Marco de Control Interno COSO: Guía para la Gestión de Riesgos y el Control Interno
Definición de Control Interno COSO
“Es un proceso efectuado por el Consejo de Admin, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: Eficacia y eficiencia de las operaciones. Confiabilidad de la información financiera. Cumplimiento de las leyes y normas aplicables.”
Objetivo de COSO
Mejorar la calidad de la información financiera concentrándose en el manejo corporativo, las normas éticas y el control interno. Unificar criterios ante la existencia de una importante variedad de interpretaciones y conceptos sobre el control interno.
Ambiente Interno
El ambiente interno refleja en una entidad la filosofía e influencia del riesgo y la conciencia de control de su gente. La gerencia formula una filosofía para gerenciar el riesgo, para facilitar al personal de la entidad un entendimiento de cómo gerenciar el riesgo.
Incide en:
- La concientización del personal respecto del riesgo y el control.
- El modo en que las estrategias y obtivos son establecidos, las act de negocio son establecidos, las actividades de negocio son estructuradas y los riesgos son identificados, evaluados y gerenciados.
Establecimiento de Objetivos
La misión de la entidad establecida en un amplio termino de lo que la entidad aspira a lograr. Desde este punto, la gerencia establece sus obtivos estratégicos, formula su estrategia, y establece objetivos relacionados. Los obtivos estratégicos reflejan la elección de la gerencia de cómo la entidad procura crear valor. Para focalizarnos primero sobre los objetivos estratégicos y la estrategia, una entidad es posicionada para desarrollar objetivos relacionados a los niveles operacionales, el cumplimiento de los cuales creara y preservara su valor.
Tolerancia al Riesgo
Es el nivel aceptable de desviación con relación al logro de los objetivos. Se alinea con el apetito de riesgo. Al establecer las tolerancias al riesgo, la Gerencia considera la importancia relativa de los objetivos relacionados.
Identificación de Eventos
La gerencia identifica eventos potenciales que afectan la habilidad de la entidad para implementar exitosamente su estrategia y lograr sus objetivos. Aquellos eventos que pueden tener un efecto positivo representan oportunidades, los cuales la entidad los canaliza hacia su estrategia y el proceso de establecimiento de objetivos.
Evaluación de Riesgos
Permite a una entidad considerar como los eventos potenciales podrían afectar el logro de sus objetivos. La evaluación de la gerencia de los eventos desde dos perspectivas. probabilidad e impacto: Considera que la evaluación se debe realizar tanto para riesgos inherentes como residuales y la metodología de evaluación de riesgos comprende una combinación de técnicas cuantitativas y cualitativas.
Respuesta al Riesgo
La gerencia identifica opciones de respuestas al riesgo y considera sus efectos sobre la probabilidad e impacto de los eventos, en relación a la tolerancia al riesgo y el costo versus el beneficio.
Las respuestas al riesgo incluyen:
- Evitarlo: Se toman acciones de modo de discontinuar las actividades que generan riesgo.
- Reducirlo: Se toman acciones de modo de reducir el impacto, la probabilidad de ocurrencia del riesgo o ambos.
- Compartirlo: Se toman acciones de modo de reducir el impacto o la probabilidad de ocurrencia al transferir o compartir una porción del riesgo.
- Aceptarlo. No se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo.
Visión de Portafolio de Riesgos
ERM propone que el riesgo sea considerado desde una perspectiva de la entidad en su conjunto o de portafolio de riesgos. Permite desarrollar una visión de portafolio de riesgos tanto a nivel de unidades de negocio como a nivel de la entidad. Es necesario considerar como los riesgos individuales se interrelacionan. Permite determinar si el perfil de riesgo residual de la entidad está acorde con su apetito de riesgo global.
Actividades de Control
Son los procedimientos y políticas que ayudan a asegurar que las respuestas al riesgo apropiadas sean ejecutadas. Las actividades de control ocurren a través de la organización, en todos los niveles, y en todas las funciones. Ellos incluyen un rango de actividades tales como aprobaciones, autorizaciones, verificaciones, reconciliaciones, revisión de desempeño de operaciones, salvaguarda de activos y segregación de funciones. Las actividades de control pueden ser: Preventivas, detectivas, manuales, computarizadas y controles gerenciales.
Información y Comunicación
La información de fuentes internas y externas deben ser identificadas, capturadas y comunicadas dentro de una forma y marco de tiempo que permita al personal llevar a cabo sus responsabilidades. La información es necesaria en todos los niveles de la organización para identificar, evaluar y dar una respuesta al riesgo. La comunicación efectiva también ocurre en un amplio sentido, fluyendo de abajo hacia arriba, a lo largo y desde arriba de la entidad. En adición, la comunicación efectiva y el intercambio de información relevante ocurre a lo largo de partes externas, tales como clientes, proveedores, entidades reguladoras y accionistas.
Monitoreo
ERM es supervisado – un proceso que evalúa a la vez la presencia y funcionalidad de sus componentes, tanto como la calidad de su desempeño en el tiempo. Una evaluación en marcha o una supervisión separada aseguran que ERM es aplicado en todos los niveles y a lo largo de la entidad.
Los 17 Principios Fundamentales de COSO 2013
Ambiente de Control
Conjunto de normas, procesos y estructuras que proveen las bases para llevar acabo el Control Interno a través de la organización. Enmarca el tono de la organización, la conciencia del riesgo en su personal. Es la base del resto de los componentes y provee disciplina y estructura.
Principio 1:
Demostrar compromiso con la integridad y valores éticos. Se da el ejemplo, se establece estándar de conducta, se evalúa la adhesión a la misma y se tratan los desvíos en forma oportuna.
Principio 2:
El consejo de administración ejerce su responsabilidad de supervisión del control interno. El director establece sus responsabilidades de supervisión, aplica los conocimientos especializados, opera de forma independiente y supervisa el funcionamiento del sistema de Control Interno.
Principio 3:
Establecimiento de estructuras, asignación de autoridades y responsabilidades. Se consideran todas las áreas de la empresa y se establecen líneas de reporte.
Principio 4:
Demuestra su compromiso de reclutar, capacitar y retener personas competentes. Establecimiento de políticas y procedimientos.
Principio 5:
Retiene a personal de confianza y comprometido con las responsabilidades de CI. Exige el cumplimiento de la rendición de cuentas a través de las estructuras, autoridades y responsabilidades, establece y evalúa las medidas de rendimiento, incentivos y recompensas.
Evaluación de Riesgos
Involucra un proceso dinámico e interactivo para identificar y analizar riesgos que afectan el logro de obtivos de la entidad, dando la base para determinar cómo los riesgos deben ser administrados. La gerencia considera posibles cambios en el contexto y en el propio modelo de negocio que impidan su posibilidad de alcanzar sus obtivos.
Prin 6:
Se especifican objetivos claros para identificar y evaluar riesgos para el logro. Obtvos Operacionales: Reflejan la elección de la gerencia, consideran la tolerancia al riesgo, incluyen metas operativas y financieras y forman una base para la asignación de recursos. O de Reporte Financiero externo: Cumplen con las normas contables aplicables, consideran la materialidad-significatividad y reflejan las actividades de la entidad. O de Reporte No Financiero externo: Cumplen con las normas externas a la entidad o marcos reconocidos, consideran el nivel de precisión requerido y reflejan las act de la entidad. O de Reporte Interno: Reflejan las elecciones de la gerencia, consideran el nivel de precisión requerido y reflejan las actividades de la entidad. O de Cumplimiento: Reflejan las leyes y regulaciones aplicables y consideran la tolerancia al riesgo.
Prin 7:
Identificación y análisis de riesgos para determinar cómo se deben mitigar. Analiza factores internos y externos, estima la importancia de los riesgos identificados y determina cómo responder a los riesgos.
Prin 8:
Considerar la posibilidad del fraude en la evaluación de riesgos. Evalúa incentivos, presiones y oportunidades para cometer fraude. Triángulo de fraude: Incentivo/Presión
, Actitud/Racionalización y Oportunidad. Prin 9: Identificar y evaluar cambios que podrían afectar significativamente el sistema de control interno. Evalúa cambios en el contexto, modelos de negocio y liderazgo. Act de control. Son las acciones establecidas por políticas y procedimientos para ayudar a la administración a mitigar el riesgo y por ende al logro de objetivos. Prin 10: Selección y desarrollo de actividades de control que contribuyan a mitigar los riesgos a niveles aceptables. Act preventivas y/o detectivas. Prin 11: La organi selecciona y desarrolla actdades de controles grales d tecnología para apoyar el logro de los objetivos. Determina la vinculación entre el uso de la tecnología en los procesos de negocio y los controles generales de la misma. Prin 12: La organización implementa las activ de control a través de políticas procedimientos. Info y Com. La info es necesaria en la entidad para ejercer las responsabilidades de CI en relación al logro de obtivos. La comun ocurre tanto interna como ext, además de que permite al personal comprender las responsabilidades del CI y su importancia para el logro de los obtivos. Prin 13: Se gnera y utiliza info de calidad para apoyar el funcionamiento del control interno. Identifica los requerimientos de información, así como transforma datos relevantes en información. Prin 14: Se comunica internamente los objetivos y las responsabilidades de control interno. Permitiendo al personal comprender y ejecutar sus responsabilidades de CI. Prin 15: Se comunica externamente los asuntos que afectan el funcionamiento de los controles internos. Actdes de monitoreo. Evaluaciones concurrentes o separadas, o una combinación de ambas es utilizada para determinar si cada uno de los componentes del CI, incluidos los controles para hacer más efectivos los principios dentro de cada componente, está presente y funcionando. Los hallazgos son evaluados y las deficiencias son comunicadas oportunamente.
Principio 16: Se lleva a cabo evaluaciones sobre la marcha y por separado para determinar si los componentes del control interno están presentes y funcionando. Se establece una base de entendimiento y usa personal con conocimiento de lo evaluado. Principio 17: Se evalúa y comunica oportunamente las deficiencias del control interno a los responsables de tomar. Monitorea las acciones correctivas.
COSO 2016 Gobierno del Riesgo y Cultura: La gobernanza del riesgo establece el tono de la organización, lo que refuerza su importancia, y establece sus funciones de supervisión en la gestión del riesgo empresarial. Por su parte, la cultura se refiere a los valores éticos, conductas deseadas y comprensión del riesgo en la organización. Los principios asociados a este componente se refieren a las siguientes materias: Principio 1. El consejo proporciona supervisión de la estrategia y lleva a cabo las responsabilidades del gobierno del riesgo para apoyar a la administración en la consecución de la estrategia y de los objetivos de negocio. Principio 2. La organi establece las estructuras de gobierno y de operación en el cumplimiento de la estrategia y los objetivos de negocio. Principio 3. La organización define los comportamientos deseados que caracterizan valores y actitudes básicas hacia el riesgo. Principio 4. La organización demuestra compromiso con la integridad y los valores éticos. Principio 5. La organI mantiene los individuos en todos los niveles responsables de la gestión de riesgos de la empresa, y se responsabiliza de proporcionar normas y directrices. Principio 6. La organización se compromete a la cimentar el capital humano, alineándose con la estrategia y los objetivos de negocio. Riesgo, Estrategia, y Establecimiento de Objetivos: la gestión del riesgo empresarial, la estrategia y la determinación de objetivos, es un trabajo conjunto en el proceso de planificación estratégica. El apetito del riesgo se establece y alinea con la estrategia; los obtivos de negocio ponen en práctica la estrategia, a la vez que sirven de base para identificar, evaluar y responder al riesgo. Principio 7. La organi considera los efectos potenciales del contexto empresarial en el perfil de riesgo. Principio 8. La org define el apetito de riesgo en el contexto de la creación, preservación y obtención de valor. Principio 9. La organización evalúa estrategias alternativas y el impacto en el perfil de riesgo. Principio 10. La organización considera el riesgo al establecer los objetivos de negocio en los distintos niveles que se alinean y que apoyan la estrategia. Principio 11. La organización define la variación aceptable en el desempeño, en relación con la estrategia y los objetivos de negocio. Riesgo en la Ejecución: Los riesgos que puedan afectar a la consecución de la estrategia y los objetivos del negocio necesitan ser identificados y evaluados. Los riesgos son priorizados por la severidad en el contexto del apetito al riesgo. La organización selecciona entonces las respuestas al riesgo y toma una visión de cartera de la cantidad de riesgo que ha asumido. Los resultados de este proceso se informan a los interesados clave de riesgo. Principio 12. La organización identifica el riesgo en la ejecución que afecta el logro de los objetivos del negocio. Principio 13. La organización evalúa la severidad del riesgo.
Principio 14. La organización da prioridad a los riesgos como base para la selección de las respuestas a los riesgos. Principio 15. La organización identifica y selecciona las respuestas al riesgo. Principio 16. La organización evalúa los resultados de desempeño de la operación y considera el riesgo. Principio 17. La organización desarrolla y evalúa una visión de cartera del riesgo. Info de Riesgos, Comunicación, y Reporte: La gestión del riesgo empresarial requiere un proceso continuo para obtener y compartir información necesaria, tanto de fuentes internas y externas, que fluye hacia arriba, abajo, y en toda la organización. Principio 18. La organización utiliza la información que soporta la gestión del riesgo empresarial. Principio 19. La organización aprovecha la información generada en sus sistemas de información para apoyar la gestión del riesgo empresarial. Principio 20. La organización utiliza canales de comunicación para apoyar la gestión del riesgo empresarial. Principio 21. La organización informa sobre el riesgo, la cultura, y el desempeño en los múltiples niveles de la organización y a través de ella. Monitoreo del Desempeño de la Gestión del Riesgo Empresarial: A través del monitoreo del desempeño de la gestión de riesgos, una organización puede considerar qué tan bien los componentes de la gestión del riesgo empresarial están funcionando en el tiempo y en función de los cambios sustanciales que se han producido en la organización. Principio 22. La organización identifica y evalúa los cambios internos y externos que pueden impactar sustancialmente la estrategia y los objetivos del negocio. Principio 23. La organización monitorea el desempeño de la gestión del riesgo empresarial.
COSO 2017: GESTIÓN DE RIESGOS EMPRESARIALES, INTEGRADO CON ESTRATEGIA Y DESEMPEÑO Aclara la importancia de la gestión de riesgos empresariales en la planeación estratégica y la incorpora a toda la organización, ya que el riesgo influye y están alineados a la estrategia y el desempeño en todas las áreas, departamentos y funciones. GOBIERNO Y CULTURA: El gobierno establece el tono de la organización, reforzando la importancia de, y estableciendo responsabilidades de supervisión, para la gestión de riesgos empresariales. La cultura se refiere a valores éticos, comportamientos deseados y comprensión del riesgo de la entidad. Principio 1. La junta Directiva ejerce supervisión sobre los riesgos. Principio 2. Establece estructuras operativas. Principio 3. Define la cultura deseada. Principio 4. Demuestra compromiso con los valores éticos. Principio 5. Atrae, desarrolla y retiene individuos competentes. ESTRATEGIA Y OBJETIVOS: Gestión de riesgos empresariales, estrategia y objetivos trabajan juntos en el proceso de planeación estratégica. El apetito al riesgo es definido y alineado con la estrategia; los objetivos de negocio ponen la estrategia en práctica mientras sirve para identificar, evaluar y responder a los riesgos. Principio 6. Analiza el contexto empresarial. Principio 7. Define el apetito al riesgo. Principio 8. Evalúa estrategias alternativas. Principio 9. Formula los objetivos empresariales. DESEMPEÑO: Riesgos que pueden afectar el logro de la estrategia y los objetivos de negocio pueden ser identificados y evaluados. Riesgos son priorizados por severidad y en el contexto del apetito al riesgo. La organización selecciona las respuestas al riesgo y toma el riesgo que ha asumido. Principio 10. Identifica riesgos.
Prin 11. Evalúa la severidad de los riesgos. Prin12. Prioriza los riesgos. Prin 13. Implementa las respuestas al riesgo. Prin 14. Desarrollar un portafolio de riesgos. REVISIÓN: Para revisar el desempeño de la entidad, una organización puede considerar qué tan bien funcionan los componentes de gestión de riesgos empresariales a lo largo del tiempo a la luz de cambios sustanciales y qué revisiones se necesitan. Prin 15. Evalúa los cambios sustanciales. Prin 16. Revisa los riesgos y el desempeño. Prin 17. Propone mejoras en la gestión de riesgos empresariales. INFORMACIÓN, COMUNICACIÓN Y REPORTE: La gestión de riesgos empresariales requiere un proceso continuo para obtener y compartir información necesaria, de fuentes internas y externas, que fluya en todas las direcciones y a través de toda la organización. Principio 18. Aprovecha la información y la tecnología. Principio 19. Comunica los riesgos de información. Principio 20. Informes sobre riesgos, cultura y desempeño. El propósito del COCO es desarrollar orientaciones o guías generales para el diseño, evaluación y reportes sobre los sistemas de control dentro de las organizaciones. Los objetivos pueden referirse a una o más de las siguientes categorías: Efectividad y eficiencia de las operaciones. Confiabilidad de los reportes internos o para el exterior. Cumplimiento con las leyes y reglamentos aplicables así como con las políticas internas. Criterios de Control son la base para entender el control de una organización están planteados como metas a cumplir permanentemente. En la estructura del Modelo COCO, los Criterios son elementos básicos para entender y, en su caso, aplicar el Sistema de Control. Se requiere un adecuado Análisis y Comparación para interpretar los criterios en el Contexto de una Organización en particular, y para una Evaluación efectiva de los Controles Implantados. El llamado ciclo de entendimiento básico del control, como se representa en el modelo, consta de cuatro etapas que contienen los veinte criterios generales, conformando un ciclo lógico de acciones a ejecutar para asegurar el cumplimiento de los objetivos de la organización, el cual es: PROPÓSITO Sentido de Dirección a la Organización 1. Los objetivos deben ser establecidos y comunicados. 2. Los riesgos internos y externos significativos deben ser identificados y evaluados. 3. Las políticas para apoyar el logro de los objetivos de una organización y el manejo de sus riesgos, deben ser establecidas, comunicadas y practicadas, de manera que el personal entienda lo que de él se espera. 4. Deben establecerse y comunicarse planes para guiar los esfuerzos para lograr los objetivos de la organización. 5. Los objetivos y los planes relativos deben incluir metas, parámetros indicadores de medición del desempeño. COMPROMISO Sentido de identidad y valores de la organización 1. Se deben establecer y comunicar los valores éticos de la organización. 2. Las políticas y prácticas sobre recursos humanos deben ser consistentes con los valores éticos de la organización así como con el logro de sus objetivos. 3. La autoridad, responsabilidad, y la obligación de rendir cuentas deben ser claramente definidas y consistentes con los objetivos de la organización, para que las decisiones y acciones se lleven a cabo por el personal apropiado. 4. Se debe fomentar una atmósfera de confianza mutua para apoyar el flujo de la información entre el personal y para el efectivo logro de los objetivos.
APTITUD 1. El personal debe tener los conocimientos, habilidades y herramientas para alcanzar los objetivos de la empresa. 2. Las actividades de control deben diseñarse como parte integral de la empresa. 3. El proceso de comunicación debe apoyar los valores de la empresa y el logro de sus objetivos. 4. Se debe identificar y comunicar información suficiente y relevante para el logro de objetivos. 5. Deben coordinarse las decisiones y acciones de las diferentes partes de la empresa. EVALUACIÓN Y APRENDIZAJE 1. Verificar tanto el ambiente interno como externo para reevaluar los objetivos ya establecidos. 2. Medir avance conforme a las metas establecidas. 3. Las premisas establecidas a un inicio deben ser revisadas de manera constante. 4. En la medida que se cambien los objetivos se debe los sistemas de información deben ser nuevamente evaluados. 5. Comprobar el cumplimiento de los procedimientos. 6. Evaluar periódicamente el sistema de control e informar de los resultados.