Page 1

Universidad Mariano Gálvez De Guatemala Facultad De Ciencias Económicas Contaduría Pública Y Auditoria Centro De Estudios De La Antigua Guatemala Curso: Auditoria De Sistemas Informáticos Licenciado Pablo Sandoval

“SISTEMA COSO III”

Karen Rosmery Tiño Junaj

Carné: 3211-09-10746

Jackeline Rosanely Pérez Álvarez

Carné: 3211-10-9670

Alfredo Josué Barrera Castillo

Carné: 3214-13-1926

Evelyn Beatriz Castillo Zúñiga

Carné: 3214-13-14228

La Antigua Guatemala, 05 de Septiembre de 2,016


INDIC

INTRODUCCIÓN...........................................................................................................................................6 OBJETIVOS...................................................................................................................................................7 MODELO COSO III........................................................................................................................................5 MARCO INTEGRADO DE CONTROL INTERNO...........................................................................................5 INTERNAL CONTROL INTEGRATED FRAMEWORK...............................................................................5 ANTECEDENTES....................................................................................................................................5 DEFINICIÓN CONTROL INTERNO SEGÚN COSO....................................................................................8 CONTROL INTERNO....................................................................................................................................10 LIMITACIONES........................................................................................................................................12 EFECTIVIDAD DEL CONTROL INTERNO...................................................................................................14 OBJETIVOS.........................................................................................................................................15 COMPONENTES DEL CONTROL INTERNO...........................................................................................17 RELACIÓN ENTRE OBJETIVOS Y COMPONENTES....................................................................................20 COMPONENTES Y PRINCIPIOS...........................................................................................................21 Entorno de Control....................................................................................................................................21 Principios...............................................................................................................................................21 Evaluación de Riesgos............................................................................................................................22 Actividades de Control...........................................................................................................................23 Información y Comunicación.....................................................................................................................23 Principios...............................................................................................................................................23 Actividades de Supervisión........................................................................................................................24 Principios...............................................................................................................................................24 RELACIÓN DE LOS PRINCIPIOS DEL CONTROL INTERNO CON LA AUDITORIA EN SISTEMAS.......................24 RECOMENDACIONES..........................................................................................................................30 ANEXOS.....................................................................................................................................................31 EVOLUCIÓN COSO......................................................................................................................................31 Principio 13: usa información relevante....................................................................................................67 BIBLIOGRAFÍA..............................................................................................................................................5


INTRODUCCIÓN

Este documento plasma los resultados de la tarea realizada durante más de años por el grupo de Trabajo que la Treadway Commission de la National Commission on Fraudulent Financial Reporting, creó en Estados Unidos en 1985 bajo la sigla COSO (Committee Of Sponsoring Organizations).

El informe COSO se define como “Las normas, los procedimientos, las prácticas y las estructuras organizativas diseñadas para proporcionar seguridad razonable de que los objetivos de la empresa se alcanzarán y que los eventos no deseados se preverán, se detectarán y se corregirán


OBJETIVOS  Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados.  Colaborar y apoyar el trabajo de Auditoría Informática interna/externa.

 Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informático.  Contar con buenos controles de las tecnologías de información pues éstas desempeñan un papel fundamental en la gestión.


72

MODELO COSO III MARCO INTEGRADO DE CONTROL INTERNO INTERNAL CONTROL INTEGRATED FRAMEWORK

ANTECEDENTES

El Comité de organizaciones patrocinadoras de la Comisión Treadway – Committee of Sponsoring Organizations of (COSO)fue conformado en 1985 con la finalidad de identificar los factores que originaban la presentación de información financiera falsa o fraudulenta y emitir las recomendaciones que garantizaran la máxima transparencia informativa en ese sentido. COSO se dedica a desarrollar marcos y orientaciones generales sobre el control interno, la gestión del riesgo empresarial y la prevención del fraude, diseñados para mejorar el desempeño organizacional y la supervisión, y reducir el riesgo de fraude en las organizaciones.

Asimismo, el Comité sustenta que una buena gestión del riesgo y un sistema de control interno son necesarios para el éxito a largo plazo de las organizaciones. El Comité estaba conformado por cinco instituciones representativas en Estados Unidos en el campo de la contabilidad, las finanzas y la auditoria interna:

 American AccountingAssociation (AAA) – Asociación de Contadores Públicos Norteamericanos


72

 American Institute of CertifiedPublicAccountants (AICPA) – Instituto Norteamericano de Contadores Públicos Certificados (Contadores CPA que forman parte de empresas de contabilidad que hacen auditorías externas de estados financieros).  FinancialExecutiveInstitute (FEI) – Asociación Internacional de Ejecutivos de Finanzas.  Institute of InternalAuditors (IIA) – Instituto de Auditores Internos (Auditores encargados de la evaluación de los sistemas de control interno en el interior de las organizaciones).  Institute of Management Accountants (IMA) – Instituto de Contadores Empresariales (Contadores que trabajan en empresas).

El comité COSO, en septiembre de 1992, emitió en los Estados Unidos el informe Internal Control – Integrated Framework (Marco Integrado de Control Interno, COSO I), luego de un trabajo arduo de cinco años y orientado a establecer una definición común de control interno y proveer una guía para la creación y el mejoramiento de la estructura de control interno de las entidades.

Este Marco fue publicado para las empresas de los Estados Unidos, pero sin embargo ha sido utilizado y aceptado a nivel mundial. Fue creado para facilitar a las empresas los procesos de evaluación y mejoramiento continuo de sus sistemas de control interno. Además, ha sido incluido en las políticas, reglas y regulaciones, para que las empresas mejoren sus actividades de control hacia el logro de sus objetivos. Es el caso de la Ley SarbarnesOxley, según la cual las empresas que cotizan en bolsa tienen que cumplir con una sección de control interno (sección 404), que solicita la implementación y evaluación de un sistema de control interno en las organizaciones.


72

En septiembre de 2004, el comité COSO publicó el Enterprise Risk Management – Integrated Framework y sus aplicaciones técnicas asociadas (COSO II), en el cual se amplía el concepto de control interno, y se proporciona un enfoque más completo y extenso sobre la identificación, evaluación y gestión integral del riesgo. Este nuevo enfoque no sustituye el marco de control interno, sino que lo incorpora como parte de él, y permite a las compañías mejorar sus prácticas de control interno o decidir encaminarse hacia un proceso más completo de gestión de riesgo. Adicionalmente, dado que COSO Enterprise Risk Management - Integrated Framework se encuentra completamente alineado con el Internal Control - Integrated Framework, las mejoras en la gestión de riesgo permiten mejorar un trabajo eficaz en control interno bajo las disposiciones de la Ley Sarbanes-Oxley.

En mayo de 2013 el Comité COSO publicó la actualización del Marco Integrado de Control Interno, cuyos objetivos son: aclarar los requerimientos del control interno, actualizar el contexto de la aplicación del control interno a muchos cambios en las empresas y ambientes operativos, y ampliar su aplicación alexpandir los objetivos operativos y de emisión de informes. Este nuevo Marco Integrado permite una mayor cobertura de los riesgos a los que se enfrentan actualmente las organizaciones.

DEFINICIÓN CONTROL INTERNO SEGÚN COSO

Es un sistema que permite a las organizaciones desarrollar, de manera eficiente y efectiva, sistemas de control interno que se adapten a los cambios del entorno operativo y de negocio,


72

mitigando riesgos hasta niveles aceptables y apoyando en la toma de decisiones y el gobierno corporativo de la organización.

El Marco apoya a la dirección, al consejo, a los grupos de interés externos y demás partes que interactúan con la entidad a través de sus respectivas funciones relacionadas con el control interno, sin llegar a ser excesivamente estricto. Para ello, el Marco ofrece un entendimiento de lo que constituye un sistema de control interno y aporta información de valor para poder determinar si se está aplicado de manera efectiva.

Para la dirección y el consejo, este Marco proporciona:

 Un medio para aplicar el control interno a cualquier tipo de entidad, independientemente del sector o estructura jurídica, a nivel de entidad, división, unidad operativa o función.  Un enfoque basado en principios que proporcionan flexibilidad y permite el uso del criterio profesional a la hora de diseñar, implementar y desarrollar el control interno. Se trata de principios que se pueden aplicar a nivel de entidad, a nivel operativo y a nivel funcional.  Requisitos para un sistema de control interno efectivo, considerando los componentes y principios existentes, cómo funcionan y cómo interactúan dichos componentes durante su funcionamiento.


72

 Un método para identificar y analizar los riesgos, desarrollar y gestionar respuestas adecuadas a dichos riesgos dentro de unos niveles aceptables y con un mayor enfoque sobre las medidas anti-fraude.  Una oportunidad para ampliar el alcance del control interno más allá de la información financiera, a otras formas de presentación de información, operaciones y objetivos de cumplimiento.  Una oportunidad para eliminar controles ineficientes, redundantes o inefectivos que proporcionen un valor mínimo en la reducción de riesgos para la consecución de los objetivos de la entidad.

Para los grupos de interés externos de una entidad y demás partes que interactúen con ella, la aplicación del Marco proporciona:

 Mayor confianza en la supervisión efectuada por el consejo sobre los sistemas de control interno.  Mayor confianza respecto al cumplimiento de los objetivos de la entidad.  Mayor confianza en la capacidad de la organización para identificar, analizar y responder a los riesgos y los cambios que se produzcan en el entorno operativo y de negocio.  Mayor comprensión de la necesidad de un sistema de control interno efectivo.  Mejor entendimiento de que, mediante la aplicación de un criterio profesional oportuno, la dirección puede eliminar controles no efectivos, redundantes o ineficientes.


72

Algunos de los factores más relevantes que contribuyeron a la actualización del Marco Integrado de Control Interno son:

 Variación de los modelos de negocio como consecuencia de la globalización.  Mayor necesidad de información a nivel interno debido a los entornos cambiantes.  Incremento del número y complejidad de las normativas aplicables al mundo empresarial a nivel internacional.  Nuevas expectativas sobre la responsabilidad y competencias de los gestores de las organizaciones.  Incremento de las expectativas de los grupos de interés (inversores, reguladores) en la prevención y detección del fraude.  Aumento del uso de las nuevas tecnologías, y su desarrollo constante.  Exigencias en la fiabilidad de la información reportada.

CONTROL INTERNO Las empresas deben implementar un sistema de control interno eficiente que les permita enfrentarse a los rápidos cambios del mundo de hoy. Es responsabilidad de la administración y de los directivos desarrollar un sistema que garantice el cumplimiento de los objetivos de la empresa y se convierta en una parte esencial de la cultura organizacional. El Marco Integrado de Control Interno propuesto por COSO provee un enfoque integral y herramientas para la implementación de un sistema de control interno efectivo y en pro de la mejora continua.


72

El control interno es definido como un proceso integrado y dinámico llevado a cabo por la administración, la dirección y demás personal de una entidad, diseñado con el propósito de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos relacionados con las operaciones, la información/Reporting y el cumplimiento. De esta manera, el control interno se convierte en una función inherente a la administración, integrada al funcionamiento organizacional y a la dirección institucional y deja, así, de ser una función que se asignaba a un área específica de una empresa.

La implementación de un sistema de control interno eficiente debe proporcionar:

 Consecución de objetivos de rentabilidad y rendimiento para prevenir la pérdida de recursos.  Operaciones eficaces y eficientes.  Desarrollo de tareas y actividades continuas, establecidas como un medio para llegar a un fin.  Control interno efectuado por las personas de la entidad y las acciones que estas aplican en cada nivel de la entidad.  Producción de informes financieros confiables para la toma de decisiones.  Seguridad razonable, no absoluta, al consejo y la alta dirección de la entidad.  Cumplimiento de las leyes y regulaciones pertinentes.  Adaptación a la estructura de la entidad.  Promoción, evaluación y preocupación por la seguridad, calidad y mejora continua de todos los procesos de la entidad.


72

El modelo de control interno COSO 2013 se caracteriza por tener en cuenta los siguientes aspectos y generar diferentes beneficios:

 Mayores expectativas del gobierno corporativo.  Globalización de mercados y operaciones.  Cambio continuo en mayor complejidad en los negocios.  Mayor demanda y complejidad en leyes, reglas, regulaciones y estándares.  Expectativas de competencias y responsabilidades.  Uso y mayor nivel de confianza en tecnologías que evolucionan rápidamente.  Expectativas relacionadas con prevenir, desalentar y detectar el fraude.

LIMITACIONES El Marco reconoce que, si bien el control interno proporciona una seguridad razonable acerca de la consecución de los objetivos de la entidad, existen limitaciones. El control interno no puede evitar que se aplique un deficiente criterio profesional o se adopten malas decisiones, o que se produzcan acontecimientos externos que puedan hacer que una organización no alcance sus objetivos operacionales. Es decir, incluso en un sistema de control interno efectivo puede haber fallos. Las limitaciones pueden ser el resultado de:

 La falta de adecuación de los objetivos establecidos como condición previa para el control interno.


72

 El criterio profesional de las personas en la toma de decisiones puede ser erróneo y estar sujeto a sesgos.  Fallos humanos, como puede ser la comisión de un simple error.  La capacidad de la dirección de anular el control interno.  La capacidad de la dirección y demás miembros del personal y/o de terceros, para eludir los controles mediante connivencia entre ellos.  Acontecimientos externos que escapan al control de la organización.

Estas limitaciones impiden que el consejo y la dirección tengan la seguridad absoluta de la consecución de los objetivos de las entidades decir, el control interno proporciona una seguridad razonable, pero no absoluta. A pesar de estas limitaciones inherentes, la dirección debe ser consciente de ellas cuando seleccione, desarrolle y despliegue los controles que minimicen, en la medida de lo posible, estas limitaciones.

El Marco requiere la aplicación del criterio profesional a la hora de diseñar, implementar y desarrollar el control interno y evaluar su efectividad. El uso de dicho criterio profesional, dentro de los límites establecidos por las leyes, reglas, regulaciones y normas mejora la capacidad de la dirección para tomar mejores decisiones sobre el control interno, pero no puede garantizar resultados perfectos.

EFECTIVIDAD DEL CONTROL INTERNO El Marco establece los requisitos de un sistema de control interno efectivo. Un sistema efectivo proporciona una seguridad razonable respecto a la consecución de los objetivos de la


72

entidad. Un sistema de control interno efectivo reduce, a un nivel aceptable, el riesgo de no alcanzar un objetivo de la entidad y puede hacer referencia a una, a dos, o a las tres categorías de objetivos. Para ello, es necesario que:

 Cada uno de los cinco componentes y principios relevantes esté presente y en funcionamiento. “Presente” se refiere a la determinación de que los componentes y principios relevantes existen en el diseño e implementación del sistema de control interno para alcanzar los objetivos especificados. “En funcionamiento” se refiere a la determinación de que los componentes y principios relevantes están siendo aplica- dos en el sistema de control interno para alcanzar los objetivos especificados.  Los cinco componentes funcionan “de forma integrada”. “De forma integrada” se refiere a la determinación de que los cinco componentes reducen colectivamente, a un nivel aceptable, el riesgo de no alcanzar un objetivo. Los componentes no deben ser considerados por separado, sino que han de funcionar juntos como un sistema integrado. Los componentes son interdependientes y existe una gran cantidad de interrelaciones y vínculos entre ellos, en particular, en la manera en que los principios interactúan dentro de los componentes y entre los propios componentes.

Cuando exista una deficiencia grave respecto a la presencia y funcionamiento de un componente o principio relevante, o con respecto al funcionamiento conjunto e integrado de los componentes, la organización no podrá concluir que ha cumplido los requisitos de un sistema de control interno efectivo.


72

Cuando se determine que el control interno es efectivo, la alta dirección y el consejo de administración tendrán una seguridad razonable de que la organización:

 Consigue llevar a cabo operaciones efectivas y eficientes cuando es poco probable que los eventos externos asociados a los riesgos tengan un impacto relevante en la consecución de los objetivos, o cuando la organización puede prever razonable- mente la naturaleza y la duración de dichos acontecimientos externos y mitigar su impacto a un nivel aceptable.  Entiende en qué medida las operaciones se gestionan con efectividad y eficiencia cuando los eventos externos pueden tener un impacto significativo en la consecución de los objetivos o cuando la organización puede predecir razonablemente la naturaleza y la duración de los acontecimientos externos y mitigar su impacto a un nivel aceptable.  Prepara informes de conformidad con las reglas, regulaciones y normas aplicables o con objetivos de reporting específicos de la entidad.  Cumple con las leyes, reglas, regulaciones y normas externas.

OBJETIVOS

El Marco establece tres categorías de objetivos, que permiten a las organizaciones centrarse en diferentes aspectos del control interno:

 OBJETIVOS OPERATIVOS:Hacen referencia a la efectividad y eficiencia de las operaciones de la entidad, incluidos sus objetivos de rendimiento financiero y operacional, y la protección de sus activos frente a posibles pérdidas.


72

 OBJETIVOS DE INFORMACIÓN/REPORTING:Hacen referencia a la información financiera y no financiera interna y externa y pueden abarcar aspectos de confiabilidad, oportunidad, transparencia, u otros conceptos establecidos por los reguladores, organismos reconocidos o políticas de la propia entidad. 

Reporting financiero externo: estos objetivos se relacionan con el cumplimiento de las obligaciones con los accionistas. Los estados financieros son solicitados por diferentes partes externas tales como inversores, organismos públicos, proveedores, entre otros, y deben ser preparados de acuerdo con los principios de contabilidad pertinentes y cumpliendo con los siguientes criterios:

– Relevancia – Representación exacta – Comparabilidad " Verificabilidad " Oportunidad – Comprensibilidad 

Reporting no financiero externo: la dirección debe cumplir con las regulaciones y estándares aplicables en la realización y publicación de informes no financieros externos. Además:

– Clasifica y resume la información razonablemente en el nivel apropiado de detalle. – Refleja las actividades subyacentes de la entidad. – Presenta transacciones y eventos dentro de los niveles requeridos de precisión y exactitud pertinente a las necesidades de los usuarios. – Usa el criterio de terceras partes, estándares y marcos, según sea apropiado. 

Reporting financiero y no financiero interno: los informes internos para la alta dirección deben incluir la información necesaria para la toma de decisiones. Estos


72

informes soportan la toma decisiones y la supervisión de la administración de las actividades y desempeño de la entidad.El reporte interno: – Usa el criterio establecido por terceras partes, estándares y marcos, según sea apropiado. – Clasifica y resume la información razonablemente en el nivel apropiado de detalle. – Reflejo de las actividades subyacentes de la entidad. – Presentación de transacciones y eventos dentro de los niveles requeridos de precisión y exactitud pertinente a las necesidades de los usuarios.  OBJETIVOS DE CUMPLIMIENTO:Hacen referencia al cumplimiento de las leyes y regulaciones a las que está sujeta la entidad.

COMPONENTES DEL CONTROL INTERNO

El control interno consta de cinco componentes integrados. 1. Entorno de control Es el ambiente donde se desarrollan todas las actividades organizacionales bajo la gestión de la administración. El entorno de control es influenciado por factores tanto internos como externos, tales como la historia de la entidad, los valores, el mercado, y el ambiente competitivo y regulatorio. Comprende las normas, procesos y estructuras que constituyen la base para desarrollar el control interno de la organización. Este componente crea la disciplina que apoya la evaluación del riesgo para el cumplimiento de los objetivos de la entidad, el rendimiento de las actividades de control, uso de la información y sistemas de comunicación, y conducción de actividades de supervisión.


72

Una organización que establece y mantiene un adecuado entorno de control es más fuerte a la hora de afrontar riesgos y lograr sus objetivos. Esto se puede obtener si se cuenta con:

 Actitudes congruentes con su integridad y valores éticos.  Procesos y conductas adecuados para la evaluación de conductas.  Asignación adecuada de responsabilidades.  Un elevado grado de competencia y un fuerte sentido de la responsabilidad para la consecución de los objetivos.

2. Evaluación de riesgos

Este componente identifica los posibles riesgos asociados con el logro de los objetivos de la organización. Toda organización debe hacer frente a una serie de riesgos de origen tanto interno como externo, que deben ser evaluados. Estos riesgos afectan a las entidades en diferentes sentidos, como en su habilidad para competir con éxito, mantener una posición financiera fuerte y una imagen pública positiva. Por ende, se entiende por riesgo cualquier causa probable de que no se cumplan los objetivos de la organización. De esta manera, la organización debe prever, conocer y abordar los riesgos con los que se enfrenta, para establecer mecanismos que los identifiquen, analicen y disminuyan. Este es un proceso dinámico e iterativo que constituye la base para determinar cómo se gestionaran los riesgos.

3. Actividades de control


72

Las actividades de control son las acciones establecidas a través de políticas y procedimientos que contribuyen a garantizar que se lleven a cabo las instrucciones de la dirección para mitigar los riesgos con impacto potencial en los objetivos. Las actividades de control se ejecutan en todos los niveles de la entidad, en las diferentes etapas de los procesos de negocio, y en el entorno tecnológico. Según su naturaleza, pueden ser preventivas o de detección y pueden abarcar una amplia gama de actividades manuales yautomatizadas, tales como autorizaciones, verificaciones, conciliaciones y revisiones del desempeño empresarial. La segregación de funciones normalmente está integrada en la definición y funcionamiento de las actividades de control. En aquellas áreas en las que no es posible una adecuada segregación de funciones, la dirección debe desarrollar actividades de control alternativas y compensatorias.

4. Información y comunicación

La información es necesaria para que la entidad pueda llevar a cabo sus responsabilidades de control interno y soportar el logro de sus objetivos. La dirección necesita información relevante y de calidad, tanto de fuentes internas como externas, para apoyar el funcionamiento de los otros componentes del control interno. La comunicación es el proceso continuo e iterativo de proporcionar, compartir y obtener la información necesaria. La comunicación interna es el medio por el cual la información se difunde a través de toda la organización, que fluye en sentido ascendente, descendente y a todos los niveles de la entidad. Esto hace posible que el personal pueda recibir de la alta dirección un mensaje claro de que las responsabilidades de control deben ser tomadas seriamente. La comunicación externa persigue dos finalidades: comunicar, de fuera hacia el interior de la organización, información externa relevante y proporcionar información


72

interna relevante de dentro hacia fuera, en respuesta a las necesidades y expectativas de grupos de interés externos.

5. Actividades de supervisión

Las evaluaciones continuas, las evaluaciones independientes o una combinación de ambas se utilizan para determinar si cada uno de los cinco componentes del control interno, incluidos los controles para cumplir los principios de cada componente, están presentes y funcionan adecuadamente. Las evaluaciones continuas, que están integradas en los procesos de negocio en los diferentes niveles de la entidad, suministran información oportuna. Las evaluaciones independientes, que se ejecutan periódicamente, pueden variar en alcance y frecuencia dependiendo de la evaluación de riesgos, la efectividad de las evaluaciones continuas y otras consideraciones de la dirección. Los resultados se evalúan comparándolos con los criterios establecidos por los reguladores, otros organismos reconocidos o la dirección y el consejo de administración, y las deficiencias se comunican a la dirección y al consejo, según corresponda.

RELACIÓN ENTRE OBJETIVOS Y COMPONENTES Existe una relación directa entre los objetivos, que es lo que una entidad se esfuerza por alcanzar, los componentes, que representa lo que se necesita para lograr los objetivos y la


72

estructura organizacional de la entidad (las unidades operativas, entidades jurídicas y demás). La relación puede ser representada en forma de cubo.

 Las tres categorías de objetivos operativos, de información y de cumplimiento están representadas por las columnas.  Los cinco componentes están representados por las filas  La estructura organizacional de la entidad está representada por la tercera dimensión.

COMPONENTES Y PRINCIPIOS

El Marco establece un total de diecisiete principios que representan los conceptos fundamentales asociados a cada componente. Dado que estos diecisiete principios proceden directamente de los componentes, una entidad puede alcanzar un control interno efectivo aplicando todos los principios. La totalidad de los principios son aplicables a los objetivos operativos, de información y de cumplimiento. A continuación, se enumeran los principios que soportan los componentes del control interno.

Entorno de Control

Principios 1. La organización demuestra compromiso con la integridad y los valores éticos. 2. El consejo de administración demuestra independencia de la dirección y ejerce la supervisión del desempeño del sistema de control interno.


72

3. La dirección establece, con la supervisión del consejo, las estructuras, las líneas de reporte y los niveles de autoridad y responsabilidad apropiados para la consecución de los objetivos. 4. La organización demuestra compromiso para atraer, desarrollar y retener a profesionales competentes, en alineación con los objetivos de la organización 5. La organización define las responsabilidades de las personas a nivel de control interno para la consecución de los objetivos.

Evaluación de Riesgos Principios 6. La organización define los objetivos con suficiente claridad para permitir la identificación y evaluación de los riesgos relacionados. 7. La organización identifica los riesgos para la consecución de sus objetivos en todos los niveles de la entidad y los analiza como base sobre la cual determinar cómo se deben gestionar. 8. La organización considera la probabilidad de fraude al evaluar los riesgos para la consecución de los objetivos. 9. La organización identifica y evalúa los cambios que podrían afectar significativamente al sistema de control interno.

Actividades de Control Principios 10. La organización define y desarrolla actividades de control que contribuyen a la mitigación de los riesgos hasta niveles aceptables para la consecución de los objetivos.


72

11. La organización define y desarrolla actividades de control a nivel de entidad sobre la tecnología para apoyar la consecución de los objetivos. 12. La organización despliega las actividades de control a través de políticas que establecen las líneas generales del control interno y procedimientos que llevan dichas políticas a la práctica.

Información y Comunicación Principios 13. La organización obtiene o genera y utiliza información relevante y de calidad para apoyar el funcionamiento del control interno. 14. La organización comunica la información internamente, incluidos los objetivos y responsabilidades que son necesarios para apoyar el funcionamiento del sistema de control interno. 15. La organización se comunica con los grupos de interés externos sobre los aspectos clave que afectan al funcionamiento del control interno.

Actividades de Supervisión Principios 16. La

organización

selecciona,

desarrolla

y realiza

evaluaciones

continuas

y/o

independientes para determinar si los componentes del sistema de control interno están presentes y en funcionamiento.


72

17. La organización evalúa y comunica las deficiencias de control interno de forma oportuna a las partes responsables de aplicar medidas correctivas, incluyendo la alta dirección y el consejo, según corresponda.

RELACIÓN DE LOS PRINCIPIOS DEL CONTROL INTERNO CON LA AUDITORIA EN SISTEMAS Principio 7: identifica y analiza los riesgos

Riesgos externos: desarrollos tecnológicos que en caso de no adoptarse provocarían obsolescencia organizacional. – Factores tecnológicos: desarrollos que pueden afectar la disponibilidad y uso de la información, costos de infraestructura y la demanda de los servicios basados en la tecnología. Riesgos internos: sistemas de información defectuosos – Tecnología: alteraciones en los sistemas de información que puedan afectar los procesos de la entidad.

Principio 9: identifica y analiza cambios importantes – Nuevas tecnologías. – Principio 11: selecciona y desarrolla controles generales sobre tecnología


72

– La organización selecciona y desarrolla actividades de control general sobre la tecnología para apoyar el cumplimiento de los objetivos. Las actividades de control y la tecnología se relacionan de dos formas: – La tecnología apoya los procesos del negocio: cuando la tecnología está integrada en los procesos del negocio, se necesitan actividades de control para mitigar el riesgo de un funcionamiento inadecuado.

La tecnología se utiliza para automatizar las actividades de control: muchas actividades de control de una organización están parcial o completamente automatizadas.

Control del sistema de información: para asegurar el correcto funcionamiento y la confiabilidad del procesamiento de transacciones el sistema de información debe ser controlado debidamente. Los sistemas de información deben contar con mecanismos de seguridad que alcancen a las entradas, los procesos, el almacenamiento y las salidas, con una flexibilidad que permita cambios o modificaciones cuando sea necesario. El sistema debe dar apoyo y controlar todas las actividades de la organización, así como registrar y supervisar las actividades y eventos que ocurran, además de mantener registros financieros.

Las actividades de control en los sistemas de información pueden agruparse en dos categorías:

Controles generales: incluyen las actividades de control sobre la infraestructura tecnológica, la seguridad de la administración y la adquisición, el desarrollo y mantenimiento de los sistemas


72

de información y de herramientas tecnológicas. Estas actividades se aplican en todos los aspectos relacionados con la tecnología: sobre las operaciones del centro de procesamiento de datos, la adquisición y mantenimiento de software, el control de acceso y el desarrollo y mantenimiento de aplicaciones. Incluyen las medidas y procedimientos manuales que permiten garantizar el funcionamiento continuo y correcto del sistema de información.

La tecnología requiere de una infraestructura para operar, establecer redes de comunicación, desarrollo de aplicaciones, y demás elementos que puede ser complejos dependiendo de las características de la organización. Esta puede ser compartida por las unidades de la entidad, o contratada a proveedores de servicios externos. Dichas características pueden generar riesgos que deben ser entendidos y manejados por la entidad. Los procesos de seguridad de la administración incluyen las actividades de control para vigilar el acceso a la infraestructura tecnológica de la organización, previniendo así accesos y usos no autorizados o inapropiados. Además, tienen en cuenta las amenazas tanto internas como externas que pueden afectar a la infraestructura tecnológica. La adquisición, desarrollo y mantenimiento de tecnologías son soportados por los controles generales de tecnología. Estos supervisan los cambios, autorizaciones, uso de licencias, y aprobaciones, con el fin de asegurar un adecuado uso de las tecnologías y sistemas de información. Algunos controles generales son:

Controles sobre las operaciones del centro de procesamiento de datos: este control está relacionado con la estructura del centro de procesamiento de datos, determinando responsable del sector, separación de funciones, niveles de autorización. Las normas COBIT,


72

complementarias de las COSO, aconsejan la existencia de un comité de sistemas y controles gerenciales sobre el área de procesamiento de datos.El área de sistemas debe estar definida como un sector autónomo que no supervisa ni es supervisado por ninguna de las áreas usuarias.

Normativas y procedimientos: pautas o instrucciones básicas expresen las buenas prácticas que son deseables dentro del ambiente de sistemas. Estas normas y procedimientos se refieren al desarrollo y mantenimiento de programas, pruebas de programas, pasajes de programas a producción y documentación de sistemas.

Normas sobre continuidad del procesamiento: estas normas preservan a la organización ante un posible colapso de los sistemas de información. Controles que están dirigidos al análisis de criticidad de los procesos, biblioteca de operaciones, back up de archivos, plan de contingencias, creación y mantenimiento, capacitación, entrenamiento y pruebas.

Proveedores externos: se deben implementar en la organización los mecanismos necesarios para el control de las aplicaciones que puedan llegar a adquirirse a proveedores externos. Para esto se debe tener en cuenta: contrataciones formales, disposición de programas fuentes, documentación de desarrollo del sistema, acceso irrestricto a sistemas, datos y documentación.

Controles sobre la seguridad física: se deben establecer restricciones a la utilización del sistema por personas no autorizadas, así como la creación y mantenimiento de condiciones


72

ambientales adecuadas que ayuden al funcionamiento de los medios en que se procesa la información. Para esto se debe tener en cuenta: acceso restringido al área de procesamiento de datos central, instalaciones adecuadas, energía interrumpible, medios de detección y extinción de incendios, y aire acondicionado.

Controles sobre la seguridad lógica: controles relacionados con las redes de telecomunicaciones para proteger al sistema contra el acceso y uso no autorizados; incluso para prevenir la piratería informática. Actividades de control aplicables son: identificación o login, autenticación, autorización, registro. La autenticación o identificación se sustenta en algo conocido (contraseña), algo poseído (tarjeta, clave), o algo personal (reconocimiento, firma, huellas dactilares).

Principio 13: usa información relevante

Sistemas de información

Las organizaciones desarrollan sistemas de información para obtener, capturar y procesar grandes cantidades de datos de fuentes tanto internas como externas, y convertirlos en información significativa y procesable, y cumplir con los requerimientos definidos de


72

información. Los sistemas de información implican una combinación de personal, datos, y tecnología que apoyan los procesos del negocio. La información se puede obtener a través de varias formas como entradas manuales, recopilación, o tecnologías de información. El volumen de la información de la organización puede presentar tanto oportunidad como riesgos. Por esta razón, se deben implementar controles que garanticen el uso y manejo adecuado de la información, sistemas de información desarrollados con integridad y procesos tecnológicos proporcionan oportunidades para mejorar la efectividad, velocidad y acceso de la información a los usuarios.

Principio 16: conduce evaluaciones continuas y/o independientes

El uso de la tecnología apoya las evaluaciones continuas, tienen un alto estándar de objetividad y permiten una revisión eficiente de grandes cantidades de datos a un bajo costo.

RECOMENDACIONES


72

 Controlar el desarrollo de nuevos sistemas de información computarizados y la modificación de los existentes, al igual que el acceso a los datos, archivos y programas informáticos.  Contar con métodos de medición de desempeño que permitan implementar acciones correctivas.

 Es necesario que todos los empleados conozcan cual es su papel en el sistema de Control Interno, así mismo reforzar la formación del personal que se incorpora para no perder la eficacia en la aplicación de los procedimientos.  Mantener una supervisión periódica para detectar las deficiencias en el Sistema de Control Interno ya que esto representa una oportunidad para reforzar dicho sistema para favorecer la consecución de los objetivos de la entidad.

ANEXOS EVOLUCIÓN COSO La siguiente imagen muestra como fue evolucionando coso


72

El informe COSO plantea una estructura de control de la siguiente forma

El siguiente cuadro presenta los cambios mรกs significativos presentes en el Marco Integrado de Control Interno 2013, a nivel general


72

COSO 1992 Se mantiene:

COSO 2013 Cambia

Definición del concepto de Control Interno

Ampliación y aclaración de conceptos con elobjetivo de abarcar las actuales condiciones del mercado y la economíaglobal

Cinco componentes del control interno

Codificación de principios y puntos de enfoque con aplicación internacional para el desarrollo y evaluación de la eficacia del Sistema de Control Interno Aclaración de la necesidad de establecer objetivos de negocio como condición previa a los objetivos de control interno

Criterios a utilizar en el proceso de evaluación de la eficacia del Sistema de Control Interno

Extensión de los objetivos de reporte más allá de los informes financieros externos, a los de carácter interno y a los no financieros tanto externos como internos

Uso del Juicio profesional para la evaluación de la eficacia del Sistema de Control Interno

Inclusión de una guía orientadora para facilitar la supervisión del Control Interno sobre las operaciones, el cumplimiento y los objetivos de reporte

El siguiente cuadro presenta los cambios más significativos presentes en el Marco Integrado de Control Interno 2013, en cada componente Componentes

Cambios Representativos


72

Entorno de Control

Se recogen en cinco principios la relevancia de la integridad y los valores éticos, la importancia de la filosofía de la administración y su manera de operar, la necesidad de una estructura organizativa, la adecuada asignación de responsabilidades y la importancia de las políticas de recursos humanos. Se explican las relaciones entre los componentes del Control Interno para destacar la importancia del Entorno de Control. Se amplía la información sobre el Gobierno Corporativo de la organización, reconociendo diferencias en las estructuras, requisitos, y retos alo largo de diferentes jurisdicciones, sectores y tipos deentidades. Se enfatiza la supervisión del riesgo y la relación entre el riesgo y la respuesta al mismo.

Evaluación de Riesgos

Se amplía la categoría de objetivos de Reporte, considerando todas las tipologías de reporte internos y externos.

Se aclara que la evaluación de riesgos incluye la identificación, análisis y respuesta a los riesgos. Se incluyen los conceptos de velocidad y persistencia de los riesgos como criterios para evaluar la criticidad de los mismos. Se considera la tolerancia al riesgo en la evaluación de los niveles aceptables de riesgo Se considera el riesgo asociado a las fusiones, adquisiciones y externalizaciones Se amplía la consideración del riesgo al fraude.


72

Actividades de Control

Se indica que las actividades de control son acciones establecidas por políticas y procedimientos. Se considera el rápido cambio y evolución de la tecnología. Se enfatiza la diferenciación entre controles automáticos y Controles Generales de Tecnología. Se enfatiza la relevancia de la calidad de información dentro del Sistema de Control Interno.

Información y Comunicación

Actividades de Monitoreo – Supervisión

Se profundiza en la necesidad de información y comunicación entre la entidad y terceras partes. Se enfatiza el impacto de los requisitos regulatorios sobre la seguridad y protección de la información. Se refleja el impacto que tiene la tecnología y otros mecanismos de comunicación en la rapidez y calidad del flujo de información. Se clarifica la terminología definiendo dos categorías de actividades de monitoreo: evaluaciones continuas y evaluaciones independientes. Se profundiza en la relevancia del uso de la tecnología y los proveedores de servicios externos.


72

Control interno La imagen muestra como la efectividad del sistema de control interno depende de estas características, y de esta manera se puede obtener una certeza razonable del logro de los objetivos de la entidad.

Objetivos de información/Reporting La imagen muestra como en este objetivo los tipos de reportes se relacionan la información financiera y no financiera interna y externa Reporting Financiero Externo Cuentasanuales Estadosfinancieros intermedios Publicaciónde resultados Distribuciónde utilidades

Reporting Financiero Interno Estados financierosde lasdivisiones Cash--flow/Presupuesto Cálculos deCovenants

Reporting No Financiero Externo Informe de ControlInterno Memoria desostenibilidad Planestratégico Custodia deactivos

Reporting No Financiero Interno Utilización deactivos Encuestas de satisfacción delcliente Indicadores clave deriesgo Reporting alconsejo


72

Componentes del sistema de control interno

La figura muestra como existe una relaciรณn directa entre los objetivos de la entidad, los componentes y la estructura organizacional que es representada en forma de cubo de la siguiente manera:

OBJETIVOS

COSO 1992

ESTRUCTURA Alcance Organizacional COMPONENTES COSO 2013


72

Principios y puntos de enfoque En el próximo cuadro se presenta la relación entre los componentes, los principios y los puntos de enfoque para cada uno. Los puntos de enfoque representan las características importantes de cada principio, lo que permite que sean más fáciles de entender y que la entidad pueda evaluar si el principio está presente y funcionando en su sistema de control interno.

COMPONE NTE

Entorno de control

PRINCIPIOS

1. La organización demuestra compromiso con la integridad y los valores éticos

PUNTOS DE ENFOQUE Establece ATRIBUTOS el tono de la gerencia, la Junta Directiva. La Alta Gerencia y el personal supervisor están comprometidos con los valores y principios éticos y los refuerzan en sus actuaciones Establece estándares de conducta. Las expectativas de la Junta Directiva y la Alta Dirección con respecto a la integridad y los valores éticos son definidos en los estándares de conducta de la entidad y entendidos en todos los niveles de la organización y por los proveedores de servicioexternos y socios denegocios


72

COMPONE NTE

PRINCIPIOS

PUNTOS DE ENFOQUE Evalúa ATRIBUTOS la adherencia a estándares de conducta. Los procesos están en su lugar para evaluar el desempeño de los individuos y equipos en relación con los estándares de conducta esperados de la entidad. Aborda y decide sobre desviaciones en forma oportuna. Las desviaciones de los estándares de conducta esperados en la entidad son identificadas y corregidas oportuna y adecuadamente.

2. El consejo de administración demuestra independencia de la dirección y ejerce la supervisión del desempeño del sistema de control interno.

Establece las responsabilidades de supervisión de la dirección. La Junta Directiva identifica y acepta su responsabilidad de supervisión con respecto a establecer requerimientos y Aplica experiencia relevante. La Junta directiva define, mantiene y periódicamente evalúa las habilidades y experiencia necesaria entre sus miembros para que puedan hacer preguntas de sondeo de la Alta Dirección y tomar medidas proporcionales.


72

Conserva o responsabilidades supervisión.

delega de

Opera de manera independiente. La Junta Directiva tiene suficientes miembros, quienes son independientes de la Administración y objetivos en evaluaciones y toma de decisiones. Brinda supervisión sobre el Sistema de Control Interno. La Junta Directiva conserva la responsabilidad de supervisión del diseño, implementación y conducción del Control Interno de


72

la Administración: – Entorno de Control: establece integridad y valores éticos, estructuras de supervisión, autoridad y responsabilidad, expectativas de competencia, y rendición de cuentas a laJunta. – Evaluación de Riesgos: monitorea las evaluaciones de riesgos de la administraciónpara el cumplimiento de los objetivos, incluyendo el impacto potencial de los cambios significativos, fraude, y la evasión del control interno por parte de la administración. – Actividades de Control:provee supervisión a la Alta Dirección en el desarrollo y cumplimiento de las actividades decontrol. – Información y Comunicación: analiza y discute la información relacionada con elcumplimiento de los objetivos de laentidad. – Actividades de Supervisión: evalúa y supervisa lanaturaleza y alcance de las actividades de monitoreo y la evaluación y mejoramiento de la administración de las


72

3. La dirección estable con la supervisión del consejo, las estructuras, líneas de reporte y los niveles de autoridad y responsabilidad apropiados para la consecución de los objetivos.

Considera todas las estructuras de la entidad. La Administración y la Junta Directiva consideran las estructuras múltiples utilizadas (incluyendo unidades operativas, entidades legales, distribución geográfica, y proveedores de servicios externos) para apoyar la consecución de los objetivos.

Establece líneas de reporte.La Administración diseña y evalúa las líneas de reporte paracada estructura de la entidad para permitir la ejecución de autoridades y responsabilidades y el flujo de información para gestionar las actividades de la entidad.


72

COMPONEN TE

PRINCIPIOS

PUNTOS DE ENFOQUE ATRIBUTOS Define, asigna y delimita autoridades y responsabilidades. La Administración y la Junta Directiva delegan autoridad, definen responsabilidades, y utilizan procesos y tecnologías adecuadas para asignar responsabilidad, segregar funciones según sea necesario en varios niveles de la organización: – Junta directiva: conservar autoridad sobre las decisiones significativas y revisar las evaluaciones de la administración y laslimitaciones de autoridades y responsabilidades. – Alta Dirección: establece instrucciones, guías, y control habilitando a la administracióny otro personal para entender y llevar a cabo sus responsabilidades de control interno. – Administración: guía y facilita la ejecución de lasinstrucciones de la Alta Dirección dentro de la entidad y sussub-unidades. Personal: entiende los estándares de conducta de la entidad, los riesgos evaluados para los objetivos,


72

COMPONE NTE

PRINCIPIOS

4. La organización demuestra compromiso para atraer, desarrollar y retener a profesionales competentes, en concordancia con los objetivos de la organización

PUNTOS DE ENFOQUE Establece ATRIBUTOS políticas y prácticas. Las políticas y prácticas reflejan las expectativas de competencia necesarias para apoyar el cumplimiento de los objetivos. Evalúa la competencia y direcciona las deficiencias. La Junta Directiva y la Administración evalúan la competencia a través de la organización y en los proveedores de servicios externos de acuerdo con las políticas y prácticas establecidas, y actúa cuando es necesario direccionando las deficiencias. Atrae, desarrolla y retiene profesionales. La organización provee la orientación y la capacitación necesaria para atraer, desarrollar y retener personal suficiente y competente y proveedores de servicios externos para apoyar el cumplimiento de los objetivos.


72

Planea y se prepara para sucesiones. La Alta Dirección y la Junta Directiva desarrollan planes de contingencia para la asignación de la responsabilidad importante para el controlinterno. Hace cumplir la responsabilidad a través de estructuras, autoridades y responsabilidades. La Administración y la Junta Directiva establecen los mecanismos para comunicar y mantener profesionales responsables para el desempeño de las responsabilidades de control interno a través de la organización, e implementan acciones correctivas cuando es necesario.

COMPONE NTE

PRINCIPIOS

PUNTOS DE ENFOQUE ATRIBUTOS


72

Establece medidas de desempeño, incentivos y premios. La Administración y la Junta Directiva establecen medidas de desempeño, incentivos, y otros premios apropiados para las responsabilidades en todos los niveles de la entidad, reflejando dimensiones de desempeño apropiadas y estándares de conducta esperados, y considerando el cumplimiento de objetivos a corto y largo plazo

5. La organización define las responsabilidades de las personas a nivel de control interno para la consecución de los objetivos

Evalúa medidas de desempeño, incentivos y premios para la relevancia en curso. La Administración y la Junta Directiva alinean incentivos y premios con el cumplimiento de las responsabilidades de control interno para la consecución de los objetivos Considera presiones excesivas. La administración y la Junta Directiva evalúan y ajustan las presiones asociadas con el cumplimiento de los objetivos así como asignan responsabilidades, desarrollan medidas de desempeño y evalúan el desempeño


72

Evalúa desempeño y premios o disciplina los individuos. La Administración y la JuntaDirectiva evalúan el desempeño de las responsabilidades de control interno, incluyendo la adherencia a los estándares de conducta y los niveles de competencia esperados, y proporciona premios o ejerce acciones disciplinarias cuando es apropiado

COMPONE NTE

PRINCIPIOS

PUNTOS DE ENFOQUE ObjetivosATRIBUTOS Operativos: " Refleja las elecciones dela administración. " Considera la toleranciaal riesgo. " Incluye las metas de desempeño operativoy financiero. " Constituye una


72

Evaluación de riesgos

6. La organización define los objetivos con suficiente claridad para permitir la identificación y evaluación de los riesgos relacionados

Objetivos de Reporte Financiero Externo: " Cumple con losestándares contablesaplicables. " Considera lamaterialidad. " Refleja las actividades dela entidad.

Objetivos de Reporte no Financiero Externo: " Cumple con los estándaresy marcos externosestablecidos. " Considera los nivelesde precisiónrequeridos. " Refleja lasde actividades Objetivos Reporte interno: " Refleja las elecciones dela administración. " Considera el nivelrequerido deprecisión. " Refleja las actividades dela entidad. Objetivos de Cumplimiento: " Refleja las leyes y regulacionesextern as. " Considera la toleranciaal


72

COMPONE NTE

PRINCIPIOS

7. La organización identifica los riesgos para la consecución de sus objetivos en todos los niveles de la entidad y los analiza como base sobre la cual determina cómo se deben gestionar

PUNTOS DE ENFOQUE Incluye ATRIBUTOS la entidad, sucursales, divisiones, unidad operativa y niveles funcionales. La organización identifica y evalúa los riesgos a nivel de la entidad, sucursales, divisiones, unidad operativa y niveles funcionales relevantes para la consecución de los objetivos. Evalúa la consideración de factores externos e internos en la identificación de los riesgos que puedan afectar a los objetivos.

Envuelve niveles apropiados de administración. La dirección evalúa si existen mecanismos adecuados para la identificación y análisis de riesgos. Analiza la relevancia potencial de los riesgos identificados y entiende la tolerancia al riesgo de la organización.


72

Determina la respuesta a los riesgos. La evaluación de riesgos incluye la consideración de cómo el riesgo debería ser gestionado y si aceptar, evitar, reducir o compartir el riesgo.

8. La organización considera la probabilidad de fraude al evaluar los riesgos para la consecución de los objetivos

Considera varios tipos de fraude: La evaluación del fraude considera el Reporting fraudulento, posible pérdida de activos y corrupción. La evaluación del riesgo de fraude evalúa incentivos y presiones. La evaluación del riesgo de fraude tiene en consideración el riesgo de fraude por adquisiciones no autorizadas, uso o enajenación de activos, alteración de los registros de información, u otros actos inapropiados.


72

COMPONE NTE

PRINCIPIOS

9. La organización idéntica y evalúa los cambios que podrían afectar significativamente al sistema de control interno

PUNTOS DE ENFOQUE La evaluación del riesgo de ATRIBUTOS fraude considera cómo la dirección u otros empleados participan en, o justifican, acciones inapropiadas. Evalúa cambios en el ambiente externo. El proceso de identificación de riesgos considera cambios en los ambientes regulatorio, económico, y físico en los que la entidad opera. Evalúa cambios en el modelo de negocios. La organización considera impactos potenciales de las nuevas líneas del negocio, composiciones alteradas dramáticamente delas líneas existentes de negocios, operaciones de negocios adquiridas o de liquidación en el sistema de control interno, rápido crecimiento, el cambio de dependencia en geografías extranjeras y nuevas tecnologías. Evalúa cambios en liderazgo. La organización considera cambios en administración y respectivas actitudes y filosofías en el sistema de control interno.


72

Actividades de control

COMPONE NTE

10. La organización define y desarrolla actividades de control que contribuyen a la mitigación de los riesgos hasta niveles aceptables para la consecución de los objetivos

PRINCIPIOS

Se integra con la evaluación de riesgos. Las actividades de control ayudan a asegurar que las respuestas a los riesgos que direccionan y mitigan los riesgos son llevadas a cabo

Considera factores específicos de la entidad. La administración considera cómo el ambiente, complejidad, naturaleza y alcance de sus operaciones, así como las características específicas de la organización, afecta la seleccióny desarrollo de las actividades de control

PUNTOS DE ENFOQUE DeterminaATRIBUTOS la importancia de los procesos del negocio. La administración determina la importancia de los procesos del negocio en las actividades de control


72

Evalúa una mezcla de tipos de actividades de control. Las actividades de control incluyen un rango y una variedad de controles que pueden incluir un equilibrio de enfoques para mitigar los riesgos teniendo en cuenta controles manuales y automatizados, y controles preventivos y de detección. Considera en qué nivel las actividades son aplicadas. La administración considera las actividades de control en varios niveles de la entidad. Direcciona la segregación de funciones. La administración segrega funciones incompatibles, y donde dicha segregación no es práctica, la administración selecciona y desarrolla actividades de control alternativas.

11. La organización define y desarrolla actividades de control a nivel de entidad sobre la tecnología para apoyar la consecución de los objetivos

Determina la relación entre el uso de la tecnología en los procesos del negocio y los controles generales de tecnología: La direcciónentiende y determina la dependencia y la vinculación entre los procesos de negocios, las actividades de control automatizadas y los Controles Generales de tecnología.


72

Establece actividades de control para la infraestructura tecnológica relevante: la Dirección selecciona y desarrolla actividades de control diseñadas e implementadas para ayudar a asegurar la completitud, precisión y disponibilidad de la tecnología.

COMPONE NTE

PRINCIPIOS

PUNTOS DE ENFOQUE Establece ATRIBUTOS las actividades de control para la administración de procesos relevantes de seguridad: la dirección selecciona y desarrolla actividades de control diseñadas e implementadas para restringir los derechos de acceso, con el fin de proteger los activos de la organización de amenazas externas.


72

Establece actividades de control relevantes para los procesos de adquisición, desarrollo y mantenimiento de la tecnología: la dirección selecciona y desarrolla actividades de control sobre la adquisición, desarrollo y mantenimiento de la tecnología y su infraestructura.

12. La organización despliega las actividades de control a través de políticas que establecen las líneas generales del control interno y procedimientos que llevan dichas políticas

Establece políticas y procedimientos para apoyar el despliegue de las directivas de la administración: la administración establece actividades de control que están construidas dentro de los procesos del negocio y las actividades del día a día de los empleados a través de políticas estableciendo lo que se espera y los procedimientos relevantes especificando acciones.


72

Establece responsabilidad y rendición de cuentas para ejecutar las políticas y procedimientos: la administración establece la responsabilidad y rendición de cuentas para las actividades de control con la administración (u otro personal asignado) de la unidad de negocios o función en el cual los riesgos relevantes residen.

COMPONE NTE

PRINCIPIOS

PUNTOS DE ENFOQUE Funciona ATRIBUTOS oportunamente: el personal responsable desarrolla las actividades de control oportunamente, como es definido en las políticas y procedimientos. Toma acciones correctivas: el personal responsable investiga y actúa sobre temas identificados como resultado de la ejecución de actividades de control. Trabaja con personal competente: personal competente con la suficiente autoridad desarrolla actividades de control con diligencia y continúa atención.


72

Reevalúa políticas y procedimientos: la administración revisa periódicamente las actividades de control para determinar su continua relevancia, y las actualiza cuando es necesario.

Informació ny comunicaci ón

13. La organización obtiene o genera y utiliza información relevante y de calidad para apoyar el funcionamiento del control interno

Identifica los requerimientos de información: un proceso está en ejecución para identificar la información requerida y esperada para apoyar el funcionamiento de los otros componentes del control interno y el cumplimiento de los objetivos de la entidad.

Captura fuentes internas y externas de información: los sistemas de información capturan fuentes internas y externas de información Procesa datos relevantes dentro de la información: los sistemas de información procesan datos relevantes y los transforman en información.


72

COMPONE NTE

PRINCIPIOS

PUNTOS DE ENFOQUE Mantiene ATRIBUTOS la calidad a través de procesamiento: los sistemas de información producen información que es oportuna, actual, precisa, completa, accesible, protegida, verificable y retenida. La información es revisada para evaluar su relevancia en el soporte de los componentes de control interno Considera costos y beneficios: la naturaleza, cantidad y precisión de la información comunicada están acorde con, y apoyan, el cumplimiento de los objetivos

14. La organización comunica la información internamente, incluidos los objetivos y responsabilidades que son necesarios para apoyar el funcionamiento del sistema de control interno

Comunica la información de control interno: un proceso está en ejecución para comunicar la información requerida para permitir que todo el personal entienda y lleve a cabo sus responsabilidades de control interno. Se comunica con la Junta directiva: existe comunicación entre la administración y laJunta Directiva; por lo tanto, ambas partes tienen la información necesaria para cumplir con sus roles con respecto a los objetivos de laentidad.


72

Proporciona líneas de comunicación separadas: separa canales de comunicación, como líneas directas de denuncia de irregularidades, las cuales sirven como mecanismos a prueba de fallos para permitir la comunicación anónima o confidencial cuando los canales normales son inesperados o ineficientes.

COMPONE NTE

PRINCIPIOS

PUNTOS DE ENFOQUE SeleccionaATRIBUTOS métodos

de comunicación relevantes: los métodos de comunicación consideran tiempo, público y la naturaleza de la información. Se comunica con grupos de interés externos: los procesos están en funcionamiento para comunicar información relevante y oportuna a grupos de interés externos, incluyendo accionistas, socios, propietarios, reguladores, clientes, analistas financieros y demás partes


72

15. La organización se comunica con los grupos de interés externos sobre los aspectos clave que afectan al funcionamiento del control interno

Permite comunicaciones de entrada: canales de comunicación abiertos permiten los aportes de clientes, consumidores, proveedores, auditores externos, reguladores, analistas financieros, entre otros, y proporcionan a la administración y Junta Directiva información relevante. Se comunica con la Junta Directiva: la información relevante resultante de evaluaciones conducidas por partes externas es comunicada a la Junta Directiva. Proporciona líneas de comunicación separadas: separa canales de comunicación, como líneas directas de denuncia de irregularidades, las cuales sirven como mecanismos a prueba de fallos para permitir la comunicación anónima o confidencial cuando los canales normales son inoperantes o ineficientes


72

Selecciona métodos de comunicación relevantes: los métodos de comunicación consideran el tiempo, público, y la naturaleza de lacomunicación y los requerimientos y expectativas legales, regulatorias yfiduciarias

COMPONE NTE

Actividades de

PRINCIPIOS

16. La organización selecciona, desarrolla y realiza evaluaciones continuas y/o

PUNTOS DE ENFOQUE ConsideraATRIBUTOS una combinación de evaluaciones continuas e independientes: la administración incluye un balance de evaluaciones continuas e independientes

Considera tasa de cambio: la administración considera la tasa de cambio en el negocio y los procesos del negocio cuando selecciona y desarrolla evaluaciones continuas e independientes.


72

supervisión – monitoreo

independientes para determinar si los componentes del sistema de control interno están presentes y en funcionamiento

Establece un punto de referencia para el entendimiento: el diseño y estado actual del sistema de control interno son usados para establecer un punto de referencia para las evaluaciones continuas e independientes Uso de personal capacitado: los evaluadores que desarrollan evaluaciones continuas e independientes tienen suficiente conocimiento para entender lo que está siendo evaluado Se integra con los procesos del negocio: las evaluaciones continuas son construidas dentro de los procesos del negocio y se ajustan a las condiciones cambiantes

Ajusta el alcance y la frecuencia: la administración cambia el alcance y la frecuencia de las evaluaciones independientes dependiendo el riesgo


72

COMPONE NTE

PRINCIPIOS

17. La organización evalúa y comunica las deficiencias de control interno de forma oportuna a las partes responsables de aplicar medidas correctivas, incluyendo la alta dirección y el consejo, según corresponda

PUNTOS DE ENFOQUE Evalúa objetivamente: ATRIBUTOS las evaluaciones independientes son desarrolladas periódicamente para proporcionar una retroalimentación objetiva Evalúa resultados: la Administración o la Junta Directiva, según corresponda, evalúa los resultados de las evaluaciones continuas e independientes

Comunica deficiencias: las deficiencias son comunicadas a las partes responsables para tomar las acciones correctivas y a la Alta Dirección y la Junta Directiva, según corresponda Supervisa acciones correctivas: la administración monitorea si las deficiencias son corregidas oportunamente


72

Principio 2: ejerce responsabilidad de supervisión

El siguiente cuadro presenta las responsabilidades de supervisión de la Junta Directiva en relación con cada componente del Sistema de Control Interno.

Componente

Entorno de Control

Evaluación de Riesgos

Actividades de supervisión de la Junta Directiva #Supervisar la definición de los estándares de conducta y evaluar su nivel de aplicación. #Establecer las expectativas y evaluar la actuación, integridad y valores éticos del Director Ejecutivo (CEO). #Establecer una estructura y unos procesos de supervisión alineados con los objetivos de la entidad. #Evaluar la revisión de la efectividad e identificar oportunidades de mejoramiento. #Ejercer responsabilidades fiduciarias para los accionistas y demás propietarios. #Realizar seguimiento de las mejoras identificadas y solicitar información a la Alta Dirección sobre la implementación de las mismas. #Considerar factores externos e internos que puedan suponer riesgos relevantes para la consecución delos objetivos. #Incentivar la evaluación de riesgos de la Administración para el cumplimiento de los objetivos, incluyendo el impacto potencial de cambios significativos y fraude o corrupción. #Valorar la pro actividad de la organización resultada de las nuevas tecnologías o movimientos económicos y geopolíticos.


72

Actividades de Control

Información y Comunicación

Actividades de Supervisión y Monitoreo

#Solicitar información a la Administración con respecto a la selección, desarrollo y uso de las actividades de control en las áreas con mayor riesgo, y su corrección cuando sea necesario. #Evaluar el desempeño de la Alta Dirección en relación con las actividades de control.

#Comunicar la dirección y el tono desde lo alto. #Obtener, revisar y discutir la información relacionada con el cumplimiento de los objetivos de la entidad. #Examinar la información recibida y presentar diferentes puntos de vista. #Revisar las revelaciones de las partes interesadas externas para que cumplan con la exactitud e importancia. # Promover la comunicación hacia la Dirección y viceversa

#Evaluar y supervisar la naturaleza y alcance de las actividades de control, cualquier control manual dela Administración, y la evaluación y remediación de deficiencias. #Interactuar con la Administración, auditores internos y externos, y demás, para evaluar el nivel de conciencia de las estrategias de la entidad, objetivos específicos, riesgos, e implicaciones de control asociadas con el desarrollo del negocio, la infraestructura, las regulaciones y demás factores.


72

Principio 5: hace cumplir con las responsabilidades

La siguiente tabla presenta medidas clave de éxito y consideraciones para motivar, mediar y compensar un alto rendimiento.

Medidas de éxito

Objetivos claros

Implicaciones definidas

Métricas significativas

Consideracion es  Considerar todos los niveles del personal para apoyar el cumplimiento de los objetivos de la entidad.  Considerar las múltiples dimensiones de las conductas y los rendimientos esperados de la organización, proveedores de servicios externos, y socios; y definir los objetivos e incentivos y presiones relacionados.  Comunicar y reafirmar los objetivos de la entidad y cómo se espera que cada área y nivel de la organización apoye el cumplimiento de los objetivos.  Identificar y discutir eventos que el mercado ha premiado o penalizado en el pasado.  Comunicar las consecuencias del incumplimiento delos objetivos específicos de la entidad.  Definir métricas para transformar los datos iguales en información significativa en el rendimiento.  Medir la conducta esperada frente a la real y el impacto de las desviaciones, tanto positivo como negativo.  Evaluar el impacto esperado sobre los objetivos de la entidad.


72

Ajuste a los cambios

 Ajustar regularmente las medidas de desempeño basadas en una evaluación sistemática y continua del impacto potencial de los riesgos, de cómo estos evolucionan, así como la cuantificación de las compensación asociadas.

Principio 7: identifica y analiza los riesgos La imagen muestra el proceso de identificación de riesgos, debe ser integral y completo y considerar todas las interacciones significativas de bienes, servicios e información, internamente y entre la entidad y sus principales socios y proveedores de servicios externos. Velocidad delRiesgo

Identificación de Riesgos

Análisis de Riesgos

Respuestasa los Riesgos

Persistencia del Riesgo

Finalmente, luego de evaluar los riesgos significativos, la administración debe considerar cómo van a ser manejados. Esto implica el uso del juicio y un análisis razonable de costos asociados con la reducción de los niveles de riesgo. Las respuestas a los riesgos se organizan en las siguientes categorías:

Categoría Aceptación Anulación Reducción

Compartir

Descripci ónmodificar la probabilidad o Ninguna acción es tomada para impacto del riesgo. Salida de actividades que dan lugar a riesgos. Acciones tomadas para reducir la probabilidad o impacto del riesgo. Reducir la probabilidad o impacto del riesgo, transfiriéndolo o compartiendo una parte del riesgo.


72 Principio 13: usa información relevante

El siguiente cuadro presenta algunos ejemplos de datos internos y externos y fuentes de las cuales la administración puede obtener información útil y relevante para el control interno. Fuentes de Datos Internos  Comunicaciones por correo –e-mail  Inspecciones del procesamiento dela planta de producción.  Minutas o notas de los encuentros del comité operativo.  Sistema de reporte en tiempo del personal.  Reportes de los sistemas de fabricación.  Respuestas a las en cuestas de clientes.  Líneas directas para informantes.

Fuentes de Datos Externos  Datos recibidos de los proveedores de servicios externos.  Reportes de investigación dela industria.  Publicación de ganancias de compañías del mismo sector.  Entes regulatorios.  Medios sociales y blogs.  Ferias.  Líneas directas para informantes.

Datos Internos  Cambios organizacionales.  Experiencias de producción de calidad y a tiempo.  Acciones en respuesta a las métricas de consumo de energía.  Horas incurridas en proyectos basados entiempo.  Número de unidades enviadas en un mes.  Factores que impactan en las tasas de deserción de clientes.  Quejas del comportamiento del administrador.

Datos Externos  Productos enviados por manufactura contratada.  Información de productos competitivos.  Métricas del mercado y la industria.  Requerimientos nuevos o ampliados.  Opiniones acerca de la entidad.  Evolución de las preferencias de clientes.  Declaraciones de uso incorrecto de fondos o sobornos.


72

Principio 17: evalúa y comunica deficiencia El Consejo de Administración

Usualmente, el Consejo de Administración actúa a través de comités o comisiones delegadas. Esto depende de la jurisdicción y naturaleza de la organización. El siguiente diagrama presenta un ejemplo de la estructura del Consejo de Administración.

Consejo de Administración

Comité de Auditoría

Comité de Retribuciones Comité de NombramientosOtros Comités y Comisiones

Son establecidos enel grandes organziacio Evalúa las competencias, conocimientos y experiencia necesaria en Consejo. Supervisa a la Alta Dirección en su función de equilibrar funciones desempeño e incentivos. Los comités de riesgos son creados paratratar los cambios de los niveles de riesgos, su Controla lalas selección dede candidatos a directores y la Alta Dirección. Se puden crear comités para guiar determinadas funciones: comité de cump Propone la politica retributiva para los consejeros y la Alta Dirección asi como sus retribuciones individuales. Desarrolla procesos de supervisión relativosaconflictos deinterés.

Supervisa la gestion de la Alta Direccion del reporting y verifica queseestén tomando las medidas correctivas necesarias.


72

Estructura de la Organización Ámbito de aplicación del Sistema de Control Interno

Implementación del Marco Integrado de Control Interno

El siguiente modelo de negocios envuelve la mayoría de los procesos de administración y gobierno en una empresa.

GOBIERNO Marco IntegradoGestión de Riesgo Empresarial, ERM

Entorno de control

Establecimiento deEstrategias Planificación del negocio

Adaptación

Evaluación de riesgos

Información y comunicación

Monitoreo

Supervisión

Ejecución

Actividades de control

Marco Integrado de Control Interno


72

Herramientas ilustrativas para evaluar la eficacia del Sistema de Control Interno

El Marco Integrado de Control Interno presenta un apartado titulado Herramientas ilustrativas para evaluar la eficacia del Sistema de Control Interno, el cual es una ayuda muy útil para evaluar la efectividad del Sistema de control Interno de una organización sobre la base de los requisitos establecidos en el Marco. Para esto, el Marco presenta una serie de plantillas o formularios que dan una guía para la realización del trabajo a través de ejemplos de cómo desarrollar las evaluaciones.


72

Formulario de evaluación de los principios Resume la decisión de la Administración sobre si cada principio está presente y funcionando. Se tienen en cuenta los puntos de enfoque para apoyar la decisión de la administración.


72

Formulario por cada componente Resume la decisión de la Administración sobre si cada componente, incluyendo sus principios, están presentes y funcionando.

Formulario de evaluación general Resume la decisión de la administración sobre si los cinco componentes están presentes, funcionando y operando de una manera integrada, incluyendo la gravedad de las deficiencias del Control Interno o una combinación de deficiencias cuando se consideran colectivamente a lo largo de los componentes


72

Formulario de resumen de deficiencias de control interno Aporta un registro de todas las deficiencias del Control Interno que se han encontrado, y que se pueden aprovechar en la evaluaciรณn de los componentes y principios.


CUESTIONARIO GRUPO 1 COSO 1. ¿Cuáles son los componentes del control interno? 1) Ambiente de control 2) Evaluación de riesgo 3) Actividades de control 4) Información y comunicación 5) Actividades de supervisión 2. ¿Cuáles son las categorías de objetivos que establece COSO? 1) Objetivos operativos 2) Objetivos de información 3) Objetivos de cumplimiento 3. ¿Cómo es definido el control interno? Como un proceso integrado y dinámico llevado a cabo por la administración, la dirección y demás personal de una entidad, diseñado con el propósito de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos relacionados con las operaciones, la información/Reporting y el cumplimiento. 4. ¿A qué componente del control interno es asociado el principio 11 (selecciona y desarrolla controles generales sobre tecnología)? Actividades de control 5. Escriba dos principios que establece COSO Principio 1: demuestra compromiso con la integridad y los valores éticos Principio 2: ejerce responsabilidad de supervisión Principio 3: establece estructura, autoridad, y responsabilidad Principio 4: demuestra compromiso para la competencia Principio 5: hace cumplir con las responsabilidades Principio 6: especifica objetivos relevantes Principio 7: identifica y analiza los riesgos Principio 8: Evalúa el riesgo de fraude Principio 9: identifica y analiza cambios importantes Principio 10: selecciona y desarrolla actividades de control Principio 11: selecciona y desarrolla controles generales sobre tecnología Principio 12: se implementa a través de políticas y procedimientos Principio 13: usa información relevante Principio 14: comunica internamente Principio 15: comunica externamente Principio 16: conduce evaluaciones continuas y/o independientes Principio 17: evalúa y comunica deficiencia


BIBLIOGRAFÍA

 Piattinni, G. M & Peso del E. Auditoría Informática. Un enfoque práctico. Alfaomega

 Echenique G. J.A. (2001). Auditoría en Informática.2da. Ed. Mc Graw-H

 Ricardo J. Castellano. (2006). Auditoría en Entornos Informáticos. 2da. Ed. I.S.B.N.

Coso iii 2013  
Read more
Read more
Similar to
Popular now
Just for you