Beruflich Dokumente
Kultur Dokumente
COSO ERM
A principio del siglo XX, Laurence R. Dicksee, señaló que los auditores deberían
preocuparse del control interno para llevar a cabo sus auditorías, y es precisamente en
este siglo donde los aspectos doctrinarios del CI, tienen su mayor auge, hay una
preocupación permanente par parte de la profesión respecto del tema.
En ese documento se indicaba las normas a las cuales estaban sujetos los
profesionales auditores, y en una norma relativa al trabajo se indicaba que el profesional
auditor debía " Estudiar y evaluar el Control Interno existente en la empresa, para
determinar el alcance, naturaleza y oportunidad en la aplicación de las pruebas
de auditoría".
Además, se agregó que el control interno contable, incluye controles tales como:
-Análisis estadísticos
-Estudio de tiempo y movimiento
-Informes de funcionamiento de la organización
-Programas de adiestramiento de personal
-Controles de calidad.
Cabe agregar que estos procedimientos deben existir para todo tipo de
información, sea esta contable, presupuestaria o estadística.
5.-Personal
En todo sistema de control interno, hay que considerar que la seguridad razonable
de alcanzar los objetivos, de la organización dependerá en gran medida de la
competencia , integridad, objetividad que posea el personal de la empresa.
6.-Segregación de funciones
El sistema de control interno debe evitar que funciones incompatibles sean
llevadas por una misma personas, con el propósito de evitar errores o irregularidades en
el manejo de las operaciones.
Es así como es necesario que las funciones de registro deben ser distintas de la
de caja, la de facturación de la de cobranza, la de contabilidad de la de bodega, el
vendedor, distinto del cajero.,y otras numerosas funciones incompatibles.
En la década del 80, el IACP, emite más de 7 documentos (SAS), que vienen a
cambiar en forma sustancial, la forma de llevar a cabo las auditorías, y en relación con
los riesgo aparece el SAS 47 y respecto del control interno, se emite el SAS 55 en 1988,
el cual nos cambia la norma de auditoría y los elementos del mismo, y al sistema se le
denomina estructura.
Luego entonces en esa fecha, se cambia la norma vigente desde el año 1947 y se
señala:
a.-Ambiente de Control
b.-Procedimientos de Control
c.-Sistema contable.
A.-AMBIENTE DE CONTROL
El ambiente de control. Establece el comportamiento del control en una
entidad, o sea el nivel de compromiso que asume una entidad respecto del control , o sea
como el personal comprende el control dentro de una organización., y constituye la base
de todos los demás elementos y componentes del sistema de CI en una empresa.
Luego el ambiente de control tiene una incidencia fundamental en las
actividades empresariales de una organización, ya sea en el establecimiento de
objetivos, como en la evaluación de los riesgos de la misma.
Entre los factores que se relacionan con este componente tenemos los
siguientes:
1.-Valores de integridad y ética
2.-Compromisos de competencia
3.-Junta de directores o participación del comité de auditoría.
4.-Filosofía de la gerencia y estilo de dirección
5.-Estructura organizacional
6.-Asignación de autoridad y responsabilidad
7.-Políticas y prácticas de recursos humanos.
1.-Valores de integridad y ética
-Tamaño de la entidad
-Dispersión geográfica
-Objetivos de la entidad
-Tipo de productos que entrega la entidad al mercado
Para determinar de una forma razonable los riesgos operativos, de una entidad,
los auditores, sean internos o externos se deben evaluar los riesgos, para lo cual es
necesario ponderar la importancia de las diversas operaciones de la empresa y la
eficiencia de los controles de ellas.
Objetivos
-Eficiencia en el costo
-Eficacia en las operaciones
-Confiabilidad de la información
-Cumplimiento con la normativa
-Salvaguarda de los recursos
Componentes
-Ambiente de control
-Evaluación de los riesgos
-Actividades de control
-Información y comunicación
-Monitoreo o supervisión
Utilizando el modelo de evaluación de riesgo a nivel de función, áreas o
rubros, es necesario determinar lo siguiente:
1.-La importancia de cada función, área o rubro frente a los objetivos de control.
2.-Asignar valores a los menos importantes y a los más críticos.
3.-Estimar la eficacia de los controles internos en cada uno de los componentes.
C.-ACTIVIDADES DE CONTROL
Son las políticas y procedimientos que ayudan a asegurarse que las
acciones necesarias, serán tomadas en cuenta para establecer los riesgos y lograr los
objetivos de la entidad.
Apuntes preparados por el profesor: Nelson Palominos G.
-Realización de revisiones
-Proceso de información
-Controles Físicos
-Segregación de deberes.
D.-INFORMACIÓN Y COMUNICACIÓN
En la organización, el sistema de información es fundamental para lograr los
objetivos de la entidad, el sistema de información está compuesto por los subsistemas
contables, presupuestarios y estadísticos.
Es importante destacar que la calidad de los subsistemas, afecta las
habilidades de la gerencia para la toma de decisiones, y afecta también los informes
que se emiten.
Por lo anterior es importante que la información que se genera sea
comunicada oportunamente, de tal manera que permita a las personas entenderla y
cumplir con sus responsabilidades.:
Queremos señalar también que todo lo anterior es lo que conocemos sobre CI,
hasta el mes de Julio de 2003, cuando se reúne nuevamente la comisión COSO, y
emite un nuevo documento a contar de esa fecha, denominado COSO ERM, cuyo
principal contenido es el que se indica a continuación:
Es bueno recordar tal como lo hemos indicado con antelación, en este apunte,
en el año 1992 se emite un documento denominado “Informe C.O.S.O.” (Committee of
Sponsoring Organizations of the Treadway Commission), el cual entrega una doctrina,
enfoques y metodologías modernas dirigido especialmente a los niveles estrategicos,
logisticos y tacticos dentro de la organización. Y también para los profesionales de la
auditoría.
Este documento define el CONTROL INTERNO lo define como:
“un proceso efectuado por el consejo de administración, la dirección y el resto
del personal de una entidad, diseñado con el objeto de proporcionar un grado
de seguridad razonable en cuanto a la consecución de objetivos dentro de las
siguientes categorías:
• Eficacia y eficiencia de las operaciones
• Fiabilidad de la información financiera
• Cumplimiento de las leyes y normas que sean aplicables”.
El informe C.O.S.O. de 1992, definió cinco componentes interrelacionados entre
sí, los cuales eran el Ambiente de Control, Evaluación de Riesgos, Actividades de
Control, Información y Comunicación; y Supervisión.
En esa misma época, en todas partes del mundo se emitieron con diferencias de
meses o años, más o menos, diferentes informes que hablaban de control interno. Se
puede citar el Informe Caldbury y turnbull en Inglaterra, el King en Sudafrica, el COCO
en Cánada, el Peters en Holanda, el Olivencia en España, el Veniot en Francia , y
otros
También es importante destacar que a comienzo de la década del 80 , se
comienza a hablar de los Riesgos., especialmente cuando aparece el SAS 47, que lo
define y señala cuales son los que afectan a una auditoría a los estados financieros, el
Inherente, el de control y el de detección, este último relacionado con los auditores .
En esta misma época ya se habla de evaluación de riesgo, de mapa de riesgo, de
matrices de riesgos etc.
Es importante señalar que en año 1999 y surge un nuevo informe, esta vez en
Reino Unido llamado Informe Turnbull al alero de la Bolsa de Valores de Londrés, que
acrecienta la importancia de la Administración de Riesgos en el mundo empresarial y
organizacional, y que entrega una Guía para los Directores y Administradores de
Empresas.
Para nadie es un misterio que el INCPA incorporó el informe COSO, como una
norma Americana, sólo el año 1997, a través de su boletín SAS 78, pero
acontecimientos tan importantes como la caída de grandes empresas Americanas en
insolvencias, no obstante que tenían audiotorías y sistemas de control interno, llevó
nuevamente a reunir la comisión COSO para reestudiar el documento anterior a la luz
de los acontecimientos de estos años en el mundo empresarial y de la auditoría.
ADMINISTRACION DE RIESGOS
Cantidad de riesgo; Esto es la cantidad de riesgo que una organización está deseosa
de aceptar en pos del logro de sus objetivos.
Logro de los objetivos; Dentro del contexto establecido en la misión o visión, está la
definición de los objetivos y la selección de estrategias para alcanzarlos.
Los ocho componentes del COSO II se amplían en los próximos puntos: Ambiente
interno; Definición o Establecimiento de objetivos; Identificación de eventos;
Evaluación de riesgos; Respuesta o Estrategia frente al riesgo; Actividades de control;
Información y comunicación; y Supervisión (Monitoreo o Vigilancia).
El informe C.O.S.O. II, define de la siguiente forma los factores del Ambiente de
Control:
Filosofía de Administración de Riesgos.
La filosofía refleja el valor que la entidad le entrega a la administración de
riesgos y cómo esta actitud afecta a la aplicación de los otros factores, lo cual se
manifiesta en sus declaraciones de políticas y otro tipo de comunicaciones, a través de
palabras y acciones diarias. Esto se refiere a la capacidad de entendimiento que
poseen los integrantes de una entidad con respecto a la administración de riesgos, y si
a sus empleados y directores se les facilita o potencia habilidades para reconocer los
riesgos en forma eficaz, escogerlos, dirigirlos y tratarlos.
Cantidad de riesgo.
Es la cantidad de riesgo que una organización está dispuesta a aceptar con el fin
de alcanzar sus objetivos. Considera para este efecto en forma frecuente categorías
como alta, media o baja, o expresarse cuantitativamente en forma aproximada,
reflejando un balance entre metas de crecimiento, retorno y riesgo. El apetito de
riesgo está directamente relacionada con la estrategia de una organización, donde el
retorno deseado debe estar alineado con la capacidad de riesgo posible, por lo tanto,
la administración de riesgos debe asesorar a la dirección a escoger una estrategia
consistente con sus alcances.
Cultura de riesgo.
Es un conjunto compartido de actitudes, valores y prácticas que caracterizan
como una entidad considera el riesgo en sus actividades diarias. Este factor, para
algunas empresas proviene de los dos primeros factores, en otras es parte del azar,
pero en ambos casos puede en algunas empresas haber una o más culturas de
riesgos diferentes o incluso dentro de una misma unidad comercial, proceso o
departamento. La administración de riesgos debe considerar cómo su cultura de riesgo
afecta su equilibrio con otros elementos propios de su control, para lo cual, donde
exista inconveniente la administración de riesgos debe tomar acciones para ajustar la
filosofía y el apetito de riesgos, o volver a pensar la forma de cómo se está aplicando
la administración de riesgos en la empresa.
• Subculturas de riesgos.
• En algunas organizaciones existen unidades de negocios, procesos, funciones o
departamentos que de una forma u otra, dependiendo de sus objetivos, poseerán
culturas levemente diferentes. Sus gerentes, en forma individual, se sienten
preparados para tomar más riesgos, mientras otros son más conservadores, y estas
diferentes culturas algunas veces se cruzarán en sus propósitos. Para lo cual la
administración de riesgos debe velar por los equilibrios de ciertos choques que se
puedan presentar, en beneficio de la Organización como un todo.
• REconociendo la realidad del riesgo.
•
• Si una organización no ha sufrido pérdidas o no ha tenido ninguna exposición
significativa al riesgo, ella no debe sucumbir al mito de que un evento con
consecuencias adversas no se presentará en ella, aunque pueda tener empleados
competentes, procesos eficaces y tecnología confiable. La administración de riesgos
debe tener presente que muchas variables en los ambientes internos y externos
pueden cambiar rápidamente, y volver a una entidad completamente vulnerable en sus
aspectos más sólidos y/o afectarla gravemente desde aquellos más despotenciados, o
en conjunto.
•
Consejo de Administración y el Comité de Auditoría.
Es un de los factores más críticos del ambiente interno e influencia fundamental
para otros elementos de la administración de riesgos. Hoy se habla de los gobiernos
corporativos y como ellos afectan el funcionar de las Organizaciones. Ambos
estamentos de la empresa, son y deben ser independientes de la administración,
donde sus acciones juegan un rol vital para organización, como también la experiencia
y calidad de sus miembros, el grado de participación y examen de actividades o
vigilancia. Otro punto importante que incluye al Consejo de Administración y al
Comité de Auditoría es que se plantean preguntas difíciles a la Dirección relativas a la
estrategia, planes y desarrollo. Es así como el Consejo y el Comité deben estar
preparados para cuestionar y supervisar las actividades de la gerencia, presentar
opiniones alternativas y tener disposición para actuar cuando se originan situaciones
no deseadas, inesperadas o problemas de hecho, a través de la interacción del Comité
de Auditoría con los auditores externos e internos.
Otras prácticas tentadoras son: La ignorancia (que no exista una guía explícita
de procesos y funciones); inexistencia de códigos de conducta; malas
comunicaciones; complacencia con las normas éticas; que los empleados sigan los
malos ejemplos de la administración; falta de controles o controles ineficaces, tal como
una segregación de funciones deficiente en áreas sensibles; reducir las probabilidades
de detección al tener un alto nivel de descentralización que impide a la Gerencia estar
al tanto de las acciones llevadas a cabo en los niveles más bajos; una función de
auditoría interna débil y/o que no sea capaz de detectar e informar acerca de
comportamientos indebidos; sanciones menores por comportamientos indebidos sin
poder ejemplificador; inexistencia de mecanismos para animar a los funcionarios a
informar de irregularidades e infracciones y acciones disciplinarias para los que no
informen.
Estructura orgánica.
Este factor
tiende a definir el marco en el cual se planifica, ejecuta, manda, comunican y
supervisan las actividades de una entidad. Una estructura orgánica relevante define
las áreas claves de autoridad y responsabilidad como también el establecimiento de
líneas apropiadas de comunicación. Una entidad desarrolla su estructura organizativa
de acuerdo a sus prioridades estratégicas, algunas pueden ser centralizadas,
descentralizadas, piramidales o planas, por sector, líneas de productos, por zonas o
red de distribución, o funcionales como las del sector público.
ESTABLECIMIENTO DE OBJETIVOS.
IDENTIFICACION DE EVENTOS
Los eventos son sucesos que ocurren por casualidad o causalidad, que pueden
originarse de fuentes internas o externas de la empresa, y que pueden afectar el
desarrollo de las estrategias o el logro de los objetivos. Para estos efectos, la Gerencia
define rangos de ocurrencia de eventos potenciales de origen interno o externo y si el
impacto va a ser positivo o negativo.
Como los eventos que influyen en las estrategias y objetivos pueden ser internos o
externos, la administración de riesgos debe reconocer el factor de origen de éstos,
como por ejemplo para el caso de los externos sería la economía y el comercio,
catástrofes, medio ambiente, políticas de gobierno, cambios de hábitos sociales y
tecnología; ahora para factores internos se identifican la infraestructura, personal,
procesos y tecnología.
Por otra parte, los eventos también deben identificarse a nivel de actividad, ya que
contribuye a la evaluación de los riesgos y a mantener alineado el apetito con la
tolerancia de riesgo de la entidad.
EVALUACION DE RIESGOS
La Dirección considera dos tipos de riesgos, siendo el primero el riesgo inherente que
es aquel que afecta a una entidad ante la ausencia de acciones de la administración
que fuercen a alterar la probabilidad de su impacto; y el riesgo residual es aquel que
permanece después que la dirección responde al riesgo a través de sus controles.,
siendo el segundo un derivado del primero.
• Evitar el riesgo. Las acciones son dirigidas a eliminar o evitar las actividades que
originan riesgo, como eliminar una línea de productos o no operar con un sector de
clientes.
Estas son políticas y procedimientos que ayudan a asegurar que las respuestas a los
riesgos de la Dirección sean llevadas a cabo, a través de toda la organización. Estas
actividades son aplicadas con respecto a cada uno de las categorías de objetivos:
estratégicos, operativos, información y cumplimiento, y que en su conjunto son partes
del proceso que permiten a una organización alcanzar sus metas comerciales. Son
fundamentales para la respuesta a los riesgos en forma propia y oportuna.
Normalmente, las actividades de control involucran dos elementos que son las
políticas, que establecen qué debe hacerse y los procedimientos que desarrollan las
políticas. El resultado de la aplicación de procedimientos asociados a las políticas
debe ser revisado a través de seguimientos y efectuar las acciones correctivas
apropiadas, o en su defecto corregir las políticas.
Los controles generales son aquellos que se aplican a muchos si no a todas las
operaciones y permiten su continuidad, como sucede con los sistemas de
administración tecnológica, infraestructura, seguridad, adquisición de software,
desarrollo y mantención.
INFORMACION Y COMUNICACIÓN
Cada organización ha de obtener información relevante financiera o no,
relacionada con actividades internas o externas. Esta información debe ser entregada
a las personas a tiempo, en un formato que les permita llevar a cabo sus
responsabilidades de administración de riesgos como sus otras funciones. La
información se vuelve necesaria en todos los niveles de la organización, desde la más
rutinaria hasta la más relevante, tanto de fuentes internas como externas, lo que
permitirá a la entidad mantenerse o adaptarse a las condiciones cambiantes, para
identificar, evaluar y responder a los riesgos, contribuyendo con ello a que ésta
alcance uno o más objetivos, a través de sus distintas categorías.
• No es conveniente que una misma unidad evalúe sus respuestas al riesgo y sus
controles relacionados a la administración de riesgos. Es la Auditoría Interna la
que debe ejecutar esta evaluación como parte de sus actividades regulares o a
solicitud de la autoridad, y también considerar la opinión de la auditoría externa.