Evaluacion del Control Interno

Control interno COSO Marco integrado

• Treadway Commission formado en 1985

• Treadway Commission publica el informe en 1987 –convoca al estudio para desarrollar un marco común de control interno

• Coopers & Lybrand (PWC) fue seleccionado para conducir el estudio y autor del informe

• El informe titulado “Internal Control-Integrated Framework” es publicado en Setiembre, 1992.

Es el estándar internacional más reconocido como marco de control

interno

Control interno es definido (en COSO y US auditing standards–AU 319) como un proceso, efectuado por el directorio de una entidad, la gerencia y otro personal, diseñado para proveer una seguridad razonable relacionada con el logro de los objetivos en las siguientes categorías:

• Efectividad y eficiencia de las operaciones.• Confianza en los reportes.• Cumplimiento con las leyes y regulaciones

aplicables.

COSO identifica cinco componentes del control interno que requieren estar establecidos e integrados para asegurar el cumplimiento de cada uno de los objetivos.

Enfoque COSO como del marco de Control interno

Cinco componentes que conforman el marco COSO

Supervisión y Seguimiento • Evaluación del funcionamiento del

sistema de control en el tiempo. • Combinación de evaluación

constante e independiente. • Actividades de los niveles de

supervisión y gerencia. • Actividades de auditoría interna.

Información y Comunicación• Información pertinente

determinada, capturada y comunicada en forma oportuna.

• Acceso a información generada interna y externamente.

• Flujo de información que permite acciones de control exitosas desde instrucciones sobre responsabilidades a resumen de observaciones para acción de la gerencia

Actividades de Control • Políticas/procedimientos que

aseguran que se efectúan las directivas de la gerencia.

• Gama de actividades que incluye aprobaciones, autorizaciones, verificaciones, recomendaciones, revisiones de rendimiento, salvaguarda de activos y separación de funciones.

Evaluación de riesgos • Evaluación de riesgos es la

determinación y el análisis de riesgos importantes para lograr los objetivos de la entidad y formar la base para determinar las actividades de control.

Deben estar presentes los cinco componentes para que un control

sea eficaz

COSO: Ambiente de control (Control Environment)

El ambiente de control fija el “tono”de la organización influenciando en la conciencia de control de su personal.Ejemplos que podrían mencionarse:

• La comunicación clara y frecuente así como el compromiso del personal por parte de los ejecutivos para controlar la calidad, establece el ambiente de control de la Gerencia y determina los controles de alta prioridad.

• Las reuniones entre la gerencia ejecutiva y operativa refuerzan el sentido de urgencia para compartir información y resolver problemas.

• El nivel de participación por parte de Auditoría Interna demuestra la preocupación de la gerencia y el fortalecimiento de los controles.

• Las decisiones de la gerencia reflejan el compromiso de un apropiado ambiente de control para actuar sobre los problemas.

• La Gerencia brinda capacitación, herramientas y apoyo al personal para llevar a cabo su misión.

COSO: Evaluación de riesgo (Risk Assessment)

Ejemplos que podrían mencionarse:– Los riesgos por no lograr algunos

objetivos son evaluados y las áreas de alto riesgo son identificadas. Se definen planes para cubrir las áreas de alto riesgo

– De ser apropiado, el riesgo por no lograr un objetivo deberá ser evaluado en términos de costos, incluyendo potenciales penalidades, imagen pública, etc.

– Todos los niveles de la organización están involucrados en la identificación de riesgos y definición de objetivos

La evaluación de riesgo es la identificación y análisis de riesgos para el logro de los objetivos, ayudando a determinar cómo los riesgos pueden ser administrados.

COSO: Actividades de control (Control activities)

Se consideran uno o más de los siguientes objetivos de control:

• Totalidad: Toda la información es ingresada y procesada una sola y única vez

• Exactitud: la información (incluyendo datos permanentes) es ingresada y procesada correctamente

• Validez: las transacciones y actualizaciones son autorizadas por personal apropiado. Las transacciones están soportadas por una fuente de documentos válidos

• Acceso restringido: La habilidad para modificar información está restringida a personal apropiado. Los activos de la Compañía son protegidos de robo e inadecuada utilización

Las Actividades de Control son políticas y procedimientos que ayudan a asegurar las acciones necesarias que serán realizadas para direccionarlos riesgos relacionados al logro de los objetivos de la organización.

COSO: Información y Comunicación (Information & Communication)

Ejemplos que podrían incluirse:– Compartir información, por ejemplo la comunicación

ejecutiva, hacia todos los niveles de la organización demuestra un sentido de propiedad común

– Para cada empleado sus responsabilidades de control son claramente definidas y comunicadas por la Gerencia (Políticas y Procedimientos)

– Un proceso apropiado para la comunicación regular entre la Gerencia y entidades externas es establecido

– Los objetivos y metas son establecidos para medir el progreso y facilitar oportunamente las acciones correctivas

– Existen los procesos para la administración de incidentes y son apoyados por la Gerencia

La información pertinente debe ser identificada y comunicada de una forma y dentro de un marco de tiempo que permita al personal asumir sus responsabilidades y realizar las acciones apropiadas.

COSO: Monitoreo (Monitoring)Monitoreo es el proceso para evaluar la calidad del desempeño de los sistemas de control interno en el tiempo, incluyendo las actividades gerenciales y de supervisión periódicas.Ejemplos que podrían mencionarse:

• Los jefes de proyecto definen claramente y regularmente revisan los entregables y plazos de tiempo relacionados a sus responsabilidades para asegurar que los planes están progresando y las acciones correctivas están siendo tomadas, de ser necesario

• La Gerencia requiere una evaluación progresiva desde los propietarios para evaluar si las consideraciones de riesgo y oportunidad han sido realizados por los responsables del equipo

• Revisiones independientes del ambiente de control interno son realizadas regularmente

• Los supervisores monitorean el personal• Los líderes de las unidades de negocio evalúan y

prueban los resultados de la efectividad operativa• Auditoría Interna evalúa la efectividad integral

Niveles de madurez de la estructura de control interno

Nivel 1 –No confiable• Ambiente impredecible donde las actividades de control no existen y no están

diseñadas

Nivel 2 –Informal• Las actividades y controles de divulgación de la información existen y están

diseñados pero no están adecuadamente documentados• Los controles dependen básicamente de las personas• No hay un entrenamiento formal ni comunicación de las actividades de control

Niveles de madurez de la estructura de control interno (continuación)…

Nivel 3 –Estandarizado• Las actividades de control existen y están diseñadas• Las actividades de control han sido documentadas y comunicadas a los empleados• Las desviaciones de las actividades de control probablemente no serán detectadasNivel 4 –Monitoreado• Controles estandarizados en la preparación y diseño de los reportes a la gerencia• Pueden utilizarse herramientas en una forma limitada para soportar las actividades de

controlNivel 5 –Optimizado• Una estructura integrada de control interno, con un monitoreo en tiempo real por la

gerencia, así como mejoramiento continuo (EnterpriseWide RiskManagement)• Se utilizan herramientas para soportar las actividades de control que permiten a la

organización efectuar cambios rápidos a las actividades de control si es necesario

Efectividad del diseño de los controles

El Control interno sobre la preparación de los reportes financieros está diseñado efectivamente cuando los controles cumplen con lo esperado para prevenir o detectar errores, o fraude que podrían resultar en errores materiales en los estados financieros. El auditor debe determinar si la Compañía cuenta con controles para cubrir los objetivos del control, a través de:

• Identificación de los objetivos de los controles de la Compañía en cada área

• Identificación de los controles que satisfacen cada objetivo• Determinar si los controles, operan apropiadamente, de manera que

pueden efectivamente prevenir o detectar errores, o fraude que podrían resultar en errores materiales en los estados financieros

Efectividad del diseño de los controles

El auditor ejecuta prueba de controles para obtener evidencia sobre la operatividad efectiva de los controles, es decir si está operando como ha sido diseñado y si la persona que ejecuta el control posee la autoridad y las calificaciones necesarias para ejecutar el control de manera efectiva. La prueba de controles para la efectividad de la operatividad debería incluir un mezcla de:

• Entrevistas con el personal apropiado, • Observación de las operaciones de la compañía, • Revisión de documentación relevantes, o• Re-ejecución de la aplicación de un control

Nivel de confort

Solo entrevistas no es suficiente

Efectividad de la operatividad de los controles (continuación)…

Factores a considerar cuando se decide la extensión de las pruebas• Complejidad del control• Importancia de juicio en la operación del control• Nivel de competencia necesario para ejecutarlo• Frecuencia de operación• Impacto de cambios• Importancia del Control (cubre múltiples aserciones de los estados

financieros)

Efectividad de la operatividad de los controles (continuación)…

•“……El auditor debe efectuar pruebas suficientes por si mismo de manera que el trabajo del mismo auditor provee la principal evidencia para la opinión del auditor. El auditor podría, sin embargo, usar el trabajo de otros para modificar la naturaleza, oportunidad y extensión del trabajo que de otra forma tendría que efectuar.”(AS 2.108)

Extensión de las pruebas: Controles automatizados

• Una sola prueba podría ser suficiente pero es necesario recordar que hay un número de atributos en un control automatizado.

• Cuando se confía en un control automatizado, la prueba de controles generales de TI debe satisfacer la confianza depositada en los controles automatizados.

• Se debe entender y probar los controles asociados con la posibilidad de incumplimiento por parte de la Gerencia de las políticas y procedimientos.

Extensión de las pruebas: Controles manuales

• Cuando se realiza la prueba de controles manuales, basados en la frecuencia del control, se sugiere el siguiente tamaño de muestra:

Cuando se selecciona la muestra se debe considerar:

• Complejidad del control• Importancia del juicio• Competencia necesario para la ejecución• Impacto de cambios• Importancia del control

Extensión de las pruebas: Controles generales de TI (Tecnología de Información)

• Los controles generales de TI tiene un efecto “dominante” en el logro de muchos de los objetivos de control.

• Controles en los siguientes cuatro dominios deberían ser probados:• Desarrollo de programas• Cambios en programas• Operaciones computarizadas• Acceso a programas y data

Usando el trabajo de otros: Evaluar experiencia y objetividad

Competencia (AS 2.119)• Nivel educación y experiencia profesional• Certificación profesional y educación continua• Como se asigna a los individuos• Calidad de la documentación• Supervisión y revisión• Evaluación de su desempeño

Usando el trabajo de otros: Evaluar experiencia y objetividad

Usar el trabajo de otros

AS 2.117

Remediación de las deficiencias

• La Gerencia podría remediar deficiencias de control interno encontradas durante las pruebas realizadas por ellos o por los auditores externos

• Los controles remediados deben estar operando por un periodo previo a la fecha de reporte de modo que permita que los auditores efectúen sus pruebas y concluyan sobre su efectividad

• Debilidades materiales identificadas en el control interno de la Compañía para la preparación de los reportes financieros, necesitan ser divulgadas en la Certificación 302 de la Gerencia, incluyendo la corrección de la debilidad material durante el periodo.

Periodo y muestra mínima requerida para los controles remediados (información sugerida)

• Los cambios a controles o remediación de controles, necesitan tener el tiempo suficiente para permitir la evaluación de la efectividad de la operatividad de los mismos.

Deficiencias de control

Cuando el diseño u operación de un control no permite a la Gerencia o sus empleados, en el normal curso de la ejecución de sus funciones, prevenir o detectar errores oportunamente.

Criterio para la clasificación de deficiencias

Agregación de las deficiencias

• Deficiencias de control

interno pueden en forma

agregada convertirse a

“Deficiencia significativa”

• Deficiencias

significativas pueden en

forma agregada

convertirse a “Debilidad

material”

Marco para la evaluación de deficiencias y excepciones

• Desarrollado por nueve firmas y un profesor, representa sus puntos de vistas de que requiere el PCAOB AuditingStandard (“AS 2”)

• Marco inicial (deficiencia en procesos/nivel transacción); publicada en Octubre 28, 2004

• Marco ampliado para incluir deficiencias de Controles Generales de IT, versión 2 publicada Noviembre 24, 2004

Compuesto por los siguientes árboles de decisión:• Chart1–Evaluar excepciones encontradas en la prueba de la efectividad de

operación del control• Chart2–Evaluar deficiencias de control en procesos / nivel transacción• Chart3–Evaluar deficiencia de controles en los Controles generales de TI

(ITGC)

• Propiedad / interés / compromiso del CFO y del Comité de Auditoría

• Capacidad y liderazgo del Gerente del proyecto

• Número y capacidad de recursos dedicados al proyecto

• Comunicación efectiva con los involucrados en el proyecto

• Calidad del plan detallado del proyecto (ser realista)

Factores críticos de éxito

Comunicación efectivaEstructura y proceso

• Falta de recursos• Fallas en el entrenamiento y comunicación• Pobre gestión del proyecto• Instrucciones de oficina del proyecto no comunicadas o entendidas• Insuficiente alcance• Narrativas de procesos no cubren las 5 Ws(what, who, when, where, why) • Mayoría de deficiencias provienen de la falta de evidencia documentaria• Los controles a nivel entidad no operan efectivamente a nivel de las

localidades / subsidiarias

¿Qué problemas pueden presentarse?

• La documentación continúa en proceso• Falta de conocimiento de los controles de tecnología de información• Superposición de proyectos• Proyectos de TI no cumplen con sus fechas límite• Mientras el proyecto se extiende, genera dos crisis:

-Falta de tiempo para el trabajo que resta ser completado (tanto a nivel interno, como para sus auditores externos).-Presupuestos excedidos

• Los programadores y el acceso inapropiado

¿Qué problemas pueden presentarse con relación a los controles generales de TI?

• Generalmente la planificación• Involucrados, mapeo y alcance, recursos, herramientas, fechas límite

• Educación y conocimiento de Control interno• Revisión de la calidad de la documentación y remediación• Planes de remediación para debilidades de diseño en controles• Ponerse de acuerdo en los controles claves a probar en cada ciclo• Probar el tamaño de muestra requerida • Contar con la evidencia de la documentación para un control clave si falla en la

prueba de controles• Pruebas de controles remediados después de que el mismo haya operado el

tiempo requerido

Lecciones aprendidas ¿Qué toma mas tiempo de lo esperado?

• Asegurarse que los involucrados (keystakeholders) estén interesados y comprometidos con las decisiones de planeamiento

• Asegurarse que el gerente de proyecto cuente con las habilidades y credibilidad dentro de la organización

• Crear un árbol de decisión para determinar el alcance y ceñirse al mismo• Clara responsabilidad (accountability) para las revisiones requeridas y sign-offs• Acordar los protocolos de comunicación• Asegurarse que los controles clave estén relacionados con sus factores de

riesgo• Identificar el inicio y el final de cada proceso significativo en las localidades• Asegurarse de que se efectúe un trabajo piloto y control de calidad• Proveer formularios (templates) de narrativas, matrices de controls,

flujogramas para cada proceso / transacción • Agendar las reuniones de kick-off y de revisión –estimar el tiempo y

comprometerse• Los controles anuales y trimestrales deben ser evaluados / remediados primero• Priorizar los planes de remediación

Lecciones aprendidas¿Qué haríamos de forma diferente?

“Si no ha comenzado aún a preparar la evaluación de control interno,

empiece a trabajar en ello inmediatamente.”

--Discurso de ScottA. Taub, Contador Jefe Adjunto,SEC de Estados Unidos. 29 de mayo de 2003

Necesidad de Acción