gerencia para identificar, gestionar y remediar los riesgos que podrían echar por tierra los objetivos de negocios.
§ Actividades de control: se centra en los programas, las iniciativas y las actividades que apuntan a mitigar los riesgos relevantes de manera eficaz.
§ Información y comunicación: facilita el flujo de información transparente en la organización, y permite contar con reportes confiables dentro y fuera de la organización.
§ Actividades de Monitoreo: somete el marco de control interno a revisiones continuas.
► COSO busca fortalecer los controles internos de una entidad, a través de suscinco (5) componentes:
¿Qué es control interno?Marco de referencia integrado COSO (cont.)
Módulo I: Sistema de Control Interno Pág. 729 de Abril de 2013
¿Qué es control interno?Actualización del Marco COSO en el año 2012
¿Qué se mantiene? ¿Qué es lo que cambia?1. Definición de control interno2. Cinco componentes de control interno3. Los criterios fundamentales para
evaluar la efectividad del sistema de control interno
4. Uso de juicio para evaluar la efectividad del sistema de control interno
1. Codificación de los principios con aplicación universal para su uso en el desarrollo y evaluación de la efectividad de sistema de control interno
2. Ampliación del objetivo de reporte financiero, incluyendo el reporte interno y externo, así como el reporte financiero y no financiero
3. Foco en los objetivos operacionales, de cumplimiento y en el reporte no financiero
Beneficios del Marco COSO actualizado
Mejora del gobierno
Mejora de la calidad de la evaluación de riesgos
Fortalecimiento de esfuerzos anti-fraude
Mayor aplicabilidad en varios modelos de negocio
Uso extendido del reporte financiero
Adaptación de controles a cambios del negocio
Módulo I: Sistema de Control Interno Pág. 829 de Abril de 2013
¿Qué es control interno?Actualización del Marco COSO en el año 2012 (cont.)
Entorno de control
Evaluación de riesgos
Actividades de control
Información y comunicación
Actividades de monitoreo
1. Demostración de compromiso respecto de la integridad y valores éticos2. Ejercicio de la responsabilidad de supervisión3. Establecimiento de estructura, autoridad y responsabilidad4. Demostración de compromiso con la competencia profesional5. Refuerzo de hacerse responsable (“accountability”)
6. Especificación de objetivos relevantes7. Identificación y análisis de riesgos8. Evaluación de riesgos de fraude9. Identificación y análisis de cambios significativos
10. Selección y desarrollo de actividades de control11. Selección y desarrollo de controles generales de TI12. Despliegue del control a través de políticas y procedimientos
13. Uso de información relevante14. Comunicación interna15. Comunicación externa
16. Conducción de evaluaciones continuas / independientes17. Evaluación y reporte de deficiencias
17 principios del Marco COSO
Módulo I: Sistema de Control Interno Pág. 929 de Abril de 2013
¿Qué es control interno?Beneficios de implementar un SCI
Transparencia/Cumplimiento
Control de Riesgos
Imagen Institucional
Eficiencia y mejora de la gestión
Efectividad de controles
Calidad / Clase Mundial
Soci
edad
/ En
tidad
Uni
dad
de n
egoc
ios
Proc
eso
/ Act
ivid
ad
Objetivos de Control
Elem
ento
s C
OSO
Nivel de la Organización
Información y comunicación
Monitoreo
Actividades de control
Evaluación de riesgos
Entorno de Control
Alcance de la Sección 404 de la
Ley SOX
La adopción del SCI permitirá fortalecer los controles internos al tomar acción sobre las principales debilidades de control interno identificadas, a lo largo de la organización.
Módulo I: Sistema de Control Interno Pág. 1029 de Abril de 2013
Marco normativo internacional y localEvolución normativa del Control Interno
COSO IControl Interno Marco Integrado
Normas Técnicas de Control Interno RC 072-98-CGR
Ley Orgánica del Sistema Nacional de Control y de la Contraloría General de la República Nº 27785 –CGRJul. 2002Art. 7 parrafo 4: “obligación del titular del control interno”
Normas de Control Interno RC 320-2006-CGR
D.U Nº 067-2009Decreto de Urgencia que modifica el Art. 10 de la Ley Nª 28716Ley Marco
Modernización del Estado Ley Nº 27658
COSO IIGestión de RiesgosCorporativos –Marco Integrado
Guía para laImplementación delControl Interno RC 458-2008 –CGR(Plazos 24m: 12 primeros avance de la implementación, 12 reporte final)
Ley Nº 29743 –Ley que modifica el Articulo 10ª de la Ley Nº 28716, Ley de Control Interno de las Entidades del EstadoJul.2011
Ley Nº 28716 de Control Interno de las Entidades del Estado Ley
1992
1998
2002
2006
20082009
2011
2004
2012
Actualización del Marco COSO I
Componentes COSO
Pág. 1229 de Abril de 2013 Módulo I: Sistema de Control Interno
El entorno de control brinda información general sobre la conciencia de la organización con respecto a los controles y sobre sus intenciones de evitar riesgos.
COSO identificó indicadores clave que sirven como referencia para determinar la cultura de "riesgo" corporativa y cómo influye en términos generales sobre la arquitectura de control, los cuales se indican a continuación:
Integridad y valores éticos
• Código de conducta• Capacitación sobre ética• Políticas que hagan
hincapié en las normas éticas
• Inicio oportuno de acciones legales contra los que violan el código
• Prácticas de contratación (por ejemplo, verificación de referencias)
• Otros
Directorio / comité de auditoría
• Directorio y comité integrado por personas independientes y competentes
• Participación activa en las principales decisiones de la gerencia
• Supervisión del desempeño de la gerencia
Compromiso con la competencia
• Procedimientos eficaces de contratación y evaluación del desempeño por parte de RRHH
• Funciones y responsabilidades definidas claramente (por ejemplo, descripciones de los puestos / matriz de capacidades, etc.)
• Capacitación
Filosofía y estilo operativo de la
gerencia
Políticas y procedimientos de
RRHH
Estructura de la organización
Asignación de responsabilidades
Indicadores del Entorno de Control
Indi
cado
rFa
ctor
es q
ue
Con
trib
uyen
Componente 1: Entorno de Control
Pág. 1329 de Abril de 2013 Módulo I: Sistema de Control Interno
Componente 1: Entorno de ControlFoco de revisión
XXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
A Revisar la filosofía de la Dirección respecto del SCI y su compromiso con los valores éticos
q Declaración de valores
q Difusión del Código de Ética
q Cultura de control interno
Comité de Control Interno
Grupo Directivo
Grupo Operativo
Grupo Evaluador
B Revisar la administración estratégica de la Compañía, así como su seguimiento periódico
C Revisar la estructura organizacional, autoridad y responsabilidad
D Revisar la gestión de RRHH y compromiso con la competencia profesional
q Políticas de reclutamiento y selección
q Procedimiento de inducción
q Políticas de capacitación y evaluación de desempeño
q Descripciones y perfiles de puestos definidos
XXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Gestión de proveedores
► Pareto de proveedores (general, por tipo de compra, por familia de productos)
► Identificación de proveedores comunes, estimando poder de negociación relativo
Pág. 1429 de Abril de 2013 Módulo I: Sistema de Control Interno
Componente 2: Evaluación de riesgosDefinición de riesgo
Un Riesgo de Negocio es un hecho, una acción o una omisión que podría afectar adversamente la capacidad de una
organización de lograr sus objetivos de negocios y ejecutar sus estrategias con éxito.
En algunas circunstancias podría resultar ser una oportunidad.
► Riesgo = "¿Qué puede fallar?"
► El riesgo tiene dos componentes: ü probabilidad ü impacto
► El riesgo no desaparece por más que exista un control. El control sólo reduce el impacto o probabilidad de ocurrencia del riesgo.
► La ausencia de un control no es un riesgo.
Pág. 1529 de Abril de 2013 Módulo I: Sistema de Control Interno
Componente 2: Evaluación de riesgosCategorías de riesgosLos riesgos pueden provenir de diversas fuentes y afectar los objetivos de negocios de distintos niveles de la organización.
Integridad de la Información Financiera
Eficiencia y Eficacia de las Operaciones
Cumplimiento de Leyes y
Reglamentaciones
Origen de la Amenaza Efecto en laOrganización
Riesgos externos
Riesgosinternos
Riesgosinherentes
Riesgos deentidad
Riesgos deprocesos
Riesgos deactividades
Pág. 1629 de Abril de 2013 Módulo I: Sistema de Control Interno
Componente 2: Evaluación de riesgosCategorías de riesgos (cont.)Clasificación orientada a objetivos:
M Riesgos de Cumplimiento: se refiere a la falta de supervisión con respecto a las decisiones de la gerencia, su compromiso con las normas éticas y la competencia profesional, las políticas y los procedimientos, así como falta de cumplimiento de la normativa legal local.
M Riesgos Estratégicos: aquellos riesgos asociados a las decisiones estratégicas, tácticas y operativas, que impactan en los objetivos estratégicos de la Compañía.
M Riesgos Financieros / De Información: riesgos que impactan el logro de objetivos financieros (p.e. liquidez, estabilidad financiera, etc.), que pueden verse afectados si la información es incompleta o inexacta.
M Riesgos Tecnológicos: comprenden los riesgos asociados con la implementación y el uso de ciertas tecnologías (por ejemplo, plataformas de sistemas de TI o producción), y la capacidad de recuperar dichos recursos ante hechos catastróficos.
M Riesgos Operativos: aquellos riesgos que impactan el logro de objetivos de los procesos operativos de la Compañía, los cuales están alineados a la estrategia de la misma.
Pág. 1729 de Abril de 2013 Módulo I: Sistema de Control Interno
Impacto: Nivel de exposición financiera de la Compañía ante un riesgo, o cuantía de la pérdida financiera que se pudiera generar si ocurriera el evento de riesgo. Los niveles de impacto de carácter cuantititativo se obtienen del nivel de materialidadde la Compañía, considerando los saldos de las cuentas significativas de sus EstadosFinancieros.También se consideran en este criterio factores cualitativos que no pueden ser de fácil valorización, tales como el impacto respecto de la reputación e imagen de la Compañía, pérdidas humanas , etc.
Probabilidad: Grado de posibilidad de que ocurra el evento de riesgo en un período de tiempo determinado. Puede ser estimada en función a cuántas veces históricamente ha ocurrido el evento de riesgo en la Compañía o qué posibilidad existe de que ocurra en el futuro.
Componente 2: Evaluación de riesgosCriterios de evaluación de riesgos
Pág. 1829 de Abril de 2013 Módulo I: Sistema de Control Interno
Muy baja
Moderada
Muy alta
El evento no ha ocurrido pero podría presentarse al menos 1 vez en los siguientes 5 años
Mensual o menor
1,000 – 2,000
Impacto
Bajo - “Entre“
Moderado - “Entre”
Extremo - “Mayor a ”
250
2,000
En miles de S/.
5
M A A MA MAMuy alto impacto
B M A MA MAAlto impacto
Moderado impacto B M M A MA
Bajo impactoB B M A MA
Muy bajo impacto B B M M A
Muy baja Baja Moderada Alta Muy alta
1
2
3
4
5
Alto - “Entre”
500 – 1,000
Muy Bajo - “Menor a“
250 - 500
Alto
Bajo
5
1
2
3
4
5Probab.
Semestral o trimestral
1 vez al año
1 vez en los siguientes 3 años
Componente 2: Evaluación de riesgosEjemplos de criterios de evaluación de riesgos
Pág. 1929 de Abril de 2013 Módulo I: Sistema de Control Interno
Componente 2: Evaluación de riesgosMetodología para la evaluación de riesgos
II.Identificación de riesgos y
controles
I.Identificación de procesos
críticos y definición de criterios para la evaluación
de riesgos
III.Evaluación
de riesgos y controles
IV.Elaboración de Plan de Acción
V.Reporte de Resultados
• Revisión de • Revisión de estrategias, objetivos clave del negocio.
• Identificación de los procesos clave.
• Desarrollo de criterios para la evaluación de riesgos.
• Desarrollo de criterios para la evaluación de controles.
• Identificación de • Identificación de riesgos a nivel entidad y transaccionales.
• Definición del universo de riesgos.
• Identificación de controles.
• Identificación del • Identificación del riesgo inherente / bruto al que está expuesta la Entidad.
• Evaluación del diseño del control (configuración del control con respecto al riesgo que se está mitigando).
• Estimación del riesgo residual al que está expuesta la Compañía.
Alto
Medio
Bajo
AltoMedioBajo
1
2
3
4
5
6
7
89
10
11IMPACTO
P R O B A B I L I D A D
• Identificación de • Identificación de mejoras en los controles que mitiguen los riesgos a un nivel aceptado por la Entidad.
• Elaboración de un Plan de Acción
• Matriz de Riesgos y • Matriz de Riesgos y Controles.
• Plan de Acción.
Evaluación de Riesgos
Pág. 2029 de Abril de 2013 Módulo I: Sistema de Control Interno
Componente 2: Evaluación de riesgosEstrategias de tratamiento de riesgos
Son 6 las estrategias posibles de tratamiento de los riesgos:
• Explotar: aceptar niveles de riesgo altos para aprovechar oportunidades
• Retener: conservar el riesgo sin tomar ninguna acción adicional más que su adecuado monitoreo
• Reducir: establecer controles para disminuir la probabilidad de ocurrencia del riesgo• Evitar: dejar de realizar la actividad que genera el riesgo
• Transferir: transferir a un tercero la administración del riesgo
• Mitigar: establecer controles para disminuir el impacto del riesgo
Explotar
Evitar
Retener
Reducir
Transferir
Mitigar
Pág. 2129 de Abril de 2013 Módulo I: Sistema de Control Interno
Componente 2: Evaluación de riesgosFoco de revisión
A Revisar el Plan Integral de Gestión de Riesgos, así como los criterios de evaluación de riesgos
B Revisar la identificación de riesgos (incluyendo los de fraude)
C Revisar la evaluación (valoración) de riesgos
D Revisar las estrategias de respuesta a los riesgos
Explotar
Evitar
Retener
Reducir
Transferir
Mitigar
Pág. 2229 de Abril de 2013 Módulo I: Sistema de Control Interno
Componente 3: Actividades de controlDefinición de control
Se define Control como toda medida tomada para mitigar o gestionar el riesgo, y para que la probabilidad de que un negocio / proceso logre sus metas y objetivos
sea mayor.
Los controles son actividades incorporadas al proceso que ayudan a prevenir o detectar la ocurrencia de un evento de riesgo, a fin de cumplir los objetivos generales del negocio y del proceso:
Inicio Actividad 1 S/N
Actividad 2
Actividad 3
Actividad 4 Actividad 5 Fin
Modelo de Flujo de Proceso
Tareas que constituyenlas actividades de control
Pág. 2329 de Abril de 2013 Módulo I: Sistema de Control Interno
Componente 3: Actividades de control Categorías de controles
Tipos de control
Según la oportunidad en que se ejecuta el Control Según el grado de automatización
Preventivo: Actividad que ayuda a evitar que ocurra un riesgo.
Detectivo: Actividad que permite identificar errores luego de ocurrido el riesgo.
Manual: Actividad que depende de la habilidad de la persona para prevenir o detectar los errores ocurridos.
Semiautomático: Actividad que depende de la habilidad de la persona para prevenir o detectar los errores ocurridos utilizando información proveniente de un sistema.
Automático: Actividad que es realizada internamente por el sistema.
Pág. 2429 de Abril de 2013 Módulo I: Sistema de Control Interno
Componente 3: Actividades de control Evaluación de controles
La evaluación de los controles se realiza en dos (2) dimensiones:
► Diseño del control: Si el control está diseñado para reducir el riesgo identificado (está directamente relacionado con el riesgo).
► Efectividad operativa del control: Si el control funciona tal como fue diseñado, aplicándose sistemáticamente a todas las operaciones del proceso, y si, según datos confiables, logró corregir los errores de manera oportuna.
Pág. 2529 de Abril de 2013 Módulo I: Sistema de Control Interno
Componente 3: Actividades de control Evaluación de controles (cont.)
Riesgo Control - diseño inadecuado Control - diseño adecuadoQue no se depositen los fondos recaudados.
La conciliación bancaria es realizada por el Cajero.
Semanalmente, la conciliación bancaria es realizada por el Asistente Contable (no se encarga de los pagos ni recepción dedinero), dejando como evidencia su firma en el archivo excel correspondiente.
Ejemplo de evaluación de controles:
RiesgoControl – operatividad
inadecuadaControl - operatividad
adecuadaQue no se depositen los fondos recaudados.
-No hay evidencia de la ejecución de la conciliación.-No se evidencia la fecha de la ejecución de la conciliación o fue realizada con un mes de retraso.-Hay meses por los que no se realizó conciliación.-Se mantienen partidas de conciliación inapropiadas.
La conciliación ha sido realizada:-Por la persona indicada, evidenciándose con su firma en el documento correspondiente y en la oportunidad debida.-Se cuenta con evidencia de la ejecución y revisión.-No se mantienen partidas de conciliación inapropiadas.
Pág. 2629 de Abril de 2013 Módulo I: Sistema de Control Interno
Componente 3: Actividades de control Foco de revisión
A Revisar los procedimientos de autorización / aprobación y si se realizan análisis de segregación de funciones
B Revisar si se ha realizado una evaluación costo-beneficio de los controles
C Revisar si se han implementado controles de accesos a los recursos o archivos
D Revisar si se aplican verificaciones / conciliaciones, así como las entregas a rendir
E Revisar si los procesos están documentados y si son revisados (actualizados) periódicamente
q Información críticaq Equiposq Activos de TIq Archivo central
Pág. 2729 de Abril de 2013 Módulo I: Sistema de Control Interno
►La eficacia del Control Interno depende de la comunicación oportuna de expectativas y resultados.
►Las estrategias de comunicación son esenciales para adaptar el entorno a nuevas condiciones o actuar frente a deficiencias críticas.
Componente 4: Información y Comunicación
Gerencia
Comunicación ascendente
Unidades Funcionales / Personal
Proveedores
Comunicación descendente
v Funciones y características de la información
v Información y responsabilidad
v Calidad y suficiencia de la información
v Sistemas de información
v Flexibilidad al cambio
v Archivo institucional
v Comunicación interna
v Comunicación externa
v Canales de comunicación
Pág. 2829 de Abril de 2013 Módulo I: Sistema de Control Interno
Componente 4: Información y ComunicaciónFoco de revisión
A Revisar si se han definido las características de la información, así como la responsabilidad sobre ella
B Revisar si hay una integración de los sistemas de información con las operaciones clave
C Revisar si hay una cultura de flexibilidad al cambio
D Revisar si el archivo central cuenta con las condiciones de seguridad necesarios para la custodia de la información
E Revisar si se han definido e implementado políticas de comunicación interna y externa
q Información claveq Plazos de entrega internosq Nivel de exactitud y precisiónq Niveles de detalle y rigorq Mecanismos de recuperación de datos
Gerencia
PersonalCompañía
Pág. 2929 de Abril de 2013 Módulo I: Sistema de Control Interno
Componente 5: Monitoreo
Compromisos de
mejoramiento
Seguimiento de
resultados
Prevención y monitoreo1
2
3
► La prevención y monitoreo se debe efectuar sobre los diferentes documentos que regulen y sustenten el desarrollo de las actividades de la organización, sean éstos de gestión, operativos o de control.
► Ello con la finalidad de tener una seguridad razonable de que se van a cumplir con los objetivos así como aquellos relacionados con el control interno.
Implica:► Reportar las deficiencias, pues provee información necesaria para la mejora
continua de los procesos de la organización. Para ello se requiere registrar y comunicar las deficiencias de manera oportuna, a través de reportes, con la finalidad que se tomen acciones correctivas.
► Implementar y dar seguimiento a las medidas correctivas tomadas.
► Son las acciones necesarias para corregir las desviaciones encontradas en el sistema de control interno y en gestión de operaciones, al efectuarse la autoevaluación y la evaluación independiente.
Incluye tres (3) aspectos:
Pág. 3029 de Abril de 2013 Módulo I: Sistema de Control Interno
Componente 5: MonitoreoFoco de revisión
A Revisar si se han definido e implementado actividades de prevención y monitoreo
B Revisar si se han definido e implementado actividades de seguimiento de resultados
C Revisar si hay evidencia de compromisos de mejora
q Prevención y monitoreoq Monitoreo oportuno del control
interno
q Reporte de deficiencias
q Implantación y seguimiento de medidas correctivas
q Autoevaluaciónq Evaluaciones independientes
(Insert suitableslide here)
(Insert suitableslide here)
(Insert suitableslide here)
(Insert suitableslide here)
Módulo I: Sistema de Control Interno
29 de abril de 2013
Taller de Capacitación:Metodología para el Monitoreo del Sistema de Control Interno Empresas de la Corporación FONAFE