Control Interno y Gestión de Procesos: Lo nuevo de COSO ... · Evaluar y comunicar ... • Util...

© Deloitte Inc. 2012 All rights reserved.

Control Interno y Gestión de Procesos: Lo nuevo de COSO Control Interno

I Congreso Latinoamericano sobre Gestión Integral de Riesgos en Entidades Financieras Noviembre 2012 - Hotel Miramar Intercontinental

Bismark Rodriguez CIA CCSA CFSA CPA MBA Socio – Servicios de Riesgos Empresariales


Contenido de la presentación

1.  Introducción: Cambios en el marco regulatorio

2.  Requerimiento en materias de control: Cambios en el marco integrado de control interno

3.  Dosificando el esfuerzo: hasta donde llegar en materia de control interno

4.  Reporte del sistema Global de Control Interno

5.  Ideas para el cierre

2

Introducción: Cambios en el marco regulatorio en las entidades financieras

© Deloitte Inc. 2012 All rights reserved. 4

Creciente complejidad de las regulaciones

3rd Money Laundering Directive (EU)

Sarbanes Oxley (US)

Basel II (EU) Solvency II (EU)

IFRS (EU)

Transparency Directive (EU)

Patriot Act (US)

IFRS Phase 2 (EU)

UCITS III Directive (EU)

Payment Services Directive (EU)

E-Privacy Directive (EU) TCF

(UK) Market Abuse Directive (EU)

Consumer Credit Act (UK)

IFRS Convergence With GAAP (US)

Basel II (US)

BASEL III

Financial Services & Markets Act (UK)

Financial Conglomerates Directive (EU)

Gramm Leach Bliley Act (US)

FATF Methodology for Assessing Compliance, Revised (EU)

FFIEC Information Technology Handbook on Info Sec (US)

BSA/AML Examination Manual (US)

2004 2002 2006 2008 2010

2013

2000

Senior Supervisory Report "Observations on Risk Mgmt. Practices” (US)

U.S. Treasury Department "Blueprint for a Modernized Financial Regulatory Structure””

Intl. Institute of Finance “Final Report of the Committee on Market Best Practices”

G30 “Working Group” Report “Volcker- Ferguson Report on Financial Regulatory Systems” (US)

BASILEA III: Las medidas de capital se introducirán desde el 2013 hasta el 2019. •  Año 2013: el 1 de enero entrará en vigor pero se irá incorporando progresivamente. •  Año 2015: se implanta el ratio de liquidez a corto plazo •  Año 2017: se acuerda el diseño así como la medición del ratio •  Año 2018: se introduce el ratio de apalancamiento y el ratio de liquidez

4


SBP: Acuerdo 5-2011 sobre Gobierno Corporativo

•  La Junta Directiva

•  Director independiente

•  Requisitos mínimos del gobierno corporativo

•  Sistemas de control interno

•  El rol de la auditoría interna

•  El Comité de Auditoría

5


Aspectos de control de gestión relevantes a partir del Acuerdo 5-2011 •  Planes estratégicos y medición del

desempeño •  Estructura de negocios y soporte de la

organización. •  Reglamentos para la gestión de la junta

directiva y sus comités de dirección •  Códigos de conducta y otros estándares

apropiados de comportamiento. •  Políticas y procedimientos de administración

del capital humano. •  Clara asignación de las responsabilidades a

diferentes niveles •  Mecanismos de información interna y externa

hacia el público.

6


Responsabilidades y retos en materia de control interno y administración de riesgos a partir del acuerdo

•  Prácticas de control interno y administración de riesgos son la base fundacional del gobierno corporativo.

•  Considerar COSO y Cobit en el diseño, implementación y modificación del sistema de control interno.

•  Tres conceptos a tener en cuenta: •  Autocontrol: Se espera el desarrollo de

prácticas de auto-evaluación de riesgos y controles para soportar las actividades de Gobierno, Riesgo y Cumplimiento

•  Autorregulación: Implicará el desarrollo e implementación de metodologías, herramientas y procesos para mantener un modelo de control apropiado.

•  Autogestión: Incidirá en establecer procesos de sostenibilidad del sistema para garantizar la efectividad de su ejecución.

7

Reporte sobre el sistema global de control interno

Cambios en el Marco de Referencia Integrado para Control Interno COSO


Proyecto de actualización: Culmina en abril 2013

9


El COSO Control Interno que todos conocen

10


Proyecto de revisión del Marco Integrado de Control Interno Original

¿Qué no esta cambiando? 1.  La definición de Control Interno 2.  Los 5 componentes de CI 3.  Los 5 criterios fundamentales

para evaluar la efectividad del sistema de CI

4.  La utilización de juicio o criterio para evaluar la efectividad del sistema de

¿Qué está cambiando? 1.  Actualizar la condición corriente

reflejada de los ambientes operativo y de negocio.

2.  Codificar los principios que sustentan los 5 componentes de control interno

3.  Expande el objetivo del reporte financiero para incluir los reportes internos y externos no financieros

4.  Aumentar el foco sobre operaciones, cumplimiento y objetivos del reporte gerencial

11


Proyecto de revisión del Marco Integrado de Control Interno Original

Con

dici

ones

de

Cam

bio

Con

tinuo

s

1.  Expectativas sobre la vigilancia del GC

2.  Globalización de mercado y operaciones

3.  Cambio en los modelos de negocio 4.  Demanda y complejidad de reglas,

regulaciones y normas. 5.  Expectativas sobre competencias y

responsabilidades 6.  Uso y confianza en tecnología

avanzada 7.  Expectativas sobre la prevención y

detección de fraude

12


Am

bien

te d

e C

ontr

ol

Demostrar compromiso con la integridad y valores éticos Ejercitar vigilancia sobre la responsabili-dad Establecer estructura, responsabilidad y autoridad Demostrar compromiso con la competencia Exigir la rendición de cuentas

Eval

uaci

ón d

e R

iesg

os

Especificar los objetivos relevantes Identificación y analizar riesgos Evaluación de riesgos de fraude Identificación y análisis de cambios significativos

Act

ivid

ades

de

Con

trol

Selección y desarrollo de actividades de control Selección y desarrollo de controles generales de IT Alinear a través de políticas y procedimien-tos

Info

rmac

ión

y C

omun

icac

ión Uso de

información relevante Comunica-ción interna Comunica-ción externa

Act

ivid

ades

de

Mon

itore

o Conducir evaluaciones continuas o separadas Evaluar y comunicar deficiencias

17 Principios de Control Interno – Nuevo MRICI COSO

5

4

3

3

2 4 3 3 2 13


Beneficios del marco de referencia actualizado

Depempeño

Agilidad

Confianza Claridad

Administración y Junta Directiva

Partes Externas Otros Usuarios

Mejorar el GC Expande el uso más allá del reporte financiero Mejorar la calidad de la evaluación de riesgos Fortalecer esfuerzos anti-fraude Adaptar los controles a las necesidades cambiantes del negocio Mayor aplicabilidad sobre varios modelos de negocio

14

Dosificando el esfuerzo: hasta donde llegar en materia de control interno


Considerar la gestión de riesgos a todo nivel

Riesgo de Crédito Riesgo de Mercado Riesgo de Liquidez Riesgo Operacional

Estrategia organizacional Eficiencia y efectividad operacional Reporte interno y externo Complimiento con leyes y regulaciones

16


Partir con el final en mente…

1.  ¿Cual es el riesgo que quiere controlar?

2.  ¿Qué significa eso en términos de establecer actividades de control?

3.  ¿Por qué esa actividad debe ser ejecutada?

4.  ¿Quien (o cual sistema) efectuará la actividad de control?

5.  ¿Con qué frecuencia se efectuará la actividad de control?

6.  ¿Qué mecanismos son requeridos para ejecutar la actividad de control(reportes y sistemas)?

17

© Deloitte Inc. 2012 All rights reserved. 18

Impo

rtan

cia pa

ra el N

egocio

Med

io

Alto

Medio

Reclamo Clientes

Reportes Financieros

Tesorería Flujo de Caja

Cuentas por Cobrar

IT Controles Seguridad

Probabilidad de deficiencias proceso/controles Alto

Viajes & Entretenimiento

Compras Cuentas por Pagar

Administración de Materiales Planilla

Presupuesto

Mercadeo

Administración De Contratos

Administración Inventarios

AcNvos Intangibles

Cargos Diferidos

Reconocimiento Ganancias

ConNngencias

Categorización de los Procesos Descripción de los Niveles:

Requiere documentación Nivel 3 o Nivel 2 y evaluación de Todas las Actividades de Control

Requiere documentación Nivel 2 o Nivel 1 y evaluación de controles clave y actividades de monitoreo relacionadas a los objetivos de control relevantes

Requiere Documentación Nivel 1 o No documentación (ni evaluación de actividades de control)

Medio

Alto

Bajo

Niveles de Documentación Requeridos


INICIO FINRecibir Facturadel Proveedor

Comparar Facturay Documentación

SoporteAprobar Factura Pagar FacturaProgramar Fecha

de Pago Factura

NIVEL 1- Básico

PROS •  Util en la documentación de procesos complejos •  Util para documentar procesos relacionados •  Evita la pérdida de tiempo en detalle •  Ayuda a inculcar disciplina en el mapeo de procesos •  Proporciona al equipo de documentación la flexibilidad para

seleccionar 2 ó 3 actividades críticas a evaluar CONTRAS

•  Por sí solo, este enfoque no es suficiente para mostrar los puntos de riesgo y control.

Enfoque de Arriba-Abajo” mostrándo el Inicio y Fin de un proceso. No más de 6 ó 7 actividades críticas

Re-pensando el nivel de documentación

19


STARTPage 2

ADo Invoice, PO, and

Receiving Report match?

A

A

InvoicePurchase Order

(PO) and Receiving Report

Invoice, PO, and Receiving Report

Forward invoice packet to Business Unit Manager for

approval

Obtain pertinent back-up

documentation

Identify and correct cause of variances between purchase orders and invoices

Contact Purchasing Manager to resolve

differences

Make appropriate corrections to

voucher record

Receive invoice from supplier

Approve invoices for payment and sign off

NO

YES

Key Accounts Effected

o Cash

o Accounts Payable

NIVEL 2 - Intermedio

PROS •  Muestra acciones y decisiones que facilitan la comprensión del proceso •  Puede ser utilizado para identificar riesgos (incluyendo su fuente) y controles

CONTRAS

•  Procesos complejos implicarán perdida de tiempo en detalles •  El mapeo de procesos se convierte en “arte” a menos que se administre cuidadosamente

El diagrama muestra las actividades clave en mayor detalle junto con puntos de decisión y salidas. Generalmente utilizado para diagramar procesos críticos


20


START

Invoice

Receive invoice from supplier

A/P

Cle

rk

Do Invoice, PO, and Receiving Report

match?

A

Purchase Order (PO) and

Receiving Report

Obtain pertinent back-up

documentation

Contact Purchasing Manager to resolve

differences

NO

Additional supporting documentation may include: packing slips, Capital Expenditure Requisitions, weigh tickets,

receipts, letters, memos, etc.

A

Identify and correct cause of variances between invoices

and POs

Make appropriate corrections to invoice

or PO

YESPage 2

B

Key Accounts Effected

o Cash

o Accounts Payable

NIVEL 3 - Detallado

PROS •  Permite identificar las debilidades de un proceso •  Enfoque utilizado en la reingeniería de procesos •  Útil en la identificación de segregación de funciones

CONTRAS •  Su preparación requiere de un personal experimentado que conozca los procesos y

las técnicas de obtención de la información requerida


21


Cuatro técnicas para decidir dónde debe estar un control

1.  Seguir el Dinero

o Comprender los objetivos de negocios y cómo trabajan los procesos antes de intentar evaluar los riesgos.

o Asegúrese de comprender cómo el negocio o el proceso pueden generar o perder dinero.

22


2.  Enfasis en Riesgos Clave o  Identificar cuáles son los

riesgos más importantes?

o Partir del mapa de riesgos de la organización

o Conocer qué podría salir mal


23


3.  Relacionar los objetivos de control con los riesgos: o Asegurar el diseño

actividades de control y monitoreo.

o Balance en controles preventivos, correctivos y detectivos.


24


4.  Generación de evidencia: o Durante el diseño del

proceso, para los controles clave, considere qué tipos de pruebas se realizarán para asegurar que el control funciona de acuerdo a lo esperado.


25

Reporte del sistema Global de Control Interno


Definir el proceso de reporte

Análisis Costo-Beneficio

Mapa de riesgos

Controles y

procesos claves

Plan de pruebas

de Auditoría Interna y Externa

Iden>fica-‐cion de deficien-‐cias y

debilida-‐des

Definición de planes de acción y medidas correc>-‐

vas

Remedia-‐ción de deficien-‐cias y

debilida-‐des

Emisión del

reporte

Tipo deTipo dehallazgos

año 1hallazgos

año 21001Cuenta 1 1,000 12221111002Cuenta 2 3,000 1111111

1003Portafolio 1 120,000 22211No huboNo hubo1004Portafolio 2 25,000 22211No huboNo hubo1005Portafolio 3 357 3232N/A2N/A1006Portafolio 4 297 3232N/A2N/A1007Producto 1 3,200,000 32323231008Producto 2 358,000 33321211009Producto 3 450,100 21123331010Producto 4 45,000 22242321011Producto 5 32,500 32231111012Producto 6 27,000 32232121013Producto 7 15,500 12111211014Provisión para

perdidas crediticias -12,500 3333131

1015Depósitos 1 1,650,000 22211111016Depòsitos 2 253,000 21122111017Depòsitos 3 120,000 11122111018Depósitos 4 500,600 22211111019Activo fijo60,000 32323231020Inversiones acciones2,500 33321211021Activo 15,000 21123331022activo 23,000 22242321023Pasivos laborales300,000 22211111024Proveedores1,200,000 21122111025Pasivo 120,000 11122111026Pasivo 265,000 2221111

Resultados auditorías

año 2Saldo Año 2

Otros Activos

Otros Pasivos

Riesgo Inherente

Riesgo de

ControlRiesgo de Auditoría

Resultados auditorías

año 1

Prestamos y reserva crediticia

Captación de depósitos

Portafolio de inversiones

RubroSub-cuentaDescripción

Efectivo en bancos

Comunicación entre Auditoría,

Riesgos, Cumplimiento

Definición del Marco de

Referencia de Control

Ejecución del plan de pruebas

Discusión y coordinación con la Administración

Presentación al Comité de Auditoría

27


Guías del IIA – Consideraciones para la opinión sobre el control interno... Un tipo especifico de opinión a emitir

•  Aseguramiento positivo § Binaria § Gradual § Direccional

•  Aseguramiento negativo § Con o sin excepciones

28

Conclusiones


Conclusiones

1.  Considerar la naturaleza de las operaciones

2.  No olvidar priorizar y usar un sistema basado en riesgos

3.  Contemplar análisis de costo-efectividad

4.  Establecer una ruta crítica 5.  Preparar al equipo 6.  Estar atento a nuevos requerimientos

y a mejorar los controles y procesos a partir de estos

7.  Ser muy críticos y auto-evaluar proactivamente

30


Preguntas - Contacto

Center for Corporate Governance Un sencillo, objetivo e fácil de usar recurso para entender y orientar asuntos clave del gobierno corporativo en lo relacionado con la Actividad de Auditoría Interna. Ver el link www.corpgov.deloitte.com. Nuestro Center for corporate Governance es nuestra librería de conocimiento acumulado en nustra practica de consultoría. A través de este site podrá encontrarse: •  Desarrollos actuales en materia regulatoria y GRC •  Recursos técnicos aplicables por industrias con las mejores prácticas en materia de gobernabilidad •  Materiales de referencia, guías y noticias. •  Herramientas educacionales sobre diferentes tópicos del GRC


Deloitte se refiere a Deloitte Touche Tohmatsu Limited, (private company limited by guarantee, de acuerdo con la legislación del Reino Unido) y a su red de firmas miembro, cada una de las cuales es una entidad independiente. En www.deloitte.com/about se ofrece una descripción detallada de la estructura legal de Deloitte Touche Tohmatsu Limited y sus firmas miembro. Deloitte presta servicios de auditoría, asesoramiento fiscal y legal, consultoría y asesoramiento en transacciones corporativas a entidades que operan en un elevado número de sectores de actividad. La firma aporta su experiencia y alto nivel profesional ayudando a sus clientes a alcanzar sus objetivos empresariales en cualquier lugar del mundo. Para ello cuenta con el apoyo de una red global de firmas miembro presentes en más de 140 países y con aproximadamente 170.000 profesionales que han asumido el compromiso de ser modelo de excelencia. Esta publicación contiene exclusivamente información de carácter general, y Deloitte Touche Tohmatsu Limited, Deloitte Global Services Limited, Deloitte Global Services Holdings Limited, la Verein Deloitte Touche Tohmatsu, así como sus firmas miembro y las empresas asociadas de las firmas mencionadas (conjuntamente, la “Red Deloitte”), no pretenden, por medio de esta publicación, prestar servicios o asesoramiento en materia contable, de negocios, financiera, de inversiones, legal, fiscal u otro tipo de servicio o asesoramiento profesional. Esta publicación no podrá sustituir a dicho asesoramiento o servicios profesionales, ni será utilizada como base para tomar decisiones o adoptar medidas que puedan afectar a su situación financiera o a su negocio. Antes de tomar cualquier decisión o adoptar cualquier medida que pueda afectar a su situación financiera o a su negocio, debe consultar con un asesor profesional cualificado. Ninguna entidad de la Red Deloitte se hace responsable de las pérdidas sufridas por cualquier persona que actúe basándose en esta publicación.

32

Control Interno y Gestión de Procesos: Lo nuevo de COSO ... · Evaluar y comunicar ... • Util...

Documents

Transcript of Control Interno y Gestión de Procesos: Lo nuevo de COSO ... · Evaluar y comunicar ... • Util...