Control interno coso

2.850 visualizaciones

Publicado el

Control Interno COSO

Publicado en: Economía y finanzas
0 comentarios
1 recomendación
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
2.850
En SlideShare
0
De insertados
0
Número de insertados
2
Acciones
Compartido
0
Descargas
67
Comentarios
0
Recomendaciones
1
Insertados 0
No insertados

No hay notas en la diapositiva.

Control interno coso

  1. 1. UNIVERSIDAD DE EL SALVADOR FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTADURIA PÚBLICA ENFOQUE DEL CONTROL INTERNO DEL COMITÉ DE LA ORGANIZACIÓN DE PATROCINIO DE LA COMISIÓN DE MARCAS (COSO). ASIGNATURA: AUDITORIA I CATEDRÁTICO: LIC. YOVANY ELISEO SANCHEZ GRUPO TEORICO: 01 GRUPO DE TRABAJO: 14 INTEGRANTES: CARNET No. : MENDEZ AGUILAR, MARIO ENRIQUE MA03052 MARIA ERNESTINA, NERIO GUEVARA, MARIA ELENA NG94005 TOBAR SARAVIA, BERTA PATRICIA TS03003 CICLO II-2006 CIUDAD UNIVERSITARIA, 20 DE SEPTIEMBRE DE 2006
  2. 2. Auditoria I Enfoque del Control Interno (COSO) 2 INDICE CONTENIDO PAG. Introducción . . . . . . . . . i Objetivos . . . . . . . . . . ii ENFOQUE DEL CONTROL INTERNO (COSO) . . . . . 6 ENFOQUE DEL CONTROL INTERNO SEGÚN EL COMITÉ DE LA ORGANIZACIÓN DE PATROCINIO DE LA COMISIÓN DE MARCAS (COSO) 7 1. INFORME DEL COMITÉ DE LA ORGANIZACIÓN DE PATROCINIO DE LA COMISIÓN DE MARCAS (COSO) . . . . . . 7 1.1. Antecedente del Informe del Comité de la Organización de patrocinio de la Comisión de Marcas (COSO) . . . . . . . . 7 1.2. Definiciones. . . . . . . . . . 8 1.2.1. Control Interno. . . . . . . . . 8 1.2.2. Definición del Control Interno según el Informe del Cómite de la Organización de Patrocinio de la Comisión de Marcas (COSO). . . . . 9 1.3. Objetivos del Informe COSO . . . . . . . 9 1.4. Importancia del COSO . . . . . . . 10 1.5. Beneficios del control interno . . . . . . . 11 1.6. Naturaleza del Control Interno . . . . . . . 11 1.7. Clasificación del Control Interno . . . . . . 11 1.8. Características del Control Interno . . . . . . 11 1.9. Participantes y Responsables de la Implementación del Control Interno . 13 1.10. Tipos de Control . . . . . . . . 14 1.11. Auditoria y Control Interno . . . . . . . 14 1.11.1. Tipos de Riesgos del Auditor. . . . . . . 15 1.11.2. Objetivos de la Auditoria Interna . . . . . . 16 1.12. Normativa Técnica del Control Interno (COSO) . . . . 16 2. COMPONENTES DEL CONTROL INTERNO . . . . . 17 2.1. Ambiente de Control . . . . . . . . 18 2.1.1. Integridad y Valores Éticos . . . . . . . 19 2.1.2. Competencia Profesional . . . . . . . 19 2.1.3. Atmósfera de Confianza Mutua . . . . . . 20 2.1.4. Filosofía y Estilo de la Dirección . . . . . . 20 2.1.5. Misión, Objetivos y Políticas . . . . . . . 21 2.1.6. Organigrama . . . . . . . . . 21 2.1.7. Asignación de Autoridad y Responsabilidad . . . . . 22
  3. 3. Auditoria I Enfoque del Control Interno (COSO) 3 2.1.8. Políticas y Practicas En Personal . . . . . . 23 2.1.9. Comité de Control . . . . . . . . 23 2.2. Evaluación del Riesgo . . . . . . . . 24 2.2.1. TIPOS DE RIESGOS . . . . . . . . 26 2.2.2. Factores de Riesgo . . . . . . . . 26 2.2.3. Estimación del Riesgo . . . . . . . . 28 2.2.4. Determinación de los Objetivos de Control . . . . . 29 2.2.5. Detección del Cambio . . . . . . . . 29 2.3. Actividades de Control . . . . . . . . 30 2.3.1. Tipos de actividades de control . . . . . . 30 2.3.2. Políticas y procedimientos. . . . . . . . 32 2.3.3. Evaluación de riesgos por medio de las actividades de control. . . 33 2.3.4. Controles sobre los sistemas de información. . . . . 33 2.4. Información y Comunicación . . . . . . . 35 2.4.1. Comunicación interna. . . . . . . . 37 2.4.2. Comunicación externa. . . . . . . . 37 2.5. Monitoreo (Supervisión o Vigilancia) . . . . . . 37 2.5.1. Actividades de supervisión continuada . . . . . 38 2.5.2. Evaluaciones puntuales . . . . . . . 38 2.5.3. Alcance y frecuencia . . . . . . . . 38 2.5.4. Implementación del Control Interno . . . . . . 38 3. EL INFORME . . . . . . . . . 40 3.1. Etapas de La Revisión y Evaluación del Control Interno Informe Coso . 41 3.1.1. Revisión Del Sistema . . . . . . . . 43 3.1.2. Evaluación . . . . . . . . . 44 3.1.3. Obtención de Información para la Evaluación de Control Interno . . 44 3.1.4. Evaluación Definitiva del Control Interno . . . . . 45 4. EVOLUCIÓN DEL COSO . . . . . . . 46 4.1. Concepto COSO según la Administración de Riesgos Corporativos de acuerdo al Marco Gestión Integral de Riesgo (ERM). . . . . 47 4.2. Componentes del Informe COSO según el Marco Integrado de Administración de Riesgos Corporativos (ERM) . . . . . . 48 4.3. Vinculación entre el marco ERM y el Marco Integrado de Control Interno . 55 Conclusiones . . . . . . . . . iii Bibliografía . . . . . . . . . iv Anexos . . . . . . . . . . v • Anexo 1 . . . . . . . . vi
  4. 4. Auditoria I Enfoque del Control Interno (COSO) 4 INTRODUCCION El control interno es parte integral de una empresa para que esta pueda desarrollarse en el medio ambiente que la rodea y a la vez pueda tener cierto grado de control sobre una diversidad de factores que podrían influir en su desempeño. En el mundo existen diversos enfoques sobre el control interno, pero uno de los que actualmente esta tomando un mayor auge es el diseñado por el COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO), integrado por cinco organizaciones. El control interno COSO se fundamenta en un proceso efectuados por personas en todos los niveles de la organización. La implementación de este control interno busca que los objetivos de la empresa se cumplan de la mejor manera posible, ayudando a aumentar la eficiencia, la confiabilidad de los estados financieros y al cumplimiento de las leyes. El presente trabajo esta basado en El control interno COSO versión 1992, el cual está integrado por cinco elementos que interactúan entre sí, los cuales son ambiente de control, evaluación de riesgos, actividades de control, información y comunicación y monitoreo. Al final se tocarán algunos aspectos importantes de la nueva versión del COSO de 2004 para un mayor conocimiento para la profesión de Auditoria.
  5. 5. Auditoria I Enfoque del Control Interno (COSO) 5 OBJETIVOS. GENERAL • Dar a conocer los aspectos más importantes del control diseñado por el Comité de la Organización de Patrocinio de la Comisión de Marcas (COSO). ESPECIFICOS • Definir el control interno COSO, así como la importancia que este tiene en las empresas. • Explicar los objetivos básicos que tiene el control interno COSO. • Desarrollar los cinco elementos que conforman la estructura del control interno COSO. • Identificar las partes que componen la estructura básica del informe COSO. • Mostrar la evolución del control interno COSO de 1992 a su última versión de 2004.
  6. 6. Auditoria I Enfoque del Control Interno (COSO) 6
  7. 7. Auditoria I Enfoque del Control Interno (COSO) 7 ENFOQUE DEL CONTROL INTERNO SEGÚN EL COMITÉ DE LA ORGANIZACIÓN DE PATROCINIO DE LA COMISIÓN DE MARCAS (COSO). 1. INFORME DEL COMITÉ DE LA ORGANIZACIÓN DE PATROCINIO DE LA COMISIÓN DE MARCAS (COSO). 1.1.Antecedente del Informe del Comité de la Organización de patrocinio de la Comisión de Marcas (COSO). Durante mucho tiempo se ha considerado la importancia del Control Interno para la administración y auditores independientes. En octubre de 1987 la National Comission on Fraudulent Financial (Treadway Comisión) Publico un informe en el que enfatiza la importancia del control Interno para producir la incidencia de información financiera fraudalenta. Posteriormente el ASB emitió el SAS 55 “Evaluación de la Estructura del Control Interno en una auditoria de Estados financieros. Este SAS amplia el concepto de Control interno mas allá del comprendido en anteriores SAS y explica las responsabilidades del auditor en un trabajo de auditoria. El SAS 55 fue corregido por el SAS 78 que entro en vigencia el 1 de enero de 1997, debido a que el ASB pensó que es apropiado conocer la definición y descripción del control interna contenida en el informe de COSO, para proporcionar adecuadamente y en tiempo, una guía útil a los auditores. El informe de COSO sobre control interno, surgió como una respuesta a las inquietudes que planteaban la diversidad de conceptos, definiciones e interpretaciones existente en toro a la temática referida. Plasma los resultados de la tarea realizada durante más de cinco años por el grupo de trabajo que la TREADWAY COMMISSION, NATIONAL COMMISSION ON FRAUDULENT FINANCIAL REPORTING creó en Estados Unidos en 1985 bajo la sigla COSO (COMMITTEE OF SPONSORING ORGANIZATIONS).
  8. 8. Auditoria I Enfoque del Control Interno (COSO) 8 El grupo estaba constituido por representantes de las siguientes organizaciones: Asociación Americana de Contabilidad (American Accounting Association) (AAA) Instituto Americano de Contadores Publico (American Institute of Certified Public Accountants) (AICPA) Instituto de ejecutivos Financieros (Financial Executive Institute) (FEI) Instituto de Auditores Internos (Institute of Internal Auditors) (IIA) Instituto de Administración y Contabilidad (Institute of Management Accountants) (IMA) La redacción del informe fue encomendada a Coopers & Lybrand. Fue Publicado en 1992, hace recomendaciones a los contables de gestión de cómo evaluar, informar e implementar sistemas de control, teniendo como objetivo de control la efectividad y eficiencia de las operaciones, la información financiera y el cumplimiento de las regulaciones que explica en los componentes del ambiente de control, valoración de riesgos, actividades de control, información y comunicación, y el monitoreo. Existen en la actualidad 2 versiones del Informe COSO. La versión del 1992 y la versión del 2004. La Versión 2004, no es otra cosa que una ampliación del Informe original, para dotar al Control Interno de un mayor enfoque hacia el Enterprise Risk Management, o gestión del riesgo. Para este trabajo se tomara como base a la versión 1992, pero se tocaran algunos puntos de la versión 2004, para ver cuales han sido los cambios o ampliaciones que se han dado del informe COSO. 1.2. Definiciones 1.2.1. Control Interno Es un proceso efectuado por el consejo de administración, la dirección y el resto de personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable sobre el logro de los objetivos de la organización. El control interno constituye una serie de acciones que se extienden por todas las actividades de las dependencias y entidades, el cual permite un funcionamiento adecuado de los procesos.
  9. 9. Auditoria I Enfoque del Control Interno (COSO) 9 Cualquier medida que tome la dirección, el Consejo y otras partes, para gestionar los riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidos. 1.2.2. Definición del Control Interno según el Informe del Comité de la Organización de Patrocinio de la Comisión de Marcas (COSO). Se define como un proceso efectuado por el Consejo de la Administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos. Este es un Modelo internacional de Control Integral, diseñado para apoyar a la dirección en un mejor control de su organización. Provee un estándar, como fundamento para la evaluación del control interno e identificar las “mejores prácticas” aplicables. La definición proporciona una base para evaluar la efectividad del control interno. Esta definición refleja ciertos conceptos fundamentales. El control interno es un proceso. Constituye un medio para un fin, no un fin en si mismo. El control interno es ejecutado por personas. No son solamente manuales de políticas y formas, sino personas en cada nivel de una organización. Del control interno pueden esperarse que proporcione solamente seguridad razonable, no seguridad absoluta, a la administración y al concejo de una entidad. El control interno esta engranado para la consecución de objetivos en una o mas categorías separadas pero interrelacionadas. 1.3. Objetivos del Informe COSO El Informe COSO alcanzan los 3 objetivos principales siguientes: 1. Eficacia y eficiencia de las operaciones 2. Fiabilidad de la información financiera 3. Cumplimiento de las leyes y normas que sean aplicables. Al realizar una auditoria es conveniente descomponer los 3 objetivos anteriores en los siguientes: Eficacia de las operaciones Eficiencia de las operaciones
  10. 10. Auditoria I Enfoque del Control Interno (COSO) 10 Fiabilidad de la información financiera Fiabilidad de la información operativa y de gestión Salvaguardia de los activos Cumplimiento de las leyes y normas aplicables, tanto internas como externas a la empresa. El primero de los 3 objetivos anteriores se refiere a los objetivos del negocio, entendidos en términos de rentabilidad y rendimiento de las operaciones de la empresa u organización. El segundo objetivo pretende garantizar que la empresa disponga de información financiera cierta, fiable y, muy importante, que esta información se obtenga tempestivamente, eso es, cuando sea necesaria y útil. En este sentido, la fiabilidad de la información no es solo una garantía frente a tercero, sino una exigencia de la dirección, ya que sin esta información, no seria posible tomar decisiones empresariales acertadas. El tercer objetivo se refiere al cumplimiento de todas aquellas normas o reglas a las que se encuentre sujeta la empresa. El Control Interno favorece entonces que una empresa consiga sus objetivos de rentabilidad, rendimiento y minimice las perdidas de recursos; favorece que la empresa disponga de información fiable y a tiempo; y por ultimo favorece que la empresa cumpla con la ley y otras normas que le son de aplicación. Para lograr estos 3 objetivos, el sistema de Control Interno se basa (según la propuesta del Informe COSO) en 5 elementos o componentes, que representan lo que se necesita para garantizar el éxito del sistema. Es evidente que para cada uno de los 3 objetivos, todos los componentes deben estar funcionando correctamente. 1.4. Importancia del COSO Incorporo en una sola estructura conceptual los distintos enfoques existentes en el ámbito mundial y genero un consenso entre los empresarios, los legisladores, los reguladores y otros. Actualiza la practica del control interno, lo mismo que los procesos de diseño, implantación y evaluación. Ayuda a evitar peligros y sorpresas (riesgos) en el camino.
  11. 11. Auditoria I Enfoque del Control Interno (COSO) 11 1.5. Beneficios del control interno Es necesario que exista una cultura de control interno en toda la organización, que permita el cumplimiento de los objetivos generales de control. Sus beneficios incluyen: Ayudar a los directivos al logro razonable de las metas y objetivos institucionales Integrar e involucrar al personal con los objetivos de control Ayudar al personal a medir su desempeño y por ende, a mejorarlo Contribuir a evitar el fraude Facilitar a los directivos la información de cómo se han aplicado los recursos y cómo se han alcanzado los objetivos 1.6. Naturaleza del Control Interno El Control Interno abarca el plan de Organización y los métodos coordinados y medidas adoptadas dentro de la empresa para salvaguardar sus activos, verificar la adecuación y fiabilidad de la información de la contabilidad, promover la eficacia operacional y fomentar la adherencia a las políticas establecidas de dirección. 1.7. Clasificación del Control Interno a. Control Interno Administrativo Esta constituido por el plan de organización, los procedimientos y registros que conciernen a los procesos de decisión, que conducen a la autorización de las transacciones por parte de los niveles jerárquicos superiores, de tal manera que fomenten la eficiencia en las operaciones, la observancia de políticas y normas prescritas y el logro de las metas y objetivos programados. b. Control Interno Contable Comprende el plan de organización, procedimientos y registros concernientes a la custodia de recursos financieros, la verificación de la exactitud, confiabilidad y oportunidad de los registros e informes financieros. 1.8. Características del Control Interno El Control Interno cuenta con cinco características:
  12. 12. Auditoria I Enfoque del Control Interno (COSO) 12 1. Plan de Organización La estructura de una Organización variara dependiendo de la naturaleza de la naturaleza de la empresa, su método de funcionamiento, tamaño, número de componentes de la Organización y su distribución geográfica, pero lo que tiene en común éstas es que aspiran a contar con unos planes de organización satisfactorios. Para que esto se cumpla debe contar con dos requisitos básicos los cuales se describen de la siguiente manera: Independencia de la Organización Un plan de organización satisfactorio permitirá una separación adecuada de las funciones operacionales, de custodia, contabilidad y auditoria interna. Debería existir una distribución de responsabilidades de forma que los registros que se mantienen fuera de cada departamento sirvan de control sobre las actividades de los mismos. Además, contempla la custodia de los activos, y la contabilización o el registro de las transacciones relacionadas con ellos. Líneas de Responsabilidad Dentro de los departamentos deben de existir definiciones inequívocas de las responsabilidades, de acuerdo con las normas y procedimientos globales establecidos por la dirección. Además debe existir una correcta delegación de autoridad a individuos específicos con el fin de que éstos cumplan con sus responsabilidades de una forma eficiente y eficaz. 2. Sistema de Procedimientos de Autorización y Registro Esta característica consiste en que al diseñar el sistema, es importante que los formatos y procedimientos establecidos permitan la revisión y autorización de todas las transacciones antes de que éstas queden registradas en los libros de contabilidad de la empresa. Los formatos utilizados por ésta deben estar prenumerados y contabilizados para asegurarse de que queden incluidas todas las transacciones ejecutadas en el sistema contable. El catálogo de cuentas y el manual de contabilidad constituyen también unos componentes esenciales del sistema. Las cuentas incluidas en el catálogo constituyen el marco básico de todo el sistema de contabilidad y facilitan la recopilación y clasificación de las diversas transacciones. El manual de contabilidad describe los conceptos de autoridad, responsabilidad y obligaciones,
  13. 13. Auditoria I Enfoque del Control Interno (COSO) 13 así como perfila el método con que realizarse el trabajo de contabilidad para alcanzar los objetivos de la empresa de la forma más eficaz y económica. 3. Prácticas de Sondeo Consiste en incluir la división de obligaciones y el sistema de procedimientos de autorización y registro, se incluye también los diversos procedimientos, de comprobación de errores que deben realizarse en relación con el mantenimiento de los registros de la empresa. 4. Calidad del Personal Esta consiste en que las anteriores características para que sean eficaces, los empleados claves y la gerencia de una empresa deben ser competentes para cumplir con sus obligaciones de manera eficaz. Por lo tanto, la calidad debe incluir la ética, inteligencia, dedicación y responsabilidad de un individuo. 5. Sistema Fiable Consiste en diseñar sin ningún problema cualquier sistema mediante organigramas complejos, manuales voluminosos y declaraciones detalladas de los procedimientos operacionales, pero si la gerencia no hace que funcione como se había proyectado, entonces este sistema tan laborioso existe únicamente sobre el papel. 1.9. Participantes y Responsables de la Implementación del Control Interno Internamente las responsabilidades sobre el control corresponden conforme a lo siguiente: Consejo de Administración. Establece no sólo la misión y los objetivos de la organización, sino también las expectativas relativas a la integridad y los valores éticos. Son responsables de diseñar, instalar e implementar los controles, así como de mantenerlos y modificarlos, cuando sea necesario. Gerencia: Debe asegurar que existe un ambiente propicio para el control. Área financieros. entre otras cosas, apoyan la prevención y detección de reportes financieros fraudulentos. Comité de Auditoria: Es el órgano que no sólo tiene la facultad de cuestionar a la Gerencia en relación con el cumplimiento de sus responsabilidades, sino también asegurar que se tomen las medidas correctivas necesarias.
  14. 14. Auditoria I Enfoque del Control Interno (COSO) 14 Comité de Finanzas: Contribuye cumpliendo con la responsabilidad de evaluar la consistencia de los presupuestos con los planes operativos. auditoria Interna: A través del examen de la efectividad y adecuación del sistema de control interno y mediante recomendaciones relativas a su mejoramiento. Área Jurídica: Llevando a cabo la revisión de controles y otros instrumentos legales, con el fin de salvaguardar los bienes de la Empresa. Personal de la Organización: Mediante la ejecución de las actividades que tiene cotidianamente asignadas y tomando las acciones necesarias para su control. También siendo responsable de comunicar cualquier problema que se presente en las operaciones, incumplimiento de normas o posibles faltas al código de conducta y otras violaciones. Extremadamente la participación de las entidades externas consiste en lo siguiente: Auditores Independientes: Proporcionan al Consejo de Administración y a la Gerencia un punto de vista objetivo e independiente, que contribuye al cumplimiento del logro de los objetivos de los reportes financieros, entre otros. Autoridades (Ejecutivas/Legislativas): Participan mediante el establecimiento de requerimientos de control interno, así como en el examen directo de las operaciones de la Organización, haciendo recomendaciones que lo fortalezcan. 1.10. Tipos de control Se diseñan para cumplir varias funciones: Preventivos Anticipan eventos no deseados antes de que sucedan Detectivos Identifican los eventos en el momento en que se presentan Correctivos Aseguran que las acciones correctivas sean tomadas para revertir un evento no deseado 1.11. Auditoria y Control Interno La Auditoria Interna se centra en los siguientes aspectos de control interno: Confiabilidad, integridad y oportunidad de la información, Cumplimiento de las disposiciones legales vigentes,
  15. 15. Auditoria I Enfoque del Control Interno (COSO) 15 Protección de Activos Uso eficiente y económico de los recursos Logro de Objetivos y Metas de operaciones o programas De aplicarse el Enfoque COSO la Auditoria Interna dejaría de ser una función de informe sobre hechos pasados, pasando a ser una función proactiva. 1.11.1. Tipos de Riesgos del Auditor El riesgo que el auditor dé una opinión de auditoria inapropiada cuando los estados financieros estén elaborados en forma errónea de una manera importante. Los Componentes del riesgo del auditor están: riesgo inherente, riesgo de control y riesgo de detección. Riesgo inherente Es la susceptibilidad del saldo de una cuenta o clase de transacciones a una representación errónea que pudiera ser de importancia relativa, individualmente o cuando se agrega con representaciones erróneas en otras cuentas o clases, asumiendo que no hubo controles internos relacionados. Riesgo de Control Es el riesgo de que una representación errónea que pudiera ocurrir en el saldo de cuenta o clase de transacciones y que pudiera ser de importancia relativa individualmente o cuando se agrega con representaciones erróneas en otros saldos o clases, no sea prevenido o detectado y corregido con oportunidad por los sistemas de contabilidad y de control interno. Riesgo de detección Es el riesgo de que los procedimientos sustantivos de un auditor no detecten una representación errónea que existe en un saldo de una cuenta o clase de transacciones que podría ser de importancia relativa, individualmente o cuando se agrega con representaciones erróneas en otros saldos o clases.
  16. 16. Auditoria I Enfoque del Control Interno (COSO) 16 1.11.2. Objetivos de la Auditoria Interna Creación de valor en forma constante. Identificación de riesgos, evaluación de los mismos y buscar mecanismos que los reduzcan a su mínima expresión. Promover dentro de la empresa el entendimiento y aprendizaje de estos mecanismos. Los Auditores Internos son quienes deben asesorar sobre “la mejor forma de hacer las cosas” y controles a aplicar en cada caso. 1.12. Normativa Técnica del Control Interno (COSO): La normativa técnica en el cual esta regulado el informe COSO Control Interno tenemos: a. Planeación (NIA’s Sección 300) Comprensión de los sistemas de contabilidad y de control interno Políticas contables adoptadas por la entidad y los cambios en esas políticas El efecto de pronunciamientos nuevos de contabilidad y auditoria El conocimiento acumulable del auditor sobre los sistemas de contabilidad y de control interno y el relativo énfasis que se espera se ponga en las pruebas de procedimientos de control y otros procedimientos sustantivos b. Evaluación del Riesgo y Control Interno (NIA’s Sección 400) En esta NIA su finalidad es proporcionar lineamientos para obtener una comprensión de los sistemas de contabilidad y de control interno y sobre el riesgo de auditoria y sus componentes: riesgo inherente, riesgo de control y riesgo de detección, además de lo siguiente: El sistema de control interno El ambiente de control. Actitud global, conciencia y acciones de los directores y a su administración respecto del sistema de control interno y su importancia en la entidad Procedimientos de control. Aquellas políticas y procedimientos además del ambiente de control que la administración ha establecido para lograr los objetivos específicos de la entidad c. Las Normas Técnicas de Control Interno Emitidas Por la Corte de cuentas de La Republica de El Salvador; Organismo Rector Del Sistema De Control Y Auditoria De La Gestión Pública. Que Fue Publicado En 29 De Septiembre De 2004.
  17. 17. Auditoria I Enfoque del Control Interno (COSO) 17 AAMMBBIIEENNTTEE DDEE CCOONNTTRROOLL EVALUACION DE RIESGOS ACTIVIDADES DE CONTROL MMOONNIITTOORREEOO INFORMACIÓN Las normas técnicas de control interno constituyen el marco básico que establece la Corte de Cuentas de la República, aplicable con carácter obligatorio, a los órganos, instituciones, entidades, sociedades y empresas del sector público y sus servidores. (De ahora en adelante “Instituciones del Sector Público” .(Para el resumen de esta norma ver Anexo 1) 2. COMPONENTES DEL CONTROL INTERNO Los componentes del control interno según el enfoque COSO son los siguientes: El sistema de control interno definido por el informe de COSO ésta basado en cinco componentes: Ambiente de Control Valoración de Riesgos Actividades de Control Información y Comunicación Monitoreo o Vigilancia A continuación se presenta un esquema de cómo esta estructurado los componente del informe COSO: COMUNICACION
  18. 18. Auditoria I Enfoque del Control Interno (COSO) 18 Breve explicación del esquema. El control del medio ambiente. Establece el tono de la organización, influenciando la conciencia del control de su gente. Es la base para el resto de los componentes del Control Interno, proporcionando disciplina y estructura. La valoración de riesgos. Es la identificación y el análisis de los riesgos relevantes que puedan afectar el cumplimiento de los objetivos establecidos, con el fin de diseñar un plan que permita decidir como se deben administrar dichos riesgos Las actividades de control. Son las políticas y procedimientos que ayudan a asegurar que las directrices de la gerencia son llevadas a cabo. Estas ayudan a asegurarse que son tomadas las acciones necesarias para controlar los riesgos y que se logren los objetivos de la entidad. Información y comunicación. La información pertinente se debe identificar, capturar y comunicar en forma y tiempo que permita a los empleados llevar a cabo sus responsabilidades. Los sistemas de información producen reportes, sobre la operación, situación financiera y el cumplimiento con leyes y regulaciones, que hacen posible el operar y controlar el negocio El monitoreo. Es el proceso de evaluación del diseño y operación de los controles por parte del personal apropiado, siendo en tiempo y tomando acciones necesarias. Esto aplica a todas las actividades dentro de la organización y algunas veces también a los contratistas externos. 2.1. AMBIENTE DE CONTROL El ambiente de control proporciona una atmósfera en la cual la gente conduce sus actividades y cumple con sus responsabilidades. Además sirve de fundamento para los otros componentes. Este componente tiene incidencia generalizada en la estructuración de las actividades empresariales, en el establecimiento de objetivos y en la evaluación de los riesgos, asimismo influye en las actividades de control, los sistemas de información y comunicación y alas actividades de supervisión.
  19. 19. Auditoria I Enfoque del Control Interno (COSO) 19 El ambiente de control considera una serie de factores que se comenta a continuación: 2.1.1. Integridad y Valores Éticos La autoridad superior del organismo debe procurar , difundir, internalizar y vigilar la practica de valores éticos aceptados, que constituyan un sólido fundamento moral para su conducción y operación. Tales valores deben enmarcar la conducta de funcionarios y empleados, orientando su integridad y compromiso personal. Los valores éticos son esenciales para el Ambiente de Control. El sistema de Control Interno se sustenta en los valores éticos, que definen la conducta de quienes lo operan. Estos valores éticos pertenecen a una dimensión moral y, por lo tanto, van más allá del mero cumplimiento de las Leyes, Decretos, Reglamentos y otras disposiciones normativas. El comportamiento y la integridad moral encuentran su red de sustentación y su caldo de cultivo en la cultura del organismo. Esta determina, en gran medida, cómo se hacen las cosas, que normas y reglas se observan. Si se tergiversan o se eluden. En la creación de una cultura apropiada a estos fines juega un papel principal la Dirección Superior del organismo, la que con su ejemplo contribuirá a construir o destruir diariamente este requisito de control interno. 2.1.2. Competencia Profesional Los directivos y empleados deben caracterizarse por poseer un nivel de competencia que les permita comprender la importancia del desarrollo, implantación y mantenimiento de controles internos apropiados. Tanto directivos como empleados deben: Contar con un nivel de competencia profesional ajustado a sus responsabilidades Comprender suficientemente la importancia, objetivos y procedimientos del control interno. Los métodos de contratación de personal deben asegurar que el candidato posea el nivel de preparación y experiencia que se ajuste a los requisitos especificados. Una vez incorporado, el
  20. 20. Auditoria I Enfoque del Control Interno (COSO) 20 personal debe recibir la orientación, capacitación y adiestramiento necesarios en forma práctica y metódica. El Sistema de Control Interno operará más eficazmente en la medida que exista personal competente que comprenda los principios del mismo. 2.1.3. Atmósfera de Confianza Mutua Debe fomentarse una atmósfera de mutua confianza para respaldar el flujo de información entre la gente y su desempeño eficaz hacia el logro de los objetivos de la organización. La confianza mutua respalda el flujo de información que la gente necesita para tomar decisiones y entrar en acción. Respalda, además, la cooperación y la delegación que se requieren para un desempeño eficaz tendiente al logro de los objetivos de la organización. La confianza está basada en la seguridad respecto de la integridad y competencia de la otra persona o grupo. La comunicación abierta crea y depende de la confianza dentro de la organización. Un alto nivel de confianza estimula a la gente para que se asegure que cualquier tema de importancia sea de conocimiento de más de una persona. El compartir tal información fortalece el control reduciendo la dependencia de la presencia, el juicio y la capacidad de una única persona. 2.1.4. Filosofía y Estilo de la Dirección La Dirección Superior debe transmitir a todos los niveles de la organización, de manera explícita, contundente y permanente, su compromiso y liderazgo respecto de los controles internos y los valores éticos. La Dirección Superior y las Gerencias deben hacer comprender, a todo el personal, que las responsabilidades del control interno deben asumirse con seriedad, que cada miembro cumple un rol importante dentro del Sistema de Control y que cada rol está relacionado con los demás. La filosofía y el estilo de la Dirección influencian y traducen la manera en la que el organismo es conducido. Son ejemplos: la transparencia de la gestión, la postura ante las innovaciones y el aprendizaje, la forma de resolver los problemas y medir los desempeños y resultados.
  21. 21. Auditoria I Enfoque del Control Interno (COSO) 21 La actitud de interés de la Dirección, por un control interno efectivo, debe penetrar la organización. Las declamaciones no son suficientes. Es necesario sustentarlas con acciones y actitudes concretas. De esta forma los empleados se desempeñarán en un ambiente que les facilite tanto la comprensión y respeto por el control interno, como la motivación para la sugerencia de medidas que fomenten su perfeccionamiento. 2.1.5. Misión, Objetivos y Políticas La Misión, los Objetivos y las Políticas de cada organismo deben estar relacionados y ser consistentes entre sí, debiendo estar especificados en documentos oficiales. Dichos documentos deberán ser adecuadamente difundidos a la comunidad y a todos los niveles organizacionales. En el primer caso, como antecedente para la posterior rendición de cuenta. En el segundo, como medio de conseguir el cumplimiento de las acciones organizacionales en la persecución de aquellos. Una organización qué desconoce que es, hacia donde va, y que medios utilizará en el camino, marcha a la deriva y con pocas posibilidades de éxito. En esta condición el control interno carecería de sus más importantes fundamentos y tan sólo se limitaría a la verificación del cumplimiento de ciertos aspectos formales. La Misión indica: ¿Qué somos? ¿Para qué estamos? ¿Qué necesidades servimos? Generalmente esta fijada en las Leyes, Decretos, Cartas Orgánicas o Estatutos. Los objetivos indican: ¿Hacia dónde se va? ¿Cuál es nuestro propósito? Son definidos periódicamente en los planes de acción y presupuestos. Las Políticas delimitan la acción. Definen: ¿Cuáles son los medios preferidos? ¿Qué valoramos? ¿Qué restricciones les imponemos? 2.1.6. Organigrama Todo organismo debe desarrollar una estructura organizativa qué atienda el cumplimiento de la misión y objetivos, la que deberá ser formalizada en un Organigrama.
  22. 22. Auditoria I Enfoque del Control Interno (COSO) 22 La estructura organizativa, formalizada en un organigrama, constituye el marco formal de autoridad y responsabilidad en el cual las actividades que se desarrollan en cumplimiento de los objetivos del organismo, son planeadas, efectuadas y controladas. Lo importante es que su diseño se ajuste a sus necesidades, esto es que proporcione el marco organizacional adecuado para llevar a cabo la estrategia disertada para alcanzar los objetivos fijados. Lo apropiado de la estructura organizativa podrá depender, por ejemplo, del tamaño del organismo 2.1.7. Asignación de Autoridad y Responsabilidad Todo organismo debe complementar su Organigrama, con un Manual de Organización, en el cual se debe asignar la responsabilidad, las acciones y los cargos, a la par de establecer las diferentes relaciones jerárquicas y funcionales para cada uno de estos. El Ambiente de Control se fortalece en la medida en que los miembros de un organismo conocen claramente sus deberes y responsabilidades. Ello impulsa a usar la iniciativa para enfrentar y solucionar los problemas, actuando siempre dentro de los límites de su autoridad. Existe una nueva tendencia de derivar autoridad hacia los niveles inferiores, de manera que las decisiones queden en manos de quienes están más cerca de la operación. Un aspecto crítico de esta corriente es el límite de la delegación: hay que delegar tanto cuanto sea necesario pero solamente para mejorar la probabilidad de alcanzar los objetivos. Toda delegación conlleva la necesidad de que los jefes examinen y aprueben, cuando proceda, el trabajo de sus subordinados y que ambos cumplan con la debida rendición de cuentas de sus responsabilidades y tareas. Para que sea eficaz un aumento en la delegación de autoridad se requiere un elevado nivel de competencia en los delegatarios, así como un alto grado de responsabilidad personal. Además, se deben aplicar procesos efectivos de supervisión de la acción y los resultados por parte de la Dirección.
  23. 23. Auditoria I Enfoque del Control Interno (COSO) 23 2.1.8. Políticas y Practicas En Personal La conducción y tratamiento del personal del organismo debe ser justa y equitativa, comunicando claramente los niveles esperados en materia de integridad, comportamiento ético y competencia. Los procedimientos de contratación, inducción, capacitación y adiestramiento, calificación, promoción y disciplina, deben corresponderse con los propósitos enunciados en la política. El personal es el activo más valioso que posee cualquier organismo. Por ende, debe ser tratado y conducido de forma tal que se consigna su más elevado rendimiento. Debe procurarse su satisfacción personal en el trabajo que realiza, propendiendo a que en este se consolide como persona, y se enriquezca humana y técnicamente. La Dirección asume su responsabilidad en tal sentido, en diferentes momentos: Selección: al establecer requisitos adecuados de conocimiento, experiencia e integridad para las incorporaciones. Inducción: al preocuparse para que los nuevos empleados sean metódicamente familiarizado con las costumbres y procedimientos del organismo. Capacitación: al insistir en que sean capacitados convenientemente para el correcto desempeño de sus responsabilidades. Rotación y promoción: al procurar que funcione una movilidad organizacional que signifique el reconocimiento y promoción de los más capaces e innovadores. Sanción: al adoptar, cuando corresponda, las medidas disciplinarias que transmitan con rigurosidad que no se tolerarán desvíos del camino trazado. 2.1.9. Comité de Control En cada organismo deberá constituirse un Comité de Control integrado, al menos, por un funcionario del máximo nivel y el auditor interno titular. Su objetivo general es la vigilancia del adecuado funcionamiento del Sistema de Control Interno y el mejoramiento continuo del mismo. La existencia de un Comité con tal objetivo refuerza el Sistema de Control Interno y contribuye positivamente al Ambiente de Control.
  24. 24. Auditoria I Enfoque del Control Interno (COSO) 24 Para su efectivo desempeño debe integrarse adecuadamente, esto es, con miembros que generen respeto por su capacidad y trayectoria, que exhiban un apropiado grado de conocimiento y experiencia que les permita apoyar a la dirección del organismo mediante su guía y supervisión. 2.2. Evaluación del Riesgo Consiste en la identificación y análisis de los riesgos relevantes que enfrenta un organismo en la persecución de sus objetivos, ya sean de origen interno como externo. Formando una base para la determinación de cómo estos deben administrarse. Antes que todo, deben definirse los objetivos a fin de que la administración pueda identificar los riesgos ay tomar las acciones necesaria para administrarlos. La identificación del riesgo es un proceso interativo, y generalmente integrado a la estrategia y planificación. En este proceso es conveniente "partir de cero", esto es, no basarse en el esquema de riesgos identificados en estudios anteriores. Su desarrollo debe comprender la realización de un "rastreo" del riesgo, que incluya la especificación de los dominios o puntos claves del organismo, la identificación de los objetivos generales y particulares, y las amenazas y riesgos que se pueden tener que afrontar. Un dominio o punto clave del organismo, puede ser: Un proceso que es crítico para su sobrevivencia; Una o varias actividades que sean responsables de la entrega de porciones importantes de servicios a la ciudadanía; Un área que esta sujeta a Leyes, Decretos o Reglamentos de estricto cumplimiento, con amenazas de severas sanciones por incumplimiento; Un área de vital importancia estratégica para el Gobierno (ejemplo: defensa, investigaciones tecnológicas de avanzada).
  25. 25. Auditoria I Enfoque del Control Interno (COSO) 25 Al determinar estas actividades o procesos claves, fuertemente ligados a los objetivos del organismo, debe tenerse en cuenta que pueden existir algunos de éstos que no están formalmente expresados, lo cual no debe ser impedimento para su consideración. Existen muchas fuentes de riesgos, tanto internas como externas. A título puramente ilustrativo se pueden mencionar, entre las externas: Desarrollos tecnológicos que en caso de no adoptarse, provocarían obsolescencia organizacional; Cambios en las necesidades y expectativas del cliente o usuario; Modificaciones en la legislación y normas regulatorias que conduzcan a cambios forzosos en la estrategia y procedimientos; Alteraciones en el escenario económico que impacten en el presupuesto del organismo, sus fuentes de financiamiento y su posibilidad de expansión. Entre las internas, podemos citar: La estructura organizacional adoptada, dado la existencia de riesgos inherentes típicos tanto en un modelo centralizado como en uno descentralizado; La calidad del personal incorporado, así como los métodos para su instrucción y motivación; La propia naturaleza de las actividades del organismo. Una vez identificados los riegos a nivel del organismo, deberá practicarse similar proceso al nivel de programa y actividad. Se considerará, en consecuencia, un campo más limitado, enfocado a los componentes de las áreas y objetivos claves identificadas en el análisis global del organismo. Los pasos siguientes al diagnóstico realizado son los de la estimación del riesgo y la determinación de los objetivos de control
  26. 26. Auditoria I Enfoque del Control Interno (COSO) 26 2.2.1. TIPOS DE RIESGOS 2.2.2. Factores de Riesgo Medio Ambiente Grado de comunicación, interacción y consulta que tiene el negocio Estilo de administración. Presión de la competencia. Velocidad en que se abren nuevos mercados. Presión que ejercen los superiores para el logro de objetivos. Riesgos de mercado por tipos de cambio, tasas de interés, Capacidad del Personal Grado de especialidad requerida. Grado de conocimiento que tiene el personal operativo, acerca de las funciones y necesidades del puesto. Riesgos de mercado Exposición en términos de intervalos de confianza Simulación de administración de portafolios por cambios en moneda y tasas de interés Desarrollo de pruebas de contingencia Riesgo Operacional Tamaño y estructura de la organización de la oficina de enfrente (donde se realiza la transacción) Tamaño y estructura de la organización de la oficina de atrás (donde se procesan, controlan, confirman y se evalúan las transacciones) Riesgos de Liquidez o Financiación Habilidad de la entidad para obtener fondos Estrategia para manejar circunstancias Elaboración de presupuestos Sistemas de información Riesgos Legal Se identifica tipos y fuentes de riesgo legal Capacidad legal Revisión de contratos Cumplimiento de leyes Riesgos de Crédito Valoración de garantías Políticas de aprobación de créditos (limites) Recuperación efectiva Revisión ongoin Riesgos de Liquidez del mercado Amplitud oferta / demanda Oportunidades de liquidación o liberación de transacciones
  27. 27. Auditoria I Enfoque del Control Interno (COSO) 27 Integridad del Personal Calidad moral de los responsables del negocio / actividad. Cultura, costumbres, idiosincrasia de la región, etc. Proceso de selección y reclutamiento del personal. Actitud y disponibilidad de acuerdo a las necesidades del trabajo. Tamaño y liquidez de los activos Cercanía y facilidades reales que tienen los activos del negocio / actividad de convertirse en efectivo. Importancia de los activos en cada área. Volumen de transacciones Grado de Sistematización. Incremento de operaciones. Complejidad o volatilidad de las operaciones. Condiciones económicas Nivel de resultados cuantitativos y cualitativos del negocio, unidad, región y actividad. Oportunidades de disponer de recursos para adquirir las herramientas necesarias para desarrollar sus trabajos. Dispersión geográfica Ubicación del negocio / actividad con respecto a la localización geográfica de la oficina matriz. Adecuación y efectividad de los sistemas de control interno Cambios en la operación Cambios recientes en personal clave. Crecimiento acelerado. Cambios de procedimientos.
  28. 28. Auditoria I Enfoque del Control Interno (COSO) 28 Cambios en la tecnología Nueva tecnología. Presión por la dirección para ser punta de lanza. 2.2.3. Estimación del Riesgo Se debe estimar la frecuencia con que se presentarán los riesgos identificados, así como también se debe cuantificar la probable pérdida que ellos pueden ocasionar. Una vez identificados los riegos al nivel de organismo y de programa de actividad, debe procederse a su análisis. Los métodos utilizados para determinar la importancia relativa de los riesgos pueden ser diversos, e incluirán como mínimo: Una estimación de su frecuencia, o sea la probabilidad de ocurrencia. Una valoración de la perdida que podría resultar. En general, aquellos riesgos cuya concreción esté estimada como de baja frecuencia, no justifican preocupaciones mayores. Por el contrario, los que se estima de alta frecuencia deben merecer preferente atención. Entre estos extremos se encuentran casos que deben ser analizados cuidadosamente, aplicando elevadas dosis de buen juicio y sentido común. Existen muchos riesgos dificultosos de cuantificar, que como máximo se prestan a calificaciones de "grande", "moderado" o "pequeño". Pero no debe cederse a la difundida inclinación de conceptuarlos rápidamente como "no medibles". En muchos casos, con un esfuerzo razonable, puede conseguirse una medición satisfactoria. Esto se puede expresar matemáticamente en la llamada Ecuación de la Exposición: En donde: PE = Pérdida Esperada o Exposición, expresada en pesos y en forma anual. F = Frecuencia, veces probables en que el riesgo se concrete en el año. V = Pérdida estimada para cada caso en que el riesgo se concrete, expresada en pesos. PE = F x V
  29. 29. Auditoria I Enfoque del Control Interno (COSO) 29 2.2.4. Determinación de los Objetivos de Control Luego de identificar, estimar y cuantificar los riesgos, la Dirección Superior y las Gerencias deben determinar los objetivos específicos de control y, con relación a ellos, establecer los procedimientos de control más convenientes. Una vez que la Dirección Superior y las Gerencias han identificado y estimado el nivel de riesgo, deben adoptarse las medidas para enfrentarlo de la manera más eficaz y económica posible. Se deberán establecer los objetivos específicos de control del organismo, que estarán adecuadamente articulados con sus propios objetivos globales y sectoriales. En función de los objetivos de control determinados, se seleccionarán las medidas o salvaguardas que se estimen más efectivas al menor costo, para minimizar la exposición. 2.2.5. Detección del Cambio Todo organismo debe disponer de procedimientos capaces de captar e informar oportunamente los cambios registrados o inminentes en el ambiente interno y externo, que puedan conspirar contra la posibilidad de alcanzar sus objetivos en las condiciones deseadas. Una etapa fundamental del proceso de Evaluación del Riesgo es la identificación de los cambios en las condiciones del medio ambiente en que el organismo desarrolla su acción. Un sistema de control puede dejar de ser efectivo al cambiar las condiciones en las cuales opera. A este proceso de identificar cambios efectivos o potenciales con vistas a adoptar las decisiones oportunas, se lo denomina gestión de cambio. Requiere un sistema de información apto para captar, procesar y transmitir información relativa a los hechos, eventos, actividades y condiciones que originan cambios ante los cuales el organismo debe reaccionar. Esto es identificar causas potenciales que faciliten o impidan alcanzar los objetivos, calcular la probabilidad de su ocurrencia, evaluar sus probables efectos, y considerar el grado en que el riesgo puede ser controlado o la oportunidad aprovechada. A título de ejemplo se señalan algunas condiciones que deben merecer particular atención:
  30. 30. Auditoria I Enfoque del Control Interno (COSO) 30 Cambios en el contexto externo: legislación, reglamentos, programas de ajuste, tecnología cambios de autoridades, etc. Crecimiento acelerado: un organismo que crece a un ritmo demasiado rápido está sujeto a muchas tensiones internas y a presiones externas. Nuevas líneas de productos o servicios: la inversión en la producción de nuevos bienes o servicios generalmente ocasiona desajustes en el Sistema de Control Interno, el que debe ser revisado. Reorganizaciones: generalmente significan reducciones de personal que ocasionan, si no son racionalmente practicadas, alteraciones en la separación de funciones y en el nivel de supervisión. Creación del sistema de información o su reorganización: puede llegar a generar un período de exceso o defecto en la información producida, ocasionando en ambos casos la probabilidad de decisiones incorrectas. El proceso de gestión de cambio es crítico para el Sistema de Control Interno y no debe ser obviado en ninguna circunstancia. 2.3. Actividades de Control Las actividades de control consisten en las políticas y los procedimientos que aseguran que se cumplen las directrices de la administración. También tienden a que se tomen las medidas necesarias para hacerle frente a los riesgos que ponen en peligro la consecución de los objetivos de la entidad. Las actividades de control se llevan a cabo en cualquier parte de la organización, en todas las funciones de cada uno de los niveles y comprende una serie de actividades tan diferentes como pueden ser aprobaciones y autorizaciones, verificaciones, conciliaciones, el análisis de los resultados de las operaciones, la salvaguarda de activos y la segregación de funciones. 2.3.1. Tipos de actividades de control Existen muchas descripciones de tipos de actividad de control que incluye desde controles preventivos, defectivos, manuales, informativos y de dirección.
  31. 31. Auditoria I Enfoque del Control Interno (COSO) 31 Algunas de las actividades de control que son desarrolladas por el personal de todos los niveles de organización son los siguientes: a) Análisis efectuados por la dirección. Este trata de realizar un análisis de los resultados obtenidos de las operaciones económicas de una entidad, comprobándolos con los presupuestos, las previsiones, los resultados de ejercicios anteriores y de los competidores, con el fin de evaluar en que medida se están alcanzando los objetivos. Para esto, la dirección realiza un seguimiento de las iniciativas principales como campaña b) Gestión directa de funciones por actividades. Los responsables de las diversas funciones o actividades revisan los informes sobre los resultados alcanzados. En el caso de un banco por ejemplo, el responsable de los prestamos para consumo analiza los informes obtenidos por: región, sucursal, y tipo de prestamos; Además también verifica resúmenes, identifica las tendencias y relaciona los resultados con las estadísticas económicas y los objetivos. c) Proceso de información. Se realiza una serie de controles para comprobar la exactitud, totalidad y autorización de las transacciones. Por ejemplo, el pedido de un cliente no se acepta hasta después de su comprobación a través del archivo de clientes y del límite de crédito aprobado. Las anomalías que requieren un seguimiento son analizadas por el personal administrativo y son transmitidas a los responsables cuando resulta necesario. d) Controles físicos. Los equipos de fabricación, las inversiones financieras, la tesorería y otros activos son objeto de protección y periódicamente se someten a recuentos físicos cuyos resultados se comparan con las cifras que figuran en los registros de control. e) Indicadores de rendimientos. El análisis combinado de diferentes conjuntos de datos (operativos o financieros) junto con la puesta en marcha de acciones correctivas, constituye actividad de control. Los indicadores de
  32. 32. Auditoria I Enfoque del Control Interno (COSO) 32 rendimiento incluyen por ejemplo, las fluctuaciones de los precios de compra, el porcentaje de pedidos urgente y la proporción de las devoluciones sobre el total de pedidos. Mediante la investigación de los resultados inesperados o las tendencias anormales, la dirección identifica las circunstancias en la que existe el peligro de que no se consigan los objetivos establecidos. f) Segregación de funciones. Esta consiste en repartir las tareas entre los empleados con el fin de reducir el riesgo de que se cometan errores o irregularidades. Por ejemplo, se separan las responsabilidades de autorizar transacciones, de registrarlas y de gestionar los activos correspondientes. La persona que autoriza la venta a crédito no será responsable de los registros contables de la cuenta de clientes o de gestionar los ingresos en efectivo. 2.3.2. Políticas y procedimientos. Las actividades de control generalmente se apoyan en dos elementos: las políticas que determinan lo que debería de hacerse (constituyen la base del segundo elemento) y los procedimientos necesarios para llevar a cabo las políticas. A menudo las políticas se comunican verbalmente. Las políticas pueden ser eficaces aunque no estén escritas en situaciones donde hacen referencias a prácticas muy asimiladas y conocidas y en pequeñas empresas donde las vías de comunicación solo implican un número limitado de responsabilidad, lo cual facilita la interacción y supervisión del personal. Con independencia de que una política se establezca o no por escrito, hay que implantarla de forma seria, concienzuda y coherente. Un procedimiento no será útil si se lleva a cabo de forma mecánica, sin concentrarse en el objetivo por el que se ha establecido la política. Asimismo, es importante que las condiciones identificadas como resultados de la aplicación de los procedimientos se investiguen y que se lleven a cabo las acciones correctivas apropiadas.
  33. 33. Auditoria I Enfoque del Control Interno (COSO) 33 2.3.3. Evaluación de riesgos por medio de las actividades de control. La dirección debe de elaborar planes para afrontar los riesgos. Una vez que sean identificados, estas acciones también serán útiles para definir las operaciones de control que se aplicaran para garantizar su ejecución de forma correcta, y en el tiempo deseado. Dichas acciones son parte esencial del proceso mediante el cual una empresa intenta lograr sus objetivos de explotación. Estas actividades de control sirven como mecanismos para asegurar el cumplimiento de los objetivos. Por ejemplo, las actividades podrían incluir tanto el seguimiento del desarrollo de las ventas por cliente comparándolo con el calendario previsto como las medidas adoptadas para garantizar la exactitud de la información obtenida. En este sentido, el control es un elemento integrado en el proceso de gestión. 2.3.4. Controles sobre los sistemas de información. Los sistemas de información desempeñan un papel fundamental en la gestión de las empresas, deben necesariamente estar controladas, independientemente de su tamaño o de la información que generan, sean estas de naturaleza financiera o relativas a las actividades. Las actividades de control pueden agruparse en dos relativas categorías. La primera abarca los controles generales, que son aplicables a muchas o a todas las operaciones y que ayudan a asegurar el correcto funcionamiento. La segunda incluye controles de aplicación que incluye los procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso de los diferentes tipos de transacciones. Estos controles pueden ser: a) Controles generales. Estos controles habitualmente incluyen: 1. Controles sobre las operaciones del centro de proceso de datos. Estos incluyen la organización y la planificación de trabajos, las intervenciones del operador, los procesos de salvaguarda y de recuperación de datos, así como los planes de emergencia.
  34. 34. Auditoria I Enfoque del Control Interno (COSO) 34 En un entorno sofisticado, estos controles también incluyen la planificación de la capacidad productiva y la distribución y el uso de los recursos. En un ambiente de una tecnología de punta, la planificación de trabajos se efectúa de forma automática, pero el operador puede intervenir en todo momento. b) Controles de aplicación. Estos controles están diseñados para controlar el funcionamiento de las aplicaciones. Permiten asegurar la totalidad y exactitud en el proceso de transacciones, su autorización y su validez. Hay que prestar especial atención a las interfaces de las aplicaciones, ya que, a menudo, están conectadas con otros sistemas que a su vez, requieren controles para asegurar que se procesan todos los datos y que todas las salidas de datos se distribuyen adecuadamente. Una de las contribuciones más importantes de los ordenadores a los sistemas de control es su capacidad de evitar que se introduzcan errores en el sistema, además de detectarlos y corregirlos una vez dentro. Muchos controles de aplicación dependen de comprobaciones de edición informatizadas, que consisten en comprobaciones de formato, existencia, razón habilidad de datos y otras comprobaciones que se incorporan en cada aplicación durante su desarrollo. Si estas comprobaciones están diseñadas correctamente, pueden ayudar a controlar los datos que se introduzcan en el sistema. c) Relación entre controles generales y controles de aplicación. Los controles de sistemas generales y de aplicación están relacionados entre sí. Los controles generales con necesarios para asegurar el funcionamiento adecuado de los controles de aplicación que dependen de los procesos informáticos. La relación entre los controles de aplicación y los generales consiste en que estos son indispensables para el funcionamiento de los controles de aplicación, y que ambos son necesarios para garantizar el proceso completo y correcto de la información.
  35. 35. Auditoria I Enfoque del Control Interno (COSO) 35 d) Evaluación de las actividades de control. Estas actividades tienen que evaluarse en el contexto de las directrices establecidas por la dirección para afrontar los riesgos relacionados con los objetivos de cada actividad importante. La evaluación por lo tanto, tendrá en cuenta si las actividades de control están relacionadas con el proceso de evaluación de riesgo y si son apropiadas para asegurar que las directrices de la administración se cumplen. Dicha evaluación se efectuara para cada actividad importante, incluidos los controles generales de los sistemas informáticos. Las personas encargadas de efectuar la evaluación tendrán en cuenta no solamente si las actividades de control empleadas son relevantes en base al proceso de evaluación de riesgos realizados, sino también si se aplican de manera correcta. 2.4. Información y Comunicación La información se requiere en todos los niveles de una organización, para llevar a cabo la gestión de la empresa y el progreso hacia los objetivos en todas las categorías, operaciones, información financiera y de cumplimiento. Es imprescindible que la dirección disponga de datos fiables a la hora de efectuar la planificación, preparar presupuestos, fijar precios, etc. Los datos relativos a las operaciones son fundamentales para la formulación de los estados financieros; ya sea que tengan origen interno como externo, o si es de carácter financiero o no es relevante para todas las categorías de objetivos. Los sistemas de información le permiten identificar, recoger, procesar y divulgar datos. Generalmente se utiliza dicho término para denominar el procesamiento de datos generados internamente relativos a las transacciones y a las actividades operarias internas. Sin embargo este componente incorpora además la información sobre hechos, actividades y factores externos. Los sistemas de información pueden ser formales e informales, pues las conversiones con clientes, proveedores, organismos de control y empleados proporcionan parte de la información más vital para poder identificar riesgos y oportunidades.
  36. 36. Auditoria I Enfoque del Control Interno (COSO) 36 Para ser eficiente, no deben únicamente identificar y recoger la información necesaria (financiera y no financiera), sino que también ha de procesarla y comunicarla en forma y plazo oportuno para que sea útil en el control de las actividades de la entidad. Estrategias y sistemas integrados. Los sistemas de información generalmente constituyen una parte integral de las actividades operativas, permitiendo recoger información necesaria para tomas las decisiones en cuanto a la implementación de controles y además considera llevar a cabo iniciativas estratégicas, como algo nuevo. Las empresas utilizan la tecnología para comprender y satisfacer las necesidades del mercado haciendo caso de sistemas para apoyar estrategias empresariales preactivas más que reactivas. Se debe considerar al momento de seleccionar e implantar la tecnología varios elementos: objetivos organizativos, las necesidades del mercado, las exigencias competitivas y el soporte que proporcionara en los controles. La calidad de la información que se genera por un sistema afecta la capacidad de tomar decisiones adecuadas al gestionar y controlar las actividades de una entidad, los sistemas modernos incorporan una opción para que se pueda obtener en todo momento datos actualizados. Para que la información se considere con calidad debe comprender las siguientes características: Utilidad. Se refiere a que la información puede ser efectivamente usada en la toma de decisiones de los usuarios, dado que es importante y que ha sido presentada en forma oportuna. Confiabilidad. Consiste en que el usuario la acepte y la utiliza para tomas decisiones en ella, la confianza que este le otorga requiere que las operaciones del sistema sean estables, objetiva y confiable. Provisionalidad. Significa que la información no reporta hechos totalmente terminados.
  37. 37. Auditoria I Enfoque del Control Interno (COSO) 37 La comunicación es inherente a los sistemas de información, por lo que debe ser amplia para que pueda abordar las expectativas y responsabilidades de las personas, grupos y otras situaciones importantes. 2.4.1. Comunicación interna. Se debe dar a conocer la información necesaria para llevar a cabo las actividades de todo el personal, específicamente los empleados con responsabilidades importantes en la gestión, deben de recibir el mensaje claro desde la alta dirección y tomar en serio las funciones afectas al control interno, ya que la claridad del mensaje como la eficacia de la comunicación es muy importante especificando cada función concretamente, porque cada persona tiene que entender los aspectos relevantes del sistema de control interno, como funcionan los mismos y saber cual es su papel y responsabilidad en el sistema. 2.4.2. Comunicación externa. La comunicación recibida de terceros (accionistas, instituciones de control, analistas financieros, etc.), proporciona información importante y acorde a las necesidades sobre el funcionamiento del control interno; de modo que se pueda entender el entorno y los riesgos de la entidad, presentando datos significativos que son pertinentes y oportunos, cumpliendo con los correspondientes registros legales. Medios de comunicación. Existen diversos medios para transmitir la comunicación dentro de una entidad: a. Manuales de políticas, memorias, avisos en pizarras o mensajes de video; materializándose en estas formas. b. Mensajes que se transmiten verbalmente; la entonación y el lenguaje corporal sirven para dar énfasis. c. La actuación de la dirección al tratar con sus subordinados. 2.5. Monitoreo (Supervisión o Vigilancia) El proceso de supervisión garantiza que el control interno continua funcionando adecuadamente, comprendiendo la evaluación, la manera en que se han diseñando, el funcionamiento y la forma
  38. 38. Auditoria I Enfoque del Control Interno (COSO) 38 en que se adaptan las medidas necesarias, aplicándose a todas las actividades dentro de la entidad y muchas veces también a externos contratados. Las operaciones de supervisión se materializan en dos formas: Actividades de supervisión continua Evaluaciones puntuales Normalmente los sistemas de control interno, aseguran en mayor o menor medida su propia supervisión, por lo que cuando mayor sea el nivel y la eficacia de supervisión continua, menor será la necesidad de evaluaciones puntuales. 2.5.1. Actividades de supervisión continuada La variedad de actividades que permiten efectuar un seguimiento de la eficacia del control interno en el desarrollo normal del negocio, comprende actividades corrientes de gestión, supervisión comparaciones, conciliaciones y otras tareas rutinarias. 2.5.2. Evaluaciones puntuales Al realizar un replanteamiento del sistema de control interno, muchas veces, resulta útil ya que se verifica la continuidad de la eficacia de los procedimientos que se llevan a cabo en la supervisión continuada. 2.5.3. Alcance y frecuencia Dentro de las evaluaciones del control interno varían según la magnitud de los riesgos objeto de control y la importancia para la reducción de aquellos, por lo que los controles que actúan sobre los riesgos de mayor prioridad y los mas críticos para a redacción de un determinado riesgo serán objeto de evaluación con mas frecuencia. El alcance de la evaluación dependerá de cual de las categorías de objetivos van enfocados (operacionales, de información financiera o de cumplimiento) 2.5.4. Implementación del Control Interno Es el proceso que evalúa la calidad del funcionamiento del control interno en el tiempo y permite al sistema reaccionar en forma dinámica, cambiando cuando las circunstancias así lo requieran.
  39. 39. Auditoria I Enfoque del Control Interno (COSO) 39 Debe orientarse a la identificación de controles débiles, insuficientes o necesarios, para promover su reforzamiento. El monitoreo se lleva a cabo de tres formas: Durante la realización de las actividades diarias en los distintos niveles de la entidad. De manera separada, por personal que no es el responsable directo de la ejecución de las actividades (incluidas las de control). Mediante la combinación de ambas modalidades. Los elementos que conforman el monitoreo de actividades son: Monitoreo del rendimiento; Revisión de los supuestos que soportan los objetivos del control interno; Aplicación de procedimientos de seguimiento; y, Evaluación de la calidad del control interno. Monitoreo del rendimiento- El rendimiento debe ser monitoreado comparando las metas e indicadores identificados con los objetivos y planes de la entidad. El monitoreo del rendimiento de las operaciones ofrece una oportunidad para aprender de la experiencia. El logro de los objetivos en forma rápida o lenta con relación a lo planeado, puede indicar la necesidad de revisar los objetivos o modificarlos por la propia entidad. Revisión de los supuestos que soportan los objetivos - Los objetivos de la entidad y los elementos del control interno necesarios para obtener su logro apropiado, descansan en supuestos fundamentales acerca de como se realiza el trabajo. Si los supuestos de la entidad son incorrectos, el control puede ser inefectivo. Por ello, tales supuestos que sustentan los objetivos de una entidad deben revisarse periódicamente. Aplicación de procedimientos de seguimiento - Los procedimientos de seguimiento deben ser establecidos y ejecutados para asegurar que cambios o acciones apropiadas ocurren. Evaluación de la calidad del control interno - La gerencia debe monitorear periódicamente la efectividad del control interno en su entidad para retroalimentar el proceso de gestión de la entidad. Adicionalmente, utiliza los Informes de auditoria Interna como un insumo que le permite disponer la corrección de las desviaciones afectan el logro de los objetivos del control interno.
  40. 40. Auditoria I Enfoque del Control Interno (COSO) 40 3. El Informe del Control Interno COSO Las estructura del informe COSO, esta formado por los siguiente elementos: Resumen Ejecutivo Objetivo de la Auditoria Ambiente de Control Valorización del Riesgo Actividades de Control Información / comunicación Monitoreo Los elementos del Informe esta compuesto por: a. OBJETIVO OPERACIONES, Uso del efectivo y eficiente uso de los recursos INFORMACIÓN FINANCIERA, Preparación de Estados Financieros CUMPLIMIENTO, La entidad en cuanto a las leyes y regulaciones aplicables b. ANALISIS DE LOS COMPONENTES A CADA UNA DE LAS ÁREAS DE LA ENTIDAD Ambiente de Control Valoración del Riesgo Actividades de Control Información y Comunicación Monitoreo o Vigilancia c. RELACIONES ENTRE OBJETIVOS Y COMPONENTES d. CUALIFICAR EN CUANTO A: Eficiencia Eficacia e. OPINIONES
  41. 41. Auditoria I Enfoque del Control Interno (COSO) 41 3.1. Etapas de La Revisión y Evaluación del Control Interno Informe Coso A continuación se presentan los puntos principales en los cuales el auditor debe de enfocarse para evaluar el control interno según COSO. Entorno Interno El auditor debe de considerar cada factor del entorno interno para determinar cuando existe un entorno interno de control positivo. Se presentan a continuación Varios aspectos a tener en cuenta, la lista no es completa, no todos los ítem se aplica a todas las entidades, pero sirven como punto de partida. Si bien algunos de los ítem son Altamente subjetivos y requieren un juicio considerable, generalmente son relevantes para la efectiva del entorno interno del control. Integridad y valores éticos • Existen e implementan códigos de conducta y otras políticas mirando las prácticas de negocios aceptables, los conflictos de interés o los estándares esperados de comportamiento ético y moral. • Relaciones con los empleados, proveedores, clientes, inversionistas, acreedores, auditores, etc.(Insisten en que estos tengan un plano de alta ética) • Presión por cumplir objetivos de desempeño irreales Compromiso por la competencia • Descripciones formales o informales de trabajo u otras maneras de definir tareas que comprenden trabajos particulares. • Análisis del conocimiento y de las habilidades necesarias para desempeñar adecuadamente los trabajos. Consejo de directores o comité de auditoria • Independencia frente a la administración • Frecuencia y oportunidad de las reuniones y que sean apoyadas por el director financiero auditores internos y externos. • Suficiencia y oportunidad para permitir monitoreo de los objetivos y estrategias de la administración.
  42. 42. Auditoria I Enfoque del Control Interno (COSO) 42 • Suficiencia y oportunidad de recibir información sensitiva, investigaciones y actos impropios. Filosofía y estilo de operación de la administración • Naturaleza de los riegos de negocios aceptados • Frecuencia de interacción de la administración principal y la administración operativa. • Actitudes y acciones así la información financiera incluyen las disputas de aplicación de acuerdos contables. Estructura organizacional • Conveniencia de la estructura organizacional de la entidad y su habilidad para proporcionar el flujo de información necesaria para administrar sus actividades. • Claridad en la definición de las responsabilidades calves de los administradores, y su entendimiento de esas responsabilidades. • Claridad en el conocimiento y experiencia de los administradores clave, a la luz de sus responsabilidades. Valoración de autoridad y responsabilidad • Asignación de responsabilidad y delegación de responsabilidad para cumplir con metas y objetivos organizacionales, la funciones de operación y los requerimientos reguladores. • Conveniencia de estándares y procedimientos relacionados con el control, incluyendo descripciones del trabajo de los empleados. • Numero apropiado de gente, particularmente con respecto al procesamiento de datos y a las funciones de contabilidad, con los niveles de habilidades requeridos, relativos al tamaño de ella entidad y a la naturaleza y complejidad del las actividades y sistemas. Políticas y prácticas de recursos humanos • Forma de aplicación de las políticas y los procedimientos para vinculación, entrenamiento, promoción, y compensación de empleados. • Conveniencia de las acciones remédiales desarrolladas en respuesta a desviaciones de las políticas y los procedimientos aprobados.
  43. 43. Auditoria I Enfoque del Control Interno (COSO) 43 • Si el chequeo de la experiencia de los candidatos a empleo es adecuado, particularmente en relación con las acciones o actividades principales consideradas como inaceptables por la entidad. Si son adecuados los criterios de retención y promoción de empleados y técnicas de recolección de información. Y relación con el código de conducta u otras orientaciones de comportamiento. La revisión del Control Interno por parte del auditor le ayuda a determinar otros procedimientos de auditoria para formular su opinión sobre la razonabilidad de los saldos finales. Un planteamiento conceptual lógico de la evaluación que hace el Contador Público del control interno contable que se enfoca a prevenir o detectar errores o irregularidades importantes en los saldos de las cuentas, consiste en aplicar a cada tipo importante de transacciones y a los respectivos activos involucrados en la auditoria, los siguientes criterios: a) Considerar entre otros los tipos de errores e irregularidades que puedan ocurrir. b) Determinar los procedimientos de control interno contable que puedan prevenir o detectar errores o irregularidades. c) Determinar si los procedimientos necesarios están establecidos y si se han seguido satisfactoriamente. d) Evaluar cualquier deficiencia, es decir cualquier tipo de error o irregularidad potencial no contemplada por los procedimientos de control interno existente para determinar su efecto sobre: la naturaleza, momento de ejecución o extensión de los procedimientos de auditoria a aplicar. 3.1.1. Revisión Del Sistema La revisión del sistema es principalmente un proceso de obtención de información respecto a la organización y de los procedimientos prescritos y pretende servir como base para las pruebas de cumplimiento y para la evaluación del sistema. La información requerida para este objeto normalmente se obtiene a través de entrevistas con el personal apropiado del cliente y referencia a la documentación tal y como manuales de procedimientos, descripción de puestos, diagramas de flujos y cuadros de decisión
  44. 44. Auditoria I Enfoque del Control Interno (COSO) 44 3.1.2. Evaluación Evaluación preliminar Al terminar la revisión del sistema, el auditor debe ser capaz de hacer una evaluación preliminar presumiendo un satisfactorio cumplimiento con el sistema prescrito y normalmente es conveniente hacerlo de inmediato. Evaluación de control interno La evaluación de los controles internos contables hecha por el auditor externo o auditor para cada tipo importante de transacciones, debe dar lugar a una conclusión respecto a sí los procedimientos establecidos y su cumplimiento deben considerarse satisfactorios si la revisión del contador público y sus pruebas no revelan ninguna situación que se considere importante para su objetivo. En este contexto una deficiencia importante significa una situación en la cual el auditor estima que los procedimientos establecidos o el grado de cumplimiento de los mismos no proporciona una seguridad razonable de que errores o irregularidades por importantes significativos con respecto a las cuentas anuales que están siendo auditadas pudieran prevenirse o detectarse fácilmente por los empleados del ente en el curso normal de la ejecución de las funciones que le fueron asignadas. La revisión y evaluación del control Interno incluye dos fases que son: 1. La revisión preliminar del sistema con objeto de conocer y comprender los procedimientos y métodos establecidos por la entidad 2. La realización de pruebas de cumplimiento para obtener una seguridad razonable de que los controles se encuentran en uso y que están operando tal como se diseñaron 3.1.3. Obtención de Información para la Evaluación de Control Interno Obtener la información básica de las principales actividades de la empresa es muy importante, debido a que constituye la base para plantear efectiva y eficientemente la Evaluación del sistema de control interno.
  45. 45. Auditoria I Enfoque del Control Interno (COSO) 45 El auditor debe determinar los sistemas y sub-sistemas, con la finalidad de diseñar los flujogramas, que finalmente le permitirán determinar las áreas débiles del sistema de control interno, no sólo para presentar las recomendaciones a la gerencia, sino para seleccionar los procedimientos de auditoria que serán necesarios para completar su examen sobre los estados financieros. Técnicas de obtención de información El análisis de técnicas de obtención de información se debe efectuar bajo: Análisis por puesto de trabajo Análisis por procedimiento o sistemas de información. Las técnicas de obtención de información más frecuentemente utilizadas son las siguientes: La entrevista Observación personal y directa Revisión, lectura y estudio de documentación o antecedentes Cuestionados Estas técnicas pueden utilizarse en forma independiente o combinada. Dependerá del criterio del auditor y de la naturaleza de las operaciones de la empresa auditada. 3.1.4. Evaluación Definitiva del Control Interno Esta es la etapa final dela evaluación del control interno, la cual realiza el auditor luego de haber revisado la información respectiva al control interno en base a sus transacciones y de haber efectuado las respectivas pruebas de cumplimiento. El auditor en base a los componentes de la estructura del control interno, considerara si cumplen con los criterios del enfoque coso. El auditor, por ejemplo puede llegar a la conclusión siguiente: El sistema de control interno de la empresa xxx, es efectivo al 31 de diciembre de 2002, suministra información y asesoria especial a los reportes financieros de la compañía. Esta compañía es efectiva en la aplicación de las leyes y regulaciones, y la dirección esta al tanto de la extensión que la compañía a tenido en cuanto a los objetivos operacionales. Estructura Conceptual Integrada, Herramientas de evaluación, Reporte a partes externas, Estructura conceptual, Resumen ejecutivo. Control Interno, Informe COSO. Samuel Alberto Mantilla B. (Traductor). Tercera Edición Normas Internacionales de Auditoria
  46. 46. Auditoria I Enfoque del Control Interno (COSO) 46 SAS 78 Guía Básica para Evaluar el Control Interno Bajo un Enfoque Integral, Fundamentada en el Informe del Comité de la Organización de Patrocinio de la Comisión de Marcas (COSO). Carlos Alberto Contreras Martínez y Otros. 4. Evolución Del COSO Al principio de este trabajo se menciono que como base de este trabajo se tomaría la versión del COSO 1992; pero bien es cierto como todo contador publico tiene que ir a la vanguardia a los cambios que se produzca en relación al entorno de su desempeño profesional, por ello se ha considerado tomar aquellos aspectos mas relevantes ya que la información es muy amplia. Creación. El nuevo informe COSO fue finalizado en septiembre de 2004, el cual fue nominado como el Marco Integrado de Administración de Riesgos Corporativos (ERM) Esta nueva versión de COSO contiene los siguientes aspectos: Ha concluido sobre la necesidad de un marco reconocido sobre gerenciamiento del riesgo a pesar de la abundancia de literatura sobre la materia. Sostiene que existe consenso a nivel mundial de que todas las organizaciones pueden beneficiarse de los mejores procedimientos de identificación y análisis de riesgos. Reconoce que el riesgo y el gerenciamiento del riesgo son componentes que están presentes en todas las actividades de una organización. Considera que este marco contribuirá a la identificación y coordinación de todos los aspectos que deben estar presentes para una efectiva administración del riesgo. El marco en el cual esta compuesto es: La definición de administración de riesgos corporativos. Los principios críticos y componentes de un proceso de administración de riesgos corporativos efectivo. Pautas para las organizaciones sobre como mejorar su administración de riesgos Criterios para determinar si la administración de riesgos es efectiva, y si no lo es que se necesita para que lo sea.
  47. 47. Auditoria I Enfoque del Control Interno (COSO) 47 Las técnicas de aplicación proveen: Ejemplos sobre cómo principios críticos deben ser vistos dentro de la organización. Una vista general de un proceso de implementación. Ejemplos que consideran diferentes tipos de empresas: Tamaño Estrategia Industria Complejidad 4.1. Concepto COSO según la Administración de Riesgos Corporativos de acuerdo al Marco Gestión Integral de Riesgo (ERM). Es un proceso efectuado por el Directorio, Gerencia y otros miembros del personal, aplicado en el establecimiento de la estrategia y a lo largo de la organización, diseñado para identificar eventos potenciales que pueden afectarla y administrar riesgos de acuerdo a su apetito de riesgo, de modo de proveer seguridad razonable en cuanto al logro de los objetivos de la organización. Es un proceso Efectuado por el directorio, gerencia y otros miembros del personal Aplicado en el establecimiento de la estrategia a lo largo de la organización Diseñado para identificar eventos potenciales que pueden afectarla y administrar riesgos de acuerdo a su apetito de riesgo de modo de proveer seguridad razonable en cuanto al logro de los objetivos de la organización Administración del Riesgo en la Determinación de la Estrategia Eventos y Riesgos Apetito de Riesgo Tolerancia al Riesgo Visión de Portafolio de Riesgos
  48. 48. Auditoria I Enfoque del Control Interno (COSO) 48 COSO I: Control Interno – Marco Conceptual COSO II: ERM: Marco de Gestión Integrado (1992) Integral de Riesgo (Enterprise Risk Management). (2004) Con la versión del COSO 1992 el informe estaba constituido por 5 componentes que son: Monitoreo, información y comunicación, actividades de Control, Evaluación de Riesgo y Ambiente de Control. La nueva versión de COSO de 2004, esta compuesto por los mismo cinco componentes anteriormente mencionado pero además se han agregado otro tres mas que son: Respuesta de Riesgo, Identificación de Eventos y establecimiento de Objetivos. Además se ha incorporado un nuevo objetivo que son las estrategias. 4.2. Componentes del Informe COSO según el Marco Integrado de Administración de Riesgos Corporativos (ERM) El control interno esta compuesto por ocho componentes interrelacionados. Se derivan de la manera como la administración dirige un negocio y están integrados en el proceso de administración. Tales componentes son: Monitoreo Información y Comunicación Actividades de Control Respuesta de Riesgo Evaluación de Riesgo Identificación de Eventos Establecimiento de Objetivos Ambiente de Control Monitoreo Información y Comunicación Actividades de Control Evaluación de Riesgo Ambiente de Control
  49. 49. Auditoria I Enfoque del Control Interno (COSO) 49 a. Ambiente Interno Es la base fundamental para los otros componentes del ERM, dando disciplina y estructura. Medio La esencia de cualquier negocio es su fuente – sus atribuciones individuales, incluyendo la filosofía de la administración de riesgos, cultura de riesgo, junta de directores, integridad y valores éticos, compromiso con la competencia, estructura organizacional, asignación de autoridades y responsabilidad, políticas y practicas de recursos humanos. Incide en: La concientización del personal respecto del riesgo y el control El modo en que las estrategias y objetivos son establecidos, las actividades de negocio son estructuradas y los riesgos son identificados, evaluados y gerenciados. Los Factores que influyen son: Filosofía de la administración de riesgos Apetito al riesgo Integridad y valores éticos Visión del Directorio Compromiso de competencia profesional Estructura organizativa Asignación de autoridad y responsabilidad Políticas y prácticas de recursos humanos FFiilloossooffííaa ddee llaa AAddmmiinniissttrraacciióónn ddee RRiieessggooss Representa las creencias compartidas y las actitudes que caracterizan cómo la entidad considera el riesgo en todas las actividades. Refleja los valores de la entidad, influenciando su cultura y estilo de operar. Afecta cómo los componentes del ERM son aplicados, incluyendo cómo son identificados los eventos, los tipos de riesgos aceptados, y cómo son administrados. La Dirección debe reforzar la filosofía no sólo con palabras sino con acciones de todos los días.
  50. 50. Auditoria I Enfoque del Control Interno (COSO) 50 AAppeettiittoo aall rriieessggoo El apetito de riesgo es la cantidad de riesgo en un nivel amplio que una empresa está dispuesta a aceptar para generar valor. Se considera en el establecimiento de la estrategia. Permite el alineamiento de la organización, las personas, procesos e infraestructura. Expresado en términos cualitativos o cuantitativos Integridad y Valores Éticos La estrategia y los objetivos de una organización y la forma en que se implementan se basan en juicios, preferencias y estilos. La integridad y el compromiso con los valores éticos influencian esas preferencias y los juicios. Los valores éticos deben ser comunicados y acompañados de guías explícitas detallando lo que está bien y lo que está mal. Código formal de conducta: Carta del CEO Objetivos y filosofía Conflictos de interés Regalos Transparencia Recursos corporativos Responsabilidad social Otros temas relacionado b. Establecimiento de Objetivos La entidad debe de señalar los objetivos integrados con ventas, producción, mercadeo como los son los siguientes. Objetivos operacionales, objetivos estratégicos y objetivos seleccionados. Objetivos Seleccionados Condición previa para la identificación de eventos, evaluación de riesgos y respuesta al riesgo Objetivos estratégicos Consiste en metas de alto nivel que se alinean con y sustentan la misión/visión Reflejan las elecciones estratégicas de la Gerencia sobre cómo la organización buscará crear valor para sus grupos de interés
  51. 51. Auditoria I Enfoque del Control Interno (COSO) 51 Objetivos relacionados Deben estar alineados con la estrategia seleccionada y con el apetito de riesgo deseado Se categorizan en forma amplia en: operativos, confiabilidad de la información y cumplimiento Cada nivel de objetivos se relaciona con objetivos más específicos bajo un esquema de cascada Tolerancia al Riesgo La tolerancia al riesgo es el nivel aceptable de desviación en relación con el logro de los objetivos Se alinea con el apetito de riesgo (directamente relacionado con la definición de la estrategia) Al establecer las tolerancias al riesgo, la Gerencia considera la importancia relativa de los objetivos relacionados c. Identificación de Eventos Los eventos son factores que influyen en la estrategia y objetivos planteadas por la entidad, dentro de los cuales se identifican eventos relacionados con las metodologías y técnicas, interdependencia entre los eventos, categoría de eventos, riesgos y oportunidades. Eventos Se deben identificar eventos potenciales que afectan la implementación de la estrategia o el logro de los objetivos, con impacto positivo, negativo o ambos Distinguiendo Riesgos y Oportunidades Los eventos con un impacto negativo representan riesgos, los cuales necesitan ser evaluados y administrados Los eventos con un impacto positivo representan oportunidades, las cuales son recanalizadas por la Gerencia al proceso de establecimiento de estrategia y objetivos Factores a considerar. Los eventos pueden provenir de factores internos y externos. La Gerencia debe reconocer la importancia de comprender dichos factores y el tipo de eventos que pueden estar asociados a los mismos
  52. 52. Auditoria I Enfoque del Control Interno (COSO) 52 Técnicas de Identificación de Eventos Existen técnicas focalizadas en el pasado y otras en el futuro Existen técnicas de diverso grado de sofisticación Ejemplos: Inventarios de eventos Análisis de información histórica (de la empresa/sector) Indicadores de excepción Entrevistas y cesiones grupales guiadas por facilitadores Análisis de flujos de procesos Permite a la entidad considerar el grado en el cual eventos potenciales podrían impactar en el logro de los objetivos. d. Valoración del riesgo. Es la identificación y análisis de los riesgos relevantes para la consecución de los objetivos, formando una base para la determinación de cómo deben administrarse los riesgos. Dado que las condiciones económicas, industriales, reguladoras y de operación continuaran cambiando, se necesitaran mecanismos para identificar y tratar los riesgos especiales asociados con el cambio. La valuación de riesgos puede realizarse desde dos perspectivas: probabilidad de ocurrencia e impacto. Considera que la evaluación se debe realizar tanto para riesgos inherentes como residuales. La metodología de evaluación de riesgos comprende una combinación de técnicas cualitativas y cuantitativas e. Repuesta de Riesgo La entidad es la responsable de identificar los mecanismos necesarios para realizar la identificación de las respuestas al riesgo, de la evaluación de las posibles respuestas al riesgo, seleccionando la respuesta más idónea desde el punto de vista de portafolio. Una vez evaluado el riesgo, la Gerencia identifica y evalúa posibles respuestas al riesgo en relación al apetito de riesgo de la entidad. Evaluando Posibles Respuestas
  53. 53. Auditoria I Enfoque del Control Interno (COSO) 53 Las Respuestas son evaluadas con el objetivo de obtener un riesgo residual alineado con el nivel de tolerancia definido En la evaluación de las respuestas al riesgo, la Gerencia considera varios aspectos Categorías de respuesta al riesgo: Evitarlo: Se toman acciones de modo de discontinuar las actividades que generan riesgo Reducirlo: Se toman acciones de modo de reducir el impacto, la probabilidad de ocurrencia del riesgo o ambos Compartirlo: Se toman acciones de modo de reducir el impacto o la probabilidad de ocurrencia al transferir o compartir una porción del riesgo Aceptarlo: No se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo Visión de Portafolio de Riesgos ERM propone que el riesgo sea considerado desde una perspectiva de la entidad en su conjunto o de portafolio de riesgos Permite desarrollar una visión de portafolio de riesgos tanto en el ámbito de unidades de negocio como en el ámbito de la entidad Es necesario considerar como los riesgos individuales se interrelacionan Permite determinar si el perfil de riesgo residual de la entidad esta acorde con su apetito de riesgo global ff.. AAccttiivviiddaaddeess ddee CCoonnttrrooll Se deben establecer y ejecutar políticas y procedimientos para ayudar a asegurar que se están aplicando efectivamente las acciones necesarias para manejar los riesgos en la consecución de los objetivos de la entidad. Estas actividades se dan a lo largo y ancho de la organización, en todos los niveles y en todas las funciones. Incluyendo un rango de actividades tan diversas como aprobaciones, autorizaciones, verificaciones, revisión del desempeño de operaciones, así como la integración con las respuestas al riesgo, generándose tres tipos de controles los cuales son. Controles generales, de aplicación y específicos de la entidad. Integración con Respuesta al Riesgo Son las políticas y procedimientos necesarios para asegurar que las respuestas al riesgo se llevan a cabo de manera adecuada y oportuna.
  54. 54. Auditoria I Enfoque del Control Interno (COSO) 54 La selección o revisión de las actividades de control comprende la consideración de su relevancia y adecuación a la respuesta al riesgo y al objetivo relacionado Se realizan a lo largo de toda la organización, a todos los niveles y en todas las funciones Tipos de Actividades de Control Preventivas, detectivas, manuales, computarizadas y controles gerenciales gg.. IInnffoorrmmaacciióónn yy CCoommuunniiccaacciióónn Debe identificarse, capturarse y comunicarse información pertinente en una forma y oportunidad que facilite a la gente cumplir sus responsabilidades. El sistema de información produce documentos que contienen información operacional, financiera y relacionada con el cumplimiento, la cual hace posible operar y controlar el negocio. También debe darse una comunicación efectiva en un sentido amplio, que fluya hacia abajo, a lo largo y hacia arriba de la organización. Todo el personal deberá tener un mensaje claro por parte de la alta administración respecto a sus responsabilidades de control, deben entender su propio papel en el sistema de control interno, así como de sus actividades individuales se relacionan con el trabajo de los |demás. Ellos también necesitan comunicación efectiva con las partes externas, tales como clientes, proveedores, reguladores y accionistas. La información es necesaria en todos los niveles de la organización para identificar, evaluar y dar una respuesta al riesgo. Se debe identificar, capturar y comunicar la información pertinente en tiempo y forma que permita a los miembros de la organización cumplir con sus responsabilidades. La información relevante es obtenida de fuentes internas y externas La comunicación se debe realizar en sentido amplio, y fluir por la organización en todos los sentidos (ascendente, descendente, paralelo). Asimismo, debe existir una comunicación adecuada con partes externas a la organización como ser: clientes, proveedores, reguladores y accionistas. hh.. MMoonniittoorreeoo Los sistemas de control interno requieren que sean monitoreados, un proceso que valore la calidad de desempeño del sistema en el tiempo. Ello es realizado mediante acciones de monitoreo ongoing (termino técnico que significa estar actualmente en proceso, en continuo movimiento,
  55. 55. Auditoria I Enfoque del Control Interno (COSO) 55 hacia a delante) evaluaciones separadas una combinación de las dos, el monitoreo incluye las actividades regulares de administración y supervisión, así como otras acciones personales tomadas en el desempeño de sus obligaciones. El alcance y las frecuencia de las evaluaciones separadas dependerá primariamente de la valoración de riesgos y de la efectividad de los procedimientos de monitoreo ongoing. Implica monitorear que el proceso de Administración de riesgos mantiene su efectividad a lo largo del tiempo y que todos los componentes del marco ERM funcionen adecuadamente a través de: Actividades de monitoreo continuo, que se llevan a cabo durante el curso normal de las operaciones Evaluaciones puntuales, realizadas por personal que no es el responsable directo de la ejecución de las actividades. Su alcance y frecuencia de realización depende de los resultados de la evaluación de riesgos y de la efectividad de las actividades de monitoreo continuo Una combinación de ambas formas 4.3. Vinculación entre el marco ERM y el Marco Integrado de Control Interno ERM se elabora sobre la base de los conceptos de control interno establecidos en el Marco Integrado de Control Interno del COSO (MICI). ERM incorpora cuatro categorías de objetivos, incluyendo los objetivos estratégicos. En el marco ERM, la categoría de objetivos relativa a “Información” es más amplia que la de “Información Financiera” del MICI. ERM incluye ocho componentes. ERM incluye el establecimiento de objetivos como un componente separado. El MICI considera al establecimiento de objetivos como un prerrequisito para el control interno. El marco ERM separa el componente “evaluación de riesgos” del MICI en tres componentes del ERM.
  56. 56. Auditoria I Enfoque del Control Interno (COSO) 56 CONCLUSIONES El control interno es una herramienta indispensable en todas las empresas ya que permite tener una seguridad razonable sobre factores que pueden influir en el desempeño de la empresa. Los controles internos pueden ser preventivos, detectivo o correctivos, el uso de cada uno de ellos dependerá de la situación en que se encuentre la empresa. El hecho de tener implementado un sistema de control interno no aseguran en su totalidad que una empresa sobreviva o tenga éxito en los negocios. El control interno COSO, tiene una amplia visión sobre los aspectos que es necesario evaluar en una empresa, ya que este se enfoca en la mayoría de la estructura de la organización. Es necesario que para un correcto funcionamiento del control interno COSO haya una interacción entre cada uno de los cinco elementos que lo conforman. El control interno COSO permite tener en cuenta la diversidad de riesgos que afectan a la empresa, desde los más grandes hasta los más pequeños. El Auditor Interno puede aportar valor a las organizaciones incorporando mejoras en el proceso de evaluación del Sistema de Control Interno, esto requerirá de la puesta en práctica de un control constructivo donde los auditores deberán actuar como agentes de cambio protagonizando en forma conjunta con la dirección y el personal de la empresa, el proceso que encamine a la organización al logro de una gestión de la más alta calidad.
  57. 57. Auditoria I Enfoque del Control Interno (COSO) 57 BIBLIOGRAFIA Guía básica para evaluar el Control Interno bajo un enfoque Integral Fundamentada en el Informe del Comité de la Organización de Patrocinio de la Comisión de Marcas (COSO); Tesis; Contreras Martines, Carlos Alberto; San Salvador; El Salvador; 2003. Estructura Conceptual Integrada, Herramientas de evaluación, Reporte a partes externas, Estructura conceptual, Resumen ejecutivo. Control Interno, Informe COSO. Samuel Alberto Mantilla B. (Traductor). Tercera Edición Diseño de auditoria para evaluación de riesgo en las empresas comerciales; Tesis; Lozano Rivera, Reina Esterlina; San Miguel; El Salvador; 2004. Corte de Cuentas de la Republica de El Salvador. “Normas técnicas de Control Interno”; El Salvador; 2004. Instituto Mexicano de Contadores Públicos, Normas Internacionales de Auditoria, México, 2004. Enciclopedia de la Auditoria; Tomo I; OCÉANO http://www.monografias.com/trabajos16/auditoria-fiscal/auditoria-fiscal.shtml http://www.monografias.com/trabajos14/auditoria/auditoria.shtml http://www.definicion.org/buscar.php?termino=auditoria+forense

×