El Informe COSO Resumen ejecutivo El Informe COSO es un documento que contiene las principales directivas para la implantacin, gestin

y control de un sistema de Control Interno. Debido a la gran aceptacin de la que ha gozado, desde su publicacin en 1992, el Informe COSO se ha convertido en el estndar de referencia en todo lo que concierne al Control Interno. No puede por lo tanto faltar una seccin expresamente dedicada a este documento en toda web que pretenda dedicarse a la auditoria con profesionalidad. Existen en la actualidad 2 versiones del Informe COSO. La versin del 1992 y la versin del 2004. Bsicamente la versin del 2004 no es otra cosa que una ampliacin del Informe original, para dotar al Control Interno de un mayor enfoque hacia el Enterprise Risk Management, o gestin del riesgo. El principal objetivo del Control Interno es garantizar que la empresa alcance sus objetivos. En este sentido, el Control Interno (CI) puede actuar de 2 distintas maneras: 1. Evitar que se produzcan desviaciones con respecto a los objetivos establecidos; 2. Detectar, en un plazo mnimo, estas desviaciones. En el primer caso, el Control Interno evita que estas desviaciones se produzcan. Un ejemplo practico podra ser el caso de una empresa que, establecidos unos objetivos en trminos de exposicin de sus cuentas a cobrar, analiza cada cliente antes de concederle crdito, evitando de esta forma que se produzcan situaciones de cuentas impagadas. En el segundo caso, por el contrario, el Control Interno no evita que se produzcan estas desviaciones, pero por lo menos hace saltar la alarma, de tal forma que la direccin de la empresa puede reaccionar rpidamente. Por ejemplo, una revisin trimestral de los ratios de rotacin de las existencias no evita que se produzcan situaciones de baja rotacin o de exceso de stock, pero permite a la empresa, en un plazo razonable (3 meses) detectar estas posibles circunstancias, antes de que sea demasiado tarde. En estos casos, la tempestividad es esencial: no es lo mismo detectar que nuestra rotacin ha disminuido despus de 3 meses, que despus de un ao (cuando los niveles de stock pudieran ser ya demasiado elevados). En ambos casos, no hay que caer en el error de pensar que el Control Interno ofrezca garantas absolutas de que se eviten o detecten estas desviaciones. Es importante comprender que el objetivo de todo sistema de Control Interno es ofrecer una seguridad razonable de que la empresa alcanzar sus objetivos.

Despus de estos conceptos generales que se aplican a todo sistema de Control Interno, podemos analizar ms de cerca al Informe COSO. Es importante de hecho comprender que el Informe COSO introduce un modelo o sistema de Control Interno. Si bien es el ms extendido, hay muchos otros modelos de Control Interno (por ejemplo, el Informe Turnbull creado por el Institute of Chartered Accountants en Gran Bretaa). El Informe COSO consta de 2 partes: 1. Un Resumen para la Direccin, que introduce los principales conceptos, 2. y el Marco integrado de Referencia, donde se analizan en detalle los 5 pilares del Control Interno: Entorno de Control, Evaluacin de los Riesgos, Actividades de Control, Informacin y Comunicacin, Supervisin. Resumen para la direccin: El Informe COSO tiene 2 objetivos fundamentales: encontrar una definicin clara del Control Interno, que pueda ser utilizada por todos los interesados en el tema, y proponer un modelo ideal o de referencia del Control Interno para que las empresas y las dems organizaciones puedan evaluar la calidad de sus propios sistemas de Control Interno. El Informe COSO define el Control Interno como un proceso que garantice, con una seguridad razonable (y por lo tanto no absoluta), que se alcanzan los 3 objetivos siguientes: 1. Eficacia y eficiencia de las operaciones 2. Fiabilidad de la informacin financiera 3. Cumplimiento de las leyes y normas que sean aplicables. Desde nuestro punto de vista, basado en nuestra propia experiencia, nos parece conveniente a la hora de realizar una auditora, descomponer los 3 objetivos anteriores en los siguientes: 1. Eficacia de las operaciones 2. Eficiencia de las operaciones 3. Fiabilidad de la informacin financiera 4. Fiabilidad de la informacin operativa y de gestin 5. Salvaguardia de los activos 6. Cumplimiento de las leyes y normas aplicables, tanto internas como externas a la empresa.

El primero de los 3 objetivos anteriores se refiere a los objetivos del negocio, entendidos en trminos de rentabilidad y rendimiento de las operaciones de la empresa u organizacin. El segundo objetivo pretende garantizar que la empresa disponga de informacin financiera cierta, fiable y, muy importante, que esta informacin se obtenga tempestivamente, eso es, cuando sea necesaria y til. En este sentido, la fiabilidad de la informacin no es solo una garanta frente a tercero, sino una exigencia de la direccin, ya que sin esta informacin, no sera posible tomar decisiones empresariales acertadas. El tercer objetivo se refiere al cumplimiento de todas aquellas normas o reglas a las que se encuentre sujeta la empresa. El Control Interno favorece entonces que una empresa consiga sus objetivos de rentabilidad, rendimiento y minimice las prdidas de recursos; favorece que la empresa disponga de informacin fiable y a tiempo; y por ultimo favorece que la empresa cumpla con la ley y otras normas que le son de aplicacin. Para lograr estos 3 objetivos, el sistema de Control Interno se basa (segn la propuesta del Informe COSO) en 5 elementos o componentes, que representan lo que se necesita para garantizar el xito del sistema. Es evidente que para cada uno de los 3 objetivos, todos los componentes deben estar funcionando correctamente. Estos 5 elementos (que se ampliaran a 7 en el nuevo Informe COSO del 2004), junto con una breve descripcin de cada uno de ellos, son los siguientes: 1. El Entorno de Control. Es la base en la que se apoyan los 4 restantes componentes del Control Interno. El Entorno de Control se refiere a la que podramos llamar "cultura" o "actitud" generalizada de la empresa con respecto al control. Hay que analizar elementos como la integridad de las personas (a todos los niveles), los valores ticos, el estilo o filosofa de gestin, etc. 2. La Evaluacin de los Riesgos. Los riesgos se definen como todos aquellos elementos o circunstancias que podran impedir que la empresa alcanzara sus objetivos. Visto que la empresa desarrolla su actividad en un entorno cada vez ms competitivo, dinmico y cambiante, debe disponer de ciertos mecanismos que evalen constantemente el entorno circunstante y garanticen que la empresa se va adecuando a este. 3. Actividades de Control. Las actividades de control son todas aquellas medidas, de la ms diversa naturaleza, que sirven para asegurar que el negocio de la empresa, en todos sus aspectos, est bajo control. Son los tpicos controles que se revisan en el marco de una auditora externa: aprobacin y autorizacin de las transacciones, controles de acceso, etc.

4. Informacin y Comunicacin. La informacin es esencial para que la empresa pueda funcionar y para que la direccin tome decisiones acertadas. Es importante no confundir aqu el objetivo de fiabilidad de la informacin, con el este 4 elemento del Control Interno. En este contexto la informacin que maneja la empresa, y la correcta comunicacin y flujo de la misma, de manera rpida y tempestiva, desde y hacia todos los departamentos y niveles de la empresa es esencial para el buen funcionamiento de un sistema de Control Interno. 5. Supervisin. Como todo sistema, tambin el sistema de Control Interno necesita de supervisin para funcionar correctamente. En este sentido, la supervisin es un proceso que comprueba que el sistema de Control Interno funciona correctamente. Esta supervisin la debe realizar la direccin de la empresa, pero est claro que es aqu, en estas revisiones donde el trabajo de los auditores internos se hace ms importante. Los 5 elementos del Control Interno interactan entre s, y forman un sistema. Este sistema debe estar integrado (no solo simplemente superpuesto) a las actividades operativas de la empresa. Cuanto ms integrado est el sistema de Control Interno con las actividades de la empresa, tanto mayores sern las posibilidades de xito del mismo. Todos los miembros de la organizacin son responsables de la implantacin y correcto funcionamiento del sistema de Control Interno. La direccin de la empresa es el principal responsable del Control Interno. Esto es un concepto muy importante. No se debe pensar, como a veces se hace, que son los auditores internos los responsables de implementar y velar por el correcto funcionamiento del sistema del Control Interno. La responsabilidad recae por el contrario sobre la direccin de la empresa, a partir de los niveles ms altos y luego, en cascada, en todos los niveles directivos intermedios. Por otro lado, los auditores internos desarrollan una importante funcin en lo que se refiere a la evaluacin del sistema de Control Interno. Su posicin jerrquica (en dependencia de la ms alta direccin) les garantiza la suficiente independencia para llevar a cabo su labor de manera eficaz. Es por lo tanto en la Supervisin donde los auditores internos desarrollan su papel ms importante. Actividades de control Las actividades de control son las normas y procedimientos (actividades necesarias para implementar las polticas), cuyo fin es asegurar el cumplimiento de las directrices establecidas por la direccin para controlar los riesgos.

Las actividades de control se dividen en tres categoras en funcin al objetivo relacionado: Operaciones. Fiabilidad de la informacin financiera. Cumplimiento de la legislacin. Los tipos de control afectan a diversas reas. En funcin a las circunstancias, una actividad de control puede ayudar a alcanzar los objetivos correspondientes a diversas categoras, es decir que por ejemplo los controles operacionales pueden contribuir a la fiabilidad de la informacin financiera. Tipos de actividades de control Existen diferentes descripciones de tipos de actividades de control que van desde controles preventivos a detectivos, manuales, informticos y controles de direccin. A continuacin se ejemplifican la gama y variedad de actividades de control: Anlisis efectuados por la direccin: Los resultados obtenidos se analizan con los presupuestos, con el fin de evaluar en qu medida se estn alcanzando los objetivos. Las acciones de la direccin relacionadas con el anlisis y el seguimiento representan actividades de control. Gestin directa de funciones por actividades: Los responsables de diversas funciones o actividades revisan los informes sobre los resultados logrados. Proceso de informacin: Realizacin de controle para comprobar la exactitud, totalidad y autorizacin de las transacciones. Controles fsicos: Los ms conocidos son los inventarios o recuentos fsicos en los cuales se comprueba su existencia fsica con los registros de la compaa. Indicadores de rendimiento: Los indicadores pueden actuar como control de las operaciones o puede ser relativo a la informacin financiera. Por ejemplo fluctuaciones de los precios de compra (operacional) o dicha informacin se utiliza para seguir los resultados financieros, el anlisis de los indicadores contribuye al control relativo a la informacin financiera. Segregacin de funciones: Hace al reparto de las tareas entre los empleados para que existe un control por oposicin, un ejemplo sencillo sera que un vendedor no pueda modificar y aprobar los precios de ventas o el porcentajes de las comisiones recibidas por las ventas. Las actividades de control se respaldan en dos elementos importantes: polticas y procedimientos. Las polticas determinan que es lo que se debera

hacer, y los procedimientos determinan las acciones a llevar a cabo para cumplir las polticas. Integracin de las actividades de control con la evaluacin de riesgos La direccin debera establecer los planes de accin necesarios para afrontar los riesgos evaluados. Las acciones determinadas tambin resultarn tiles para la definicin de las operaciones de control, dado que su aplicacin se encuentra orientada a garantizar su ejecucin correcta. Para clarificar el concepto un ejemplo sera el siguiente: Un empresa tiene como objetivo mantener un x nivel de inventarios para hacer frente a la demanda. Un riesgo asociado est dado por no obtener las mercancas con el tiempo suficiente. Una accin que podra tomar la direccin es hacerse de informacin histrica sobre la evolucin de ventas y los tiempos de entrega de los proveedores de dichas mercancas. Esta accin tambin sirve para el desarrollo de una actividad de control. Las actividades de control no son un fin en s mismo, sino que sirven como mecanismos para que la organizacin alcance sus objetivos. Siguiendo el ejemplo mencionado precedentemente, una actividad de control incluira el seguimiento de los tiempos de respuesta de los proveedores, comparndolo con la evolucin de las ventas y obligaciones asociadas a sus productos. En tal sentido el control es un elemento integrado en el proceso de gestin. Controles sobre los sistemas de informacin Los sistemas de informacin desempean un papel fundamental en la gestin de las empresas, es por ello que deben ser obviamente controlados. La mayora, para no decir todas, las empresas utilizan sistemas informticos para generar la informacin. Los controles efectuados sobre los sistemas pueden agruparse en dos categoras: Controles generales: Algunos ejemplos de la categora podran ser Controles sobre las operaciones del centro de proceso de datos: incluyen la organizacin y planificacin de trabajos, procesos de salvaguarda de datos, etc. Controles sobre el software: controles sobre la adquisicin y mantenimiento del software necesario para su correcto funcionamiento. Controles sobre la seguridad de acceso: estos controles permiten proteger al sistema contra ingresos y usos no autorizados, limitando el acceso slo a los usuarios habilitados.

Controles sobre el desarrollo y mantenimiento de las aplicaciones: apunta a las metodologas implementadas por las empresas con el fin de controlar los costos elevados que se asocian al desarrollo y mantenimiento. Controles de aplicacin: Diseados para el control del funcionamiento de las aplicaciones, asegurando la totalidad y exactitud en el proceso de transacciones, su autorizacin y validez, como por ejemplo: Comprobaciones de formato. Existencia y razonabilidad de los datos. Relacin entre controles generales y de aplicacin Los controles generales son necesarios para asegurar el funcionamiento adecuado de los controles de aplicacin que dependen de los procesos informticos. Si los controles generales no son adecuados, no es posible apoyarse en los controles de aplicacin que suponen que el sistema propiamente dicho funciona correctamente. Necesidades especficas La complejidad de la organizacin as como el tipo y alcance de sus actividades repercute lgicamente en las actividades de control llevadas a cabo por sta. Cuanto ms complejas y diversificadas son las actividades de una organizacin, ms difciles son los problemas de control que sta afronta en relacin a otra empresa que posee actividades ms sencillas y menos variadas. Respecto de las pequeas y medianas empresas, los conceptos bsicos de las actividades de control aplicados en las empresas grandes, no difieren significativamente, aunque el grado de formalizacin de sus operaciones s. Evaluacin: Las actividades de control tienen que evaluarse en funcin al contexto establecido por la direccin para afrontar los riesgos relacionados con los objetivos establecidos, por lo tanto la evaluacin tendr en cuenta si las actividades de control estn relacionadas con el proceso de evaluacin de riesgos y si son apropiadas para asegurar el cumplimiento de los objetivos. ERM ENTERPRISE RISK MANAGEMENT (GESTIN DE RIESGOS CORPORATIVOS) Es un proceso efectuado por el consejo de administracin de una entidad, su direccin y restante personal, aplicable a la definicin de estrategias en toda la empresa y diseado para identificar eventos potenciales que puedan afectar a la organizacin, gestionarlos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre la consecucin de objetivos de la entidad. Componentes:

La ERM, considera varios componentes, y los define de la siguiente manera: a) Ambiente Interno El ambiente interno abarca el talante de una organizacin, que influye en la conciencia de sus empleados sobre el riesgo y forma la base de los otros componentes de la gestin de riesgos corporativos, proporcionando disciplina y estructura. Los factores del ambiente interno incluyen la filosofa de gestin de riesgos de una entidad, su riesgo aceptado, la supervisin ejercida por el consejo de administracin, la integridad, valores ticos y competencia de su personal y la forma en que la direccin asigna la autoridad y responsabilidad y organiza y desarrolla a sus empleados. b) Establecimiento de Objetivos: Se fijan a escala estratgica, estableciendo con ellos una base para los objetivos operativos, de informacin y de cumplimiento. Cada entidad se enfrenta a una gama de riesgos procedentes de fuentes externas e internas y una condicin previa para la identificacin eficaz de eventos, la evaluacin de sus riesgos y la respuesta a ellos es fijar los objetivos, que tienen que estar alineados con el riesgo aceptado por la entidad, que orienta a su vez los niveles de tolerancia al riesgo de la misma.

c) Identificacin de eventos: La direccin identifica los eventos potenciales que, de ocurrir, afectarn a la entidad y determina si representan oportunidades o si pueden afectar negativamente a la capacidad de la empresa para implantar la estrategia y lograr los objetivos con xito. Los eventos con impacto negativo representan riesgos, que exigen la evaluacin y respuesta de la direccin. Los eventos con impacto positivo representan oportunidades, que la direccin reconduce hacia la estrategia y el proceso de fijacin de objetivos. Cuando identifica los eventos, la direccin contempla una serie de factores internos y externos que pueden dar lugar a riesgos y oportunidades, en el contexto del mbito global de la organizacin.

d) Evaluacin de Riesgos La evaluacin de riesgos permite a una entidad considerar la amplitud con que los eventos potenciales impactan en la consecucin de objetivos. La direccin evala estos acontecimientos desde una doble perspectiva probabilidad e impacto y normalmente usa una combinacin de mtodos cualitativos y cuantitativos. Los impactos positivos y negativos de los eventos

potenciales deben examinarse, individualmente o por categora, en toda la entidad. Los riesgos se evalan con un doble enfoque: riesgo inherente y riesgo residual.

e) Respuesta a los riesgos Una vez evaluados los riesgos relevantes, la direccin determina cmo responder a ellos. Las respuestas pueden ser las de evitar, reducir, compartir

y aceptar el riesgo. Al considerar su respuesta, la direccin evala su efecto sobre la probabilidad e impacto del riesgo, as como los costes y beneficios, y selecciona aquella que site el riesgo residual dentro de las tolerancias al riesgo establecidas. La direccin identifica cualquier oportunidad que pueda existir y asume una perspectiva del riesgo globalmente para la entidad o bien una perspectiva de la cartera de riesgos, determinando si el riesgo residual global concuerda con el riesgo aceptado por la entidad.

f) Las actividades de control Son las polticas y procedimientos que ayudan a asegurar que se lleven a cabo las respuestas de la direccin a los riesgos. Las actividades de control tienen lugar a travs de la organizacin, a todos los niveles y en todas las funciones. Incluyen una gama de actividades tan diversas- como aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones del funcionamiento operativo, seguridad de los activos y segregacin de funciones.

g) Informacin y Comunicacin La informacin pertinente se identifica, capta y comunica de una forma y en un marco de tiempo que permiten a las personas llevar a cabo sus responsabilidades. Los sistemas de informacin usan datos generados internamente y otras entradas de fuentes externas y sus salidas informativas facilitan la gestin de riesgos y la toma de decisiones informadas relativas a los objetivos. Tambin existe una comunicacin eficaz fluyendo en todas direcciones dentro de la organizacin. Todo el personal recibe un mensaje claro desde la alta direccin de que deben considerar seriamente las responsabilidades de gestin de los riesgos corporativos. Las personas entienden su papel en dicha gestin y cmo las actividades individuales se relacionan con el trabajo de los dems. Asimismo, deben tener unos medios para comunicar hacia arriba la informacin significativa. Tambin debe haber

una comunicacin eficaz con terceros, tales como los clientes, proveedores, reguladores y accionistas.

h) Supervisin La gestin de riesgos corporativos se supervisa revisando la presencia y funcionamiento de sus componentes a lo largo del tiempo, lo que se lleva a cabo mediante actividades permanentes de supervisin, evaluaciones independientes o una combinacin de ambas tcnicas. Durante el transcurso normal de las actividades de gestin, tiene lugar una supervisin permanente. El alcance y frecuencia de las evaluaciones independientes depender fundamentalmente de la evaluacin de riesgos y de la eficacia de los procedimientos de supervisin permanente. Las deficiencias en la gestin de riesgos corporativos se comunican de forma ascendente, trasladando los temas ms importantes a la alta direccin y al consejo de administracin.

La utilizacin de estos dos mtodos y el unificarlos, proporcionan grandes beneficios para el Auditor Interno, ayuda a la creacin de valor, permitiendo:

Manejarse eficazmente con eventos futuros potenciales que crean incertidumbres.

Responder con comportamientos que reduzcan la probabilidad de resultados desventajosos e incrementen los beneficios EL ROL DEL AUDITOR INTERNO EN COSO ERM El rol fundamental del auditor interno al momento de hacer uso del mtodo arriba mencionado es proveer aseguramiento objetivo a la direccin y a la junta sobre la efectividad de la gestin de riesgo de la siguiente manera:

a) Asegurar que los riesgos claves del negocio estn siendo gestionados apropiadamente y,

b) Asegurar que el sistema de Control Interno est siendo operado efectivamente. Adems de lo antes mencionado el Auditor Interno debe: Proveer Consejo. Motivar y soportar las decisiones gerenciales sobre riesgos. No decidir sobre riesgos. Documentar responsabilidades del Auditor Interno en Estatutos de Auditoria Interna aprobado por el Comit de Auditora.

Por otra parte existen los roles legtimos de Auditoria interna, los cuales son: Consultora: Apoyar a la gerencia en su trabajo, facilitando, identificando y evaluando los riesgos. Utilizar herramientas y tcnicas usadas por el Auditor Interno para el anlisis de riesgos y controles. Defender el establecimiento del mtodo COSO ERM, aportando su experiencia en gestin de riesgos en la organizacin. Proporcionar entrenamiento a la gerencia sobre riesgos y controles, y respuesta a riesgos. Coordinar el monitoreo y reporte sobre riesgos.Salvaguardas: Asegurar que la actividad no amenaza la Independencia y Objetividad del Auditor Interno y que la gerencia mantenga la responsabilidad de gestin de riesgo. Confirmar que actividad podra mejorar los procesos de gestin de riesgos, control y gobierno de la organizacin. LAS PYMES (PEQUEAS Y MEDIANAS EMPRESAS) Origen y evolucin de las PYMES Si nos remontamos al nacimiento de este ncleo de empresas denominadas Pmez, encontramos dos formas, de surgimiento de las mismas. Por un lado, aquellas que se originan como empresas propiamente dichas, es decir, en las que se puede distinguir correctamente una organizacin y una estructura,

donde existe una gestin empresarial (propietario de la firma) y el trabajo remunerado. Estas, en su mayora, son capital intensiva y se desarrollaron dentro del sector formal de la economa. Por otro lado estn aquellas que tuvieron un origen familiar caracterizadas por una gestin a lo que solo le preocup su supervivencia sin prestar demasiada atencin a temas tales como el costo de oportunidad del capital, o la inversin que permite el crecimiento. En su evolucin este sector tuvo tres etapas perfectamente definidas. Las PYMES en general y las dedicadas al sector industrial en particular, comenzaron a adquirir importancia dentro de la economa argentina en los aos 50y 60 durante la vigencia del modelo de sustitucin de importaciones, tan criticado como admirado por los distintos autores especializados APLICACIN DEL MTODO COSO EN LAS PYMES En las PYMES la evaluacin de los riesgos resulta ser ms informal y menos estructurada que en las grandes corporaciones, no obstante los conceptos mencionados son bsicos independientemente del tamao de la organizacin. Los objetivos de las PYMES son comunicados de manera ms fcil, directa y eficazmente a toda la organizacin. La identificacin y anlisis de los riesgos que pueden afectar a la concrecin de dichos objetivos a menudo se obtienen directamente de los empleados o terceros dado el grado de acercamiento que posee la alta direccin con respecto al resto de la empresa. EVALUACIN A continuacin se mencionan algunos factores a tener en cuenta cuando se evalan los objetivos, riesgos y gestin del cambio: 1. Objetivos globales Si los objetivos determinados, expresan clara y completamente lo que la empresa desea conseguir. Si resulta eficaz la forma en que se comunican los objetivos al personal. Existe vinculacin y coherencia entre los objetivos y las estrategias de la empresa. 2. Objetivos asignados a cada actividad Conexin entre los objetivos de cada actividad y los globales. Idoneidad de los recursos en relacin a los objetivos.

 Identificacin de los objetivos por actividad que son importantes para alcanzar los objetivos generales. 3. Riesgos Idoneidad de los mecanismos aplicados para la identificacin de los riesgos externos e internos. Integridad y relevancia del proceso de anlisis de los riesgos (estimacin, probabilidad y plan de accin acorde).

Identificacin de los riesgos importantes que puedan afectar los objetivos establecidos. 4. Gestin del cambio Existencia de mecanismos para la previsin, identificacin y reaccin ante los acontecimientos que influyen en la realizacin de los objetivos globales o especficos. Existencia de mecanismos para identificar y reaccionar ante los cambios en el entorno que pueden llegar a afectar a la organizacin.

UNIVERSIDAD DE LAS AMERICAS ULAM

AUDITORIA III INFORME EJECUTIVO COSO

Nombre: Maritza de los ngeles Ticay Dvila Carnet: 02-10707-5

Carrera: Contabilidad Pblica y Auditoria

Aula: C-14 Turno: sabatino

Profesor: Juan Bosco Molina Lozano