Nuevo marco conceptual de COSO: cambios, … · Agenda 2 Introducción Módulo 1: El Marco COSO...
Transcript of Nuevo marco conceptual de COSO: cambios, … · Agenda 2 Introducción Módulo 1: El Marco COSO...
Nuevo marco conceptual de COSO: cambios, consideraciones y aplicación
XIX CONGRESO
NACIONAL DE
CONTADORES 2015
Facilitadores: Visitación Perea y José Araúz
Partes Interesadas – Control Interno
Auditores
Inversionistas
Encargados del Gobierno Corporativo
Administración
Otros: SEC/PCAOB
1
Agenda
2
Introducción
Módulo 1: El Marco COSO 2013
Módulo 2: Auditando bajo el Marco COSO 2013
Módulo 3: Otros Temas de Actualidad sobre Control Interno
© 2014 For information contact Deloitte Touche Tohmatsu Limited
Marco Integrado de Control Interno -COSO 2013
Marco Conceptual de COSO 2013: Tabla de Contenido
4
Marco Conceptual Apéndices
1. Definición de Control Interno
2. Objetivos, Componentes, y Principios
3. Control Interno Efectivo
4. Consideraciones Adicionales
5. Ambiente de Control
6. Evaluación de Riesgo
7. Actividades de Control
8. Información y Comunicación
9. Actividades de Monitoreo
10. Limitaciones del Control Interno
A. Glosario
B. Roles y Responsabilidades
C. Consideraciones para Compañías
Pequeñas
D. Metodología para Revisar el Marco
Conceptual
E. Cartas de Comentarios Públicas
F. Resumen de Cambios al Marco Integrado
de Control Interno – COSO (1992)
G. Comparaciones con el Marco Integrado de
Administración de Riesgo Empresarial (2004)
Aspectos Importantes del Marco COSO 2013
COSO publicó una edición actualizada del Marco Integrado de Control Interno en el 2013 (el “Marco
COSO 2013”) para hacer frente a los cambios en los ambientes operativos y de negocios desde la
publicación del marco original en 1992.
Los aspectos fundamentals del Marco Integrado de Control Interno
se mantienen:
• Definición base de control interno
• Tres categorías de objetivos y cinco components de control interno
• Un papel importante del juicio en el diseño, implementación y
conducción del control interno, y en evaluar su efectividad.
Marco Original
Objetivos
Actualizados
Marco Actualizado
Mejoras
Marco Integrado de Control Interno - COSO (Versión de 1992)
Marco Integrado de Control Interno - COSO (Versión de 2013)
Aclara requerimientos
Se añaden principios para
facilitar un control interno
efectivo
Contexto actualizado
Refleja cambios en ambientes
operativos y de negocios
Se amplía su aplicación
Expande los objetivos de
reporte y de operación
Cambios claves incluyen:
• Estructura más formal para el diseño y evaluación de la
efectividad del control interno
• Establece principios para cada componente de control
interno
• Provee de puntos de foco al respecto de cada principio
• Se adiciona y se actualizan las directrices o guías dentro de
cada componente de control interno
Globalización de mercados y operaciones, complejidades en leyes y regulaciones, y el uso y dependencia en tecnologías (las cuales
evolucionan constantemente) fueron los factores que llevaron a actualizar el marco COSO
5
Marco COSO 2013: Principios y Puntos de Foco
El Marco COSO 2013 aborda algunos de los cambios claves en el ambiente de negocios desde
que el marco original fue publicado en 1992. El marco actualizado incluye 17 principios para
describer los components de control interno.
6
Información y
Comunicación
13. Utiliza información
relevante
14. Comunica internamente
15. Comunica externamente
Ambiente de Control
1. Demuestra compromiso
con la integridad y valores
éticos
2. Ejerce responsabilidades
de vigilancia
3. Establece una estructura,
autoridad, y
responsabilidad
4. Demuestra compromiso
con competencias
5. Refuerza la rendición de
cuentas
Evaluación de Riesgo
6. Especifica objetivos
adecuados
7. Identifica y analiza los
riesgos
8. Evalúa el riesgo de fraude
9. Identifica y analiza
cambios significativos
Actividades de Control
10. Selecciona y desarrolla
activitidades de control
11. Selecciona y desarrolla
controles generales sobre
tecnología
12. Despliega las actividades
de control a través de
políticas y procedimientos
Actividades de Monitoreo
16. Conduce evaluaciones de
forma contínua y/o
separada
17. Evalúa y comunica
deficiencias
De acuerdo a COSO, un sistema de control interno efectivo requiere:
• Cada uno de los 17 principios debe estar presente y en funcionamiento
• Cada uno de los 5 componentes de control interno debe estar presente y en funcionamiento
• Los cinco componentes deben estar operando juntos de forma integrada
Balances de cuentas y
Revelaciones
Controles Generales
sobre TI
Marco COSO 2013: Comparación a NIIF / U.S. GAAP
7
GAAP COSO
Conceptos/Principios
Guías de Aplicación Específicas
Ejemplos
Consideraciones para Control Interno sobre Información Financiera
Actividades Claves
1. Aplicar la nueva estructura del Marco COSO 2013
• Principios y puntos de foco
2. Evaluar si los programas y controles que actualmente existen en la Compañía alcanzan los
objetivos de los nuevos requerimientos del Marco COSO 2013
• Mejoras significativas de contenido
3. Mejorar la documentación sobre el diseño de controles; por ejemplo:
• Evaluar los factores de diseño del control (quién, qué, cuándo, dónde, y porqué)
4. Mejorar las pruebas y evidencias de efectividad operative de los controles; por ejemplo:
• Evaluar riesgos asociados al control
• Evidencia más persuasiva de efectividad operativa de los controles
5. Evaluar deficiencias.
8
Marco COSO 2013: Principios y Puntos de Foco
9
Información y
Comunicación
13. Utiliza información
relevante
14. Comunica internamente
15. Comunica externamente
Ambiente de Control
1. Demuestra compromiso
con la integridad y valores
éticos
2. Ejerce responsabilidades
de vigilancia
3. Establece una estructura,
autoridad, y
responsabilidad
4. Demuestra compromiso
con competencias
5. Refuerza la rendición de
cuentas
Evaluación de Riesgo
6. Especifica objetivos
adecuados
7. Identifica y analiza los
riesgos
8. Evalúa el riesgo de fraude
9. Identifica y analiza
cambios significativos
Actividades de Control
10. Selecciona y desarrolla
activitidades de control
11. Selecciona y desarrolla
controles generales sobre
tecnología
12. Despliega las actividades
de control a través de
políticas y procedimientos
Actividades de Monitoreo
16. Conduce evaluaciones de
forma contínua y/o
separada
17. Evalúa y comunica
deficiencias
Balances de cuentas y
Revelaciones
Controles Generales
sobre TI
A qué principio(s) hay que prestar mayor atención cuando una entidad tiene metas
agresivas y por lo tanto mayors presiones o incentivos para llegar a esas metas?
Marco COSO 2013: Principios y Puntos de Foco
10
Información y
Comunicación
13. Utiliza información
relevante
14. Comunica internamente
15. Comunica externamente
Ambiente de Control
1. Demuestra compromiso
con la integridad y valores
éticos
2. Ejerce responsabilidades
de vigilancia
3. Establece una estructura,
autoridad, y
responsabilidad
4. Demuestra compromiso
con competencias
5. Refuerza la rendición de
cuentas
Evaluación de Riesgo
6. Especifica objetivos
adecuados
7. Identifica y analiza los
riesgos
8. Evalúa el riesgo de fraude
9. Identifica y analiza
cambios significativos
Actividades de Control
10. Selecciona y desarrolla
activitidades de control
11. Selecciona y desarrolla
controles generales sobre
tecnología
12. Despliega las actividades
de control a través de
políticas y procedimientos
Actividades de Monitoreo
16. Conduce evaluaciones de
forma contínua y/o
separada
17. Evalúa y comunica
deficiencias
Balances de cuentas y
Revelaciones
Controles Generales
sobre TI
A qué principio(s) hay que prestar mayor atención cuando una entidad tiene cambios
significativos, como nuevas adquisiciones, nuevos sistemas de TI, o nuevo personal
clave?
Marco COSO 2013: Importancia de la documentación
El Marco COSO 2013 (página 29) trata sobre el rol y la importancia de la documentación:
• Provee de claridad acerca de roles y responsabilidades para promover la consistencia en la
operación
• Cubre el tema del diseño de control interno, i.e., quién, qué, cuándo, dónde, y porqué.
• Crea estándars y expectativas de rendimiento
• Fuente de referencia para empleados y para entrenamiento de nuevo personal
• Es una forma de retener el conocimiento organizacional
• Provee evidencia de la conducción del control interno para permitir un monitoreo efectivo
• Es importante cuando se reporta sobre el control interno de una entidad, incluyendo cuando
se es evaluado por otros, como reguladores y auditores
1. La documentación es necesaria para permitir la operación efectiva del control interno
2. La documentación es necesaria para permitir al auditor realizar una auditoría de control
interno efectiva y eficiente
3. La documentación es necesaria para soportar la afirmación de la administración para
propósitos de SOX 404(a)11
Descripción del Control
© 2014 For information contact Deloitte Touche Tohmatsu Limited 12
.
Una descripción de lo que hace la administración específicamente para alcanzar el
objetivo o principio, i.e., quién, qué, cuándo, dónde, y porqué.
1. La entidad demuestra un compromise con la integridad y valores éticos.
2. La entidad es altamente ética.
3. La Administración ha implementado un programa de ética.
Esto es simplemente una reexpresión del objetivo
Esto es una descripción corta del control, y no es suficiente.
Esto es una conclusión
Auditando Bajo el Marco COSO 2013
Auditando Controles Indirectos: Comparación Versus El Auditar
Controles Directos
14
Pasos Controles DirectosControles Indirectos
Controles a Nivel de Entidad
Identificar y Entender
Fuentes de Errores
Probables e Identificar
Controles Relevantes
Realizar pruebas de recorrido
para cada proceso de negocio
relevante para identificar riesgos
y entender controles relevantes
Identificar y entender controles
relevantes considerando los
principios y puntos de foco
Probar Eficacia del Diseño Tipo de pruebas incluye:
indagación, inspección,
observación
Igual
Evaluar la Eficacia del Diseño Considerar diversos factores de
evaluación de diseño
Igual, pero en el contexto de
controles indirectos
Evaluar el Riesgo Asociado al
Control
Evaluar diversos factores (ej. AS
5.47)
Igual, pero en el contexto de
controles indirectos
Probar la Eficacia Operativa
del Control
Tipo de pruebas: indagación, inspección,
observación, y reproceso del controlIgual
Factores para Evaluar la Eficacia del Diseño del Control
© 2014 For information contact Deloitte Touche Tohmatsu Limited 15
Factores de Evaluación del Diseño Relevancia para Controles Indirectos
Qué tan Adecuado es el Propósito del
Control y su Correlación con el Riesgo
• Cómo el diseño del control contribuye a lograr cada principio
considerando los puntos de foco relevantes
Qué tan Adecuado es el Control
Considerando la Naturaleza e
Importancia del Riesgo que Cubre
Competencia y Autoridad de la(s)
Persona(s) que Realiza(n) el Control
Frecuencia y Consistencia con que el
Control es Realizado
Nivel de Agregación y Predictabilidad
Criterio para Investigación y Proceso de
Seguimiento
Dependencia en Otros Controles o
Información
• Considerar si el principio (y control relacionado) puede ser más
importante bajo las circunstancias y hechos específicos de la entidad
(por ejemplo, si el control es un importante programa antifraude).
• Igual
• Igual
• Usualmente no es relevante
• Solo relevante si el control involucra una actividad de revisión
• Igual
Factores para Evaluar el Riesgo Asociado al Control
© 2014 For information contact Deloitte Touche Tohmatsu Limited 16
Factores del AS 5.47
Igual • La efectividad de controles que monitorean la efectividad de otros controles
• La naturaleza del control y la frecuencia con la cual operar
• El grado en el cual el control se basa en la efectividad de otros controles
• La competencia del personal que realiza el control
• Si el control es realizado por una persona o si es automatizado
• La complejidad del control y la importancia de los juicios a realizar
En el
context de
controles
indirectos
• Si han habido cambios en el volume y naturaleza de las transacciones:
Si han habido cambios en la entidad
• Naturaleza y materialidad de errores:
Si los controles indirectos (o su ausencia) han contribuido a errores en el
pasado
• Riesgo inherente:
Si el control indirecto es de mayor importancia en base a hechos y
circunstancias específicas de la entidad
• Si la cuenta contable tiene un historial de errores:
Historial de deficiencias
Procedimientos para probar Eficacia Operativa
17
Tipo de
ProcedimientoEjemplos
Indagación • A personal de la entidad al respecto de:
• Su entendimiento del código de conducta y canales de denuncias anónimas
• Disposición a reporter posibles violaciones al código de conducta
• Si tiene conocimiento de violaciones al código de conducta
Observación • Cómo aquellos encargados del gobierno corporativo y la administración responde a
situaciones de ética, incluyendo decisions sobre reporte financiero
• El tono de los mandos medios de la entidad
• La objetividad de la auditoría interna (por ejemplo, su disposición a desafiar las
posiciones de la administración o gerencia general
Inspección de
Evidencia
Documental
• Evidencia de políticas y procedimientos
• Evidencia de la operación del control
Reproceso • Evidencia al realizer nuestras propias pruebas, por ejemplo:
• Procedimientos de evaluación de riesgo
• Evaluación del diseño de un control
• Prueba de eficacia operative del control
Otros Temas de Actualidad sobreControl Interno
Ambiente de Control: Temas de Actualidad
19
Tema
Citado en
revelaciones
de
deficiencia
material
Área o
factor que
contribuyó
a un fraude
Relación a
principio de
Marco COSO
2013
Ambiente de Control
Programa de ética 1, 2
Delegación de autoridad 3
Competencia y entrenamiento de personal de
contabilidad 4
Estableciendo rendición de cuentas y
expectativas de control interno a través de
desempeño y sistemas de compensación
5
Ambiente de Control: Fraude y el ambiente de control
Ejemplo de revelación de deficiencia material:
• “Ejecutivos responsables de la administración y vigilancia….fallaron en
responden a ciertos indicadores potenciales de comportamiento
inapropiado o aplicaron un escepticismo inapropiado acerca de
preocupaciones de empleados sobre la posilibidad de que un Gerente
tuviera un relación de negocio inapropiada. Por lo tanto, estos ejecutivos no
promovieron ni mantuvieron un ambiente de control interno efectivo..”
• “Ejecutivos de la administración anularon o sobrepasaron controles, lo que
resultó en una demora en el reporte de asuntos problemáticos en la
entidad. Adicionalmente, las comunicaciones de los ejecutivos
responsables de la administración a los empleados fue inapropiada, ya que
pusieron énfasis excesivo in lograr metas de negocios en vez de la
integridad del proceso de reporte financiero.”
20
Ambiente de Control: Programa de Ética: Posibles fallas
1. No se cuenta con un programa de ética formal
y continuo, con enfoque en reporte financiero.
2. Refuerzo inadecuado por parte de la alta y
media administración
3. Falta de supervisión por el Comité de
Auditoría
4. Expectivas de integridad y valores éticos no
son comunicados a terceros ni a
proveedores de servicios externalizados
5. Programas de entrenamiento sobre ética
inadecuados
6. Falta de revisión y actualización del código de
conducta
7. Materiales relevantes y recursos no están
disponibles de forma expedita al personal o
no están en el lenguaje aplicable.
© 2014 For information contact Deloitte Touche Tohmatsu Limited 21
Ambiente de Control: Temas de Actualidad
22
Tema
Citado en
revelaciones
de
deficiencia
material
Área o
factor que
contribuyó
a un fraude
Relación a
principio de
Marco COSO
2013
Ambiente de Control
Programa de ética 1, 2
Delegación de autoridad 3
Competencia y entrenamiento de personal de
contabilidad 4
Estableciendo rendición de cuentas y
expectativas de control interno a través de
desempeño y sistemas de compensación
5
Evaluación de Riesgo: Temas de Actualidad
© 2014 For information contact Deloitte Touche Tohmatsu Limited 23
Tema
Citado en
revelaciones
de
deficiencia
material
Área o
factor que
contribuyó a
un fraude
Relación a
principio de
Marco COSO
2013Evaluación de riesgo
Adecuación de y soporte de políticas y
procedimientos contables 6
Evaluación de riesgo detallada para cada cuenta y
revelación relevante, y enlace de la evaluación de
riesgo a la actividad de control relacionada
7, 10, 11, 12
Evaluación de riesgo de fraude, incluyendo
sobrepaso de controles por parte de la
administración, manipulación de estados
financieros, malversación de activos, y corrupción
8, 10, 11, 12
Falta de revision de la evaluación de riesgo y
controles para transacciones no frecuentes o que se
dan una sola vez, tales como:
• Cambios significativos en procesos, tecnologías o
personas
• Combinaciones de negocios
9, 10, 11, 12
Evaluación de Riesgo: Transacciones no frecuentes o que se dan una
sola vez: Posibles fallas
• Falta de una evaluacion de riesgo detallada,
que involucre al personal apropiado (por lo que
no se identifican y diseñan controles
apropiados)
• Competencias adicionales pueden ser
necesarias, pero la administración no evalúa
apropiadamente la necesidad, o no actúa
apropiadamente al identificar la necesidad.
• Falla en el monitoreo oportuno de los cambios,
incluyendo personal clave.
• Datos utilizados para evaluar o contabilizar
transacciones no rutinarias no es confinable (o
sea, no está sujeto a controles apropiados; no
es exacta o no está completa)
• Hay un potencial mayor de que la
administración sobrepase controles (presiones
o incentivos pueden crear parcialidad)
• Falta de comunicación y coordinación entre
diferentes funciones; por ejemplo,
departamento de contabilidad y departemento
de impuestos.
© 2014 For information contact Deloitte Touche Tohmatsu Limited 24
Actividades de Control: Temas de Actualidad
© 2014 For information contact Deloitte Touche Tohmatsu Limited 25
Tema
Citado en
revelaciones
de deficiencia
material
Área o factor que
contribuyó a un
fraude
Relación a principio
de Marco COSO 2013
Actividades de Control
Establecer expectativas a través de políticas y procedimientos de
control interno12
Journal entries 10
Segregación de tareas, tales como problemas de acceso a sistemas
de IT y tareas incompatibles 10, 11
Controles específicos para balances de cuenta y revelaciones, tales
como:
• Ingresos, Inventario (incluyendo conteos por ciclo y/o programas de
inventarios físicos), Impuestos, Notas y Estado de Flujos de Efectivo,
Reconciliaciones de Cuentas
10, 12
Precisión y evidencia de controles de revision por parte de la
administración, en cuentas tales como:
• Reservas, incluyendo obsolescencia de inventario y cuentas por
cobrar malas; deterioro, incluyendo projecciones; valor razonable de
inversiones; Aplicación de normas contables; Involucramiento y/o
revisión por parte de especialistas
10, 12, 16
Uso de proveedores de servicios externalizados 10, 12, 16
Controles de cambio de seguridad de IT y de programas 11
Actividades de Control: Proveedores de Servicios Externalizados
(PSE)• Debido al uso frecuente de PSEs hoy día, el Marco COSO 2013 incluye consideraciones
relacionadas a PSEs in los 5 componentes y dentro de los 12 principios
• Las consideraciones primarias para la entidad continúan siendo:
Identificar los controles relevantes – realizados por el PSE o por la propia entidad – sobre
los servicios u actividades realizadas por el PSE en la entidad.
Monitoreo por parte de la entidad de la efectividad de los controles relevantes, como por
ejemplo: visitar al PSE y probar los controles relevantes, u obtener un reporte de control
interno tipo SSAE 16.
• La extensión de las consideraciones a realizar al respecto de los componentes y principios del
Marco COSO 2013 en relación a PSEs, dependen de la naturaleza y riesgo inherente de las
actividades que realiza el PSE para la entidad, incluyendo el tipo de información que se
transfiere entre el PSE y la entidad.
26
Actividades de Control: Proveedores de Servicios Externalizados—
Ejemplos
27
Consideración del Marco COSO 2013 Enfoque Ejemplo
Principio 1: Los términos del contrato
establecen expectativas en cuanto a
conducta de los PSEs
• La entidad comunica sus expectativas (provee el código de
conducta a los PSEs) y monitorea su efectividad, o
• La entidad comunica sus expectativas (provee el código de
conducta a los PSEs) y evalúa el reporte SSAE 16 del PSE,
el cual incluye una evaluación de la efectividad del programa
de conducta interno del PSE.
Principios 7,8: La evaluación de riesgo,
incluyendo la evaluación de riesgo de
fraude de la entidad, considera
explícitamente riesgos que se originan
por el uso de PSEs
• La entidad considera e identifica riesgos que se originan en
PSEs, incluyendo el riesgo de fraude.
Principio 13: La información
procesada/generada por PSEs
(incluyendo reportes) está sujeta a
controles efectivos para asegurarse que
dicha información sea exacta y esté
completa
• La entidad realiza controles sobre la exactitud y totalidad de
los reportes provenientes del PSE, y/o
• La entidad evalúa el reporte SSAE 16 del PSE, el cual
incluye controles sobre la exactitud y totalidad de los
reportes provenientes del PSE.
Información y Comunicación: Temas de actualidad
28
Temas
Citado en
revelaciones
de
deficiencia
material
Área o factor
que
contribuyó a
un fraude
Relación a
principio de
Marco COSO
2013
Información y Comunicación
Calidad de los datos, incluyendo reportes
utilizados en la ejecución de un control13
Programas de denuncias anónimas14, 15
Actividades de Monitoreo: Temas de Actualidad
© 2014 For information contact Deloitte Touche Tohmatsu Limited 29
Temas
Citado en
revelaciones
de deficiencia
material
Área o
factor que
contribuyó
a un fraude
Relación a
principio de
Marco COSO
2013
Actividades de Monitoreo
Enfoque de monitoreo vinculado a la
evaluación de riesgo, incluyendo consideración
de las diferencias locaciones de negocios
16
Efectividad y competencias de la función de
monitoreo, tales como la función de auditoría
interna
16
Importancia y sustancia del programa de
certificación periódico de la entidad14, 15, 16
Evaluación de las deficiencias para determinar
la causa primordial17
Monitoreo: Posibles Fallas
1. Enfoque de Monitoreo
• Enfoque es el mismo independientemente
del riesgo
2. Auditoría Interna
• Falta de énfasis o foco en el control interno
sobre información financiera
• Falta de una mentalidad objetiva adecuada
3. Programas de certificación interna inefectivos
4. Deficiencias
• Evaluación insuficiente de las causas
primordiales de la deficiencia (por ejemplo,
indicación de que una deficiencia existe en
otro principio o component de COSO)
• Falta de actividades de monitoreo efectivas
para remediar hallazgos de forma oportuna
© 2014 For information contact Deloitte Touche Tohmatsu Limited 30
FIN