Madurando el control interno
1 recomendación1,658 vistas
El documento presenta una introducción a COSO 2013, la estructura mejorada de control interno. Explica que COSO 2013 pone mayor énfasis en terceros, TI y el uso de 17 principios. También describe las responsabilidades clave de la gerencia, auditoría interna y órganos de gobierno en relación con COSO. Finalmente, presenta oportunidades y retos para los auditores al adoptar COSO 2013, como apoyar la capacitación y asesorar en el diseño de nuevos esquemas de monitoreo.
Madurando el control interno
- 2. COSO 2013 HACIA UN CONTROL INTERNO MADURO
- 3. Agenda • COSO 2013 – Estructura mejorada de control • Madurando el sistema de control • Oportunidades y retos para los auditores • Preguntas
- 4. Evolución Comienzo de los años 80´s se incrementa el foco en el Control interno y el Cumplimiento 1985 Reporte de la Comisión Nacional de Fraudes Financieros – Treadway Commission (USA) 1980 Escándalo e investigación del Caso “Watergate” 1977 Ley de prácticas de corrupción en países extranjeros (FCPA – USA) 1970 1992 Committee Of Sponsoring Organizations (COSO) publica la Estructura Integrada de Control interno Década de los 90´s Se acentúa el interés en el Control Interno, la gestión de riesgos y las responsabilidades corporativas. 1990 2000 2002/4 Ley SOX, refuerza uso de COSO - Circular 038, 2009 Superfinanciera - UK Anti-bribery Act. (2011) - Estatuto Anticorrupción (2011) - COSO 2013. 2009/2013 COSO 2013 – Estructura mejorada de control
- 5. Principales cambios COSO 2013 – Estructura mejorada de control Algunas mejoras al Modelo incluyen: • Mayor énfasis en impacto de organizaciones de servicios (terceros) en el sistema de control interno • Mayor descripción del impacto de aspectos de TI en el sistema de control interno • Uso de 17 principios para describir los conceptos/prácticas clave asociadas a cada componente • Una vía mas formal de diseñar y evaluar el sistema de control interno, de acuerdo con los principios. Cubo COSO (Edición 2013) Objetivos Componentes AlcanceOrganizacional Monitoreo Información & Comunicación Actividades de Control Evaluación de Riesgos Ambiente de Control División UnidaddeNegocios EntidadLegal Procesos Actividades
- 6. Principios por componente COSO 2013 – Estructura mejorada de control Ambiente de control Valoración del riesgo Actividades de control Información y comunicaciones Actividades de monitoreo 1. Demuestra compromiso con la integridad y los valores éticos. 2. Promueve vigilancia objetiva e independiente. 3. Establece estructura, autoridad y responsabilidad. 4. Demuestra compromiso por ser competente. 5. Refuerza la responsabilidad última sobre el control interno. 6. Especifica objetivos adecuados 7. Gestión de riesgos. 8. Considera el riesgo de fraude. 9. Identifica y analiza cambios significativos. 10. Selecciona y desarrolla actividades de control. 11. Selecciona y desarrolla controles generales de TI. 12. Despliega controles a través de políticas y procedimientos. 13. Usa información relevante. 14. Comunica internamente. 15. Comunica externamente. 16. Conduce evaluaciones propias y/o separadas. 17. Evalúa y comunica deficiencias.
- 7. Definiendo el control interno efectivo COSO 2013 – Estructura mejorada de control Para COSO, un sistema de control interno efectivo requiere que: • Cada uno de los cinco (5) componentes y 17 principios estén presentes y funcionando • Los cinco (5) componentes estén operando de forma conjunta e integrada. • Las deficiencias de control agregadas a través de principios y componentes no determinen que existe una o más deficiencias de control importantes. Ambiente de Control Evaluación de Riesgos Actividades de Control Información y comunicaciones Monitoreo
- 8. 8Deloitte Touche Tohmatsu Limited. COSO 2013 Deficiencia de control Deficiencia mayor Deficiencia de control Deficiencia significativa Debilidad material SOX Reporte Control interno efectivo Control Interno inefectivo Definiendo el control interno efectivo COSO 2013 – Estructura mejorada de control
- 9. Gerencia • Liderazgo y dirección para definir los objetivos de la organización. • Supervisión y control de los riesgos de la entidad. • Evaluar las deficiencias del control. • Desarrollar controles al nivel de entidad. Auditor Interno • Proveer aseguramiento independiente y asesoría a la gerencia en gestión del control interno • Evaluar el diseño y efectividad de los controles. • Comunicar hallazgos e interactuar con la Gerencia, Comité de auditoría y Junta Directiva. Órganos de gobierno • Vigilancia del Sistema de CI. • Definir expectativas de integridad, valores éticos, transparencia y responsabilidad y líneas de comunicación separadas de la gerencia. • Evaluación de riesgo de fraude por omisión de la gerencia. • Interacción/vigilancia de auditores (internos/externos) COSO 2013 – Estructura mejorada de control Responsabilidades clave
- 10. MADURANDO El sistema de Control Interno
- 11. Niveles de madurez Sin Estructura Reactivo Evolutivo Proactivo Optimizado • Gobierno • Cultura • Evaluación de Riesgos • Organización de Cumplimiento • Políticas y Procedimientos • Comunicación y Capacitación • Supervisión • Controles y Monitoreo • Reporte • Sistemas de Información
- 12. • No se realiza vigilancia, • Énfasis en los resultados sin verificar el cumplimiento • Poco conocimiento del riesgo. • Inexistencia de controles.| Sin estructura • Se ejerce vigilancia limitada. • El mensaje del cumplimiento es inconsistente • Reconocimiento del riesgo y evaluación. • Controles ejecutados de forma inconsistente. Reactivo • Reportes periódicos, se obvian cuestiones de fondo. • Se define el tono, no es acogido por toda la organización. • Evaluación de riesgos, pero no se actualiza sistemáticamente • Controles que demuestran operación consistente. Evolutivo • Demuestra entendimiento del programa de cumplimiento • Mensaje de cumplimiento de forma constante. • Actualización periódica de la evaluación de riesgos. • Controles que demuestran operación confiable. Proactivo • Entrenamiento regular en requerimientos de cumplimiento • Cultura de cumplimiento evidenciada en toda la organización. • Programa completo de evaluación de riesgo actualizado de forma sistemática. • Controles funcionales, documentados y compatibles con la organización. Optimizado Mayor madurez Características de las etapas. Menor madurez
- 13. 13 Lecciones aprendidas tras la adopción de COSO 2013 Cinco aspectos para acelerar la maduración Basar la adopción del marco usando el enfoque arriba-abajo (Desde la Junta Directiva) y basado en riesgos significativos Definir la línea base que permita gestionar el sistema de control (P.e. matrices de riesgo/control, autoevaluaciones, planes de mejora) Clarificar y reforzar las responsabilidades frente al control interno (Consecuencias frente a fallas continuas) Fortalecer el monitoreo (propio/separado) para alinearlo y hacerla más eficiente/efectiva (incorporar tecnología informática) Establecer un proceso periódico de calificación y gestión de fallas de control que retroalimente la gestión de riesgos. 1 2 3 4 5
- 14. OPORTUNIDADES Y RETOS PARA LOS AUDITORES
- 15. Relación de principios COSO y normas IIA Oportunidades y retos para auditores Principio 16 – Realizar evaluaciones propias y/o separadas del SCI Principio 3 – Autoridad y responsabilidad Principio 5 – Refuerza la responsabilidad Principio 2 – Supervisión objetiva e independiente Principio 4 – Compromiso por ser competente Principio 5 – Refuerza la responsabilidad frente al SCI
- 16. Relación de principios COSO y normas IIA (cont.) Oportunidades y retos para auditores Principio 6 y 7 – Especificar objetivos e Identificar riesgos Principio 14 – Comunicación interna relevante para el SCI Principio 16 – Realizar evaluaciones propias y/o separadas del SCI
- 17. • Apoyar el programa de capacitación y entrenamiento en gestión de control interno a otras líneas de defensa • Asesorar en el diseño de nuevos esquemas de monitoreo e impacto de los cambios Oportunidades Oportunidades y retos para auditores COSO 2013 En la Estructura de la función de auditoría En el Plan de Auditoría En soporte de recursos/ habilidades En capacida- des de gestión de riesgos y controles • Que la función de A.I. soporte la vigilancia de órganos de gobierno (P.2) • Verificar que la función cuenta con la autoridad para ejecutar su responsabilidad (P.3) • Contar con recursos necesarios para que el Plan de Auditoría cubra los 3-objetivos COSO. • Análisis de brechas en cumplimiento a los requerimientos de COSO 2013 • Incorporar la verificación de temas nuevos o ampliados en COSO 2013 y que pudieran no haber sido cubiertos en el plan de Auditoría • Asesorar en el proceso de identificación/evaluación de riesgos • Apoyar el proceso de evaluación de deficiencias. • Generar información relevante para retroalimentar el sistema en todos los niveles (Junta, gerencia, personal)
- 18. Retos Oportunidades y retos para auditores • Sensibilizar a la junta y equipo gerencial sobre la relevancia de usar COSO como herramienta gerencial • Servir como agente de cambio para que a lo largo de la organización se adopten las prácticas propuestas por el modelo • Diseñar y ejecutar auditorías internas que cubran los 3 objetivos del marco en forma general, manteniéndolas costo-efectivas • Alinear el plan de auditoría para que se enfoque en apoyar a la Junta y otros órganos de gobierno en sus responsabilidades • Fortalecer la estrategia de comunicación para que los temas significativos sean escalados y discutidos en los niveles correspondientes
- 19. Visión general del proceso La evaluación del control interno Establecer Objetivos Identificar y Evaluar Riesgos Interrelacio- nar con SCI Evaluar Efectividad SCI Concluir y Reportar • Operacional • Reporte • Cumplimiento • Criterios de riesgos • Mapa de riesgos • Prevenir • Detectar • Monitorear • Valorar presencia y funcionamiento del SCI en un periodo de tiempo. • Evaluar impacto de deficiencias de control en cumplimiento de objetivos • Comunicar deficiencias a aquellos responsables del gobierno.