Objetivos

E+E
Objetivos del curso

• Los participantes:
Aprenderán el marco teórico del
Modelo COSO

Comprenderán los distintos enfoques

para la implatación práctica
del modelo COSO

Conocerán y aplicarán prácticamente las

herramientas de implantación/evaluación del
modelo COSO

Aplicarán una metodología estándar

para la implantación/evaluación del
modelo COSO
Un poco de historia
E+E
Evolución reciente del Control Interno

1970 1980 1990 2000

A mediados Inicios -
1992 2002
de los 70s 1980s
Publicación Ley
Investigación Incrementó
del Marco Sarbanes-Oxley
del el enfoque
Integrado de
“Escándalo en Control
Control
Watergate” Interno y
Interno-COSO
1977 cumplimiento
Ley de
prácticas de 1990s – 2000
corrupción Continúa el enfoque en
extranjeras Controles Internos, Riesgos
(Foreign 1985 Administrativos y
Corrupt Comisión Nacional de responsabilidades
Practices Informes Financieros (Blue Ribbon Commission,
Act- FCPA) Fraudulentos Competency Framework for
- (Treadway Internal Audit, Others)
Commission)
E+E
Cómo inició todo...

• A mediados de los 70s, la SEC y el fiscalista especial del Escándalo Watergate, se enfocaron
en el control interno.
– Corporaciones estuvieron realizando pagos ilícitos, incluyendo sobornos a funcionarios
del gobierno.
• La Ley de Prácticas de Corrupción Extranjeras (Foreign Corrupt Practices Act -FCPA) de 1977
fue resultado de las investigaciones del Escándalo Watergate y de la participación de la SEC.
– El tema principal de esta ley fue que el control interno debe disuadir la realización de
pagos ilegales.
• Al inicio de los 80s, se dio un creciente enfoque dirigido al ambiente de control y a los
procesos de control interno.
– Para Industrias específicas y para entidades en general.
• La Comisión Nacional de Informes Financeros Fraudulentos, conocida como Treadway
Commission, fue creada en 1985.
– Identificar los factores que causan informes financieros fraudulentos
– Hacer recomendaciones para reducir incidencias.
E+E
La Evolución Continúa...

• La Treadway Commission emitió un Reporte sobre Informes Financieros Fraudulentos en el cual:

– Se enfatizó en el ambiente de control, en los códigos de conducta, y en el involucramiento de
Comités de Auditoría Competentes.
– Se realizó un llamado a diferentes organizaciones para integrar varios comités y desarrollar un
marco de referencia común. El resultado fue el Committee of Sponsoring Organizations (COSO).
• El modelo COSO incorporó el aprendizaje de otros modelos existentes (ej. CoCo, Cadbury,
Turnbull, etc.)
• COSO desarrolló y publicó, un criterio ampliamente aceptado para establecer evaluaciones efectivas
sobre el control interno .
– Definió un criterio común de control y un modelo de ambiente de control – “Control Interno –
Marco Integrado”.
• Establecer el medio para monitorear, evaluar e informar el control interno.
• Resumen de los roles y responsabilidades de la gerencia.
E+E
Énfasis en los Controles Internos

• Lineamientos de Sentencias Federales

– Utilizado por el sistema de justicia penal, reduce efectivamente crímenes penales de cuello
blanco para entidades con cumplimiento apropiado en relación al control interno.
• Blue Ribbon Commission
– Enfocado a fortalecer la independencia de los Comités de Auditoría, definiendo la
confiabilidad y aprobando la efectividad.
– Informe emitido en 1999, destacando 10 recomendaciones y requerimientos para los
Comités de Auditoría.
– Reglas aplicadas por la SEC, NASD, NYSE, AICPA.
• Marco de competencia para Auditoría Interna (CFIA)
– Emitido por el Instituto de Auditores Internos, Derechos Reservados 1999.
– Define la aportación de “valor agregado” de los departamentos de auditoría interna del
futuro.
– Auditoría Interna deberá proveer aseguramiento acerca de la exposición de la compañía al
riesgo y sobre estrategias de control
E+E
Énfasis en los Controles Internos (2)

• Sarbanes-Oxley Ley del 2002

– Ley firmada en Julio 2002
– Requiere responsabilidad ejecutiva para la infraestructura
de control interno.
– Certificación trimestral de estados financieros y testimonio
anual de la efectividad de la infraestructura de controles
internos.
Conclusión: Las organizaciones están siendo
continuamente conducidas hacia la aplicación de
estándares más elevados de control interno y
administración de riesgos.
E+E
Ley Sarbanes Oxley

Requiere que CEO y CFO certifiquen trimestralmente y anualmente que ellos:

• Son responsables por los controles y procedimientos de revelación
• Han diseñado controles para asegurar que conocen la información material
• Han evaluado la eficacia de los controles de revelación
• Han presentado sus conclusiones en la presentación de la información (filing)
Sección 302

• Han revelado al Comité de Auditoría y auditores deficiencias significativas de control y actos de

fraude
• Han indicado en la presentación de la información de cambios significativos en el control interno
Introduce el concepto de controles y procedimientos de revelación (“Controles de
revelación”)
• Amplía el énfasis actual de integridad de controles relacionados con el reporte financiero
• Ejemplos de revelaciones no financieras incluyen la firma de un contrato significativo,
terminación de una relación estratégica, y procedimientos legales
• Expande la certificación a controles de revelación Y controles internos y procedimientos para
reporte financiero (“controles internos sobre reporte financiero”)
E+E
Ley Sarbanes Oxley (2)

Requiere que anualmente la Administración:

• Declare su responsibilidad por establecer y mantener una estructura de
control interno adecuada y procedimientos para reporte financiero
• Conducir una evaluación de la eficacia de los controles internos y
procedimientos para reporte financiero de la Compañía
Sección 404

Requiere al auditor independiente que:

• Atestigüe la evaluación de la Administración (requiere un marco de
referencia como COSO)
Propuestas SEC - Reglas finales
• La SEC ha diferido la fecha de entrada en vigor a años terminados en o
después de diciembre 15, 2004 para empresas estadounidenses y 2005
para empresas extranjeras.
Marco Teórico
E+E
Estructura del documento COSO

• Dos volúmenes
• Volumen 1 – Resumen ejecutivo, Marco de referencia,
Reporte a partes externas (documento y adendum)
• Volumen 2 – Herramientas de evaluación
• El estudio COSO se encuentra actualmente en
revisión.
• Para consulta pueden ver www.coso.org
E+E
Treadway Commission

• La Comisión Treadway recomienda que en los reportes anuales a

los accionistas incluyan un reporte de la administración firmado
por el Director General, Director de Finanzas y el de Contabilidad.
Este reporte debe:
– Reflejar específicamente el reconocimiento de las
responsabilidades en conexión a la preparación y
presentación de hechos e importes, de acuerdo con PCGA
y sin errores.
– Discutir como se ha cumplido con estas responsabilidades.
– Proporcionar la evaluación de la administración de la eficacia
del control interno de la compañía.
E+E
Treadway Commission (2)

El reporte debe incluir:

La categoría de controles que está

siendo considerada (controles
sobre la preparación de los estados
financieros de la entidad
publicados).
Una declaración sobre las
limitaciones inherentes de los
sistemas de control interno.
Una conclusión sobre la eficacia del
sistema de control interno. Si existe más
de una debilidad, que impida que los
criterios para un control eficaz se
cumplan, se debe incluir la descripción de
la debilidad material.

La fecha a la que (o período por el

Una declaración sobre la existencia cual) se llega a la conclusión.
de mecanismos de monitoreo y
respuesta hacia deficiencias de
control identificadas.

Los nombres de los que firman el reporte.

Un marco de referencia para el
reporte – identificación del
criterio contra el cual el sistema
de control está siendo medido.
E+E
¿Por qué el Control Interno es importante?

Operacional Financiero

• Promover eficiencia y eficacia • Promover la integridad de los

en las operaciones a través datos en la toma de decisiones
de los procesos del negocio.
estandarizados.
• Asistir en la prevención y
• Asegurar la salvaguarda de detección de fraudes a través
los activos a través de las de la creación de un rastro de
actividades de control. evidencia auditable.

De Cumplimiento

• Ayudar a mantener el
cumplimiento con las leyes y
regulaciones a través de un
monitoreo periódico.
E+E
COSO

• - Internal Control – Integrated Framework Report

pretende proporcionar a la administración de una
entidad:
– Criterios prácticos y ampliamente aceptados para la
elaboración de sistemas y procedimientos de control
interno.
– Un marco para evaluar su eficacia, durante una
auditoría y a través del tiempo.
– Principios que promuevan la transparencia de la
información financiera y la responsabilidad de la
administración.
E+E
COSO (2)

• Principios guía del marco:

– La administración es el principal usuario del marco
(“dueño del control interno”).
– Se proporcionan ejemplos de herramientas de
evaluación, pero son simples y genéricas, con la
aclaración que:
• Representan sólo un enfoque entre muchos.
• Los usuarios deben adecuar sustancialmente las
herramientas para sus propias organizaciones.
E+E
Definición Control Interno

• El control interno es un proceso, afectado por el comité

directivo de una compañía, la administración y otro personal,
diseñado para proporcionar seguridad razonable respecto a:

Eficiencia y
eficacia de las
operaciones.

Cumplimiento
de leyes y Confiabilidad de
regulaciones la información
aplicables. financiera.
E+E
Conceptos Clave
• De la definición se obtienen ciertos conceptos
fundamentales:
El control interno es un proceso.
Es un medio para un fin, no un fin
en sí mismo.
El control interno sólo proporciona
seguridad razonable, no absoluta,
para la administración de la entidad
y el comité directivo.
El control interno es afectado por
personas. No es sólo manuales
de políticas y formas, sino también
personas en todos los niveles de la
organización.
El control interno está guiado hacia
el logro de los objetivos en una o
más categorías separadas pero que
se traslapan.
E+E
Objetivos Control Interno

• Objetivos categorizados de acuerdo con la definición

de control interno:
Objetivos de
Objetivos de Objetivos de
información
operaciones cumplimiento
financiera

Relacionados Relacionados Relacionados

con el uso con la con leyes y
eficiente y preparación de reglamentos
eficaz de los reportes aplicables.
recursos. financieros
confiables.
E+E
Componentes de Control Interno

Monitoreo

Información y
Comunicación

Actividades de Control

Evaluación de Riesgos

Ambiente de Control
E+E
Relación entre Componentes y Objetivos

Tres Categorías de Objetivos

Monitoreo
Información y
Comunicación
Actividades de Control

|
Evaluación de Riesgos

Ambiente de Control
E+E
Marco Integrado de Control Interno
E+E
Ambiente de control

Los atributos individuales,

incluyendo la integridad,
valores y competencia, que
caracterizan al personal de
una organización.
E+E
Ambiente de control (2)

• Factores que afectan el ambiente de control:

Compromiso Comité
Integridad hacia la Directivo y Estilo operativo
y valores competencia Comité de y filosofía de la
éticos. (habilidades y Auditoría. administración.
conocimientos)

Asignación de Políticas y
Estructura autoridad y prácticas de
organizacional. responsabilidad. recursos
humanos.
E+E
Ambiente de Control (3)

• Factores que afectan la eficacia del ambiente

de control:
– Las implicaciones de las diferencias entre unidades
operativas foráneas o domésticas y/u otras
subsidiarias en relación con el estilo administrativo.
– El tamaño de la entidad, que puede afectar:
• El grado de formalidad.
• La velocidad a la que la comunicación de
políticas y prácticas ocurre.
E+E
Ambiente de Control - Fraude

• La vulnerabilidad de la entidad hacia actividades fraudulentas

• Si cualquier vulnerabilidad pudiera resultar en un error
material
• Organización, industria y características específicas del país
que pueden influenciar la posibilidad de ocurrencia de
fraudes
• La gerencia debería desarrollar una elevada conciencia de
fraude
• Debe desarrollarse un programa de administración de riesgos
de fraude.
E+E
Evaluación del Ambiente de Control

• Existencia e implementación de códigos de

conducta y otras políticas sobre prácticas de
Integridad
negocio apropiadas, conflictos de interés o y valores
éticos.
estándares de comportamiento ético y moral.
• Tratos con empleados, proveedores, clientes,
inversionistas, competidores, auditores.
• Presión para lograr metas de desempeño no
realistas y a qué grado la compensación está
basada en el logro de esas metas.
E+E
Evaluación del Ambiente de Control (2)

• Descripciones de puestos formales o

informales o cualquier otro medio para Compromiso
hacia la
definir las tareas de cada puesto. competencia
(habilidades y
conocimientos)
• Análisis del conocimiento y habilidades
necesarias para ejecutar tareas
adecuadamente.
E+E
Evaluación del Ambiente de Control (3)

• Independencia de la administración.
• Frecuencia y duración de las juntas entre el director Comité
Directivo y
de finanzas, contabilidad, auditores internos y Comité de
externos. Auditoría.

• Suficiencia y frecuencia de la información que se

proporciona al comité directivo, para permitir el
monitoreo de objetivos y estrategias.
• Suficiencia y frecuencia con que el comité directivo y
el comité de auditoría son informados sobre
investigaciones, información delicada y actos
indebidos.
E+E
Evaluación del Ambiente de Control (4)

• Naturaleza de los riesgos de negocio

aceptados (si la administración acepta riesgos
Estilo operativo
particularmente altos o si es extremadamente y filosofía de la
administración.
conservadora al aceptar riesgos).
• Frecuencia de la interacción entre la alta
administración y la gerencia operativa,
particularmente en locaciones
geográficamente remotas.
• Actitudes y acciones hacia la información
financiera, incluyendo disputas sobre la
aplicación de tratamientos contables.
E+E
Evaluación del Ambiente de Control (5)

• Lo apropiado de la estructura organizacional

de la entidad y su habilidad para proporcionar
el flujo necesario de información para Estructura
organizacional.
administrar sus actividades.
• Lo adecuado de la definición de las
responsabilidades de las gerencias clave y su
comprensión de estas actividades.
• Lo adecuado del conocimiento y experiencia
de gerentes clave en relación con sus
responsabilidades.
E+E
Evaluación del Ambiente de Control (6)

• Asignación de responsabilidades y delegación de

autoridad para buscar metas y objetivos de la
organización, funciones operativas y requerimientos Asignación de
autoridad y
regulatorios, incluyendo responsabilidad hacia los responsabilidad.
sistemas de información y autorización para cambios.
• Lo apropiado de estándares y procedimientos
relacionados con control, incluyendo descripciones de
puestos.
• Lo apropiado del número de personal, particularmente
en áreas contables y de procesamiento, con niveles de
habilidad de acuerdo al tamaño de la entidad y la
naturaleza y complejidad de las actividades y sistemas.
E+E
Evaluación del Ambiente de Control (7)

• A qué grado están en operación las políticas y

procedimientos para contratación, entrenamiento,
Políticas y
promoción y compensación de empleados. prácticas de
recursos
• Lo apropiado de las acciones correctivas que se toman humanos.
en caso de desvíos de políticas y procedimientos
aprobados.
• Lo apropiado de la revisión de antecedentes de
candidatos.
• Lo adecuado de los criterios de retención y promoción
de empleados.
E+E
Evaluación de riesgos

• Mecanismos establecidos para

identificar, analizar y administrar
riesgos relacionados con varias
actividades en las que la entidad
está involucrada y que pueden
impedir el logro de los objetivos.
E+E
Uniendo el Control Interno con el Riesgo Administrativo

Riesgo
Posibilidad de que un evento desfavorable pueda afectar negativamente la
habilidad de la organización para el logro de sus objetivos.

Administración de riesgos
Es el proceso para incrementar la confianza en la
habilidad de una organización para anticipar, priorizar y
superar obstáculos para alcanzar sus metas.

Control Interno
Es un proceso diseñado para proveer una seguridad razonable con respecto al logro
de los objetivos de negocios.
• La efectividad y eficiencia de las operaciones
• Confiabilidad de la información financiera
• Cumplimiento de las leyes y regulaciones aplicables
E+E
Evaluación de Riesgos (pasos)

Identificación de riesgos: es un
proceso generalmente integrado con
el proceso de planeación.

Evaluación de riesgos: proceso

que consiste en determinar la
importancia, evaluar la frecuencia
con que ocurren y considerar las
acciones administrativas.

Cambios administrativos: toda entidad

debe tener un proceso, formal o informal,
que identifique las condiciones que
tienen efecto significativo sobre la
habilidad para lograr los objetivos.
E+E
Evaluación de Riesgos

• Identificación de riesgos:
– A nivel de la entidad: que se pueden originar por
factores internos y externos.

Externos

Cambio de las –Nuevas

necesidades Nuevas
Desarrollo legislaciones
legislaciones y Catástrofes
y Competencia
tecnológico y
regulaciones naturales
expectativas regulaciones.
del cliente.
E+E
Evaluación de Riesgos (2)

• Identificación de riesgos: (cont.)

– A nivel de la entidad: que se pueden originar por
factores internos y externos.

Internos

La calidad del La naturaleza

Una Un cambio en
personal de las Un comité
interrupción las
contratado y actividades de directivo o de
en el responsabilida
los métodos la entidad y el auditoría
procesamient des de la
de acceso de los ineficaz.
o de sistemas administración
entrenamiento empleados a
de
y motivación. los activos.
información.
E+E
Evaluación de Riesgos (3)

• Identificación de riesgos: (cont.)

– A nivel de la actividad:
• Considerar riesgos en este nivel ayuda a enfocar la
evaluación de riesgos en las funciones importantes del
negocio: ventas, producción, marketing, desarrollo de
tecnología e investigación y desarrollo.
• Al evaluar exitosamente el riesgo a nivel de actividades
se contribuye a mantener niveles aceptables a nivel
entidad.
E+E
Análisis de la Evaluación de Riesgos

• Un evaluador debe enfocarse en el proceso de la

administración para establecer objetivos, análisis de
riesgos y administración del cambio, incluyendo sus
conexiones y relaciones con las actividades de
negocio.
• Puntos que se deben considerar:
– Objetivos a nivel de entidad:
• A qué grado los objetivos generales de la entidad
proporcionan guía sobre lo que la entidad desea lograr.
• Eficacia con la que se comunican los objetivos a los
empleados y directivos.
E+E
Análisis de la Evaluación de Riesgos (2)

– Objetivos a nivel de entidad: (cont.)

• Relación y consistencia de las estrategias con los objetivos.
• Consistencia de los planes de negocio y presupuestos con
los objetivos, planes estratégicos y circunstancias vigentes.
– Objetivos a nivel de actividad:
• Conexión entre los objetivos a nivel entidad y actividad con
los planes estratégicos.
• Consistencia de los objetivos a nivel de actividad.
• Importancia de todos los objetivos a nivel de actividad para
todos los procesos importantes.
E+E
Análisis de la Evaluación de Riesgos (3)

– Objetivos a nivel de actividad: (cont.)

• Grado de especificación de los objetivos a nivel de
actividad.
• Lo adecuado de los recursos relacionados con los
objetivos.
• Identificación de objetivos que son importantes para
el logro de los objetivos de la entidad.
• Involucramiento de todos los niveles de
administración en el establecimiento de los objetivos y
a qué grado están comprometidos con dichos
objetivos.
E+E
Análisis de la Evaluación de Riesgos (4)

• Riesgos:
– Lo adecuado de los mecanismos para identificar
riesgos que se originan de factores externos e
internos.
– Identificación de riesgos importantes para cada
objetivo a nivel de actividad.
– Detalle y relevancia del proceso de análisis de
riesgos, incluyendo la determinación de la
importancia del riesgo, la probabilidad de que ocurra
y la acción necesaria.
E+E
Análisis de la Evaluación de Riesgos (5)

• Administrar el cambio:
– Existencia de mecanismos para anticipar,
identificar y reaccionar a eventos rutinarios o
actividades que afecten el logro de objetivos.
– Existencia de mecanismos para identificar y
reaccionar a cambios que pueden tener efectos
dramáticos y profundos en la entidad y pueden
demandar la atención de la alta administración.
E+E
Actividades de control

• Son políticas, procedimientos y

prácticas establecidas para
asegurar que los objetivos de
negocio se logren y que las
estrategias para mitigar
riesgos sean ejecutadas.
E+E
Actividades de Control

• Las actividades de control deben estar incorporadas

en las operaciones del negocio.
• Las actividades de control también se dividen en:
operaciones, información financiera y cumplimiento.
• Las actividades de control están ligadas a la
evaluación de riesgos, ya que éstas sirven como
medio para que el riesgo sea administrado
apropiadamente.
• Enfocadas a la prevención, detección y corrección.
E+E
Evaluación de Actividades de Control

• Se deben evaluar en el contexto de las directrices de la

administración para considerar riesgos asociados con el
establecimiento de objetivos para cada actividad
significativa.
• Se debe establecer si las actividades de control están
relacionadas con el proceso de evaluación de riesgos y si
son apropiadas para asegurar que las directrices de la
administración se lleven a cabo, y que además se están
aplicando apropiadamente.
• Esto se debe realizar para cada actividad significativa de
negocios, incluyendo controles generales sobre sistemas
computarizados de información.
E+E
Información y comunicación

• Sistemas que permiten al

personal de la entidad
capturar e intercambiar
información necesaria para
conducir, administrar y
controlar sus operaciones.
E+E
Información y Comunicación (2)

• Consideraciones respecto a la información:

– Información financiera y no financiera, desarrollada
por fuentes internas y externas, es relevante para
lograr todas las categorías de objetivos.
– Los sistemas de información, manuales y
automatizados, son utilizados para procesar
información externa o interna.
E+E
Información y Comunicación (3)

• Consideraciones respecto a la información:

– Los sistemas de información pueden ser formales e
informales.
– Los sistemas de información apoyan iniciativas
estratégicas y están integrados con operaciones.
– La calidad de información afecta la habilidad de la
administración para tomar decisiones apropiadas.
E+E
Información y Comunicación (4)

• Consideraciones respecto a la información:

– Calidad de la información:
• El contenido es apropiado - ¿Está la información que
se necesita?
• La información es oportuna - ¿Está cuando se
necesita?
• Es actual - ¿Es la última / más reciente disponible?
• Es exacta - ¿Los datos son correctos?
• Es accesible - ¿Puede ser obtenida fácilmente por
los usuarios?
E+E
Información y Comunicación (5)

• Consideraciones respecto a la comunicación:

– La comunicación es una parte inherente de los
sistemas de información.
– El personal debe saber qué hacer en casos
inesperados.
– El personal debe saber cómo sus actividades se
relacionan con el trabajo de otros.
– Debe existir algún medio que permita la comunicación
hacia arriba.
– Comunicación apropiada debe ocurrir fuera y dentro de
la entidad (manuales de políticas, memorandos,
mensajes videograbados,etc.)
E+E
Evaluación de la Información y la Comunicación

• Información:
– Obtener información interna y externa y
proporcionar a la administración los informes
necesarios sobre el desempeño de la entidad para
establecer objetivos.
– Proporcionar información a las personas correctas
con el suficiente detalle y oportunamente para
permitir que realicen sus responsabilidades eficiente
y eficazmente.
E+E
Evaluación de la Información y la Comunicación (2)

• Información: (cont.)
– Desarrollar una revisión de sistemas de información
con base en planes estratégicos para sistemas de
información.
– Apoyo de la administración al desarrollo de
sistemas de información necesarios para demostrar
el compromiso de los recursos apropiados
(humanos y financieros).
E+E
Evaluación de la Información y la Comunicación (3)

• Comunicación:
– Eficacia con la que se comunican las tareas de los
empleados y las responsabilidades de control.
– Establecimiento de canales de comunicación para
que el personal reporte sospechas de situaciones
inapropiadas / irregulares.
– Receptividad de la administración hacia las
sugerencias de los empleados.
– Lo adecuado de la comunicación en toda la
organización.
E+E
Evaluación de la Información y la Comunicación (4)

• Comunicación: (cont.)
– Integridad y oportunidad de la información y su suficiencia
para permitir al personal llevar a cabo sus
responsabilidades eficazmente.
– Apertura y eficacia de los canales con clientes,
proveedores y otros terceros.
– A qué grado se han comunicado a terceros los valores
éticos de la entidad.
– Lo oportuno y apropiado de las acciones de seguimiento
de la administración hacia comunicados de clientes,
proveedores, reguladores y otros terceros.
E+E
Monitoreo

• Es el proceso de evaluar la
calidad del desempeño del
control interno en el
tiempo.
E+E
Monitoreo (2)

• El proceso consiste de monitoreo continuo,

evaluaciones independientes, o una combinación
de ambos.
• El monitoreo debe incluir un proceso completo
para reajustar acciones en condiciones variables.
• El alcance y frecuencia de las evaluaciones
independientes depende de la evaluación del nivel
de riesgo involucrado.
E+E
Monitoreo (3)

• COSO también establece quién debe ejecutar las

evaluaciones independientes periódicas, describe la
metodología y sugiere la forma de documentar la
evaluación.
• Los planes de acción son una forma útil de ayudar a
los ejecutivos a dirigir, organizar y guiar las
evaluaciones independientes.
• Se proporcionan sugerencias en relación a las
fuentes de información, informe de deficiencias y a
quién reportar.
E+E
Evaluación del Monitoreo

• Monitoreo continuo:
– Grado en que el personal, al realizar sus actividades
regulares, obtiene evidencia de que el sistema de
control interno continúa funcionando.
– Grado en que las comunicaciones externas corroboran
información generada internamente o indican
problemas.
– Comparación periódica de los importes registrados por
el sistema de contabilidad con los activos físicos.
– Capacidad de respuesta a las recomendaciones de los
auditores internos y externos como medio para
fortalecer el control interno.
E+E
Evaluación del Monitoreo (2)

• Monitoreo continuo: (cont.)

– Grado a que los entrenamientos, sesiones de
planeación y otras juntas proporcionan
retroalimentación a la administración sobre la
eficacia de los controles.
– Si el personal es cuestionado periódicamente sobre
su comprensión del código de conducta.
– Eficacia de las actividades de auditoría interna.
E+E
Evaluación del Monitoreo (3)

• Evaluaciones independientes:
– Alcance y frecuencia de evaluaciones independientes
de los sistemas de control interno.
– Lo apropiado del proceso de evaluación.
– Si la metodología para evaluar el sistema es lógica y
apropiada.
• Reportar deficiencias:
– Existencia de mecanismos para capturar y reportar
deficiencias de control interno.
– Lo apropiado de los protocolos de reporte.
– Lo apropiado de acciones de seguimiento.
E+E
Control Interno Eficaz

• Mientras que el control interno es un proceso, su eficacia es un

estado o condición del proceso en uno o más puntos en el
tiempo.
• Se puede juzgar que el control interno es eficaz cuando el comité
directivo y la administración tienen seguridad razonable de lo
siguiente:

Comprenden a Los estados

Se cumple con
qué grado se financieros que
leyes y
han logrado los se publican son
regulaciones
objetivos de preparados
aplicables.
operación de la confiablemente.
entidad.
E+E
Control Interno

•¿Qué puede hacer el Control Interno?

– El control interno puede ayudar a la entidad a lograr sus
metas de desempeño y utilidades y prevenir la pérdida
de recursos.
– Ayuda a asegurar que la empresa cumpla con leyes y
regulaciones, evitando que su reputación se dañe y
otras consecuencias.
– Ayuda a asegurar que la empresa reporte información
financiera confiable.
– Ayuda a la entidad a ir a donde quiere ir evitando fallas
y sorpresas en el camino.
E+E
Control Interno (2)

•¿Qué NO puede hacer el Control Interno?

– No puede cambiar una administración inherentemente
pobre a una buena.
– No puede cambiar los programas y políticas
guvernamentales, las acciones de los competidores o las
condiciones económicas, etc.
– No asegura el éxito, ni la supervivencia.
– El control interno no proporciona seguridad absoluta de
que los objetivos de negocio se lograrán. La probabilidad
de logro se ve afectada por las limitaciones inherentes a
todos los sistemas de control interno.
E+E
Limitaciones de Control Interno

• Errores de juicio en la toma de decisiones.

• Errores por mala interpretación, negligencia,
distracción o fatiga.
• Que la administración no observe las políticas o
procedimientos prescritos.
• Colusión.
• Costo-beneficio.
E+E
Roles y Responsabilidades

Gerencia Ejecutiva:

Establece los estándares para el Ambiente de Control.

Tiene a su cargo la máxima responsabilidad en

materia de control interno y administración de riesgos
para toda la empresa.

Apoya las actividades de control y administración de

riesgos desarrolladas en toda la organización.
E+E
Roles y Responsabilidades (2)

Gerencia Financiera:

Involucrada en las implicaciones financieras de las

responsabilidades de las gerencias operativas.

Proporciona lineamientos para el diseño, establecimiento,

ejecución y monitoreo de controles internos adecuados.
E+E
Roles y Responsabilidades (3)

Auditoría Interna:
Proporciona apoyo a las actividades de evaluación de riesgos
y controles.
Monitorea la exposición de la organización y realiza recomendaciones
sobre aspectos de riesgo y actividades de control.

Diseña un plan de auditoría interna con base en la evaluación

estratégica de riesgos.

Probar la eficacia de los controles.

Pone a prueba y valida afirmaciones de las gerencias

relacionadas con el ambiente de control.

Informa hallazgos y proporciona recomendaciones de forma

independiente.
E+E
Roles y Responsabilidades (4)

Comité de Auditoría:

Trae a la atención del Consejo de Administración

puntos de interés.

Evalúa la exposición general a riesgos.

Revisa la situación general del Ambiente de Control.

Proporciona supervisión y consejo.

E+E
Roles y Responsabilidades (5)

Auditoría Externa:

Evalúa la eficacia del control interno para determinar el alcance de

los procedimientos de auditoría externa.

Emite informes de observaciones sobre el control interno a la

gerencia.

Revisa el ambiente de control y utiliza los resultados de la

evaluación de riesgos como base para desarrollar el plan de
auditoría externa.
E+E
Relación entre las Normas de Auditoría
Interna y los Objetivos de Control
Norma 2220 IAI “Alcance del
Trabajo”
Confiabilidad e integridad de la
información.
Cumplimiento de
políticas, planes, procedimientos,
leyes y reglamentos.
Salvaguarda de activos
Utilización económica y eficiente de
los recursos
Cumplimiento de los objetivos y
propósitos establecidos para las
operaciones y programas.
Conexión
Información financiera
Información operativa
Políticas internas, planes,
procedimientos
Leyes, regulaciones
Controles contables
Controles operativos
Categorías de Objetivos de COSO
Confiabilidad de la información
financiera.
Eficiencia y eficacia de las
operaciones (Información y
Comunicación)
Eficiencia y eficacia de las
operaciones.
Cumplimiento de las leyes y
regulaciones vigentes.
Confiabilidad de la información
financiera.
Eficiencia y eficacia de las
operaciones (Actividades de
Control).
Eficiencia y eficacia de las
operaciones.
Eficiencia y eficacia de las
operaciones.
E+E
Evaluación con base en COSO

• Una evaluación de control interno con base en

COSO debe:

Identificar y evaluar la
eficacia de controles
Cubrir adecuadamente
“suaves”, así como, de
los 15 puntos Objetivos
controles “duros”.
/ Componentes.
Enfatizando en los
aspectos “suaves”,
informales del control
interno.
E+E
Controles

• Controles “duros” (hard controls) :

• Son los controles formales, procedimientos de
control documentados.
• Controles “suaves” (soft controls):
• Son controles informales, es lo que realmente
realiza el personal.
E+E
Matriz de Evaluación de Control Interno

Eficiencia y Eficacia Confiabilidad de la Cumplimiento con

de las Operaciones Información leyes y regulaciones
Financiera aplicables

Monitoreo

Información y
comunicación

Actividades de
control

Evaluación de
riesgos

Ambiente de
control
Metodología de Implantación
E+E
Enfoque

COSO(1) ofrece un marco de referencia integral que define el control interno a través de
cinco componentes interrelacionados:
Monitoreo (contempla tanto los
Información y Comunicación objetivos de generación
Objetivos de control de información financiera,
Actividades de Control
como de cualquier otro
Evaluación de Riesgos
aspecto material que
Ambiente de Control deba revelarse)

Monitoreo Base de Datos de

Sistema de Riesgos y Control
Seguimiento
Información y (establece la
(provee la base Comunicación estructura para
de información el manejo de
para dar sustento Actividades de riesgos y controles
a 302 y cumplir Control que responda a
con 404 de SOA) la dinámica del
Evaluación de Ambiente de negocio)
Riesgos Control

(1) Consultar Anexo 1 para más detalle

 E+E
Metodología de Implantación
La implementación de COSO plantea utilizar un enfoque multidisciplinario que considere los distintos
elementos a desarrollar en una manera equilibrada: gente, procesos, tecnología y gestión de proyecto.
Hacer ésto maximizará las ventajas ofrecidas por esta iniciativa.
Identificar
Fasesy
Document Monitorear,
Planear y dimensionar Evaluar y ar Probar y Certificar
Proyecto Definir Controles Remediar y Afirmar
Frentes
Admon del Planeación del
Gestión del Proyecto y Aseguramiento de Calidad
Proyecto Programa

Evaluación del
Organizar y entrenar
Gente Ambiente de Información y Comunicación
equipo de trabajo

Módulos
Control

Evaluación de Identificar Actividades Pruebas sobre Programa Monitoreo

Evaluación
Riesgos - Entidad de Control actividades de Control
inicial del Certificación (302)
Procesos Sistema de Evaluación de Documentar y resolución de
Control Interno Riesgos - Proceso Actividades Control inconformidades Afirmación (404)

Evaluación y Diseño e
Tecnología Selección de Implantación de Soporte a la Solución
Tecnología la Solución

Incluye la utilización de componentes COSO

en sus cinco niveles de definición
E+E
Alcance y Metodología

• Esta metodología descansa fuertemente en la participación del personal de la

compañía por medio de sesiones y talleres de trabajo grupales en los cuales,
mediante procedimientos de facilitación, los principales involucrados en los
diferentes procesos o funciones del negocio, de una forma rápida y eficiente,
comparten información sobre sus funciones, actividades, interconexiones, riesgos
y controles, de tal forma que éstos puedan ser documentados e informados.
• Nuestro conocimiento y experiencia han sido aplicados para desarrollar la
metodología y herramientas para apoyar a la compañía con los esfuerzos que
viene realizando para cumplir con los requerimientos de las Secciones 302 y 404
de la Ley Sarbanes Oxley y lograr construir un adecuada administración del
programa de control interno.
• Esta metodología de cinco pasos está basada en las mejores prácticas de la
industria y nuestra experiencia en proyectos similares y es lo suficientemente
flexible para adecuarse a las necesidades específicas de la compañía.
E+E
Alcance y Metodología (2)

• Nuestra metodología contiene cuatro componentes paralelos o

“Frentes”: Administración del proyecto, Gente, Procesos y Tecnología.
Cada frente cubre un aspecto específico para la implementación de
COSO, como se menciona a continuación:
• Administración del proyecto
– Desarrollo de plan de trabajo del proyecto
– Comunicación adecuada entre el líder del proyecto y todos los miembros
del equipo de implementación
– Coordinación de recursos
– Revisión de aseguramiento de calidad
• Gente
– Compromiso organizacional
– Evaluación de la cultura de la Empresa
– Comunicación
E+E
Alcance y Metodología (3)

• Procesos
– Identificación y documentación de controles existentes, riesgos y
objetivos de control
– Desarrollar y documentar controles faltantes
– Brindar recomendaciones para aquellas deficiencias de control
identificadas
– Desarrollar un programa de precertificación para la dictaminación de los
controles internos
– Desarrollo del proceso de revelación
• Tecnología
– Evaluación de la infraestructura existente de TI
– Selección de la herramienta apropiada para administar el control interno
– Implementar, probar y dar soporte a la herramienta seleccionada
 E+E
Alcance y Metodología
• Este enfoque “por módulos” permite tomar cualquier componente y desarrollarlo, obteniendo los resultados
previstos para el mismo. Esto le permite a la empresa adecuar esta metodología a sus necesidades reales de
implantación o alineación hacia COSO.
Identificar
Fasesy
Document Monitorear,
Planear y dimensionar Evaluar y ar Probar y Certificar
Proyecto Definir Controles Remediar y Afirmar
Frentes
Admon del Planeación del
Gestión del Proyecto y Aseguramiento de Calidad
Proyecto Programa

Evaluación del
Organizar y entrenar
Gente Ambiente de Información y Comunicación
equipo de trabajo

Módulos
Control

Evaluación de Identificar Actividades Pruebas sobre Programa Monitoreo

Evaluación
Riesgos - Entidad de Control actividades de Control
inicial del Certificación (302)
Procesos Sistema de Evaluación de Documentar y resolución de
Control Interno Riesgos - Proceso Actividades Control inconformidades Afirmación (404)

Evaluación y Diseño e
Tecnología Selección de Implantación de Soporte a la Solución
Tecnología la Solución

Incluye la utilización de componentes COSO

en sus cinco niveles de definición
E+E
Alcance y Metodología (2)

Módulo Actividades

• Establecer la organización e infraestructura del programa.

Planeación del • Preparar el reporte de alcance y planeación.
Programa
• Desarrollar el plan y presupuesto del programa.
• Conducir juntas de arranque con los líderes de cada área.
• Implementar calendario de juntas de avance.
Objetivo:
Estructurar,
documentar y definir Entregables
la planeación y
gestión del proyecto
• Organización e Infraestructura del Programa.
• Reporte de Alcance y Planeación.
• Plan y Presupuesto Integrado del Programa.
• Lista de requerimientos de información.
• Calendario de juntas de avance.
E+E
Alcance y Metodología (3)

Módulo Actividades

• Designar roles y responsabilidades a los miembros del equipo.

Organizar y
entrenar equipo • Definir el alcance y el enfoque del proyecto.
de trabajo • Identificar y organizar al equipo del proyecto.
• Capacitar al equipo del proyecto.
Objetivo:
Identificar las
Entregables
capacidades y
necesidades del
equipo de • Alcance y enfoques del proyecto.
implementación
• Organización y documentación de roles y
responsabilidades del equipo del proyecto
• Capacitación del equipo del proyecto.
E+E
Alcance y Metodología (4)

Módulo Actividades

Evaluación • Entender el negocio de la compañía y sus operaciones.

inicial del • Aplicar la encuesta inicial de grado de preparación.
Sistema de
Control Interno • Evaluar el Sistema actual de control interno vs COSO alto nivel.
• Desarrollar el modelo de confiabilidad para el sistema de control
Objetivo: interno.
Establecer el punto • Definir procesos y subprocesos de negocio, locaciones, materialidad
de partida, y su impacto en los procesos de reporte financiero.
aprovechando el
trabajo que la Entregables
compañía ha
desarrollado • Evaluación del sistema de control interno vs
COSO a Alto Nivel.
• Definición del negocio, procesos y
subprocesos.
• Evaluación de la confiabilidad del sistema de
control interno.
E+E
Alcance y Metodología (5)

Módulo Actividades

Evaluación y • Entender las plataformas actuales de los sistemas en

Selección de la compañía.
Tecnología • Identificar los requerimientos de la solución
tecnológica.
• Evaluar nuevas alternativas.
• Seleccionar la mejor solución.
Objetivo:
Determinar cuál es Entregables
la mejor herramienta
computacional para • Análisis de las Plataformas actuales de los
apoyar el Sistema sistemas
de Control Interno • Comparativo de alternativas de solución.
• Plan de implementación a alto nivel.
E+E
Alcance y Metodología (6)

Módulo Actividades

Gestión del • Establecer la oficina de administración del programa.

Proyecto y • Establecer el proceso de resolución de problemáticas
Aseguramiento
de Calidad • Administrar cambios de alcance
• Monitorear y comunicar el progreso del programa.
Objetivo: • Controlar el calendario y presupuesto del proyecto.
Definir las tácticas
para la • Realizar las revisiones de aseguramiento de calidad.
administración y el
Entregables
aseguramiento de la
calidad • Procedimientos de la oficina del programa
• Proceso de resolución de problemáticas
• Procedimientos para el cambio de alcance
• Reportes de progreso del programa
• Reportes de presupuesto planeado y efectivo
• Reporte del aseguramiento de la calidad
E+E
Alcance y Metodología (7)

Módulo Actividades

• Evaluar el proceso actual con el que la compañía evalúa a su vez, los

Evaluación del aspectos ambientales de control, de acuerdo a la definición COSO.
Ambiente de
Control • Evaluar los aspectos definidos dentro de “ambiente de control” en la
compañía.
• Identificar oportunidades de mejora para el ambiente de control.
Objetivo:
Definir el “gap” que • Desarrollar el proceso de evaluación continua del ambiente de control.
la compañía
presenta en los
Entregables
factores ambientales
de control vs COSO • Situación actual del Ambiente de Control
• Oportunidades de mejora en el Ambiente de
Control
• Proceso de evaluación del Ambiente de Control
E+E
Alcance y Metodología (8)

Módulo Actividades

Evaluación de Evaluación de Riesgos - A nivel Entidad

Riesgos - • Evaluar el proceso actual de identificación de riesgos
• Identificar riesgos a nivel entidad relacionados con reporte financiero.
Entidad
(incluye procesos, IT, revelaciones, fraudes)
• Desarrollar el proceso continuo de identificación de riesgos.
Evaluación de Evaluación de Riesgos - A nivel Proceso
Riesgos - • Mapear los principales procesos/sistemas/cuentas vs D&T’s RACK (Risk
Proceso and Control Knowledgebase)
• Definir objetivos a nivel proceso.
• Identificar riesgos a nivel procesos que inhiban la obtención de dichos
Objetivo: objetivos.
Establecer el “gap”
que la compañía
Entregables
presenta en este Evaluación de Riesgos - A nivel Entidad
nivel de COSO, • Proceso actual de identificación de riesgos
definiendo acciones • Modelo de riesgos a nivel Entidad
para remediarlo • Proceso mejorado de identificación de riesgos
Evaluación de Riesgos - A nivel Proceso
• Matriz de Procesos/Sistemas/Cuentas
• Objetivos de control
• Modelo de riesgos a nivel Proceso
E+E
Alcance y Metodología (9)

Módulo Actividades

Diseño e • Diseñar la solución técnica y las especificaciones de

Implantación de la infraestructura.
Solución • Establecer el ambiente de desarrollo.
• Crear y/o configurar la solución tecnológica.
• Probar la solución.
• Realizar un piloto y validar la solución tecnológica.
Objetivo: • Implementar la solución.
Diseñar
herramienta, Entregables
programa de
pruebas y plan de • Especificaciones de la solución tecnológica
implementación • Ambiente de desarrollo establecido
• Solución configurada
• Plan de pruebas para las soluciones tecnológicas y
resultados de las pruebas
• Solución piloteada
• Solución implantada
E+E
Alcance y Metodología (10)

Módulo Actividades

• Llevar a cabo la evaluación de las necesidades de información y

Información y comunicación. (COSO)
Comunicación • Crear la estrategia de comunicación.
• Desarrollar e implementar las comunicaciones iniciales y subsiguientes
con los stakeholders.
Objetivo:
Definir los Entregables
parámetros y
medios de
información y • Evaluación de información y comunicación
comunicación (COSO)
• Estrategia de comunicación
• Comunicación con stakeholders
E+E
Alcance y Metodología (11)

Módulo Actividades

Identificar • Identificar las principales actividades de control que

Actividades la compañía actualmente tiene definidas.
• Comparar cada proceso contra el modelo COSO.
de Control
• Comparar cada proceso contra las Mejores Prácticas
en Control de D&T (RACK: Risk and Control
Knowledgebase)
Objetivo: • Determinar y documentar las principales
Identificar las discrepancias.
actividades de
control actuales y Entregables
determinar el “gap”
vs COSO • Identificación de las principales actividades de
control para cada proceso
• Definición del esfuerzo de desarrollo para adoptar
COSO / RACK
• Definición de la estructura de procesos, riesgos y
controles a ser utilizada para herramientas de auto-
evaluación
E+E
Alcance y Metodología (12)

Módulo Actividades

Documentar • Desarrollar y documentar las actividades de control que asi lo

Actividades requieren según el paso anterior.
• Asociar las actividades y procesos involucrados en el control interno
de Control
con objetivos y riesgos de control.
• Identificar y documentar deficiencias de diseño en las actividades de
control.
Objetivo:
Generar Entregables
documentación
estructurada sobre • Documentación de las actividades de control
las actividades de • Diagramas de las actividades de control
control • Deficiencias de diseño en las actividades de control
E+E
Alcance y Metodología (13)

Módulo Actividades

• Definir los roles y responsabilidades de soporte.

Soporte a la • Implementar procesos de soporte. (Help Desk)
Solución • Realizar mantenimiento continuo.

Entregables

Objetivo: • Roles y responsabilidades de soporte.

Desarrollar las • Soporte en producción y procedimientos de Help
políticas y Desk
procesos para • Procesos de mantenimiento
dar soporte a la
solución
E+E
Alcance y Metodología (14)

Módulo Actividades

Pruebas sobre • Realizar las pruebas iniciales de las actividades de

control.
Actividades de • Identificar y documentar las deficiencias de las
Control y pruebas de control.
Resolución • Asignar prioridades al diseño de controles y a las
pruebas de deficiencias en base al riesgo y a su
costo-beneficio.
Objetivo: • Desarrollar un plan para la resolución de deficiencias
Evaluar y maximizar de controles.
la eficacia de las
actividades de Entregables
control • Plan y resultados de pruebas de controles
• Deficiencias de las pruebas de controles
• Prioridades del diseño de controles y pruebas
de deficiencia
• Plan de resolución de deficiencias de controles
E+E
Alcance y Metodología (15)

Módulo Actividades

• Identificar a los protagonistas del control interno y la

Programa estructura de la administración (auditores internos,
Monitoreo auditores externos, comités)
• Evaluar y desarrollar el proceso de monitoreo.
• Desarrollar el proceso de autoevaluación.
Objetivo: • Desarrollar el proceso de subcertificación.
Desarrollar
políticas y Entregables
procesos para
• Estructura de la administración para el control
vigilar el progreso
interno
de las actividades
• Proceso de Monitoreo
de control interno
• Proceso de Autoevaluación
• Proceso de Subcertificación
E+E
Alcance y Metodología (16)

Módulo Actividades

• Preparar conclusiones acerca del control interno y la

Certificación revelación
(302) • Revelar resultados a auditores y al comité de auditoría
• Firmar y entregar certificación por parte del CEO y el CFO

Entregables
Objetivo:
Recabar y presentar • Conclusiones de la Certificación
resultados de la • Reporte de Revelaciones (Disclosure)
revisión del control • Certificaciones firmadas y entregadas por el CEO y
interno el CFO
E+E
Alcance y Metodología (17)

Módulo Actividades

• Evaluar la efectividad de los controles sobre la

Afirmación generación de reportes financieros
(404) • Preparar, firmar y entregar reporte de afirmación de
controles internos

Entregables
Objetivo:
Revelar los • Resumen de la evaluación del control interno
resultados de la • Reporte de la afirmación del control interno
evaluación de los
los controles
Herramientas Tecnológicas
E+E
Herramientas Tecnológicas
Repositorio de mejores prácticas en materia de riesgos y controles
E+E
Herramientas Tecnológicas (2)

Soluciones para la definición y el monitoreo de la efectividad del

sistema de Control Interno.
E+E
Herramientas Tecnológicas (3)
Soluciones para los procesos de autoevaluación y certificación
Ejercicio: La importancia
de COSO

Debate
E+E
Un pequeño debate...

• ¿Cómo podemos implantar COSO en nuestra

empresa?
• ¿Qué beneficios tiene el implantar un sistema de control
interno basado en COSO?
• ¿Qué papel juega cada área en la implantación?
• ¿Qué rol juega Auditoría Interna en el proceso de
implantación?
Enfoques Alternativos para
la Implantación de COSO
E+E
Enfoques Alternativos para la
Implementación de COSO

Revisar los Realizar revisiones

programas de independientes de nivel de
auditoría actividad en niveles más altos
existentes que los de las actividades
auditables
Realizar una sola
revisión de una
entidad completa
E+E
Revisar los Programas de Auditoría Existentes

Revisar los programas

de auditoría existentes

Involucra el analizar a Demanda que el universo

detalle cada uno de los total de auditoría sea
programas de auditoría analizado y tomar la
existentes, buscando la decisión de si los 15
forma de enfocarse en Objetivos / Componentes
controles suaves y cubrir deben recibir cobertura
puntos adicionales de principal en cada auditoría.
Objetivos / Componentes.
E+E
Revisar los Programas de Auditoría Existentes (2)
Revisar los programas
de auditoría existentes
La ventaja de este enfoque
es que integra
completamente el marco
de COSO al proceso de
auditoría (no se
necesitarán revisiones con
base en COSO en adición
a las auditorías normales).
La desventaja principal es
el compromiso de tiempo
requerido para su
implementación. No se
debe subestimar el tiempo
si se elige esta opción,
porque se corre el riesgo
de dejar la implementación
a la mitad.
E+E
Realizar revisiones independientes de
nivel de actividad
Realizar revisiones Dependiendo del tamaño y estructura de la
independientes de nivel
organización, se puede realizar al nivel de:
de actividad en niveles
más altos que los de las
actividades auditables

Cada gerencia de la Unidades de negocio o

organización. subsidiarias.

El propósito de estas Estos aspectos son usualmente

revisiones es cubrir
los aspectos de
control interno que
las auditorías
normales no cubren
adecuadamente.
el Ambiente de Control, el
proceso general de Evaluación
de Riesgos, ciertos aspectos de
Información y Comunicación,
así como, controles suaves.
E+E
Realizar revisiones independientes de
nivel de actividad (2)
Realizar revisiones
independientes de nivel
de actividad en niveles
más altos que los de las
actividades auditables

Este enfoque es más sencillo La desventaja es que no es

para implementar y le puede dar
a las cabezas de las unidades de
negocio – que son el punto focal
de las entrevistas – sugerencias
adicionales para sus áreas
tan integrado como la primer
opción y las revisiones se
tienen que rehacer
anualmente
E+E
Realizar una Sola Revisión de una
Entidad Completa
Realizar una sola revisión
de una entidad completa

• Consiste en trabajar principalmente con los altos ejecutivos para

revisar el Ambiente de Control, el proceso general de Evaluación de
Riesgos y aspectos de Información y Comunicación y Monitoreo.
• Es el enfoque más fácil de implementar.
• Es más eficaz en organizaciones pequeñas y medianas con un solo
Ambiente de Control.
• Desventajas: no es tan integrado como las opciones anteriores, la
revisión se tiene que rehacer cada año y puede no ser suficiente para
cubrir las deficiencias de COSO en la entidad.
E+E
Realizar una Sola Revisión de una
Entidad Completa (2)

• Existen tres herramientas para realizar esta revisión:

1.Herramientas de 2.Guía de Entrevista 3.Autoevaluación

Evaluación de a la Administración y de Control Interno.
Componentes. Autoevaluación.
E+E
Realizar una Sola Revisión de una
Entidad Completa (3)

• Para cada componente, la herramienta proporciona una lista

1.Herramientas de
Evaluación de de factores que forman dicho componente y algunos puntos
Componentes.
clave para evaluar cada factor.
• El evaluador averigua o investiga cada punto clave, hace
comentarios sobre los resultados, luego llega a conclusiones
y acciones necesarias para cada factor y después para cada
componente.
• El Financial Executives Institute ha desarrollado software
para implementar COSO que básicamente automatiza esta
herramienta.
• Guía de Entrevista a la Administración y Autoevaluación.
• Autoevaluación de Control Interno.
E+E
Realizar una Sola Revisión de una
Entidad Completa (4)

• La clave es la naturaleza de las preguntas que se

2.Guía de Entrevista
a la Administración y hacen. Para considerar controles “suaves” de forma
Autoevaluación.
constructiva y retadora, las entrevistas con la
administración deben incluir preguntas:
– Abiertas.
– Subjetivas.
– Reflexivas y difíciles.
– De calidad.
– De “Caja de Pandora” (preguntas que generan
más preguntas o requerimientos de auditoría).
E+E
Realizar una Sola Revisión de una
Entidad Completa (5)

• La otra parte de esta herramienta es la

2.Guía de Entrevista
a la Administración y autoevaluación o calificación.
Autoevaluación.

Autoevaluación

Puntos Importancia Confianza

1. Códigos de Conducta / Ética 12345 12345

2. Actitud de la Dirección 12345 12345

E+E
Realizar una Sola Revisión de una
Entidad Completa (6)

• Posibles resultados:
2.Guía de Entrevista
a la Administración y – Incrementar el interés y la conciencia de la
Autoevaluación.
administración.
– Incrementar el papel y la credibilidad de la
auditoría.
– Requerimientos adicionales de servicios.
E+E
Realizar una Sola Revisión de una
Entidad Completa (7)

• Es una herramienta extremadamente

3.Autoevaluación
de Control Interno. simple, para cada uno de los 15 COSO
Objetivo / Componente, pregunta al
evaluador que tan eficientes y eficaces son
los procesos de la organización y cómo
esta afirmación puede ser verificada.
Posteriormente el evaluador realiza y
documenta estas verificaciones.
E+E
Realizar una Sola Revisión de una
Entidad Completa (8)

• Beneficios potenciales:
3.Autoevaluación
de Control Interno. – La evaluación es realizada por el “dueño”
del control interno – Director General – no
por auditoría interna
– El Director General obtiene una importante
comprensión de cómo el proceso de
control trabaja en la organización
– Debido a que el Director General involucra
a un equipo de ejecutivos, ellos aprenderán
del proceso de control y se convertirán en
“dueños” más eficaces de su parte del
proceso.
E+E
Realizar una Sola Revisión de una
Entidad Completa (9)

• Debilidades:
3.Autoevaluación
de Control Interno. • La verdadera debilidad surge cuando el
Director General y el equipo elegido
realizan una evaluación como la hubiera
hecho auditoría.
• Las mejoras más bien serán parte de
cómo hace negocios la organización en
lugar de pasos extra requeridos por los
auditores.
• No existe garantía que la administración a
través de toda la organización quiera
hacer el esfuerzo.
E+E
Herramientas de Implementación

• COSO presenta las herramientas:

– Un conjunto de herramientas en blanco, organizadas
por componente, junto con una para ayudar en el
ensamble de resultados para hacer una evaluación
general.
– Un Manual de Referencia para ayudar al evaluador a
completar la “Hoja de trabajo de evaluación de riesgos y
actividades de control”.
– Herramientas completadas, como ejemplo de cómo
pudieran ser completadas en una compañía hipotética.
E+E
Herramientas de Implementación (2)

Hoja de Trabajo de Evaluación de Riesgos y Actividades de Control

(del reporte de COSO)

Actividad: ________________________

Acciones/
Control Otros Evaluación
Análisis de Riesgo Actividades/ Objetivos y
Objetivos O, F, C Factores de Riesgo Probabiidad Comentarios Afectados Conclusión
E+E
Autoevaluación de Control

• Es una herramienta útil para una evaluación de control

con base en COSO.
• Metodología básica: el personal responsable por una
actividad evalúa los controles e identifica oportunidades
para mejorar durante un taller facilitado por auditoría
interna. Procedimientos tradicionales de auditoría se
utilizan sólo cuando se necesita verificación o
cuantificación de resultados.
• Cada sesión es un análisis de grupo de las fortalezas y
debilidades de los mecanismos de control en los que se
confía para lograr los objetivos de la entidad.
E+E
Autoevaluación de Control (2)

• Ventajas:
– Considera los controles “suaves” eficazmente, en
consecuencia, es una herramienta poderosa para cumplir
con los retos del marco de COSO.
– Produce más sugerencias y de mayor calidad.
– Permite la implementación más oportuna de las
sugerencias.
– Incrementa la comprensión del personal y la “pertenencia”
del control.
– Aumenta la comprensión del auditor acerca del negocio.
– Permite una cobertura frecuente (evaluación anual de
controles).
E+E
Autoevaluación de Control (3)

• Barreras potenciales:
– Cultura corporativa: altos ejecutivos de una
organización rígida y autoritaria se pueden
resistir al enfoque.
– Personal de auditoría inexperto: el enfoque
necesita profesionales conocedores que puedan
facilitar eficazmente.
Otros marcos de referencia
E+E
Más allá de COSO: Otros Marcos

• Criteria of Control Committee (CoCo) emitido por el

Canadian Institute of Chartered Accountants (CICA).
• Malcolm Baldrige National Quality Award (MBNQA).
• Internal Control Framework of the IASB.
• Turnbull Report.
• ACC (Australian Criteria of Control).
• The King Report.
E+E
CoCo (Criteria of Control Committee)

• La guía de control desarrollada por CoCo está dirigida

al comité directivo, alta administración, dueños,
prestamistas y auditores.
• CoCo prefiere el término control sobre el de control
interno que utiliza COSO.
• El criterio de CoCo se ha agrupado en las siguientes
categorías:
– Propósito: criterio que proporciona conocimiento sobre
la dirección de la organización.
E+E
CoCo (Criteria of Control Committee) (2)

• El criterio de CoCo se ha agrupado en las siguientes

categorías:
– Propósito: criterios que proporcionan sentido de la
dirección de la organización.
– Compromiso: criterios que proporcionan conocimiento
de identidad y valores.
– Capacidad: criterios que proporcionan conocimiento
sobre la competencia.
– Monitoreo y Aprendizaje: criterios que proporcionan
conocimiento sobre la evolución de la entidad.
E+E
CoCo (Criteria of Control Committee) (3)

• La visión de CoCo sobre estas categorías es que están

interrelacionadas de forma circular, caracterización que
pretende reflejar que el proceso de control es continuo.
• El propósito lleva al compromiso de personas capaces
de producir acciones establecidas por el proceso.
• El monitoreo y aprendizaje ocurre para mantener a la
organización en el camino apropiado y para evaluar el
desempeño para restablecer el propósito como sea
necesario, de tal forma que el ciclo se repite.
E+E
CoCo (Criteria of Control Committee) (4)

• Para CoCo el control son los elementos de una

organización (incluyendo recursos, sistemas,
procesos, cultura, estructura y tareas) que, en
conjunto, apoyan a las personas en el logro de los
objetivos de la organización.
• Control eficaz:
– CoCo define control eficaz como aquel que hace que
una organización logre sus objetivos y que ese control
es eficaz en la medida que proporciona seguridad
razonable de que una organización logrará sus
objetivos.
E+E
CoCo (Criteria of Control Committee) (5)

• Para CoCo lo siguiente es fundamental para la

viabilidad y éxito de una organización:
– Mantener la capacidad de la organización para identificar
y explotar oportunidades.
– Mantener la flexibilidad de la organización – la capacidad
para responder y adaptarse a riesgos inesperados y
oportunidades.
• Reconoce que la habilidad para perseguir
oportunidades con éxito y el reaccionar rápidamente,
cuando sea necesario, son vitales para el bienestar de
una organización.
E+E
CoCo (Criteria of Control Committee) (6)

• Más tiempo y energía del comité directivo y la alta

administración debe ser dirigido a explotar
oportunidades exitosamente.
• En contraste, se dirige menos tiempo y energía a
reducir y mantener la exposición a riesgos a niveles
tolerables.
• Debido al esfuerzo dirigido a construir y mantener
ventajas competitivas, se recomienda autoevaluar la
eficacia del esfuerzo.
E+E
MBNQA (Malcolm Baldrige National
Quality Award)

• Se obtienen resultados superiores de negocios a

través de lo siguiente:
1. Compromiso consistente del liderazgo
involucrado.
2. La existencia y operación de un proceso para
desarrollar y desplegar direcciones estratégicas
trasladadas a planes de acción.
3. Una metodología de trabajo para determinar los
requerimientos y expectativas del cliente, junto
con los medios para determinar los niveles de
satisfacción del cliente.
E+E
MBNQA (Malcolm Baldrige National
Quality Award) (2)

4. Uso generalizado de información y datos,

financieros y no-financieros, para analizar el
desempeño.
5. Técnicas para desarrollar y utilizar los recursos
humanos.
6. Formas en que los procesos clave son diseñados,
administrados y mejorados para lograr mejor
desempeño.
E+E
MBNQA (Malcolm Baldrige National
Quality Award) (3)

7. Cuáles han sido los resultados en áreas clave del

negocio, como satisfacción del cliente, desempeño
financiero y de mercado, recursos humanos,
proveedores y desempeño operacional.
• Este criterio es flexible y puede ser utilizado en
entidades grandes y pequeñas, segmentos de
negocio, departamentos.
E+E
MBNQA (Malcolm Baldrige National
Quality Award) (4)

• Diferencias entre MBNQA y COSO:

– El marco de COSO por definición excluye la
planeación estratégica del control interno.
– COSO omite el concepto de satisfacción del cliente.
– COSO da muy poca importancia al control de
procesos que afecta los resultados del negocio.
– La evaluación de riesgos no es considerada por
MBNQA.
E+E
Internal Control Framework of the IASB.

• Establece que los principales objetivos del control

interno son asegurar lo siguiente:
– La confianza y la integridad de la información.
– Cumplimiento de políticas, planes, procedimientos,
leyes y regulaciones.
– Salvaguarda de activos.
– Uso de recursos económico y eficiente.
– Logro de objetivos y metas establecidos para
operaciones o programas.
E+E
Internal Control Framework of the IASB (2)

• Fundamentos conceptuales:
– Los controles pueden ser preventivos (diseñados
para prevenir actos indeseables), o de detección
(diseñados para descubrir y remediar los efectos de
actos indeseables que han ocurrido)
– El término control comprende todas las variaciones
del término, como control administrativo, control
operativo, control interno, etc.
E+E
Internal Control Framework of the IASB (3)

• Fundamentos conceptuales: (cont.)

– Control puede existir dentro de la organización (sus
procesos internos) o fuera de la organización (leyes
y regulaciones). El término control comprende
control interno y externo
– El sistema general de control es la integración de la
colección de sistemas controlados utilizados para
lograr los objetivos y las metas.
E+E
Turnbull Report

• Internal Control: Guidance for Directors on the Combined

Code.
• Desarrollado por el Committee on Corporate Governance
of the Institute of Chartered Accountants in England &
Wales junto con la Bolsa de Valores de Londres.
• Guía publicada en 1999.
• Turnbull requiere que las compañías identifiquen,
evalúen y administren sus riesgos significativos y que
evalúen la eficacia del sistema de control interno..
E+E
ACC (Australian Criteria of Control)

• Emitida por el Instituto de Auditores Internos de

Australia en 1998.
• Enfatiza sobre la competencia de la administración y
los empleados para desarrollar y operar el marco de
control interno.
• El compromiso personal sobre el control, que incluye
actitudes, comportamientos y competencias, es
considerado como el enfoque más eficaz para el
control interno.
E+E
King Report

• Emitido por el King Committee on Corporate

Governance de Sudáfrica en 1994.
• Va más allá de los aspectos financieros y
regulatorios usuales sobre corporate governance
considerando preocupaciones sociales, éticas y
ambientales.
Control Interno para
derivados
E+E
Control Interno para Derivados

Problemas relacionados con Estos problemas enfatizan la necesidad

derivados giran en torno a la para la administración de desarrollar
comprensión de sus riesgos y su uso sistemas de control interno para
para propósitos de administración de derivados.
riesgos.

COSO se está convirtiendo en una Muchas de las consideraciones de

herramienta ampliamente aceptada control discutidas también aplican
para desarrollar sistemas de control y para instrumentos financieros.
para evaluar su eficacia.
E+E
Control Interno para Derivados (2)

El marco de COSO puede ser utilizado para

ayudar a la administración a diseñar procesos
de control, especialmente proporcionando
dirección para la formulación de las políticas
para administración de riesgo.

También proporciona sugerencias que

permiten a los responsables de la
supervisión, examinar constructivamente
las políticas y procedimientos existentes.

Adicionalmente al marco existen dos

suplementos informativos.
E+E
Control Interno para Derivados (3)

Reconoce la importancia de establecer políticas claras y

Suplemento 1 cuidadosamente escritas para evitar confusión y falta de
comunicación.

Proporciona ejemplos de varios aspectos de una

política de administración de riesgos para derivados.

Este suplemento puede ser utilizado como referencia

Formular Políticas que Gobiernan para formalizar dichas políticas.
Derivados Utilizados para la
Administración de Riesgos
Describe el proceso para desarrollar una política para
gobernar derivados utilizados en el contexto de una
política general de administración de riesgos de una
entidad.

Reconoce que las políticas de administración de

riesgos abarcan todos los aspectos de control.
E+E
Control Interno para Derivados (4)

Proporciona ejemplos de controles sobre

actividades con derivados asociadas con
Suplemento 2 cada uno de los cinco componentes de
control.

Puede ser utilizado como referencia para

Herramienta de Referencia de establecer, evaluar y mejorar controles
Ejemplos de Procedimientos de relacionados con actividades con
Control derivados.

Puede ser útil para seleccionar controles

que se consideren apropiados en
circunstancias particulares.
E+E
Control Interno para Derivados (5)

• Los riesgos asociados con derivados incluyen mercado, crédito y

liquidez, entre otros.
• Adicionalmente existe el riesgo fundamental de que el uso de estos
productos no sea consistente con los objetivos de la entidad.
• Dependiendo del tipo de instrumento y sus términos, un instrumento
puede ser utilizado para incrementar, modificar o disminuir riesgos.
• Se debe obtener una adecuada comprensión de los derivados y sus
actividades para que los sistemas de control proporcionen
seguridad apropiada de que el uso de derivados apoyará el logro de
las estrategias y objetivos de la entidad.
E+E
Principios de Control de COSO en la
Administración de Derivados
(enfocado principalemente en derivados utilizados para propósitos de
administración de riesgos).

• Ambiente de Control:
– El comité directivo:
• Debe reconocer que el “tone at the top” y la actitud
hacia el control de riesgos afecta la naturaleza y el
alcance de las actividades con derivados.
• Debe revisar las decisiones planeadas de la
administración en relación con lo apropiado y eficaz de
las estrategias de derivados.
E+E
Principios de Control de COSO en la
Administración de Derivados (2)

• Ambiente de Control:
– El comité de auditoría debe trabajar con auditores
externos e internos para supervisar la implementación
de las políticas de administración de riesgos,
procedimientos y límites.
– La administración ejecutiva debería autorizar el uso de
derivados solo después que los riesgos y beneficios
esperados han sido analizados cuidadosamente y los
objetivos y expectativas sobre derivados han sido
claramente comunicados.
E+E
Principios de Control de COSO en la
Administración de Derivados (3)

• Ambiente de Control:
– La alta gerencia debe estar consciente de la decisión
relacionada con el grado de autoridad sobre
derivados que es delegada a la gerencia.
– La gerencia debe ser competente para comprender
los derivados.
– Los empleados involucrados en dichas actividades
deben poseer habilidades y experiencia necesaria.
– El proceso de entrenamiento debe desarrollar e
incrementar habilidades específicas relacionadas con
las responsabilidades y expectativas sobre derivados.
E+E
Principios de Control de COSO en la
Administración de Derivados (4)

• Evaluación de Riesgos:
– Desde la perspectiva de la administración de riesgos,
los objetivos de la entidad relacionados con el uso de
derivados deben ser consistentes con los objetivos de
la administración de riesgos.
– Deben existir mecanismos para la identificación y
evaluación de riesgos de negocio relacionados con
las circunstancias únicas de la entidad, el uso de
derivados debe estar basado en una cuidadosa
evaluación de dichos riesgos.
E+E
Principios de Control de COSO en la
Administración de Derivados (5)

• Evaluación de Riesgos:
– La administración debe:
• Conectar claramente los beneficios y apoyo del uso de
derivados con los objetivos de la entidad.
• Obtener una comprensión del personal, los sistemas
operativos de la administración, metodologías de
valuación, supuestos y documentación para identificar y
evaluar la capacidad para administrar la exposición a
riesgos asociada con las actividades de derivados.
• Proporcionar criterios específicos de medición para el
logro de los objetivos de actividades de derivados, tal
como valor en riesgo.
E+E
Principios de Control de COSO en la
Administración de Derivados (6)

• Evaluación de Riesgos:
– Los procedimientos de análisis de procesos para
actividades de derivados debe incluir:
• Identificar el riesgo.
• Estimar su importancia.
• Evaluar la probabilidad de que ocurra.
E+E
Principios de Control de COSO en la
Administración de Derivados (7)

• Actividades de Control:
– Las políticas que gobiernan el uso de derivados
deben estar claramente definidas y ser comunicadas
a través de toda la organización
– Las políticas de administración de riesgos deben
incluir procedimientos para identificar, medir, evaluar y
limitar los riesgos de negocio como fundamento para
utilizar derivados para propósitos de administración de
riesgos.
E+E
Principios de Control de COSO en la
Administración de Derivados (8)

• Actividades de Control:
– Las políticas de administración de riesgos para
derivados deben incluir:
• Controles relacionados con supervisión y
responsabilidades.
• La naturaleza y alcance de las actividades de
derivados, incluyendo limitaciones en su uso.
• Proceso de información y controles operacionales.
E+E
Principios de Control de COSO en la
Administración de Derivados (9)

• Actividades de Control:
– Las políticas deben proporcionar:
• Monitoreo contra límites.
• Transmisión de posiciones a los sistemas de medición
de riesgos oportuna y exacta.
• Evaluación de controles dentro de los sistemas de
administración de información, incluyendo la evaluación
de los recursos proporcionados para mantener la
integridad del sistema de medición de riesgos.
E+E
Principios de Control de COSO en la
Administración de Derivados (10)

• Información y Comunicación:
– Las comunicaciones deben asegurar que las tareas y
responsabilidades de control relacionadas con
derivados son comprendidas en toda la organización.
– Deben existir sistemas adecuados para la captura de
información, procesamiento, establecimiento y
administración de informes, para que las
transacciones se conduzcan de forma ordenada y
eficaz.
E+E
Principios de Control de COSO en la
Administración de Derivados (11)

• Información y Comunicación:
– Deben establecerse mecanismos para obtener y
comunicar información pertinente sobre actividades
de derivados.
– Directores y gerencia ejecutiva deben obtener
información suficiente y oportuna para monitorear el
logro de objetivos y estrategias sobre el uso de
instrumentos derivados.
E+E
Principios de Control de COSO en la
Administración de Derivados (12)

• Monitoreo:
– Los sistemas de control relacionados con actividades de
derivados deben ser monitoreados para asegurar la
integridad de los informes generados por el sistema.
– La estructura de la organización debe incluir una función
independiente de monitoreo sobre derivados,
proporcionando a los altos ejecutivos (senior management)
una comprensión de los riesgos de actividades de
derivados, validación de resultados y evaluación del
cumplimiento con políticas establecidas.
E+E
Principios de Control de COSO en la
Administración de Derivados (13)

• Aplicar los principios de control de COSO a derivados:

– Esta herramienta reconoce que la naturaleza y alcance
del uso de derivados se encuentra frecuentemente en los
procesos generales de administración de riesgos de una
organización.
– Dichos procesos, relacionados con el uso de derivados
para propósitos de administración de riesgos, deben
involucrar generalmente lo siguiente:
E+E
Principios de Control de COSO en la
Administración de Derivados (14)
Comprender las
operaciones y objetivos
de la entidad.
Evaluar el uso de
derivados para controlar
riesgos de mercado y
conectar su uso con
objetivos generales de la
entidad y objetivos a nivel
actividad.
Identificar, medir,
evaluar y modificar
riesgos de negocios.
Definir actividades y
términos de administración
de riesgos relacionados con
derivados para proporcionar
una comprensión clara del
uso pretendido.
E+E
Principios de Control de COSO en la
Administración de Derivados (15)

• Roles y responsabilidades:

Comité Directivo:

Es responsable de supervisar las políticas para administrar el riesgo y el uso de derivados.

La dirección de las políticas proporcionadas por el comité son importantes para determinar la
naturaleza y alcance del uso de derivados.

Junto con la alta gerencia el comité debe considerar cuidadosamente los recursos requeridos para
utilizar los derivados eficazmente.

Debe asegurar que las políticas requieran el empleo de profesionales competentes para realizar
las actividades de administración de riesgo, dicha política debe definir cuando es apropiado el uso
de consultores externos.

El comité debe tomar una decisión cuidadosa acerca del buen juicio de los gerentes al utilizar
derivados.
E+E
Principios de Control de COSO en la
Administración de Derivados (16)

• Roles y responsabilidades:

Comité de Auditoría:

Debe comprender la capacidad de las pruebas de auditoría externa e

interna sobre el cumplimiento con políticas de administración de riesgos,
procedimientos y límites y obtener satisfacción de que dichos controles
están funcionando como se pretende.

También debe estar alerta al riesgo de que dichos controles sean

evadidos.
E+E
Principios de Control de COSO en la
Administración de Derivados (17)

• Roles y responsabilidades:

Director General:

Tiene la responsabilidad general de formular las políticas sobre

derivados.

Generalmente debe ser apoyado por la alta gerencia para desarrollar la

política y monitorear su cumplimiento.
E+E
Principios de Control de COSO en la
Administración de Derivados (18)

• Roles y responsabilidades:

Director de Finanzas:

Debe participar en la formulación de las políticas sobre derivados y

supervisar su implementación.
E+E
Principios de Control de COSO en la
Administración de Derivados (19)

• Roles y responsabilidades:

Contralor:

Debe establecer el tratamiento contable apropiado para todas las

actividades de derivados.

El departamento de contraloría corporativa o algún otro departamento

independiente de la unidad de negocio, debe tomar un papel activo en la
aplicación de políticas asumiendo la responsabilidad de documentar,
evaluar y medir el cumplimiento con los criterios contables apropiados.
E+E
Principios de Control de COSO en la
Administración de Derivados (20)

• Roles y responsabilidades:

Unidad de Negocio:

Es responsable de recomendar, aprobar y ejecutar las estrategias de

administración de riesgos.

Segregación de transacciones iniciando por la unidad de negocio y

revisión de transacciones realizada por el contralor ayuda a establecer el
control necesario sobre la adhesión a las políticas y objetivos sobre
derivados.
E+E
Principios de Control de COSO en la
Administración de Derivados (21)

• Qué hacer:
– Las acciones que deben tomarse para aplicar COSO
a los derivados depende de la posición y papel de las
partes involucradas, e incluyen:
• Iniciar una autoevaluación de los sistemas de control
de la entidad, dirigiendo la atención específicamente a
áreas de operaciones de derivados que son de
principal importancia.
• Integrar totalmente la administración de actividades de
derivados al sistema de administración de riesgos de
la entidad, desarrollando e implementando una
política de administración de riesgos integradora.
E+E
Principios de Control de COSO en la
Administración de Derivados (22)

• Qué hacer:
– Las acciones incluyen: (cont.)
• Asegurar que los objetivos de las políticas sobre el uso
de derivados están claramente articulados y
documentados.
• Requerir que cualquier uso de derivados sea
claramente conectado con los objetivos generales de la
entidad y los objetivos a nivel de actividad.
E+E
Principios de Control de COSO en la
Administración de Derivados (23)

• Los derivados continuarán siendo una importante

herramienta de negocios para la administración de
riesgos de una entidad.
• La comprensión apropiada de la naturaleza y los
riesgos de los derivados es esencial para el uso
prudente de estas herramientas.
• Mejorar la conciencia de cómo instrumentos
específicos se comportan bajo las condiciones
variables del mercado sólo puede producir tomas de
decisión más informadas.
E+E
Principios de Control de COSO en la
Administración de Derivados (24)

• Control interno eficaz sirve como infraestructura

para lograr los objetivos de la entidad.
• Aplicar el marco de COSO puede ayudar a asegurar
que el uso de derivados está claramente integrado
al sistema de control general de la entidad y que se
minimizan los resultados no deseados o
inesperados.
Preguntas y respuestas