trabajo de coso iii
TRANSCRIPT
COSO III
UNIVERSIDAD MARIANO GÁLVEZ DE GUATEMALA
CENTRO REGIONAL DE ESCUINTLA
FACULTAD DE CONTADURIA PÚBLICA Y AUDITORIA
REDACCION DE INFORMES TECNICOS
LIC. HENRY FIGUEROA
COSO IIICONTROL INTERNO DEL REPORTE DE LA INFORMACION
FINANCIERA
INTREGRANTES:
1. SILVIA DINETTE RUCAL ESTRADA 3212-08-41992. SILVIA MARIBEL LÓPEZ GARCÍA 3212-08-55213. MAYRA JOSEFINA GARCIA PIRIQUE 3212-08-44304. SUSSAN YANIRA SOSA ARIAS 3212-08-29115. KARLA DEL PILAR HURTARTE 3212-08-68836. CLARISSA DE LEON MIJANGOS 3212-06-133327. CAROL GUTIERRES ROJAS 3212-06-13308
CICLO XI
SECCIÓN: “A“
ESCUINTLA, 06 DE ABRIL DEL 2013
COSO III
INDICE
Introducción…………………………………………………………………………………………………………. iDefiniciones…….……………………………………………………………………………………………………. 1
COSO III
INTRODUCCION
El control interno constituye una de las herramientas más importantes para el buen funcionamiento de cualquier empresa, prueba de ello es que en cualquier área que auditemos evaluamos el control interno para determinar el alcance y determinar los procedimientos y técnicas adecuadas según lo requiera el resultado de la evaluación.
De esta evaluación se deduce que a mayor deficiencia en control interno encontradas mayores serán nuestras pruebas y muestras para determinar que los datos encontrados en las áreas auditadas se expresen con razonabilidad y establecer los controles que necesitan reforzarse o hacer cumplir.
Una empresa exitosa dependerá de que tan bien este estructurado su Control Interno por ello analizaremos la Aplicación del Método COSO-
III como una guía de Control dedicado a las compañías pequeñas.
COSO III
COSO III
Que es coso?
Committee of Sponsoring Organization of the Treadway Commission
Organización voluntaria del sector privado, establecida en los EEUU, dedicada a proporcionar orientación a la gestión ejecutiva y las entidades de gobierno sobre los aspectos fundamentales de organización de este, la ética empresarial, control interno, gestión del riesgo empresarial, el fraude, y la presentación de informes financieros. COSO ha establecido un modelo común de control interno contra el cual las empresas y organizaciones pueden evaluar sus sistemas de control.
Antecedentes
El Informe COSO es un documento que contiene las principales directivas para la implantación, gestión y control de un sistema de Control Interno. Debido a la gran aceptación de la que ha gozado, desde su publicación en 1992 por Committee of Sponsoring Organizations of the Treadway Commission (COSO), el Informe COSO se ha convertido en el estándar de referencia en todo lo que concierne al Control Interno.
Hacia fines de Septiembre de 2004, como respuesta a una serie de escándalos, e irregularidades que provocaron pérdidas importante a inversionistas, empleados y otros grupos de interés, nuevamente el Committee of Sponsoring Organizations of the Treadway Commission, publicó el Enterprise Risk Management - Integrated Framework (Administración de Riesgo de la Empresa)(COSO II) y sus Aplicaciones técnicas asociadas, el cual amplía el concepto de control interno, proporcionando un enfoque más robusto y extenso sobre la identificación, evaluación y gestión integral de riesgo.
Se emitió un borrador para discusión en el período de Octubre 2005 a Enero de 2006 y en Julio de 2006 se publicó el documento definitivo de Control interno sobre el reporte financiero para pequeñas empresas, derivado que el COSO I y COSO II solo aplicaba para empresas medianas y grandes.
COSO III
En un principio eran los 5 componentes del Modelo COSO emitido en 1992 más un componente más, e incluía 26 principios:
1. Evaluación de riesgos2. Ambiente de control3. Actividades de Control4. Información y Comunicación5. Monitoreo
Finalmente quedaron los cinco componentes que integran el COSO II
Control Interno
Es un proceso realizado por la dirección, la gerencia y el personal de una entidad diseñado para proporcionar una seguridad razonable con respecto al cumplimiento de los objetivos de la organización.
Como Proceso
Es un medio para alcanzar un fin, no es un fin en sí mismo.
No es un evento o circunstancia sino una serie de acciones que permean en las actividades de una organización.
Es una cadena de acciones extendida a todas las actividades inherentes a la gestión e integradas a los demás procesos básicos de la misma: planificación, ejecución y supervisión.
Los controles deben constituirse “dentro” de la infraestructura de la Organización y no “sobre ella”.
Objetivos de Control Interno sobre el Reporte Financiero (coso III)
Promover eficiencia y eficacia en las operaciones Asegurar confiabilidad en la información financiera Lograr el cumplimiento con las leyes y regulaciones aplicables.
No sustituye a ninguno de los Modelos anteriores
Está enfocado solamente a cumplir el objetivo de: Asegurar la confiabilidad de la información financiera
Son 20 principios y 76 Atributos
Cada principio tiene varios atributos
El no cumplir con un principio = Deficiencia
COSO III
No todos los Atributos son requeridos Pero todos los Principios si son requeridos
Ambiente de Control.Es la base fundamental para los otros componentes del COSO, dando disciplina y estructura. Incide en:
El modo en que las estrategias y objetivos son establecidos, las actividades del negocio son estructuradas e identifican y evalúan los riesgos, y actúa sobre ellos.
Incide en la concientización del personal, respecto del riesgo y el control.
Tiene 7 principios y 23 atributosEvaluación de Riesgos
Identificación de RiesgosEs un incidente o acontecimiento, derivado de fuentes internas o externas, que afecta a la implementación de la estrategia o la consecución de objetivos. Pueden ser positivos o negativos, o de ambos tipos a la vez.
En otras palabras son las incertidumbres. Las que no se saben si ocurrirán, ni su impacto.
Evaluación del RiesgoPermite a la entidad a considerar la amplitud con que los eventos potenciales impactan en la consecución de los objetivos.
Riesgo inherente: al que se enfrenta en ausencia de acciones de la dirección para modificar su probabilidad.
Riesgo residual: es el que permanece después de que la dirección desarrolle sus respuestas a los riesgos.
COSO III
Respuesta a los riesgosUna vez evaluado los riesgos, la dirección determina cómo responder a ellos, (portafolio de riesgos).
Evitar: supone salirse de las actividades que los generen. Reducir: es tomar decisiones para reducirlos. Compartir: se reduce compartiendo el riesgo. (seguros) Aceptar: no se emprende ninguna acción.
Tiene 3 principios y 14 atributos
Actividades de Control.Son las políticas y procedimientos que ayudan a asegurar que ya no se van a dar (Controles internos preventivos, controles sobre sistemas de información, y controles generales).
Tiene 4 principios y 16 atributos
Información y Comunicación.Identificación, obtención y comunicación de información pertinente en una forma y en un tiempo que les permita a los empleados cumplir con sus responsabilidades.
La información es necesaria en todos los niveles de la organización para identificar, evaluar y dar respuesta al riesgo.
Se debe identificar, capturar y comunicar en tiempo y forma que permita al personal cumplir con sus responsabilidades. La información relevante es obtenida de fuentes internas y externas.
La comunicación se debe realizar en sentido amplio y fluir por toda la entidad en todos sentidos.
Debe existir una comunicación adecuada con partes externas a la organización como clientes, proveedores, reguladores y accionistas.
Tiene 4 principios y 14 atributos
Monitoreo. Proceso que valora el desempeño de sistema en el tiempo.La Administración de Riesgos Corporativos de una entidad cambia con el tiempo. Las respuestas a los riesgos que antaño eran efectivas pueden llegar a ser irrelevantes; por lo tanto tiene que revisarse constantemente. Se puede realizar: A través de actividades permanentes
O mediante evaluaciones independientes.
COSO III
Tiene 2 principios y 8 atributos
Componentes
El control interno consta de cinco componentes interrelacionados, que se derivan de la forma como la administración maneja el ente, y están integrados a los procesos administrativos, los cuales se clasifican como:
a) Ambiente de Control.b) Evaluación de Riesgos.c) Actividades de Control.d) Información y Comunicación.e) Supervisión y Seguimiento.
El control interno, consiste en un proceso multidireccional repetitivo y permanente, en el cual más de un componente influye en los otros y conforman un sistema integrado que reaccionan dinámicamente a las condiciones cambiantes.
Niveles de Efectividad
Los sistemas de control interno operan con distintos niveles de efectividad; puede ser juzgado efectivo en cada uno de los tres grupos, respectivamente, si el consejo de administración o junta y la gerencia tienen una razonable seguridad de que:
• Entienden el grado en que se alcanzan los objetivos de las operaciones de las entidades• Los informes financieros sean preparados en forma confiable.• Se observen las leyes y los reglamentos aplicables.
a) Ambiente de Control
Cosiste en el establecimiento de un entorno que se estimule e influencie la actividad del personal con respecto al control de sus actividades.
COSO III
Es la base de los demás componentes de control a proveer disciplina y estructura para el control e incidir en la manera como:
• Se estructuran las actividades del negocio.• Se asigna autoridad y responsabilidad.• Se organiza y desarrolla la gente.• Se comparten y comunican los valores y creencias.• El personal toma conciencia de la importancia del control.
Factores del Ambiente de Control:
• La integridad y los valores éticos.• El compromiso a ser competente.• Las actividades de la junta directiva y el comité de auditoría.• La mentalidad y estilo de operación de la gerencia.• La estructura de la organización.• La asignación de autoridad y responsabilidades.• Las políticas y prácticas de recursos humanos.
El ambiente de control tiene gran influencia en la forma como se desarrollan las operaciones, se establecen los objetivos y se minimizan los riesgos. Tiene que ver igualmente en el comportamiento de los sistemas de información y con la supervisión en general. A su vez es influenciado.
b) Evaluación de Riesgos
Es la identificación y análisis de riesgos relevantes para el logro de los objetivos y la base para determinar la forma en que tales riesgos deben ser mejorados. Así mismo, se refiere a los mecanismo necesarios para identificar y manejar riesgos específicos asociados con los cambios, tanto los que influyen en el entrono de la organización como en su interior.
En toda entidad, es indispensable el establecimiento de objetivos tanto globales de la organización como de actividades relevantes, obteniendo con ello una base sobre la cual sean identificados y analizados los factores de riesgo que amenazan su oportuno cumplimiento.
La evolución de riesgos debe ser una responsabilidad ineludible para todos los niveles que están involucrados en el logro de los objetivos. Esta actividad de autoevaluación debe ser revisada por los auditores interno para asegurar que tanto el objetivo, enfoque, alcance y procedimiento han sido apropiadamente llevados a cabo.
COSO III
Toda entidad enfrenta una variedad de riesgos provenientes de fuentes externas e internas que deben ser evaluados por la gerencia, quien a su vez, establece objetivos generales y específicos e identifica y analiza los riesgos de que dichos objetivos no se logren o afecten su capacidad para salvaguardar sus bienes y recursos, mantener ventaja ante la competencia. Construir y conservar su imagen, incrementar y mantener su solidez financiera, crecer, etc.
Objetivos: Su importancia es evidente en cualquier organización, ya que representa la orientación básica de todos los recursos y esfuerzos y proporciona una base sólida para un control interno efectivo. La fijación de objetivos es el camino adecuado para identificar factores críticos de éxito.
Las categorías de los objetivos son las siguientes:
• Objetivos de Cumplimiento. Están dirigidos a la adherencia a leyes y reglamentos, así como también a las políticas emitidas por la administración.• Objetivos de Operación. Son aquellos relacionados con la efectividad y eficacia de las operaciones de la organización.• Objetivos de la Información Financiera. Se refieren a la obtención de información financiera confiable.
El logro de los objetivos antes mencionados está sujeto a los siguientes eventos:
1. Los controles internos efectivos proporcionan una garantía razonable de que los objetivos de información financiera y de cumplimiento serán logrados, debido a que están dentro del alcance de la administración.
2. En relación a los objetivos de operación, la situación difiere de la anterior debido a que existen eventos fuera de control del ente o controles externos. Sin embargo, el propósito de los controles en esta categoría está dirigido a evaluar la consistencia e interrelación entre los objetivos y metas en los distintos niveles, la identificación de factores críticos de éxito y la manera en que se reporta el avance de los resultados y se implementan las acciones indispensables para corregir desviaciones.
Los riesgos de actividades también deben ser identificados, ayudando con ello a administrar los riesgos en las áreas o funciones más importantes; las causas en este nivel pertenecen a un rango amplio que va desde lo obvio hasta lo complejo y con distintos grados de significación, deben incluir entre otros aspectos los siguientes:
COSO III
• La estimación de la importancia del riesgo y sus efectos.• La evaluación de la probabilidad de ocurrencia.• El establecimiento de acciones y controles necesarios.• La evaluación periódica del proceso anterior.
c) Actividades de Control
Son aquellas que realiza la gerencia y demás personal de la organización para cumplir diariamente con las actividades asignadas. Estas actividades están expresadas en las políticas, sistemas y procedimientos.
Las actividades de control tienen distintas características. Pueden ser manuales o computarizadas, administrativas u operacionales, generales o específicas, preventivas o detectivas. Sin embargo, lo trascendente es que sin importar su categoría o tipo, todas ellas están apuntando hacia los riesgos (reales o potenciales) en beneficio de la organización, su misión y objetivos, así como la protección de los recursos propios o de terceros en su poder.
Las actividades de control son importantes no solo porque en sí mismas implican la forma correcta de hacer las cosas, sino debido a que son el medio idóneo de asegurar en mayor grado el logro de objetivos.
d) Información y Comunicación
Están diseminados en todo el ente y todos ellos atienden a uno o más objetivos e control. De manera amplia, se considera que existen controles generales y controles de aplicación sobre los sistemas de información.
1. Controles Generales: Tienen como propósito asegurar una operación y continuidad adecuada, e incluyen al control sobre el centro de procesamiento de datos y su seguridad física, contratación y mantenimiento del hardware y software, así como la operación propiamente dicha. También se relacionan con las funciones de desarrollo y mantenimiento de sistemas, soporte técnico y administración de base de datos.
COSO III
2. Controles de Aplicación: Están dirigidos hacia el interior de cada sistema y funcionan para lograr el procesamiento, integridad y confiabilidad, mediante la autorización y validación correspondiente. Desde luego estos controles cubren las aplicaciones destinadas a las interfases con otros sistemas de los que se reciben o entregan información.
Los sistemas de información y tecnología son y serán sin duda un medio para incrementar la productividad y competitividad. Ciertos hallazgos sugieren que la integración de la estrategia, la estructura organizacional y la tecnología de información es un concepto clave para el nuevo siglo.Con frecuencia se pretende evaluar la situación actual y predecir la situación futura sólo con base en la información contable. Este enfoque es simplista, por su parcialidad, sólo puede conducir a juicios equivocados.
Para todos los efectos, es preciso estas conscientes de que la contabilidad nos dice, en parte, lo que ocurrió pero no lo que va a suceder en el futuro. Los sistemas producen reportes que contienen información operacional, financiera y de cumplimiento que hace posible conducir y controlar la organización.La información generada internamente así como aquella que se refiere a eventos acontecidos en el exterior, es parte esencial de la toma de decisiones así como en el seguimiento de las operaciones. La información cumple con distintos propósitos a diferentes niveles.
e) Supervisión y Seguimiento
En general, los sistemas de control están diseñados para operar en determinadas circunstancias. Claro está que para ello se tomaron en consideración los objetivos, riesgos y las limitaciones inherentes al control; sin embargo, las condiciones evolucionan debido tanto a factores externos como internos, provocando con ello que los controles pierdan su eficiencia.Como resultado de todo ello, la gerencia debe llevar a cabo la revisión y evaluación sistemática de los componentes y elementos que forman parte de los sistemas de control. Lo anterior no significa que tenga que revisarse todos los componentes y elementos, como tampoco que deba hacerse al mismo tiempo.
La evaluación debe conducir a la identificación de los controles débiles, insuficientes o innecesarios, para promover con el apoyo decidido de la gerencia, su robustecimiento e implantación. Esta evaluación puede llevarse a cabo de tres formas: durante la realización de las actividades diarias en los distintos niveles de la organización; de manera separada
COSO III
por personal que no es el responsable directo de la ejecución de las actividades (incluidas las de control) y mediante la combinación de las dos formas anteriores. Para un adecuado seguimiento (monitoreo) se deben tener en cuenta las siguientes reglas:
• El personal debe obtener evidencia de que el control interno está funcionando.• Sí las comunicaciones externas corroboran la información generada internamente.
• Se deben efectuar comparaciones periódicas de las cantidades registradas en el sistema de información contable con el físico de los activos.
• Revisar si se han implementado controles recomendados por los auditores internos y externos; o por el contrario no se ha hecho nada o poco.
• Sí son adecuadas, efectivas y confiables las actividades del departamento de la auditoría interna.
Informe de las deficiencias
El proceso de comunicar las debilidades y oportunidades de mejoramiento de los sistemas de control, debe estar dirigido hacia quienes son los propietarios y responsables de operarlos, con el fin de que implementen las acciones necesarias.Dependiendo de la importancia de las debilidades identificadas, la magnitud del riesgo existente y la probabilidad de ocurrencia, se determinará el nivel administrativo al cual deban comunicarse las deficiencias.
Dentro de un ente económico las responsabilidades sobre el control corresponden a:
COSO III
COSO III
¿Qué aporta cada componente?
Entorno de control:
El entorno de control marca la pauta del funcionamiento de una empresa e influye en la concienciación de sus empleados respecto al control. Es la base de todos los demás componentes del control interno, aportando disciplina y estructura. Los factores del entorno de control incluyen la integridad, los valores éticos y la capacidad de los empleados de la empresa, la filosofía de dirección y el estilo de gestión, la manera en que la dirección asigna autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados y la atención y orientación que proporciona al consejo de administración.
“El núcleo de un negocio es su personal (sus atributos individuales, incluyendo la integridad, los valores éticos y la profesionalidad) y el entorno en que trabaja, los empleados son el motor que impulsa la entidad y los cimientos sobre los que descansa todo”.
El Entorno de control propicia la estructura en la que se deben cumplir los objetivos y la preparación del hombre que hará que se cumplan.
Evaluación de los riesgos:
Las organizaciones, cualquiera sea su tamaño, se enfrentan a diversos riesgos de origen externos e internos que tienen que ser evaluados. Una condición previa a la evaluación del riesgo es la identificación de los objetivos a los distintos niveles, vinculados entre sí e internamente coherentes. La evaluación de los riesgos consiste en la identificación y el análisis de los riesgos relevantes para la consecución de los objetivos, y sirve de base para determinar cómo han de ser gestionados los riesgos. Debido a que las condiciones económicas, industriales, legislativas y operativas continuarán cambiando continuamente, es necesario disponer de mecanismos para identificar y afrontar los riesgos asociados con el cambio.
“La entidad debe conocer y abordar los riesgos con que se enfrenta, estableciendo mecanismos para identificar, analizar y tratar los riesgos correspondientes en las distintas áreas”.
Aunque para crecer es necesario asumir riesgos prudentes, la dirección
COSO III
debe identificar y analizar riesgos, cuantificarlos, y prever la probabilidad de que ocurran así como las posibles consecuencias.
La evaluación del riesgo no es una tarea a cumplir de una vez para siempre. Debe ser un proceso continuo, una actividad básica de la organización, como la evaluación continua de la utilización de los sistemas de información o la mejora continua de los procesos.
Los procesos de evaluación del riesgo deben estar orientados al futuro, permitiendo a la dirección anticipar los nuevos riesgos y adoptar las medidas oportunas para minimizar y/o eliminar el impacto de los mismos en el logro de los resultados esperados. La evaluación del riesgo tiene un carácter preventivo y se debe convertir en parte natural del proceso de planificación de la empresa.
Actividades de control:
Las actividades de control son las políticas y los procedimientos que ayudan a asegurar que se lleven a cabo las instrucciones de la dirección de la empresa. Ayudan a asegurar que se tomen las medidas necesarias para controlar los riesgos relacionados con la consecución de los objetivos de la empresa. Hay actividades de control en toda la organización, a todos los niveles y en todas las funciones.
“Deben establecerse y ajustarse políticas y procedimientos que ayuden a conseguir una seguridad razonable de que se llevan a cabo en forma eficaz las acciones consideradas necesarias para afrontar los riesgos que existen respecto a la consecución de los objetivos de la unidad”.
Las actividades de control existen a través de toda la organización y se dan en toda la organización, a todos los niveles y en todas las funciones, e incluyen cosas tales como; aprobaciones, autorizaciones, verificaciones, conciliaciones, análisis de la eficacia operativa, seguridad de los activos, y segregación de funciones.
En algunos entornos, las actividades de control se clasifican en; controles preventivos, controles de detección, controles correctivos, controles manuales o de usuario, controles informáticos o de tecnología de información, y controles de la dirección. Independientemente de la clasificación que se adopte, las actividades de control deben ser
COSO III
adecuadas para los riesgos.
Hay muchas posibilidades diferentes en lo relativo a actividades concretas de control, lo importante es que se combinen para formar una estructura coherente de control global.
Las empresas pueden llegar a padecer un exceso de controles hasta el punto que las actividades de control les impidan operar de manera eficiente, lo que disminuye la calidad del sistema de control. Por ejemplo, un proceso de aprobación que requiera firmas diferentes puede no ser tan eficaz como un proceso que requiera una o dos firmas autorizadas de funcionarios componentes que realmente verifiquen lo que están aprobando antes de estampar su firma. Un gran número de actividades de control o de personas que participan en ellas no asegura necesariamente la calidad del sistema de control.
Información y comunicación:
Se debe identificar, recopilar y comunicar información pertinente en forma y plazo que permitan cumplir a cada empleado con sus responsabilidades. Los sistemas informáticos producen informes que contienen información operativa, financiera y datos sobre el cumplimiento de las normas que permite dirigir y controlar el negocio de forma adecuada.
Dichos sistemas no sólo manejan datos generados internamente, sino también información sobre acontecimientos internos, actividades y condiciones relevantes para la toma de decisiones de gestión así como para la presentación de información a terceros. También debe haber una comunicación eficaz en un sentido más amplio, que fluya en todas las direcciones a través de todos los ámbitos de la organización, de arriba hacia abajo y a la inversa.
El mensaje por parte de la alta dirección a todo el personal ha de ser claro; las responsabilidades del control han de tomarse en serio. Los empleados tienen que comprender cual es el papel en el sistema de control interno y como las actividades individuales estén relacionadas con el trabajo de los demás. Por otra parte, han de tener medios para comunicar la información significativa a los niveles superiores. Asimismo, tiene que haber una comunicación eficaz con terceros, como
COSO III
clientes, proveedores, organismos de control y accionistas.
En la actualidad nadie concibe la gestión de una empresa sin sistemas de información. La tecnología de información se ha convertido en algo tan corriente que se da por descontada. En muchas organizaciones los directores se quejan de que los voluminosos informes que reciben les exigen revisar demasiados datos para extraer la información pertinente.
En tales casos puede haber comunicación pero la información está presentada de manera que el individuo no la puede utilizar o no la utiliza real y efectivamente. Para ser verdaderamente efectiva la TI debe estar integrada en las operaciones de manera que soporte estrategias proactivas en lugar de reactivas.
Todo el personal, especialmente el que cumple importantes funciones operativas o financieras, debe recibir y entender el mensaje de la alta dirección, de que las obligaciones en materia de control deben tomare en serio. Asimismo debe conocer su propio papel en el sistema de control interno, así como la forma en que sus actividades individuales se relacionan con el trabajo de los demás.Si no se conoce el sistema de control, los cometidos específicos y las obligaciones en el sistema, es probable que surjan problemas. Los empleados también deben conocer cómo sus actividades se relacionan con el trabajo de los demás.
Debe existir una comunicación efectiva a través de toda la organización.El libre flujo de ideas y el intercambio de información son vitales. La comunicación en sentido ascendente es con frecuencia la más difícil, especialmente en las organizaciones grandes. Sin embargo, es evidente la importancia que tiene.
Los empleados que trabajan en la primera línea cumpliendo delicadas funciones operativas e interactúan directamente con el público y las autoridades, son a menudo los mejor situados para reconocer y comunicar los problemas a medida que surgen.
El fomentar un ambiente adecuado para promover una comunicación abierta y efectiva está fuera del alcance de los manuales de políticas y procedimientos. Depende del ambiente que reina en la organización y
COSO III
del tono que da la alta dirección.
Los empleados deben saber que sus superiores desean enterarse de los problemas, y que no se limitarán a apoyar la idea y después adoptarán medidas contra los empleados que saquen a luz cosas negativas. En empresas o departamentos mal gestionados se busca la correspondiente información pero no se adoptan medidas y la persona que proporciona la información puede sufrir las consecuencias.
Además de la comunicación interna debe existir una comunicación efectiva con entidades externas tales como accionistas, autoridades, proveedores y clientes. Ello contribuye a que las entidades correspondientes comprendan lo que ocurre dentro de la organización y se mantengan bien informadas. Por otra parte, la información comunicada por entidades externas a menudo contiene datos importantes sobre el sistema de control interno.
Supervisión o monitoreo:
Los sistemas de control interno requieren supervisión, es decir, un proceso que comprueba que se mantiene el adecuado funcionamiento del sistema a lo largo del tiempo. Esto se consigue mediante actividades de supervisión continuada, evaluaciones periódicas o una combinación de ambas cosas. La supervisión continuada se da en el transcurso de las operaciones. Incluye tanto las actividades normales de dirección y supervisión, como otras actividades llevadas a cabo por el personal en la realización de sus funciones. El alcance y la frecuencia de las evaluaciones periódicas dependerán esencialmente de una evaluación de los riesgos y de la eficacia de los procesos de supervisión continuada. Las deficiencias detectadas en el control interno deberán ser notificadas a niveles superiores, mientras que la alta dirección y el consejo de administración deberán ser informados de los aspectos significativos observados.
“Todo el proceso debe ser supervisado, introduciéndose las modificaciones pertinentes cuando se estime necesario. De esta forma el sistema puede reaccionar ágilmente y cambiar de acuerdo a las circunstancias”.
Es preciso supervisar continuamente los controles internos para
COSO III
asegurarse de que el proceso funciona según lo previsto. Esto es muy importante porque a medida que cambian los factores internos y externos, controles que una vez resultaron idóneos y efectivos pueden dejar de ser adecuados y de dar a la dirección la razonable seguridad que ofrecían antes.
El alcance y frecuencia de las actividades de supervisión dependen de los riesgos a controlar y del grado de confianza que inspira a la dirección el proceso de control. La supervisión de los controles internos puede realizarse mediante actividades continuas incorporadas a los procesos empresariales y mediante evaluaciones separadas por parte de la dirección, de la función de auditoria interna o de personas independientes. Las actividades de supervisión continua destinadas a comprobar la eficacia de los controles internos incluyen las actividades periódicas de dirección y supervisión, comparaciones, conciliaciones, y otras acciones de rutina.
PRINCIPIOS Y ATRIBUTOS DEL AMBIENTE DE CONTROL
PRINCIPIOS ATRIBUTOS1. Integridad y Valores
ÉticosLa integridad y los valores éticos sólidos, especialmente de los altos directivos, se desarrollan, se comprenden y fijan el estándar de conducta para el reporte de la información financiera.
1. Articular valores2. Monitorear adherencia3. Señalar Desviaciones
2. Consejo de AdministraciónEl Consejo de Administración entiende y ejerce la responsabilidad de supervisión relacionada con el reporte de la información financiera y el control interno relacionado.
1. Define la autoridad2. Opera con independencia3. Monitorea el riesgo4. Retiene al Experto en Reporte
Financiero5. Evalúa la confiabilidad y calidad del
reporte financiero
6. Supervisa las actividades de los Auditores.
3. Filosofía de la 1. Establece el tono en el proceso de reporte financiero
COSO III
administración y estilo de operaciónLa filosofía y la forma de operar de la dirección ayuda a lograr el control interno eficaz del reporte de la información financiera.
2. Influencia actitudes hacia el principio y estimaciones contables
3. Articula objetivos para el proceso de reporte financiero
4. Estructura
OrganizacionalLa estructura de la organizacional de la empresa ayuda a lograr el control interno eficaz del reporte de la información financiera.
1. Establece líneas de reporte financiero2. Establece estructura efectiva (incluye
auditoría interna)
5. Competencias del
reporte financieroLa empresa retiene individuos competentes en reporte de la información financiera y puestos de supervisión relacionados.
1. 1. Identifica competencias2. Retiene individuos con las capacidades3. Evalúa competencias
6. Autoridad y ResponsabilidadSe asignan niveles de autoridad y responsabilidad a la dirección y empleados para facilitar el control interno eficaz del reporte de la información financiera.
1. Define la asignación de responsabilidad y delegación de autoridada) El consejo ( a través del comité de auditoría)b) La alta administración (El director general y la alta administración son los responsables).c) Los directores y gerentes ( son los responsables que todos los empleados se aseguren de entender sus responsabilidades)
2. Limites de autoridad
7. Recursos humanosSe diseñan e implementan políticas y
1. Establece la práctica de recursos humanos (integridad, comportamiento ético y competencia).
2. Atraer y retener
COSO III
prácticas de recursos humanos para facilitar el control interno eficaz del
3. Adecuado entrenamiento4. Evalúa las competencias y su
compensación
PRINCIPIOS Y ATRIBUTOS DE EVALUACION DE RIESGOSPRINCIPIOS ATRIBUTOS
8. Objetivos del reporte financiero La dirección especifica los objetivos de reporte de la información financiera con suficiente claridad y criterios para facilitar la identificación de riesgos al reporte de la información financiera fiable.
1. Cumplimiento de principios de contabilidad generalmente aceptados2. Soporte a la divulgación informativa3. Reflejen las actividades de la compañía4. Están soportados por las aseveraciones relevantes de los Estados Financierosa) Existenciab) Totalidadc)Derechos y obligacionesd) Valuacióne) Presentación y divulgación5. Tener en cuenta la materialidad
9. Riesgo en el Reporte FinancieroLa empresa identifica y analiza riesgos al logro de los objetivos de reporte de la información financiera como base para determinar como se deberían gestionar estos riesgos.
1. Incluye los procesos de negocio (que impactan el reporte financiero)2. Incluye al personal ( involucrados en el reporte financiero)3. Incluye tecnologías de información4. Involucra niveles de aprobación de la administración)5. Consideraciones de factores de riesgo interno y externo6. Estimación de la probabilidad e impacto (valor del riesgo)7. Establecer evaluaciones de los cambios
10. Riesgo de fraude
La probabilidad de un error material debido a fraude se considera explícitamente cuando se
1. 1. Consideraciones de presiones para obtener incentivos
2. Consideraciones de riesgo de fraude ( probabilidad que alguien cometa fraude
3. Establecimiento de responsabilidad y rendición de cuentas (políticas y
COSO III
evalúan los riesgos para lograr los objetivos de reporte de la información
procedimientos)
PRINCIPIOS Y ATRIBUTOS DE ACTIVIDADES DE CONTROLPRINCIPIOS ATRIBUTOS
11. Integración con la Evaluación de Riesgos
Se toman acciones para abordar los riesgos al logro de los objetivos de reporte de la información financiera.
1. Que Mitiguen los Riesgos (Las actividades de control deben estar
2. Riesgos enfocadas a mitigar los riesgos)
3. Considerar Todos los Puntos de Entrada a los Registros Contables de la Compañía (Las actividades de control deben encaminarse a todos los aspectos del proceso de registro de las transacciones)
4. Considerar la Tecnología de Información (Incluir los riesgos relevantes de tecnología de información)
12. Selección y Desarrollo de las Actividades de ControlSe seleccionan y desarrollan actividades de control teniendo en cuenta su coste y su eficacia potencial de mitigar riesgos para lograr los objetivos de reporte de la información financiera.
1. Considerar el Rango de Actividades (Aprobación, Autorización,
2. Actividades de Control Verificaciones, Reconciliaciones, Revisiones de
3. Desempeño Operativo, Seguridad de Activos, y Segregación de Funciones)
4. Incluye Controles Preventivos y Detectivos
5. Segregación de Funciones6. Consideraciones de Costo vs. Beneficio
13. Políticas y ProcedimientosSe fijan y comunican en toda la empresa las políticas relacionadas con el reporte de la información financiera fiable, y los procedimientos correspondientes que
1. Integradas Dentro de los Procesos de Negocio
2. Establezcan Responsabilidad y Rendición de Cuentas
3. Ocurran Sobre una Base de Tiempo4. Implementaciones con Cautela y Buen
Juicio5. Investigación de Excepciones6. Evaluaciones Periódicas
COSO III
resulta en la aplicación de las directrices de la
14. Tecnologías de informaciónSe diseñan e implementan los controles de tecnología de la información donde sean aplicables, para ayudar a lograr los objetivos de reporte de la información financiera.
1. Incluye Controles de las Aplicaciones:a) Construidos dentro de los programas de computó y soportados por manuales de procedimientos.b) Diseñados para proveer la totalidad y exactitud del proceso critico de información con la finalidad de tener integridad en el reporte financiero.
2. Consideraciones Generales del Centro de Computóa) Control de accesosb) Control de cambios e incidentesc) Desarrollo e implementación de sistemas
3. Controles de Usuario Final (Incluyendo hojas de trabajo de Excel y otros programas desarrollados por los usuarios)
PRINCIPIOS Y ATRIBUTOS DE INFORMACION Y COMUNICACIÓNPRINCIPIOS ATRIBUTOS
15. Proceso de Reporte FinancieroSe identifica, captura y utiliza información pertinente en todos los niveles de la empresa y se distribuye en un formato y marco de tiempo que ayuda a lograr los objetivos de reporte de la información financiera.
1. Captura de Datos (Óptimamente, en la fuente), Totales, Exactos y Oportunos
2. Incluye Información Financiera (La información es identificada y capturada por todas las transacciones y eventos)
3. Uso de Fuentes Externas e Internas4. Incluye Información Operativa5. Mantenimiento de la Calidad de
Información (Oportuna, al Corriente, Exacta y Accesible)
16. Control Interno
de la InformaciónSe identifica y captura información utilizada para poner en marcha otros componentes de
1. Captura de Datos (Totalidad, Exactitud, Oportunidad y Cumplimiento con Leyes y Regulaciones)
2. Reportes de Excepciones (Análisis de la causa raíz, pronta resolución de los casos, y control de las actualizaciones
COSO III
control y se distribuye en un formato y marco de tiempo que permite
cuando se necesite)3. Mantenimiento de la Calidad de
Información
17. Comunicación
InternaLa comunicación permite y ayuda a la comprensión y ejecución de objetivos, procesos y responsabilidades individuales de control interno en todos los niveles de la empresa.
1. Comunicación con el Personal2. Comunicación con el Consejo3. Incluye Líneas Separadas de
Comunicación ("Por si las dudas")4. Acceso a la Información (Auditoría
Externa, Auditoría Interna, Consejo, Reguladores, Terceros Interesados)
18. Comunicación Externa Se comunica a partes externas los asuntos que afectan la consecución de los objetivos de reporte de la información financiera.
1. 1. Proveer el recibir información (Canales como de Clientes, Reguladores, Proveedores, Auditores Externos, Analistas Financieros y Otros)
2. 2. Acceso Independiente (Cuando el control interno en el proceso del reporte financiero es evaluada por el auditor externo, dicha evaluación debe comunicarse a la administración y al consejo)
PRINCIPIOS Y ATRIBUTOS DE MONITOREO PRINCIPIOS ATRIBUTOS
19. Evaluaciones Oportunas e IndependientesEvaluaciones continuas y/o separadas permiten que la dirección determine si el control interno de reporte de la información financiera existe y funciona.
1. Integradas con las Operaciones2. Independientes 2. Provean Evaluaciones
Objetivas3. Utilizar el Conocimiento Acumulado del
Personal4. Considerar la Retroalimentación
(Auditoría Externa, Interna, Otros)5. Ajustar el Alcance y la Frecuencia de las
Revisiones
COSO III
20. Reporte de
DeficienciasSe identifica y comunica las deficiencias de control interno de forma puntual a las partes responsables de tomar acción correctiva y a la dirección y la junta según sea apropiado.
1. Reporte de Observaciones ( Al dueño del proceso y al menos a un nivel superior)
2. 2. Reporte de Deficiencias (Estas deben comunicarse al más alto nivel como el director general, consejo y comité de auditoría)
3. 3. Corrección Sobre una Base Oportuna
COSO III
DIFERENCIAS ENTRE COSO I, II Y III
COSO I Fue creada para facilitar a las empresas a evaluar y mejorar sus sistemas de control interno. Desde entonces ésta metodología se incorporó en las políticas, reglas y regulaciones y ha sido utilizada por muchas compañías para mejorar sus actividades de control hacia el logro de sus objetivos.
COSO IISus Aplicaciones técnicas asociadas, el cual amplía el concepto de control interno, proporcionando un foco más robusto y extenso sobre la identificación, evaluación y gestión integral de riesgo.
No sustituye el marco de control interno, sino que lo incorpora como parte de él, permitiendo a las compañías mejorar sus prácticas de control interno o decidir encaminarse hacia un proceso más completo de gestión de riesgo.
COSO IIIDefine al sistema de control interno como un proceso realizado por la dirección, la gerencia y el personal de una entidad diseñado para proporcionar una seguridad razonable con respecto al cumplimiento de los objetivos de la organización, en otras palabras asegurar la confiabilidad de la información financiera.
Diferencias del marco del informe COSO
El reporte del COSO II complementa al COSO I, con un modelo de identificación evaluación y administración de riesgos que puede afectar la estrategia. (No incluido en el primer reporte), la eficiencia y eficacia de las operaciones, la confiabilidad de la información y el cumplimiento de leyes y regulaciones, permanecen sin cambio.Introduce el concepto de apetito de riesgo que junto con el ambiente de control conjunta el ambiente interno de control. Divide la administración de riesgos dentro de cuatro categorías:
1. Establecimiento de objetivos.2. Identificación de eventos que afecten los objetivos.3. Administración de riesgos: estimando la probabilidad y el impacto
sobre los objetivos. Se sugiere dos cálculos: Si la administración no actuará (riesgo inherente) y la evaluación después de las acciones (riesgo residual)
4. Respuesta al riesgo: acciones (define el nivel de tolerancia).
COSO III
El resto de los componentes de control se mantienen igual que en el COSO I: Las actividades de control (las relacionadas para mantener los niveles de tolerancia); información y comunicación (control sobre los datos) y el monitoreo o supervisión (llevada a cabo por auditorías y otros procedimientos). Mientras que el COSO III, es modificado para que pueda existir un control sobre el riesgo financiero en las empresas pequeñas, debido a que el COSO I y II, es de aplicación solo para medianas y grandes empresas, pero no sustituye a ninguno de los anteriores.
Cambios en el Marco:Qué no cambia:
1. Definición de control interno2. Cinco componentes de control interno3. Criterios utilizados para evaluar la eficacia de los sistemas de
control interno4. Uso de juicio en la evaluación de la eficacia de sistemas de
control interno
Que no Cambia:
1. Codificación de principios con aplicación universal para el uso en el desarrollo y evaluación de la eficacia del sistema de control interno
2. Objetivo de informes financieros ampliado para abordar los objetivos de informes externos, financieros y no financieros
3. Mayor concentración en operaciones, cumplimiento y objetivos de informe no financieros basados en aportes de usuarios
Ejemplo de cambios importantes:
La organización considera el potencial de fraude relacionado con la declaración falsa material de informes, la protección inadecuada de activos, la protección inadecuada de activos, y corrupción en la evaluación de riesgos para el logro de objetivos.
La organización selecciona y desarrolla actividades de control generales sobre la tecnología para dar apoyo al logro de objetivos
La organización selecciona, desarrolla y realizar evaluaciones continuas y/o individuales para asegurar si los componentes de control interno están presentes y en funcionamiento
COSO III
INFORME COSO
El “Informe COSO” constituyó un gran avance al acordar una definición respecto al concepto de control interno. El informe COSO logra definir un marco conceptual común y se constituye en una visión integradora del control interno.
A nivel organizacional
Documento destaca la necesidad de que la alta dirección y el resto de la organización comprendan cabalmente la trascendencia del control interno, la incidencia del mismo sobre los resultados de la gestión, el papel estratégico a conceder a la auditoría y esencialmente la consideración del control como un proceso integrado a los procesos operativos de la empresa y no como un conjunto pesado, compuesto por mecanismos burocráticos.
A nivel regulatorio o normativo
El Informe COSO ha pretendido que cuando se plantee cualquier discusión o problema de control interno, tanto a nivel práctico de las empresas, como a nivel de auditoría interna o externa, o en los ámbitos académicos o legislativos, los interlocutores tengan una referencia conceptual común, lo cual hasta ahora resultaba complejo, dada la multiplicidad de definiciones y conceptos divergentes que han existido sobre control interno.
Estructura
Resumen Ejecutivo: visión de alto nivel sobre la estructura conceptual del control interno, dirigido a directores ejecutivos, miembros del consejo, legisladores.Estructura Conceptual: Define control interno, describe sus componentes y proporciona criterios para que Administradores, Consejeros y otros puedan valorar sus sistemas de control.Reportes a Partes Externas: Es un documento suplementario que proporciona orientación a aquellas entidades que publican informes sobre control interno además de la preparación de estados financieros.Herramientas de evaluación: Proporciona materiales que se pueden usar en la realización de una evaluación de un sistema de control interno.
COSO III
Objetivos
Establecer una definición común de control interno que responda a las necesidades de las distintas partes.
Facilitar un modelo en base al cual las empresas y otras entidades, cualquiera sea su tamaño y naturaleza, puedan evaluar sus sistemas de control interno
COSO Y AUDITORIA INTERNA
La auditoría interna se considerará entonces como una parte del sistema de control.
Informe COSO es una herramienta utilizada por la Auditoría interna para realizar el control interno de la empresa.
La responsabilidad de los Auditores Internos en este proceso es la de revisar el Control implementado.
EJEMPLOMODELO DE INFORME COSO-ERM
Los Onceavos y Asociados, S. C.
Debido a sus limitaciones inherentes, es posible que el control interno sobre la información financiera no prevenga ni detecte los errores. Asimismo, las extrapolaciones de una evaluación de su eficacia a ejercicios futuros están sujetas al riesgo de que los controles pueden llegar a ser inadecuados debido a los cambios de condiciones o porque se produzca un deterioro del nivel de cumplimiento de las políticas o procedimientos.
En nuestra opinión, basado en nuestra auditoría y en el informe de los otros auditores, Abengoa ha mantenido, en todos los aspectos significativos, un control interno sobre información financiera eficaz al 31 de diciembre de 2009, basando en los criterios establecidos en el Marco Integrado de Control Interno emitido por el Commitee of Sponsoring Organizaions of the Treedway Commission (COSO).
COSO III
Asi mismo, hemos auditado, de acuerdo con los estándares del Pluc Company Accounting Oversight Board (Estados Unidos de América), las cuentas anuales consolidadas de Abengoa al 31 de diciembre de 2009 y para el ejercicio finalizado en dicha fecha, sobre las cuales expresamos con fecha 24 de febrero de 2010 una opinión sin salvedades.
Los Onceavos y Asociados, S. C.
Gabriel LópezSocio
24 de febrero de 2010
Modelo de control Interno del Grupo Financiero X, S.A.
El Grupo Financiero X, S.A. ha adoptado su modelo de control interno (MCI) a los estándares internacionales más exigentes y cumple con las directrices establecidas por el Committee of Sponsoring Organizations of the Treadway Commission, en su último marco publicado y conocido como Enterprise Risk Management - Integrated Framework, cubriendo así los componentes estratégicos, operacionales, de reporte financiero y cumplimiento que han sido fijados en el ámbito del control interno de la empresa.
Como resultado final de este proceso, y una vez adaptada la documentación del MCI en su totalidad, así como probado lo adecuado de su diseño y su eficacia, validado su funcionamiento por la Auditoría Interna de la empresa y con la revisión del auditor de cuentas, la administración del Grupo Financiero X ha concluido que al 31 de Diciembre de 2,012, el modelo de control interno de la empresa cubre de manera efectiva los riesgos existentes en la generación de la información financiera para mitigar riesgos operacionales y de cumplimiento asociados a la misma.
COSO III
Los trabajos de puesta en marcha de este proyecto han sido coordinados en el Grupo Financiero X por Intervención General, bajo la supervisión de la Comisión de Auditoría y Cumplimiento. Dado el amplio alcance, así como la diversidad de las Sociedades involucradas, se han creado equipos locales especializados en control interno en cada una de las Unidades, con el objetivo de asegurar la uniformidad de criterio en su implantación.
El esquema general del Modelo corporativo es claro y consistente, al asignar a la Dirección responsabilidades concretas sobre la estructura y eficacia de los procesos relacionados directa e indirectamente con la elaboración de la información financiera, así como los controles que sean necesarios para mitigar los riesgos inherentes a dichos procesos.
Una de las características más destacadas del Modelo del Grupo Financiero X, y que define el alcance global de su diseño y la integridad de su estructura, es la inclusión no sólo de actividades vinculadas a la generación de la información financiera consolidada, aunque sea este su principal objetivo, sino también de aquellos otros procedimientos desarrollados en las áreas de soporte de cada entidad, que sin tener repercusión directa en contabilidad, sí pueden ocasionar posibles pérdidas o contingencias en caso de incidencias, errores, incumplimiento de la normativa interna o fraudes.
Otra singularidad del Modelo de Control Interno es la completa documentación que acompaña a los procesos, ya que recoge descripciones detalladas de transacciones desde su inicio hasta el vuelco a contabilidad, pasando por la autorización, registro y procesamiento de las mismas. Las Sociedades del Grupo Financiero X han documentado sus actividades con el objetivo de cumplir con los siguientes requisitos:
• Identificar los procesos críticos vinculados de forma directa e indirecta a la generación de la información financiera• Identificar los riesgos inherentes a los procesos que pudieran generar errores materiales• Definir los controles establecidos para mitigar dichos riesgos
Como se hacía referencia en informes de ejercicios anteriores, las tareas llevadas a cabo para completar el Modelo de Control Interno del Grupo Financiero X han representado un proyecto de gran laboriosidad debido al volumen de los procedimientos operativos. En términos aproximados, se han documentado en el Grupo Financiero X más de 2.000 procesos y subprocesos relacionados directa o indirectamente con la generación de la información financiera,
COSO III
identificados hasta unos 8,000 eventos de riesgo que podrían originar un error en dicha información, así como 5,000 controles diseñados e implantados para prevenir los riesgos y mitigar sus efectos.
Dado el ámbito corporativo que contempla el Modelo de Control Interno, en el que se han incluido más de diez sociedades del Grupo Financiero X quedando incorporadas todo tipo de actividades y negocios, la Dirección del Grupo Financiero X ha querido aprovechar el esfuerzo realizado para mejorar la calidad de los procesos ya existentes y fortalecer los mecanismos de generación de información financiera del Grupo Financiero X.
Toda la documentación del Modelo correspondiente a cada una de las sociedades del Grupo Financiero se encuentra recogida en una herramienta tecnológica corporativa, desarrollada íntegramente por el Área de Tecnología del Grupo, en la que hay registrados más de 3.200 empleados, usuarios con diferentes niveles de responsabilidades en el esquema de control interno del Grupo Financiero X. La información del sistema se actualiza en tiempo real por el propio usuario, reflejando cualquier cambio en los procesos, riesgos y controles y se encuentra disponible para ser revisada, previa autorización y habilitación, por nuestros auditores externos o nuestros organismos supervisores.
COSO III
Al consejo del Grupo Financiero X, S.A.
Hemos examinado la efectividad de los controles internos del Grupo Financiero X,S.A, sobre la generación de la información financiera contenida en las cuentas anuales consolidadas del Grupo Financiero X,S.A. al 31 de Diciembre de 2,012, elaboradas conforme a las Normas Internacionales de Información Financiera adoptadas en Guatemala, como principios contables generalmente aceptados. El objetivo de dichos controles es contribuir a que se registren fielmente, bajo los principios y normas contables que le son de aplicación, las transacciones realizadas y a proporcionar una seguridad razonable en relación a la prevención o detección de errores que pudieran tener un impacto material en las cuentas anuales consolidadas. Dichos controles están basados en los criterios y políticas definidos por la Administración del Grupo Financiero X, correspondiendo a la administración la responsabilidad de mantenerlos efectivos. Nuestra responsabilidad se limita expresar una opinión sobre su efectividad, basándonos en el trabajo que hemos realizado.
Nuestro trabajo se ha realizado siguiendo las normas Internacionales de Auditoria, y en consecuencia; incluye la comprensión de los controles internos sobre la generación de la información financiera contenida en las cuentas anuales consolidadas, pruebas y evaluaciones sobre el diseño y la efectividad operativa de dichos controles, y la realización de otros procedimientos aplicables, o que se pueda reducir en el futuro el nivel de cumplimiento de las políticas o procedimientos establecidos.
Dadas las limitaciones inherentes a todo sistema de control interno, pueden producirse errores, irregularidades o fraudes que pueden no ser detectados. Igualmente las proyecciones a periodos futuros de la evaluación del control interno, está sujeta a riesgos, tales como que dichos controles internos resulten inadecuados a consecuencia de cambios futuros en las condiciones aplicables, o que se pueda reducir en el futuro el nivel de cumplimiento de las políticas o procedimientos establecidos.
En nuestra opinión el Grupo Financiero X,S.A., mantenía al 31 de Diciembre de 2,012, en todos los aspectos significativos, controles internos efectivos sobre la generación de la información financiera contenida en las cuentas anuales consolidadas, elaboradas conforme a Normas Internacionales de Información Financiera adoptadas en Guatemala como principios contables generalmente aceptados, los
COSO III
cuales están basados en los criterios y políticas definidos por la administración del Grupo Financiero X.
Zoila Pérez SosaColegiado 1500Guatemala 20 de Marzo de 2,012
COSO III
CONTROL INTERNO -COSO
-Informe de Auditoría Interna No. 05-2013-
Guatemala, 15 de enero de 2013
Al Consejo de Administración Empresa Inmobiliaria El Roble, S.A. Ciudad, Guatemala
Señores miembros del Consejo:
De conformidad con nuestro programa de auditoría, hemos concluido con la revisión del ciclo de ingresos. La revisión cubrió el período comprendido del 1 de enero al 31 de diciembre de 2012. La evaluación en mención fue dirigida y supervisada por el Auditor Interno y asistentes con ayuda de la Gerencia General; para determinar con mayor precisión las deficiencias de control interno y proporcionar controles internos más adecuados para solucionar dichas deficiencias.
Nuestro trabajo de auditoría fue efectuado de conformidad con Normas para el Ejercicio Profesional de Auditoría Interna y limitada al ciclo de ingresos.
La empresa Inmobiliaria El Roble, S. A., es una empresa de origen guatemalteco, su actividad principal se enmarca en el arrendamiento de oficinas y servicios de administración a otros edificios. El departamento de auditoría interna se formó con el objeto de salvaguardar los activos de la empresa y evaluar la efectividad y eficiencia del sistema de control interno de las transacciones derivada del giro normal del negocio para el mayor aprovechamiento de los recursos de la entidad y la correcta toma de decisiones.
Estructura organizacional
La gerencia general es desempeñada por uno de los propietarios, siendo la función del Gerente General la administración de la entidad, junto con la auditoría interna para ayudar en aspectos de control interno, el cual reporta directamente al Consejo de Administración de la empresa. Los jefes de los departamentos que integran la
COSO III
organización le proporcionan reportes de las operaciones que realiza el gerente general.
La presente revisión obedece a la solicitud presentada por el Consejo de Administración de la empresa, en el mejoramiento de políticas administrativas de servicio al cliente para lograr un nivel aceptable de satisfacción de la clientela.
Objetivo
El objetivo del trabajo en mención se basó en cubrir la evaluación de la suficiencia y efectividad del sistema de control interno del ciclo de ingresos dentro de la organización para alcanzar los objetivos de control interno, así como la calidad en el cumplimiento de la responsabilidades asignadas desde el punto de vista administrativo y financiero para obtener información actualizada y confiable para la correcta toma de decisiones.
Revisión de los procedimientos del ciclo de ingresos
La revisión de las operaciones concernientes a los ingresos, se realizó a través del cuestionario efectuado para determinar si los controles internos son suficientes para alcanzar los objetivos del control interno.
Se observó la segregación de funciones, la supervisión constante al personal relacionado a las transacciones de ingresos y las medidas que se toman para la protección de los ingresos de efectivo, cheques y documentación que se requiere.
De acuerdo con los resultados obtenidos en está auditoría, se concluye que los controles establecidos para las operaciones del ciclo de ingresos se aplican de manera adecuada, no obstante se observaron algunas situaciones que afectan de alguna manera el proceso del mismo, los cuales se incluyen a continuación:
CICLO DE INGRESOS
1. Falta de Segregación de Funciones
Hallazgo:
En el área de caja se observó que no existe una separación adecuada de funciones.
Causa
COSO III
El encargado de caja realiza el manejo de efectivo, hace cheques, paga la planilla, hace los depósitos de efectivo diariamente, realiza registros contables, emite reportes y realiza el cobro a los clientes y los localiza vía telefónica para que se presentar a efectuar su pago.
Efecto:
Dificultad para realizar sus funciones de manera eficiente y la incidencia de cometer errores, al mismo tiempo la posibilidad de jineteo de fondos.
Recomendación: ´
Reestructurar el área de caja con un Encargado y un Auxiliar, para reasignar las actividades, funciones, optimizar el tiempo y las labores; logrando mayor eficiencia y eficacia en las operaciones del área de caja.
Comentario de la administración
El gerente financiero indicó que la recomendación será tomada en consideración y se reestructurará el área de caja.
2. Falta de Manuales de Procedimientos
Hallazgo:
No existen manuales de procedimientos que indiquen las responsabilidades y funciones específicas para el área de Cuentas por Cobrar y Caja y en general del departamento de Contabilidad y específico a cada puesto de trabajo.
Causa:
Realización de operaciones inadecuadas y no autorizadas, derivado de la inexistencia de un documento que proporcione información sobre las operaciones y funciones de los empleados existentes y de nuevo ingreso.
COSO III
Efecto:
Existe el riesgo de que los empleados de nuevo ingreso no puedan desarrollar sus funciones con eficiencia y conocer sus responsabilidades al no contar con un documento escrito para su consulta.
Recomendación:
Con el objetivo de mantener actualizadas las descripciones y análisis de cada uno de los puestos se deben elaborar manuales contables y de procedimientos, actualizar descripciones de puestos y hacer conocimiento del personal de sus funciones y responsabilidades.
Comentario de la administración: El gerente general indicó que se tiene prevista la emisión de manuales de procedimientos para las distintas áreas del departamento de contabilidad a través del departamento de auditoría.
3. Políticas de Evaluación
Hallazgo:
La falta de políticas de evaluación relativas al desempeño de las funciones de los empleados y de exigir un mejor rendimiento laboral, incide en la baja rotación del personal.
Causa:
La Dirección General interviene en los cambios de la estructura de la entidad pero no existe una supervisión posterior para verificar el cumplimiento de los cambios establecidos.
Efecto:
La administración no se asegura que los cambios sean llevados a cabo al pie de las instrucciones para mejorar la estructura de control interno de la inmobiliaria.
Recomendación: Darle un adecuado seguimiento a los cambios establecidos, verificando oportunamente su cumplimiento, por medio de pruebas realizadas por auditores internos y externos.
COSO III
Comentario de la administración:
El gerente general indicó que serán tomadas en consideración las recomendaciones y se implementarán políticas de evaluación y se indicará la periodicidad de actualización de las mismas.
4. Salvaguarda de Efectivo
Hallazgo:
No existe un control establecido para la salvaguarda del efectivo recibido en caja, al no utilizar un medio de transporte seguro para trasladar el efectivo al banco.
Causa:
El depósito del efectivo recibido en caja lo efectúa el encargado de caja y en ocasiones personal de la inmobiliaria por órdenes específicas del Gerente General acompañados de un agente de seguridad.
Efecto:
Que los bienes de la inmobiliaria se extravíen, causando pérdidas innecesarias.
Recomendación:
Que se contrate una empresa encargada de recoger el dinero y realizar el depósito correspondiente; además utilizar una caja fuerte para salvaguardar el efectivo hasta el momento en que la empresa de seguridad lo recoja y lo traslade al banco.
Comentario de la administración:
El gerente financiero indicó que ya está gestionando un contrato con una empresa que se encargará de recoger el efectivo cobrado en caja de lunes a viernes de las 16:00 P.M. en adelante y realizar el depósito respectivo.
5. Falta de Informes de Disponibilidad Bancaria
COSO III
Hallazgo: La Gerencia General verifica los reportes de caja con fotocopias de boletas de depósito, debido a que no se cuenta con un informe de disponibilidades bancarias oportuno.
Causa:
Actualmente no se realizan informes de disponibilidades bancarias por parte del encargado de caja ni por otra persona delgada por el contador general.
Efecto:
La Gerencia General no cuenta con un medio fácil y rápido de consulta que incluya las transacciones relacionadas con el efectivo, como lo son los ingresos y egresos.
Recomendación:
Elaborar diariamente informes de disponibilidades bancarias para uso de la Gerencia General y así tener conocimiento de forma inmediata de la disponibilidad de efectivo.
Comentario de la administración:
La gerencia financiera indicó que serán tomadas en consideración las recomendaciones y se implementará la elaboración de dichos informes.
6. Recursos Electrónicos Sub-utilizados
Hallazgo:
No se maximiza la utilización del sistema electrónico ya que existen transacciones que son realizadas en procesos sistematizados y otros en forma manual.
Causa:
Existen registros contables que se generan por medio de procesos del sistema computarizado, pero éstos deben ser digitados debido a que no son trasladados automáticamente por el sistema contable.
Efecto:
COSO III
Pérdida de tiempo y de recurso humano al invertirlo en operaciones que pueden ser automatizadas. 126
Recomendación:
Aprovechar el recurso electrónico disponible para automatizar las operaciones de la inmobiliaria y así utilizar el tiempo del recurso humano en otras actividades importantes.
Comentario de la administración:
El gerente general indicó que serán tomadas en consideración las recomendaciones y se implementarán medidas para optimizar los recursos electrónicos y humanos.
7. Numeración de Documentos en forma Manual
Hallazgo:
Los documentos que respaldan las transacciones de la inmobiliaria como los recibos de caja son numerados manualmente.
Causa:
Los recibos de caja utilizados por el encargado de caja y que respaldan los ingresos de efectivo, son impresos sin número correlativo; ya que este es colocado de forma manual.
Efecto:
No existe un correlativo formal de los recibos de caja y dicha forma puede ser extraviada, duplicada y reemplazada fácilmente.
Recomendación:
Para reforzar los procedimientos de control establecidos, es recomendable que los documentos emitidos por la inmobiliaria y que respaldan las operaciones de la misma, sean impresos con un número correlativo.
COSO III
Comentario de la administración:
El gerente financiero indicó que para el período comprendido del 01 de enero al 31 de diciembre de 2013 se implementará el uso de recibos de caja prenumerados.
El departamento de auditoría interna desea expresar su agradecimiento por la cooperación recibida durante la revisión por parte del personal, funcionarios y el departamento de contabilidad.
Atentamente, Licda. Sofia Arely Mendez Figueroa
Auditor Interno
c.c. archivo
CONCLUSION
Las Compañías Pequeñas deberán implementar una estructura de control interno para reducir los riesgos a un nivel aceptable
Todos los miembros de la organización son responsables de la implantación y correcto funcionamiento del sistema de Control Interno.
COSO III
El Informe COSO es un documento que contiene las principales directivas para la implantación, gestión y control de un sistema de Control Interno.
El objetivo de un Informe COSO es ffacilitar un modelo en base al cual las empresas y otras entidades, cualquiera sea su tamaño y naturaleza, puedan evaluar sus sistemas de control interno
COSO III
EGRAFIA
www.google.com.gt/webhp?hl=es&tbm=isch&tab=wivisitado el 28 de Marzo de 2,013 (Consultado 25/03/2013)
http://www.coso.org/documents/SB_Executive-Summary_SPC_Spanish.pdf (Consultado 27/03/2013)
http://biblioteca.usac.edu.gt/tesis/03/03_3337.pdf (Consultado 28/02/2013)
http://www.ain.gub.uy/sector_publico/normas_ctrl_interno.pdf (Consultado 28/03/2013)
COSO III
ANEXOS
ANEXO I