1415636226leonidasycesar coso guatemala 2014.pdf

8/19/2019 1415636226LeonidasyCesar Coso guatemala 2014.pdf

http://slidepdf.com/reader/full/1415636226leonidasycesar-coso-guatemala-2014pdf 1/36

COSO I, II ERM, y III,Principales Cambios y suAplicación en la Evaluación

del Control InternoLeonidas Rey Senior ManagerErnst & Young - Servicios Financieros

VI Congreso Regional de Administración de

Riesgos Financieros

CORERIF

Guatemala, 06 de Noviembre 2014



Agenda

► Marco Referencia COSO 2013► Cambios clave

► Impacto

► ¿Cómo adaptarse a COSO 2013?

► El Rol de Auditoría Interna yRiesgo

COSO I, II ERM, y III, Principales Cambios y su Aplicación en la Evaluación del Control Interno



Marco de Referencia COSO



¿Qué es COSO?

► Committee of Sponsoring Organizations of theTreadway Commission (COSO)

► Five Sponsoring Organizations




¿Qué es COSO?

► Marco de referencia cuyo objetivo es proveer

orientación sobre:

► Gestión del control interno y detección de fraude

► Administración de riesgos

► Gobernabilidad y mejora del desempeño organizacional




¿Qué es Control Interno?

Proceso establecido por el Consejo de Dirección,la Administración y otro personal de unaempresa, designado para proporcionar certezarazonable sobre el cumplimiento de objetivos en

las siguientes categorías:

• Efectividad y eficiencia de las operaciones.• Confiabilidad de información financiera.• Cumplimiento con leyes y regulaciones

aplicables.





La definición de control interno comprende ciertos conceptos

fundamentales:

► El control interno es un proceso. Es un medio para un fin, no un fin ensí mismo.

► El control interno es efectuado por personas. No es meramente laexistencia de formularios y manuales que contienen políticas, sinopersonas en cada nivel de una organización.

► La dirección y el directorio de una empresa únicamente puedenesperar del control interno que provea seguridad razonable, noseguridad absoluta.

► El control interno se aplica en toda la entidad.





•Evaluación de laefectividad del sistema decontrol a largo plazo.

• Combinación de unaevaluación continua eindependiente.

• Actividades gerenciales yde supervisión.

•Actividades de auditoríainterna.

• Define el rumbo paraconcientizar a losempleados en términos de

controles.

• Factores que incluyenintegridad, valores éticos,competencia, autoridad yresponsabilidad.

• Basa para todos los demáscomponentes de control.

Es la identificación y análisisde riesgos relevantes paralograr los objetivos de laentidad – formando la basepara definir las actividades decontrol.

Ambiente de Control

• Información adecuada,identificada, ingresada y

comunicada de maneraoportuna.

• Acceso a informacióngenerada interna yexternamente.

• Un flujo que permiteactividades de controlexitosos- desdeasignaciones de

responsabilidad hastaresumen de hallazgos paraacciones de la gerencia.

Información y ComunicaciónEvaluación de Riesgo

• Políticas/procedimientos queaseguran que se siguen lasdirectrices de la gerencia.

• Rango de actividades, talescomo: aprobaciones,autorizaciones,verificaciones,recomendaciones, revisionesde rendimiento, seguridad deactivos y segregación defunciones.

Actividades de Control

Monitoreo




COSO I – COSO II ERM

Expandido en trescomponentes

Principales cambios de COSO I – COSO ERM




COSO 2013

1992 2006 2009 2013




COSO 2013

Mayo

20132014

Transición

El MarcoCOSO

originalserá

sustituido




Cambios Clave



Una historia de crisis recurrentes

► El caso de Enron en2001.

► Caso BANINTER,

BANCREDITO

(2003)► La crisis financiera

del 2008.

► El caso de Banco

Espirito Santo en2014.




Las causas de fondo

► El elemento en común. Fallas en:► Gobierno Corporativo,

► Juntas Directivas y los comitésde Auditoría, Riesgo y

Cumplimiento.

►

Razones:► Negocios cada día más grandes y

complejos,

► Presión por crecimiento y

rentabilidad,

► Incentivos mal estructurados.

► Las (sobre) reacciones y exigencias

por parte de reguladores,

accionistas, inversionistas,

accionistas, público y Basilea.

► Presión de partes interesadas

► Mayor escrutinio por parte de

agencias calificadoras,

reguladores, accionistas, etc.

► Agencias de rating y

corresponsales

► Aumento en primas de riesgo y

deterioro en el precio por

acción

► Practicas de mercado

► Impactos en la reputación

► Mayor numero de regulaciones

► Costo de penalidades

► Muchas consecuencias




Ambiente financiero altamente regulado

OECD

NACD

SEC

NYSE

rules

SOX

NASDAQ

rules

ALI

BRTEmployment

& Labor

AS 3806

FSGThompson

Memo

TIAA

CREFF

PCAOB

CalPERS

ISO 9000

SBP

ERM

COSOERM

AS 4360

BIS

Baldrige

European

QualityCSRGRI

AA 1000SA 8000

ISO: CSRISO14000

TIAACREFF

Governance

Quality

Legal

Compliance

Prosecutorial

Guidance

Wage &

Hour

Workplace

Violence

FDA

Conference

Board

CII

AS 4269

Government

Contracts

Anti-

Discrimination

Anti-

Harassment

Contingent

Workforce

Hiring &

Retention

HIPAA

Information

Management

Employee

Information

GLBAISO 17709

CCA &

FISCAM

GAO XBRL

COBIT

NIST

8-2010

8-2011Turnbull

AFL-CIO

King II

21(a)

SeaboardCaremark

Environmental

ILO

Conventions

AICPA

SAS 99 & 70

FFIEC

WebTrust

SysTrust

COSO

Internal Control

OCC

5-2011

CMM

FCPA

OFEHOFederalReserve

HumanCapital CMM

CISA

HHS

Guidance

Abbott

Decision

DoD

IIA

Guidance5-2008

Anti-

Money Laundering

4-2013 Anti-FraudUSA

PATRIOTDII

IRS & TaxCompetitive

Practices

CCGG

7-2011




¿Qué ha cambiado?

COSO’s Internal Control – Integrated Framework (1992 Edition)

Objetivosactualizados

Mejoras

COSO’s Internal Control – Integrated Framework (2013 Edition)

Reflejar los cambiossignificativos en elambiente de negocioy sus riesgosasociados

Actualiza el contexto

Enfoque en lasoperaciones, elcumplimiento y losobjetivos deinformación no

financieros

Amplia losrequerimientos

Codificar los criteriosa utilizar en eldesarrollo y laevaluación de lossistemas de control

interno

Principios

PuntoFocal

Estadoactual

Estadofuturo




• Mayores expectativas de

supervisión por parte de los

stakeholders

• Globalización de los

mercados y de las

operaciones

•Evolución de los sistemasde información

• Necesidades de prevención

e identificación de fraude

• Nuevas leyes, reglas y

regulaciones

¿Por qué ha cambiado?1. Detalla principios y puntos

de interés para determinar

la efectividad del Sistema

de Control Interno.

2. Amplía el objetivo de

reporte, enfocándose no

sólo en la informaciónfinanciera, sino también en

la no financiera.

3. Mayor consideración para

los controles de prevención

e identificación de fraude

4. Profundiza en la necesidad

de la calidad de

información que debedarse entre la compañía

Principales Cambios5. Se amplía la información

sobre la necesidad de

Gobierno Corporativo

6. Incrementa la relevancia

del impacto de los sistemas

de información (TI),

considerando la calidad,confiabilidad y protección

de la información

7. Incorpora dentro del cubo

de Sistema de Control

Interno a las divisiones o

unidades de negocio

soportadas por los terceros

8. Mayor detalle sobre loscanales de información

internos y externos.

Nuevo sistema de control interno - COSO




Principios del nuevo marco COSO

1. Demostrar compromiso con la

integridad y la ética

2. Ejercer la responsabilidad desupervisión

3. Establecer una estructura,

autoridad y responsabilidades4. Comprometerse con la

competencia profesional

5. Reforzar la responsabilidad de

rendir cuentas

Ambiente de Control

6. Definir objetivos

7. Identificar y analizar los riesgos

8. Evaluar el riesgo de fraude9. Identificar y analizar los cambios

que puedan afectar al Sistema de

Control Interno

Evaluación de Riesgos

10.Diseñar y ejecutar actividades de

control11.Diseñar y ejecutar actividades de

control para los sistemas de

información12.Desplegar los controles a través

de políticas y procedimientos

Actividades de Control

13.Utilizar información relevante yde calidad para la función de

control interno

14.Comunicar internamente la

información relevante,

incluyendo objetivos yresponsabilidades para el control

interno15.Comunicar externamente la

información relevante del

Sistema de Control Interno

Información y Comunicación

16.Seleccionar, desarrollar yejecutar evaluaciones continuas

y periódicas de cada componente

del Sistema de Control Interno.

17.Evaluar y comunicar las

deficiencias de control interno,de manera oportuna, a los

responsables de tomar accionescorrectivas (Gerencia o Junta

Directiva)

Actividades de Supervisión

A B C

D E




COSO 2013 – Cambios Clave

► Principios del ambiente de control (1-5) – minimizar las lagunas alrededor de lasáreas donde el modelo de negocio de las organizaciones puede haber evolucionadoo transformados a partir del modelo tradicional en los últimos años (por ejemplo,empresas conjuntas, la utilización de las organizaciones de servicios, servicioscompartidos).

► Principios 6, 7 y 9 - Evaluación del riesgo - la expansión del universo y el micro-universo.

► Principio 8 - Consideración del fraude – incorporar evaluaciones de riesgo de fraude;mejorar el enfoque y la documentación de los controles de fraude.

► Principio 10 - Diseñar y ejecutar actividades de control para los sistemas deinformación

► Principio 14 - Comunicar internamente la información relevante, incluyendo objetivos

y responsabilidades para el control interno

P un t o s

d e

E nf o q u e

A Ambiente de

Control

B Evaluación deRiesgos

C Actividadesde Control

D Información yComunicación

E Monitoreo




Relevancia incrementada de la tecnología

Infraestructura yrecursos tecnológico

Estructura

COSO 2013

Principales riesgosasociados a la “Cloud

computing”

Principales riesgosasociados a la

informática móvil

Principalesriesgos asociados

a la gestión de

riesgo deterceros

Selecciona ydesarrolla los

controlesgenerales sobre

la tecnología

Principalesriesgos asociados

a la seguridadcibernética




Impacto de COSO 2013



Tres líneas de defensa

► Comités como forma de cumplir con las nuevas responsabilidades de la

Junta Directiva► Los tres pilares fundamentales: Comités de Auditoría, Riesgo y

Cumplimiento. Deben ser complementados por la Administración

Estructura de Gobierno Corporativo, Junta Directiva,

Comités de JD

Alta Administración

Sistemas

deControl

Geren-

ciales

Indicado-

res

Alertas

KRIKPI

Medidas

de

Control

1ra. línea de defensa 2da. línea de defensa

Controles Financieros

Seguridad

Gestión de Riesgos

Calidad

Cumplimiento

Auditoría Interna

3ra. línea de defensa

A u d i t or e s E x t er n o

s

R e g ul a d or e s



COSO 2013 - ¿Cuál impacto?Un vistazo a su nivel de adopción en el mundo

De acuerdo con los

resultados de la encuesta

“North American Pulse of the

Profession Survey” del IIA’s,

un número mayor de

organizaciones financieras y

no financiera están

dispuestas a adoptar COSO

2013 con relación a su

versión de 1992.

41%

27%

20%

4%8%

Tipos de organización que planean

aplicar el modelo COSO 2013

Bolsa pública

Financiamientoprivado

Sector público

Proveedoras deservicios /

consultoras

Otros tipos deorganización

Fuente: The Instituo of Internal Auditors North American Pulse of the Profession Survey, Septiembre 2013.




COSO 2013 - ¿Cuál impacto?Variará según el tipo de organización

ImpactoI m p a c t o

Impacto

Impacto

ImpactoImpacto

COSO

2013

COSO

2013

COSO2013

COSO2013

C O S O

2

0 1 3

C O S O

2

0 1 3

C O S O

2 0 1 3

C O S O

2 0 1 3

I m p

a c t o

I m p a c t o

Varía según su organización




V ar í a s e g ú

n s u or g ani z a c i ó n

V a r í a s e

g ú n s u o r g a n i z a

c i ó n




V ar í a

s e g ú n s u or g ani z a c i ó nCOSO 2013

COSO 2013

COSO 2013

COSO 2013

C O S

O 2 0 1 3

C O S O 2 0 1 3

I m

p a c t o

I m p a c t o

I m p a c t o

Impacto

Impacto

I m p a c t o

I m p a c t o

I m p a c t o

I m p a c t o

Impacto

I m p a c t o

C O S O 2 0

1 3 COSO 2013

Impacto I m p a c t o

¿Necesita un sistema decontrol interno parahacer frente a los

cambios?

¿Necesita su sistema de

control internoactualizarse para hacerfrente a todos los

principios?

¿Su organización aplicae interpreta el marcooriginal de la misma

manera como COSO?

¿Qué pasa si no estamoslistos?

¿Cuánto esfuerzo debemosasignar a esto?




COSO 2013 - ¿Cuál impacto?Variará según el tipo de organización

Tres respuestas comunes han surgido impulsadas por la

madurez del ambiente de control existente en términos de:► Integridad, integración y eficacia de los componentes deCOSO.

► La eficiencia actual y prospectiva que debe ser apta parael afrontar los cambios previstos y necesidades delentorno organizacional.

COSO mapeo deremediaciones

mínimas

COSOcambiosdeiniciativassobre elcontrolinterno

Se espera que la respuesta de remediación consista en:► Una remediación más amplia debido a limitaciones o falta de

efectividad de la adopción original COSO, cambios significativosen el negocio desde que la adopción.

► Remediación incremental para subsanar las deficienciasespecíficas o mejoras en el diseño del entorno de control en

respuesta a los cambios evolutivos en el negocio o la adopción deprácticas conducentes.

► Una expansión más allá del Control Interno sobre el ReporteFinanciero (ICFR) y el uso de los principios de COSO para subrayarla necesidad de aumento de los controles operacionales, sobre losinformes internos, el gobierno corporativo y una disminución delos costos de control.

Principales prácticas de adopción COSO

Gap incremental de

remediación —

áreas bajo riesgo

Gap incremental

de remediación —

áreas de alto

riesgo

Remediación

completa de

brechas

Remediaciónde eficiencia


Beneficios del marco de referencia



Beneficios del marco de referenciaactualizado

Depempeño

Agilidad

ConfianzaClaridad

Administración y

Junta Directiva

Partes ExternasOtros Usuarios

► Mejorar el GC

► Expande el uso más allá

del reporte financiero

► Mejorar la calidad de la

evaluación de riesgos

► Fortalecer esfuerzos

anti-fraude

► Adaptar los controles a

las necesidades

cambiantes del negocio


¿Có Ad t COSO 2013?



¿Cómo Adaptarse a COSO 2013?



Plan de juego COSO 2013 - Transición

Para dirigir los cambios que requiere el nuevo marco COSO 2013, es esencial unacoordinación integral de la Gerencia, Comité de Auditoría, Auditoría Interna,

Administración Integral de Riesgos y todas las funciones que juegan una papelfundamental en el sistema de control interno de la organización

1.

Iniciar una discusión conla alta dirección y elcomité de auditoría sobreel nuevo marco COSO,destacando sus

principales cambios eimplicaciones para elsistema de control internode la organización.

2.

Revisar y establecer unproceso para identificar yevaluar los cambios enriesgos, controles (si loshubiera) y en la

documentaciónrelacionada.

3.

Documentar su enfoquepara la aplicación delnuevo marco COSO y elplan de transiciónincluyendo los cambios en

los riesgos, controles ydocumentaciónrelacionada.




Fase III

Monitoreo

► Monitoreo y mejora continua

► Implementación de

oportunidades de mejora

Ciclo de adopción del marco COSO

Actualización de

riesgos ycontroles

Actualización

de mapas de

procesos

Ejecución delas pruebasde controles

Actualización

de políticas

corporativas

Actualización

de

procedimientos

de pruebas y

controles

Fase II

Adopción

► Sensibilización

► Actualización de

la

documentación

Fase I

Diagnóstico

► Análisis de

brechas

► Cuantificación

del impacto

El sistema de Control Internoes la base de una gestión

orientada al logro de los

objetivos operacionales,

financieros y de cumplimiento

de una organización, así

como para el fortalecimientodel Gobierno Corporativo


í



Impacto del COSO 2013 en las funciones de AuditoríaInterna y Riesgo



Impacto en las funciones de Auditoría Internay RiesgoLínea Gerencial

► Mapear los 17 principios a los controles existentes parademostrar que estos principios estén presentes yfuncionando en apoyo de los objetivos organizacionales.

► Identificar y analizar las brechas de diseño de controlcon la alta dirección y desarrollar los planes pararemediar las brechas.

Riesgo y Cumplimiento► Llevar a cabo una evaluación del impacto del Marco

COSO de 2013 sobre las políticas de la organización, laorientación, la formación y las herramientasrelacionadas.

► Trabajar con la alta dirección y la línea gerencial paracomunicar el impacto del Marco COSO de 2013 sobre laorganización de Auditoría Interna, la Junta Directa/ yComité de Auditoría.

► Revisar la metodología para la evaluación de riesgospara hacer frente a los 17 principios que apoyan a los 5componentes para la consecución de los objetivosorganizacionales.




Impacto en las funciones de Auditoría Internay Riesgo

Auditoría Interna

► Discutir con el comité de auditoría del impacto delmarco de 2013 sobre las operaciones y los planes deauditoría interna.

► Referir los 17 principios en la evaluaciones realizadaspor la auditoría interna, en las comunicaciones con elComité de Auditoría y con la Gerencia.

► Trabajar proactivamente con la línea gerencial, riesgo ycomplimiento en el diseño del plan de transición haciaCOSO 2013.

► Participar en las discusiones con auditoría externa pararevisar el plan de transición al Marco COSO 2013 yentender las implicaciones en la ejecución de lasauditorías futuras.

.


Impacto en las funciones de Auditoría Interna



Otras consideraciones

De acuerdo con el

practice guide:“Developing the InternalAudit Strategy plan” del

Instituto de AuditoresInternos dice que esimportante realizar unFODA para conocer si con

sus capacidades actualespueden cumplir con lavisión y alcanzar lasexpectativas de las partesinteresadas.

Impacto en las funciones de Auditoría Internay Riesgo

Estructuraorganizacional

Requerimientosde recursos

Tecnología yherramientas

Modelos detercerización




Otras consideraciones para Auditoría InternaRelevancia de la Tecnología de Información (TI)

► Aspectos relacionados con TI se incluyen en14 de los 17

principios.► Principio 11: La organización selecciona y desarrolla

actividades de control generales sobre la tecnología paraapoyar el logro de los objetivos.

► La discusión de la utilización de TI para ayudar amonitorear, continua dentro del sistema de controlinterno (por ejemplo, el uso de sistemas GRC y para elanálisis de datos).

► Requisitos para garantizar la calidad de la información (esdecir, la integridad de datos)




Nunca pienso en elfuturo porque llega muypronto

Albert Einstein



Contáctenos:

Leonidas Rey CPA MBA

Senior Manager

LAFSA Risk Advisory FSOOffice: +506 2208 6741| Mobile: +506 5009 1833e-mail: [email protected]

mailto:[email protected]

mailto:[email protected]

1415636226leonidasycesar coso guatemala 2014.pdf

Documents