control interno basado en coso

CONTROL INTERNO CONTROL INTERNO BASADO EN EL BASADO EN EL INFORME COSOINFORME COSO

PDF created with pdfFactory trial version www.pdffactory.com

http://www.pdffactory.com


AlcanceAlcance

§ Nuevos paradigmas.

§ Conceptos metodológicos de COSO.

§ Bases de MEYCOR COSO AG, unaherramienta para la implantación delcontrol interno basado en COSO.




Informe COSOInforme COSO

§ En 1992, COSO publicó el SistemaIntegrado de Control Interno, un informeque establece una definición común decontrol interno y proporciona un estándarmediante el cual las organizacionespueden evaluar y mejorar sus sistemas decontrol.




El objetivo de COSOEl objetivo de COSO

§ Mejorar la calidad de la informaciónfinanciera concentrándose en el manejocorporativo, las normas éticas y elcontrol interno.§ Unificar criterios ante la existencia de

una importante variedad de interpreta-ciones y conceptos sobre el controlinterno.




GestiGestióón del Riesgo empresarial n del Riesgo empresarial ((ERM)ERM)

§ “El control interno es una parte integral de laAdministración del riesgo empresarial y estáabarcado dentro de éste.”§ “La Administración del riesgo empresarial es

más amplia que el control interno, expandiendoy elaborando sobre el control interno paraformar una concepción más robusta que seenfoca más sobre el riesgo.”§ “El Marco Integrado Control Interno sigue

siendo totalmente válido para las entidades yotros que ponen énfasis en el control interno.”




Basilea IIBasilea II§ Incluye varios cambios que, si bien serán

exigibles a principios de 2007, marcan un rumbosobre el que hay que empezar.§ Basilea I se centraba en el análisis de riesgos

de crédito y de mercado. Ahora se aumenta laregulación de fondos propios exigidos por lanormativa y la exposición al riesgo.§ Se incluye la necesidad de tener en cuenta un

nuevo riesgo: el riesgo operacional o sea elresultado de la pérdida derivada de fallos en losprocesos internos, en la actuación de personaso de sistemas inadecuados o erróneos así comode factores externos.




Conformidad con ley SARBANES Conformidad con ley SARBANES OXLEYOXLEY

§ Utilización de COSO, modelo delGobierno Corporativo, y de COBIT,modelo del Gobierno de laTecnología de la Información, paralograr conformidad con la leySARBANES-OXLEY




Conceptos Conceptos Metodológicos del Metodológicos del INFORME COSOINFORME COSO

Los nuevos conceptos del control interno en las

organizaciones




Definición de Control InternoDefinición de Control Interno§ Es un proceso que involucra a todos los

integrantes de la organización sin excepción,diseñado para dar un grado razonable de apoyoen cuanto a la obtención de los objetivos en lassiguientes categorías:üEficacia y eficiencia de las operaciones (O)üFiabilidad de la información financiera (F)üCumplimiento de las leyes y normas que son

aplicables(C)§ Estas tres categorías se interrelacionan entre sí.




¿Qué se puede obtener a través de ¿Qué se puede obtener a través de COSO?COSO?

§ La definición de un marco de referenciaaplicable a cualquier organización.§ COSO considera que el control interno

debe ser un proceso integrado con elnegocio que ayude a conseguir losresultados esperados en materia derentabilidad y rendimiento.§ Trasmitir el concepto de que el esfuerzo

involucra a toda la organización: desde laAlta Dirección hasta el último empleado.




Componentes del Control Componentes del Control InternoInterno

§ Son 5 componentes (Entorno de control,Evaluación de los Riesgos, Actividades decontrol, Información y comunicación, ySupervisión) que interactúan entre si y estánintegrados al proceso de Dirección.§ El sistema de control debe incorporarse de

manera armónica con las actividades operativasde la organización.§ Esto ayuda a que se fomente la calidad de la

delegación de poderes, se eviten pérdidas yhaya una respuesta rápida ante los cambios.




Entorno de ControlEntorno de Control§ Es la base de los demás componentes,

aportando disciplina y estructura.§ Incluye: la integridad, los valores éticos y

la capacidad de los empleados de laentidad, la filosofía de la Dirección y elestilo de gestión, la asignación de laautoridad y las responsabilidades, laorganización y el desarrollo de losempleados y la orientación de laDirección.




EvaluaciEvaluacióón de los riesgosn de los riesgos

§ Primeramente deben identificarse losobjetivos organizacionales, vinculados ycoherentes. Luego deben identificarse yevaluarse los riesgos relevantes quepueden afectar el alcanzar esos objetivos.§ Los riesgos deben ser administrados,

atendiendo a la existencia de un mediointerno y externo cambiante.




Actividades de ControlActividades de Control

§ Son las políticas y procedimientos queayudan a asegurar que se toman lasmedidas para limitar los riesgos quepueden afectar que se alcancen losobjetivos organizacionales.§ Son ejemplos: autorizaciones, verifica-

ciones, conciliaciones, segregación defunciones, revisiones de rentabilidadoperativa, etc.




InformaciInformacióón y Comunicacin y Comunicacióónn§ Se debe identificar, ordenar y comunicar en

forma oportuna la información necesaria paraque los empleados puedan cumplir con susobligaciones.§ La información puede ser operativa o financiera,

de origen interno o externo.§ Deben existir adecuados canales de

comunicación.§ El personal debe ser informado de la

importancia de que participe en el esfuerzo deaplicar el control interno.




SupervisiSupervisióónn

§ Debe existir un proceso que compruebeque el sistema de control interno semantiene en funcionamiento a través deltiempo.§ La misma tiene tareas permanentes y

revisiones periódicas. Estas últimasdependerán en cuanto a su frecuencia dela evaluación de la importancia de losriesgos en juego.




InterrelaciInterrelacióónn§ La organización debe

lograr cumplir conesas tres categoríasde objetivos (O, F,C)ya vistas.§ Los 5 componentes

descriptos sonacciones necesariaspara lograr esosobjetivos.




Limitaciones a atenderLimitaciones a atender

§ La confianza en el sistema de controlinterno no debe dejar de considerar que:üPueden existir fallas resultantes de errores de

juicio.üLa colusión de dos o más personas o la

acción de la Dirección pueden burlar elsistema.üEl sistema a diseñar debe explicitar las

limitaciones de recursos (relación costobeneficio).




Funciones y Funciones y responsabilidadesresponsabilidades

§ La Alta Gerencia es la responsable última delsistema de control. La integridad y la éticadeben ser elementos que aporten ejemplo a losdemás empleados. Debe dirigir a los gerentesque a su vez son los responsables en susrespectivas áreas.§ El Consejo de Administración fija las pautas y la

visión global del negocio. El Consejo debe tenerun papel activo en el conocimiento de lasacciones que se ejecutan. Debe asegurarse decontar con vías de comunicación efectivas conla Alta Dirección y las áreas financieras, legalesy de auditoría interna.




§ La AuditorAuditorííaa InternaInterna debe desempeñar un papelde supervisión sobre la eficiencia y permanenciade los sistemas de control. Para ello debe contarcon una ubicación jerárquica adecuada.§ Los empleadosempleados en general tienen la

responsabilidad de participar en el esfuerzo deaplicar el control interno, cuyos detalles debenser incorporados a la descripción de los puestosde trabajo. Ellos deben comunicar al nivelsuperior las desviaciones que detecten a loscódigos de conducta, a las políticas establecidaso la legalidad de las acciones realizadas.




MEYCOR COSO AGMEYCOR COSO AG§ El Informe COSO define una estructura, un

marco de referencia.§ Dentro del mismo se debe analizar cómo

interactuan los componentes en la realidadpeculiar de cada organización.§ Debe contarse con una herramienta que asista

en el proceso de evaluación periódica yproactiva del sistema de control interno.§ La evaluación puede querer centrarse en un

solo objetivo (por ejemplo la informaciónfinanciera). Puede también querer referirse auna unidad de la organización o a una actividaden particular.




Matriz de COSOMatriz de COSO




EvaluaciEvaluacióón de los riesgosn de los riesgos

§ Determinación de los Objetivos.§ Objetivos globales (tales como la Misión).§ Objetivos específicos de las diversas

actividades (por ej. Producción), estossub-objetivos medibles a través de metasdeben ser coherentes.




Los objetivos deben ser:Los objetivos deben ser:§ Definidos de modo de identificar los criterios

para medir el rendimiento y establecer factorescríticos de éxito (que pueden ser a nivel deactividad o unidad operacional).§ Coherentes y compatibles.§ Como ejemplo se puede considerar: efectuar

pagos sólo para compras autorizadas, que lossistemas informáticos se encuentren disponiblessegún los requerimientos del negocio, etc.




Los riesgosLos riesgos§ La identificación y el análisis de riesgos es un

proceso interactivo que involucra al personalresponsable de cumplir con los objetivos fijadosya que es el más idóneo.§ Los riesgos pueden ser el resultado del efecto

de factores internos y externos, por ejemplo: lasaverías de los sistemas informáticos, loscambios en la responsabilidad de los directivos,etc.§ Una vez identificados debe estimarse su

importancia, evaluar la probabilidad de queimpacte a la organización y qué medidas debentomarse para atenuar sus efectos.




Actividades de ControlActividades de Control§ Son políticas, procedimientos y acciones

que afectan a una o más áreas de laorganización.§ Algunos ejemplos serían:üAnálisis efectuados por la Dirección.üGestión directa de los responsables.üProceso de información.üControles físicos.üIndicadores de rendimiento y segregación de

funciones.




Relacionamiento de los elementosRelacionamiento de los elementos

§ Las actividades de control, al enfrentaradecuadamente a los riesgos, ayudan aalcanzar los objetivos de los Departa-mentos y actividades, logrando asíalcanzar los objetivos del negocio.




InformaciInformacióón y comunicacin y comunicacióónn

§ Debe asegurase que se obtengainformación de calidad y no meros datos.§ La información debe ser protegida ya que

se trata de un activo valioso.§ Las vías de comunicación interna deben

asegurar que el personal conozca loselementos suficientes para cumplir con sutarea.




Supervisión

§ Las actividades de supervisión continua yevaluaciones puntuales.

§ Las deficiencias detectadas deben seroportunamente comunicadas.




MEYCOR COSO MEYCOR COSO AGAG

Detalle de funcionalidades




Ingreso al sistemaIngreso al sistema

El Administrador (ADMIN) deberá conocer laherramienta y sus fundamentos teóricos, y a la horade hacer los relevamientos podrá distribuir el accesoa los cuestionarios según el perfil de los revisores.

El Administrador (ADMIN) deberá conocer laherramienta y sus fundamentos teóricos, y a la horade hacer los relevamientos podrá distribuir el accesoa los cuestionarios según el perfil de los revisores.

El sistema cuenta con un control de acceso almismo compuesto por un login y unacontraseña.

El sistema cuenta con un control de acceso almismo compuesto por un login y unacontraseña.




MenMenúú PrincipalPrincipal

El Menú Principal cuenta con una barrade herramientas que permite un accesomás directo a las opciones más usadas.

El Menú Principal cuenta con una barrade herramientas que permite un accesomás directo a las opciones más usadas.




Grupos de trabajo y revisoresGrupos de trabajo y revisores

Se definen grupos de trabajo y los revisoresque participarán en la revisión.Se definen grupos de trabajo y los revisoresque participarán en la revisión.




GuGuíía metodola metodolóógicagica

Existe una guía metodológica que facilita laaplicación de la metodología COSO. Estaguía contiene los pasos a seguir durante laevaluación, documentación, y accesosdirectos a los formularios donde lainformación debe ser ingresada.

Existe una guía metodológica que facilita laaplicación de la metodología COSO. Estaguía contiene los pasos a seguir durante laevaluación, documentación, y accesosdirectos a los formularios donde lainformación debe ser ingresada.




Cuestionarios GeneralesCuestionarios Generales

Los cuestionarios generales de los 5componentes pueden ser evaluados adiferentes niveles de la organización.

Los cuestionarios generales de los 5componentes pueden ser evaluados adiferentes niveles de la organización.




Formularios de Cuestionarios Formularios de Cuestionarios GeneralesGenerales

Los cuestionarios generales pueden sergenerados en formato RTF (con ingresomanual de respuestas) o en formato HTML(con ingreso automático de respuestas).

Los cuestionarios generales pueden sergenerados en formato RTF (con ingresomanual de respuestas) o en formato HTML(con ingreso automático de respuestas).




Cargar respuestas desde Formularios HTMLCargar respuestas desde Formularios HTML

Este formulario le permite cargar lasrespuestas de los cuestionariosgenerales desde los formularios HTML.

Este formulario le permite cargar lasrespuestas de los cuestionariosgenerales desde los formularios HTML.




SincronizaciSincronizacióón de Evaluaciones Offn de Evaluaciones Off--lineline

Este formulario le permite sincronizar lasrespuestas de los cuestionarios generales quelos revisores hayan ingresado en bases off-line.

Este formulario le permite sincronizar lasrespuestas de los cuestionarios generales quelos revisores hayan ingresado en bases off-line.




Informe de Cuestionarios GeneralesInforme de Cuestionarios Generales

PermitePermite evaluarevaluar loslos resultadosresultados dede lala revisiónrevisión dedeloslos 55 componentescomponentes tantotanto aa nivelnivel numériconumérico comocomográfico,gráfico, concon diferentediferente nivelnivel dede desagregacióndesagregación..

PermitePermite evaluarevaluar loslos resultadosresultados dede lala revisiónrevisión dedeloslos 55 componentescomponentes tantotanto aa nivelnivel numériconumérico comocomográfico,gráfico, concon diferentediferente nivelnivel dede desagregacióndesagregación..




ComparaciComparacióón de Cuestionarios n de Cuestionarios GeneralesGenerales

Permite comparar los resultados de la revisión entresí y contra el promedio, tanto a nivel numéricocomo gráfico, con diferente nivel de desagregación.

Permite comparar los resultados de la revisión entresí y contra el promedio, tanto a nivel numéricocomo gráfico, con diferente nivel de desagregación.




ComparaciComparacióón de diferentes pern de diferentes perííodosodos

Permite comparar los resultados obtenidos endiferentes períodos tanto a nivel numérico comográfico, con diferente nivel de desagregación.

Permite comparar los resultados obtenidos endiferentes períodos tanto a nivel numérico comográfico, con diferente nivel de desagregación.




CodificaciCodificacióón de la estructura organizacionaln de la estructura organizacional

Antes de comenzar la revisión, se debendeterminan los niveles que componen laestructura de la organización.

Antes de comenzar la revisión, se debendeterminan los niveles que componen laestructura de la organización.




OrganigramaOrganigrama

Se identifica el organigrama, definiendo losobjetivos de cada área y sus responsables.Se identifica el organigrama, definiendo losobjetivos de cada área y sus responsables.




Reporte del organigramaReporte del organigrama




Procesos y subProcesos y sub--procesosprocesos

Se definen los procesos y sub-procesos y selos asigna a las unidades del organigramacorrespondientes.

Se definen los procesos y sub-procesos y selos asigna a las unidades del organigramacorrespondientes.




Reporte de Procesos y SubReporte de Procesos y Sub--procesosprocesos




AsignaciAsignacióón de procesosn de procesos

Se asignan los procesos y sub-procesos queserán revisados por cada grupo de trabajo.Se asignan los procesos y sub-procesos queserán revisados por cada grupo de trabajo.




PonderaciPonderacióón de procesosn de procesos

LosLos procesosprocesos yy subsub--procesosprocesos puedenpueden serser ponderadosponderadosyy rankeadosrankeados aa efectosefectos dede determinardeterminar laslas actividadesactividadesqueque sonson críticascríticas parapara elel negocionegocio yy queque porpor tantotantorequierenrequieren mayormayor atenciónatención..

LosLos procesosprocesos yy subsub--procesosprocesos puedenpueden serser ponderadosponderadosyy rankeadosrankeados aa efectosefectos dede determinardeterminar laslas actividadesactividadesqueque sonson críticascríticas parapara elel negocionegocio yy queque porpor tantotantorequierenrequieren mayormayor atenciónatención..




Ingreso de actividades de los Ingreso de actividades de los procesosprocesos

ProcesosProcesos yy subsub--procesosprocesosasignadosasignados aa unidadesunidades..ProcesosProcesos yy subsub--procesosprocesosasignadosasignados aa unidadesunidades..

Jerarquía de tareas que Jerarquía de tareas que se realizan en el procesose realizan en el proceso. . Jerarquía de tareas que Jerarquía de tareas que se realizan en el procesose realizan en el proceso. .




Riesgos y Actividades de ControlRiesgos y Actividades de Control

Se definen los objetivos de control, losriesgos y las actividades de control relativasa los procesos y sub-procesos a ser evaluados

Se definen los objetivos de control, losriesgos y las actividades de control relativasa los procesos y sub-procesos a ser evaluados

Es posible marcar lasactividades de control queluego serán auditadas

Es posible marcar lasactividades de control queluego serán auditadas




SelecciSeleccióón de actividades de control a auditarn de actividades de control a auditar

Mediante la utilización de filtros es posibleseleccionar dentro del universo de las actividadesde control, aquellas que requieran ser auditadas

Mediante la utilización de filtros es posibleseleccionar dentro del universo de las actividadesde control, aquellas que requieran ser auditadas




CreaciCreacióón de proyectos de n de proyectos de auditorauditorííaa

Los usuarios supervisores pueden crear proyectos de auditoría. Para los proyectos se definen los auditores asignados y los objetivos de procesos que se van a auditar en el proyecto.

Los usuarios supervisores pueden crear proyectos de auditoría. Para los proyectos se definen los auditores asignados y los objetivos de procesos que se van a auditar en el proyecto.




AsignaciAsignacióón de objetivos y riesgosn de objetivos y riesgos

El supervisor que creó un proyecto debe definir losobjetivos que auditará cada auditor.Se definen también los riesgos de cada objetivo queserán alcanzados por el proyecto de auditoría.

El supervisor que creó un proyecto debe definir losobjetivos que auditará cada auditor.Se definen también los riesgos de cada objetivo queserán alcanzados por el proyecto de auditoría.




AuditorAuditoríía de actividades de controla de actividades de control

Registro de hallazgos.Registro de hallazgos.

Vinculación de archivos.Vinculación de archivos.

Registro de tareas realizadas.

Registro de tareas realizadas.

Objetivos y riesgos a auditarsegún la asignación del auditor.Objetivos y riesgos a auditarsegún la asignación del auditor.




Informe final de auditorInforme final de auditorííaa

Informe final de auditoríagenerado automáticamente.Informe final de auditoríagenerado automáticamente.

Selección de observaciones quese incluyen en el informe final.Selección de observaciones quese incluyen en el informe final.




CCáálculo de exposicilculo de exposicióónn

MATRIZ DE RIESGOS Y CONTROLCONTROLESBUENO BR MALO

RIESGO 4 2,5 116 4,00 6,40 16,0010 2,50 4,00 10,00

6,25 1,56 2,50 6,254 1,00 1,60 4,00

2,5 0,63 1,00 2,501 0,25 0,40 1,00

Impacto x Probabilidad de RiesgoEval. Act. de Control




Informe de Riesgos y Actividades de Informe de Riesgos y Actividades de ControlControl

Se evalúa el cumplimiento de los objetivosde control, a efectos de determinar si antelos riesgos identificados, los mismos seencuentran adecuadamente cubiertos.

Se evalúa el cumplimiento de los objetivosde control, a efectos de determinar si antelos riesgos identificados, los mismos seencuentran adecuadamente cubiertos.

Es posible ver la ponderaciónde riesgos y el resultado de laevaluación de las actividadesde control existentes.

Es posible ver la ponderaciónde riesgos y el resultado de laevaluación de las actividadesde control existentes.




Informe de Riesgos y Actividades de Informe de Riesgos y Actividades de ControlControl

Permite evaluar los resultados de la revisión delos objetivos tanto a nivel numérico como gráfico.Permite evaluar los resultados de la revisión delos objetivos tanto a nivel numérico como gráfico.




Resumen de Riesgos y Actividades de ControlResumen de Riesgos y Actividades de Control

Permite visualizar en forma resumida losresultados de la revisión de los objetivos ylos factores de riesgos de los procesos

Permite visualizar en forma resumida losresultados de la revisión de los objetivos ylos factores de riesgos de los procesos




Mapas de riesgos y grMapas de riesgos y grááficas de ficas de exposiciexposicióónn

Mapa de riesgos según la

probabilidad e impacto

Mapa de riesgos según la

probabilidad e impacto

Gráfica de exposición considerando la

evaluación de los controles

Gráfica de exposición considerando la

evaluación de los controles




Tratamiento de riesgosTratamiento de riesgosSe define el trata-miento que se da a losriesgos.

Se define el trata-miento que se da a losriesgos.

Según el tratamientorealizado se simula elcambio en la expo-sición al riesgo.

Según el tratamientorealizado se simula elcambio en la expo-sición al riesgo.




DefiniciDefinicióón de proyectos de n de proyectos de mejoramejora

Los nuevos controles que se incluyen en el tratamientose agrupan en proyectos de implantación.Los nuevos controles que se incluyen en el tratamientose agrupan en proyectos de implantación.

Controles incluidos enel proyecto.Controles incluidos enel proyecto.

Los proyectos sepriorizan según elimpacto y la relacióncosto-riesgo.

Los proyectos sepriorizan según elimpacto y la relacióncosto-riesgo.




ComparaciComparacióón de diferentes pern de diferentes perííodosodos

Permite comparar las evaluaciones de losprocesos obtenidas en diferentes períodostanto a nivel numérico como gráfico.

Permite comparar las evaluaciones de losprocesos obtenidas en diferentes períodostanto a nivel numérico como gráfico.




Meycor COSO WebMeycor COSO WebPublicaciPublicacióón, Distribucin, Distribucióón y Revisin y Revisióón de n de

DocumentosDocumentos

El módulo web de Meycor COSO AG, facilita lapublicación y distribución de documentos demanera sencilla, a la vez que permite emitirun juicio acerca de los mismos.

El módulo web de Meycor COSO AG, facilita lapublicación y distribución de documentos demanera sencilla, a la vez que permite emitirun juicio acerca de los mismos.




Meycor COSO WebMeycor COSO WebRespuesta a Cuestionarios GeneralesRespuesta a Cuestionarios Generales

Meycor COSO Web permite contestar loscuestionarios de autoevaluación de formaremota

Meycor COSO Web permite contestar loscuestionarios de autoevaluación de formaremota




Prestaciones dePrestaciones de MEYCOR MEYCOR COSO AG COSO AG para personalizar y para personalizar y

mejorar el detalle y la mejorar el detalle y la información de la revisióninformación de la revisión




§ Contiene una guía metodológica que facilita laaplicación de la metodología COSO y lo asistedurante todo el procesos de revisión.§ Permite codificar los niveles jerárquicos de la

organización para así determinar elorganigrama de acuerdo a la nomenclatura dela misma.§ Permite identificar los procesos y sub-procesos,

efectuar un ranking de los mismos, así comoasociarlos a las áreas correspondientes.§ Permite la creación de grupos de trabajo y de

revisores, que facilitan la distribución de lastareas.




§ Permite asignar a los revisores privilegios deAdministrador.

§ Contiene los objetivos, riesgos y actividades decontrol genéricos del Informe COSO.

§ Permite manejar varias versiones de loscuestionarios generales.

§ Permite marcar las actividades de control queluego serán objeto de auditoría.

§ Permite el uso de ponderadores a nivel deprocesos, objetivos y riesgos.




§ Permite evaluar los cuestionarios generales acualquier nivel jerárquico.

§ Permite exportar todos los reportes a formatoRTF, HTML y EXCEL.

§ Permite exportar todas las gráficas a formatoBMP.

§ Genera formularios de evaluación decuestionarios generales en HTML.

§ Permite la sincronización de cuestionariosgenerales y evaluación de riesgos y actividadesde control de bases off-line.




§ Permite acceso multi-usuario a la evaluación deriesgos y actividades de control.

§ Permite efectuar un ranking de los procesos.

§ Permite comparar los resultados de diferentesperíodos.

§ Incluye ayuda en línea.




DATASECIT Security & Control

Patria 716 - CP 11300 - Montevideo - UruguayTel: (5982) 711-58-78/ 711-04-20Fax: (5982) 711-58-94Web site: www.datasec-soft.com


http://www.datasec-soft.com



control interno basado en coso

Documents