El Informe COSO

Maestra en Auditoria y Seguridad Informtica.

CURNE-UASD
San Fco. De Macors, Rep. Dom.

Expositores:
Lic. Juan Carlos Fermn
Lic. Mariano Rosario
Lic. Ramn Alexander Paula

Informe COSO - Generalidades

COSO: Committee of Sponsoring Organizations
of the Treadway Commission
Publicado en Estados Unidos en el ao 1992.
Surge como una forma de solucionar la
diversidad de conceptos, definiciones e
interpretaciones existentes en torno al control
interno.

Informe COSO - Generalidades

Desarrollado por representantes de los cinco
organismos profesionales siguientes:

Asociacin Americana de Contadores

Instituto de Ejecutivos
Financieros

Instituto Americano de Contadores

Pblicos Autorizados

Instituto de Auditores
Internos

Instituto de Contadores
Gerenciales

Informe COSO - Generalidades

Este grupo de trabajo tena como objetivo:
Acordar una definicin de Control Interno que
sea aceptada como un marco comn que
satisfaga las necesidades de todos los sectores.
Aportar una estructura de Control Interno que
facilite la evaluacin de cualquier sistema en
cualquier organizacin.

Informe COSO - Estructura

El Informe COSO se estructura en cuatro partes:

Control Interno Segn COSO

Definicin de control interno:
El control interno es un proceso efectuado por la
direccin y el resto del personal de una entidad,
diseado con el objeto de proporcionar un grado
de seguridad razonable en cuanto a la
consecucin de objetivos dentro de las siguientes
categoras:
Eficacia y eficiencia de las operaciones
Confiabilidad de la informacin financiera
Cumplimiento de las leyes, reglamentos y normas
que sean aplicables

Control Interno Como Proceso

Es un medio para alcanzar un fin,
no es un fin en si mismo.
No es un evento o circunstancia sino una
serie de acciones que permean en las actividades de
una organizacin.
Es una cadena de acciones extendida a todas las
actividades inherentes a la gestin e integradas a los
dems procesos bsicos de la misma: planificacin,
ejecucin y supervisin.
Los controles deben constituirse dentro de
infraestructura de la Organizacin y no sobre ella.

la

Llevado a cabo por la Direccin y el

Resto del Personal
Es efectuado por personas.
Es ejecutado por la gente de una Organizacin a
travs de lo que ellos hacen y dicen.
La Direccin es responsable de la existencia de
un eficaz y eficiente sistema de control.
Cada individuo dentro de
la Organizacin tiene
algn rol respecto al
control interno.

Proporciona una seguridad

razonable
No asegura con certeza el cumplimiento de los
objetivos de la organizacin, sino que contribuye
a ello.
No importa lo bien diseado que est el sistema
de control, lo ms que se puede esperar es que
proporcione una seguridad razonable.

Eficacia del Sistema de Control

Interno
La eficacia del control interno se puede dar en tres
niveles distintos. Se puede considerar eficaz si la
direccin de la unidad tiene la seguridad razonable
de que:
Dispone de la informacin adecuada sobre hasta
qu punto se estn logrando los objetivos
operacionales de la unidad.
Se prepara de forma fiable la informacin financiera
de la misma.
Se cumplen las leyes y normativa a las que se
encuentra sujeta.

Funciones y Responsabilidades
Todos los miembros de la organizacin son
responsables del control interno
Alta Direccin
de la Entidad
Consejo de
Administracin

Auditores:
Internos y
Externos
Quin es
el Responsable
del Control
Interno?

Directores
Operativos
Empleados

Oficina de
Control
Fiscal, El
Estado,

Componentes de Control Interno

Segn COSO, el control interno consta de cinco
componentes relacionados entre s:

Matriz de COSO
OBJETIVOS

ER
P
O

IO
C
A

S
NE

TE
R
PO IERO
E
R NC
A
FIN

CU

TO
N
IE
M
I
L
MP

SUPERVICION Y MONITOREO

EVALUACION DE RIESGOS
AMBIENTE DE CONTROL
COMPONENTES

ENFOQUE

ACTIVIDADES DE CONTROL

ACTIVIDAD 3
ACTIVIDAD 2
ACTIVDAD 1
UNIDAD 2
UNIDAD 1

INFORMACION Y COMUNICACION

COSO ERM
Es un proceso dinmico
Realizado
por
personas
(Consejo
Administracion, gerencia y el personal)

de

Aplicado como parte de un establecimiento de

estrategias
Aplicado a travs de toda la empresa
Diseado y enfocado a identificar eventos, no
solamente riesgos
Diseado para mantener acciones y administrar
riesgo dentro del apetito de riesgo
Proporciona seguridad razonable, a la Direccin y
Junta Directiva, del logro de objetivos

Beneficios de COSO ERM

COSO proporciona un marco integral del control
interno y herramientas de valuacin para evaluar el
sistema de control.
Proporciona respuestas integradas a los mltiples
riesgos.
Mejora el nivel de las respuestas (evita, reduce,
comparte o acepta) al riesgo.
Reduce la posibilidad de sorpresas y prdidas.
Identifica y administra los riesgos a nivel corporativo.
Prepara a la empresa para tomar ventaja de las
oportunidades.
Ayuda a mejorar el uso del capital disponible.

COSO y COSO ERM

Componentes

Objetivos

COSO

COSO ERM

Un

es
d
a
id

de

io
c
go
e
N

Ambiente de Control
El ambiente o entorno de control es la base de la
pirmide de control interno, aportando disciplina a
la estructura.
En el se apoyarn los restantes componentes, por
lo que ser fundamental para solidificar los
cimientos de un eficaz y eficiente sistema de
control interno.
Marca la pauta del funcionamiento de la Unidad e
influye en la concientizacin de sus funcionarios.

Ambiente de Control

Factores a Considerar

Evaluacin del Riesgo

Es la identificacin y anlisis de riesgo relevantes para el
logro de los objetivos, y la forma en que deben ser
manejados
Factores:
1.Identificar los riesgos.
2.Estimar la importancia y su efecto.
3.Evaluar la probabilidad de ocurrencia.
4.Establecer acciones y controles necesarios.
5.Evaluacin peridica de los puntos anteriores

Evaluacin del Riesgo

Cada Unidad se enfrenta a diversos riesgos internos y

externos que deben ser evaluados. Una condicin previa a la
evaluacin del riesgo es la identificacin de los objetivos a
los distintos niveles, los cuales debern estar vinculados
entre s.

La evaluacin de riesgos consiste en la identificacin y el

anlisis de los riesgos relevantes para la consecucin de los
objetivos, y sirve de base para determinar cmo han de ser
gestionados.
A su vez, dados los cambios permanentes del entorno, ser
necesario que la Unidad disponga de mecanismos para
identificar y afrontar los riesgos asociados al cambio.

Misin, Objetivos y Polticas

Los objetivos y polticas de una determinada Unidad
debern estar alineados y ser consistentes con la
misin de la misma, la cual es desarrollada a nivel del
Inciso.
Es importante que los mismos se encuentren
documentados y difundidos no solo a toda la
Organizacin, sino que tambin es importante su
difusin a nivel de la sociedad en general. Esto ser
importante a la hora de rendir cuentas de la gestin del
Organismo.

Misin, Objetivos y Polticas

Misin: Expresa lo que es la
Organizacin, para qu est, qu
necesidades cubre. La misin es definida
a nivel de Inciso.
Objetivos: Expresan los propsitos de la
Organizacin, mostrando hacia donde va
la misma.
Polticas: Expresan los medios que
utiliza la Organizacin para conseguir los
objetivos. Dado el ambiente dinmico en
donde interacta la Unidad, los objetivos
debern adecuarse a esos cambios.

Objetivos a Nivel de Proceso o

Actividad

Se deben identificar los objetivos particulares a nivel de todos los

procesos o actividades desarrolladas por una Unidad, a los efectos
de poder identificar los riesgos que podran amenazar la
consecucin de los objetivos vinculados a los mismos.

Los objetivos particulares de los procesos sustantivos de la Unidad

(entendindose por procesos sustantivos los que agregan valor a
la Unidad) se encuentran identificados.

Los mismos son concordantes con los objetivos generales de la

Unidad.

Se encuentran definidas las herramientas de medicin

(indicadores) del grado de cumplimiento de los objetivos.

Estas herramientas de medicin se encuentran operativas en la

realidad y se aplican.

Identificacin de Riesgos
Los riesgos que podran afectar la consecucin de los
objetivos de la Organizacin, tanto externos como internos,
deben estar claramente identificados.
Para ello se debe realizar un mapeo de riesgos que incluya
la especificacin de los procesos claves de la Organizacin,
la identificacin de los objetivos generales y particulares de
los mismos, y las amenazas y riesgos que pueden impedir
que los mismos se cumplan.
Se encuentran identificados los riesgos tanto internos como
externos, que podran interferir en que los objetivos de
procesos sean cumplidos.
Existen mecanismos definidos para la identificacin de
riesgos internos y los mismos funcionan adecuadamente.

Estimacin de Riesgos
Se debe estimar la probabilidad de ocurrencia
de los riesgos identificados, as como tambin
cuantificar las posibles prdidas que los
mismos podran ocasionar.
Por consiguiente, la estimacin de riesgos
debe hacerse a travs de dos variables:
probabilidad (frecuencia en la ocurrencia del
mismo) e impacto (consecuencia que tendra
el mismo si ocurriera).
Existe
una
estimacin
de
riesgos,
considerando la probabilidad de ocurrencia y el
impacto de los mismos.

Manejo del Cambio

Se debe disponer de procedimientos capaces
de captar e informar oportunamente cualquier
cambio, tanto en el ambiente interno como
externo, que puedan impedir que los objetivos
se consigan.
Las reas estn instruidas para informar a la
Direccin de cualquier variacin que pueda
afectar el cumplimiento de los objetivos de la
Entidad o rea.
Existen procedimientos capaces de captar e
informar oportunamente cambios, tanto internos
como externos, que puedan determinar
variantes en el anlisis de riesgos.
Los mismos son aplicados en la realidad.

Actividades de Control
Son aquellas que realiza la gerencia y todo el personal de la
organizacin para cumplir con las actividades asignadas.
Se encuentran documentadas en las polticas, sistemas y
procedimientos. Incluyen actividades: preventivas, detectivas y
correctivas.
Factores:
1. Aprobaciones y autorizaciones
2. Reconciliaciones
3. Segregacin de funciones
4. Salvaguarda de activos
5. Indicadores de desempeo
6. Fianzas y seguros

7. Anlisis y reg. informacin

8. Verificaciones
9. Revisin desempeo operac.
10. Seguridad fsica
11. Revisin de informes
12. Controles de proc. de informac.

Identificacin de Procedimientos de
Control

Luego de identificar, estimar y cuantificar los riesgos, la Direccin

debe determinar los objetivos de control, y en base a ello debe
establecer las actividades de control ms convenientes a
implementar. La conveniencia estar dada por la efectividad de las
mismas y el costo a incurrir en su implantacin.

Ser importante en este punto no perder de vista la ecuacin

costobeneficio.

Existen procedimientos de control para mitigar todos los riesgos

identificados y considerados significativos

Los mismos se aplican apropiadamente.

Dichos procedimientos son

funcionarios involucrados.

comprendidos

por

todos

los

Oposicin de Intereses

Se debe asignar a personas diferentes las tareas y

responsabilidades relativas a la autorizacin, registro y revisin de
las transacciones y hechos econmicos de la Organizacin.

Esto disminuye considerablemente la posibilidad de cometer actos

ilcitos y en caso que se cometan, es ms fcil su deteccin.

Las tareas y responsabilidades vinculadas a la autorizacin,

aprobacin, procesamiento y registracin, pagos o recepcin de
fondos, auditora y custodia de fondos, valores o bienes de la
Organizacin estn asignadas
a personas diferentes.

Las conciliaciones bancarias son realizadas por personas ajenas

al manejo de las cuentas bancarias.

Coordinacin entre reas

Las reas que componen una Organizacin deben actuar

coordinadamente entre ellas. Esto redundar en la consecucin de
los objetivos generales de la Organizacin y no solo en la
consecucin de objetivos a nivel de Unidad independiente.

Que exista coordinacin implica que los funcionarios conozcan las

consecuencias de sus acciones respecto a la Organizacin en su
conjunto.

Existe un flujo de informacin adecuado entre las distintas reas

de la Unidad.

Los funcionarios son conscientes de cmo impactan sus acciones

en la Organizacin en su conjunto.

Documentacin

La estructura de control interno y todas las

transacciones y hecho significativos de la Unidad
deben
estar
claramente
documentados
y
disponibles para su control.

Existen documentos escritos acerca de la estructura

de control interno de la Unidad.

Los mismos se encuentran disponibles y al alcance

de todos los funcionarios.

Niveles definidos de autorizacin

Los hechos significativos de una Organizacin deben ser
autorizados y realizados por funcionarios que acten dentro el
mbito de su competencia.

Registro adecuado de las transacciones

Las transacciones y hechos que afecten a la Organizacin deben

ser registrados oportuna y adecuadamente.

Las operaciones de egreso que se dan en la Organizacin se

registran en tiempo y forma, cualquiera sea la etapa del gasto en
las que se encuentren (Afectacin, Compromiso, etc.).

Lo mismo sucede con las operaciones de ingreso.

Acceso restringido a los recursos, activos y

registros
El acceso a los recursos, activos y registros debe estar protegido
por mecanismos de seguridad, que permitan asignar
responsabilidad en su custodia. Estas personas sern las
encargadas de rendir cuentas por su custodia y utilizacin.

Rotacin del personal en las tareas

sensibles

Las personas que llevan adelante tareas que

puedan dar lugar a cometer irregularidades, deben
ser regularmente rotadas en sus puestos.

Se rota a los funcionarios en las tareas que pueden

dar lugar a irregularidades (fraude, actos de
corrupcin).

Control del sistema de informacin

Con el objetivo de lograr su correcto funcionamiento, el sistema de
informacin debe ser controlado peridicamente.
Esto se debe a que la toma de decisiones se respalda en los sub
-sistemas de informacin.
Los recursos tecnolgicos deben ser regularmente testeados, a los
efectos de lograr cumplir con los requisitos del sistema de
informacin

Indicadores de desempeo

Respetando el principio de que lo que no se puede medir, no se

puede gestionar, la Organizacin debe contar con mtodos de
medicin de desempeo que permitan la elaboracin de
indicadores para su monitoreo y evaluacin.

La informacin ser utilizada para monitorear y poder corregir los

desvos oportunamente detectados.

Manuales de procedimientos

Informacin y Comunicacin

Informacin y Comunicacin
En este componente se debe identificar, recopilar y
comunicar informacin pertinente en tiempo y
forma que permitan cumplir a cada funcionario con
sus responsabilidades.
La comunicacin existente tiene que ser eficaz y en
un sentido amplio, que fluya en todas las
direcciones a travs de todos los mbitos de la
Unidad, de arriba hacia abajo y a la inversa.
La informacin puede ser operativa o financiera, de
origen interno o externo.

Informacin y Responsabilidad
Los datos de una Organizacin deben ser
identificados, captados, registrados, procesados en
informacin y comunicados en tiempo y forma a los
funcionarios para la toma de decisiones acertadas.
Estn definidos los distintos reportes que deben
remitirse a los distintos niveles internos para la
toma de decisiones.
La informacin es apropiada de acuerdo a los
niveles de autoridad y responsabilidad asignados.

Informacin y Responsabilidad
El flujo de informacin debe
circular
en
todos
los
sentidos dentro de la
Organizacin.
La informacin circula en
todos los sentidos dentro de
la
Organizacin
(ascendente, descendente,
horizontal y transversal) y
esta disponible para quienes
deben disponer de ella.

Sistema de Informacin Integrado

El objetivo de integrar toda la informacin de los distintos departamentos

y filiales de la empresa en una nica base de datos comn.

Sistema de Informacin Integrado

Los sistemas de informacin dentro de una organizacin
deben estar integrados. Los funcionarios de una unidad
organizacional deben saber como se vincula la informacin
elaborada por el rea donde se desempean, con la
informacin elaborada por el resto de las unidades de la
estructura.

ERP: Enterprise resource planning (Sistemas de planificacin de recursos empresariales )

Sistema de Informacin Integrado

El Sistema De Informacin Debe Servir Para:
La toma de decisiones a todos los niveles
Evaluar el desempeo del organismo
Rendir cuentas
Flexibilidad Al Cambio
El sistema de informacin es revisado a lo largo del tiempo,
a los efectos de comprobar que sigue siendo eficaz para la
toma de decisiones y que la informacin elaborada sigue
siendo relevante para los objetivos de la Organizacin. Este
se debe analizar cada vez que el organismo cambia su
estrategia, misin, poltica u objetivos.

Comunicacin, Valores Organizacionales

y Estrategias
Existen mecanismos que aseguran la
comunicacin en todos los sentidos.
El
sistema
de
comunicacin
proporciona oportunamente a todos
los funcionarios la informacin
(relevante y confiable), necesaria
para poder cumplir con sus
responsabilidades.
Canales De Comunicacin
Deben existir adecuados canales de
comunicacin
con
terceros
interesados
y
partes
externas
(sociedad, prensa, entre otros).

Supervisin y Monitoreo

Supervisin y Monitoreo
Debe existir un proceso que compruebe que el
sistema de control interno se mantiene en
funcionamiento a travs del tiempo.
La misma tiene tareas permanentes y
revisiones
peridicas.
Estas
ltimas
dependern en cuanto a su frecuencia de la
evaluacin de la importancia de los riesgos en
juego.

Evaluacin Del Sistema De Control

Interno
El sistema de control interno
es evaluado peridicamente
por la Direccin y los mandos
medios a los efectos de
corroborar su vigencia.
Existen
herramientas
definidas de autoevaluacin
que permiten evaluar el
sistema de control interno
implementado.

Eficacia Del Sistema De Control

Interno
Un sistema de control interno
es eficaz si dispone de la
informacin adecuada sobre
hasta qu punto se estn
logrando
los
objetivos
operacionales de la Unidad.
Si se prepara de forma fiable la
informacin financiera de la
misma.
Y si se cumplen las leyes y
normativa a las que se
encuentra sujeta.

Deficiencias Detectadas
Se deben establecer
procedimientos
que
aseguren que toda
deficiencia detectada,
que afecte al Sistema
de Control Interno o
pueda llegar a afectarlo,
pueda
ser
oportunamente
informada.

Limitaciones del Control Interno

El CI asegura que la direccin
sea consciente del progreso y
del estancamiento de la
empresa. Sin embargo no
asegura que se consigan los
objetivos. Es decir, que
existen hechos que son
ajenos al control de la
direccin.
Lo ms que se puede esperar
de un CI es la obtencin de
una seguridad razonable.