control interno y gestión de procesos: lo nuevo de coso ... · evaluar y comunicar ... • util...
Post on 31-Oct-2018
214 Views
Preview:
TRANSCRIPT
© Deloitte Inc. 2012 All rights reserved.
Control Interno y Gestión de Procesos: Lo nuevo de COSO Control Interno
I Congreso Latinoamericano sobre Gestión Integral de Riesgos en Entidades Financieras Noviembre 2012 - Hotel Miramar Intercontinental
Bismark Rodriguez CIA CCSA CFSA CPA MBA Socio – Servicios de Riesgos Empresariales
© Deloitte Inc. 2012 All rights reserved.
Contenido de la presentación
1. Introducción: Cambios en el marco regulatorio
2. Requerimiento en materias de control: Cambios en el marco integrado de control interno
3. Dosificando el esfuerzo: hasta donde llegar en materia de control interno
4. Reporte del sistema Global de Control Interno
5. Ideas para el cierre
2
Introducción: Cambios en el marco regulatorio en las entidades financieras
© Deloitte Inc. 2012 All rights reserved. 4
Creciente complejidad de las regulaciones
3rd Money Laundering Directive (EU)
Sarbanes Oxley (US)
Basel II (EU) Solvency II (EU)
IFRS (EU)
Transparency Directive (EU)
Patriot Act (US)
IFRS Phase 2 (EU)
UCITS III Directive (EU)
Payment Services Directive (EU)
E-Privacy Directive (EU) TCF
(UK) Market Abuse Directive (EU)
Consumer Credit Act (UK)
IFRS Convergence With GAAP (US)
Basel II (US)
BASEL III
Financial Services & Markets Act (UK)
Financial Conglomerates Directive (EU)
Gramm Leach Bliley Act (US)
FATF Methodology for Assessing Compliance, Revised (EU)
FFIEC Information Technology Handbook on Info Sec (US)
BSA/AML Examination Manual (US)
2004 2002 2006 2008 2010
2013
2000
Senior Supervisory Report "Observations on Risk Mgmt. Practices” (US)
U.S. Treasury Department "Blueprint for a Modernized Financial Regulatory Structure””
Intl. Institute of Finance “Final Report of the Committee on Market Best Practices”
G30 “Working Group” Report “Volcker- Ferguson Report on Financial Regulatory Systems” (US)
BASILEA III: Las medidas de capital se introducirán desde el 2013 hasta el 2019. • Año 2013: el 1 de enero entrará en vigor pero se irá incorporando progresivamente. • Año 2015: se implanta el ratio de liquidez a corto plazo • Año 2017: se acuerda el diseño así como la medición del ratio • Año 2018: se introduce el ratio de apalancamiento y el ratio de liquidez
4
© Deloitte Inc. 2012 All rights reserved.
SBP: Acuerdo 5-2011 sobre Gobierno Corporativo
• La Junta Directiva
• Director independiente
• Requisitos mínimos del gobierno corporativo
• Sistemas de control interno
• El rol de la auditoría interna
• El Comité de Auditoría
5
© Deloitte Inc. 2012 All rights reserved.
Aspectos de control de gestión relevantes a partir del Acuerdo 5-2011 • Planes estratégicos y medición del
desempeño • Estructura de negocios y soporte de la
organización. • Reglamentos para la gestión de la junta
directiva y sus comités de dirección • Códigos de conducta y otros estándares
apropiados de comportamiento. • Políticas y procedimientos de administración
del capital humano. • Clara asignación de las responsabilidades a
diferentes niveles • Mecanismos de información interna y externa
hacia el público.
6
© Deloitte Inc. 2012 All rights reserved.
Responsabilidades y retos en materia de control interno y administración de riesgos a partir del acuerdo
• Prácticas de control interno y administración de riesgos son la base fundacional del gobierno corporativo.
• Considerar COSO y Cobit en el diseño, implementación y modificación del sistema de control interno.
• Tres conceptos a tener en cuenta: • Autocontrol: Se espera el desarrollo de
prácticas de auto-evaluación de riesgos y controles para soportar las actividades de Gobierno, Riesgo y Cumplimiento
• Autorregulación: Implicará el desarrollo e implementación de metodologías, herramientas y procesos para mantener un modelo de control apropiado.
• Autogestión: Incidirá en establecer procesos de sostenibilidad del sistema para garantizar la efectividad de su ejecución.
7
Reporte sobre el sistema global de control interno
Cambios en el Marco de Referencia Integrado para Control Interno COSO
© Deloitte Inc. 2012 All rights reserved.
Proyecto de actualización: Culmina en abril 2013
9
© Deloitte Inc. 2012 All rights reserved.
El COSO Control Interno que todos conocen
10
© Deloitte Inc. 2012 All rights reserved.
Proyecto de revisión del Marco Integrado de Control Interno Original
¿Qué no esta cambiando? 1. La definición de Control Interno 2. Los 5 componentes de CI 3. Los 5 criterios fundamentales
para evaluar la efectividad del sistema de CI
4. La utilización de juicio o criterio para evaluar la efectividad del sistema de
¿Qué está cambiando? 1. Actualizar la condición corriente
reflejada de los ambientes operativo y de negocio.
2. Codificar los principios que sustentan los 5 componentes de control interno
3. Expande el objetivo del reporte financiero para incluir los reportes internos y externos no financieros
4. Aumentar el foco sobre operaciones, cumplimiento y objetivos del reporte gerencial
11
© Deloitte Inc. 2012 All rights reserved.
Proyecto de revisión del Marco Integrado de Control Interno Original
Con
dici
ones
de
Cam
bio
Con
tinuo
s
1. Expectativas sobre la vigilancia del GC
2. Globalización de mercado y operaciones
3. Cambio en los modelos de negocio 4. Demanda y complejidad de reglas,
regulaciones y normas. 5. Expectativas sobre competencias y
responsabilidades 6. Uso y confianza en tecnología
avanzada 7. Expectativas sobre la prevención y
detección de fraude
12
© Deloitte Inc. 2012 All rights reserved.
Am
bien
te d
e C
ontr
ol
Demostrar compromiso con la integridad y valores éticos Ejercitar vigilancia sobre la responsabili-dad Establecer estructura, responsabilidad y autoridad Demostrar compromiso con la competencia Exigir la rendición de cuentas
Eval
uaci
ón d
e R
iesg
os
Especificar los objetivos relevantes Identificación y analizar riesgos Evaluación de riesgos de fraude Identificación y análisis de cambios significativos
Act
ivid
ades
de
Con
trol
Selección y desarrollo de actividades de control Selección y desarrollo de controles generales de IT Alinear a través de políticas y procedimien-tos
Info
rmac
ión
y C
omun
icac
ión Uso de
información relevante Comunica-ción interna Comunica-ción externa
Act
ivid
ades
de
Mon
itore
o Conducir evaluaciones continuas o separadas Evaluar y comunicar deficiencias
17 Principios de Control Interno – Nuevo MRICI COSO
5
4
3
3
2 4 3 3 2 13
© Deloitte Inc. 2012 All rights reserved.
Beneficios del marco de referencia actualizado
Depempeño
Agilidad
Confianza Claridad
Administración y Junta Directiva
Partes Externas Otros Usuarios
Mejorar el GC Expande el uso más allá del reporte financiero Mejorar la calidad de la evaluación de riesgos Fortalecer esfuerzos anti-fraude Adaptar los controles a las necesidades cambiantes del negocio Mayor aplicabilidad sobre varios modelos de negocio
14
Dosificando el esfuerzo: hasta donde llegar en materia de control interno
© Deloitte Inc. 2012 All rights reserved.
Considerar la gestión de riesgos a todo nivel
Riesgo de Crédito Riesgo de Mercado Riesgo de Liquidez Riesgo Operacional
Estrategia organizacional Eficiencia y efectividad operacional Reporte interno y externo Complimiento con leyes y regulaciones
16
© Deloitte Inc. 2012 All rights reserved.
Partir con el final en mente…
1. ¿Cual es el riesgo que quiere controlar?
2. ¿Qué significa eso en términos de establecer actividades de control?
3. ¿Por qué esa actividad debe ser ejecutada?
4. ¿Quien (o cual sistema) efectuará la actividad de control?
5. ¿Con qué frecuencia se efectuará la actividad de control?
6. ¿Qué mecanismos son requeridos para ejecutar la actividad de control(reportes y sistemas)?
17
© Deloitte Inc. 2012 All rights reserved. 18
Impo
rtan
cia pa
ra el N
egocio
Med
io
Alto
Medio
Reclamo Clientes
Reportes Financieros
Tesorería Flujo de Caja
Cuentas por Cobrar
IT Controles Seguridad
Probabilidad de deficiencias proceso/controles Alto
Viajes & Entretenimiento
Compras Cuentas por Pagar
Administración de Materiales Planilla
Presupuesto
Mercadeo
Administración De Contratos
Administración Inventarios
AcNvos Intangibles
Cargos Diferidos
Reconocimiento Ganancias
ConNngencias
Categorización de los Procesos Descripción de los Niveles:
Requiere documentación Nivel 3 o Nivel 2 y evaluación de Todas las Actividades de Control
Requiere documentación Nivel 2 o Nivel 1 y evaluación de controles clave y actividades de monitoreo relacionadas a los objetivos de control relevantes
Requiere Documentación Nivel 1 o No documentación (ni evaluación de actividades de control)
Medio
Alto
Bajo
Niveles de Documentación Requeridos
© Deloitte Inc. 2012 All rights reserved.
INICIO FINRecibir Facturadel Proveedor
Comparar Facturay Documentación
SoporteAprobar Factura Pagar FacturaProgramar Fecha
de Pago Factura
NIVEL 1- Básico
PROS • Util en la documentación de procesos complejos • Util para documentar procesos relacionados • Evita la pérdida de tiempo en detalle • Ayuda a inculcar disciplina en el mapeo de procesos • Proporciona al equipo de documentación la flexibilidad para
seleccionar 2 ó 3 actividades críticas a evaluar CONTRAS
• Por sí solo, este enfoque no es suficiente para mostrar los puntos de riesgo y control.
Enfoque de Arriba-Abajo” mostrándo el Inicio y Fin de un proceso. No más de 6 ó 7 actividades críticas
Re-pensando el nivel de documentación
19
© Deloitte Inc. 2012 All rights reserved.
STARTPage 2
ADo Invoice, PO, and
Receiving Report match?
A
A
InvoicePurchase Order
(PO) and Receiving Report
Invoice, PO, and Receiving Report
Forward invoice packet to Business Unit Manager for
approval
Obtain pertinent back-up
documentation
Identify and correct cause of variances between purchase orders and invoices
Contact Purchasing Manager to resolve
differences
Make appropriate corrections to
voucher record
Receive invoice from supplier
Approve invoices for payment and sign off
NO
YES
Key Accounts Effected
o Cash
o Accounts Payable
NIVEL 2 - Intermedio
PROS • Muestra acciones y decisiones que facilitan la comprensión del proceso • Puede ser utilizado para identificar riesgos (incluyendo su fuente) y controles
CONTRAS
• Procesos complejos implicarán perdida de tiempo en detalles • El mapeo de procesos se convierte en “arte” a menos que se administre cuidadosamente
El diagrama muestra las actividades clave en mayor detalle junto con puntos de decisión y salidas. Generalmente utilizado para diagramar procesos críticos
Re-pensando el nivel de documentación
20
© Deloitte Inc. 2012 All rights reserved.
START
Invoice
Receive invoice from supplier
A/P
Cle
rk
Do Invoice, PO, and Receiving Report
match?
A
Purchase Order (PO) and
Receiving Report
Obtain pertinent back-up
documentation
Contact Purchasing Manager to resolve
differences
NO
Additional supporting documentation may include: packing slips, Capital Expenditure Requisitions, weigh tickets,
receipts, letters, memos, etc.
A
Identify and correct cause of variances between invoices
and POs
Make appropriate corrections to invoice
or PO
YESPage 2
B
Key Accounts Effected
o Cash
o Accounts Payable
NIVEL 3 - Detallado
PROS • Permite identificar las debilidades de un proceso • Enfoque utilizado en la reingeniería de procesos • Útil en la identificación de segregación de funciones
CONTRAS • Su preparación requiere de un personal experimentado que conozca los procesos y
las técnicas de obtención de la información requerida
Re-pensando el nivel de documentación
21
© Deloitte Inc. 2012 All rights reserved.
Cuatro técnicas para decidir dónde debe estar un control
1. Seguir el Dinero
o Comprender los objetivos de negocios y cómo trabajan los procesos antes de intentar evaluar los riesgos.
o Asegúrese de comprender cómo el negocio o el proceso pueden generar o perder dinero.
22
© Deloitte Inc. 2012 All rights reserved.
2. Enfasis en Riesgos Clave o Identificar cuáles son los
riesgos más importantes?
o Partir del mapa de riesgos de la organización
o Conocer qué podría salir mal
Cuatro técnicas para decidir dónde debe estar un control
23
© Deloitte Inc. 2012 All rights reserved.
3. Relacionar los objetivos de control con los riesgos: o Asegurar el diseño
actividades de control y monitoreo.
o Balance en controles preventivos, correctivos y detectivos.
Cuatro técnicas para decidir dónde debe estar un control
24
© Deloitte Inc. 2012 All rights reserved.
4. Generación de evidencia: o Durante el diseño del
proceso, para los controles clave, considere qué tipos de pruebas se realizarán para asegurar que el control funciona de acuerdo a lo esperado.
Cuatro técnicas para decidir dónde debe estar un control
25
Reporte del sistema Global de Control Interno
© Deloitte Inc. 2012 All rights reserved.
Definir el proceso de reporte
Análisis Costo-Beneficio
Mapa de riesgos
Controles y
procesos claves
Plan de pruebas
de Auditoría Interna y Externa
Iden>fica-‐cion de deficien-‐cias y
debilida-‐des
Definición de planes de acción y medidas correc>-‐
vas
Remedia-‐ción de deficien-‐cias y
debilida-‐des
Emisión del
reporte
Tipo deTipo dehallazgos
año 1hallazgos
año 21001Cuenta 1 1,000 12221111002Cuenta 2 3,000 1111111
1003Portafolio 1 120,000 22211No huboNo hubo1004Portafolio 2 25,000 22211No huboNo hubo1005Portafolio 3 357 3232N/A2N/A1006Portafolio 4 297 3232N/A2N/A1007Producto 1 3,200,000 32323231008Producto 2 358,000 33321211009Producto 3 450,100 21123331010Producto 4 45,000 22242321011Producto 5 32,500 32231111012Producto 6 27,000 32232121013Producto 7 15,500 12111211014Provisión para
perdidas crediticias -12,500 3333131
1015Depósitos 1 1,650,000 22211111016Depòsitos 2 253,000 21122111017Depòsitos 3 120,000 11122111018Depósitos 4 500,600 22211111019Activo fijo60,000 32323231020Inversiones acciones2,500 33321211021Activo 15,000 21123331022activo 23,000 22242321023Pasivos laborales300,000 22211111024Proveedores1,200,000 21122111025Pasivo 120,000 11122111026Pasivo 265,000 2221111
Resultados auditorías
año 2Saldo Año 2
Otros Activos
Otros Pasivos
Riesgo Inherente
Riesgo de
ControlRiesgo de Auditoría
Resultados auditorías
año 1
Prestamos y reserva crediticia
Captación de depósitos
Portafolio de inversiones
RubroSub-cuentaDescripción
Efectivo en bancos
Comunicación entre Auditoría,
Riesgos, Cumplimiento
Definición del Marco de
Referencia de Control
Ejecución del plan de pruebas
Discusión y coordinación con la Administración
Presentación al Comité de Auditoría
27
© Deloitte Inc. 2012 All rights reserved.
Guías del IIA – Consideraciones para la opinión sobre el control interno... Un tipo especifico de opinión a emitir
• Aseguramiento positivo § Binaria § Gradual § Direccional
• Aseguramiento negativo § Con o sin excepciones
28
Conclusiones
© Deloitte Inc. 2012 All rights reserved.
Conclusiones
1. Considerar la naturaleza de las operaciones
2. No olvidar priorizar y usar un sistema basado en riesgos
3. Contemplar análisis de costo-efectividad
4. Establecer una ruta crítica 5. Preparar al equipo 6. Estar atento a nuevos requerimientos
y a mejorar los controles y procesos a partir de estos
7. Ser muy críticos y auto-evaluar proactivamente
30
© Deloitte Inc. 2012 All rights reserved.
Preguntas - Contacto
Center for Corporate Governance Un sencillo, objetivo e fácil de usar recurso para entender y orientar asuntos clave del gobierno corporativo en lo relacionado con la Actividad de Auditoría Interna. Ver el link www.corpgov.deloitte.com. Nuestro Center for corporate Governance es nuestra librería de conocimiento acumulado en nustra practica de consultoría. A través de este site podrá encontrarse: • Desarrollos actuales en materia regulatoria y GRC • Recursos técnicos aplicables por industrias con las mejores prácticas en materia de gobernabilidad • Materiales de referencia, guías y noticias. • Herramientas educacionales sobre diferentes tópicos del GRC
© Deloitte Inc. 2012 All rights reserved.
Deloitte se refiere a Deloitte Touche Tohmatsu Limited, (private company limited by guarantee, de acuerdo con la legislación del Reino Unido) y a su red de firmas miembro, cada una de las cuales es una entidad independiente. En www.deloitte.com/about se ofrece una descripción detallada de la estructura legal de Deloitte Touche Tohmatsu Limited y sus firmas miembro. Deloitte presta servicios de auditoría, asesoramiento fiscal y legal, consultoría y asesoramiento en transacciones corporativas a entidades que operan en un elevado número de sectores de actividad. La firma aporta su experiencia y alto nivel profesional ayudando a sus clientes a alcanzar sus objetivos empresariales en cualquier lugar del mundo. Para ello cuenta con el apoyo de una red global de firmas miembro presentes en más de 140 países y con aproximadamente 170.000 profesionales que han asumido el compromiso de ser modelo de excelencia. Esta publicación contiene exclusivamente información de carácter general, y Deloitte Touche Tohmatsu Limited, Deloitte Global Services Limited, Deloitte Global Services Holdings Limited, la Verein Deloitte Touche Tohmatsu, así como sus firmas miembro y las empresas asociadas de las firmas mencionadas (conjuntamente, la “Red Deloitte”), no pretenden, por medio de esta publicación, prestar servicios o asesoramiento en materia contable, de negocios, financiera, de inversiones, legal, fiscal u otro tipo de servicio o asesoramiento profesional. Esta publicación no podrá sustituir a dicho asesoramiento o servicios profesionales, ni será utilizada como base para tomar decisiones o adoptar medidas que puedan afectar a su situación financiera o a su negocio. Antes de tomar cualquier decisión o adoptar cualquier medida que pueda afectar a su situación financiera o a su negocio, debe consultar con un asesor profesional cualificado. Ninguna entidad de la Red Deloitte se hace responsable de las pérdidas sufridas por cualquier persona que actúe basándose en esta publicación.
32
top related