3. Agenda
• COSO 2013 – Estructura mejorada de control
• Madurando el sistema de control
• Oportunidades y retos para los auditores
• Preguntas
4. Evolución
Comienzo de los
años 80´s
se incrementa el
foco en el Control
interno y el
Cumplimiento
1985
Reporte de la
Comisión Nacional
de Fraudes
Financieros –
Treadway
Commission (USA)
1980
Escándalo e
investigación del
Caso “Watergate”
1977
Ley de prácticas de
corrupción en países
extranjeros (FCPA –
USA)
1970
1992
Committee Of
Sponsoring
Organizations
(COSO) publica la
Estructura
Integrada de
Control interno
Década de los 90´s
Se acentúa el
interés en el
Control Interno, la
gestión de riesgos
y las
responsabilidades
corporativas.
1990 2000
2002/4
Ley SOX,
refuerza uso de
COSO
- Circular 038,
2009
Superfinanciera
- UK Anti-bribery
Act. (2011)
- Estatuto
Anticorrupción
(2011)
- COSO 2013.
2009/2013
COSO 2013 – Estructura mejorada de control
5. Principales cambios
COSO 2013 – Estructura mejorada de control
Algunas mejoras al Modelo incluyen:
• Mayor énfasis en impacto de
organizaciones de servicios (terceros) en
el sistema de control interno
• Mayor descripción del impacto de aspectos
de TI en el sistema de control interno
• Uso de 17 principios para describir los
conceptos/prácticas clave asociadas a
cada componente
• Una vía mas formal de diseñar y evaluar
el sistema de control interno, de acuerdo
con los principios. Cubo COSO (Edición 2013)
Objetivos
Componentes
AlcanceOrganizacional
Monitoreo
Información &
Comunicación
Actividades de Control
Evaluación de Riesgos
Ambiente de Control
División
UnidaddeNegocios
EntidadLegal
Procesos
Actividades
6. Principios por componente
COSO 2013 – Estructura mejorada de control
Ambiente de
control
Valoración del
riesgo
Actividades de
control
Información y
comunicaciones
Actividades de
monitoreo
1. Demuestra
compromiso con la
integridad y los
valores éticos.
2. Promueve
vigilancia objetiva
e independiente.
3. Establece
estructura,
autoridad y
responsabilidad.
4. Demuestra
compromiso por ser
competente.
5. Refuerza la
responsabilidad
última sobre el
control interno.
6. Especifica objetivos
adecuados
7. Gestión de riesgos.
8. Considera el riesgo
de fraude.
9. Identifica y analiza
cambios
significativos.
10. Selecciona y
desarrolla
actividades de
control.
11. Selecciona y
desarrolla controles
generales de TI.
12. Despliega controles
a través de
políticas y
procedimientos.
13. Usa información
relevante.
14. Comunica
internamente.
15. Comunica
externamente.
16. Conduce
evaluaciones
propias y/o
separadas.
17. Evalúa y
comunica
deficiencias.
7. Definiendo el control interno efectivo
COSO 2013 – Estructura mejorada de control
Para COSO, un sistema de control interno
efectivo requiere que:
• Cada uno de los cinco (5) componentes y
17 principios estén presentes y
funcionando
• Los cinco (5) componentes estén operando
de forma conjunta e integrada.
• Las deficiencias de control agregadas a
través de principios y componentes no
determinen que existe una o más
deficiencias de control importantes.
Ambiente de
Control
Evaluación
de Riesgos
Actividades
de Control
Información y
comunicaciones
Monitoreo
8. 8Deloitte Touche Tohmatsu Limited.
COSO
2013
Deficiencia de
control
Deficiencia
mayor
Deficiencia de
control
Deficiencia
significativa
Debilidad
material
SOX
Reporte Control interno efectivo
Control Interno
inefectivo
Definiendo el control interno efectivo
COSO 2013 – Estructura mejorada de control
9. Gerencia
• Liderazgo y dirección para definir los objetivos de la organización.
• Supervisión y control de los riesgos de la entidad.
• Evaluar las deficiencias del control.
• Desarrollar controles al nivel de entidad.
Auditor Interno
• Proveer aseguramiento independiente y asesoría a la gerencia en gestión del
control interno
• Evaluar el diseño y efectividad de los controles.
• Comunicar hallazgos e interactuar con la Gerencia, Comité de auditoría y
Junta Directiva.
Órganos de gobierno
• Vigilancia del Sistema de CI.
• Definir expectativas de integridad, valores éticos, transparencia y
responsabilidad y líneas de comunicación separadas de la gerencia.
• Evaluación de riesgo de fraude por omisión de la gerencia.
• Interacción/vigilancia de auditores (internos/externos)
COSO 2013 – Estructura mejorada de control
Responsabilidades clave
11. Niveles de madurez
Sin Estructura
Reactivo
Evolutivo
Proactivo
Optimizado
• Gobierno
• Cultura
• Evaluación de Riesgos
• Organización de
Cumplimiento
• Políticas y
Procedimientos
• Comunicación y
Capacitación
• Supervisión
• Controles y Monitoreo
• Reporte
• Sistemas de Información
12. • No se realiza
vigilancia,
• Énfasis en los
resultados sin
verificar el
cumplimiento
• Poco
conocimiento
del riesgo.
• Inexistencia de
controles.|
Sin
estructura
• Se ejerce
vigilancia limitada.
• El mensaje del
cumplimiento es
inconsistente
• Reconocimiento
del riesgo y
evaluación.
• Controles
ejecutados de
forma
inconsistente.
Reactivo
• Reportes
periódicos, se
obvian cuestiones
de fondo.
• Se define el tono,
no es acogido por
toda la
organización.
• Evaluación de
riesgos, pero no se
actualiza
sistemáticamente
• Controles que
demuestran
operación
consistente.
Evolutivo
• Demuestra
entendimiento del
programa de
cumplimiento
• Mensaje de
cumplimiento de
forma constante.
• Actualización
periódica de la
evaluación de
riesgos.
• Controles que
demuestran
operación
confiable.
Proactivo
• Entrenamiento
regular en
requerimientos de
cumplimiento
• Cultura de
cumplimiento
evidenciada en
toda la
organización.
• Programa
completo de
evaluación de
riesgo actualizado
de forma
sistemática.
• Controles
funcionales,
documentados y
compatibles con la
organización.
Optimizado
Mayor madurez
Características de las etapas.
Menor madurez
13. 13
Lecciones aprendidas tras la adopción de COSO 2013
Cinco aspectos para acelerar la maduración
Basar la adopción del marco usando el enfoque arriba-abajo
(Desde la Junta Directiva) y basado en riesgos significativos
Definir la línea base que permita gestionar el sistema de
control (P.e. matrices de riesgo/control, autoevaluaciones,
planes de mejora)
Clarificar y reforzar las responsabilidades frente al control
interno (Consecuencias frente a fallas continuas)
Fortalecer el monitoreo (propio/separado) para alinearlo y
hacerla más eficiente/efectiva (incorporar tecnología
informática)
Establecer un proceso periódico de calificación y gestión de
fallas de control que retroalimente la gestión de riesgos.
1
2
3
4
5
15. Relación de principios COSO y normas IIA
Oportunidades y retos para auditores
Principio 16 – Realizar evaluaciones propias y/o separadas del SCI
Principio 3 –
Autoridad y
responsabilidad
Principio 5 –
Refuerza la
responsabilidad
Principio 2 –
Supervisión
objetiva e
independiente
Principio 4 – Compromiso por ser
competente
Principio 5 – Refuerza la responsabilidad
frente al SCI
16. Relación de principios COSO y normas IIA (cont.)
Oportunidades y retos para auditores
Principio 6 y 7
– Especificar
objetivos e
Identificar
riesgos
Principio 14 –
Comunicación
interna
relevante para
el SCI
Principio 16 – Realizar evaluaciones propias y/o separadas del SCI
17. • Apoyar el programa de capacitación
y entrenamiento en gestión de control
interno a otras líneas de defensa
• Asesorar en el diseño de nuevos
esquemas de monitoreo e impacto
de los cambios
Oportunidades
Oportunidades y retos para auditores
COSO 2013
En la
Estructura
de la
función de
auditoría
En el Plan
de Auditoría
En soporte
de
recursos/
habilidades
En
capacida-
des de
gestión de
riesgos y
controles
• Que la función de A.I. soporte la vigilancia de
órganos de gobierno (P.2)
• Verificar que la función cuenta con la autoridad
para ejecutar su responsabilidad (P.3)
• Contar con recursos necesarios para que el Plan
de Auditoría cubra los 3-objetivos COSO.
• Análisis de brechas en cumplimiento a los
requerimientos de COSO 2013
• Incorporar la verificación de temas nuevos
o ampliados en COSO 2013 y que
pudieran no haber sido cubiertos en el plan
de Auditoría
• Asesorar en el proceso de
identificación/evaluación de riesgos
• Apoyar el proceso de evaluación de
deficiencias.
• Generar información relevante para
retroalimentar el sistema en todos los
niveles (Junta, gerencia, personal)
18. Retos
Oportunidades y retos para auditores
• Sensibilizar a la junta y equipo gerencial sobre la relevancia de usar COSO
como herramienta gerencial
• Servir como agente de cambio para que a lo largo de la organización se
adopten las prácticas propuestas por el modelo
• Diseñar y ejecutar auditorías internas que cubran los 3 objetivos del marco en
forma general, manteniéndolas costo-efectivas
• Alinear el plan de auditoría para que se enfoque en apoyar a la Junta y otros
órganos de gobierno en sus responsabilidades
• Fortalecer la estrategia de comunicación para que los temas significativos sean
escalados y discutidos en los niveles correspondientes
19. Visión general del proceso
La evaluación del control interno
Establecer
Objetivos
Identificar y
Evaluar
Riesgos
Interrelacio-
nar con SCI
Evaluar
Efectividad
SCI
Concluir y
Reportar
• Operacional
• Reporte
• Cumplimiento
• Criterios de
riesgos
• Mapa de
riesgos
• Prevenir
• Detectar
• Monitorear
• Valorar presencia
y funcionamiento
del SCI en un
periodo de
tiempo.
• Evaluar impacto de
deficiencias de
control en
cumplimiento de
objetivos
• Comunicar
deficiencias a
aquellos
responsables del
gobierno.