vi congreso regional de administración de riesgos ... · del impacto de los sistemas de...
TRANSCRIPT
COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno Leonidas Rey Senior Manager Ernst & Young - Servicios Financieros
VI Congreso Regional de Administración de Riesgos Financieros CORERIF Guatemala, 06 de Noviembre 2014
Page 2
Agenda
► Marco Referencia COSO 2013
► Cambios clave
► Impacto
► ¿Cómo adaptarse a COSO 2013?
► El Rol de Auditoría Interna y Riesgo
COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno
Page 3
Marco de Referencia COSO
Page 4
¿Qué es COSO?
► Committee of Sponsoring Organizations of the Treadway Commission (COSO)
► Five Sponsoring Organizations
COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno
Page 5
¿Qué es COSO?
► Marco de referencia cuyo objetivo es proveer orientación sobre: ► Gestión del control interno y detección de fraude
► Administración de riesgos
► Gobernabilidad y mejora del desempeño organizacional
COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno
Page 6
¿Qué es Control Interno?
Proceso establecido por el Consejo de Dirección, la Administración y otro personal de una empresa, designado para proporcionar certeza razonable sobre el cumplimiento de objetivos en las siguientes categorías:
• Efectividad y eficiencia de las operaciones. • Confiabilidad de información financiera. • Cumplimiento con leyes y regulaciones
aplicables.
COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno
Page 7
¿Qué es Control Interno?
La definición de control interno comprende ciertos conceptos fundamentales:
► El control interno es un proceso. Es un medio para un fin, no un fin en sí mismo.
► El control interno es efectuado por personas. No es meramente la existencia de formularios y manuales que contienen políticas, sino personas en cada nivel de una organización.
► La dirección y el directorio de una empresa únicamente pueden esperar del control interno que provea seguridad razonable, no seguridad absoluta.
► El control interno se aplica en toda la entidad.
COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno
Page 8
¿Qué es Control Interno?
• Evaluación de la efectividad del sistema de control a largo plazo.
• Combinación de una evaluación continua e independiente.
• Actividades gerenciales y de supervisión.
• Actividades de auditoría interna.
• Define el rumbo para concientizar a los empleados en términos de controles.
• Factores que incluyen integridad, valores éticos, competencia, autoridad y responsabilidad.
• Basa para todos los demás componentes de control.
Es la identificación y análisis de riesgos relevantes para lograr los objetivos de la entidad – formando la base para definir las actividades de control.
Ambiente de Control
• Información adecuada, identificada, ingresada y comunicada de manera oportuna.
• Acceso a información generada interna y externamente.
• Un flujo que permite actividades de control exitosos- desde asignaciones de responsabilidad hasta resumen de hallazgos para acciones de la gerencia.
Información y Comunicación Evaluación de Riesgo
• Políticas/procedimientos que aseguran que se siguen las directrices de la gerencia.
• Rango de actividades, tales como: aprobaciones, autorizaciones, verificaciones, recomendaciones, revisiones de rendimiento, seguridad de activos y segregación de funciones.
Actividades de Control
Monitoreo
COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno
Page 9
COSO I – COSO II ERM
Expandido en tres componentes
Principales cambios de COSO I – COSO ERM
COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno
Page 10
COSO 2013
1992 2006 2009 2013
COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno
Page 11
COSO 2013
Mayo 2013
2014
Transición
El Marco COSO
original será
sustituido
COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno
Page 12
Cambios Clave
Page 13
Una historia de crisis recurrentes
► El caso de Enron en 2001.
► Caso BANINTER, BANCREDITO (2003)
► La crisis financiera del 2008.
► El caso de Banco Espirito Santo en 2014.
COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno
Page 14
Las causas de fondo
► El elemento en común. Fallas en:
► Gobierno Corporativo,
► Juntas Directivas y los comités de Auditoría, Riesgo y Cumplimiento.
► Razones:
► Negocios cada día más grandes y complejos,
► Presión por crecimiento y rentabilidad,
► Incentivos mal estructurados.
► Las (sobre) reacciones y exigencias por parte de reguladores, accionistas, inversionistas, accionistas, público y Basilea.
► Presión de partes interesadas
► Mayor escrutinio por parte de
agencias calificadoras,
reguladores, accionistas, etc.
► Agencias de rating y
corresponsales
► Aumento en primas de riesgo y
deterioro en el precio por
acción
► Practicas de mercado
► Impactos en la reputación
► Mayor numero de regulaciones
► Costo de penalidades
► Muchas consecuencias
COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno
Page 15
Ambiente financiero altamente regulado
OECD
NACD
SEC
NYSE
rules
SOX
NASDAQ
rules
ALI
BRT Employment
& Labor
AS 3806
FSG Thompson
Memo
TIAA
CREFF
PCAOB
CalPERS
ISO 9000
SBP
ERM
COSO
ERM AS 4360
BIS
Baldrige
European
Quality CSR GRI
AA 1000 SA 8000
ISO: CSR ISO14000
TIAA
CREFF
Governance
Quality
Legal
Compliance
Prosecutorial
Guidance
Wage &
Hour
Workplace
Violence
FDA
Conference
Board
CII
AS 4269
Government
Contracts
Anti-
Discrimination
Anti-
Harassment
Contingent
Workforce
Hiring &
Retention
HIPAA
Information
Management
Employee
Information
GLBA ISO 17709
CCA &
FISCAM
GAO XBRL
COBIT
NIST
8-2010
8-2011 Turnbull
AFL-CIO
King II
21(a)
Seaboard Caremark
Environmental
ILO
Conventions
AICPA
SAS 99 & 70
FFIEC
WebTrust
SysTrust
COSO
Internal Control
OCC
5-2011
CMM
FCPA
OFEHO Federal
Reserve
Human
Capital CMM
CISA
HHS
Guidance
Abbott
Decision
DoD
IIA
Guidance 5-2008
Anti-
Money Laundering
4-2013 Anti-Fraud USA
PATRIOT DII
IRS & Tax Competitive
Practices
CCGG
7-2011
COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno
Page 16
¿Qué ha cambiado?
COSO’s Internal Control – Integrated Framework (1992 Edition)
Objetivos actualizados
Mejoras
COSO’s Internal Control – Integrated Framework (2013 Edition)
Reflejar los cambios significativos en el ambiente de negocio y sus riesgos asociados
Actualiza el contexto
Enfoque en las operaciones, el cumplimiento y los objetivos de información no financieros
Amplia los requerimientos
Codificar los criterios a utilizar en el desarrollo y la evaluación de los sistemas de control interno
Principios
Punto Focal
Estado actual
Estado futuro
COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno
Page 17
• Mayores expectativas de
supervisión por parte de los
stakeholders
• Globalización de los
mercados y de las
operaciones
• Evolución de los sistemas
de información
• Necesidades de prevención
e identificación de fraude
• Nuevas leyes, reglas y
regulaciones
¿Por qué ha cambiado?
1. Detalla principios y puntos
de interés para determinar
la efectividad del Sistema
de Control Interno.
2. Amplía el objetivo de
reporte, enfocándose no
sólo en la información
financiera, sino también en
la no financiera.
3. Mayor consideración para
los controles de prevención
e identificación de fraude
4. Profundiza en la necesidad
de la calidad de
información que debe
darse entre la compañía
Principales Cambios
5. Se amplía la información
sobre la necesidad de
Gobierno Corporativo
6. Incrementa la relevancia
del impacto de los sistemas
de información (TI),
considerando la calidad,
confiabilidad y protección
de la información
7. Incorpora dentro del cubo
de Sistema de Control
Interno a las divisiones o
unidades de negocio
soportadas por los terceros
8. Mayor detalle sobre los
canales de información
internos y externos.
Nuevo sistema de control interno - COSO
COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno
Page 18
Principios del nuevo marco COSO
1. Demostrar compromiso con la integridad y la ética
2. Ejercer la responsabilidad de supervisión
3. Establecer una estructura, autoridad y responsabilidades
4. Comprometerse con la competencia profesional
5. Reforzar la responsabilidad de rendir cuentas
Ambiente de Control
6. Definir objetivos 7. Identificar y analizar los riesgos 8. Evaluar el riesgo de fraude 9. Identificar y analizar los cambios
que puedan afectar al Sistema de Control Interno
Evaluación de Riesgos
10.Diseñar y ejecutar actividades de control
11.Diseñar y ejecutar actividades de control para los sistemas de información
12.Desplegar los controles a través de políticas y procedimientos
Actividades de Control
13.Utilizar información relevante y de calidad para la función de control interno
14.Comunicar internamente la información relevante, incluyendo objetivos y responsabilidades para el control interno
15.Comunicar externamente la información relevante del Sistema de Control Interno
Información y Comunicación
16.Seleccionar, desarrollar y ejecutar evaluaciones continuas y periódicas de cada componente del Sistema de Control Interno.
17.Evaluar y comunicar las deficiencias de control interno, de manera oportuna, a los responsables de tomar acciones correctivas (Gerencia o Junta Directiva)
Actividades de Supervisión
A B C
D E
COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno
Page 19
COSO 2013 – Cambios Clave
► Principios del ambiente de control (1-5) – minimizar las lagunas alrededor de las áreas donde el modelo de negocio de las organizaciones puede haber evolucionado o transformados a partir del modelo tradicional en los últimos años (por ejemplo, empresas conjuntas, la utilización de las organizaciones de servicios, servicios compartidos).
► Principios 6, 7 y 9 - Evaluación del riesgo - la expansión del universo y el micro-universo.
► Principio 8 - Consideración del fraude – incorporar evaluaciones de riesgo de fraude; mejorar el enfoque y la documentación de los controles de fraude.
► Principio 10 - Diseñar y ejecutar actividades de control para los sistemas de información
► Principio 14 - Comunicar internamente la información relevante, incluyendo objetivos y responsabilidades para el control interno
Pu
nto
s d
e E
nfo
qu
e
A Ambiente de Control
B Evaluación de Riesgos
C Actividades de Control
D Información y Comunicación
E Monitoreo
COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno
Page 20
Relevancia incrementada de la tecnología
Infraestructura y recursos tecnológico
Estructura
COSO 2013
Principales riesgos asociados a la “Cloud
computing”
Principales riesgos asociados a la
informática móvil
Principales riesgos asociados
a la gestión de riesgo de terceros
Selecciona y desarrolla los
controles generales sobre
la tecnología
Principales riesgos asociados
a la seguridad cibernética
COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno
Page 21
Impacto de COSO 2013
Page 22
Tres líneas de defensa
► Comités como forma de cumplir con las nuevas responsabilidades de la Junta Directiva
► Los tres pilares fundamentales: Comités de Auditoría, Riesgo y Cumplimiento. Deben ser complementados por la Administración
Estructura de Gobierno Corporativo, Junta Directiva,
Comités de JD
Alta Administración
Sistemas de
Control Geren-ciales
Indicado-res
Alertas KRI KPI
Medidas
de Control
1ra. línea de defensa 2da. línea de defensa
Controles Financieros
Seguridad
Gestión de Riesgos
Calidad
Cumplimiento
Auditoría Interna
3ra. línea de defensa
Au
dito
res E
xte
rno
s
Re
gu
lad
ore
s
Page 23
COSO 2013 - ¿Cuál impacto? Un vistazo a su nivel de adopción en el mundo
De acuerdo con los
resultados de la encuesta
“North American Pulse of the
Profession Survey” del IIA’s,
un número mayor de
organizaciones financieras y
no financiera están
dispuestas a adoptar COSO
2013 con relación a su
versión de 1992.
41%
27%
20%
4% 8%
Tipos de organización que planean aplicar el modelo COSO 2013
Bolsa pública
Financiamientoprivado
Sector público
Proveedoras deservicios /
consultoras
Otros tipos deorganización
Fuente: The Instituo of Internal Auditors North American Pulse of the Profession Survey, Septiembre 2013.
COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno
Page 24
COSO 2013 - ¿Cuál impacto? Variará según el tipo de organización
Impacto
Imp
acto
Impacto
Impacto
Impacto Impacto
COSO 2013
COSO 2013
COSO 2013
COSO 2013
CO
SO
20
13
CO
SO
20
13
CO
SO
20
13
CO
SO
20
13
Imp
act
o
Imp
act
o
Varía según su organización
Varía según su organización
Varía según su organización
Varía según su organización
Va
ría se
gú
n su
org
an
izació
n
Va
ría
se
gú
n s
u o
rga
niz
aci
ón
Varía según su organización
Varía según su organización
Varía según su organización
Va
ría se
gú
n su
org
an
izació
n
COSO 2013
COSO 2013
COSO 2013
COSO 2013
CO
SO
20
13
CO
SO
20
13
Imp
acto
Imp
act
o
Impacto
Impacto
Impacto
Impacto
Imp
act
o
Imp
act
o
Imp
act
o
Impacto
Impacto
CO
SO
20
13
COSO 2013
Impacto Impacto
¿Necesita un sistema de control interno para
hacer frente a los cambios?
¿Necesita su sistema de control interno
actualizarse para hacer frente a todos los
principios?
¿Su organización aplica e interpreta el marco original de la misma
manera como COSO?
¿Qué pasa si no estamos listos?
¿Cuánto esfuerzo debemos asignar a esto?
COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno
Page 25
COSO 2013 - ¿Cuál impacto? Variará según el tipo de organización
Tres respuestas comunes han surgido impulsadas por la madurez del ambiente de control existente en términos de: ► Integridad, integración y eficacia de los componentes de
COSO. ► La eficiencia actual y prospectiva que debe ser apta para
el afrontar los cambios previstos y necesidades del entorno organizacional.
COSO mapeo de remediaciones
mínimas
COSO cambios de iniciativas sobre el control interno
Se espera que la respuesta de remediación consista en: ► Una remediación más amplia debido a limitaciones o falta de
efectividad de la adopción original COSO, cambios significativos en el negocio desde que la adopción.
► Remediación incremental para subsanar las deficiencias específicas o mejoras en el diseño del entorno de control en respuesta a los cambios evolutivos en el negocio o la adopción de prácticas conducentes.
► Una expansión más allá del Control Interno sobre el Reporte Financiero (ICFR) y el uso de los principios de COSO para subrayar la necesidad de aumento de los controles operacionales, sobre los informes internos, el gobierno corporativo y una disminución de los costos de control.
Principales prácticas de adopción COSO
Gap incremental de
remediación —
áreas bajo riesgo
Gap incremental
de remediación —
áreas de alto
riesgo
Remediación
completa de
brechas
Remediación
de eficiencia
COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno
Page 26
Beneficios del marco de referencia actualizado
Depempeño
Agilidad
Confianza Claridad
Administración y Junta Directiva
Partes Externas Otros Usuarios
► Mejorar el GC
► Expande el uso más allá del reporte financiero
► Mejorar la calidad de la evaluación de riesgos
► Fortalecer esfuerzos anti-fraude
► Adaptar los controles a las necesidades cambiantes del negocio
COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno
Page 27
¿Cómo Adaptarse a COSO 2013?
Page 28
Plan de juego COSO 2013 - Transición
Para dirigir los cambios que requiere el nuevo marco COSO 2013, es esencial una coordinación integral de la Gerencia, Comité de Auditoría, Auditoría Interna,
Administración Integral de Riesgos y todas las funciones que juegan una papel fundamental en el sistema de control interno de la organización
1.
Iniciar una discusión con la alta dirección y el comité de auditoría sobre el nuevo marco COSO, destacando sus principales cambios e implicaciones para el sistema de control interno de la organización.
2.
Revisar y establecer un proceso para identificar y evaluar los cambios en riesgos, controles (si los hubiera) y en la documentación relacionada.
3.
Documentar su enfoque para la aplicación del nuevo marco COSO y el plan de transición incluyendo los cambios en los riesgos, controles y documentación relacionada.
COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno
Page 29
Fase III
Monitoreo
► Monitoreo y mejora continua
► Implementación de
oportunidades de mejora
Ciclo de adopción del marco COSO
Actualización de
riesgos y
controles
Actualización
de mapas de
procesos
Ejecución de
las pruebas
de controles
Actualización
de políticas
corporativas
Actualización
de
procedimientos
de pruebas y
controles
Fase II
Adopción
► Sensibilización
► Actualización de
la
documentación
Fase I
Diagnóstico
► Análisis de
brechas
► Cuantificación
del impacto
El sistema de Control Interno
es la base de una gestión
orientada al logro de los
objetivos operacionales,
financieros y de cumplimiento
de una organización, así
como para el fortalecimiento
del Gobierno Corporativo
COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno
Page 30
Impacto del COSO 2013 en las funciones de Auditoría Interna y Riesgo
Page 31
Impacto en las funciones de Auditoría Interna y Riesgo Línea Gerencial
► Mapear los 17 principios a los controles existentes para demostrar que estos principios estén presentes y funcionando en apoyo de los objetivos organizacionales.
► Identificar y analizar las brechas de diseño de control con la alta dirección y desarrollar los planes para remediar las brechas.
Riesgo y Cumplimiento
► Llevar a cabo una evaluación del impacto del Marco COSO de 2013 sobre las políticas de la organización, la orientación, la formación y las herramientas relacionadas.
► Trabajar con la alta dirección y la línea gerencial para comunicar el impacto del Marco COSO de 2013 sobre la organización de Auditoría Interna, la Junta Directa/ y Comité de Auditoría.
► Revisar la metodología para la evaluación de riesgos para hacer frente a los 17 principios que apoyan a los 5 componentes para la consecución de los objetivos organizacionales.
COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno
Page 32
Impacto en las funciones de Auditoría Interna y Riesgo Auditoría Interna
► Discutir con el comité de auditoría del impacto del marco de 2013 sobre las operaciones y los planes de auditoría interna.
► Referir los 17 principios en la evaluaciones realizadas por la auditoría interna, en las comunicaciones con el Comité de Auditoría y con la Gerencia.
► Trabajar proactivamente con la línea gerencial, riesgo y complimiento en el diseño del plan de transición hacia COSO 2013.
► Participar en las discusiones con auditoría externa para revisar el plan de transición al Marco COSO 2013 y entender las implicaciones en la ejecución de las auditorías futuras.
.
COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno
Page 33
Otras consideraciones
De acuerdo con el practice guide: “Developing the Internal Audit Strategy plan” del Instituto de Auditores Internos dice que es importante realizar un FODA para conocer si con sus capacidades actuales pueden cumplir con la visión y alcanzar las expectativas de las partes interesadas.
Impacto en las funciones de Auditoría Interna y Riesgo
Estructura organizacional
Requerimientos de recursos
Tecnología y herramientas
Modelos de tercerización
COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno
Page 34
Otras consideraciones para Auditoría Interna Relevancia de la Tecnología de Información (TI)
► Aspectos relacionados con TI se incluyen en14 de los 17 principios.
► Principio 11: La organización selecciona y desarrolla actividades de control generales sobre la tecnología para apoyar el logro de los objetivos.
► La discusión de la utilización de TI para ayudar a monitorear, continua dentro del sistema de control interno (por ejemplo, el uso de sistemas GRC y para el análisis de datos).
► Requisitos para garantizar la calidad de la información (es decir, la integridad de datos)
COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno
Page 35
Nunca pienso en el futuro porque llega muy pronto Albert Einstein
Page 36
Contáctenos:
Leonidas Rey CPA MBA
Senior Manager
LAFSA Risk Advisory FSO Office: +506 2208 6741| Mobile: +506 5009 1833 e-mail: [email protected]