Compilacin Bibliogrfica: Ley de Sarbanes-Oxley (SOX) y Committee of Sponsoring Organizations (COSO)

Jos Alejandro Arias M. cod.907037

Materia: Auditora de Sistemas II

Profesor: Carlos Hernn Gmez

Universidad Nacional de Colombia Sede Manizales

Marzo de 2010

NDICE

Introduccin_________________________________________ 3 Marco Terico________________________________________ 4 Desarrollo del Trabajo__________________________________6 Ley de Sarbanes-Oxley____________________________6 COSO__________________________________________11 Comparativo con COBIT__________________________ 24 Resumen____________________________________________ 25 Conclusiones y Observaciones__________________________29 Bibliografa___________________________________________30

INTRODUCCIN En el trabajo presentado a continuacin se presenta una compilacin bilbiogrfica basada inicialmente en la reconocida ley SOX o de Sarbanes-Oxley, la cual ha visto la luz desde hace poco a raz de los principales escndalos financieros en Estados Unidos en inicios del nuevo milenio. Para la recopilacin de esta informacin se recurri a diversos escritos y artculos que mencionaban caractersticas de la ley, as como a su vez resuman algunos artculos importantes, el resultado final es un compendio bien explicado de la ley en cuanto a sus inicios y sus intereses. Tambin se aborda el tema de COSO (Committee of Sponsoring Organizations of Treadway Comission), el cual bsicamente es un comit de iniciativa privada, que ha propuesto un marco de control en conformidad con la ley SOX. Para este tema se tuvo que hacer una investigacin un poco ms exhaustiva ya que el material viene principalmente en Ingls, de esta manera se recurri a sitios de internet de algunas compaas auditorias que explicaban en conformidad este marco de referencia. El resultado es una explicacin de buen nivel en la cual se profundizan los 5 componentes principales que se encuentran en este marco.

MARCO TERICO

El Control Interno: El Control Interno es el conjunto de principios, fundamentos, reglas, acciones, mecanismos, instrumentos y procedimientos que ordenados, relacionados entre s y unidos a las personas que conforman una organizacin, se constituye en un medio para lograr el cumplimiento de sus objetivos y la finalidad que persigue frente a los diferentes pblicos o grupos de inters que debe atender. En consecuencia el Control Interno no es un evento aislado, ms bien es una serie de acciones que ocurren de manera constante a travs del funcionamiento y operacin de una entidad, debiendo reconocerse por lo tanto como un componente integral de cada sistema parte inherente a la estructura administrativa y operacional existente en la organizacin, asistiendo a la direccin de manera constante, en cuanto al manejo de la entidad y la realizacin de sus metas se refiere. Quines ejercen el control interno? El control interno lo ejerce cada uno de las personas que hacen parte de la entidad y que contribuyen al cumplimiento de los objetivos establecidos. Para qu sirve el control interno? Sirve para garantizar que cada uno de los procesos, polticas, metas y actividades se cumplan de acuerdo a lo preestablecido, dando el mximo de rendimiento en cumplimiento de su misin. Principios del control interno La Constitucin Poltica de 1991, estableci los principios que deben cumplirse en el ejercicio de la Funcin Pblica de Administrar el Estado, constituyndose en los preceptos fundamentales definidos para encaminar su desarrollo y otorgar orientacin estratgica a la toma de decisiones. Estn presentes en todos los procesos, actividades o tareas emprendidas por la entidad pblica a fin de cumplir con su propsito institucional. Responsabilidad Transparencia Moralidad

Igualdad Imparcialidad Eficiencia Eficacia Economa Celeridad Publicidad Preservacin del medio ambiente

Fundamentos del Control Interno Autorregulacin Autocontrol Autogestin

Auditora Interna Mecanismo a travs del cual las Oficinas de Control Interno verifican el cumplimiento de las metas, procedimientos, polticas, objetivos, planes, programas, proyectos, directrices, normatividad, de la entidad pblica, como tambin oportunidades de mejora a la operacin de las actividades; apoyando a la alta direccin en la toma de decisiones sobre la base de evidencias para corregir las desviaciones presentadas.

DESARROLLO La Ley de Sarbanes Oxley (SOX)

En julio del 2002, en medio de un agitado clima poltico y econmico, el congreso americano sancion la resonada ley Sarbanes-Oxley (SOX), un compendio jurdico de ms de 100 pginas de estrictos lineamientos contables y corporativos, lo que signific para muchos, una clara injerencia del estado en los asuntos internos corporativos, as como una gradual prdida de libertad del manejo corporativo. La Ley Sarbanes-Oxley ha generado mucha controversia, ya que sta va en respuesta a los escndalos financieros de algunas grandes corporaciones, entre los que se incluyen los casos que afectan a Enron, Tyco International, WorldCom y Peregrine Systems. Estos escndalos hicieron caer la confianza de la opinin pblica en los sistemas de contabilidad y auditora. La Ley toma el nombre del senador Paul Sarbanes (Demcrata) y el congresista Michael G. Oxley (Republicano). Los partidarios de esta Ley afirman que la legislacin era necesaria y til, mientras los crticos creen que causara ms dao econmico del que previene. El presidente de la desaparecida WorldCom, Bernard Ebbers de 63 aos, que otrora fuese considerado el genio de las telecomunicaciones, al llevar una pequea empresa a ser un emporio internacional, fue recientemente declarado culpable por un fraude de ms de US$11.000 millones, y en un fallo sin precendetes, condenado a 25 aos de crcel. Muchas personas, incluyendo sus propios empleados que durante aos haban invertido en acciones, quedaron literalmente en la quiebra. Igual suerte corrieron los 21.000 empleados y 4.500 jubilados de Enron, cuyos ahorros estaban depositados en acciones de su compaa, cuando en el 2001 la cotizacin de esta acciones se desplom tras el escndalo, (la accin pas de 85 dlares a unos pocos centavos en menos de un ao), y no pudieron vender porque la reglamentacin sobre fondos de pensiones se lo impeda. Los hechos revelados en empresas de clase mundial ubicadas principalmente en Estados Unidos y Europa en tan solo 4 aos sumaban ms de US$100.000 millones de prdidas por fraude contable y corporativo. Sin embargo, fue quiz la prdida de confianza de los inversionistas, el dao ms grave realizado. La crisis de credibilidad se hizo sentir en una fuerte cada de la

bolsa, y un temor generalizado de los inversionistas que no se vea quiz, desde la cada de la bolsa de 1929. A raz de estos hechos, el gobierno norteamericano decidi tomar cartas en el asunto dando paso a una profunda reforma legislativa iniciada por el Congreso de ese pas y la Comisin de Valores (SEC), destinada a restablecer la confianza en los informes financieros corporativos. La legislacin abarca y establece nuevos estndares para los consejos de administracin y direccin y los mecanismos contables de todas las empresas que cotizan en bolsa en los Estados Unidos. Introduce responsabilidades penales para el consejo de administracin y establece unos requerimientos por parte de la SEC. La SOX es sin duda, el cambio ms grande e importante en legislacin sobre manejo de contadura y finanzas empresariales en las ltimas dcadas. La SOX representa adems, un enorme desafo para los departamentos contables de las empresas obligadas, en tanto el volumen de los cambios, su aplicacin, y tambin, en mayor medida, por el desconocimiento que an existe en la materia. Su alcance no se reduce a las compaas americanas y sus ejecutivos (CEO, CFO, directores con funciones similares) sino tambin, a mltiples empresas de otras latitudes que cotizan en bolsas americanas, las subsidiarias de empresas registradas con la SEC, los emisores domsticos o extranjeros que estn registrados con la SEC, e incluso, a los proveedores de estas compaas. La SOX representa un verdadero replanteamiento la responsabilidad y la tica al interior del mundo corporativo. Entre sus objetivos generales esta, en primer lugar, establecer o mejorar el ambiente de control interno de las empresas pblicas, y segundo, definir y formalizar responsabilidades sobre su cumplimiento al CEO, CFO y auditores financieros. Novedades y puntos ms importantes que introduce la Ley Sarbanes-Oxley:

La creacin del Public Company Accounting Oversight Board (Comisin encargada de supervisar las auditoras de las compaas que cotizan en bolsa). El requerimiento de que las compaas que cotizan en bolsa garanticen la veracidad de las evaluaciones de sus controles internos en el informe financiero, as como que los auditores independientes de estas compaas constaten esta transparencia y veracidad. Certificacin de los informes financieros, por parte del comit ejecutivo y financiero de la empresa.

Independencia de la empresa auditora. El requerimiento de que las compaas que cotizan en bolsa tengan un comit de auditores completamente independientes, que supervisen la relacin entre la compaa y su auditora. Este comit de auditores pertenece a la compaa, no obstante los miembros que lo forman son completamente independientes a la misma. Esto implica que sobre los miembros, que forman el comit de auditores, recae la responsabilidad confirmar la independencia. Prohibicin de prstamos personales a directores y ejecutivos. Transparencia de la informacin de acciones y opciones, de la compaa en cuestin, que puedan tener los directivos, ejecutivos y empleados claves de la compaa y consorcios, en el caso de que posean ms de un 10% de acciones de la compaa. Asimismo estos datos deben estar reflejados en los informes de las compaas. Endurecimiento de la responsabilidad civil as como las penas, ante el incumplimiento de la Ley. Se alargan las penas de prisin, as como las multas a los altos ejecutivos que incumplen y/o permiten el incumplimiento de las exigencias en lo referente al informe financiero. Protecciones a los empleados caso de fraude corporativo. La OSHA (Oficina de Empleo y Salud) se encargar en menos de 90 das, reinsertar al trabajador, se establece una indemnizacin por daos, la devolucin del dinero defraudado, los gastos en pleitos legales y otros costes.

Los cambios ms importantes respecto de la gerencia de las compaas son, a modo de sntesis, los siguientes: Se requieren comits de auditora independientes y deben incluir, al menos, un experto financiero que tenga la capacidad de interpretar y detectar situaciones anmalas Aparecen nuevas sanciones (multas y prisin) por la presentacin de estados financieros fraudulentos Se establece el requerimiento de mantener cdigos de tica para funcionarios senior, basndose en la premisa que el comportamiento tico debe transmitirse desde la cpula directiva hacia las bases

Necesidad de revelar en tiempo real cambios que afecten de forma importante al negocio y que, por tanto, deban ser conocidos por el pblico inversor Responsabilidad personal definida del director general y director financiero sobre la exactitud en los estados financieros y adecuados controles internos sobre la informacin financiera

Es importante destacar que, bajo la seccin 404 de SOx, la cpula directiva es responsable de: Disear los controles internos para que sean efectivos en la deteccin de fraudes en la informacin financiera Documentar dichos controles internos para que puedan ser analizados y sometidos a prueba en todo momento y circunstancia Efectuar las pruebas necesarias que aseguren su eficacia Certificar mediante su firma que dichos controles funcionan, son adecuados y permiten que la informacin financiera est libre de riesgos de fraude

Se ha comprobado que el coste asociado al cumplimiento del apartado 404 de la Ley SARBANES-OXLEY es realmente significativo. Segn Financial Executives International (FEI), en una muestra de 217 compaas con un promedio de ingresos mayores de 5.000 millones de dlares, se estim un coste de 4,36 millones de dlares en el primer ao. El gran coste de implementacin incurrido durante el primer ao, puede ser atribuido a la gran carga de trabajo que tuvieron que realizar las auditoras, y el coste monetario que esto acarrea. Estos costes de establecimiento de la Ley puede ser poco significantes para una minora de grandes compaas, no obstante puede llegar a ser insostenible para una empresa ms pequea con una facturacin de unos pocos millones. Por otro lado la Ley todava no es efectiva para las compaas pequeas con un valor de menos de 75 millones de dlares en el mercado burstil, y todava no est claro lo que la Ley requerir a las pequeas compaas, cuando sta se haga efecto. Leyes o Ttulos de la SOX I Junta de Supervisin de Firmas de Auditora

Seccin 101, sobre retencin y salvaguardia de documentos de auditora. II Independencia de los Auditores Seccin 201, sobre monitoreo y pre aprobacin de servicios de no auditora III Responsabilidad Corporativa Seccin 302, sobre Certificacin por parte del CEO y CFO de los reportes entregados a la SEC Seccin 306, sobre monitoreo y prevencin de operaciones con informacin privilegiada IV Revelaciones Financieras Mejoradas Seccin 404, sobre control interno Seccin 409, sobre revelacin oportuna de cualquier cambio materia IV Conflicto de Intereses Seccin 501, sobre monitoreo y revelacin de analista de valores VI Recursos y Autoridad de la Comisin VII Estudios e Informes VIII Responsabilidad Corporativa y Fraude Seccin 802, sobre la retencin y proteccin de documentos y registros de auditoria Seccin 806, sobre comunicacin y recepcin de denuncias IX Sanciones por crmenes de cuello y corbata Seccin 906, sobre certificacin de la informacin financiera X Declaraciones de Impuestos Corporativos XI Responsabilidad por Fraudes Corporativos Seccin 1102, sobre retencin y salvaguardia de la informacin

Committee of Sponsoring Organizations of the Treadway Commission COSO

COSO es una organizacin voluntaria del sector privado y est dedicada a orientar la gestin ejecutiva y las entidades de gobierno hacia el establecimiento de una operacin de negocio ms eficaz, eficiente y tica sobre una base global. El comit patrocina y difunde marcos de referencia y orientacin basados en una investigacin en profundidad, anlisis y mejores prcticas. Entre los miembros de COSO se cuentan el American Institute of chartered Public Accountants (AICPA), el Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA), The Institute of Management Accountants (IMA), y la American Accounting Association (AAA, que agrupa a profesores universitarios de contabilidad), cuyas instituciones mencionadas anteriormente gozan de reconocido prestigio y tienen relacin directa con el Control Interno. La misin de COSO es proporcionar liderazgo mediante el desarrollo de marcos generales y orientacin en el manejo de riesgos empresariales, control interno y disuasin del fraude destinado a mejorar el desempeo organizacional y la gestin y a reducir el alcance del fraude en las organizaciones.

Historia: COSO se form en 1985 para patrocinar la Comisin Nacional sobre Informes Financieros Fraudulentos, una iniciativa independiente del sector privado, que estudi los factores causales que pueden dar lugar a la presentacin de informes financieros fraudulentos. Tambin elabor recomendaciones para las empresas pblicas y sus auditores independientes, para la SEC y otros reguladores, y para las instituciones educativas. La Comisin Nacional fue patrocinado conjuntamente por cinco asociaciones profesionales ms importantes con sede en los Estados Unidos (mencionadas anteriormente). Totalmente independiente de cada una de las organizaciones patrocinadoras, en la Comisin figuran representantes de la industria, la contabilidad pblica, las empresas de inversin, y la Bolsa de Nueva York. El presidente original de la Comisin Nacional fue James C. Treadway, Jr., vicepresidente ejecutivo y consultor general, Paine Webber incorporado y ex Comisionado de la SEC de los EE.UU.. De aqui, el nombre popular "Treadway Commission." Actualmente, el Presidente de COSO es Dave Ladsittel.

Principales Objetivos de COSO: Mejorar la calidad de la informacin financiera concentrndose en el manejo corporativo, las normas ticas y el control interno. Unificar criterios ante la existencia de una importante variedad de interpretaciones y conceptos sobre el control interno.

El control interno debe su existencia dentro de una entidad por el inters de la propia administracin. Ningn administrador desea ver prdidas ocasionadas por error o fraude o a travs de decisiones errneas basadas en informaciones financieras no confiables. As, el control interno es una herramienta til mediante la cual la administracin logra asegurar, la conduccin ordenada y eficiente de las actividades de la empresa. El COSO en su estudio define el control interno como aquel proceso que se encarga de realizar el Consejo de Administracin, la direccin y el colectivo restante de una entidad, con el propsito de otorgar un nivel razonable de confianza en la consecucin de los siguientes objetivos: - Asegurar la exactitud y confiabilidad de los datos de la contabilidad y de las operaciones financieras. - Proteger los recursos contra el despilfarro, el fraude o el uso ineficiente, as como evaluar el desempeo de todas las divisiones administrativas y funcionales de la entidad (eficacia y eficiencia de las operaciones). - Asegurar el cumplimiento de las polticas normativas econmicas de la entidad. Es por ello que podemos afirmar que el control interno es el conjunto de mecanismos, sistemas, procedimientos y normas que aseguran una eficiente gestin de la entidad, la consecucin de sus objetivos y el mantenimiento de su patrimonio, en un ambiente de participacin e integracin de todos aquellos que lo emplean y con los que se relacionan: clientes y proveedores. COSO define un marco de referencia aplicable a cualquier organizacin, el cual considera que el control interno debe ser un proceso integrado con el negocio que ayude a conseguir los resultados esperados en materia de rentabilidad y rendimiento, trasmitiendo el concepto de que el esfuerzo involucra a toda la organizacin: desde la Alta Direccin hasta el ltimo empleado.

Marco Integrado de Control segn COSO

Este marco integrado asegura la obtencin de los objetivos en las siguientes categoras: Eficacia y eficiencia de las operaciones (O) Fiabilidad de la informacin financiera (F) Cumplimiento de las leyes y normas que son aplicables(C)

El control interno, no consiste en un proceso secuencial, en donde alguno de los componentes afecta slo al siguiente, sino en un proceso multidireccional repetitivo y permanente, en el cual ms de un componente influye en los otros. El control consta de cinco componentes interrelacionados que se derivan de la forma cmo la administracin maneja el negocio, y estn integrados a los procesos administrativos. Los componentes son: Ambiente de control Evaluacin de riesgos Actividades de control Informacin y comunicacin Supervisin y seguimiento del sistema de control Son 5 componentes que interactan entre si y estn integrados al proceso de Direccin y aseguran que el sistema de control se incorpore de manera armnica

con las actividades operativas de la organizacin. Esto ayuda a que se fomente la calidad de la delegacin de poderes, se eviten prdidas y haya una respuesta rpida ante los cambios.

Ambiente de Control: El estudio del COSO establece a este componente como el primero de los cinco y se refiere al establecimiento de un entorno que estimule e influencie las actividades del personal con respecto al control de sus actividades. El ambiente o entorno de control constituye el punto fundamental para el desarrollo de las acciones y refleja la actitud asumida por la alta direccin en relacin con la importancia del control interno y su incidencia sobre las actividades de la entidad y resultados, por lo que debe tener presente todas las disposiciones, polticas y regulaciones que se consideren necesarias para su implantacin y desarrollo exitoso. La direccin de la entidad y el auditor interno, son los encargados de crear un ambiente adecuado mediante una estructura organizativa efectiva, de sanas polticas de administracin y as se logra que las leyes y polticas sean asimiladas de mejor forma por el trabajador. Normas para el ambiente de control: o Integridad y Valores ticos: Tiene como propsito establecer pronunciamientos relativos a los valores ticos y de conducta que se espera de todos los miembros de la Organizacin durante el desempeo de sus actividades, ya que la efectividad del control interno depende de la integridad y valores de la gente que lo disea y lo establece. El comportamiento y la integridad moral encuentran su sustento en la cultura del organismo, lo que determina, cmo se hacen las cosas, qu normas y reglas se observan y si estas se eluden. La direccin superior de la entidad, en la creacin de una cultura apropiada a estos fines desempea un papel principal la direccin superior de la entidad, ya que con su ejemplo contribuir a desarrollar o destruir diariamente este requisito de control interno. Debe tenerse cuidado con aquellos factores que pueden inducir a conductas adversas a los valores ticos como pueden ser: controles dbiles o requeridos; debilidad de la funcin de auditora; inexistencia o inadecuadas sanciones para quienes actan inapropiadamente. o Competencia Profesional: Los dirigentes, funcionarios y dems trabajadores deben caracterizarse por poseer un nivel de

competencia que les permita comprender la importancia del desarrollo, implantacin y mantenimiento de controles internos apropiados, o sea que deben contar con un nivel de competencia profesional en relacin con sus responsabilidades, comprender, suficientemente, la importancia, objetivos y procedimientos del control interno, as como asegurar la calificacin y competencia de todos los dirigentes y dems trabajadores. Atmsfera de Confianza Mutua: La comunicacin abierta crea y depende de la confianza dentro de la entidad. Un alto nivel de confianza estimula para que se asegure que cualquier tema de importancia sea de conocimiento de ms de una persona. El compartir tal informacin fortalece el control, reduciendo la dependencia del juicio, la capacidad y la presencia de una nica persona. La comunicacin propicia, adems, la cooperacin y la delegacin que se requieren para un desempeo eficaz tendente al logro de los objetivos de la entidad. La confianza est basada en la seguridad respecto a la integridad y competencia de la otra persona o grupo. Organigrama: Toda entidad debe desarrollar una estructura organizativa que atienda al cumplimiento de la misin y objetivos, la que deber ser formalizada en un organigrama. La estructura organizativa, formalizada en un organigrama, constituye el marco formal de autoridad y responsabilidad en el cual las actividades que se desarrollan en cumplimiento de los objetivos del organismo, son planeadas, efectuadas y controladas. Asignacin de Autoridad y Responsabilidad: Toda entidad debe complementar su organigrama, con un manual de organizacin y funciones, en el cual se debe asignar la responsabilidad, las acciones y los cargos, a la par de establecer las diferentes relaciones jerrquicas y funcionales para cada uno de estos. El Ambiente de Control se fortalece en la medida en que los miembros de una entidad conocen claramente sus deberes y responsabilidades. Ello impulsa a usar la iniciativa para enfrentar y solucionar los problemas, actuando siempre dentro de los lmites de su competencia. Toda delegacin de la autoridad contribuye a la necesidad de que los jefes examinen y aprueben, cuando proceda, el trabajo de sus subordinados y que ambos cumplan con la debida rendicin de cuentas de sus responsabilidades y tareas. Polticas y Prcticas en Personal: Los procedimientos de contratacin, induccin, capacitacin y adiestramiento, calificacin, promocin y disciplina, deben corresponderse con los propsitos

enunciados en la poltica. El personal es el activo ms valioso que posee cualquier entidad y se debe tratar y conducir de forma tal que se obtenga su ms elevado rendimiento. Debe procurarse su satisfaccin personal en el trabajo que realiza, propendiendo a que en este se consolide como persona y se enriquezca humana y tcnicamente. o Comit de Control: En cada entidad debe constituirse un comit de control integrado, al menos, por un dirigente del mximo nivel y el auditor interno titular, siempre que las condiciones lo permitan. Su objetivo general es la vigilancia del adecuado funcionamiento del Sistema de Control Interno y su mejoramiento continuo. La existencia de un Comit con tal objetivo, refuerza el Sistema de Control Interno y contribuye positivamente al Ambiente de Control. Para su efectivo desempeo debe integrarse adecuadamente con miembros que generen respeto por su capacidad y trayectoria integral, que exhiban un apropiado grado de conocimientos y experiencia que les permita apoyar a la direccin de la entidad mediante su gua y supervisin. Evaluacin de Riesgos: El segundo componente del control, involucra la identificacin y anlisis de riesgos relevantes para el logro de los objetivos y la base para determinar la forma en que tales riesgos deben ser manejados. Asimismo se refiere a los mecanismos necesarios para identificar y manejar riesgos especficos asociados con los cambios, tanto los que influyen en el entorno de la Organizacin como en el interior de la misma. A travs de la investigacin y anlisis de los riesgos relevantes y el punto hasta el cual el control vigente los neutraliza, se evala la vulnerabilidad del sistema. Para ello debe adquirirse un conocimiento prctico de la entidad y sus componentes como manera de identificar los puntos dbiles, enfocando los riesgos tanto de la entidad (internos y externos) como de la actividad. La evaluacin, o mejor dicho la autoevaluacin de riesgo debe ser una responsabilidad ineludible para todos los niveles que estn involucrados en el logro de objetivos. Normas para la evaluacin de los riesgos: o Identificacin del Riesgo: Se deben identificar los riesgos relevantes que enfrenta una entidad en el logro de sus objetivos, ya sean de origen interno, es decir, provocados por la entidad teniendo en cuenta la actividad especfica o sus caractersticas internas en el funcionamiento, como externos que son los elementos fuera de la organizacin que afectan, en alguna medida, el cumplimiento de sus objetivos.

La identificacin del riesgo es un proceso interactivo, y generalmente integrado a la estrategia y planificacin. En este proceso es conveniente "partir de cero", esto es, no basarse en el esquema de riesgos identificados en estudios anteriores. Su desarrollo debe comprender la realizacin de un anlisis del riesgo, que incluya la especificacin de los dominios o puntos claves del organismo, la identificacin de los objetivos generales y particulares y las amenazas y riesgos que se pueden afrontar. o Estimacin del Riesgo: Se debe estimar la frecuencia con que se presentarn los riesgos identificados, as como cuantificar la probable prdida que ellos pueden ocasionar. Una vez identificados los riesgos a nivel de institucin y de programa o actividad, debe procederse a su anlisis. Los mtodos utilizados para determinar la importancia relativa de los riesgos pueden ser diversos, e incluirn como mnimo: Una estimacin de su frecuencia, o sea, la probabilidad de ocurrencia. Una valoracin de la prdida que podra resultar. En general, aquellos riesgos cuya concrecin est estimada como de baja frecuencia, no justifican preocupaciones mayores, por el contrario, los que se estiman de alta frecuencia deben merecer preferente atencin. Entre estos extremos se encuentran casos que deben ser analizados cuidadosamente, aplicando elevadas dosis de buen juicio y sentido comn. o Determinacin de los Objetivos de Control: Una vez que la mxima direccin y los responsables de otras reas han identificado y estimado el nivel de riesgo, deben adoptarse las medidas para enfrentarlo de la manera ms eficaz y econmica posible. Se debern establecer los objetivos especficos de control de la entidad, que estarn adecuadamente articulados con sus propios objetivos globales y sectoriales. En funcin de los objetivos de control determinados, se seleccionarn las medidas o salvaguardas que se estimen ms efectivas al menor costo, para minimizar la exposicin. o Deteccin del Cambio: Toda entidad debe disponer de procedimientos capaces de captar e informar oportunamente los cambios registrados o inminentes en el ambiente interno y externo, que puedan conspirar contra la posibilidad de alcanzar sus objetivos en las condiciones deseadas. Una etapa fundamental del proceso de Evaluacin del Riesgo, es la identificacin de los cambios en las condiciones del medio ambiente en que la entidad desarrolla su accin. Un sistema de control puede dejar de ser efectivo al cambiar las condiciones en las cuales opera.

Actividades de Control: Las actividades de control son aquellas que realiza la Gerencia y dems personal de la Organizacin para cumplir diariamente con actividades asignadas. Estas actividades estn relacionadas (contenidas) con las polticas, sistemas y procedimientos principalmente. Ejemplo de estas actividades son aprobacin, autorizacin, verificacin, conciliacin, inspeccin, revisin de indicadores de rendimiento. Las actividades de control se ejecutan en todos los niveles de la organizacin y en cada una de las etapas de la gestin, partiendo de la elaboracin de un mapa de riesgos, conociendo los riesgos, se disponen los controles destinados a evitarlos o minimizarlos. En muchos casos, las actividades de control pensadas para un objetivo suelen ayudar tambin a otros: los operacionales pueden contribuir a los relacionados con la confiabilidad de la informacin financiera, estas al cumplimiento normativo y as sucesivamente. Normas de actividades de control: o Separacin de Tareas y Responsabilidades: El propsito de esta norma es procurar un equilibrio conveniente de autoridad y responsabilidad dentro de la estructura de organizacin. Al evitar que las cuestiones fundamentales de una transaccin u operacin queden concentradas en una misma persona o sector, se reduce notoriamente el riesgo de errores, despilfarros o actos ilcitos y aumenta la probabilidad que, de producirse, sean detectados. o Coordinacin entre reas: Cada rea o subrea de la entidad debe operar coordinada e interrelacionadamente con las restantes reas o subreas. En una entidad, las decisiones y acciones de cada una de las reas que la integran, requieren coordinacin. Para que el resultado sea efectivo, no es suficiente que las unidades que lo componen alcancen sus propios objetivos; sino que deben trabajar mancomunadamente para que se alcancen, en primer lugar, los de la entidad. o Documentacin: La estructura de control interno y todas las transacciones y hechos significativos, deben estar claramente documentados, y la documentacin debe estar disponible para su verificacin. o Niveles Definidos de Autorizacin: La autorizacin es la forma idnea de asegurar que slo se realizan actos y transacciones que cuentan con la conformidad de la direccin. Esta conformidad supone su ajuste a la misin, la estrategia, los planes, programas y presupuestos. La autorizacin debe documentarse y comunicarse explcitamente a

las personas o sectores autorizados. Estos debern ejecutar las tareas que se les han asignado, de acuerdo con las directrices, y dentro del mbito de competencia establecido por las normas. Registro oportuno y adecuado de las transacciones y hechos: Las transacciones o hechos deben registrarse, en el momento de su materializacin o lo ms inmediato posible, para garantizar su relevancia y utilidad. Esto es vlido para todo el proceso o ciclo de la transaccin o hecho, desde su inicio hasta su conclusin. Asimismo, debern clasificarse adecuadamente para que, una vez procesados, puedan ser presentados en informes y estados financieros con saldos razonables, facilitando a directivos y gerentes la adopcin de decisiones. Acceso restringido a los recursos, activos y registros: Todo activo de valor debe ser asignado a un responsable de su custodia y contar con adecuadas protecciones, a travs de seguros, almacenaje, sistemas de alarma, pases para acceso, etc. Adems, deben estar debidamente registrados, y peridicamente, se cotejarn las existencias fsicas con los registros contables para verificar su coincidencia. La frecuencia de la comparacin depende del nivel de vulnerabilidad del activo. Rotacin del personal en las tareas claves: Si bien el Sistema de Control Interno debe operar en un ambiente de solidez tica, es necesario adoptar ciertas protecciones para evitar hechos que puedan propiciar actos reidos con el cdigo de conducta del organismo. En tal sentido, la rotacin en el desempeo de tareas claves para la seguridad y el control es un mecanismo de probada eficacia y muchas veces no utilizado por el equivocado concepto del "hombre imprescindible". Control del Sistema de Informacin: La calidad del proceso de toma de decisiones en una entidad, descansa fuertemente en sus sistemas de informacin. Un sistema de informacin abarca informacin cuantitativa, por ejemplo, los informes de desempeo que utilizan indicadores, y cualitativa, lo concerniente a opiniones y comentarios. El sistema deber contar con mecanismos de seguridad que alcancen a las entradas, procesos, almacenamiento y salidas. Control de la Tecnologa de Informacin: La seguridad del sistema de informacin es la estructura de control para proteger la integridad, confidencialidad y disponibilidad de datos y recursos de la tecnologa de informacin. Las actividades de control general de la tecnologa de informacin se aplican a todo el sistema de informacin, incluida

la totalidad de sus componentes, desde la arquitectura de procesamiento de grandes computadoras, mini computadoras y redes, hasta la gestin de procesamiento por el usuario final. Tambin abarcan las medidas y procedimientos manuales que permiten garantizar la operacin continua y correcta del sistema de informacin. o Indicadores de desempeo: Toda entidad debe contar con mtodos de medicin de desempeo que permitan la preparacin de indicadores para su supervisin y evaluacin. Un sistema de indicadores elaborados desde los datos emergentes de un mecanismo de medicin del desempeo, contribuir al sustento de las decisiones. Los indicadores no deben ser tan numerosos que se tornen ininteligibles o confusos, ni tan escasos que no permitan revelar las cuestiones claves y el perfil de la situacin examinada. o Funcin de Auditora Interna independiente: Las unidades de auditora interna deben brindar sus servicios a toda la entidad. Constituyen un "mecanismo de seguridad" con el que cuenta la autoridad superior para estar informada, con razonable certeza, sobre la confiabilidad del diseo y funcionamiento de su sistema de control interno. Esta unidad de auditora interna, al depender de la autoridad superior, puede practicar los anlisis, inspecciones, verificaciones y pruebas que considere necesarios en los distintos sectores de la entidad con independencia de estos, ya que sus funciones y actividades deben mantenerse desligadas de las operaciones sujetas a su examen. Informacin y Comunicacin: Consecuentemente la informacin pertinente debe ser identificada, capturada, procesada y comunicada al personal en forma y dentro del tiempo indicado, de forma tal que le permita cumplir con sus responsabilidades. Los sistemas producen reportes conteniendo informacin operacional, financiera y de cumplimiento que hace posible conducir y controlar la Organizacin. Los informes deben transmitirse adecuadamente a travs de una comunicacin eficaz, incluyendo una circulacin multidireccional de la informacin: ascendente, descendente y transversal. La existencia de lneas abiertas de comunicacin y una clara voluntad de escuchar, por parte de los dirigentes, resultan vitales. Adems de una buena comunicacin interna, es importante una eficaz comunicacin externa que favorezca el flujo de toda la informacin necesaria y, en ambos casos, importa contar con medios eficaces, como los manuales de polticas, memorias, difusin institucional, canales formales e informales, la actitud que asume la

direccin en el trato con sus subordinados. Una entidad con una historia basada en la integridad y una slida cultura de control no tendr dificultades de comunicacin. Normas de Informacin y Comunicacin: o Informacin y responsabilidad: La informacin debe permitir a los funcionarios y empleados cumplir sus obligaciones y responsabilidades. Los datos pertinentes deben ser identificados, captados, registrados, estructurados en informacin y comunicados, en tiempo y forma. Supervisin: En general los sistemas de control estn diseados para operar en determinadas circunstancias. Claro est que para ello se tomaron en consideracin los riesgos y las limitaciones inherentes al control; sin embargo, las condiciones evolucionan debido tanto a factores externos como internos colocando con ello que los controles pierdan su eficiencia. Como resultado de todo ello, la Gerencia debe llevar a cabo la revisin y evaluacin sistemtica de los componentes y elementos que forman parte de los sistemas. Lo anterior no significa que tengan que revisarse todos los componentes y elementos, como tampoco que deba hacerse al mismo tiempo. Mtodos de supervisin: o Actividades de supervisin continua: La realizacin de las actividades diarias permite observar si efectivamente los objetivos de control se estn cumpliendo y si los riesgos se estn considerando adecuadamente. Los niveles de supervisin y gerencia juegan un papel importante al respecto, ya que ellos son quienes deben concluir si el sistema de control es efectivo o ha dejado de serlo tomando las acciones de correccin o mejoramiento que el caso exige. Son ms efectivas que las evaluaciones separadas, lo cual hace que el monitoreo continuo pueda identificar rpidamente cualquier desviacin o Evaluaciones Independientes: Este tipo de actividades proporciona informacin valiosa sobre la efectividad de los sistemas de control. Desde luego las ventajas de este enfoque es que tales evaluaciones tienen un carcter independiente, que se traduce en objetividad y que estn dirigidas respectivamente a la efectividad de los controles por adicin a la evaluacin de la efectividad de los procedimientos de supervisin y seguimiento del sistema de control. Reporte de Deficiencias: El proceso de comunicar las debilidades y oportunidades de mejoramiento de los sistemas de control, debe estar

dirigido hacia quienes son los propietarios y responsables de operarlos, con el fin de que implementen las acciones necesarias. Dependiendo de la importancia de las debilidades identificadas, la magnitud del riesgo existente y la probabilidad de ocurrencia, se determinar el nivel gerencia al cual deban comunicarse las deficiencias.

Participantes y Responsabilidades: Internamente las responsabilidades sobre el control corresponden conforme a lo siguiente: Consejo de Administracin: Establece no slo la misin y los objetivos de la organizacin, sino tambin las expectativas relativas a la integridad y los valores ticos. Gerencia: Debe asegurar que existe un ambiente propicio para el control. Ejecutivos financieros: Entre otras cosas, apoyan la prevencin y deteccin de reportes financieros fraudulentos. Comit de Auditora: Es el rgano que no slo tiene la facultad de cuestionar a la Gerencia en relacin con el cumplimiento de sus responsabilidades, sino tambin asegurar que se tomen las medidas correctivas necesarias. Comit de Finanzas: Contribuye cumpliendo con la responsabilidad de evaluar la consistencia de los presupuestos con los planes operativos. Auditora Interna: A travs del examen de la efectividad y adecuacin del sistema de control interno y mediante recomendaciones relativas a su mejoramiento. Area Jurdica: Llevando a cabo la revisin de 105 controles y otros instrumentos legales, con el fin de salvaguardar los bienes de la Empresa. Personal de la Organizacin: Mediante la ejecucin de las actividades que tiene cotidianamente asignadas y tomando las acciones necesarias para su control. Tambin siendo responsable de comunicar cualquier problema que se presente en las operaciones, incumplimiento de normas o posibles faltas al cdigo de conducta y otras violaciones. La participacin de las entidades externas consisten en lo siguiente:

Auditores Independientes: Proporcionan al Consejo de Administracin y a la Gerencia un punto de vista objetivo e independiente, que contribuye al cumplimiento del logro de los objetivos de los reportes financieros, entre otros. AUTORIDADES (Ejecutivas/Legislativas): Participan mediante el establecimiento de requerimientos de control interno, as como en el examen directo de las operaciones de la Organizacin, haciendo recomendaciones que lo fortalezcan.

Evolucin de COSO I a COSO II En 1992, COSO public el Sistema Integrado de Control Interno (COSO I), un informe que establece una definicin comn de control interno y proporciona un estndar mediante el cual las organizaciones pueden evaluar y mejorar sus sistemas de control. COSO ERM (COSO II) se crea ampliando a COSO I para la gestin integral de riesgo pero no para sustituir el marco de control interno. En Septiembre de 2004 se public el estudio ERM (Enterprise Risk Management) Integrated Framework.

Comparativo con COBIT Origen: COBIT fu creado por la Asociacin de Auditora y Control de Sistemas de Informacin (ISACA), una asociacin profesional internacional. Fue lanzado originalmente en 1996. COSO es una iniciativa del sector privado estadounidense. Fue originalmente relacionado en 1985. Objetivos: COBIT es basado directamente en COSO pero proporciona controles para las tecnologas de informacin. COSO es el marco oficial para los controles sobre los informes financieros, pero COSO no ofrece controles para tecnologas de informacin. Usos en auditora: Las auditoras y revisiones de tecnologas de informacin pueden ser hechas en base a COBIT. Las auditoras financieras pueden ser hechas en base a COSO. Audiencias: COBIT es til para usuarios y auditores de TI. COSO es til para la administracin general. Estructura: COBIT posee 4 dominios: Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte, Monitorear y Evaluar. COSO tiene 5 componentes principales: Ambiente de control, Evaluacin de riesgos, Actividades de control, Informacin y comunicacin, Supervisin y seguimiento del sistema de control.

COSO y COBIT deben implementarse a la par, ya que COSO proporciona un marco de control interno en auditoria cumpliendo con la ley SOX y COBIT proporciona un marco para el control y la seguridad de TI definiendo requisitos, polticas y normas.

RESUMEN

Ley de Sarbanes-Oxley: La Ley Sarbanes-Oxley ha generado mucha controversia, ya que sta va en respuesta a los escndalos financieros de algunas grandes corporaciones, entre los que se incluyen los casos que afectan a Enron, Tyco International, WorldCom y Peregrine Systems. Estos escndalos hicieron caer la confianza de la opinin pblica en los sistemas de contabilidad y auditora. La Ley toma el nombre del senador Paul Sarbanes (Demcrata) y el congresista Michael G. Oxley (Republicano). Los partidarios de esta Ley afirman que la legislacin era necesaria y til, mientras los crticos creen que causara ms dao econmico del que previene. La legislacin abarca y establece nuevos estndares para los consejos de administracin y direccin y los mecanismos contables de todas las empresas que cotizan en bolsa en los Estados Unidos. Introduce responsabilidades penales para el consejo de administracin y establece unos requerimientos por parte de la SEC. La SOX es sin duda, el cambio ms grande e importante en legislacin sobre manejo de contadura y finanzas empresariales en las ltimas dcadas. La SOX representa adems, un enorme desafo para los departamentos contables de las empresas obligadas, en tanto el volumen de los cambios, su aplicacin, y tambin, en mayor medida, por el desconocimiento que an existe en la materia. Es importante destacar que, bajo la seccin 404 de SOx, la cpula directiva es responsable de: Disear los controles internos para que sean efectivos en la deteccin de fraudes en la informacin financiera Documentar dichos controles internos para que puedan ser analizados y sometidos a prueba en todo momento y circunstancia Efectuar las pruebas necesarias que aseguren su eficacia Certificar mediante su firma que dichos controles funcionan, son adecuados y permiten que la informacin financiera est libre de riesgos de fraude

Se ha comprobado que el coste asociado al cumplimiento del apartado 404 de la Ley SARBANES-OXLEY es realmente significativo. Segn Financial Executives International (FEI), en una muestra de 217 compaas con un promedio de ingresos mayores de 5.000 millones de dlares, se estim un coste de 4,36 millones de dlares en el primer ao.

Committee of Sponsoring Organizations of the Treadway Commission COSO: COSO se form en 1985 para patrocinar la Comisin Nacional sobre Informes Financieros Fraudulentos, una iniciativa independiente del sector privado, que estudi los factores causales que pueden dar lugar a la presentacin de informes financieros fraudulentos. La misin de COSO es proporcionar liderazgo mediante el desarrollo de marcos generales y orientacin en el manejo de riesgos empresariales, control interno y disuasin del fraude destinado a mejorar el desempeo organizacional y la gestin y a reducir el alcance del fraude en las organizaciones. COSO define un marco de referencia aplicable a cualquier organizacin, el cual considera que el control interno debe ser un proceso integrado con el negocio que ayude a conseguir los resultados esperados en materia de rentabilidad y rendimiento, trasmitiendo el concepto de que el esfuerzo involucra a toda la organizacin: desde la Alta Direccin hasta el ltimo empleado. El control consta de cinco componentes interrelacionados que se derivan de la forma cmo la administracin maneja el negocio, y estn integrados a los procesos administrativos. Los componentes son: Ambiente de Control: El estudio del COSO establece a este componente como el primero de los cinco y se refiere al establecimiento de un entorno que estimule e influencie las actividades del personal con respecto al control de sus actividades. Normas: o Integridad y valores ticos o Competencia profesional o Atmosfera de confianza mutua o Organigrama o Asignacin de responsabilidad y autoridad o Polticas y prcticas en personal o Comit de control

Evaluacin de Riesgos: A travs de la investigacin y anlisis de los riesgos relevantes y el punto hasta el cual el control vigente los neutraliza, se evala la vulnerabilidad del sistema. Normas: o Identificacin del Riesgo o Estimacin del Riesgo o Determinacin de los Objetivos de Control o Deteccin del Cambio Actividades de Control: Las actividades de control son aquellas que realiza la Gerencia y dems personal de la Organizacin para cumplir diariamente con actividades asignadas. o Separacin de Tareas y Responsabilidades o Coordinacin entre reas o Documentacin o Niveles Definidos de Autorizacin o Registro oportuno y adecuado de las transacciones y hechos o Acceso restringido a los recursos, activos y registros o Rotacin del personal en las tareas claves o Control del Sistema de Informacin o Control de la Tecnologa de Informacin o Indicadores de desempeo o Funcin de Auditora Interna independiente Informacin y Comunicacin: Los informes deben transmitirse adecuadamente a travs de una comunicacin eficaz, incluyendo una circulacin multidireccional de la informacin: ascendente, descendente y transversal. Supervisin: En general los sistemas de control estn diseados para operar en determinadas circunstancias. Claro est que para ello se tomaron en consideracin los riesgos y las limitaciones inherentes al control; sin embargo, las condiciones evolucionan debido tanto a factores externos como internos colocando con ello que los controles pierdan su eficiencia. Mtodos: o Actividades de supervisin continua o Evaluaciones Independientes

Evolucin de COSO I a COSO II

CONCLUSIONES Y OBSERVACIONES

o Los escndalos financieros en estados unidos prendieron las alarmas en cuanto a los manejos de dinero que se estaban llevando a cabo al interior de las empresas, por esta razn se propuso la ley SOX. o El principal efecto de los escndalos de Enron y WorldCom fue la prdida de confianza por parte de los inversionistas y por lo tanto una gran baja en la compra de acciones. o La ley SOX busca asegurar a los inversionistas recibir informacin transparente y eficaz de los procesos de las organizaciones para as propiciar un ambiente optimo entre estos actores. o El COSO surgi originalmente de una iniciativa privada, que, al salir la ley SOX mejoro su marco de referencia para cumplir a cabalidad con los nuevos requerimientos. o El COSO trata principalmente el tema del control interno, proporcionando una herramienta efectiva para llevar buenos procesos empresariales que ha venido convirtindose en un marco de referencia reconocido. o EL COBIT tiene sus races en COSO pero su principal orientacin es hacia las tecnologas de informacin, convirtindose as en dos marcos de referencia que al ser puestos en marcha a la par aseguran una total confianza en la organizacin y mejoran los procesos de gestin financiera y de tecnologas. o Son muchas las empresas que prestan servicios de auditora en base al COSO, ya que se ha comprobado que mediante este marco de referencia se pueden obtener muy buenos resultados.

BIBLIOGRAFA

http://infosys.uncc.edu/mbad7090/Slides2008/COSO.ppt http://www.gerencie.com/el-informe-coso.html http://www.coso.org http://www.gestiopolis.com/recursos6/Docs/Fin/finanzas-control-interno.htm http://www.datasecsoft.com/archivos/sp/PPTS/Presentacion_Control_Interno_COSO-ES.ppt http://es.wikipedia.org/wiki/Ley_Sarbanes-Oxley http://actualicese.com/editorial/especiales/navidad/2005/Sarbanes/Index.ht m http://www.piramidedigital.com/Documentos/ICT/pdictleysarbanesoxley2.pdf http://www.castillomiranda.com.mx/espanol/Publicaciones/ArchivoPDF/IGP %2520Ley%2520SarbanesOxley.pdf http://www2.valledelcauca.gov.co/SIISVC/documentos/Presentaciones/MEC I/picolo/Unidad_1/B_ci_concepto/B_conint.htm http://sincelejo-sucre.gov.co/apc-aafiles/66373432636435613966396461306466/Que_es_control_interno.pdf