vi congreso regional de administración de riesgos ... · del impacto de los sistemas de...

COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno Leonidas Rey Senior Manager Ernst & Young - Servicios Financieros

VI Congreso Regional de Administración de Riesgos Financieros CORERIF Guatemala, 06 de Noviembre 2014

Agenda

► Marco Referencia COSO 2013

► Cambios clave

► Impacto

► ¿Cómo adaptarse a COSO 2013?

► El Rol de Auditoría Interna y Riesgo

COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno

Marco de Referencia COSO

¿Qué es COSO?

► Committee of Sponsoring Organizations of the Treadway Commission (COSO)

► Five Sponsoring Organizations


¿Qué es COSO?

► Marco de referencia cuyo objetivo es proveer orientación sobre: ► Gestión del control interno y detección de fraude

► Administración de riesgos

► Gobernabilidad y mejora del desempeño organizacional


¿Qué es Control Interno?

Proceso establecido por el Consejo de Dirección, la Administración y otro personal de una empresa, designado para proporcionar certeza razonable sobre el cumplimiento de objetivos en las siguientes categorías:

• Efectividad y eficiencia de las operaciones. • Confiabilidad de información financiera. • Cumplimiento con leyes y regulaciones

aplicables.



La definición de control interno comprende ciertos conceptos fundamentales:

► El control interno es un proceso. Es un medio para un fin, no un fin en sí mismo.

► El control interno es efectuado por personas. No es meramente la existencia de formularios y manuales que contienen políticas, sino personas en cada nivel de una organización.

► La dirección y el directorio de una empresa únicamente pueden esperar del control interno que provea seguridad razonable, no seguridad absoluta.

► El control interno se aplica en toda la entidad.



• Evaluación de la efectividad del sistema de control a largo plazo.

• Combinación de una evaluación continua e independiente.

• Actividades gerenciales y de supervisión.

• Actividades de auditoría interna.

• Define el rumbo para concientizar a los empleados en términos de controles.

• Factores que incluyen integridad, valores éticos, competencia, autoridad y responsabilidad.

• Basa para todos los demás componentes de control.

Es la identificación y análisis de riesgos relevantes para lograr los objetivos de la entidad – formando la base para definir las actividades de control.

Ambiente de Control

• Información adecuada, identificada, ingresada y comunicada de manera oportuna.

• Acceso a información generada interna y externamente.

• Un flujo que permite actividades de control exitosos- desde asignaciones de responsabilidad hasta resumen de hallazgos para acciones de la gerencia.

Información y Comunicación Evaluación de Riesgo

• Políticas/procedimientos que aseguran que se siguen las directrices de la gerencia.

• Rango de actividades, tales como: aprobaciones, autorizaciones, verificaciones, recomendaciones, revisiones de rendimiento, seguridad de activos y segregación de funciones.

Actividades de Control

Monitoreo


COSO I – COSO II ERM

Expandido en tres componentes

Principales cambios de COSO I – COSO ERM


COSO 2013

1992 2006 2009 2013


COSO 2013

Mayo 2013

2014

Transición

El Marco COSO

original será

sustituido


Cambios Clave

Una historia de crisis recurrentes

► El caso de Enron en 2001.

► Caso BANINTER, BANCREDITO (2003)

► La crisis financiera del 2008.

► El caso de Banco Espirito Santo en 2014.


Las causas de fondo

► El elemento en común. Fallas en:

► Gobierno Corporativo,

► Juntas Directivas y los comités de Auditoría, Riesgo y Cumplimiento.

► Razones:

► Negocios cada día más grandes y complejos,

► Presión por crecimiento y rentabilidad,

► Incentivos mal estructurados.

► Las (sobre) reacciones y exigencias por parte de reguladores, accionistas, inversionistas, accionistas, público y Basilea.

► Presión de partes interesadas

► Mayor escrutinio por parte de

agencias calificadoras,

reguladores, accionistas, etc.

► Agencias de rating y

corresponsales

► Aumento en primas de riesgo y

deterioro en el precio por

acción

► Practicas de mercado

► Impactos en la reputación

► Mayor numero de regulaciones

► Costo de penalidades

► Muchas consecuencias


Ambiente financiero altamente regulado

OECD

NACD

SEC

NYSE

rules

SOX

NASDAQ

rules

ALI

BRT Employment

& Labor

AS 3806

FSG Thompson

Memo

TIAA

CREFF

PCAOB

CalPERS

ISO 9000

SBP

ERM

COSO

ERM AS 4360

BIS

Baldrige

European

Quality CSR GRI

AA 1000 SA 8000

ISO: CSR ISO14000

TIAA

CREFF

Governance

Quality

Legal

Compliance

Prosecutorial

Guidance

Wage &

Hour

Workplace

Violence

FDA

Conference

Board

CII

AS 4269

Government

Contracts

Anti-

Discrimination

Anti-

Harassment

Contingent

Workforce

Hiring &

Retention

HIPAA

Information

Management

Employee

Information

GLBA ISO 17709

CCA &

FISCAM

GAO XBRL

COBIT

NIST

8-2010

8-2011 Turnbull

AFL-CIO

King II

21(a)

Seaboard Caremark

Environmental

ILO

Conventions

AICPA

SAS 99 & 70

FFIEC

WebTrust

SysTrust

COSO

Internal Control

OCC

5-2011

CMM

FCPA

OFEHO Federal

Reserve

Human

Capital CMM

CISA

HHS

Guidance

Abbott

Decision

DoD

IIA

Guidance 5-2008

Anti-

Money Laundering

4-2013 Anti-Fraud USA

PATRIOT DII

IRS & Tax Competitive

Practices

CCGG

7-2011


¿Qué ha cambiado?

COSO’s Internal Control – Integrated Framework (1992 Edition)

Objetivos actualizados

Mejoras

COSO’s Internal Control – Integrated Framework (2013 Edition)

Reflejar los cambios significativos en el ambiente de negocio y sus riesgos asociados

Actualiza el contexto

Enfoque en las operaciones, el cumplimiento y los objetivos de información no financieros

Amplia los requerimientos

Codificar los criterios a utilizar en el desarrollo y la evaluación de los sistemas de control interno

Principios

Punto Focal

Estado actual

Estado futuro


• Mayores expectativas de

supervisión por parte de los

stakeholders

• Globalización de los

mercados y de las

operaciones

• Evolución de los sistemas

de información

• Necesidades de prevención

e identificación de fraude

• Nuevas leyes, reglas y

regulaciones

¿Por qué ha cambiado?

1. Detalla principios y puntos

de interés para determinar

la efectividad del Sistema

de Control Interno.

2. Amplía el objetivo de

reporte, enfocándose no

sólo en la información

financiera, sino también en

la no financiera.

3. Mayor consideración para

los controles de prevención

e identificación de fraude

4. Profundiza en la necesidad

de la calidad de

información que debe

darse entre la compañía

Principales Cambios

5. Se amplía la información

sobre la necesidad de

Gobierno Corporativo

6. Incrementa la relevancia

del impacto de los sistemas

de información (TI),

considerando la calidad,

confiabilidad y protección

de la información

7. Incorpora dentro del cubo

de Sistema de Control

Interno a las divisiones o

unidades de negocio

soportadas por los terceros

8. Mayor detalle sobre los

canales de información

internos y externos.

Nuevo sistema de control interno - COSO


Principios del nuevo marco COSO

1. Demostrar compromiso con la integridad y la ética

2. Ejercer la responsabilidad de supervisión

3. Establecer una estructura, autoridad y responsabilidades

4. Comprometerse con la competencia profesional

5. Reforzar la responsabilidad de rendir cuentas

Ambiente de Control

6. Definir objetivos 7. Identificar y analizar los riesgos 8. Evaluar el riesgo de fraude 9. Identificar y analizar los cambios

que puedan afectar al Sistema de Control Interno

Evaluación de Riesgos

10.Diseñar y ejecutar actividades de control

11.Diseñar y ejecutar actividades de control para los sistemas de información

12.Desplegar los controles a través de políticas y procedimientos

Actividades de Control

13.Utilizar información relevante y de calidad para la función de control interno

14.Comunicar internamente la información relevante, incluyendo objetivos y responsabilidades para el control interno

15.Comunicar externamente la información relevante del Sistema de Control Interno

Información y Comunicación

16.Seleccionar, desarrollar y ejecutar evaluaciones continuas y periódicas de cada componente del Sistema de Control Interno.

17.Evaluar y comunicar las deficiencias de control interno, de manera oportuna, a los responsables de tomar acciones correctivas (Gerencia o Junta Directiva)

Actividades de Supervisión

A B C

D E


COSO 2013 – Cambios Clave

► Principios del ambiente de control (1-5) – minimizar las lagunas alrededor de las áreas donde el modelo de negocio de las organizaciones puede haber evolucionado o transformados a partir del modelo tradicional en los últimos años (por ejemplo, empresas conjuntas, la utilización de las organizaciones de servicios, servicios compartidos).

► Principios 6, 7 y 9 - Evaluación del riesgo - la expansión del universo y el micro-universo.

► Principio 8 - Consideración del fraude – incorporar evaluaciones de riesgo de fraude; mejorar el enfoque y la documentación de los controles de fraude.

► Principio 10 - Diseñar y ejecutar actividades de control para los sistemas de información

► Principio 14 - Comunicar internamente la información relevante, incluyendo objetivos y responsabilidades para el control interno

Pu

nto

s d

e E

nfo

qu

e

A Ambiente de Control

B Evaluación de Riesgos

C Actividades de Control

D Información y Comunicación

E Monitoreo


Relevancia incrementada de la tecnología

Infraestructura y recursos tecnológico

Estructura

COSO 2013

Principales riesgos asociados a la “Cloud

computing”

Principales riesgos asociados a la

informática móvil

Principales riesgos asociados

a la gestión de riesgo de terceros

Selecciona y desarrolla los

controles generales sobre

la tecnología

Principales riesgos asociados

a la seguridad cibernética


Impacto de COSO 2013

Tres líneas de defensa

► Comités como forma de cumplir con las nuevas responsabilidades de la Junta Directiva

► Los tres pilares fundamentales: Comités de Auditoría, Riesgo y Cumplimiento. Deben ser complementados por la Administración

Estructura de Gobierno Corporativo, Junta Directiva,

Comités de JD

Alta Administración

Sistemas de

Control Geren-ciales

Indicado-res

Alertas KRI KPI

Medidas

de Control

1ra. línea de defensa 2da. línea de defensa

Controles Financieros

Seguridad

Gestión de Riesgos

Calidad

Cumplimiento

Auditoría Interna

3ra. línea de defensa

Au

dito

res E

xte

rno

s

Re

gu

lad

ore

s

COSO 2013 - ¿Cuál impacto? Un vistazo a su nivel de adopción en el mundo

De acuerdo con los

resultados de la encuesta

“North American Pulse of the

Profession Survey” del IIA’s,

un número mayor de

organizaciones financieras y

no financiera están

dispuestas a adoptar COSO

2013 con relación a su

versión de 1992.

41%

27%

20%

4% 8%

Tipos de organización que planean aplicar el modelo COSO 2013

Bolsa pública

Financiamientoprivado

Sector público

Proveedoras deservicios /

consultoras

Otros tipos deorganización

Fuente: The Instituo of Internal Auditors North American Pulse of the Profession Survey, Septiembre 2013.


COSO 2013 - ¿Cuál impacto? Variará según el tipo de organización

Impacto

Imp

acto

Impacto

Impacto

Impacto Impacto

COSO 2013

COSO 2013

COSO 2013

COSO 2013

CO

SO

20

13

CO

SO

20

13

CO

SO

20

13

CO

SO

20

13

Imp

act

o

Imp

act

o

Varía según su organización




Va

ría se

gú

n su

org

an

izació

n

Va

ría

se

gú

n s

u o

rga

niz

aci

ón




Va

ría se

gú

n su

org

an

izació

n

COSO 2013

COSO 2013

COSO 2013

COSO 2013

CO

SO

20

13

CO

SO

20

13

Imp

acto

Imp

act

o

Impacto

Impacto

Impacto

Impacto

Imp

act

o

Imp

act

o

Imp

act

o

Impacto

Impacto

CO

SO

20

13

COSO 2013

Impacto Impacto

¿Necesita un sistema de control interno para

hacer frente a los cambios?

¿Necesita su sistema de control interno

actualizarse para hacer frente a todos los

principios?

¿Su organización aplica e interpreta el marco original de la misma

manera como COSO?

¿Qué pasa si no estamos listos?

¿Cuánto esfuerzo debemos asignar a esto?


COSO 2013 - ¿Cuál impacto? Variará según el tipo de organización

Tres respuestas comunes han surgido impulsadas por la madurez del ambiente de control existente en términos de: ► Integridad, integración y eficacia de los componentes de

COSO. ► La eficiencia actual y prospectiva que debe ser apta para

el afrontar los cambios previstos y necesidades del entorno organizacional.

COSO mapeo de remediaciones

mínimas

COSO cambios de iniciativas sobre el control interno

Se espera que la respuesta de remediación consista en: ► Una remediación más amplia debido a limitaciones o falta de

efectividad de la adopción original COSO, cambios significativos en el negocio desde que la adopción.

► Remediación incremental para subsanar las deficiencias específicas o mejoras en el diseño del entorno de control en respuesta a los cambios evolutivos en el negocio o la adopción de prácticas conducentes.

► Una expansión más allá del Control Interno sobre el Reporte Financiero (ICFR) y el uso de los principios de COSO para subrayar la necesidad de aumento de los controles operacionales, sobre los informes internos, el gobierno corporativo y una disminución de los costos de control.

Principales prácticas de adopción COSO

Gap incremental de

remediación —

áreas bajo riesgo

Gap incremental

de remediación —

áreas de alto

riesgo

Remediación

completa de

brechas

Remediación

de eficiencia


Beneficios del marco de referencia actualizado

Depempeño

Agilidad

Confianza Claridad

Administración y Junta Directiva

Partes Externas Otros Usuarios

► Mejorar el GC

► Expande el uso más allá del reporte financiero

► Mejorar la calidad de la evaluación de riesgos

► Fortalecer esfuerzos anti-fraude

► Adaptar los controles a las necesidades cambiantes del negocio


¿Cómo Adaptarse a COSO 2013?

Plan de juego COSO 2013 - Transición

Para dirigir los cambios que requiere el nuevo marco COSO 2013, es esencial una coordinación integral de la Gerencia, Comité de Auditoría, Auditoría Interna,

Administración Integral de Riesgos y todas las funciones que juegan una papel fundamental en el sistema de control interno de la organización

1.

Iniciar una discusión con la alta dirección y el comité de auditoría sobre el nuevo marco COSO, destacando sus principales cambios e implicaciones para el sistema de control interno de la organización.

2.

Revisar y establecer un proceso para identificar y evaluar los cambios en riesgos, controles (si los hubiera) y en la documentación relacionada.

3.

Documentar su enfoque para la aplicación del nuevo marco COSO y el plan de transición incluyendo los cambios en los riesgos, controles y documentación relacionada.


Fase III

Monitoreo

► Monitoreo y mejora continua

► Implementación de

oportunidades de mejora

Ciclo de adopción del marco COSO

Actualización de

riesgos y

controles

Actualización

de mapas de

procesos

Ejecución de

las pruebas

de controles

Actualización

de políticas

corporativas

Actualización

de

procedimientos

de pruebas y

controles

Fase II

Adopción

► Sensibilización

► Actualización de

la

documentación

Fase I

Diagnóstico

► Análisis de

brechas

► Cuantificación

del impacto

El sistema de Control Interno

es la base de una gestión

orientada al logro de los

objetivos operacionales,

financieros y de cumplimiento

de una organización, así

como para el fortalecimiento

del Gobierno Corporativo


Impacto del COSO 2013 en las funciones de Auditoría Interna y Riesgo

Impacto en las funciones de Auditoría Interna y Riesgo Línea Gerencial

► Mapear los 17 principios a los controles existentes para demostrar que estos principios estén presentes y funcionando en apoyo de los objetivos organizacionales.

► Identificar y analizar las brechas de diseño de control con la alta dirección y desarrollar los planes para remediar las brechas.

Riesgo y Cumplimiento

► Llevar a cabo una evaluación del impacto del Marco COSO de 2013 sobre las políticas de la organización, la orientación, la formación y las herramientas relacionadas.

► Trabajar con la alta dirección y la línea gerencial para comunicar el impacto del Marco COSO de 2013 sobre la organización de Auditoría Interna, la Junta Directa/ y Comité de Auditoría.

► Revisar la metodología para la evaluación de riesgos para hacer frente a los 17 principios que apoyan a los 5 componentes para la consecución de los objetivos organizacionales.


Impacto en las funciones de Auditoría Interna y Riesgo Auditoría Interna

► Discutir con el comité de auditoría del impacto del marco de 2013 sobre las operaciones y los planes de auditoría interna.

► Referir los 17 principios en la evaluaciones realizadas por la auditoría interna, en las comunicaciones con el Comité de Auditoría y con la Gerencia.

► Trabajar proactivamente con la línea gerencial, riesgo y complimiento en el diseño del plan de transición hacia COSO 2013.

► Participar en las discusiones con auditoría externa para revisar el plan de transición al Marco COSO 2013 y entender las implicaciones en la ejecución de las auditorías futuras.

.


Otras consideraciones

De acuerdo con el practice guide: “Developing the Internal Audit Strategy plan” del Instituto de Auditores Internos dice que es importante realizar un FODA para conocer si con sus capacidades actuales pueden cumplir con la visión y alcanzar las expectativas de las partes interesadas.

Impacto en las funciones de Auditoría Interna y Riesgo

Estructura organizacional

Requerimientos de recursos

Tecnología y herramientas

Modelos de tercerización


Otras consideraciones para Auditoría Interna Relevancia de la Tecnología de Información (TI)

► Aspectos relacionados con TI se incluyen en14 de los 17 principios.

► Principio 11: La organización selecciona y desarrolla actividades de control generales sobre la tecnología para apoyar el logro de los objetivos.

► La discusión de la utilización de TI para ayudar a monitorear, continua dentro del sistema de control interno (por ejemplo, el uso de sistemas GRC y para el análisis de datos).

► Requisitos para garantizar la calidad de la información (es decir, la integridad de datos)


Nunca pienso en el futuro porque llega muy pronto Albert Einstein

Contáctenos:

Leonidas Rey CPA MBA

Senior Manager

LAFSA Risk Advisory FSO Office: +506 2208 6741| Mobile: +506 5009 1833 e-mail: [email protected]

mailto:[email protected]

vi congreso regional de administración de riesgos ... · del impacto de los sistemas de...

Documents