Coso 1 y 2
Descripción
¿Qué es coso?
Organización voluntaria del sector privado, establecida en los EEUU, dedicada a proporcionar orientación a la gestión ejecutiva y las entidades de gobierno sobre los aspectos fundamentales de organización de este, la ética empresarial, control interno, gestión del riesgo empresarial, el fraude, y la presentación de informes financieros. COSO ha establecido un modelo común de control interno contra el cual las empresas y organizaciones pueden evaluar sus sistemas de control.
COSO I
El Control Interno se define entonces como un proceso integrado a los procesos, y no un conjunto de pesados mecanismos burocráticos añadidos a los mismos, efectuado por el consejo de la administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar una garantía razonable para el logro de objetivos.
El principal objetivo del Control Interno
Es garantizar que la empresa alcance sus objetivos. En este sentido, el Control Interno puede actuar de 2 distintas maneras:
1. Evitar que se produzcan desviaciones con respecto a los objetivos establecidos;
2. Detectar, en un plazo mínimo, estas desviaciones.
En el primer caso, el Control Interno evita que estas desviaciones se produzcan. Un ejemplo práctico podría ser el caso de una empresa que, establecidos unos objetivos en términos de exposición de sus cuentas a cobrar, analiza cada cliente antes de concederle crédito, evitando de esta forma que se produzcan situaciones de cuentas impagadas.
En el segundo caso, por el contrario, el Control Interno no evita que se produzcan estas desviaciones, pero por lo menos hace saltar la alarma, de tal forma que la dirección de la empresa puede reaccionar rápidamente. Por ejemplo, una revisión trimestral de los ratios de rotación de las existencias no evita que se produzcan situaciones de baja rotación o de exceso de stock, pero permite a la empresa, en un plazo razonable detectar estas posibles circunstancias, antes de que sea demasiado tarde. En estos casos, la tempestividad es esencial: no es lo mismo detectar que nuestra rotación ha disminuido después de 3 meses, que después de un año
En ambos casos, no hay que caer en el error de pensar que el Control Interno ofrezca garantías absolutas de que se eviten o detecten estas desviaciones.
Es importante comprender que el objetivo de todo sistema de Control Interno es ofreceruna seguridad razonable de que la empresa alcanzará sus objetivos.
El Informe COSO consta de 2 partes:
1. Un Resumen para la Dirección, que introduce los principales conceptos,
2. Y el Marco integrado de Referencia, donde se analizan en detalle los 5 pilares del Control Interno: Entorno de Control, Evaluación de los Riesgos, Actividades de Control, Información y Comunicación, Supervisión
Informe coso I
Es un proceso efectuado por el consejo de administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías:
Eficacia y eficiencia de las operaciones
Fiabilidad de la información financiera
Cumplimiento de la leyes y normas que sean aplicables
Es un proceso:
No constituye un acontecimiento o tarea aislada.
Se trata de un conjunto de acciones coordinadas para lograr un fin (no es un fin en sí mismo).
Esta serie de acciones se extiende por todos los niveles y actividades de una organización. es parte de los procesos básicos de planificación, ejecución y supervisión
No es un elemento añadido a las actividades del ente como algunos autores piensan.
No se debe ver como una carga impuesta e inevitable, sino como un proceso entrelazado con el resto de las actividades de la entidad.
Son más efectivos cuando se incorporan a la infraestructura de una entidad: Deben ser incorporados, no añadidos. La incorporación de controles influye directamente en la capacidad de conseguir los objetivos que persigue la entidad, además de apoyar las iniciativas de calidad. Los controles permiten que las empresas sean más agiles y competitivas: repercuten en la contención de costos y en los tiempos de repuesta.
Lo llevan a cabo personas:
La implementación y seguimiento del CI es llevado a cabo por el Consejo de Administración, la Dirección y demás miembros de la entidad.
No es suficiente poseer manuales de políticas y normas.
La responsabilidad de realizarlo está en todos los niveles de la organización.
Las personas son quiénes establecen los objetivos de la organización e implementan los mecanismos de control.
Cumplimiento: acatamiento por parte de la entidad de las leyes y normas que le sean aplicables. Esta clasificación permite centrarse en los diferentes aspectos , identificar qué es lo que se espera de cada categoría.
Busca seguridad razonable: por muy bien diseñado e implementado que esté, solamente puede aportar un grado de seguridad razonable a la dirección y al consejo de administración acerca de la consecución de los objetivos de la entidad.
Existen limitaciones inherentes a todos los sistemas .
Problemas en el funcionamiento del sistema como consecuencia de fallos
humanos.
Los controles pueden esquivarse si dos o más personas se lo proponen.
La dirección puede creer oportuno eludir el sistema .
Las opiniones sobres las que se basan las decisiones.
Para alcanzar los objetivos
Toda organización tiene una misión y visión, éstas determinan los objetivos y las estrategias necesarias para alcanzarlos. Los objetivos se pueden establecer para el conjunto de la organización o para determinadas actividades dentro de la misma.
Los objetivos en este informe pueden clasificarse en 3 categorías:
Operacionales: utilización eficaz y eficiente de los recursos de la entidad. Ej: rendimiento, rentabilidad, salvaguarda de activos, etc.
Información Financiera: preparación y publicación de estados financieros
Fiable.
Importancia de COSO I:
Marco Integrado de Control Interno
A nivel organizacional, Informe Coso I destaca la necesidad de que la alta dirección y el resto de la organización comprendan la trascendencia del control interno, la incidencia del mismo sobre los resultados de la gestión, el papel estratégico a conceder a la auditoría y esencialmente la consideración del control como un proceso integrado a los procesos operativos de la empresa y no como un conjunto de actividades adicionales, que daría como resultado procesos burocráticos.
A nivel regulatorio o normativo, el Informe COSO pretende que cuando se plantee cualquier discusión o problema de control interno, tanto a nivel práctico de las empresas, como a nivel de auditoría interna o externa, o en los ámbitos académicos o legislativos, los interlocutores tengan una referencia conceptual común, lo cual antes de la aplicación del informe era complejo, dada la multiplicidad de definiciones y conceptos divergentes que han existido sobre control interno.
Desde su elaboración, esta metodología se incorporó en las políticas, reglas y regulaciones y ha sido utilizada por muchas empresas para mejorar sus actividades de control hacia el logro de sus objetivos planteados.
Dicho Informe intenta brindar un grado razonable de seguridad frente al riesgo que se presenta. Este último se define como la probabilidad que ocurra un determinado evento que puede tener efectos negativos para la organización.
Componentes de COSO I
El Informe Coso I se vale de diversos componentes para explicar el desarrollo del control interno en una organización, y estos son:
Entorno de control.
Evaluación de riesgos.
Actividades de control.
Información y comunicación.
Supervision.
El control interno, consiste en un proceso multidireccional repetitivo y permanente, en el cual más de un componente influye en los otros y conforman un sistema integrado que reaccionan dinámicamente a las condiciones cambiantes.
Niveles de Efectividad
Los sistemas de control interno operan con distintos niveles de efectividad; puede ser juzgado efectivo en cada uno de los tres grupos, respectivamente, si el consejo de administración o junta y la gerencia tienen una razonable seguridad de que:
Entienden el grado en que se alcanzan los objetivos de las operaciones de las entidades.
Los informes financieros sean preparados en forma confiable.
Se observen las leyes y los reglamentos aplicables.
El Entorno de Control o Ambiente de control
Es el establecimiento de un entorno que se estimule e influya las actividades del personal con respecto al control de las actividades que realice.
Es la base en la que se apoyan los 4 restantes componentes del Control Interno. Al proveer disciplina y estructura para el control , incide en la forma de:
Se estructuran las actividades del negocio.
Se asigna autoridad y responsabilidad.
Se organiza y desarrolla la gente.
Se comparten y comunican los valores y creencias.
El personal toma conciencia de la importancia del control.
Los factores que intervienen en el entorno de control son:
La integridad y los valores éticos.
El compromiso a ser competente.
Las actividades de la junta directiva y el comité de auditoría.
La mentalidad y estilo de operación de la gerencia.
La estructura de la organización.
La asignación de autoridad y responsabilidades.
Las políticas y prácticas de recursos humanos.
El entorno de control posee una gran influencia en la forma de como irán desarrollando las operaciones, se establecen los objetivos y se minimizaran los riesgos, puesto que tiene que ver con el comportamiento de los sistemas de información y con la supervisión en general.
La Evaluación de los Riesgos.
Los riesgos se definen como todos aquellos elementos o circunstancias que podrían impedir que la empresa alcanzara sus objetivos. Visto que la empresa desarrolla su actividad en un entorno cada vez más competitivo, dinámico y cambiante, debe disponer de ciertos mecanismos que evalúen constantemente el entorno circunstante y garanticen que la empresa se va adecuando a este.
Es la identificación y análisis de riesgos relevantes para el logro de los objetivos y la base para determinar la forma en que tales riesgos deben ser mejorados, se refiere a los mecanismos necesarios para identificar y manejar riesgos específicos asociados con los cambios, tanto los que influyen en el entorno de la organización como en su interior.
En toda entidad, es indispensable el establecimiento de objetivos tanto globales de la organización como de actividades relevantes, para así poder identificados y analizar los factores de riesgo que amenazan su oportuno cumplimiento.
La evolución de riesgos debe ser una responsabilidad ineludible para todos los niveles que están involucrados en el logro de los objetivos, se realizara esta actividad de autoevaluación revisada por los auditores internos para que asegurar que tanto el objetivo, enfoque, alcance y procedimiento han sido llevados a cabo. Puesto que toda entidad enfrentara diversos riesgos que pueden surgir de fuentes externas e internas por estas razón deben ser evaluados por la gerencia, quien a establecido los objetivos generales, específicos y analizara los riesgos de dichos objetivos para que afecten a la entidad.
Objetivos: Su importancia es evidente en cualquier organización, ya que representa la orientación básica de todos los recursos y esfuerzos y proporciona una base sólida para un control interno efectivo.
Las categorías de los objetivos son las siguientes:
Objetivos de Cumplimiento. (leyes y reglamentos, políticas emitidas por la administración.)
Objetivos de Operación. (la efectividad y eficacia de las operaciones de la organización.)
Objetivos de la Información Financiera. (información financiera confiable.)
El logro de los objetivos antes mencionados está sujeto a los siguientes eventos:
Los controles internos efectivos proporcionan una garantía razonable de que los objetivos de información financiera y de cumplimiento serán logrados, está dentro del alcance de la administración.
En relación a los objetivos de operación
Los riesgos de actividades también deben ser identificados, ayudando con ello a administrar los riesgos en las áreas o funciones más importantes; las causas en este nivel pertenecen a un rango amplio que va desde lo obvio hasta lo complejo y con distintos grados de significación, deben incluir entre otros aspectos los siguientes:
La estimación de la importancia del riesgo y sus efectos.
La evaluación de la probabilidad de ocurrencia.
El establecimiento de acciones y controles necesarios.
La evaluación periódica del proceso anterior.
Actividades de Control.
Las actividades de control son todas aquellas medidas, de la más diversa naturaleza, que sirven para asegurar que el negocio de la empresa, en todos sus aspectos, está bajo control. Estas actividades estan expreasdas en las politicas, sistemas y procedimientos.
Las actividades de control tienen distintas características. Pueden ser manuales o computarizadas, administrativas u operacionales, generales o específicas, preventivas o detección. Las actividades de control son importantes no solo porque en sí mismas implican la forma correcta de hacer las cosas, sino debido a que son el medio idóneo de asegurar en mayor grado el logro de objetivos.
Información y Comunicación.
La información es esencial para que la empresa pueda funcionar y para que la dirección tome decisiones acertadas. Es importante no confundir aquí el objetivo de fiabilidad de la información, con el este 4º elemento del Control Interno. En este contexto la información que maneja la empresa, y la correcta comunicación y flujo de la misma, de manera rápida y tempestiva, desde y hacia todos los departamentos y niveles de la empresa es esencial para el buen funcionamiento de un sistema de Control Interno.
A través de:
Controles Generales: aseguran una operación y continuidad adecuada, e incluyen al control sobre el centro de procesamiento de datos y su seguridad física, contratación y mantenimiento del hardware y software, También se relacionan con las funciones de desarrollo y mantenimiento de sistemas, soporte técnico y administración de base de datos.
Controles de Aplicación: estos se encuentran dirigidos hacia el interior de cada sistema y funcionan para lograr el procesamiento, integridad y confiabilidad, mediante la autorización y validación correspondiente.
Los sistemas de información y tecnología son y serán sin duda un medio para incrementar la productividad y competitividad. Ciertos hallazgos sugieren que la integración de la estrategia, la estructura organizacional y la tecnología de información es un concepto clave para el nuevo siglo.
Pretende evaluar la situación actual y predecir la situación futura sólo con base en la información contable.
Supervisión.
Como todo sistema, también el sistema de Control Interno necesita de supervisión para funcionar correctamente. En este sentido, la supervisión es un proceso que comprueba que el sistema de Control Interno funciona correctamente. Esta supervisión la debe realizar la dirección de la empresa, pero está claro que es aquí, en estas revisiones donde el trabajo de los auditores internos se hace más importante. La evaluación debe conducir a la identificación de los controles débiles, insuficientes o innecesarios, para promover con el apoyo decidido de la gerencia, su robustecimiento e implantación.
Esta evaluación puede llevarse a cabo de tres formas: durante la realización de las actividades diarias en los distintos niveles de la organización; de manera separada por personal que no es el responsable directo de la ejecución de las actividades mediante la combinación de las dos formas anteriores. Para un adecuado monitoreo se deben tener en cuenta las siguientes reglas:
El personal debe obtener evidencia de que el control interno está funcionando.
Sí las comunicaciones externas corroboran la información generada internamente.
Se deben efectuar comparaciones periódicas de las cantidades registradas en el sistema de información contable con el físico de los activos.
Revisar si se han implementado controles recomendados por los auditores internos y externos; o por el contrario no se ha hecho nada o poco.
Sí son adecuadas, efectivas y confiables las actividades del departamento de la auditoría interna.
Informe de las deficiencias es el proceso de comunicar las debilidades y oportunidades de mejoramiento de los sistemas de control, debe estar dirigido hacia quienes son los propietarios y responsables de operarlos, con el fin de que implementen las acciones necesarias.
Los 5 elementos del Control Interno interactúan entre sí, y forman un sistema. Este sistema debe estar integrado (no solo simplemente superpuesto) a las actividades operativas de la empresa. Cuanto más integrado esté el sistema de Control Interno con las actividades de la empresa, tanto mayores serán las posibilidades de éxito del mismo.
Estos componentes serán analizados a la luz del Informe Coso II, ya que éste último se toma como base en esta investigación para la integración de los temas comprendidos en cada Informe Coso.
Coso II
En 2004, se publicó el estándar "Enterprise Risk Management - Integrated Framework" (COSO II) Marco integrado de Gestión de Riesgos que amplía el concepto de control interno a la gestión de riesgos implicando necesariamente a todo el personal, incluidos los directores y administradores.
Estructura del coso II
Los 8 componentes del coso II están interrelacionados entre sí.
Estos procesos deben ser efectuados por el director, la gerencia y los demás miembros del personal de la empresa a lo largo de su organización
Los 8 componentes están alineados con los 4 objetivos.
Donde se consideran las actividades en todos los niveles de la organización
La administración de riesgos de la empresa (ERM) COSO describe en su marco basado en principios tales como:
La definición de administración de riesgos de la empresa
Los principios críticos y componentes de un proceso de administración de riesgo corporativo efectivo.
Pautas para las empresa, para que ellas sean capaces de administrar sus riesgos.
Criterios para determinar si la administración de riesgo de la empresa es efectiva
Descripción de Componente del COSO II.
Ambiente interno
Sirve como la base fundamental para los otros componentes del ERM, dandole disciplina y estructura.
Dentro de la empresa sirve para que los empleados creen conciencia de los riesgos que se pueden presentar en la empresa
Establecimientos de objetivos.
Es importante para que la empresa prevenga los riesgo, tenga una identificación de los eventos, una evaluación del riesgo y una clara respuesta a los riesgos en la empresa.
La empresa debe tener una meta clara que se alineen y sustenten con su vision y mision, pero siempre teniendo en cuenta que cada decision con lleva un riesgo que debe ser previsto por la empresa
Identificación de eventos
Se debe identificar los eventos que afectan los objetivos de la organización aunque estos sean positivos, negativos o ambos, para que la empresa los pueda enfrentar y proveer de la mejor forma posible.
La empresa debe identificar los eventos y debe diagnosticarlos como oportunidades o riesgos. Para que pueda hacer frente a los riesgos y aprovechar las oportunidades.
Evaluación de Riesgos:
identificación y análisis de los riesgos relevantes para la consecución de los objetivos.
Actividades de control
Son las políticas y procedimientos para asegurar que las respuesta al riesgo se lleve de manera adecuada y oportuna.
Tipo de actividades de control:
Preventiva, detectivas, manuales, computarizadas o controles gerenciales
Respuesta al riesgo
Una vez evaluado el riesgo la gerencia identifica y evalúa posibles repuestas al riesgo en relación al las necesidades de la empresa.
Las respuestas al riesgo pueden ser:
Evitarlo: se discontinúan las actividades que generan riesgo.
Reducirlo: se reduce el impacto o la probabilidad de ocurrencia o ambas
Compartirlo: se reduce el impacto o la probabilidad de ocurrencia al transferir o compartir una porción del riesgo.
Aceptarlo: no se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo.
Información y comunicación
La información es necesaria en todos los niveles de la organización para hacer frente a los riesgos identificando, evaluando y dando respuesta a los riesgos.
La comunicación se debe realizar en sentido amplio y fluir por toda la organización en todo los sentidos.
Debe existir una buena comunicación con los clientes, proveedores, reguladores y accionistas.
Monitoreo o Supervision
Sirve para monitorear que el proceso de administración de los riesgos sea efectivo a lo largo del tiempo y que todos los componentes del marco ERM funcionen adecuadamente.
El monitoreo se puede medir a través de:
Actividades de monitoreo continuo
Evaluaciones puntuales
Una combinación de ambas formas
Relación entre COSO I y COSO II.
Lihat lebih banyak...
Comentarios
