coso y coso erm
TRANSCRIPT
GRUPO EXPOSITOR DE AUDITORIA # 1
EXPOSITORAS:
Lic. Jaqueline Alonso Selva .
Lic. Yelba Cuarezma Rodríguez.
12/12/2014
COSO I Y COSO II.
Contenidos:
¿Qué es el COSO?1
Informe COSO2
Objetivos Informe COSO3
Componentes del Control Interno.4
Contenidos.
Definición de Riesgo5
Estructura COSO I6
Explicación Estructura COSO I7
8 Estructura COSO II
Contenidos.
9
Relación COSO I y COSO II10
COSO en la Organización11
12 COSO y Auditoria Interna.
Explicación Estructura COSO II
¿Qué es C.O.S.O?
Committee of Sponsoring Organizatión of the Treadway Commission
C O S O
¿Qué es COSO?
Organización voluntaria del sector privado,establecida en los EEUU formada el año 1985 ,dedicada a proporcionar orientación a la gestiónejecutiva y las entidades de gobierno sobre losaspectos fundamentales de organización de este, laética empresarial, control interno, gestión delriesgo empresarial, el fraude, y la presentación deinformes financieros. COSO ha establecido unmodelo común de control interno contra el cual lasempresas y organizaciones pueden evaluar sussistemas de control.
En esta presentación se expondrá exclusivamente lorelativo al Control Interno.
Informe COSO.
Hace más de una década el Committee ofSponsoring Organizations of the TreadwayCommission, conocido como COSO,publicó el Internal Control - IntegratedFramework (COSO I) para facilitar a lasempresas a evaluar y mejorar sus sistemasde control interno. Desde entonces éstametodología se incorporó en las políticas,reglas y regulaciones y ha sido utilizada pormuchas compañías para mejorar susactividades de control hacia el logro de susobjetivos.
ACERCA DE COSO
Integrada por las siguientes instituciones dedicadas a guiar a las
administración ejecutiva y a los participantes del Gobierno de la
empresa para lograr el establecimiento de operaciones de
negocios más efectivas, eficientes y éticas . Promueve y difunde
estructuras ( frameworks ) y guías basados en profundas
investigaciones, análisis y mejores prácticas:
American Accounting Association ( AAA)
American Institute of CPAs ( AICPA )
Financial Executives International (FEI)
The Association of Accountants and Financial Professional in
Business ( IMA )
The Institute of Internal Auditors ( IIA )
Informe COSO.
Hacia fines de Septiembre de 2004, comorespuesta a una serie de escándalos, eirregularidades que provocaron pérdidasimportante a inversionistas, empleados y otrosgrupos de interés, nuevamente el Committee ofSponsoring Organizations of the TreadwayCommission, publicó el Enterprise RiskManagement - Integrated Framework (COSO II)y sus Aplicaciones técnicas asociadas, el cualamplía el concepto de control interno,proporcionando un foco más robusto y extensosobre la identificación, evaluación y gestiónintegral de riesgo.
Informe COSO.
Este nuevo enfoque no sustituye el
marco de control interno, sino que lo
incorpora como parte de él,
permitiendo a las compañías mejorar
sus prácticas de control interno o
decidir encaminarse hacia un proceso
más completo de gestión de riesgo.
Informe COSO.
A nivel organizacional, estedocumento destaca lanecesidad de que la altadirección y el resto de laorganización comprendancabalmente la trascendenciadel control interno, laincidencia del mismo sobrelos resultados de la gestión,el papel estratégico aconceder a la auditoría yesencialmente laconsideración del controlcomo un proceso integradoa los procesos operativos dela empresa y no como unconjunto pesado,compuesto por mecanismosburocráticos.
A nivel regulatorio onormativo, el Informe COSOha pretendido que cuandose plantee cualquierdiscusión o problema decontrol interno, tanto a nivelpráctico de las empresas,como a nivel de auditoríainterna o externa, o en losámbitos académicos olegislativos, losinterlocutores tengan unareferencia conceptualcomún, lo cual hasta ahoraresultaba complejo, dada lamultiplicidad de definicionesy conceptos divergentes quehan existido sobre controlinterno.
Informe COSO.
COSO I
(MICI)
COSO II
(ERM)
Internal
Control -
Integrated
Framework
Enterprise
Risk
Management
- Integrated
Framework
Informe COSO.
Establecer una definición común de control interno que responda a las necesidades de las distintas partes.
Objetivos
Facilitar un
modelo en base al
cual las empresas
y otras entidades,
cualquiera sea su
tamaño y
naturaleza, puedan
evaluar sus
sistemas de
control interno
Control Interno.
Proceso realizado por el consejo dedirectores, administradores y otro personalde una entidad, diseñado para proporcionarseguridad razonable mirando elcumplimiento de los objetivos en lassiguientes categorías:
Efectividad y eficiencia de las operaciones.
Confiabilidad de la información financiera.
Cumplimiento de las leyes y regulaciones aplicables.
Control Interno.
El Control Interno puede juzgarse efectivo en cadauna de las categorías anteriores respectivamente,si quienes lo llevan a cabo tienen seguridadrazonable sobre que:
Comprenden la extensión en la cual se estánobteniendo los objetivos de las operaciones de laentidad.
Los EEFF publicados se están preparandoconfiablemente.
Se está cumpliendo con las leyes y regulacionesaplicables.
Control Interno.
Efectuado por personas de la
organización: No solamente son políticas,
manuales y formatos realizados, son
personas que interactúan y se comunican
a lo largo de toda la estructura
organizacional de una empresa o entidad.
ESTRUCTURA DE COSO I
COSO I
AMBIENTE DE CONTROL
EVALUACION DE RIESGO
ACTIVIDAD DE CONTROL
INFORMACION y COMUNICACION
MONITOREO
ESTRUCTURA DEL COSO I
COSO ofrece un marco
de trabajo integrado
que define el control
interno en cinco
elementos
interrelacionados:
Ambiente de
Control.
Evaluación del
Riesgo.
Actividades de
Control.
Información &
Comunicación.
Monitoreo.
1. AMBIENTE DE CONTROL
Establece el tono de una organización , influyendo en la
conciencia que los empleados tienen sobre el control.
Es el fundamento de todos los demás componentes del
control interno, proporcionando disciplina y estructura.
Se considera lo siguiente:
Integridad y valores Éticos.
Compromisos para la competencia.
Consejos de directores o comité de Auditoria.
Filosofía de la Administración y Estilo de operación.
Estructura Organizativa.
Asignación de Autoridad y Responsabilidad.
Políticas de Recursos Humanos.
2. EVALUACION DEL RIESGO
Identificación y análisis de los riesgos
relevantes para la consecución de los objetivos,
constituyendo una base para determinar cómo
se deben administrar los riesgos.
Diversos tipos de Riesgos se pueden resumir
en los siguientes:
Contabilidad errónea e inapropiada.
Costos excesivos/ingresos deficientes.
Sanciones legales.
Fraude o robo.
Decisiones Erróneas de la Gerencia.
Interrupción del negocio.
Deficiencia en el logro de objetivos.
Desventaja ante la competencia-
desprestigio de imagen.
3. Actividades de Control.
Políticas y procedimientos que ayudan a asegurar que las directivas administrativas se lleven a cabo.
Tipos de Actividades de Control:
Revisiones de alto nivel.
Funciones directas o actividades administrativas.
Procesamiento de la información.
Controles físicos.
Indicadores de desempeños.
Segregación de responsabilidades.
Políticas y procesamiento.
Cambio en el entorno de operación.
Personal nuevo.
Sistemas de Información nuevos o
modernizados.
Modelo del negocio, productos o
actividades nuevas.
Nuevos pronunciamientos de contabilidad.
Diversos tipos de Riesgos se pueden
resumir en los siguientes:
4. INFORMACION Y COMUNICACION
Identificación, obtención y comunicación
de información pertinente en una forma y
en un tiempo que le permita a los
empleados cumplir con sus
responsabilidades.
Debe de existir una comunicación efectiva
en un sentido amplio, que fluya hacia
abajo, a lo largo y hacia arriba de la
organización.
5. Monitoreo: Supervisión.
Proceso que valora el desempeño de
sistema en el tiempo.
El monitoreo asegura que el control interno
continua operando efectivamente. Este
proceso implica la valoración por parte del
personal apropiado, del diseño y operación
de los controles en una adecuada base de
tiempo y realizando las acciones apropiadas.
Cualquiera que sea el área de
observación indicada (Monitoreo), cada
una de ellas debe contener lo siguiente:
1. Descripción de la deficiencia encontrada.
2. Causa del problema.
3. Consecuencia de la debilidad
encontrada, y de ser posible su
cuantificación.
4. Correctivos adecuados según la
circunstancia.
5. Cualquier otro punto.
Gestión de Riesgo.
Todas las organizaciones
independientemente de su tamaño,
naturaleza o estructura, enfrentan riesgos.
LOS OBJETIVOS DE LA GESTION DE
RIESGO SON IDENTIFICAR, CONTROLAR Y
ELIMINAR LAS FUENTES DE RIESGOS.
Definición de Riesgo
Es la probabilidad que ocurra un
determinado evento que puede tener efectos
negativos para la institución.
Riesgos es uno de los cinco componentes
del Marco de Control Interno COSO.
COSO II
“Administración de riesgo de la
empresa” ERM
Estructura del COSO II.
Los 8 componentes del
coso II están
interrelacionados entre si.
Estos procesos debe ser
efectuados por el director,
la gerencia y los demás
miembros del personal de
la empresa a lo largo de su
organización
Los 8 componentes están
alineados con los 4
objetivos.
Donde se consideran las
actividades en todos los
niveles de la organización
La administración de riesgos de la empresa (ERM) COSO
describe en su marco basado en principios tales como:
La definición de administración de riesgos de la
empresa
Los principios críticos y componentes de un
proceso de administración de riesgo corporativo
efectivo.
Pautas para las empresa, para que ellas sean
capaces de administrar sus riesgos.
Criterios para determinar si la administración de
riesgo de la empresa es efectiva.
Conceptos claves de el COSO II
Administración del riesgo en la
determinación de la estrategia.
Eventos y riesgo.
Apetito de riesgo.
Tolerancia al riesgo.
Visión de portafolio de riesgo.
Administración de Riesgos: Proceso efectuado por el
Directorio, Gerencia y otros miembros del personal ,
aplicado en el establecimiento de la estrategia y a lo
largo de la organización , diseñados para identificar
eventos potenciales que puedan afectarla y administrar
riesgos de acuerdo a su apetito de riesgos , de modo
de proveer seguridad razonable en cuanto al logro de
los objetivos de la organización.
Eventos y Riesgos : Se deben identificar eventos y
riesgos potenciales que afectan la implementación de
las estrategias o el logro de los objetivos , con impacto
positivos, negativos o ambos.
Apetito de Riesgo: Es la cantidad de riesgo en un
nivel amplio que una empresa esta dispuesta a
aceptar para generar valor.
Se considera en el establecimiento de la estrategia
, permite el alineamiento de la organización, las
personas , procesos e infraestructura; Expresados
en términos cualitativos o cuantitativos.
Tolerancia al Riesgo: Es el nivel aceptable de
desviación en relación con el logro de los
objetivos. Se alinea con el apetito de Riesgo.
Visión de portafolio de Riesgos.
ERM propone que el riesgo sea considerado desde
una perspectiva de la entidad en su conjunto o de
portafolio de riesgos.
ƒPermite desarrollar una visión de portafolio de
riesgos tanto a nivel de unidades de negocio como
a nivel de la entidad.
ƒ Es necesario considerar como los riesgos
individuales se interrelacionan.
ƒPermite determinar si el perfil de riesgo residual de
la entidad esta acorde con su apetito de riesgo
global.
Descripción de Componente del COSO II.
1. Ambiente interno
Sirve como la base fundamental para los
otros componentes del ERM, dándole
disciplina y estructura.
Dentro de la empresa sirve para que los
empleados creen conciencia de los
riesgos que se pueden presentar en la
empresa
2. Establecimientos de objetivos.
Es importante para que la empresa prevenga
los riesgo, tenga una identificación de los
eventos, una evaluación del riesgo y una clara
respuesta a los riesgos en la empresa.
La empresa debe tener una meta clara que se
alineen y sustenten con su visión y misión, pero
siempre teniendo en cuenta que cada decisión
con lleva un riesgo que debe ser previsto por la
empresa .
3. Identificación de eventos
Se debe identificar los eventos que afectan los
objetivos de la organización aunque estos sean
positivos, negativos o ambos, para que la
empresa los pueda enfrentar y proveer de la
mejor forma posible.
La empresa debe identificar los eventos y debe
diagnosticarlos como oportunidades o riesgos.
Para que pueda hacer frente a los riesgos y
aprovechar las oportunidades.
IDENTIFICACIÓN DE EVENTOS
EVENTOS EXTERNOS
- La Economía.
- El Comercio.
- Catástrofes.
- Medio Ambiente.
- Políticas de gobierno.
- Cambios de ámbitos sociales.
- Tecnología.
IDENTIFICACIÓN DE EVENTOS
EVENTOS INTERNOS
- La Infraestructura.
- El Personal.
- Procesos.
- Tecnología.
IDENTIFICACIÓN DE EVENTOS
- RIESGOS.
- OPORTUNIDADES
4. EVALUACIÓN DE RIESGOS
En la evaluación de riesgos se mezclan
los potenciales eventos futuros
relacionados a la entidad y sus objetivos,
lo que considera en el análisis del
tamaño de la estructura, la complejidad
de los procesos, funciones y el grado de
regulación de sus actividades, entre
otros.
EVALUACIÓN DE RIESGOS
Evaluar los Riesgos desde 2 Perspectivas:
- Probabilidad.
- Impacto.
EVALUACIÓN DE RIESGOS
Metodología de Evaluación de Riesgos:
- Cualitativas.
- Cuantitativas.
5. Respuesta al riesgo
Una vez evaluado el riesgo la gerencia identifica y
evalúa posibles repuestas al riesgo en relación al las
necesidades de la empresa.
Las respuestas al riesgo pueden ser:
Evitarlo: se discontinúan las actividades que generan
riesgo.
Reducirlo: se reduce el impacto o la probabilidad de
ocurrencia o ambas
Compartirlo: se reduce el impacto o la probabilidad de
ocurrencia al transferir o compartir una porción del
riesgo.
Aceptarlo: no se toman acciones que afecten el
impacto y probabilidad de ocurrencia del riesgo.
6. Actividades de control
Son las políticas y procedimientos para
asegurar que las respuesta al riesgo se
lleve de manera adecuada y oportuna.
Tipo de actividades de control:
Preventiva, detectivas, manuales,
computarizadas o controles gerenciales
7. Información y comunicación
La información es necesaria en todos los niveles
de la organización para hacer frente a los
riesgos identificando, evaluando y dando
respuesta a los riesgos.
La comunicación se debe realizar en sentido
amplio y fluir por toda la organización en todo
los sentidos.
Debe existir una buena comunicación con los
clientes, proveedores, reguladores y
accionistas.
8. Monitoreo.
Sirve para monitorear que el proceso de
administración de los riesgos sea efectivo
a lo largo del tiempo y que todos los
componentes del marco ERM funcionen
adecuadamente.
El monitoreo se puede medir a través de:
Actividades de monitoreo continuo.
Evaluaciones puntuales.
Una combinación de ambas formas
Monitoreo.
Las regulaciones también pueden comunicar a
la entidad disposiciones u otras materias que
afecten las funciones o los procesos de
administración de riesgos.
Los auditores internos y externos
permanentemente proponen recomendaciones
para fortalecer la Administración de riesgos.
Monitoreo.
ROLES Y RESPONSABILIDADES
Todo el personal en una entidad tiene algún
tipo de responsabilidad en la
Administración de Riesgos:
- Directores.
- Gerentes.
- Oficiales de Riesgos.
- Auditor Interno.
- Otros miembros de la Organización.
El personal debe ser consultado
periódicamente sobre si conocen,
cumplen los códigos de conducta de
su entidad.
Monitoreo.
Relación entre COSO I y COSO II.
MODELOS DE COSO I Y COSO II
Diferencia Entre COSO Y COSO ERM
En cuanto a sus componentes
Como se puede observar desde el COSO I, el componente
que tiene una profundización mayor, es la Evaluación de
Riesgos, la cual pasa a transformarse en el centro del
análisis de un control interno moderno
Análisis
COSO II “ERM” toma muchos aspectos importantes que el
coso I no considera, como por ejemplo:
El establecimiento de objetivos
Identificación de riesgo
Respuesta a los riesgos
Se puede decir que estos componentes son claves para
definir las metas de la empresa .
Si los objetivos son claros se puede decidir que riegos tomar
para hacer realidad las metas de la organización.
Amplía el concepto de control interno, proporcionando un
foco más robusto y extenso sobre la identificación,
evaluación y gestión integral de riesgo.
De esta manera se puede hacer una clara identificación,
evaluación, mitigación y respuesta para los riesgos.
1. AMBIENTE DE CONTROL
Común en IC Y ERM Introducido en IC y
Expandido en ERM
Incremental para
ERM
Demuestra
compromiso con la
integridad y valores
éticos
Ejercicios
responsabilidad de
supervisión
Establece la
filosofía de
gestión de
riesgos
Establece estructuras,
autoridad, y la
responsabilidad
- Establece la
cultura de riesgo
Demuestra
compromiso con la
competencia
- Establece el
apetito de riesgo
Hace cumplir la
rendición de cuentas
- -
2. Evaluación de riesgos
Común en IC Y ERM Introducido en IC y
Expandido en ERM
Incremental para ERM
Evalúa el riesgo de fraude Identifica y analiza
los riesgos / eventos
Distingue los riesgos y
oportunidades
Identifica y analiza
cambios significativos
Desarrolla vista de
cartera a nivel de
entidad (evaluación
compuesta de riesgo
de las unidades
individuales.)
3. Actividades de control
Común en IC Y ERM Introducido en IC y
Expandido en
ERM
Incremental para
ERM
Selecciona y desarrolla
el control actividades
- -
Selecciona y desarrolla
en general controles
sobre la tecnología
- -
Se implementa a través
de políticas y
procedimientos
- -
4. Información y comunicación
Común en IC Y ERM Introducido en IC y
Expandido en ERM
Incremental
para ERM
Se comunica
internamente
Utiliza la información
relevante
-
Se comunica
externamente
- -
- -
5. Actividades de Monitoreo
Común en IC Y ERM Introducido en IC y
Expandido en ERM
Incremental
para ERM
Lleva a cabo
evaluaciones en curso y
/ o separadas
- -
Evalúa y comunica
deficiencias
- -
COSO en la Organización.
GOBIERNOS CORPORATIVOS
GESTION DE RIESGOS
ACCIONISTAS DIRECTORIO ADM. SUPERIOR
ENTORNO
COSO en la Organización.
Gobiernos Corporativos: Es el conjunto de
relaciones, de mejores prácticas, que debe
establecer una empresa entre su Junta de
Accionistas , su Directorio y su Administración
Superior para acrecentar el valor para sus
accionistas y responder a los objetivos de todos
sus stakeholder.
NORMAS FUNDAMENTALES DE
CONTROL INTERNO
PERSONAL COMPETENTE Y CONFIABLE.
Capacitación
Supervisión
Rotación
Vacaciones
Fianzas
Respaldo de la Alta Dirección
Documentos y Registros
Segregación adecuada de funciones
Niveles de autorización y responsabilidad
Auditorías Internas y Externas
AUDITORIA INTERNA
La función de auditoría interna ha
cambiado notablemente en los últimos
años, pasando de una auditoria tradicional
orientada a la protección de la empresa
(activos) hacia una auditoria enfocada al
control de los riesgos, a fin de aumentar el
valor de la organización para los
accionistas.
COSO y Auditoria Interna.
La auditoria interna se considerará entonces como una parte del sistema de control.
Informe COSO es una herramienta utilizada por la Auditoria interna para realizar el control interno de la empresa.
La responsabilidad de los Auditores Internos en este proceso es la de revisar el Control implementado.
GRACIAS POR SU ATENCION!