CONTROL INTERNO BASADO EN EL INFORME COSO
PDF created with pdfFactory trial version www.pdffactory.com
Alcance ยง Nuevos paradigmas. ยง Conceptos metodolรณgicos de COSO. ยง Bases de MEYCOR COSO AG, una herramienta para la implantaciรณn del control interno basado en COSO.
PDF created with pdfFactory trial version www.pdffactory.com
Informe COSO § En 1992, COSO publicó el Sistema Integrado de Control Interno, un informe que establece una definición común de control interno y proporciona un estándar mediante el cual las organizaciones pueden evaluar y mejorar sus sistemas de control.
PDF created with pdfFactory trial version www.pdffactory.com
El objetivo de COSO § Mejorar la calidad de la información financiera concentrándose en el manejo corporativo, las normas éticas y el control interno. § Unificar criterios ante la existencia de una importante variedad de interpretaciones y conceptos sobre el control interno.
PDF created with pdfFactory trial version www.pdffactory.com
Gestió Gesti ón del Riesgo empresarial (ERM) § “El control interno es una parte integral de la Administración del riesgo empresarial y está abarcado dentro de éste.” § “La Administración del riesgo empresarial es más amplia que el control interno, expandiendo y elaborando sobre el control interno para formar una concepción más robusta que se enfoca más sobre el riesgo.” § “El Marco Integrado Control Interno sigue siendo totalmente válido para las entidades y otros que ponen énfasis en el control interno.”
PDF created with pdfFactory trial version www.pdffactory.com
Basilea II § Incluye varios cambios que, si bien serán exigibles a principios de 2007, marcan un rumbo sobre el que hay que empezar. § Basilea I se centraba en el análisis de riesgos de crédito y de mercado. Ahora se aumenta la regulación de fondos propios exigidos por la normativa y la exposición al riesgo. § Se incluye la necesidad de tener en cuenta un nuevo riesgo: el riesgo operacional o sea el resultado de la pérdida derivada de fallos en los procesos internos, en la actuación de personas o de sistemas inadecuados o erróneos así como de factores externos. PDF created with pdfFactory trial version www.pdffactory.com
Conformidad con ley SARBANES OXLEY 搂 Utilizaci贸n de COSO, modelo del Gobierno Corporativo, y de COBIT, modelo del Gobierno de la Tecnolog铆a de la Informaci贸n, para lograr conformidad con la ley SARBANES-OXLEY
PDF created with pdfFactory trial version www.pdffactory.com
Conceptos Metodol贸gicos del INFORME COSO
Los nuevos conceptos del control interno en las organizaciones
PDF created with pdfFactory trial version www.pdffactory.com
Definición de Control Interno § Es un proceso que involucra a todos los integrantes de la organización sin excepción, diseñado para dar un grado razonable de apoyo en cuanto a la obtención de los objetivos en las siguientes categorías: ü Eficacia y eficiencia de las operaciones (O) ü Fiabilidad de la información financiera (F) ü Cumplimiento de las leyes y normas que son aplicables(C)
§ Estas tres categorías se interrelacionan entre sí.
PDF created with pdfFactory trial version www.pdffactory.com
¿Qué se puede obtener a través de COSO? § La definición de un marco de referencia aplicable a cualquier organización. § COSO considera que el control interno debe ser un proceso integrado con el negocio que ayude a conseguir los resultados esperados en materia de rentabilidad y rendimiento. § Trasmitir el concepto de que el esfuerzo involucra a toda la organización: desde la Alta Dirección hasta el último empleado. PDF created with pdfFactory trial version www.pdffactory.com
Componentes del Control Interno § Son 5 componentes (Entorno de control, Evaluación de los Riesgos, Actividades de control, Información y comunicación, y Supervisión) que interactúan entre si y están integrados al proceso de Dirección. § El sistema de control debe incorporarse de manera armónica con las actividades operativas de la organización. § Esto ayuda a que se fomente la calidad de la delegación de poderes, se eviten pérdidas y haya una respuesta rápida ante los cambios.
PDF created with pdfFactory trial version www.pdffactory.com
Entorno de Control § Es la base de los demás componentes, aportando disciplina y estructura. § Incluye: la integridad, los valores éticos y la capacidad de los empleados de la entidad, la filosofía de la Dirección y el estilo de gestión, la asignación de la autoridad y las responsabilidades, la organización y el desarrollo de los empleados y la orientación de la Dirección. PDF created with pdfFactory trial version www.pdffactory.com
Evaluaci贸 Evaluaci 贸n de los riesgos 搂 Primeramente deben identificarse los objetivos organizacionales, vinculados y coherentes. Luego deben identificarse y evaluarse los riesgos relevantes que pueden afectar el alcanzar esos objetivos. 搂 Los riesgos deben ser administrados, atendiendo a la existencia de un medio interno y externo cambiante.
PDF created with pdfFactory trial version www.pdffactory.com
Actividades de Control § Son las políticas y procedimientos que ayudan a asegurar que se toman las medidas para limitar los riesgos que pueden afectar que se alcancen los objetivos organizacionales. § Son ejemplos: autorizaciones, verificaciones, conciliaciones, segregación de funciones, revisiones de rentabilidad operativa, etc. PDF created with pdfFactory trial version www.pdffactory.com
Informació Informaci ón y Comunicació Comunicación § Se debe identificar, ordenar y comunicar en forma oportuna la información necesaria para que los empleados puedan cumplir con sus obligaciones. § La información puede ser operativa o financiera, de origen interno o externo. § Deben existir adecuados canales de comunicación. § El personal debe ser informado de la importancia de que participe en el esfuerzo de aplicar el control interno.
PDF created with pdfFactory trial version www.pdffactory.com
Supervisió Supervisi ón § Debe existir un proceso que compruebe que el sistema de control interno se mantiene en funcionamiento a través del tiempo. § La misma tiene tareas permanentes y revisiones periódicas. Estas últimas dependerán en cuanto a su frecuencia de la evaluación de la importancia de los riesgos en juego. PDF created with pdfFactory trial version www.pdffactory.com
Interrelació Interrelaci ón § La organización debe lograr cumplir con esas tres categorías de objetivos (O, F,C) ya vistas. § Los 5 componentes descriptos son acciones necesarias para lograr esos objetivos.
PDF created with pdfFactory trial version www.pdffactory.com
Limitaciones a atender § La confianza en el sistema de control interno no debe dejar de considerar que: üPueden existir fallas resultantes de errores de juicio. üLa colusión de dos o más personas o la acción de la Dirección pueden burlar el sistema. üEl sistema a diseñar debe explicitar las limitaciones de recursos (relación costo beneficio). PDF created with pdfFactory trial version www.pdffactory.com
Funciones y responsabilidades § La Alta Gerencia es la responsable última del sistema de control. La integridad y la ética deben ser elementos que aporten ejemplo a los demás empleados. Debe dirigir a los gerentes que a su vez son los responsables en sus respectivas áreas. § El Consejo de Administración fija las pautas y la visión global del negocio. El Consejo debe tener un papel activo en el conocimiento de las acciones que se ejecutan. Debe asegurarse de contar con vías de comunicación efectivas con la Alta Dirección y las áreas financieras, legales y de auditoría interna.
PDF created with pdfFactory trial version www.pdffactory.com
§ La Auditor Auditoríía Interna debe desempeñar un papel de supervisión sobre la eficiencia y permanencia de los sistemas de control. Para ello debe contar con una ubicación jerárquica adecuada. § Los empleados en general tienen la responsabilidad de participar en el esfuerzo de aplicar el control interno, cuyos detalles deben ser incorporados a la descripción de los puestos de trabajo. Ellos deben comunicar al nivel superior las desviaciones que detecten a los códigos de conducta, a las políticas establecidas o la legalidad de las acciones realizadas.
PDF created with pdfFactory trial version www.pdffactory.com
MEYCOR COSO AG § El Informe COSO define una estructura, un marco de referencia. § Dentro del mismo se debe analizar cómo interactuan los componentes en la realidad peculiar de cada organización. § Debe contarse con una herramienta que asista en el proceso de evaluación periódica y proactiva del sistema de control interno. § La evaluación puede querer centrarse en un solo objetivo (por ejemplo la información financiera). Puede también querer referirse a una unidad de la organización o a una actividad en particular. PDF created with pdfFactory trial version www.pdffactory.com
Matriz de COSO
PDF created with pdfFactory trial version www.pdffactory.com
Evaluació Evaluaci ón de los riesgos § Determinación de los Objetivos. § Objetivos globales (tales como la Misión). § Objetivos específicos de las diversas actividades (por ej. Producción), estos sub-objetivos medibles a través de metas deben ser coherentes.
PDF created with pdfFactory trial version www.pdffactory.com
Los objetivos deben ser: § Definidos de modo de identificar los criterios para medir el rendimiento y establecer factores críticos de éxito (que pueden ser a nivel de actividad o unidad operacional). § Coherentes y compatibles. § Como ejemplo se puede considerar: efectuar pagos sólo para compras autorizadas, que los sistemas informáticos se encuentren disponibles según los requerimientos del negocio, etc.
PDF created with pdfFactory trial version www.pdffactory.com
Los riesgos § La identificación y el análisis de riesgos es un proceso interactivo que involucra al personal responsable de cumplir con los objetivos fijados ya que es el más idóneo. § Los riesgos pueden ser el resultado del efecto de factores internos y externos, por ejemplo: las averías de los sistemas informáticos, los cambios en la responsabilidad de los directivos, etc. § Una vez identificados debe estimarse su importancia, evaluar la probabilidad de que impacte a la organización y qué medidas deben tomarse para atenuar sus efectos. PDF created with pdfFactory trial version www.pdffactory.com
Actividades de Control § Son políticas, procedimientos y acciones que afectan a una o más áreas de la organización. § Algunos ejemplos serían: üAnálisis efectuados por la Dirección. üGestión directa de los responsables. üProceso de información. üControles físicos. üIndicadores de rendimiento y segregación de funciones. PDF created with pdfFactory trial version www.pdffactory.com
Relacionamiento de los elementos § Las actividades de control, al enfrentar adecuadamente a los riesgos, ayudan a alcanzar los objetivos de los Departamentos y actividades, logrando asà alcanzar los objetivos del negocio.
PDF created with pdfFactory trial version www.pdffactory.com
Informació Informaci ón y comunicació comunicación § Debe asegurase que se obtenga información de calidad y no meros datos. § La información debe ser protegida ya que se trata de un activo valioso. § Las vías de comunicación interna deben asegurar que el personal conozca los elementos suficientes para cumplir con su tarea.
PDF created with pdfFactory trial version www.pdffactory.com
Supervisi贸n 搂 Las actividades de supervisi贸n continua y evaluaciones puntuales. 搂 Las deficiencias detectadas deben ser oportunamente comunicadas.
PDF created with pdfFactory trial version www.pdffactory.com
MEYCOR COSO AG Detalle de funcionalidades
PDF created with pdfFactory trial version www.pdffactory.com
Ingreso al sistema El sistema cuenta con un control de acceso al mismo compuesto por un login y una contraseña.
El Administrador (ADMIN) deberá conocer la herramienta y sus fundamentos teóricos, y a la hora de hacer los relevamientos podrá distribuir el acceso a los cuestionarios según el perfil de los revisores.
PDF created with pdfFactory trial version www.pdffactory.com
Menú Men ú Principal
El Menú Principal cuenta con una barra de herramientas que permite un acceso más directo a las opciones más usadas.
PDF created with pdfFactory trial version www.pdffactory.com
Grupos de trabajo y revisores
Se definen grupos de trabajo y los revisores que participar谩n en la revisi贸n. PDF created with pdfFactory trial version www.pdffactory.com
Guíía metodoló Gu metodológica
Existe una guía metodológica que facilita la aplicación de la metodología COSO. Esta guía contiene los pasos a seguir durante la evaluación, documentación, y accesos directos a los formularios donde la información debe ser ingresada. PDF created with pdfFactory trial version www.pdffactory.com
Cuestionarios Generales
Los cuestionarios generales de los 5 componentes pueden ser evaluados a diferentes niveles de la organizaci贸n. PDF created with pdfFactory trial version www.pdffactory.com
Formularios de Cuestionarios Generales
Los cuestionarios generales pueden ser generados en formato RTF (con ingreso manual de respuestas) o en formato HTML (con ingreso automรกtico de respuestas).
PDF created with pdfFactory trial version www.pdffactory.com
Cargar respuestas desde Formularios HTML
Este formulario le permite cargar las respuestas de los cuestionarios generales desde los formularios HTML. PDF created with pdfFactory trial version www.pdffactory.com
Sincronizaci贸 Sincronizaci 贸n de Evaluaciones OffOff-line
Este formulario le permite sincronizar las respuestas de los cuestionarios generales que los revisores hayan ingresado en bases off-line. PDF created with pdfFactory trial version www.pdffactory.com
Informe de Cuestionarios Generales
Permite evaluar los resultados de la revisión de los 5 componentes tanto a nivel numérico como gráfico, con diferente nivel de desagregación desagregación.. PDF created with pdfFactory trial version www.pdffactory.com
Comparación de Cuestionarios Comparació Generales
Permite comparar los resultados de la revisión entre sí y contra el promedio, tanto a nivel numérico como gráfico, con diferente nivel de desagregación. PDF created with pdfFactory trial version www.pdffactory.com
Comparació Comparaci ón de diferentes perí períodos
Permite comparar los resultados obtenidos en diferentes períodos tanto a nivel numérico como gráfico, con diferente nivel de desagregación. PDF created with pdfFactory trial version www.pdffactory.com
Codificaci贸 Codificaci 贸n de la estructura organizacional
Antes de comenzar la revisi贸n, se deben determinan los niveles que componen la estructura de la organizaci贸n. PDF created with pdfFactory trial version www.pdffactory.com
Organigrama
Se identifica el organigrama, definiendo los objetivos de cada รกrea y sus responsables.
PDF created with pdfFactory trial version www.pdffactory.com
Reporte del organigrama
PDF created with pdfFactory trial version www.pdffactory.com
Procesos y subsub-procesos
Se definen los procesos y sub-procesos y se los asigna a las unidades del organigrama correspondientes. PDF created with pdfFactory trial version www.pdffactory.com
Reporte de Procesos y SubSubprocesos
PDF created with pdfFactory trial version www.pdffactory.com
Asignaci贸 Asignaci 贸n de procesos
Se asignan los procesos y sub-procesos que ser谩n revisados por cada grupo de trabajo.
PDF created with pdfFactory trial version www.pdffactory.com
Ponderació Ponderaci ón de procesos
Los procesos y sub sub--procesos pueden ser ponderados y rankeados a efectos de determinar las actividades que son críticas para el negocio y que por tanto requieren mayor atención atención.. PDF created with pdfFactory trial version www.pdffactory.com
Ingreso de actividades de los procesos
Procesos y sub sub--procesos asignados a unidades. unidades. PDF created with pdfFactory trial version www.pdffactory.com
JerarquĂa de tareas que se realizan en el proceso. proceso.
Riesgos y Actividades de Control
Es posible marcar las actividades de control que luego serรกn auditadas
Se definen los objetivos de control, los riesgos y las actividades de control relativas a los procesos y sub-procesos a ser evaluados PDF created with pdfFactory trial version www.pdffactory.com
Selecci贸 Selecci 贸n de actividades de control a auditar
Mediante la utilizaci贸n de filtros es posible seleccionar dentro del universo de las actividades de control, aquellas que requieran ser auditadas PDF created with pdfFactory trial version www.pdffactory.com
Creació Creaci ón de proyectos de auditoríía auditor
Los usuarios supervisores pueden crear proyectos de auditoría. Para los proyectos se definen los auditores asignados y los objetivos de procesos que se van a auditar en el proyecto. PDF created with pdfFactory trial version www.pdffactory.com
Asignació Asignaci ón de objetivos y riesgos
El supervisor que creó un proyecto debe definir los objetivos que auditará cada auditor. Se definen también los riesgos de cada objetivo que serán alcanzados por el proyecto de auditoría.
PDF created with pdfFactory trial version www.pdffactory.com
Auditoríía de actividades de control Auditor Objetivos y riesgos a auditar según la asignación del auditor.
Registro de hallazgos.
Vinculación de archivos.
PDF created with pdfFactory trial version www.pdffactory.com
Registro de tareas realizadas.
Informe final de auditor auditoríía
Selección de observaciones que se incluyen en el informe final. Informe final de auditoría generado automáticamente.
PDF created with pdfFactory trial version www.pdffactory.com
C谩lculo de exposici贸 exposici贸n Impacto x Probabilidad de Riesgo Eval. Act. de Control MATRIZ DE RIESGOS Y CONTROL CONTROLES BUENO BR MALO RIESGO 4 2,5 1 16 4,00 6,40 16,00 10 2,50 4,00 10,00 6,25 1,56 2,50 6,25 4 1,00 1,60 4,00 2,5 0,63 1,00 2,50 1 0,40 1,00 0,25
PDF created with pdfFactory trial version www.pdffactory.com
Informe de Riesgos y Actividades de Control
Es posible ver la ponderaci贸n de riesgos y el resultado de la evaluaci贸n de las actividades de control existentes. Se eval煤a el cumplimiento de los objetivos de control, a efectos de determinar si ante los riesgos identificados, los mismos se encuentran adecuadamente cubiertos. PDF created with pdfFactory trial version www.pdffactory.com
Informe de Riesgos y Actividades de Control
Permite evaluar los resultados de la revisión de los objetivos tanto a nivel numérico como gráfico. PDF created with pdfFactory trial version www.pdffactory.com
Resumen de Riesgos y Actividades de Control
Permite visualizar en forma resumida los resultados de la revisi贸n de los objetivos y los factores de riesgos de los procesos PDF created with pdfFactory trial version www.pdffactory.com
Mapas de riesgos y grá gráficas de exposició exposici ón Mapa de riesgos según la probabilidad e impacto
Gráfica de exposición considerando la evaluación de los controles
PDF created with pdfFactory trial version www.pdffactory.com
Tratamiento de riesgos Se define el tratamiento que se da a los riesgos.
Seg煤n el tratamiento realizado se simula el cambio en la exposici贸n al riesgo. PDF created with pdfFactory trial version www.pdffactory.com
Definició Definici ón de proyectos de mejora
Los nuevos controles que se incluyen en el tratamiento se agrupan en proyectos de implantación.
Controles incluidos en el proyecto. PDF created with pdfFactory trial version www.pdffactory.com
Los proyectos se priorizan según el impacto y la relación costo-riesgo.
Comparació Comparaci ón de diferentes perí períodos
Permite comparar las evaluaciones de los procesos obtenidas en diferentes períodos tanto a nivel numérico como gráfico. PDF created with pdfFactory trial version www.pdffactory.com
Meycor COSO Web Publicació Publicaci ón, Distribució Distribución y Revisió Revisión de Documentos
El módulo web de Meycor COSO AG, facilita la publicación y distribución de documentos de manera sencilla, a la vez que permite emitir un juicio acerca de los mismos. PDF created with pdfFactory trial version www.pdffactory.com
Meycor COSO Web Respuesta a Cuestionarios Generales
Meycor COSO Web permite contestar los cuestionarios de autoevaluaci贸n de forma remota PDF created with pdfFactory trial version www.pdffactory.com
Prestaciones de MEYCOR COSO AG para personalizar y mejorar el detalle y la informaci贸n de la revisi贸n
PDF created with pdfFactory trial version www.pdffactory.com
§ Contiene una guía metodológica que facilita la aplicación de la metodología COSO y lo asiste durante todo el procesos de revisión. § Permite codificar los niveles jerárquicos de la organización para así determinar el organigrama de acuerdo a la nomenclatura de la misma. § Permite identificar los procesos y sub-procesos, efectuar un ranking de los mismos, así como asociarlos a las áreas correspondientes. § Permite la creación de grupos de trabajo y de revisores, que facilitan la distribución de las tareas. PDF created with pdfFactory trial version www.pdffactory.com
§ Permite asignar a los revisores privilegios de Administrador. § Contiene los objetivos, riesgos y actividades de control genéricos del Informe COSO. § Permite manejar varias cuestionarios generales.
versiones
de
los
§ Permite marcar las actividades de control que luego serán objeto de auditoría. § Permite el uso de ponderadores a nivel de procesos, objetivos y riesgos.
PDF created with pdfFactory trial version www.pdffactory.com
§ Permite evaluar los cuestionarios generales a cualquier nivel jerárquico. § Permite exportar todos los reportes a formato RTF, HTML y EXCEL. § Permite exportar todas las gráficas a formato BMP. § Genera formularios de evaluación cuestionarios generales en HTML.
de
§ Permite la sincronización de cuestionarios generales y evaluación de riesgos y actividades de control de bases off-line.
PDF created with pdfFactory trial version www.pdffactory.com
§ Permite acceso multi-usuario a la evaluación de riesgos y actividades de control. § Permite efectuar un ranking de los procesos. § Permite comparar los resultados de diferentes períodos. § Incluye ayuda en línea.
PDF created with pdfFactory trial version www.pdffactory.com
DATASEC IT Security & Control
Patria 716 - CP 11300 - Montevideo - Uruguay Tel: (5982) 711-58-78/ 711-04-20 Fax: (5982) 711-58-94 Web site: www.datasec-soft.com
PDF created with pdfFactory trial version www.pdffactory.com