INFORME COSO

ALCANCE

• Nuevos paradigmas.

• Conceptos metodológicos de COSO.

 INFORME COSO

• En 1992, COSO publicó el Sistema Integrado de Control

Interno, un informe que establece una definición común de
control interno y proporciona un estándar mediante el cual
las organizaciones pueden evaluar y mejorar sus sistemas de
control.
 EL OBJETIVO DE COSO

• Mejorar la calidad de la información financiera

concentrándose en el manejo corporativo, las normas éticas
y el control interno.
• Unificar criterios ante la existencia de una importante
variedad de interpreta-ciones y conceptos sobre el control
interno.
 Gestión del Riesgo empresarial (ERM)
• “El control interno es una parte integral de la Administración
del riesgo empresarial y está abarcado dentro de éste.”
• “La Administración del riesgo empresarial es más amplia
que el control interno, expandiendo y elaborando sobre el
control interno para formar una concepción más robusta
que se enfoca más sobre el riesgo.”
• “El Marco Integrado Control Interno sigue siendo
totalmente válido para las entidades y otros que ponen
énfasis en el control interno.”
 BASILEA II
• Incluye varios cambios que, si bien serán exigibles a
principios de 2007, marcan un rumbo sobre el que hay que
empezar.
• Basilea I se centraba en el análisis de riesgos de crédito y de
mercado. Ahora se aumenta la regulación de fondos propios
exigidos por la normativa y la exposición al riesgo.
• Se incluye la necesidad de tener en cuenta un nuevo riesgo:
el riesgo operacional o sea el resultado de la pérdida
derivada de fallos en los procesos internos, en la actuación
de factores internos o externos.
 Conceptos
Metodológicos del
INFORME COSO
 DEFINICIÓN DE CONTROL INTERNO

• Es un proceso que involucra a todos los integrantes de la

organización sin excepción, diseñado para dar un grado
razonable de apoyo en cuanto a la obtención de los
objetivos en las siguientes categorías:
– Eficacia y eficiencia de las operaciones (O)
– Fiabilidad de la información financiera (F)
– Cumplimiento de las leyes y normas que son aplicables(C)
• Estas tres categorías se interrelacionan entre sí.
 ¿QUÉ SE PUEDE OBTENER A TRAVÉS DE
COSO?
• La definición de un marco de referencia aplicable a
cualquier organización.
• COSO considera que el control interno debe ser un proceso
integrado con el negocio que ayude a conseguir los
resultados esperados en materia de rentabilidad y
rendimiento.
• Trasmitir el concepto de que el esfuerzo involucra a toda la
organización: desde la Alta Dirección hasta el último
empleado.
 COMPONENTES DEL CONTROL INTERNO

• Son 5 componentes (Entorno de control, Evaluación de los

Riesgos, Actividades de control, Información y
comunicación, y Supervisión) que interactúan entre si y
están integrados al proceso de Dirección.
• El sistema de control debe incorporarse de manera
armónica con las actividades operativas de la organización.
• Esto ayuda a que se fomente la calidad de la delegación de
poderes, se eviten pérdidas y haya una respuesta rápida
ante los cambios.
 ENTORNO DE CONTROL

• Es la base de los demás componentes, aportando disciplina

y estructura.
• Incluye: la integridad, los valores éticos y la capacidad de los
empleados de la entidad, la filosofía de la Dirección y el
estilo de gestión, la asignación de la autoridad y las
responsabilidades, la organización y el desarrollo de los
empleados y la orientación de la Dirección.
 EVALUACIÓN DE LOS RIESGOS

• Primeramente deben identificarse los objetivos

organizacionales, vinculados y coherentes. Luego deben
identificarse y evaluarse los riesgos relevantes que pueden
afectar el alcanzar esos objetivos.
• Los riesgos deben ser administrados, atendiendo a la
existencia de un medio interno y externo cambiante.
 ACTIVIDADES DE CONTROL

• Son las políticas y procedimientos que ayudan a asegurar

que se toman las medidas para limitar los riesgos que
pueden afectar que se alcancen los objetivos
organizacionales.
• Son ejemplos: autorizaciones, verificaciones, conciliaciones,
segregación de funciones, revisiones de rentabilidad
operativa, etc.
 INFORMACIÓN Y COMUNICACIÓN

• Se debe identificar, ordenar y comunicar en forma oportuna

la información necesaria para que los empleados puedan
cumplir con sus obligaciones.
• La información puede ser operativa o financiera, de origen
interno o externo.
• Deben existir adecuados canales de comunicación.
• El personal debe ser informado de la importancia de que
participe en el esfuerzo de aplicar el control interno.
 SUPERVISIÓN

• Debe existir un proceso que compruebe que el sistema de

control interno se mantiene en funcionamiento a través del
tiempo.
• La misma tiene tareas permanentes y revisiones periódicas.
Estas últimas dependerán en cuanto a su frecuencia de la
evaluación de la importancia de los riesgos en juego.
 INTERRELACIÓN

• La organización debe lograr cumplir con esas tres categorías

de objetivos (O, F,C) ya vistas.
• Los 5 componentes descriptos son acciones necesarias para
lograr esos objetivos.
 LIMITACIONES A ATENDER

• La confianza en el sistema de control interno no debe dejar

de considerar que:
– Pueden existir fallas resultantes de errores de juicio.
– La colusión de dos o más personas o la acción de la
Dirección pueden burlar el sistema.
– El sistema a diseñar debe explicitar las limitaciones de
recursos (relación costo beneficio).
 FUNCIONES Y RESPONSABILIDADES

• La Alta Gerencia es la responsable última del sistema de

control. La integridad y la ética deben ser elementos que
aporten ejemplo a los demás empleados. Debe dirigir a los
gerentes que a su vez son los responsables en sus
respectivas áreas.
 FUNCIONES Y RESPONSABILIDADES

• El Consejo de Administración fija las pautas y la visión global

del negocio. El Consejo debe tener un papel activo en el
conocimiento de las acciones que se ejecutan. Debe
asegurarse de contar con vías de comunicación efectivas con
la Alta Dirección y las áreas financieras, legales y de
auditoría interna.
• La Auditoría Interna debe desempeñar un papel de
supervisión sobre la eficiencia y permanencia de los
sistemas de control. Para ello debe contar con una ubicación
jerárquica adecuada.
• Los empleados en general tienen la responsabilidad de
participar en el esfuerzo de aplicar el control interno, cuyos
detalles deben ser incorporados a la descripción de los
puestos de trabajo. Ellos deben comunicar al nivel superior
las desviaciones que detecten a los códigos de conducta, a
las políticas establecidas o la legalidad de las acciones
realizadas.
 LA MATRIZ COSO
• El Informe COSO define una estructura, un marco de
referencia.
• Dentro del mismo se debe analizar cómo interactuan los
componentes en la realidad peculiar de cada organización.
• Debe contarse con una herramienta que asista en el proceso
de evaluación periódica y proactiva del sistema de control
interno.
• La evaluación puede querer centrarse en un solo objetivo.
Puede también querer referirse a una unidad de la
organización o a una actividad en particular.
MATRIZ COSO
 EVALUACIÓN DE LOS RIESGOS

• Determinación de los Objetivos.

• Objetivos globales (tales como la Misión).
• Objetivos específicos de las diversas actividades (por ej.
Producción), estos sub-objetivos medibles a través de metas
deben ser coherentes.
 LOS OBJETIVOS DEBEN SER:

• Definidos de modo de identificar los criterios para medir el

rendimiento y establecer factores críticos de éxito (que
pueden ser a nivel de actividad o unidad operacional).
• Coherentes y compatibles.
• Como ejemplo se puede considerar: efectuar pagos sólo
para compras autorizadas, que los sistemas informáticos se
encuentren disponibles según los requerimientos del
negocio, etc.
 LOS RIESGOS
• La identificación y el análisis de riesgos es un proceso
interactivo que involucra al personal responsable de cumplir
con los objetivos fijados ya que es el más idóneo.
• Los riesgos pueden ser el resultado del efecto de factores
internos y externos, por ejemplo: las averías de los sistemas
informáticos, los cambios en la responsabilidad de los
directivos, etc.
• Una vez identificados debe estimarse su importancia,
evaluar la probabilidad de que impacte a la organización y
qué medidas deben tomarse para atenuar sus efectos.
 ACTIVIDADES DE CONTROL

• Son políticas, procedimientos y acciones que afectan a una o

más áreas de la organización.
• Algunos ejemplos serían:
– Análisis efectuados por la Dirección.
– Gestión directa de los responsables.
– Proceso de información.
– Controles físicos.
– Indicadores de rendimiento y segregación de funciones.
 RELACIONAMIENTO DE LOS ELEMENTOS

• Las actividades de control, al enfrentar adecuadamente a los

riesgos, ayudan a alcanzar los objetivos de los
Departamentos y actividades, logrando así alcanzar los
objetivos del negocio.
 INFORMACIÓN Y COMUNICACIÓN

• Debe asegurase que se obtenga información de calidad y no

meros datos.
• La información debe ser protegida ya que se trata de un
activo valioso.
• Las vías de comunicación interna deben asegurar que el
personal conozca los elementos suficientes para cumplir con
su tarea.
 SUPERVISIÓN

• Las actividades de supervisión continua y evaluaciones

puntuales.

• Las deficiencias detectadas deben ser oportunamente

comunicadas.
GRACIAS