Download - COSO Evaluacion Control Auditoria
EL CONTROL INTERNO CON ENFOQUE AL COSO
1.1 DEFINICION:
COSO (Committee of Sponsoring Organizations of the Treadway Commission
1992) Proceso, efectuado por el consejo de administración, la dirección y el resto
del personal de una entidad, diseñado con el objeto de proporcionar un grado de
seguridad razonable en cuanto a la consecución de objetivos dentro de las
siguientes categorías:
Eficacia y eficiencia de las operaciones
Fiabilidad de la información financiera
Cumplimiento de leyes y normas que sean aplicables
El Informe COSO internacionalmente se considera hoy en día como un punto de
referencia obligado cuando se tratan materias de control interno, tanto en la
práctica de las empresas como en los niveles legislativos y docentes. El Informe
COSO cuenta con un objetivo primordial que es establecer una definición de
control interno y un desarrollo de los conceptos lo más claro posible, o sea que fue
modificada en cuanto a su enfoque tradicional, de forma que cuando se hable de
control interno todo el mundo esté hablando de lo mismo.
1.2 ANALISIS DE LA DEFINICION:
Es un proceso: Serie de acciones inherentes a la gestión del negocio. Los
procesos de negocio contemplan la integración del Control Interno en éstos. Esta
integración influye directamente en la capacidad de la dirección para conseguir
sus objetivos. Las iniciativas del Control se convierten en parte de la estructura de
la empresa (Ejemplo: Calidad en el estilo empresarial, calidad en los procesos,
calidad en los productos).
Repercuten además en los costos de la empresa.
Página 1
1.3 OBJETIVOS:
Objetivos de Operaciones: Relacionados con el uso eficiente y eficaz de
los recursos.
Objetivos de Información Financiera:
Relacionados con la preparación de reportes
financieros confiables.
Objetivos de Cumplimiento: Relacionados
con leyes y reglamentos aplicables.
Eficiencia y eficacia de las operaciones.
Confiabilidad de la
informaciòn financiera
Cumplimiento de leyes y
regulaciones aplicables.
Página 2
1.4 COMPONENTES DEL CONTROL INTERNO CON ENFOQUE AL COSO
El control consta de cinco componentes interrelacionados que se derivan de la
forma como la administración maneja el negocio, y están integrados a los
componentes administrativos. Los componentes son:
1. Ambiente de control
2. Evaluación de riesgo
3. Actividades de control
4. Información y comunicación
5. Supervisión ò Monitoreo
1.4.1 AMBIENTE DE CONTROL
El ambiente de control comprende las acciones establecidas con el fin de
estimular e influenciar al personal de la organización respecto al control de sus
actividades. Constituye el elemento principal debido a que los otros componentes
se basan en el ambiente de control para su desarrollo efectivo.
En este elemento influye mucho la actitud de la administración respecto con el
control interno de la organización que tiene a su cargo.
Existe también una relación directa entre los objetivos y los cinco componentes
referenciados, la que se manifiesta permanentemente en el campo de la gestión:
las unidades operativas y cada agente de la organización conforman
Página 3
secuencialmente un esquema orientado a los resultados que se buscan, la matriz
constituida.
En lo que se refiere al ambiente de control este componente es afectado por
algunos factores entre los cuales tenemos:
a) Integridad y valores éticos
b) Compromiso hacia la competencia
c) Comité directivo y de auditoría
d) Estilo operativo y filosofía de la administración
e) Estructura Organizativa
f) Asignación de autoridad y responsabilidad
g) Políticas y prácticas en materia de los recursos humanos
a) Integridad y Valores Éticos
Los valores éticos, son aquellos valores morales que permiten determinar una
línea de comportamiento apropiado en la toma de decisiones. Estos valores
deberían basarse en lo que es correcto y no limitarse únicamente a lo legal, la
sociedad asigna buena reputación a la empresa.
La integridad y los valores éticos son elementos esenciales del ambiente de
control afectando el diseño, la administración y el monitoreo de otros componentes
del Control Interno.
b) Compromiso De Competencia Profesional
La competencia debe reflejar las habilidades o conocimientos específicos
requeridos para desempeñar las tareas que definen el trabajo de cada individuo.
El conocimiento depende de la inteligencia y el entrenamiento, mientras que las
habilidades dependen de la experiencia en el puesto.
Página 4
Le corresponde a la Dirección definir los niveles de competencia para cada puesto
de trabajo y cuáles son las habilidades y conocimientos que espera de quien
ocupa dicho puesto.
Generalmente hay una compensación entre competencia y costo, por ejemplo, no
es necesario contratar a un ingeniero eléctrico para encender una lamparita.
A su vez, la Dirección determina cuán bien deben ser cumplidas las tareas para
contribuir al logro de los objetivos organizacionales y no apartarse de la estrategia
implantada.
La especificación del puesto por lo general se basa en los juicios experimentados
de los gerentes, sin embargo, también se puede utilizar un enfoque estadístico
más preciso para desarrollar las especificaciones.
c) Directorio o Comité de Auditoría
Otro factor relevante que influye en el Ambiente de Control, según el Informe
C.O.S.O., es el accionar que tengan el Directorio o el Comité de Auditoría.
El Directorio está integrado por un conjunto de personas que pueden ser internas
o externas a la organización, cuyas funciones son las de proveer autoridad,
orientación, vigilancia y supervisión a la Dirección o grupo gerencial.
El Directorio retiene autoridad para ciertas decisiones claves, como son la fijación
de objetivos al nivel de la entidad y la planificación estratégica, y a través de la
vigilancia que realiza, se involucra fuertemente en el Control Interno.
d) Filosofía Y Estilo Operativo De La Dirección
La Dirección está conformada por un Gerente General y sus respectivos Gerentes
Funcionales.
Página 5
La Dirección es directamente responsable por todas las actividades de una
empresa, incluyendo sus sistemas de Control Interno. Da forma a los valores, los
principios y principales políticas operativas que constituyen la base del sistema de
Control Interno.
La Dirección es quien fija los objetivos al nivel de entidad, toma acciones relativas
a la estructura organizacional, contenido y comunicación de políticas claves y los
tipos de sistemas de planificación e información que usará la organización.
Todas las funciones influirán o afectarán de diferente manera a la organización
dependiendo de cómo la dirección las ejecute, es decir del estilo que ésta adopte.
Puede clasificarse en prudente o imprudente, o también puede decirse que una
dirección es conservadora en su actuar o es agresiva.
Cuando aquí hablamos de estilo de Dirección nos referimos principalmente a la
actitud de la gerencia con respecto al Control Interno.
e) Estructura Organizacional
La estructura organizacional no deberá ser tan sencilla que no pueda controlar
adecuadamente las actividades de la empresa ni tan complicada que inhiba el flujo
necesario de información. Los ejecutivos deben comprender cuáles son sus
responsabilidades de control y poseer la experiencia y los niveles de
conocimientos requeridos en función de sus cargos.
La estructura organizacional es el marco en que las actividades son planeadas,
ejecutadas, controladas y monitoreadas para lograr los objetivos al nivel de la
entidad.
El proceso de diseño organizacional comprende cuatro etapas:
1 - Departamentalización
2- Asignación de actividades
3 - Determinación de autoridad y responsabilidad
Página 6
4 - Relacionamiento entre las unidades
f) Asignación De Autoridad Y Responsabilidad
La autoridad es el elemento que da cohesión a la estructura organizacional, tiene
como base el cargo que ocupa quien ejerce la autoridad y por ello es impersonal y
es conferida por la organización.
Dentro de este factor se analizan la asignación de autoridad y responsabilidad
para actividades operativas, y establecimiento de relacionamiento para la
elevación de informes.
g) Políticas y Prácticas de Recursos Humanos
De todos los factores del Ambiente de Control, se da énfasis en el estudio de las
Políticas y Prácticas de Recursos Humanos, por considerar que los Recursos
Humanos son los activos más importantes que tiene una organización y su
efectiva gerencia es la clave del éxito. Este es más probable de lograr si las
políticas y procedimientos de personal están estrechamente ligados y hacen una
contribución importante al logro de los objetivos asociados en sus tres categorías.
Las prácticas relativas a Recursos Humanos envían mensajes a los empleados en
cuanto a niveles esperados de integridad, comportamiento ético y competencia.
Dichas prácticas se relacionan con las acciones referidas a contratación,
orientación, entrenamiento, evaluación, consejo, promoción, compensación y
corrección.
1.4.2 EVALUACIÓN DE RIESGO
El segundo componente de control, involucra la identificación y análisis de riesgos
relevantes para el logro de los objetivos y la base para determinar la forma en que
tales riesgos deben ser manejados.
Página 7
Así mismo se refiere a los mecanismos necesarios para identificar y manejar
riesgos específicos asociados con los cambios, tanto los que influyen en el
entorno de la organización como en el interior de la misma.
Para lo anterior, es indispensable primeramente el establecimiento de objetivos
tanto a nivel global de la Organización como al de las actividades relevantes,
obteniendo con ello una base sobre la cual sean identificados y analizados los
factores de riegos que amenazan su oportuno cumplimiento.
La evaluación del riesgo se lo considera como el proceso para incrementar la
confianza en la habilidad de una organización para anticipar, priorizar y superar
obstáculos para alcanzar sus metas, para alcanzar sus metas, para lo cual es
necesario:
Identificar el Riesgo
Evaluar el Riesgo
HERRAMIENTAS DE EVALUACION:
1. Herramientas:
Conjunto de formularios organizados por componentes, junto con otros
formularios con el fin de lograr una evaluación final.
Un manual de referencias diseñado para el evaluador a completar una “hoja
de evaluación de riesgo y actividades de control”.
2. Herramientas de evaluación:
Página 8
Evaluación de Riesgos
Mecanismos establecidos para identificar,
analizar y administrar riesgos relacionados
con varias actividades en las que la entidad
está involucrada y que pueden impedir el
logro de objetivos.
Son cinco, una para cada componente.
Un encabezamiento y una breve introducción sirven para identificar cada
factor o elementos significativos dentro de cada componente.
Temas claves a abordar están incluidas dentro de la columna (Puntos de
atención).
Los puntos de atención están identificados con un (*).
No todos los puntos de atención son aplicables a todas las entidades.
En la columna “comentarios” proporcionan el espacio para incluir los
comentarios correspondientes.
No respuestas Si – No.
Espacio para la conclusión final.
Identificar el Riesgo
A nivel de la entidad: se pueden originar por factores internos y externos. Entre los
factores externos encontramos por ejemplo:
Desarrollo tecnológico
Cambio de las necesidades y expectativas del cliente
Competencia
Nuevas legislaciones y regulaciones
Catástrofes naturales
Entre los factores internos encontramos por ejemplo:
Una interrupción en el procesamiento de sistemas información
La calidad del personal contratado y los métodos de entrenamiento y
motivación.
Un cambio en las responsabilidades de la administración
La naturaleza de las actividades de la entidad y el acceso de los
empleados a los activos
Un comité directivo o de auditoría ineficaz
Página 9
A nivel de la actividad: Considerar riesgos en este nivel ayuda a enfocar la
evaluación de riesgos en las funciones importantes del negocio: ventas,
producción, marketing, desarrollo de tecnología e investigación y desarrollo.
Al evaluar exitosamente el riesgo a nivel de actividades se contribuye a mantener
niveles aceptables a nivel entidad.
Evaluar el Riesgo
Al momento de evaluar el riesgo debemos enfocar el proceso de la administración
para establecer objetivos, analizar los riesgos y administrar el cambio, incluyendo
sus conexiones y relaciones con las actividades del negocio.
Para lo cual se deben considerar los siguientes puntos:
Objetivos a nivel de entidad
A qué grado los objetivos generales de la entidad proporcionan guía sobre
lo que la entidad desea lograr.
Eficacia con la que se comunican los objetivos a los empleados y directivos
Relación y consistencia de las estrategias con los objetivos
Consistencia de los planes de negocio y presupuestos con los objetivos,
planes estratégicos y circunstancias vigentes.
Objetivos a nivel de actividad
Conexión entre los objetivos a nivel entidad y actividad con los planes
estratégicos.
Consistencia de los objetivos a nivel de actividad.
Importancia de todos los objetivos a nivel de actividad para todos los
procesos importantes.
Grado de especificación de los objetivos a nivel de actividad.
Lo adecuado de los recursos relacionados con los objetivos.
Identificación de objetivos que son importantes para el logro de los
objetivos de la entidad.Página 10
Involucramiento de todos los niveles de administración en el
establecimiento de los objetivos y a qué grado están comprometidos con
dichos objetivos.
1.4.3 ACTIVIDADES DE CONTROL
Las actividades de control abarcan una gran variedad de políticas y los
procedimientos correspondientes de implantación que ayudan a asegurar que se
siguen las directrices de la dirección. Ayudan a asegurar que se llevan a cabo
aquellas acciones identificadas como necesarias para afrontar los riesgos y así
conseguir los objetivos de la entidad.
Las actividades de control se ejecutan en todos los niveles de la organización y en
cada una de las etapas de la gestión, partiendo de la elaboración de un mapa de
riesgo conociendo los riesgos, se dispone los controles destinados a evitarlos o
minimizarlos, los cuales puede agruparse en tres categorías según el objetivo de
la entidad con el que están relacionados:
Las operaciones
La confiabilidad de la información financiera
El cumplimiento de leyes y reglamentos.
En muchos casos, las actividades de control pensadas para un objetivo suelen
ayudar también a otros: los operacionales pueden contribuir a los relacionados con
la confiabilidad de la información, están al cumplimiento normativo y así
sucesivamente.
A su vez en cada categoría existen diversos tipos de control:
Preventivo / Correctivo
Manuales / Autorizados o Informativos
Página 11
Gerenciales o directivos
En todos los niveles de la organización existen responsabilidades de control, y es
preciso que los agentes conozcan individualmente cuales son las que les
competen, debiéndose para ello explicar claramente tales funciones.
1.4.4 INFORMACION Y COMUNICACIÓN
Información
Se identifica, recoge, procesa y presenta por medio de los sistemas de
información. La información pertinente incluye los datos del sector y los datos
económicos y de organismos de control obtenidos de fuentes externas así como la
información generada dentro de la organización.
Comunicación
La comunicación es inherente al proceso de información. La comunicación
también se lleva a cabo en un sentido más amplio, en relación con las
expectativas y responsabilidades de individuos y grupos.
La comunicación debe ser eficaz en todos los niveles de la organización (tanto
hacia abajo como hacia arriba y a lo largo de la misma) y con personas ajenas a la
organización.
Así como es necesario que todos los agentes conozcan el papel que les
corresponden desempeñar en la organización (funciones, responsabilidades) es
imprescindible que cuenten con la información periódica y oportuna que deben
manejar para orientar sus acciones en consonancia con los demás, hacia el mejor
logro de los objetivos.
La información relevante debe ser captada, procesada y transmitida de tal modo
que llegue oportunamente a todos los sectores permitiendo asumir las
responsabilidades individuales.Página 12
1.4.5 SUPERVISION
Supervisión continuada La supervisión continuada se produce en el transcurso
normal de las operaciones e incluye las actividades habituales de gestión y
supervisión, así como otras acciones que efectúa el personal a realizar sus tareas
encaminadas a evaluar los resultados del sistema de control interno.
Evaluaciones puntuales Resulta útil examinar el sistema de control interno de vez
en cuando, enfocando el análisis directamente a la eficacia del sistema. El alcance
y la frecuencia de tales evaluaciones puntuales dependerán principalmente de la
evaluación de los riesgos y de los procedimientos de supervisión continuada.
Comunicación de las deficiencias de control interno
Las deficiencias de control interno deberían ser comunicadas a los niveles
superiores y las más significativas deben ser presentadas a la alta dirección y al
consejo de administración.
BIBLIOGRAFIA
WESBERRGI, Jim, CORRE, Evaluación de Riesgos
MANTILLA, Samuel Alberto, AUDITORÍA, Control Interno, Segunda
Edición
MANTILLA, Samuel Alberto, CONTROL INTERNO, Informe Coso,
Cuarta Edición
Página 13