CONTROL

INTERNO segn
COSO
(Committe of Sponsoring
Organizations of The
Treadway Commission)

Definiciones segn el COSO

Es un proceso, ejecutado por ..........................

, y

De una entidad, diseado para proporcionar

seguridad .. con miras a la
consecucin
de objetivos en las siguientes categoras:
Efectividad y eficiencia de las operaciones.
Confiabilidad en la informacin financiera.
Cumplimiento de las leyes y regulaciones
aplicables.
2

Conceptos fundamentales

El control interno es un proceso. Constituye

un medio para un fin, no un fin en s mismo.
El control interno es ejecutado por
. No son solamente manuales de
polticas y formas, sino . en cada
nivel de una organizacin.
Del control interno puede esperarse
solamente seguridad , no
seguridad .
El control interno est engranado para la
consecucin de .. en una o
ms categoras separadas pero
interrelacionadas.
3

Qu es el Control Interno?
El Control Interno significa diferentes cosas para diferentes
personas.
Personal Facultado en el tema define el Control Interno* como: el
proceso
diseado para proveer una seguridad razonable en
relacin con el logro de los objetivos de la organizacin.
Los tres objetivos principales que tiene el Control Interno son:

..
.

.
El control interno ayuda a la entidad llegar a donde quiere llegar, evitando
los peligros y sorpresas que puedan suceder a lo largo del camino

* Marco Integrado - Control Interno, Committee of

Sponsoring Organizations (COSO) of the Treadway
Commission

Por qu el Control Interno es

importante?

Operacional
Promover eficiencia y eficacia
en las operaciones a travs
de los procesos
estandarizados.
Asegurar la salvaguarda de
los activos a travs de las
actividades de control

Financiero
Promover la integridad de
los datos en la toma de
decisiones del negocio.
Asistir en la prevencin y
deteccin de fraudes a
travs de la creacin de
un rastro de evidencia
auditable.

De Cumplimiento
Ayudar a mantener el
cumplimiento con las
leyes y regulaciones a
travs de un
monitoreo peridico

Mitos sobre el Control Interno

Algunos tienen expectativas irreales sobre lo que

puede hacer el control interno....
Mito #1: El Control Interno puede asegurar
el xito de la entidad y proveer
confiabilidad
absoluta
en
informes
financieros y de cumplimiento regulatorio

Mitos sobre el Control Interno

Mito #2: El
Control Interno sirve
como substituto
de la gerencia.

Mito #3: El Control Interno puede

proteger a una organizacin de
tomas de decisiones errneas,
confabulacin entre dos o ms
personas
y
las
habilidades
gerenciales para anular el sistema.
Unidad 3

Eventos Seleccionados en la Evolucin del Control

Interno
1970

1980

A mediados
Inicios
de los 70s
-1980s
Investigacin
Increment
del
el enfoque
Escndalo
en Control
Watergate
Interno y
1977
cumplimient
Ley de
prcticas deo
corrupcin
extranjeras
(Foreign
Corrupt
Practices
Act- FCPA)

1990

1992
Publicacin
del Marco
Integrado de
Control
Interno-COSO

1985
Comisin
Nacional de
Informes
Financieros
Fraudulentos
- (Treadway
Commission)

2000

2002
Ley
Sarbanes-Oxley

1990s 2000
Contina el
enfoque en
Controles
Internos, Riesgos
Administrativos y
responsabilidades
(Blue Ribbon
Commission,
Competency
Framework for
Internal Audit,
Others)

La Evolucin Contina...

COSO desarroll y publico, un criterio

ampliamente aceptado para establecer
evaluaciones efectivas sobre el control
interno.
- Defini un criterio comn de control y un
modelo de ambiente de control Control
Interno Marco Integrado. Derechos
Reservados 1992.
Establecer el medio para monitorear,
evaluar e informar el control interno.
Resumen de los roles y
responsabilidades de la gerencia.
9

nfasis a los Controles

Internos

Sarbanes-Oxley Ley del 2002

Ley firmada en Julio 2002
Requiere responsabilidad ejecutiva para la
infraestructura de control interno.
Certificacion trimestral de estados
financieros y testimonio anual de la
efectividad de la infraestructura de
controles internos.
Conclusin: Las organizaciones estn siendo
continuamente conducidas hacia la
aplicacin de estndares mas elevados de
control interno y administracin de riesgos)
10

El esquema del COSO 2

COMPONENTES DEL ENTERPRISE RISK MANAGEMENT
(ERM)
El ERM consiste en ocho
componentes relacionados
entre s. Estos se derivan del
estilo de direccin del negocio y
estn integrados en el proceso
de gestin.
El denominado informe COSO
surgi como una respuestas a las
inquietudes que planteaban la
diversidad de conceptos,
definiciones e interpretaciones
existentes. Plasma los resultados
de la tarea realizada durante
ms de cinco aos por el grupo
de trabajo que la Treadway
Commission, National Commision
On Fraudulent Financial
Reporting cre en Estados Unidos
en 1985 bajo la sigla COSO
(Committee Of Sponsoring
11
Organizations).

Unidad 3

12

1. Evaluacin del ambiente de interno

El ambiente interno abarca el tono de una
organizacin y establece la base de cmo el
personal de la entidad percibe y trata los riesgos,
incluyendo la filosofa de administracin de riesgo y
el riesgo aceptado, la integridad, valores ticos y el
ambiente en el cual ellos operan.
Incluye elementos tanto tangibles como intangibles:
Integridad y valores ticos
Compromiso hacia la competencia en las tareas
Estructura organizacional y gobernabilidad
Filosofa y estilo de operacin de la Gerencia
Asignacin de autoridad y responsabilidad
Polticas y prcticas de Recursos Humanos
13

2. Establecimiento de objetivo del

negocio
Los objetivos deben existir antes de que la direccin pueda
identificar potenciales eventos que afecten su consecucin. La
administracin de riesgos corporativos asegura que la direccin
ha establecido un proceso para fijar objetivos y que los objetivos
seleccionados apoyan la misin de la entidad y estn en lnea con
ella, adems de ser consecuentes con el riesgo aceptado.
Objetivos de operaciones Hacen referencia hacia la
efectividad y eficiencia de las operaciones, incluyendo objetivos
de desempeo y rentabilidad, as como recursos de salvaguarda
contra las prdidas.
Objetivos de informacin financiera Hacen referencia a la
preparacin de los EEFF publicados (Directorio, SUNAT, bancos,
acreedores, etc.), que sean confiables, incluyendo la prevencin
de informacin pblica fraudulenta.
Objetivos de cumplimiento Hacen referencia a la adhesin
a las leyes y regulaciones a las cuales la entidad est sujeta.
14

3. Identificacin de eventos de riesgo

Los eventos internos y externos que afectan a los
objetivos de la entidad deben ser identificados,
diferenciando entre riesgos y oportunidades. Estas
ltimas revierten hacia la estrategia de la direccin o
los procesos para fijar objetivos.
Tcnicas e identificacin de riesgos
Existen tcnicas focalizadas en el pasado y otras en el
futuro.
Existen tcnicas de diverso grado de sofisticacin.
Anlisis PEST (Factores polticos gubernamentales,
econmicos, tecnolgicos y sociales).
Anlisis FODA (Debilidades, oportunidades, fortalezas
y Amenazas).
15

3. Identificacin de eventos de riesgo

Ejemplos:
Inventarios de eventos
Anlisis de informacin histrica (de la
empresa/sector)
Indicadores de excepcin
Entrevistas y cesiones grupales guiadas por
facilitadores
Anlisis de flujos de procesos
Potencialmente los eventos tienen un impacto negativo,
positivo combinado, representando los primeros
riesgos inmediatos, medianos de largo plazo, los
cuales deben ser evaluados dentro del ERM.
16

3. Identificacin de eventos de riesgo

Son los riesgos asociados a los objetivos del negocio y
se relacionan con todos los niveles de la organizacin.
Alcance de los Objetivos de la Entidad
Constituye la base para un control efectivo. El
alcance de los objetivos de la organizacin
proporciona orientacin sobre lo que la entidad
quiere lograr.
Deben ser consistentes con el presupuesto,
estrategia y planes de negocio.
Nivel de Actividad
Est alineado con el alcance de los objetivos de la
entidad, su diferenciacin consiste en que se
relaciona directamente a metas establecidas con
objetivos especficos y fechas lmites.
Proporciona lineamientos para el enfoque de la
Gerencia
17

4. Evaluacin de Riesgos
Los riesgos se analizan considerando su probabilidad e impacto como base para
determinar cmo deben ser administrados. Los riesgos son evaluados sobre una base
inherente y residual bajo las perspectivas de probabilidad (posibilidad de que ocurra
un evento) e impacto (su efecto debido a su ocurrencia), con base en datos pasados
internos (pueden considerarse de carcter subjetivo) y externos (ms objetivos).

Factores externos

Factores internos

Desarrollo tecnolgico

Ruptura en el procesamiento de los SIG.

Necesidades y expectativas
cambiantes de clientes

La calidad del personal involucrado que

afecte el control.

Competencia, mercado.

Cambio en la responsabilidad de la
administracin afectando a ciertos
controles.

La legislacin y regulaciones
Las catstrofes naturales
Cambios econmicos

La naturaleza de las actividades de la

empresa, acceso de los empelados a los
activos.
Un Comit de auditoria que no funciona,
no es eficiente, etc.
18

5. Definicin de respuesta a los riesgos

La direccin selecciona las posibles respuestas - evitar,
aceptar, reducir o compartir los riesgos - desarrollando una
serie de acciones para alinearlos con el riesgo aceptado y
las tolerancias al riesgo de la entidad.
Las categoras de respuesta al riesgo son:
Evitarlo: Se toman acciones de modo de discontinuar las
actividades que generan riesgo
Reducirlo: Se toman acciones de modo de reducir e impacto, la
probabilidad de ocurrencia del riesgo o ambos
Compartirlo: Se toman acciones de modo de reducir el impacto o
la probabilidad de ocurrencia al transferir o compartir una
porcin del riesgo
Aceptarlo: No se toman acciones que afecten el impacto y
probabilidad de ocurrencia del riesgo

19

5. Definicin de respuesta a los riesgos

En cuanto a la visin del portafolio de riesgos en la
respuesta a los mismos, ERM establece:
ERM propone que el riesgo sea considerado desde
una perspectiva de la entidad en su conjunto de
riesgos
Permite desarrollar una visin de portafolio de
riesgos tanto a nivel de unidades de negocio como a
nivel de la entidad
Es necesario considerar como los riesgos
individuales se interrelacionan
Permite determinar si el perfil de riesgo residual de
la entidad est acorde con su apetito de riesgo global
20

5. Definicin de respuesta a los riesgos

Una vez evaluados los riesgos, la respuesta ser:
Estimacin del significado del riesgo, probabilidad de
ocurrencia (muy probable, probable, poco probable,
improbable).
Valoracin, impacto (muy alto, alto, moderado, leve) de
la probabilidad (o frecuencia) de ocurrencia del riesgo.
Consideracin de cmo se puede administrar el
riesgo, esto es, una valoracin de qu acciones deben ser
tomadas. Acciones que se pueden tomar para reducir la
probabilidad e impacto de la ocurrencia del riesgo por lo
que incluyen una gran cantidad de decisiones
administrativas, procedimientos para facilitar a la Gerencia
que haga seguimiento a la implementacin y efectividad
de las acciones.
21

6. Control de actividades
Las polticas y procedimientos se establecen e implantan para ayudar a asegurar
que las respuestas a los riesgos se llevan a cabo efectivamente.

Las Actividades de Control

son polticas y procedimientos
que nos ayudan a asegurar
que las acciones identificadas
para administrar los riesgos
sean ejecutadas en forma
oportuna.
Las actividades de control
deben estar incorporadas en
las operaciones del negocio y
utilizadas para administrar los
riesgos a niveles razonables.
Focalizadas en la Prevencin,
Deteccin y Correccin.

Tipos de actividades de control:

Aprobaciones, autorizaciones, y
verificaciones (Delegacin de
autoridad).
Supervisin directa funcional o de
actividades (conciliaciones).
Revisin de indicadores de
desempeo
Seguridad de Activos (control
fsico).
Segregacin de tareas (custodiaautoridad-registro).
Controles de Sistema de
Informacin (seguridad de
accesos).
Las acciones disciplinarias deben
establecerse, comunicarse, y
22
administrarse de manera
consistente en casos de

7. Informacin y Comunicacin
La informacin relevante se identifica, captura y comunica en forma y plazo
adecuado para permitir al personal afrontar sus responsabilidades. Una
comunicacin efectiva debe producirse en un sentido amplio, fluyendo hacia
abajo, a travs, y hacia arriba de la entidad.
Informacin y Comunicacin La integridad y calidad de la
requiere que la informacin
informacin es imperativa para la
externa e interna relevante se
toma de decisiones de negocios.
identifique, capture, procese, y
Requiere de mecanismos de control
comunique, en forma oportuna
a travs de la organizacin.
interno para proporcionar una
Proporcionada a travs de
seguridad razonable que la
varios medios informales y
informacin es apropiada, vigente,
formales.
oportuna, exacta y accesible.
Comunicacin verbal
(juntas, retroalimentacin) Responsabilidades de la Gerencia:
Los deberes y responsabilidades del
Comunicacin escrita
(polticas, procedimientos,
empleado debern ser comunicados
descripciones de puesto)
La comunicacin a travs de la
Demostracin a travs de
organizacin debe ser fluida hacia
acciones (puesto por la
arriba, abajo, y de manera lateral.
gerencia)
Los canales de comunicacin con
clientes, proveedores y terceros
externos deben estar abiertos.
23

8. Monitoreo
La totalidad de la administracin de riesgos corporativos es monitoreada y se
efectan las modificaciones necesarias. Este monitoreo se lleva a cabo mediante
actividades permanentes de la direccin, evaluaciones independientes o ambas
actuaciones a la vez. La administracin de riesgos corporativos no constituye
estrictamente un proceso en serie, donde cada componente afecta slo al siguiente,
sino un proceso multidireccional e iterativo en el cual casi cualquier componente
puede e influye en otro.

El propsito de Monitoreo es determinar si el

control interno est adecuadamente diseado,
adaptado y ejecutado, y si resulta eficaz.
El desempeo del control interno debe ser
determinado y evaluado a lo largo del tiempo
mediante el monitoreo de la marcha de las
operaciones y revisiones peridicas especficas.
El alcance y frecuencia del monitoreo de las
actividades depende de la importancia del
riesgo que esta siendo controlado y de la
importancia de los controles que reducen dicho
riesgo.

Las actividades de
monitoreo deben ser
incorporadas en las
actividades operativas
normales y recurrentes de
una organizacin.
Las deficiencias que puedan
detectarse deben tener
definida una va de reporte a
niveles superiores, y
mecanismos de seguimiento
y personal a cargo para la
24
accin correctiva.

25
Unidad 3