Nuevo marco conceptual de COSO: cambios, … · Agenda 2 Introducción Módulo 1: El Marco COSO...

Nuevo marco conceptual de COSO: cambios, consideraciones y aplicación

XIX CONGRESO

NACIONAL DE

CONTADORES 2015

Facilitadores: Visitación Perea y José Araúz

Partes Interesadas – Control Interno

Auditores

Inversionistas

Encargados del Gobierno Corporativo

Administración

Otros: SEC/PCAOB

1

Agenda

2

Introducción

Módulo 1: El Marco COSO 2013

Módulo 2: Auditando bajo el Marco COSO 2013

Módulo 3: Otros Temas de Actualidad sobre Control Interno

© 2014 For information contact Deloitte Touche Tohmatsu Limited

Marco Integrado de Control Interno -COSO 2013

Marco Conceptual de COSO 2013: Tabla de Contenido

4

Marco Conceptual Apéndices

1. Definición de Control Interno

2. Objetivos, Componentes, y Principios

3. Control Interno Efectivo

4. Consideraciones Adicionales

5. Ambiente de Control

6. Evaluación de Riesgo

7. Actividades de Control

8. Información y Comunicación

9. Actividades de Monitoreo

10. Limitaciones del Control Interno

A. Glosario

B. Roles y Responsabilidades

C. Consideraciones para Compañías

Pequeñas

D. Metodología para Revisar el Marco

Conceptual

E. Cartas de Comentarios Públicas

F. Resumen de Cambios al Marco Integrado

de Control Interno – COSO (1992)

G. Comparaciones con el Marco Integrado de

Administración de Riesgo Empresarial (2004)

Aspectos Importantes del Marco COSO 2013

COSO publicó una edición actualizada del Marco Integrado de Control Interno en el 2013 (el “Marco

COSO 2013”) para hacer frente a los cambios en los ambientes operativos y de negocios desde la

publicación del marco original en 1992.

Los aspectos fundamentals del Marco Integrado de Control Interno

se mantienen:

• Definición base de control interno

• Tres categorías de objetivos y cinco components de control interno

• Un papel importante del juicio en el diseño, implementación y

conducción del control interno, y en evaluar su efectividad.

Marco Original

Objetivos

Actualizados

Marco Actualizado

Mejoras

Marco Integrado de Control Interno - COSO (Versión de 1992)

Marco Integrado de Control Interno - COSO (Versión de 2013)

Aclara requerimientos

Se añaden principios para

facilitar un control interno

efectivo

Contexto actualizado

Refleja cambios en ambientes

operativos y de negocios

Se amplía su aplicación

Expande los objetivos de

reporte y de operación

Cambios claves incluyen:

• Estructura más formal para el diseño y evaluación de la

efectividad del control interno

• Establece principios para cada componente de control

interno

• Provee de puntos de foco al respecto de cada principio

• Se adiciona y se actualizan las directrices o guías dentro de

cada componente de control interno

Globalización de mercados y operaciones, complejidades en leyes y regulaciones, y el uso y dependencia en tecnologías (las cuales

evolucionan constantemente) fueron los factores que llevaron a actualizar el marco COSO

5

Marco COSO 2013: Principios y Puntos de Foco

El Marco COSO 2013 aborda algunos de los cambios claves en el ambiente de negocios desde

que el marco original fue publicado en 1992. El marco actualizado incluye 17 principios para

describer los components de control interno.

6

Información y

Comunicación

13. Utiliza información

relevante

14. Comunica internamente

15. Comunica externamente

Ambiente de Control

1. Demuestra compromiso

con la integridad y valores

éticos

2. Ejerce responsabilidades

de vigilancia

3. Establece una estructura,

autoridad, y

responsabilidad


con competencias

5. Refuerza la rendición de

cuentas

Evaluación de Riesgo

6. Especifica objetivos

adecuados

7. Identifica y analiza los

riesgos

8. Evalúa el riesgo de fraude

9. Identifica y analiza

cambios significativos

Actividades de Control

10. Selecciona y desarrolla

activitidades de control


controles generales sobre

tecnología

12. Despliega las actividades

de control a través de

políticas y procedimientos

Actividades de Monitoreo

16. Conduce evaluaciones de

forma contínua y/o

separada

17. Evalúa y comunica

deficiencias

De acuerdo a COSO, un sistema de control interno efectivo requiere:

• Cada uno de los 17 principios debe estar presente y en funcionamiento

• Cada uno de los 5 componentes de control interno debe estar presente y en funcionamiento

• Los cinco componentes deben estar operando juntos de forma integrada

Balances de cuentas y

Revelaciones

Controles Generales

sobre TI

Marco COSO 2013: Comparación a NIIF / U.S. GAAP

7

GAAP COSO

Conceptos/Principios

Guías de Aplicación Específicas

Ejemplos

Consideraciones para Control Interno sobre Información Financiera

Actividades Claves

1. Aplicar la nueva estructura del Marco COSO 2013

• Principios y puntos de foco

2. Evaluar si los programas y controles que actualmente existen en la Compañía alcanzan los

objetivos de los nuevos requerimientos del Marco COSO 2013

• Mejoras significativas de contenido

3. Mejorar la documentación sobre el diseño de controles; por ejemplo:

• Evaluar los factores de diseño del control (quién, qué, cuándo, dónde, y porqué)

4. Mejorar las pruebas y evidencias de efectividad operative de los controles; por ejemplo:

• Evaluar riesgos asociados al control

• Evidencia más persuasiva de efectividad operativa de los controles

5. Evaluar deficiencias.

8


9

Información y

Comunicación


relevante



Ambiente de Control



éticos


de vigilancia


autoridad, y

responsabilidad


con competencias


cuentas



adecuados


riesgos









tecnología






forma contínua y/o

separada


deficiencias


Revelaciones

Controles Generales

sobre TI

A qué principio(s) hay que prestar mayor atención cuando una entidad tiene metas

agresivas y por lo tanto mayors presiones o incentivos para llegar a esas metas?


10

Información y

Comunicación


relevante



Ambiente de Control



éticos


de vigilancia


autoridad, y

responsabilidad


con competencias


cuentas



adecuados


riesgos









tecnología






forma contínua y/o

separada


deficiencias


Revelaciones

Controles Generales

sobre TI

A qué principio(s) hay que prestar mayor atención cuando una entidad tiene cambios

significativos, como nuevas adquisiciones, nuevos sistemas de TI, o nuevo personal

clave?

Marco COSO 2013: Importancia de la documentación

El Marco COSO 2013 (página 29) trata sobre el rol y la importancia de la documentación:

• Provee de claridad acerca de roles y responsabilidades para promover la consistencia en la

operación

• Cubre el tema del diseño de control interno, i.e., quién, qué, cuándo, dónde, y porqué.

• Crea estándars y expectativas de rendimiento

• Fuente de referencia para empleados y para entrenamiento de nuevo personal

• Es una forma de retener el conocimiento organizacional

• Provee evidencia de la conducción del control interno para permitir un monitoreo efectivo

• Es importante cuando se reporta sobre el control interno de una entidad, incluyendo cuando

se es evaluado por otros, como reguladores y auditores

1. La documentación es necesaria para permitir la operación efectiva del control interno

2. La documentación es necesaria para permitir al auditor realizar una auditoría de control

interno efectiva y eficiente

3. La documentación es necesaria para soportar la afirmación de la administración para

propósitos de SOX 404(a)11

Descripción del Control

© 2014 For information contact Deloitte Touche Tohmatsu Limited 12

.

Una descripción de lo que hace la administración específicamente para alcanzar el

objetivo o principio, i.e., quién, qué, cuándo, dónde, y porqué.

1. La entidad demuestra un compromise con la integridad y valores éticos.

2. La entidad es altamente ética.

3. La Administración ha implementado un programa de ética.

Esto es simplemente una reexpresión del objetivo

Esto es una descripción corta del control, y no es suficiente.

Esto es una conclusión

Auditando Bajo el Marco COSO 2013

Auditando Controles Indirectos: Comparación Versus El Auditar

Controles Directos

14

Pasos Controles DirectosControles Indirectos

Controles a Nivel de Entidad

Identificar y Entender

Fuentes de Errores

Probables e Identificar

Controles Relevantes

Realizar pruebas de recorrido

para cada proceso de negocio

relevante para identificar riesgos

y entender controles relevantes

Identificar y entender controles

relevantes considerando los

principios y puntos de foco

Probar Eficacia del Diseño Tipo de pruebas incluye:

indagación, inspección,

observación

Igual

Evaluar la Eficacia del Diseño Considerar diversos factores de

evaluación de diseño

Igual, pero en el contexto de

controles indirectos

Evaluar el Riesgo Asociado al

Control

Evaluar diversos factores (ej. AS

5.47)

Igual, pero en el contexto de

controles indirectos

Probar la Eficacia Operativa

del Control

Tipo de pruebas: indagación, inspección,

observación, y reproceso del controlIgual

Factores para Evaluar la Eficacia del Diseño del Control


Factores de Evaluación del Diseño Relevancia para Controles Indirectos

Qué tan Adecuado es el Propósito del

Control y su Correlación con el Riesgo

• Cómo el diseño del control contribuye a lograr cada principio

considerando los puntos de foco relevantes

Qué tan Adecuado es el Control

Considerando la Naturaleza e

Importancia del Riesgo que Cubre

Competencia y Autoridad de la(s)

Persona(s) que Realiza(n) el Control

Frecuencia y Consistencia con que el

Control es Realizado

Nivel de Agregación y Predictabilidad

Criterio para Investigación y Proceso de

Seguimiento

Dependencia en Otros Controles o

Información

• Considerar si el principio (y control relacionado) puede ser más

importante bajo las circunstancias y hechos específicos de la entidad

(por ejemplo, si el control es un importante programa antifraude).

• Igual

• Igual

• Usualmente no es relevante

• Solo relevante si el control involucra una actividad de revisión

• Igual

Factores para Evaluar el Riesgo Asociado al Control


Factores del AS 5.47

Igual • La efectividad de controles que monitorean la efectividad de otros controles

• La naturaleza del control y la frecuencia con la cual operar

• El grado en el cual el control se basa en la efectividad de otros controles

• La competencia del personal que realiza el control

• Si el control es realizado por una persona o si es automatizado

• La complejidad del control y la importancia de los juicios a realizar

En el

context de

controles

indirectos

• Si han habido cambios en el volume y naturaleza de las transacciones:

Si han habido cambios en la entidad

• Naturaleza y materialidad de errores:

Si los controles indirectos (o su ausencia) han contribuido a errores en el

pasado

• Riesgo inherente:

Si el control indirecto es de mayor importancia en base a hechos y

circunstancias específicas de la entidad

• Si la cuenta contable tiene un historial de errores:

Historial de deficiencias

Procedimientos para probar Eficacia Operativa

17

Tipo de

ProcedimientoEjemplos

Indagación • A personal de la entidad al respecto de:

• Su entendimiento del código de conducta y canales de denuncias anónimas

• Disposición a reporter posibles violaciones al código de conducta

• Si tiene conocimiento de violaciones al código de conducta

Observación • Cómo aquellos encargados del gobierno corporativo y la administración responde a

situaciones de ética, incluyendo decisions sobre reporte financiero

• El tono de los mandos medios de la entidad

• La objetividad de la auditoría interna (por ejemplo, su disposición a desafiar las

posiciones de la administración o gerencia general

Inspección de

Evidencia

Documental

• Evidencia de políticas y procedimientos

• Evidencia de la operación del control

Reproceso • Evidencia al realizer nuestras propias pruebas, por ejemplo:

• Procedimientos de evaluación de riesgo

• Evaluación del diseño de un control

• Prueba de eficacia operative del control

Otros Temas de Actualidad sobreControl Interno

Ambiente de Control: Temas de Actualidad

19

Tema

Citado en

revelaciones

de

deficiencia

material

Área o

factor que

contribuyó

a un fraude

Relación a

principio de

Marco COSO

2013

Ambiente de Control

Programa de ética 1, 2

Delegación de autoridad 3

Competencia y entrenamiento de personal de

contabilidad 4

Estableciendo rendición de cuentas y

expectativas de control interno a través de

desempeño y sistemas de compensación

5

Ambiente de Control: Fraude y el ambiente de control

Ejemplo de revelación de deficiencia material:

• “Ejecutivos responsables de la administración y vigilancia….fallaron en

responden a ciertos indicadores potenciales de comportamiento

inapropiado o aplicaron un escepticismo inapropiado acerca de

preocupaciones de empleados sobre la posilibidad de que un Gerente

tuviera un relación de negocio inapropiada. Por lo tanto, estos ejecutivos no

promovieron ni mantuvieron un ambiente de control interno efectivo..”

• “Ejecutivos de la administración anularon o sobrepasaron controles, lo que

resultó en una demora en el reporte de asuntos problemáticos en la

entidad. Adicionalmente, las comunicaciones de los ejecutivos

responsables de la administración a los empleados fue inapropiada, ya que

pusieron énfasis excesivo in lograr metas de negocios en vez de la

integridad del proceso de reporte financiero.”

20

Ambiente de Control: Programa de Ética: Posibles fallas

1. No se cuenta con un programa de ética formal

y continuo, con enfoque en reporte financiero.

2. Refuerzo inadecuado por parte de la alta y

media administración

3. Falta de supervisión por el Comité de

Auditoría

4. Expectivas de integridad y valores éticos no

son comunicados a terceros ni a

proveedores de servicios externalizados

5. Programas de entrenamiento sobre ética

inadecuados

6. Falta de revisión y actualización del código de

conducta

7. Materiales relevantes y recursos no están

disponibles de forma expedita al personal o

no están en el lenguaje aplicable.


Ambiente de Control: Temas de Actualidad

22

Tema

Citado en

revelaciones

de

deficiencia

material

Área o

factor que

contribuyó

a un fraude

Relación a

principio de

Marco COSO

2013

Ambiente de Control

Programa de ética 1, 2

Delegación de autoridad 3

Competencia y entrenamiento de personal de

contabilidad 4

Estableciendo rendición de cuentas y

expectativas de control interno a través de

desempeño y sistemas de compensación

5

Evaluación de Riesgo: Temas de Actualidad


Tema

Citado en

revelaciones

de

deficiencia

material

Área o

factor que

contribuyó a

un fraude

Relación a

principio de

Marco COSO

2013Evaluación de riesgo

Adecuación de y soporte de políticas y

procedimientos contables 6

Evaluación de riesgo detallada para cada cuenta y

revelación relevante, y enlace de la evaluación de

riesgo a la actividad de control relacionada

7, 10, 11, 12

Evaluación de riesgo de fraude, incluyendo

sobrepaso de controles por parte de la

administración, manipulación de estados

financieros, malversación de activos, y corrupción

8, 10, 11, 12

Falta de revision de la evaluación de riesgo y

controles para transacciones no frecuentes o que se

dan una sola vez, tales como:

• Cambios significativos en procesos, tecnologías o

personas

• Combinaciones de negocios

9, 10, 11, 12

Evaluación de Riesgo: Transacciones no frecuentes o que se dan una

sola vez: Posibles fallas

• Falta de una evaluacion de riesgo detallada,

que involucre al personal apropiado (por lo que

no se identifican y diseñan controles

apropiados)

• Competencias adicionales pueden ser

necesarias, pero la administración no evalúa

apropiadamente la necesidad, o no actúa

apropiadamente al identificar la necesidad.

• Falla en el monitoreo oportuno de los cambios,

incluyendo personal clave.

• Datos utilizados para evaluar o contabilizar

transacciones no rutinarias no es confinable (o

sea, no está sujeto a controles apropiados; no

es exacta o no está completa)

• Hay un potencial mayor de que la

administración sobrepase controles (presiones

o incentivos pueden crear parcialidad)

• Falta de comunicación y coordinación entre

diferentes funciones; por ejemplo,

departamento de contabilidad y departemento

de impuestos.


Actividades de Control: Temas de Actualidad


Tema

Citado en

revelaciones

de deficiencia

material

Área o factor que

contribuyó a un

fraude

Relación a principio

de Marco COSO 2013


Establecer expectativas a través de políticas y procedimientos de

control interno12

Journal entries 10

Segregación de tareas, tales como problemas de acceso a sistemas

de IT y tareas incompatibles 10, 11

Controles específicos para balances de cuenta y revelaciones, tales

como:

• Ingresos, Inventario (incluyendo conteos por ciclo y/o programas de

inventarios físicos), Impuestos, Notas y Estado de Flujos de Efectivo,

Reconciliaciones de Cuentas

10, 12

Precisión y evidencia de controles de revision por parte de la

administración, en cuentas tales como:

• Reservas, incluyendo obsolescencia de inventario y cuentas por

cobrar malas; deterioro, incluyendo projecciones; valor razonable de

inversiones; Aplicación de normas contables; Involucramiento y/o

revisión por parte de especialistas

10, 12, 16

Uso de proveedores de servicios externalizados 10, 12, 16

Controles de cambio de seguridad de IT y de programas 11

Actividades de Control: Proveedores de Servicios Externalizados

(PSE)• Debido al uso frecuente de PSEs hoy día, el Marco COSO 2013 incluye consideraciones

relacionadas a PSEs in los 5 componentes y dentro de los 12 principios

• Las consideraciones primarias para la entidad continúan siendo:

Identificar los controles relevantes – realizados por el PSE o por la propia entidad – sobre

los servicios u actividades realizadas por el PSE en la entidad.

Monitoreo por parte de la entidad de la efectividad de los controles relevantes, como por

ejemplo: visitar al PSE y probar los controles relevantes, u obtener un reporte de control

interno tipo SSAE 16.

• La extensión de las consideraciones a realizar al respecto de los componentes y principios del

Marco COSO 2013 en relación a PSEs, dependen de la naturaleza y riesgo inherente de las

actividades que realiza el PSE para la entidad, incluyendo el tipo de información que se

transfiere entre el PSE y la entidad.

26

Actividades de Control: Proveedores de Servicios Externalizados—

Ejemplos

27

Consideración del Marco COSO 2013 Enfoque Ejemplo

Principio 1: Los términos del contrato

establecen expectativas en cuanto a

conducta de los PSEs

• La entidad comunica sus expectativas (provee el código de

conducta a los PSEs) y monitorea su efectividad, o

• La entidad comunica sus expectativas (provee el código de

conducta a los PSEs) y evalúa el reporte SSAE 16 del PSE,

el cual incluye una evaluación de la efectividad del programa

de conducta interno del PSE.

Principios 7,8: La evaluación de riesgo,

incluyendo la evaluación de riesgo de

fraude de la entidad, considera

explícitamente riesgos que se originan

por el uso de PSEs

• La entidad considera e identifica riesgos que se originan en

PSEs, incluyendo el riesgo de fraude.

Principio 13: La información

procesada/generada por PSEs

(incluyendo reportes) está sujeta a

controles efectivos para asegurarse que

dicha información sea exacta y esté

completa

• La entidad realiza controles sobre la exactitud y totalidad de

los reportes provenientes del PSE, y/o

• La entidad evalúa el reporte SSAE 16 del PSE, el cual

incluye controles sobre la exactitud y totalidad de los

reportes provenientes del PSE.

Información y Comunicación: Temas de actualidad

28

Temas

Citado en

revelaciones

de

deficiencia

material

Área o factor

que

contribuyó a

un fraude

Relación a

principio de

Marco COSO

2013

Información y Comunicación

Calidad de los datos, incluyendo reportes

utilizados en la ejecución de un control13

Programas de denuncias anónimas14, 15

Actividades de Monitoreo: Temas de Actualidad


Temas

Citado en

revelaciones

de deficiencia

material

Área o

factor que

contribuyó

a un fraude

Relación a

principio de

Marco COSO

2013


Enfoque de monitoreo vinculado a la

evaluación de riesgo, incluyendo consideración

de las diferencias locaciones de negocios

16

Efectividad y competencias de la función de

monitoreo, tales como la función de auditoría

interna

16

Importancia y sustancia del programa de

certificación periódico de la entidad14, 15, 16

Evaluación de las deficiencias para determinar

la causa primordial17

Monitoreo: Posibles Fallas

1. Enfoque de Monitoreo

• Enfoque es el mismo independientemente

del riesgo

2. Auditoría Interna

• Falta de énfasis o foco en el control interno

sobre información financiera

• Falta de una mentalidad objetiva adecuada

3. Programas de certificación interna inefectivos

4. Deficiencias

• Evaluación insuficiente de las causas

primordiales de la deficiencia (por ejemplo,

indicación de que una deficiencia existe en

otro principio o component de COSO)

• Falta de actividades de monitoreo efectivas

para remediar hallazgos de forma oportuna


Nuevo marco conceptual de COSO: cambios, … · Agenda 2 Introducción Módulo 1: El Marco COSO...

Documents

Transcript of Nuevo marco conceptual de COSO: cambios, … · Agenda 2 Introducción Módulo 1: El Marco COSO...