CONTROL INTERNO BASADO EN EL INFORME COSO

Alcance
 Nuevos paradigmas.  Conceptos metodológicos de COSO.

 Bases de MEYCOR COSO AG, una herramienta para la implantación del control interno basado en COSO.

Informe COSO
 En 1992, COSO publicó el Sistema Integrado de Control Interno, un informe que establece una definición común de control interno y proporciona un estándar mediante el cual las organizaciones pueden evaluar y mejorar sus sistemas de control.

las normas éticas y el control interno.El objetivo de COSO  Mejorar la calidad de la información financiera concentrándose en el manejo corporativo.  Unificar criterios ante la existencia de una importante variedad de interpretaciones y conceptos sobre el control interno. .

”  “El Marco Integrado Control Interno sigue siendo totalmente válido para las entidades y otros que ponen énfasis en el control interno. expandiendo y elaborando sobre el control interno para formar una concepción más robusta que se enfoca más sobre el riesgo.Gestión del Riesgo empresarial (ERM)  “El control interno es una parte integral de la Administración del riesgo empresarial y está abarcado dentro de éste.”  “La Administración del riesgo empresarial es más amplia que el control interno.” .

 Se incluye la necesidad de tener en cuenta un nuevo riesgo: el riesgo operacional o sea el resultado de la pérdida derivada de fallos en los procesos internos. en la actuación de personas o de sistemas inadecuados o erróneos así como de factores externos. si bien serán exigibles a principios de 2007. Ahora se aumenta la regulación de fondos propios exigidos por la normativa y la exposición al riesgo.  Basilea I se centraba en el análisis de riesgos de crédito y de mercado.Basilea II  Incluye varios cambios que. . marcan un rumbo sobre el que hay que empezar.

modelo del Gobierno de la Tecnología de la Información. y de COBIT.Conformidad con ley SARBANES OXLEY  Utilización de COSO. para lograr conformidad con la ley SARBANES-OXLEY . modelo del Gobierno Corporativo.

Conceptos Metodológicos del INFORME COSO Los nuevos conceptos del control interno en las organizaciones .

.Definición de Control Interno  Es un proceso que involucra a todos los integrantes de la organización sin excepción. diseñado para dar un grado razonable de apoyo en cuanto a la obtención de los objetivos en las siguientes categorías:  Eficacia y eficiencia de las operaciones (O)  Fiabilidad de la información financiera (F)  Cumplimiento de las leyes y normas que son aplicables(C)  Estas tres categorías se interrelacionan entre sí.

 COSO considera que el control interno debe ser un proceso integrado con el negocio que ayude a conseguir los resultados esperados en materia de rentabilidad y rendimiento.¿Qué se puede obtener a través de COSO?  La definición de un marco de referencia aplicable a cualquier organización.  Trasmitir el concepto de que el esfuerzo involucra a toda la organización: desde la Alta Dirección hasta el último empleado. .

y Supervisión) que interactúan entre si y están integrados al proceso de Dirección. Información y comunicación. se eviten pérdidas y haya una respuesta rápida ante los cambios.Componentes del Control Interno  Son 5 componentes (Entorno de control. . Evaluación de los Riesgos.  El sistema de control debe incorporarse de manera armónica con las actividades operativas de la organización.  Esto ayuda a que se fomente la calidad de la delegación de poderes. Actividades de control.

. los valores éticos y la capacidad de los empleados de la entidad. aportando disciplina y estructura. la organización y el desarrollo de los empleados y la orientación de la Dirección. la filosofía de la Dirección y el estilo de gestión. la asignación de la autoridad y las responsabilidades.Entorno de Control  Es la base de los demás componentes.  Incluye: la integridad.

. vinculados y coherentes.Evaluación de los riesgos  Primeramente deben identificarse los objetivos organizacionales. Luego deben identificarse y evaluarse los riesgos relevantes que pueden afectar el alcanzar esos objetivos.  Los riesgos deben ser administrados. atendiendo a la existencia de un medio interno y externo cambiante.

conciliaciones. . revisiones de rentabilidad operativa.  Son ejemplos: autorizaciones. etc.Actividades de Control  Son las políticas y procedimientos que ayudan a asegurar que se toman las medidas para limitar los riesgos que pueden afectar que se alcancen los objetivos organizacionales. verificaciones. segregación de funciones.

ordenar y comunicar en forma oportuna la información necesaria para que los empleados puedan cumplir con sus obligaciones.  El personal debe ser informado de la importancia de que participe en el esfuerzo de aplicar el control interno.  La información puede ser operativa o financiera. .Información y Comunicación  Se debe identificar. de origen interno o externo.  Deben existir adecuados canales de comunicación.

.Supervisión  Debe existir un proceso que compruebe que el sistema de control interno se mantiene en funcionamiento a través del tiempo.  La misma tiene tareas permanentes y revisiones periódicas. Estas últimas dependerán en cuanto a su frecuencia de la evaluación de la importancia de los riesgos en juego.

 Los 5 componentes descriptos son acciones necesarias para lograr esos objetivos.Interrelación  La organización debe lograr cumplir con esas tres categorías de objetivos (O. .C) ya vistas. F.

Limitaciones a atender  La confianza en el sistema de control interno no debe dejar de considerar que: Pueden existir fallas resultantes de errores de juicio. El sistema a diseñar debe explicitar las limitaciones de recursos (relación costo beneficio). . La colusión de dos o más personas o la acción de la Dirección pueden burlar el sistema.

La integridad y la ética deben ser elementos que aporten ejemplo a los demás empleados. Debe asegurarse de contar con vías de comunicación efectivas con la Alta Dirección y las áreas financieras. El Consejo debe tener un papel activo en el conocimiento de las acciones que se ejecutan. .  El Consejo de Administración fija las pautas y la visión global del negocio.Funciones y responsabilidades  La Alta Gerencia es la responsable última del sistema de control. legales y de auditoría interna. Debe dirigir a los gerentes que a su vez son los responsables en sus respectivas áreas.

Para ello debe contar con una ubicación jerárquica adecuada. a las políticas establecidas o la legalidad de las acciones realizadas. La Auditoría Interna debe desempeñar un papel de supervisión sobre la eficiencia y permanencia de los sistemas de control.  Los empleados en general tienen la responsabilidad de participar en el esfuerzo de aplicar el control interno. cuyos detalles deben ser incorporados a la descripción de los puestos de trabajo. . Ellos deben comunicar al nivel superior las desviaciones que detecten a los códigos de conducta.

 Dentro del mismo se debe analizar cómo interactuan los componentes en la realidad peculiar de cada organización.MEYCOR COSO AG  El Informe COSO define una estructura. un marco de referencia.  Debe contarse con una herramienta que asista en el proceso de evaluación periódica y proactiva del sistema de control interno. Puede también querer referirse a una unidad de la organización o a una actividad en particular.  La evaluación puede querer centrarse en un solo objetivo (por ejemplo la información financiera). .

Matriz de COSO .

.  Objetivos específicos de las diversas actividades (por ej.Evaluación de los riesgos  Determinación de los Objetivos. Producción).  Objetivos globales (tales como la Misión). estos sub-objetivos medibles a través de metas deben ser coherentes.

que los sistemas informáticos se encuentren disponibles según los requerimientos del negocio.  Como ejemplo se puede considerar: efectuar pagos sólo para compras autorizadas. etc.Los objetivos deben ser:  Definidos de modo de identificar los criterios para medir el rendimiento y establecer factores críticos de éxito (que pueden ser a nivel de actividad o unidad operacional). .  Coherentes y compatibles.

evaluar la probabilidad de que impacte a la organización y qué medidas deben tomarse para atenuar sus efectos.  Una vez identificados debe estimarse su importancia.  Los riesgos pueden ser el resultado del efecto de factores internos y externos. los cambios en la responsabilidad de los directivos. por ejemplo: las averías de los sistemas informáticos. etc. .Los riesgos  La identificación y el análisis de riesgos es un proceso interactivo que involucra al personal responsable de cumplir con los objetivos fijados ya que es el más idóneo.

. procedimientos y acciones que afectan a una o más áreas de la organización.Actividades de Control  Son políticas. Proceso de información. Controles físicos. Indicadores de rendimiento y segregación de funciones.  Algunos ejemplos serían: Análisis efectuados por la Dirección. Gestión directa de los responsables.

al enfrentar adecuadamente a los riesgos.Relacionamiento de los elementos  Las actividades de control. logrando así alcanzar los objetivos del negocio. . ayudan a alcanzar los objetivos de los Departamentos y actividades.

.  Las vías de comunicación interna deben asegurar que el personal conozca los elementos suficientes para cumplir con su tarea.Información y comunicación  Debe asegurase que se obtenga información de calidad y no meros datos.  La información debe ser protegida ya que se trata de un activo valioso.

 Las deficiencias detectadas deben ser oportunamente comunicadas. .Supervisión  Las actividades de supervisión continua y evaluaciones puntuales.

MEYCOR COSO AG Detalle de funcionalidades .

El Administrador (ADMIN) deberá conocer la herramienta y sus fundamentos teóricos. . y a la hora de hacer los relevamientos podrá distribuir el acceso a los cuestionarios según el perfil de los revisores.Ingreso al sistema El sistema cuenta con un control de acceso al mismo compuesto por un login y una contraseña.

.Menú Principal El Menú Principal cuenta con una barra de herramientas que permite un acceso más directo a las opciones más usadas.

Grupos de trabajo y revisores Se definen grupos de trabajo y los revisores que participarán en la revisión. .

documentación. y accesos directos a los formularios donde la información debe ser ingresada. .Guía metodológica Existe una guía metodológica que facilita la aplicación de la metodología COSO. Esta guía contiene los pasos a seguir durante la evaluación.

.Cuestionarios Generales Los cuestionarios generales de los 5 componentes pueden ser evaluados a diferentes niveles de la organización.

Formularios de Cuestionarios Generales Los cuestionarios generales pueden ser generados en formato RTF (con ingreso manual de respuestas) o en formato HTML (con ingreso automático de respuestas). .

.Cargar respuestas desde Formularios HTML Este formulario le permite cargar las respuestas de los cuestionarios generales desde los formularios HTML.

Sincronización de Evaluaciones Off-line Este formulario le permite sincronizar las respuestas de los cuestionarios generales que los revisores hayan ingresado en bases off-line. .

. con diferente nivel de desagregación.Informe de Cuestionarios Generales Permite evaluar los resultados de la revisión de los 5 componentes tanto a nivel numérico como gráfico.

. tanto a nivel numérico como gráfico.Comparación de Cuestionarios Generales Permite comparar los resultados de la revisión entre sí y contra el promedio. con diferente nivel de desagregación.

Comparación de diferentes períodos Permite comparar los resultados obtenidos en diferentes períodos tanto a nivel numérico como gráfico. . con diferente nivel de desagregación.

Codificación de la estructura organizacional Antes de comenzar la revisión. . se deben determinan los niveles que componen la estructura de la organización.

. definiendo los objetivos de cada área y sus responsables.Organigrama Se identifica el organigrama.

Reporte del organigrama .

Procesos y sub-procesos Se definen los procesos y sub-procesos y se los asigna a las unidades del organigrama correspondientes. .

Reporte de Procesos y Subprocesos .

Asignación de procesos Se asignan los procesos y sub-procesos que serán revisados por cada grupo de trabajo. .

Ponderación de procesos Los procesos y sub-procesos pueden ser ponderados y rankeados a efectos de determinar las actividades que son críticas para el negocio y que por tanto requieren mayor atención. .

Ingreso de actividades de los procesos

Procesos y sub-procesos asignados a unidades.

Jerarquía de tareas que se realizan en el proceso.

Riesgos y Actividades de Control

Es posible marcar las actividades de control que luego serán auditadas

Se definen los objetivos de control, los riesgos y las actividades de control relativas a los procesos y sub-procesos a ser evaluados

Selección de actividades de control a auditar

Mediante la utilización de filtros es posible seleccionar dentro del universo de las actividades de control, aquellas que requieran ser auditadas

Creación de proyectos de auditoría Los usuarios supervisores pueden crear proyectos de auditoría. Para los proyectos se definen los auditores asignados y los objetivos de procesos que se van a auditar en el proyecto. .

.Asignación de objetivos y riesgos El supervisor que creó un proyecto debe definir los objetivos que auditará cada auditor. Se definen también los riesgos de cada objetivo que serán alcanzados por el proyecto de auditoría.

.Auditoría de actividades de control Objetivos y riesgos a auditar según la asignación del auditor. Registro de hallazgos. Registro de tareas realizadas. Vinculación de archivos.

Informe final de auditoría generado automáticamente. .Informe final de auditoría Selección de observaciones que se incluyen en el informe final.

60 4.50 1 0.50 6.25 0.25 4 1.63 1.00 10.00 6.56 2. de Control MATRIZ DE RIESGOS Y CONTROL CONTROLES BUENO BR MALO RIESGO 4 2.5 1 16 4.00 2.5 0. Act.40 1.25 1.40 16.Cálculo de exposición Impacto x Probabilidad de Riesgo Eval.50 4.00 2.00 10 2.00 .00 6.00 1.

los mismos se encuentran adecuadamente cubiertos. Se evalúa el cumplimiento de los objetivos de control. a efectos de determinar si ante los riesgos identificados.Informe de Riesgos y Actividades de Control Es posible ver la ponderación de riesgos y el resultado de la evaluación de las actividades de control existentes. .

Informe de Riesgos y Actividades de Control Permite evaluar los resultados de la revisión de los objetivos tanto a nivel numérico como gráfico. .

Resumen de Riesgos y Actividades de Control Permite visualizar en forma resumida los resultados de la revisión de los objetivos y los factores de riesgos de los procesos .

Mapas de riesgos y gráficas de exposición Mapa de riesgos según la probabilidad e impacto Gráfica de exposición considerando la evaluación de los controles .

. Según el tratamiento realizado se simula el cambio en la exposición al riesgo.Tratamiento de riesgos Se define el tratamiento que se da a los riesgos.

. Definición de proyectos de mejora Controles incluidos en el proyecto. Los proyectos se priorizan según el impacto y la relación costo-riesgo.Los nuevos controles que se incluyen en el tratamiento se agrupan en proyectos de implantación.

Comparación de diferentes períodos Permite comparar las evaluaciones de los procesos obtenidas en diferentes períodos tanto a nivel numérico como gráfico. .

Distribución y Revisión de Documentos El módulo web de Meycor COSO AG. a la vez que permite emitir un juicio acerca de los mismos.Meycor COSO Web Publicación. . facilita la publicación y distribución de documentos de manera sencilla.

Meycor COSO Web Respuesta a Cuestionarios Generales Meycor COSO Web permite contestar los cuestionarios de autoevaluación de forma remota .

Prestaciones de MEYCOR COSO AG para personalizar y mejorar el detalle y la información de la revisión .

así como asociarlos a las áreas correspondientes.  Permite la creación de grupos de trabajo y de revisores. . efectuar un ranking de los mismos. que facilitan la distribución de las tareas.  Permite codificar los niveles jerárquicos de la organización para así determinar el organigrama de acuerdo a la nomenclatura de la misma. Contiene una guía metodológica que facilita la aplicación de la metodología COSO y lo asiste durante todo el procesos de revisión.  Permite identificar los procesos y sub-procesos.

 Permite asignar a los revisores privilegios de Administrador. versiones de los  Permite marcar las actividades de control que luego serán objeto de auditoría. objetivos y riesgos.  Contiene los objetivos.  Permite manejar varias cuestionarios generales.  Permite el uso de ponderadores a nivel de procesos. riesgos y actividades de control genéricos del Informe COSO. .

 Genera formularios de evaluación cuestionarios generales en HTML. . Permite evaluar los cuestionarios generales a cualquier nivel jerárquico. HTML y EXCEL. de  Permite la sincronización de cuestionarios generales y evaluación de riesgos y actividades de control de bases off-line.  Permite exportar todas las gráficas a formato BMP.  Permite exportar todos los reportes a formato RTF.

 Incluye ayuda en línea. .  Permite comparar los resultados de diferentes períodos. Permite acceso multi-usuario a la evaluación de riesgos y actividades de control.  Permite efectuar un ranking de los procesos.

Montevideo .Uruguay Tel: (5982) 711-58-78/ 711-04-20 Fax: (5982) 711-58-94 Web site: www.CP 11300 .DATASEC IT Security & Control Patria 716 .com .datasec-soft.