MODELO COSO III - MARCO INTEGRADO DE CONTROL INTERNO

MATERIAL DE APOYO Descripcin del Curso El objetivo del presente curso es el de presentar a los participantes la nueva estructura del Marco Integrado de Control Interno COSO, publicada en mayo de 2013, cuyos objetivos son: aclarar los requerimientos del control interno, actualizar el contexto de la aplicacin del control interno a muchos cambios en las empresas y ambientes operativos, y ampliar su aplicacin al expandir los objetivos operativos y de emisin de informes. Este nuevo Marco Integrado permite una mayor cobertura de los riesgos a los que se enfrentan actualmente las organizaciones.

www.auditool.org

2 www.auditool.org

MODELO COSO III

MARCO INTEGRADO DE CONTROL INTERNO INTERNAL CONTROL INTEGRATED FRAMEWORK

Introduccin El Comit de organizaciones patrocinadoras de la Comisin Treadway (COSO, por sus siglas en ingls) present en 1992 la primera versin del Marco Integrado de Control Interno, que ha sido aceptado alrededor del mundo y se ha convertido en un marco lder en diseo, implementacin y conduccin de control interno y evaluacin de su efectividad. El Comit tena como principal objetivo definir un nuevo marco conceptual capaz de integrar las diversas definiciones y conceptos utilizados en el campo del control interno. Teniendo en cuenta los grandes cambios que han tenido la industria y los avances tecnolgicos, el Comit lanz en mayo de 2013 una versin actualizada que permitir que las empresas desarrollen y mantengan efectiva y eficientemente sistemas de control interno que ayuden en el proceso de adaptacin a los cambios, cumplimiento de los objetivos de la empresa, mitigacin de los riesgos a un nivel aceptable, y apoyo a la toma de decisiones y al gobierno. Este modelo presentado por COSO ha enfocado la atencin hacia el mejoramiento del control interno y del gobierno corporativo, y responde a la presin pblica para un mejor manejo de los recursos pblicos o privados en cualquier tipo de organizacin, como consecuencia de los numerosos escndalos, la crisis financiera y los fraudes presentados. Un sistema de control interno efectivo requiere la toma de decisiones y es diseado con el fin de proporcionar un grado de seguridad razonable en cuanto a la consecucin de los objetivos en relacin con la eficacia y la eficiencia de las operaciones, la confiabilidad de la informacin financiera, y el cumplimento de leyes y normas aplicables. El Marco Integrado de Control Interno abarca cada una de las reas de la empresa, y engloba cinco componentes relacionados entre s: el entorno de control, la evaluacin del riesgo, el sistema de informacin y comunicacin, las actividades de control, y la supervisin del sistema de control. De la misma manera, el marco apoya la administracin, la direccin, los accionistas y dems partes que interactan con la entidad, ofreciendo un entendimiento de lo que constituye un sistema de control interno efectivo. Un sistema de control interno debe verse como un proceso integrado y dinmico y se caracteriza por las siguientes propiedades:

Permite aplicar el control interno a cualquier tipo de entidad y de acuerdo con sus necesidades.

Presenta un enfoque basado en principios que proporcionan flexibilidad y se pueden aplicar a nivel de entidad, a nivel operativo y a nivel funcional.

3 www.auditool.org

Establece los requisitos para un sistema de control interno efectivo, considerando los componentes y principios existentes, cmo funcionan y cmo interactan.

Proporciona un mtodo para identificar y analizar los riesgos, as como para desarrollar y gestionar respuestas adecuadas a dichos riesgos dentro de unos niveles aceptables y con un mayor enfoque sobre las medidas antifraude.

Constituye una oportunidad para ampliar el alcance de control interno ms all de la informacin financiera, a otras formas de presentacin de la informacin, operaciones y objetivos de cumplimiento.

Es una oportunidad para eliminar controles ineficientes, redundantes o inefectivos que proporcionan un valor mnimo en la reduccin de riesgos para la consecucin de los objetivos de la entidad.

Brinda una mayor confianza en la supervisin efectuada por el consejo sobre los sistemas de control interno.

Ofrece mayor confianza con respecto al cumplimiento de los objetivos de la entidad.

Genera mayor confianza en la capacidad de la entidad para identificar, analizar y responder a los riesgos y a los cambios que se produzcan en el entorno operativo y de negocios.

Permite lograr una mayor comprensin de la necesidad de un sistema de control interno efectivo.

Facilita el entendimiento de que mediante la aplicacin de un criterio profesional oportuno la direccin puede eliminar controles no efectivos, redundantes o ineficientes.

Comit de organizaciones patrocinadoras de la Comisin Treadway Committee of Sponsoring Organizations of Treadway Commission (COSO) El Comit de organizaciones patrocinadoras de la Comisin Treadway fue conformado en 1985 con la finalidad de identificar los factores que originaban la presentacin de informacin financiera falsa o fraudulenta y emitir las recomendaciones que garantizaran la mxima transparencia informativa en ese sentido. COSO se dedica a desarrollar marcos y orientaciones generales sobre el control interno, la gestin del riesgo empresarial y la prevencin del fraude, diseados para mejorar el desempeo organizacional y la supervisin, y reducir el riesgo de fraude en las organizaciones. Asimismo, el Comit sustenta que una buena gestin del riesgo y un sistema de control interno son necesarios para el xito a largo plazo de las organizaciones. El Comit estaba conformado por cinco instituciones representativas en Estados Unidos en el campo de la contabilidad, las finanzas y la auditoria interna:

American Accounting Association (AAA) Asociacin de Contadores Pblicos Norteamericanos

4 www.auditool.org

American Institute of Certified Public Accountants (AICPA) Instituto Norteamericano de Contadores Pblicos Certificados (Contadores CPA que forman parte de empresas de contabilidad que hacen auditoras externas de estados financieros).

Financial Executive Institute (FEI) Asociacin Internacional de Ejecutivos de Finanzas.

Institute of Internal Auditors (IIA) Instituto de Auditores Internos (Auditores encargados de la evaluacin de los sistemas de control interno en el interior de las organizaciones).

Institute of Management Accountants (IMA) Instituto de Contadores Empresariales (Contadores que trabajan en empresas).

La complejidad en las operaciones de las empresas y organizaciones hizo necesario adoptar procesos administrativos que deban incluir planificacin, organizacin, direccin y control. A su vez, estos procesos requeran de personal capacitado para implementar y mantener las normas de control interno en el mbito de la gestin con el fin de asegurar el cumplimiento de los objetivos de la empresa. De esta manera, las empresas empezaron a implementar sus propias polticas para el control interno, generando una diversidad de conceptos que carecan de uniformidad. Esta situacin hizo evidente la necesidad de un marco conceptual que estandarizara las buenas prcticas con respecto a control interno, facilitando as la implementacin y comprensin de sistemas de control interno adecuados. En primera medida, este marco deba establecer una definicin comn de control interno, y luego presentar un modelo que se pudiera adecuar a cualquier empresa sin distincin alguna. Por esta razn, el comit COSO, en septiembre de 1992, emiti en los Estados Unidos el informe Internal Control Integrated Framework (Marco Integrado de Control Interno, COSO I) , luego de un trabajo arduo de cinco aos y orientado a establecer una definicin comn de control interno y proveer una gua para la creacin y el mejoramiento de la estructura de control interno de las entidades. Este Marco fue publicado para las empresas de los Estados Unidos, pero sin embargo ha sido utilizado y aceptado a nivel mundial. Fue creado para facilitar a las empresas los procesos de evaluacin y mejoramiento continuo de sus sistemas de control interno. Adems, ha sido incluido en las polticas, reglas y regulaciones, para que las empresas mejoren sus actividades de control hacia el logro de sus objetivos. Es el caso de la Ley Sarbarnes Oxley, segn la cual las empresas que cotizan en bolsa tienen que cumplir con una seccin de control interno (seccin 404), que solicita la implementacin y evaluacin de un sistema de control interno en las organizaciones. Como respuesta a una serie de escndalos e irregularidades que provocaron prdidas importantes a inversionistas, empleados y otros grupos de inters, en septiembre de 2004, el comit COSO public el Enterprise Risk Management Integrated Framework y sus aplicaciones tcnicas asociadas (COSO II), en el cual se ampla el concepto de control interno, y se proporciona un enfoque ms completo y extenso sobre la identificacin, evaluacin y gestin integral del riesgo.

5 www.auditool.org

Este nuevo enfoque no sustituye el marco de control interno sino que lo incorpora como parte de l, y permite a las compaas mejorar sus prcticas de control interno o decidir encaminarse hacia un proceso ms completo de gestin de riesgo. Adicionalmente, dado que COSO Enterprise Risk Management - Integrated Framework se encuentra completamente alineado con el Internal Control - Integrated Framework, las mejoras en la gestin de riesgo permiten mejorar un trabajo eficaz en control interno bajo las disposiciones de la Ley Sarbanes-Oxley. En mayo de 2013 el Comit COSO public la actualizacin del Marco Integrado de Control Interno, cuyos objetivos son: aclarar los requerimientos del control interno, actualizar el contexto de la aplicacin del control interno a muchos cambios en las empresas y ambientes operativos, y ampliar su aplicacin al expandir los objetivos operativos y de emisin de informes. Este nuevo Marco Integrado permite una mayor cobertura de los riesgos a los que se enfrentan actualmente las organizaciones.

Algunos de los factores ms relevantes que contribuyeron a la actualizacin del Marco Integrado de Control Interno son:

Variacin de los modelos de negocio como consecuencia de la globalizacin. Mayor necesidad de informacin a nivel interno debido a los entornos

cambiantes. Incremento del nmero y complejidad de las normativas aplicables al mundo

empresarial a nivel internacional. Nuevas expectativas sobre la responsabilidad y competencias de los gestores

de las organizaciones. Incremento de las expectativas de los grupos de inters (inversores,

reguladores) en la prevencin y deteccin del fraude. Aumento del uso de las nuevas tecnologas, y su desarrollo constante. Exigencias en la fiabilidad de la informacin reportada.

6 www.auditool.org

Los siguientes cuadros presentan los cambios ms significativos presentes en el Marco Integrado de Control Interno 2013, a nivel general y en cada componente:

COSO 1992 Se mantiene: COSO 2013 Cambia

Definicin del concepto de Control Interno

Ampliacin y aclaracin de conceptos con el objetivo de abarcar las actuales condiciones del mercado y la economa global

Cinco componentes del control interno

Codificacin de principios y puntos de enfoque con aplicacin internacional para el desarrollo y evaluacin de la eficacia del Sistema de Control Interno Aclaracin de la necesidad de establecer objetivos de negocio como condicin previa a los objetivos de control interno

Criterios a utilizar en el proceso de evaluacin de la eficacia del Sistema de Control Interno

Extensin de los objetivos de reporte ms all de los informes financieros externos, a los de carcter interno y a los no financieros tanto externos como internos

Uso del Juicio profesional para la evaluacin de la eficacia del Sistema de Control Interno

Inclusin de una gua orientadora para facilitar la supervisin del Control Interno sobre las operaciones, el cumplimiento y los objetivos de reporte

Componentes Cambios Representativos

Entorno de Control

Se recogen en cinco principios la relevancia de la integridad y los valores ticos, la importancia de la filosofa de la administracin y su manera de operar, la necesidad de una estructura organizativa, la adecuada asignacin de responsabilidades y la importancia de las polticas de recursos humanos

Se explican las relaciones entre los componentes del Control Interno para destacar la importancia del Entorno de Control

Se ampla la informacin sobre el Gobierno Corporativo de la organizacin, reconociendo diferencias en las estructuras, requisitos, y retos a lo largo de diferentes jurisdicciones, sectores y tipos de entidades Se enfatiza la supervisin del riesgo y la relacin entre el riesgo y la respuesta al mismo

Evaluacin de Riesgos Se ampla la categora de objetivos de Reporte, considerando todas las tipologas de reporte internos y externos

7 www.auditool.org

Componentes Cambios Representativos Se aclara que la evaluacin de riesgos incluye la identificacin, anlisis y respuesta a los riesgos

Se incluyen los conceptos de velocidad y persistencia de los riesgos como criterios para evaluar la criticidad de los mismos Se considera la tolerancia al riesgo en la evaluacin de los niveles aceptables de riesgo Se considera el riesgo asociado a las fusiones, adquisiciones y externalizaciones

Se ampla la consideracin del riesgo al fraude

Actividades de Control

Se indica que las actividades de control son acciones establecidas por polticas y procedimientos Se considera el rpido cambio y evolucin de la tecnologa

Se enfatiza la diferenciacin entre controles automticos y Controles Generales de Tecnologa

Informacin y Comunicacin

Se enfatiza la relevancia de la calidad de informacin dentro del Sistema de Control Interno Se profundiza en la necesidad de informacin y comunicacin entre la entidad y terceras partes Se enfatiza el impacto de los requisitos regulatorios sobre la seguridad y proteccin de la informacin Se refleja el impacto que tiene la tecnologa y otros mecanismos de comunicacin en la rapidez y calidad del flujo de informacin

Actividades de Monitoreo Supervisin

Se clarifica la terminologa definiendo dos categoras de actividades de monitoreo: evaluaciones continuas y evaluaciones independientes Se profundiza en la relevancia del uso de la tecnologa y los proveedores de servicios externos

Control interno Las empresas deben implementar un sistema de control interno eficiente que les permita enfrentarse a los rpidos cambios del mundo de hoy. Es responsabilidad de la administracin y de los directivos desarrollar un sistema que garantice el cumplimiento de los objetivos de la empresa y se convierta en una parte esencial de la cultura organizacional. El Marco Integrado de Control Interno propuesto por COSO provee un enfoque integral y herramientas para la implementacin de un sistema de control interno efectivo y en pro de la mejora continua.

8 www.auditool.org

Cada empresa, en el cumplimiento de su misin, debe alcanzar sus objetivos. Por esta razn, los directivos y la administracin deben articular sus objetivos, desarrollar estrategias para lograrlos, identificar los riesgos relacionados para mitigarlos y cumplir la estrategia planteada. De esta manera, el Marco Integrado de Control Interno es diseado para controlar los riesgos que puedan afectar el cumplimiento de los objetivos, reduciendo dichos riesgos a un nivel aceptable. Es as como este Marco afirma que el control interno proporciona razonables garantas para que las empresas puedan lograr sus objetivos, y mantener y mejorar su rendimiento. Cada empresa debe tener su propio sistema de control interno No pueden existir dos empresas con el mismo sistema debido a que sus caractersticas cambian (industria, leyes y regulaciones pertinentes, tamao, naturaleza, entre otras). El control interno es definido como un proceso integrado y dinmico llevado a cabo por la administracin, la direccin y dems personal de una entidad, diseado con el propsito de proporcionar un grado de seguridad razonable en cuanto a la consecucin de los objetivos relacionados con las operaciones, la informacin/Reporting y el cumplimiento. De esta manera, el control interno se convierte en una funcin inherente a la administracin, integrada al funcionamiento organizacional y a la direccin institucional y deja, as, de ser una funcin que se asignaba a un rea especfica de una empresa. En este sentido, el sistema de control interno debe orientarse a promover todas las condiciones necesarias para que el equipo de trabajo d su mayor esfuerzo con el fin de lograr los resultados deseados, debido a que promueve el buen funcionamiento de la organizacin. El concepto de responsabilidad toma gran importancia y se convierte en un factor clave para el gobierno de las organizaciones, teniendo en cuenta que el principal propsito del sistema de control interno es detectar oportunamente cualquier desviacin significativa en el cumplimiento de las metas y objetivos establecidos. La implementacin de un sistema de control interno eficiente debe proporcionar:

Consecucin de objetivos de rentabilidad y rendimiento para prevenir la prdida de recursos.

Operaciones eficaces y eficientes. Desarrollo de tareas y actividades continuas, establecidas como un medio para

llegar a un fin. Control interno efectuado por las personas de la entidad y las acciones que

estas aplican en cada nivel de la entidad. Produccin de informes financieros confiables para la toma de decisiones. Seguridad razonable, no absoluta, al consejo y la alta direccin de la entidad. Cumplimiento de las leyes y regulaciones pertinentes. Adaptacin a la estructura de la entidad. Promocin, evaluacin y preocupacin por la seguridad, calidad y mejora

continua de todos los procesos de la entidad.

9 www.auditool.org

El modelo de control interno COSO 2013 actualizado est compuesto por los cinco componentes establecidos en el marco anterior, y 17 principios y puntos de enfoque que presentan las caractersticas fundamentales de cada componente. Se caracteriza por tener en cuenta los siguientes aspectos y generar diferentes beneficios:

Mayores expectativas del gobierno corporativo. Globalizacin de mercados y operaciones. Cambio continuo en mayor complejidad en los negocios. Mayor demanda y complejidad en leyes, reglas, regulaciones y estndares. Expectativas de competencias y responsabilidades. Uso y mayor nivel de confianza en tecnologas que evolucionan rpidamente. Expectativas relacionadas con prevenir, desalentar y detectar el fraude.

La efectividad del sistema de control interno depende de estas caractersticas, y de esta manera se puede obtener una certeza razonable del logro de los objetivos de la entidad. Un sistema de control interno efectivo reduce a un nivel aceptable el riesgo de no alcanzar un objetivo de la entidad y puede hacer referencia a las categoras de objetivos. Para esto es indispensable que los componentes y principios estn presentes y en funcionamiento. Esto quiere decir que los componentes y principios relevantes existen en el diseo e implementacin del sistema de control interno para alcanzar los objetivos especificados. Adems, los componentes y principios deben ser aplicados en el sistema de control interno y funcionar de manera integrada. Cuando se determina que el Sistema de Control Interno es efectivo la alta direccin y la Junta Directiva tienen una seguridad razonable acerca del cumplimiento de las tres categoras de objetivos.

10 www.auditool.org

Sin embargo, es importante aclarar que un eficaz sistema de control interno no garantiza el xito de una entidad. Este puede ayudar a la consecucin de los objetivos y suministrar informacin sobre el progreso de la entidad, pero el desempeo de la administracin y directivas y factores externos como condiciones econmicas tienen gran influencia en el xito de la entidad. El control interno no puede evitar que se aplique un deficiente criterio profesional o se adopten malas decisiones. Adems, el sistema de control interno puede garantizar solo una seguridad razonable en relacin con el cumplimiento de los objetivos de la organizacin. Las limitaciones siempre estn presentes e impiden que el Consejo de Administracin y la direccin tengan una seguridad absoluta. Sin embargo, estas limitaciones tienen que ser tenidas en cuenta al momento de seleccionar, desarrollar y desplegar los controles, para que minimicen en lo posible dichas limitaciones. Las limitaciones pueden originarse por los siguiente factores:

La falta de adecuacin de los objetivos establecidos como condicin previa para el control interno.

El criterio profesional de las personas en la toma de decisiones puede ser errneo y estar sujeto a sesgos.

Fallos humanos conscientes e inconscientes. La capacidad de la direccin de anular el control interno. La capacidad de la direccin y dems miembros del personal para eludir los

controles mediante confabulacin entre ellos. Acontecimientos externos que escapan al control de la organizacin. Conspiraciones o complots.

Por esta razn, el Marco Integrado de Control Interno requiere de un criterio profesional en el diseo, implementacin, y conduccin del control interno y la evaluacin de su efectividad. El uso del criterio profesional ayuda a la administracin a tomar mejores decisiones con respecto al sistema de control interno, teniendo en cuenta que esto no garantiza resultados perfectos. La administracin hace uso del criterio profesional en diferentes momentos:

Aplicacin de los componentes de control interno en relacin con las categoras de los objetivos.

Aplicacin de los componentes y principios de control interno dentro de la estructura de la entidad.

Especificacin de objetivos generales y especficos apropiados y evaluacin de riesgos para su cumplimiento.

Seleccin, desarrollo y despliegue de los controles necesarios para llevar a cabo los principios.

Evaluar si los componentes y principios estn presentes, funcionando y operando de manera integrada en la entidad.

Evaluacin de la severidad de una o ms deficiencias de control interno de acuerdo con las leyes, reglas, regulaciones y estndares externos pertinentes.

11 www.auditool.org

Objetivos Cada entidad tiene una misin, la cual determina los objetivos y las estrategias necesarias para cumplirla. Los objetivos pueden ser establecidos mediante un proceso estructurado o informal dependiendo de la entidad, y junto con la evaluacin de los puntos fuertes y dbiles de la entidad, y de las oportunidades y amenazas del entorno, define una estrategia global. Es responsabilidad de la Administracin y la Alta Direccin establecer los objetivos del negocio y es necesario fijar los objetivos con carcter previo al diseo e implementacin del sistema de control interno, con el fin de controlar y mitigar de manera adecuada los riesgos que afectan a dichos objetivos. Los objetivos deben complementarse, estar relacionados entre s y ser coherentes con las capacidades y expectativas de la entidad y las unidades empresariales y sus funciones. Establecer objetivos es un requisito previo para un control interno eficaz. Los objetivos proporcionan las metas medibles hacia las que la entidad se mueve al desarrollar sus actividades. Esta responsabilidad est establecida en los procesos de la administracin, como se presenta a continuacin:

Determinar los objetivos estratgicos y seleccionar la estrategia dentro del contexto de la entidad establecido en su misin y visin.

Establecer los objetivos de la entidad y desarrollar la tolerancia al riesgo con base en los requerimientos de la entidad segn las circunstancias.

Alinear los objetivos con la estrategia de la entidad y el apetito general del riesgo.

Establecer los objetivos generales y especficos para la entidad y sus niveles segn sean las circunstancias.

El Marco Integrado de Control Interno establece tres categoras de objetivos que permiten a las organizaciones centrarse en diferentes aspectos del control interno. Estas son:

Objetivos operativos: estos objetivos se relacionan con el cumplimiento de la misin y visin de la entidad. Hacen referencia a la efectividad y eficiencia de las operaciones, incluidos sus objetivos de rendimiento financiero y operacional, y la proteccin de sus activos frente a posibles prdidas. Por lo tanto, estos objetivos constituyen la base para la evaluacin del riesgo en relacin con la proteccin de los activos de la entidad, y la seleccin y desarrollo de los controles necesarios para mitigar dichos riesgos.

Los objetivos operativos deben reflejar el entorno empresarial, industrial y econmico en que se desenvuelve la entidad; y estn relacionados con el mejoramiento del desempeo financiero, la productividad, la calidad, las prcticas ambientales, y la innovacin y satisfaccin de empleados y clientes.

12 www.auditool.org

Objetivos de informacin/Reporting: estos objetivos se refieren a la preparacin de reportes para uso de la organizacin y los accionistas, teniendo en cuenta la veracidad, oportunidad y transparencia. Estos reportes relacionan la informacin financiera y no financiera interna y externa y abarcan aspectos de confiabilidad, oportunidad, transparencia y dems conceptos establecidos por los reguladores, organismos reconocidos o polticas de la entidad. La presentacin de informes a nivel externo da respuesta a las regulaciones y normativas establecidas y a las solicitudes de los grupos de inters, y los informes a nivel interno atienden a las necesidades internas de la organizacin tales como la estrategia de la entidad, plan operativo y mtricas de desempeo.

! Reporting financiero externo: estos objetivos se relacionan con el cumplimiento de las obligaciones con los accionistas. Los estados financieros son solicitados por diferentes partes externas tales como inversores, organismos pblicos, proveedores, entre otros, y deben ser preparados de acuerdo con los principios de contabilidad pertinentes y cumpliendo con los siguiente criterios:

" Relevancia " Representacin exacta " Comparabilidad " Verificabilidad " Oportunidad " Comprensibilidad

Reporting Financiero Externo

Cuentas anuales Estados financieros intermedios Publicacin de resultados Distribucin de utilidades

Reporting Financiero Interno Estados financieros de las divisiones Cash-flow / Presupuesto Clculos de Covenants

Reporting No Financiero Externo

Informe de Control Interno Memoria de sostenibilidad Plan estratgico Custodia de activos

Reporting No Financiero Interno

Utilizacin de activos Encuestas de satisfaccin

del cliente Indicadores clave de riesgo Reporting al consejo

13 www.auditool.org

! Reporting no financiero externo: la direccin debe cumplir con las regulaciones y estndares aplicables en la realizacin y publicacin de informes no financieros externos. Adems:

" Clasifica y resume la informacin razonablemente en el nivel apropiado de detalle.

" Refleja las actividades subyacentes de la entidad. " Presenta transacciones y eventos dentro de los niveles

requeridos de precisin y exactitud pertinente a las necesidades de los usuarios.

" Usa el criterio de terceras partes, estndares y marcos, segn sea apropiado.

! Reporting financiero y no financiero interno: los informes internos

para la alta direccin deben incluir la informacin necesaria para la toma de decisiones. Estos informes soportan la toma decisiones y la supervisin de la administracin de las actividades y desempeo de la entidad.

El reporte interno:

" Usa el criterio establecido por terceras partes, estndares y marcos, segn sea apropiado.

" Clasifica y resume la informacin razonablemente en el nivel apropiado de detalle.

" Reflejo de las actividades subyacentes de la entidad. " Presentacin de transacciones y eventos dentro de los niveles

requeridos de precisin y exactitud pertinente a las necesidades de los usuarios.

Objetivos de cumplimiento: estn relacionados con el cumplimiento de las

leyes y regulaciones a las que est sujeta la entidad. La entidad debe desarrollar sus actividades en funcin de las leyes y normas especficas.

Componentes del sistema de control interno El sistema de control interno est divido en cinco componentes integrados que se relacionan con los objetivos de la empresa: entorno de control, evaluacin de los riesgos, actividades de control, sistemas de informacin y comunicacin, y actividades de monitoreo y supervisin. Un adecuado entorno de control, una metodologa de evaluacin de riesgos, un sistema de elaboracin y difusin de informacin oportuna y fiable por de la organizacin y un proceso de monitoreo eficiente, apoyados en actividades de control efectivas, se constituyen en poderosas herramientas gerenciales.

14 www.auditool.org

A partir de los cinco componentes se puede abordar y analizar la realidad de la organizacin obteniendo un diagnstico organizacional en cuanto a estructura, procesos, sistemas, procedimientos y recursos humanos. Existe una relacin directa entre los objetivos de la entidad, los componentes y la estructura organizacional que es representada en forma de cubo de la siguiente manera:

Los cinco componentes deben funcionar de manera integrada para reducir a un nivel aceptable el riesgo de no alcanzar un objetivo. Los componentes son interdependientes, existe una gran cantidad de interrelaciones y vnculos entre ellos. As mismo, dentro de cada componente el marco establece 17 principios que representan los conceptos fundamentales y son aplicables a los objetivos operativos, de informacin y de cumplimiento. Los principios permiten evaluar la efectividad del sistema de control interno. Principios y puntos de enfoque En el prximo cuadro se presenta la relacin entre los componentes, los principios y los puntos de enfoque para cada uno. Los puntos de enfoque representan las caractersticas importantes de cada principio, lo que permite que sean ms fciles de entender y que la entidad pueda evaluar si el principio est presente y funcionando en su sistema de control interno.

COSO 2013

COMPONENTES

ESTRUCTURA Alcance

Organizacional

COSO 1992

OBJETIVOS

15 www.auditool.org

Para determinar que el Sistema de Control Interno es efectivo se requiere que los cinco componentes y los principios estn presentes y funcionando:

Presente: la determinacin de que los componentes y los principios relevantes existen en el diseo y la implementacin del sistema de control interno para lograr los objetivos especificados.

Funcionando: determinacin de que los componentes y los principios relevantes continan existiendo en la direccin del sistema de control interno para lograr los objetivos especificados.

Debido a que cada principio es fundamental para los componentes, todos estos son relevantes para todas las entidades; si un principio no est presente y funcionando, en consecuencia el componente relacionado no est presente ni funcionando. Por el contrario, todos los puntos de enfoque no son requeridos para valorar la efectividad del sistema de control. La administracin puede determinar que algunos de estos no son relevantes y puede identificar y considerar otros. De esta manera, el Marco Integrado de Control Interno facilita la labor de diseo y supervisin del Sistema de Control Interno y permite comprender con ms claridad el contenido, significado y el impacto que los Sistemas de Control Interno implementados tienen al momento de mitigar los riesgos de la organizacin.

COMPONENTE PRINCIPIOS PUNTOS DE ENFOQUE - ATRIBUTOS

Entorno de control

1. La organizacin demuestra compromiso con la integridad y los valores ticos

Establece el tono de la gerencia, la Junta Directiva. La Alta Gerencia y el personal supervisor estn comprometidos con los valores y principios ticos y los refuerzan en sus actuaciones Establece estndares de conducta. Las expectativas de la Junta Directiva y la Alta Direccin con respecto a la integridad y los valores ticos son definidos en los estndares de conducta de la entidad y entendidos en todos los niveles de la organizacin y por los proveedores de servicio externos y socios de negocios

16 www.auditool.org

COMPONENTE PRINCIPIOS PUNTOS DE ENFOQUE - ATRIBUTOS Evala la adherencia a estndares de conducta. Los procesos estn en su lugar para evaluar el desempeo de los individuos y equipos en relacin con los estndares de conducta esperados de la entidad Aborda y decide sobre desviaciones en forma oportuna. Las desviaciones de los estndares de conducta esperados en la entidad son identificadas y corregidas oportuna y adecuadamente

2. El consejo de administracin demuestra independencia de la direccin y ejerce la supervisin del desempeo del sistema de control interno.

Establece las responsabilidades de supervisin de la direccin. La Junta Directiva identifica y acepta su responsabilidad de supervisin con respecto a establecer requerimientos y expectativas Aplica experiencia relevante. La Junta directiva define, mantiene y peridicamente evala las habilidades y experiencia necesaria entre sus miembros para que puedan hacer preguntas de sondeo de la Alta Direccin y tomar medidas proporcionales Conserva o delega responsabilidades de supervisin Opera de manera independiente. La Junta Directiva tiene suficientes miembros, quienes son independientes de la Administracin y objetivos en evaluaciones y toma de decisiones Brinda supervisin sobre el Sistema de Control Interno. La Junta Directiva conserva la responsabilidad de supervisin del diseo, implementacin y

17 www.auditool.org

COMPONENTE PRINCIPIOS PUNTOS DE ENFOQUE - ATRIBUTOS conduccin del Control Interno de la Administracin: Entorno de Control: establece integridad y valores ticos, estructuras de supervisin, autoridad y responsabilidad, expectativas de competencia, y rendicin de cuentas a la Junta. Evaluacin de Riesgos: monitorea las evaluaciones de riesgos de la administracin para el cumplimiento de los objetivos, incluyendo el impacto potencial de los cambios significativos, fraude, y la evasin del control interno por parte de la administracin. Actividades de Control: provee supervisin a la Alta Direccin en el desarrollo y cumplimiento de las actividades de control. Informacin y Comunicacin: analiza y discute la informacin relacionada con el cumplimiento de los objetivos de la entidad. Actividades de Supervisin: evala y supervisa la naturaleza y alcance de las actividades de monitoreo y la evaluacin y mejoramiento de la administracin de las deficiencias.

3. La direccin estable con la supervisin del consejo, las estructuras, lneas de reporte y los niveles de autoridad y responsabilidad apropiados para la consecucin de los objetivos.

Considera todas las estructuras de la entidad. La Administracin y la Junta Directiva consideran las estructuras mltiples utilizadas (incluyendo unidades operativas, entidades legales, distribucin geogrfica, y proveedores de servicios externos) para apoyar la consecucin de los objetivos Establece lneas de reporte. La Administracin disea y evala las lneas de reporte para cada

18 www.auditool.org

COMPONENTE PRINCIPIOS PUNTOS DE ENFOQUE - ATRIBUTOS estructura de la entidad para permitir la ejecucin de autoridades y responsabilidades y el flujo de informacin para gestionar las actividades de la entidad Define, asigna y delimita autoridades y responsabilidades. La Administracin y la Junta Directiva delegan autoridad, definen responsabilidades, y utilizan procesos y tecnologas adecuadas para asignar responsabilidad, segregar funciones segn sea necesario en varios niveles de la organizacin: Junta directiva: conservar autoridad sobre las decisiones significativas y revisar las evaluaciones de la administracin y las limitaciones de autoridades y responsabilidades. Alta Direccin: establece instrucciones, guas, y control habilitando a la administracin y otro personal para entender y llevar a cabo sus responsabilidades de control interno. Administracin: gua y facilita la ejecucin de las instrucciones de la Alta Direccin dentro de la entidad y sus sub-unidades. Personal: entiende los estndares de conducta de la entidad, los riesgos evaluados para los objetivos, y las actividades de control relacionadas con sus respectivos niveles de la entidad, la informacin esperada y los flujos de comunicacin, y las actividades de monitoreo

19 www.auditool.org

COMPONENTE PRINCIPIOS PUNTOS DE ENFOQUE - ATRIBUTOS relevantes para el cumplimiento de los objetivos. Proveedores de servicios externos: cumple con la definicin de la administracin del alcance de la autoridad y la responsabilidad para todos los que no sean empleados comprometidos

4. La organizacin demuestra compromiso para atraer, desarrollar y retener a profesionales competentes, en concordancia con los objetivos de la organizacin

Establece polticas y prcticas. Las polticas y prcticas reflejan las expectativas de competencia necesarias para apoyar el cumplimiento de los objetivos Evala la competencia y direcciona las deficiencias. La Junta Directiva y la Administracin evalan la competencia a travs de la organizacin y en los proveedores de servicios externos de acuerdo con las polticas y prcticas establecidas, y acta cuando es necesario direccionando las deficiencias Atrae, desarrolla y retiene profesionales. La organizacin provee la orientacin y la capacitacin necesaria para atraer, desarrollar y retener personal suficiente y competente y proveedores de servicios externos para apoyar el cumplimiento de los objetivos Planea y se prepara para sucesiones. La Alta Direccin y la Junta Directiva desarrollan planes de contingencia para la asignacin de la responsabilidad importante para el control interno

Hace cumplir la responsabilidad a travs de estructuras, autoridades y responsabilidades. La Administracin y la Junta

20 www.auditool.org

COMPONENTE PRINCIPIOS PUNTOS DE ENFOQUE - ATRIBUTOS

5. La organizacin define las responsabilidades de las personas a nivel de control interno para la consecucin de los objetivos

Directiva establecen los mecanismos para comunicar y mantener profesionales responsables para el desempeo de las responsabilidades de control interno a travs de la organizacin, e implementan acciones correctivas cuando es necesario Establece medidas de desempeo, incentivos y premios. La Administracin y la Junta Directiva establecen medidas de desempeo, incentivos, y otros premios apropiados para las responsabilidades en todos los niveles de la entidad, reflejando dimensiones de desempeo apropiadas y estndares de conducta esperados, y considerando el cumplimiento de objetivos a corto y largo plazo Evala medidas de desempeo, incentivos y premios para la relevancia en curso. La Administracin y la Junta Directiva alinean incentivos y premios con el cumplimiento de las responsabilidades de control interno para la consecucin de los objetivos Considera presiones excesivas. La administracin y la Junta Directiva evalan y ajustan las presiones asociadas con el cumplimiento de los objetivos as como asignan responsabilidades, desarrollan medidas de desempeo y evalan el desempeo Evala desempeo y premios o disciplina los individuos. La Administracin y la Junta

21 www.auditool.org

COMPONENTE PRINCIPIOS PUNTOS DE ENFOQUE - ATRIBUTOS Directiva evalan el desempeo de las responsabilidades de control interno, incluyendo la adherencia a los estndares de conducta y los niveles de competencia esperados, y proporciona premios o ejerce acciones disciplinarias cuando es apropiado

Evaluacin de riesgos

6. La organizacin define los objetivos con suficiente claridad para permitir la identificacin y evaluacin de los riesgos relacionados

Objetivos Operativos: " Refleja las elecciones de la

administracin. " Considera la tolerancia al

riesgo. " Incluye las metas de

desempeo operativo y financiero. " Constituye una base para

administrar los recursos. Objetivos de Reporte Financiero Externo: " Cumple con los estndares

contables aplicables. " Considera la materialidad. " Refleja las actividades de la

entidad. Objetivos de Reporte no Financiero Externo: " Cumple con los estndares y

marcos externos establecidos. " Considera los niveles de

precisin requeridos. " Refleja las actividades de la

entidad. Objetivos de Reporte interno: " Refleja las elecciones de la

administracin. " Considera el nivel requerido

de precisin. " Refleja las actividades de la

entidad. Objetivos de Cumplimiento: " Refleja las leyes y

regulaciones externas. " Considera la tolerancia al

22 www.auditool.org

COMPONENTE PRINCIPIOS PUNTOS DE ENFOQUE - ATRIBUTOS riesgo.

7. La organizacin identifica los riesgos para la consecucin de sus objetivos en todos los niveles de la entidad y los analiza como base sobre la cual determina cmo se deben gestionar

Incluye la entidad, sucursales, divisiones, unidad operativa y niveles funcionales. La organizacin identifica y evala los riesgos a nivel de la entidad, sucursales, divisiones, unidad operativa y niveles funcionales relevantes para la consecucin de los objetivos Evala la consideracin de factores externos e internos en la identificacin de los riesgos que puedan afectar a los objetivos Envuelve niveles apropiados de administracin. La direccin evala si existen mecanismos adecuados para la identificacin y anlisis de riesgos Analiza la relevancia potencial de los riesgos identificados y entiende la tolerancia al riesgo de la organizacin Determina la respuesta a los riesgos. La evaluacin de riesgos incluye la consideracin de cmo el riesgo debera ser gestionado y si aceptar, evitar, reducir o compartir el riesgo

8. La organizacin considera la probabilidad de fraude al evaluar los riesgos para la consecucin de los objetivos

Considera varios tipos de fraude: La evaluacin del fraude considera el Reporting fraudulento, posible prdida de activos y corrupcin La evaluacin del riesgo de fraude evala incentivos y presiones La evaluacin del riesgo de fraude tiene en consideracin el riesgo de fraude por adquisiciones no autorizadas, uso o enajenacin de activos, alteracin de los registros de informacin, u otros actos

23 www.auditool.org

COMPONENTE PRINCIPIOS PUNTOS DE ENFOQUE - ATRIBUTOS inapropiados. La evaluacin del riesgo de fraude considera cmo la direccin u otros empleados participan en, o justifican, acciones inapropiadas.

9. La organizacin idntica y evala los cambios que podran afectar significativamente al sistema de control interno

Evala cambios en el ambiente externo. El proceso de identificacin de riesgos considera cambios en los ambientes regulatorio, econmico, y fsico en los que la entidad opera. Evala cambios en el modelo de negocios. La organizacin considera impactos potenciales de las nuevas lneas del negocio, composiciones alteradas dramticamente de las lneas existentes de negocios, operaciones de negocios adquiridas o de liquidacin en el sistema de control interno, rpido crecimiento, el cambio de dependencia en geografas extranjeras y nuevas tecnologas. Evala cambios en liderazgo. La organizacin considera cambios en administracin y respectivas actitudes y filosofas en el sistema de control interno.

Actividades de control

10. La organizacin define y desarrolla actividades de control que contribuyen a la mitigacin de los riesgos hasta niveles aceptables para la consecucin de los objetivos

Se integra con la evaluacin de riesgos. Las actividades de control ayudan a asegurar que las respuestas a los riesgos que direccionan y mitigan los riesgos son llevadas a cabo Considera factores especficos de la entidad. La administracin considera cmo el ambiente, complejidad, naturaleza y alcance de sus operaciones, as como las caractersticas especficas de la organizacin,

24 www.auditool.org

COMPONENTE PRINCIPIOS PUNTOS DE ENFOQUE - ATRIBUTOS afectan la seleccin y desarrollo de las actividades de control Determina la importancia de los procesos del negocio. La administracin determina la importancia de los procesos del negocio en las actividades de control Evala una mezcla de tipos de actividades de control. Las actividades de control incluyen un rango y una variedad de controles que pueden incluir un equilibrio de enfoques para mitigar los riesgos teniendo en cuenta controles manuales y automatizados, y controles preventivos y de deteccin Considera en qu nivel las actividades son aplicadas. La administracin considera las actividades de control en varios niveles de la entidad Direcciona la segregacin de funciones. La administracin segrega funciones incompatibles, y donde dicha segregacin no es prctica, la administracin selecciona y desarrolla actividades de control alternativas

11. La organizacin define y desarrolla actividades de control a nivel de entidad sobre la tecnologa para apoyar la consecucin de los objetivos

Determina la relacin entre el uso de la tecnologa en los procesos del negocio y los controles generales de tecnologa: La direccin entiende y determina la dependencia y la vinculacin entre los procesos de negocios, las actividades de control automatizadas y los Controles Generales de tecnologa Establece actividades de control para la infraestructura tecnolgica relevante: la

25 www.auditool.org

COMPONENTE PRINCIPIOS PUNTOS DE ENFOQUE - ATRIBUTOS Direccin selecciona y desarrolla actividades de control diseadas e implementadas para ayudar a asegurar la completitud, precisin y disponibilidad de la tecnologa. Establece las actividades de control para la administracin de procesos relevantes de seguridad: la direccin selecciona y desarrolla actividades de control diseadas e implementadas para restringir los derechos de acceso, con el fin de proteger los activos de la organizacin de amenazas externas. Establece actividades de control relevantes para los procesos de adquisicin, desarrollo y mantenimiento de la tecnologa: la direccin selecciona y desarrolla actividades de control sobre la adquisicin, desarrollo y mantenimiento de la tecnologa y su infraestructura

12. La organizacin despliega las actividades de control a travs de polticas que establecen las lneas generales del control interno y procedimientos que llevan dichas polticas

Establece polticas y procedimientos para apoyar el despliegue de las directivas de la administracin: la administracin establece actividades de control que estn construidas dentro de los procesos del negocio y las actividades del da a da de los empleados a travs de polticas estableciendo lo que se espera y los procedimientos relevantes especificando acciones Establece responsabilidad y rendicin de cuentas para ejecutar las polticas y procedimientos: la administracin establece la responsabilidad y rendicin de cuentas para las actividades de

26 www.auditool.org

COMPONENTE PRINCIPIOS PUNTOS DE ENFOQUE - ATRIBUTOS control con la administracin (u otro personal asignado) de la unidad de negocios o funcin en el cual los riesgos relevantes residen Funciona oportunamente: el personal responsable desarrolla las actividades de control oportunamente, como es definido en las polticas y procedimientos. Toma acciones correctivas: el personal responsable investiga y acta sobre temas identificados como resultado de la ejecucin de actividades de control Trabaja con personal competente: personal competente con la suficiente autoridad desarrolla actividades de control con diligencia y contina atencin Reevala polticas y procedimientos: la administracin revisa peridicamente las actividades de control para determinar su continua relevancia, y las actualiza cuando es necesario

Informacin y comunicacin

13. La organizacin obtiene o genera y utiliza informacin relevante y de calidad para apoyar el funcionamiento del control interno

Identifica los requerimientos de informacin: un proceso est en ejecucin para identificar la informacin requerida y esperada para apoyar el funcionamiento de los otros componentes del control interno y el cumplimiento de los objetivos de la entidad Captura fuentes internas y externas de informacin: los sistemas de informacin capturan fuentes internas y externas de informacin

27 www.auditool.org

COMPONENTE PRINCIPIOS PUNTOS DE ENFOQUE - ATRIBUTOS Procesa datos relevantes dentro de la informacin: los sistemas de informacin procesan datos relevantes y los transforman en informacin Mantiene la calidad a travs de procesamiento: los sistemas de informacin producen informacin que es oportuna, actual, precisa, completa, accesible, protegida, verificable y retenida. La informacin es revisada para evaluar su relevancia en el soporte de los componentes de control interno Considera costos y beneficios: la naturaleza, cantidad y precisin de la informacin comunicada estn acorde con, y apoyan, el cumplimiento de los objetivos

14. La organizacin comunica la informacin internamente, incluidos los objetivos y responsabilidades que son necesarios para apoyar el funcionamiento del sistema de control interno

Comunica la informacin de control interno: un proceso est en ejecucin para comunicar la informacin requerida para permitir que todo el personal entienda y lleve a cabo sus responsabilidades de control interno Se comunica con la Junta directiva: existe comunicacin entre la administracin y la Junta Directiva; por lo tanto, ambas partes tienen la informacin necesaria para cumplir con sus roles con respecto a los objetivos de la entidad Proporciona lneas de comunicacin separadas: separa canales de comunicacin, como lneas directas de denuncia de irregularidades, las cuales sirven como mecanismos a prueba de fallos para permitir la comunicacin annima o confidencial cuando los canales

28 www.auditool.org

COMPONENTE PRINCIPIOS PUNTOS DE ENFOQUE - ATRIBUTOS normales son inoperantes o ineficientes

Selecciona mtodos de comunicacin relevantes: los mtodos de comunicacin consideran tiempo, pblico y la naturaleza de la informacin

15. La organizacin se comunica con los grupos de inters externos sobre los aspectos clave que afectan al funcionamiento del control interno

Se comunica con grupos de inters externos: los procesos estn en funcionamiento para comunicar informacin relevante y oportuna a grupos de inters externos, incluyendo accionistas, socios, propietarios, reguladores, clientes, analistas financieros y dems partes externas Permite comunicaciones de entrada: canales de comunicacin abiertos permiten los aportes de clientes, consumidores, proveedores, auditores externos, reguladores, analistas financieros, entre otros, y proporcionan a la administracin y Junta Directiva informacin relevante. Se comunica con la Junta Directiva: la informacin relevante resultante de evaluaciones conducidas por partes externas es comunicada a la Junta Directiva. Proporciona lneas de comunicacin separadas: separa canales de comunicacin, como lneas directas de denuncia de irregularidades, las cuales sirven como mecanismos a prueba de fallos para permitir la comunicacin annima o confidencial cuando los canales normales son inoperantes o ineficientes Selecciona mtodos de

29 www.auditool.org

COMPONENTE PRINCIPIOS PUNTOS DE ENFOQUE - ATRIBUTOS comunicacin relevantes: los mtodos de comunicacin consideran el tiempo, pblico, y la naturaleza de la comunicacin y los requerimientos y expectativas legales, regulatorias y fiduciarias

Actividades de supervisin

monitoreo

16. La organizacin selecciona, desarrolla y realiza evaluaciones continuas y/o independientes para determinar si los componentes del sistema de control interno estn presentes y en funcionamiento

Considera una combinacin de evaluaciones continuas e independientes: la administracin incluye un balance de evaluaciones continuas e independientes Considera tasa de cambio: la administracin considera la tasa de cambio en el negocio y los procesos del negocio cuando selecciona y desarrolla evaluaciones continuas e independientes Establece un punto de referencia para el entendimiento: el diseo y estado actual del sistema de control interno son usados para establecer un punto de referencia para las evaluaciones continuas e independientes Uso de personal capacitado: los evaluadores que desarrollan evaluaciones continuas e independientes tienen suficiente conocimiento para entender lo que est siendo evaluado Se integra con los procesos del negocio: las evaluaciones continuas son construidas dentro de los procesos del negocio y se ajustan a las condiciones cambiantes Ajusta el alcance y la frecuencia: la administracin cambia el alcance y la frecuencia de las evaluaciones independientes dependiendo el riesgo

30 www.auditool.org

COMPONENTE PRINCIPIOS PUNTOS DE ENFOQUE - ATRIBUTOS Evala objetivamente: las evaluaciones independientes son desarrolladas peridicamente para proporcionar una retroalimentacin objetiva

17. La organizacin evala y comunica las deficiencias de control interno de forma oportuna a las partes responsables de aplicar medidas correctivas, incluyendo la alta direccin y el consejo, segn corresponda

Evala resultados: la Administracin o la Junta Directiva, segn corresponda, evala los resultados de las evaluaciones continuas e independientes Comunica deficiencias: las deficiencias son comunicadas a las partes responsables para tomar las acciones correctivas y a la Alta Direccin y la Junta Directiva, segn corresponda Supervisa acciones correctivas: la administracin monitorea si las deficiencias son corregidas oportunamente

Entorno de control

Es el ambiente donde se desarrollan todas las actividades organizacionales bajo la gestin de la administracin. El entorno de control es influenciado por factores tanto internos como externos, tales como la historia de la entidad, los valores, el mercado, y el ambiente competitivo y regulatorio. Comprende las normas, procesos y estructuras que constituyen la base para desarrollar el control interno de la organizacin. Este componente crea la disciplina que apoya la evaluacin del riesgo para el cumplimiento de los objetivos de la entidad, el rendimiento de las actividades de control, uso de la informacin y sistemas de comunicacin, y conduccin de actividades de supervisin. Para lograr un entorno de control apropiado deben tenerse en cuenta aspectos como la estructura organizacional, la divisin del trabajo y asignacin de responsabilidades, el estilo de gerencia y el compromiso. Un entorno de control ineficaz puede tener consecuencias graves, tales como prdida financiera, prdida de imagen o un fracaso empresarial. Por esta razn, este componente tiene una influencia muy relevante en los dems componentes del sistema de control interno, y se convierte en el cimiento de los dems proporcionando disciplina y estructura.

31 www.auditool.org

Una organizacin que establece y mantiene un adecuado entorno de control es ms fuerte a la hora de afrontar riesgos y lograr sus objetivos. Esto se puede obtener si se cuenta con:

Actitudes congruentes con su integridad y valores ticos. Procesos y conductas adecuados para la evaluacin de conductas. Asignacin adecuada de responsabilidades. Un elevado grado de competencia y un fuerte sentido de la responsabilidad

para la consecucin de los objetivos.

Por esta razn, el Entorno de control est compuesto por el comportamiento que se mantiene dentro de la organizacin, e incluye aspectos como la integridad y los valores ticos de los recursos humanos, la competencia profesional, la delegacin de responsabilidades, el compromiso con la excelencia y la transparencia, la atmosfera de confianza mutua, filosofa y estilo de direccin, la estructura y plan organizacional, los reglamentos y manuales de procedimientos, las polticas en materia de recursos humanos y el Comit de Control. Principio 1: demuestra compromiso con la integridad y los valores ticos El control debe basarse en la integridad y el compromiso tico de las directivas y accionistas, quienes determinan la importancia del control interno y los estndares de conducta esperados dentro de la organizacin. La Junta Directiva y la Administracin en todos los niveles de la entidad deben demostrar a travs de sus instrucciones, acciones, y comportamientos la importancia de la integridad y los valores ticos para apoyar el funcionamiento del Sistema de Control Interno. Integridad y valores ticos: la Comisin Treadway establece que un clima tico

vigoroso dentro de la empresa y en todos sus niveles es esencial para el bienestar de la organizacin, de todos los componentes y del pblico en general. Esto contribuye en forma significativa a la eficacia de las polticas y los sistemas de control de las empresas, y permite influir sobre los comportamientos que no estn sujetos ni a los sistemas de control ms elaborados. La dificultad de establecer valores ticos radica en la necesidad de atender intereses de las distintas partes que pueden ser contrapuestos. Por esto es una tarea fundamental lograr equilibrio entre los intereses de la direccin, los de la empresa, sus empleados, los proveedores, clientes, competidores y el pblico. Algunas veces una determinacin inconsistente de los objetivos y metas en la misma organizacin dificulta lograr conductas ticas, e incita a los individuos que trabajan en ella a cometer actos fraudulentos, ilegales y no ticos. Por ejemplo, al poner nfasis en mostrar resultados a corto plazo, fomentando una condicin que el personal debe cumplir y que de no hacerlo pagar un costo, por ello para defender sus propios intereses se ve tentado a hacerlo.

32 www.auditool.org

Por esta razn, se hace necesario no solo comunicar los valores ticos sino que deben darse directrices especficas con respecto a lo que es correcto e incorrecto. El Consejo de Administracin y la Direccin deben demostrar la importancia de la integridad y los valores ticos para el funcionamiento del Sistema de Control Interno. El personal tiende a desarrollar las mismas actitudes de la alta gerencia; dar un buen ejemplo es esencial pero no suficiente, por eso es necesario que la alta direccin comunique los valores ticos y las normas de comportamiento a los empleados y las defina en estndares de conducta. Esto permitir establecer procesos de evaluacin de la actuacin de los empleados e implementar los correctivos necesarios. La importancia del Tono desde lo alto (tone at the top) a travs de la organizacin es fundamental para el funcionamiento apropiado del sistema de control interno. Sin un tono desde lo alto para apoyar una cultura fuerte de control interno, y la conciencia de que el riesgo puede ser indeterminado, las respuestas a los riesgos pueden ser inapropiadas, las actividades de control pueden ser mal definidas o no llevadas a cabo, la informacin y la comunicacin pueden fallar, y la retroalimentacin y comentarios de las actividades de supervisin pueden no ser escuchados o tenidos en cuenta.

Estndares de conducta: los estndares de conducta guan a la organizacin en comportamientos, actividades y decisiones para la consecucin de los objetivos. La organizacin demuestra su compromiso con la integridad y los valores ticos aplicando estndares de conducta, y cuestionndose continuamente, sobre todo cuando enfrenta situaciones complicadas. La integridad y los valores ticos deben ser el centro de los mensajes en todas las comunicaciones y capacitaciones de la entidad.

Los estndares de conducta de la organizacin deben ser regularmente comunicados, no solo a los niveles de la organizacin, sino tambin a los proveedores de servicios externos. Conductas inapropiadas de estos proveedores pueden reflejarse negativamente en la Alta Direccin e impactar a la entidad hasta causar dao en los clientes o accionistas, o la reputacin misma de la entidad. Es importante que existan canales de comunicacin, ya sean formales o informales, para que el personal pueda reportar las irregularidades que se presenten. La falta de adherencia a los estndares de conducta se ve reflejada en situaciones como:

# Un tono desde lo alto que no lleva a cabo efectivamente las expectativas de adherencia a los estndares.

# Una Junta Directiva que no proporciona una supervisin imparcial de la adherencia a los estndares de la Alta Direccin.

# Alta descentralizacin sin una supervisin adecuada, dejando a la Alta Direccin inconsciente de las decisiones tomadas en los niveles inferiores.

# Coaccin de superiores, personal, y partes externas para evadir las reglas o comprometerse en fraudes o comportamientos ilcitos.

33 www.auditool.org

# Metas de desempeo que crean incentivos o presiones que comprometen el comportamiento tico.

# Canales inadecuados, por medio de los cuales los empleados no pueden expresar preguntas y hechos.

# Fallas al direccionar los controles que no existen o son inefectivos, que ocasionan un desempeo pobre.

# Procesos inadecuados de investigacin y resolucin de presuntas malas conductas.

# Funcin de auditoria interna pobre que no tienen la habilidad para detectar y reportar conductas inapropiadas.

# Penalidades para conductas impropias que son aplicadas inconsistentemente, y pierden as su valor disuasivo.

Para evitar dichas situaciones la administracin debe realizar evaluaciones de la adherencia individual y grupal a los estndares de conducta, y cumplir con los siguientes requisitos:

# Definir un conjunto de indicadores para identificar situaciones y tendencias relacionadas con los estndares de conducta de la organizacin, incluyendo a los proveedores de servicios externos. Estos indicadores deben ser revisados peridicamente y ser redefinidos cuando sea necesario para determinar problemas a tiempo.

# Establecer procedimientos de cumplimiento continuo y peridico para confirmar que las expectativas y requerimientos estn siendo cumplidos tanto interna como externamente.

# Identificar, analizar y reportar problemas de conducta en el negocio y tendencias a la Alta Direccin y Junta Directiva.

# Considerar la fuerza del liderazgo en la demostracin de la integridad y los valores ticos como un comportamiento evaluado en las revisiones del desempeo, compensacin y las decisiones de promocin.

# Completar la implementacin de acciones correctivas para remediar los asuntos de manera oportuna y consistente.

Principio 2: ejerce responsabilidad de supervisin

La Junta Directiva demuestra independencia de la administracin y ejerce la supervisin del desarrollo y desempeo del Control Interno. Adems, entiende el negocio y expectativas de los accionistas, clientes, empleados, inversionistas y dems partes, as como los requerimientos legales y de regulacin, y los riesgos relacionados. Estas expectativas y requerimientos ayudan a determinar los objetivos de la organizacin, supervisar las responsabilidades de la Junta Directiva, y administrar los recursos necesarios.

34 www.auditool.org

La Junta Directiva es responsable de supervisar y cuestionar objetivamente el trabajo de la administracin. Esta supervisin es apoyada por las estructuras y procesos establecidos en los niveles de ejecucin del negocio. De la misma manera, el Director Ejecutivo y la Alta Direccin tienen la responsabilidad del desarrollo e implementacin del sistema de control interno. Dependiendo de las caractersticas de la organizacin estas responsabilidades son llevadas a cabo. Para llevar a cabo sus funciones adecuadamente, la Junta Directiva debe cumplir con dos requisitos indispensables, independencia y competencia profesional. Independencia y competencia profesional: es importante contar con personal

competente, que tenga una formacin adecuada, de acuerdo con el cargo que ocupa y las responsabilidades que tenga. El rea de Recursos Humanos debe especificar el nivel de competencia requerido para las distintas tareas, as como la aptitud (conocimientos y habilidades de cada persona), la cual interfiere en el criterio profesional al momento de disear, implementar y desarrollar el control interno y evaluar su efectividad. Una vez se realiza la contratacin el profesional debe iniciar un proceso de capacitacin y enseanza en forma prctica, terica y metodolgica, sobre su cargo, los valores corporativos de la entidad y el plan estratgico. Esto permite un trabajo eficaz del sistema de control interno debido a que se cuenta con profesionales competentes que comprenden las metas y objetivos de la entidad. La Junta Directiva es independiente de la Administracin y debe demostrar habilidades y experiencia relevante para llevar a cabo sus responsabilidades de supervisin. La composicin de la Junta Directiva se determina de acuerdo con la misin, valores y objetivos de la entidad, as como las habilidades y experiencia para supervisar, indagar y evaluar la alta Direccin apropiadamente. El nmero de miembros de la Junta Directiva se determina de acuerdo con las caractersticas de la organizacin, facilitando as la crtica constructiva, las discusiones y la toma de decisiones. Los miembros de la Junta Directiva deben contar con las siguientes capacidades y habilidades:

# Integridad y valores ticos. # Liderazgo. # Pensamiento crtico. # Resolucin de problemas. # Disponibilidad para permitir la discusin y deliberacin. # Mentalidad de control interno: escepticismo profesional, enfoques para la

identificacin y respuesta a riesgos, evaluacin de la efectividad de control interno.

# Conocimiento de la entidad y del mercado. # Experiencia financiera y reporte financiero. # Entendimiento de las leyes y regulaciones relevantes. # Experiencia social y ambiental.

35 www.auditool.org

# Conocimiento de las compensaciones e incentivos del mercado. # Entendimiento de los sistemas y cambios tecnolgicos y oportunidades.

El siguiente cuadro presenta las responsabilidades de supervisin de la Junta Directiva en relacin con cada componente del Sistema de Control Interno:

Componente Actividades de supervisin de la Junta Directiva

Entorno de Control

# Supervisar la definicin de los estndares de conducta y evaluar su nivel de aplicacin. # Establecer las expectativas y evaluar la actuacin,

integridad y valores ticos del Director Ejecutivo (CEO). # Establecer una estructura y unos procesos de

supervisin alineados con los objetivos de la entidad. # Evaluar la revisin de la efectividad e identificar

oportunidades de mejoramiento. # Ejercer responsabilidades fiduciarias para los

accionistas y dems propietarios. # Realizar seguimiento de las mejoras identificadas y

solicitar informacin a la Alta Direccin sobre la implementacin de las mismas.

Evaluacin de Riesgos

# Considerar factores externos e internos que puedan suponer riesgos relevantes para la consecucin de los objetivos. # Incentivar la evaluacin de riesgos de la Administracin

para el cumplimiento de los objetivos, incluyendo el impacto potencial de cambios significativos y fraude o corrupcin. # Valorar la proactividad de la organizacin para evaluar

los riesgos en relacin con la innovacin y los cambios relevantes resultado de las nuevas tecnologas o movimientos econmicos y geopolticos.

Actividades de Control

# Solicitar informacin a la Administracin con respecto a la seleccin, desarrollo y uso de las actividades de control en las reas con mayor riesgo, y su correccin cuando sea necesario. # Evaluar el desempeo de la Alta Direccin en relacin

con las actividades de control.

Informacin y Comunicacin

# Comunicar la direccin y el tono desde lo alto. # Obtener, revisar y discutir la informacin relacionada

con el cumplimiento de los objetivos de la entidad. # Examinar la informacin recibida y presentar diferentes

puntos de vista. # Revisar las revelaciones de las partes interesadas

externas para que cumplan con la exactitud e importancia. # Promover la comunicacin hacia la Direccin y

36 www.auditool.org

Componente Actividades de supervisin de la Junta Directiva viceversa.

Actividades de Supervisin y Monitoreo

# Evaluar y supervisar la naturaleza y alcance de las actividades de control, cualquier control manual de la Administracin, y la evaluacin y remediacin de deficiencias. # Interactuar con la Administracin, auditores internos y

externos, y dems, para evaluar el nivel de conciencia de las estrategias de la entidad, objetivos especficos, riesgos, e implicaciones de control asociadas con el desarrollo del negocio, la infraestructura, las regulaciones y dems factores.

Principio 3: establece estructura, autoridad, y responsabilidad

La Administracin establece, con la supervisin de la Direccin, estructuras, lneas de reporte, y niveles apropiados de autoridad y responsabilidad para la consecucin de los objetivos. Las entidades se estructuran a travs de varias dimensiones: modelo operativo de la administracin, estructuras legales, subdivisiones, y proveedores de servicios externos. Cada una de estas dimensiones proporciona una evaluacin diferente del sistema de control interno, lo que permite, a travs de la propiedad y responsabilidad de cada nivel, que se desarrolle una revisin y anlisis multidimensional que puede identificar cualquier riesgo y tener un conocimiento completo e integral del sistema de control interno. Las estructuras de la organizacin evolucionan as como la naturaleza del negocio. Por esta razn, la Administracin debe revisar y evaluar continuamente la relevancia, efectividad y eficacia de las estructuras como apoyo al sistema de control interno. Para cada estructura la Administracin debe disear y evaluar las lneas de reporte para que las responsabilidades sean llevadas a cabo y la informacin fluya como es necesario. Adems, es necesario verificar que no existan conflictos de intereses inherentes a la ejecucin de las responsabilidades, a travs de la organizacin y los proveedores de servicios externos. Cuando se evalan las estructuras se debe tener en cuenta: ! Naturaleza, tamao y distribucin geogrfica del negocio de la entidad. ! Riesgos relacionados con los objetivos y procesos de negocio de la entidad. ! Naturaleza de la asignacin de autoridad y responsabilidades a la cabeza, unidad

operativa, funcional y administracin geogrfica. ! Definicin de lneas de reporte y canales de comunicacin. ! Requerimientos de reporte financiero, de impuestos, regulatorios y dems, de

jurisdicciones pertinentes.

37 www.auditool.org

Delegacin de responsabilidades: todos los miembros de la entidad son responsables del control interno. El director general o presidente ejecutivo es el primer responsable, debido a que es quien fija las pautas a seguir, e influye en la integridad, la tica y los dems factores para la consecucin de un entorno de control favorable. El director designa al responsable de cada funcin y establece las polticas y procedimientos de control interno especficos. El personal debe conocer los objetivos de la entidad y cmo su funcin contribuye al logro de los mismos; esto permite lograr un mayor compromiso.

Filosofa y estilo de la direccin: los estilos gerenciales marcan el nivel de riesgo empresarial y pueden afectar al sistema de control interno. Un planteo empresarial orientado excesivamente al riesgo o no tomar en cuenta los aspectos de control son indicativos de riesgo en el control interno. Una gerencia que sin dejar de afrontar riesgos toma en cuenta todos los elementos necesarios para su seguimiento evitando riesgos inadecuados crea un ambiente propicio para control interno en la organizacin. Factores que hacen parte de la filosofa y estilo de la direccin son la actitud adoptada en la presentacin de la informacin financiera, la seleccin de las alternativas disponibles respecto a los principios de contabilidad aplicables, la prudencia con que se obtienen las estimaciones contables, y las actitudes hacia las funciones informticas y contables.

Estructura y plan organizacional: todo organismo debe desarrollar una estructura

organizacional que atienda al cumplimiento de su misin y sus objetivos, y esta debe estar plasmada en algn tipo de herramienta grfica. La estructura organizacional representada en un organigrama constituye el marco formal de autoridad y responsabilidades, y define los puestos de trabajo y las actividades a desempear con el fin de alcanzar los objetivos definidos por la Alta Gerencia de la organizacin. Dichas actividades se presentan clasificadas como de gestin, planificacin o control. Entre los aspectos ms importantes a tener en cuenta al momento de establecer la estructura organizativa est la definicin de las reas clave de autoridad y responsabilidad y el establecimiento de vas adecuadas de comunicacin. Adems, esta estructura debe adecuarse a sus necesidades.

38 www.auditool.org

El nivel de formalidad que alcanza la estructura organizativa definida es directamente proporcional al tamao de la organizacin. Conforme al crecimiento de las organizaciones , estas demandan una mayor especializacin en los cargos, lo que conlleva a los niveles de formalidad definidos. Existe una nueva tendencia a derivar autoridad hacia los niveles inferiores, de manera que las decisiones quedan en manos de quienes estn ms cerca de las operaciones, a modo de autogestin. Esto es posible debido a que los sistemas de control interno han mejorado sustancialmente, y al surgimiento de programas de aplicacin cuya finalidad es el registro de datos transaccionales que facilitan as el control. Toda delegacin de actividades conlleva a la necesidad de que los jefes examinen y aprueben cuando corresponda el trabajo de sus subordinados, y que ambos cumplan con la debida rendicin de cuentas de sus responsabilidades y tareas tanto en tiempo como en forma. Tambin requiere que todo el personal conozca, responda y entienda cmo su accionar repercute en el logro de los objetivos generales.

Comit de control: estos comits se encuentran con mayor frecuencia en

organizaciones con mayor tamao. Su objetivo general es la vigilancia del adecuado funcionamiento del sistema de control interno, y el mejoramiento continuo del mismo. Para su efectivo desempeo debe integrarse adecuadamente, es decir, funcionar con miembros de capacidad y trayectoria que tengan un elevado grado de conocimiento y experiencia que les permita apoyar objetivamente a la Direccin mediante su gua y supervisin.

Principio 4: demuestra compromiso para la competencia La organizacin demuestra compromiso para atraer, desarrollar y retener a profesionales competentes en alineacin con los objetivos. Las polticas y prcticas de la entidad representan una gua de comportamiento que refleja las expectativas y requerimientos de los inversionistas, reguladores, y dems accionistas. Estas permiten definir la competencia necesaria en la organizacin, y proporcionan las bases para ejecutar y evaluar el desempeo as como la determinacin de acciones correctivas, cuando sea necesario. La competencia hace referencia a la capacidad para llevar a cabo las responsabilidades asignadas, y requiere de habilidades relevantes y pericia, las cuales se obtienen a lo largo de una experiencia profesional, capacitacin y certificaciones. Esta es expresada en las actitudes, conocimiento y comportamiento de los individuos cuando llevan a cabo sus responsabilidades. El rea de Recursos Humanos de la organizacin puede ayudar en la definicin de la competencia y niveles de personal para los puestos de trabajo, facilitando la capacitacin y evaluacin de la relevancia e idoneidad del desarrollo profesional individual en relacin con las necesidades de la organizacin.

39 www.auditool.org

Polticas y prcticas de los recursos humanos: el personal es el recurso ms valioso que posee cualquier organismo; por ende debe ser tratado y conducido de forma tal que se consiga su mayor rendimiento. Debe procurarse su satisfaccin y realizacin personal en el trabajo que realiza, tendiendo a que este se enriquezca. Para lograr este objetivo la direccin debe realizar diferentes actividades al momento de seleccin, capacitacin, rotacin y promocin del personal. As mismo, cuando se aplican sanciones disciplinarias. Es importante que el personal este bien preparado para hacer frente a nuevos retos a medida que las empresas se enfrentan a cambios y se hacen ms complejas, debido a los rpidos cambios que se producen en el mundo de la tecnologa y al aumento de la competencia. La instruccin y formacin deben preparar al personal para desarrollar su trabajo eficazmente, lo que al mismo tiempo permitir que la entidad ponga en marcha iniciativas de calidad. Este proceso debe ser continuo. La Direccin asume su responsabilidad en los siguientes momentos: ! Seleccin: establece requisitos adecuados de conocimiento, experiencia e

integridad para las incorporaciones. ! Induccin: los nuevos empleados deben ser metdicamente familiarizados con

las costumbres y procedimientos de la organizacin. ! Capacitacin: entrenamiento y capacitacin adecuada para el correcto

desempeo de los empleados y el cumplimiento de sus responsabilidades. ! Rotacin y promocin: promover una movilidad organizacional que represente el

reconocimiento y promocin de los empleados excelentes e innovadores. ! Sancin: adopcin de medidas disciplinarias que transmitan con rigurosidad las

normas y polticas de la empresa y la no tolerancia a desvos en el camino trazado.

La administracin debe establecer las estructuras y procesos en todos los niveles de la organizacin, tales como: ! Bsqueda de candidatos apropiados para la cultura de la entidad, el estilo

operativo, y las necesidades organizacionales, y quienes tengan la competencia para los cargos propuestos.

! Permitir que los individuos desarrollen competencias apropiadas para los roles y responsabilidades asignadas, refuerzo de estndares de conducta, niveles de competencia esperados para una tarea especfica, formacin a medida basada en los roles y necesidades, considerando diferentes tcnicas como instruccin en saln de clases, estudio autnomo y capacitacin para el trabajo.

! Proporcionar direccin al desempeo individual hacia las expectativas de los estndares de conducta y competencia, alinear las habilidades y experiencia individual a los objetivos de la entidad, y ayudar al personal a adaptarse a un entorno en evolucin.

! Medir el desempeo de los individuos en relacin con el cumplimiento de los objetivos y demostracin de conductas esperadas, y en contraste con acuerdos de nivel de servicio u otras normas acordadas para compensar a proveedores de servicios externos.

40 www.auditool.org

! Proporcionar incentivos para motivar y reforzar los niveles esperados de desempeo y conducta deseada, incluyendo capacitacin y acreditacin segn sea apropiado.

A travs de estos procesos, cualquier comportamiento inconsistente con los estndares de conducta, polticas y prcticas, y responsabilidades de control interno, es identificado, evaluado y corregido de manera oportuna, o dirigido a los niveles correspondientes en la organizacin. Principio 5: hace cumplir con las responsabilidades

La organizacin mantiene individuos relevantes en las responsabilidades de su control interno para la consecucin de los objetivos. El Director Ejecutivo y la Alta Direccin son responsables del diseo, implementacin, aplicacin y evaluacin continua de las estructuras, autoridades y responsabilidades necesarias para establecer la responsabilidad de las acciones para control interno en todos los niveles de la organizacin. Dicha responsabilidad (accountability) hace referencia a la propiedad delegada del desempeo de control interno en la consecucin de los objetivos considerando los riesgos que enfrenta la entidad, y es demostrada en cada forma de estructura organizacional usada por la entidad. Adems, la responsabilidad envuelve el liderazgo, el cual contribuye a que las responsabilidades de control interno sean entendidas, llevadas a cabo y continuamente fortalecidas a travs de la entidad; y soportadas por el compromiso con la integridad y los valores ticos, la competencia, la estructura, los procesos y la tecnologa, factores que influyen en la cultura de control de la organizacin. La Administracin y la Junta Directiva deben establecer medidas de desempeo, incentivos y otras compensaciones apropiadas para las responsabilidades en todos los niveles de la entidad, considerando el cumplimiento de los objetivos tanto a corto como a largo plazo. Para lograr esto, se deben establecer medidas de desempeo cualitativas y cuantitativas para recompensar el xito y la disciplina en los comportamientos cuando sea necesario en lnea con el rango de los objetivos. Las medidas de desempeo, incentivos y compensaciones apoyan un sistema efectivo de control interno siempre y cuando estn adaptados a los objetivos de la entidad y a la evolucin dinmica, cuando sea necesario. La siguiente tabla presenta medidas clave de xito y consideraciones para motivar, mediar y compensar un alto rendimiento.

41 www.auditool.org

Medidas de

xito Consideraciones

Objetivos claros

Considerar todos los niveles del personal para apoyar el cumplimiento de los objetivos de la entidad.

Considerar las mltiples dimensiones de las conductas y los rendimientos esperados de la organizacin, proveedores de servicios externos, y socios; y definir los objetivos e incentivos y presiones relacionados.

Implicaciones definidas

Comunicar y reafirmar los objetivos de la entidad y cmo se espera que cada rea y nivel de la organizacin apoye el cumplimiento de los objetivos.

Identificar y discutir eventos que el mercado ha premiado o penalizado en el pasado.

Comunicar las consecuencias del incumplimiento de los objetivos especficos de la entidad.

Mtricas significativas

Definir mtricas para transformar los datos desiguales en informacin significativa en el rendimiento.

Medir la conducta esperada frente a la real y el impacto de las desviaciones, tanto positivo como negativo.

Evaluar el impacto esperado sobre los objetivos de la entidad.

Ajuste a los cambios

Ajustar regularmente las medidas de desempeo basadas en una evaluacin sistemtica y continua del impacto potencial de los riesgos, de cmo estos evolucionan, as como la cuantificacin de las compensaciones asociadas.

Los incentivos motivan a la administracin y dems personal a tener un buen rendimiento en sus funciones. Regularmente, se usan el aumento de salario o la entrega de bonos, pero las compensaciones no monetarias tambin son incentivos efectivos. Es importante que la administracin supervise constantemente estas compensaciones para que no se generen conductas inapropiadas, sino que por el contrario promuevan una cultura de responsabilidad, cumplimiento y competencia. Evaluacin de riesgos

Este componente identifica los posibles riesgos asociados con el logro de los objetivos de la organizacin. Toda organizacin debe hacer frente a una serie de riesgos de origen tanto interno como externo, que deben ser evaluados. Estos riesgos afectan a las entidades en diferentes sentidos, como en su habilidad para competir con xito, mantener una posicin financiera fuerte y una imagen pblica positiva. Por ende, se entiende por riesgo cualquier causa probable de que no se cumplan los objetivos de la organizacin. De esta manera, la organizacin debe prever, conocer y abordar los riesgos con los que se enfrenta, para establecer mecanismos que los identifiquen, analicen y disminuyan. Este es un proceso dinmico e iterativo que constituye la base para determinar cmo se gestionaran los riesgos.

42 www.auditool.org

Principio 6: especifica objetivos relevantes

La organizacin define los objetivos con suficiente claridad para permitir la identificacin y evaluacin de los riesgos relacionados con los objetivos. Antes de llevar a cabo la evaluacin de riesgos, se deben establecer los objetivos asociados con los diferentes niveles de la entidad, los objetivos operativos, de informacin/Reporting y de cumplimiento, los cuales deben ser consistentes con la misin de la entidad. Para determinar si los objetivos son pertinentes, la administracin debe considerar los siguientes aspectos: ! Alineacin de los objetivos establecidos con las prioridades estratgicas. ! Articulacin de la tolerancia al riesgo para los objetivos. ! Alineacin entre los objetivos establecidos y las leyes, reglas, regulaciones y

estndares aplicables a la entidad. ! Articulacin de los objetivos en trminos que sean especficos, medibles u

observables, asequibles, relevantes y temporales. ! Objetivos en cascada a travs de la organizacin y sus subdivisiones. ! Alineacin de los objetivos con otras circunstancias que requieran especial atencin

de la entidad. ! Confirmacin de la pertinencia de los objetivos dentro del proceso de

establecimiento de los objetivos antes de que estos sean usados como base para la evaluacin de los riesgos.

Algunos factores que influyen en la evaluacin de los riesgos son:

Polticas y procedimientos. Aprobaciones y autorizaciones. Conciliaciones y verificaciones. Seguridad de activos. Segregacin de funciones. Identificacin de eventos. Valoracin de riesgos. Respuesta al riesgo.

Principio 7: identifica y analiza los riesgos

La organizacin identifica los riesgos para la consecucin de sus objetivos a travs de la entidad y analiza los riesgos como base para determinar cmo se deben gestionar. La administracin debe considerar los riesgos en todos los niveles de la organizacin y tomar las acciones necesarias para responder a estos. En este proceso se consideran los factores que influyen como la severidad, velocidad y persistencia del riesgo, la probabilidad de perdida de activos y el impacto relacionado sobre las actividades de operativas, de reporte y cumplimiento. As mismo la entidad necesita entender su tolerancia al riesgo y su habilidad para funcionar y operar dentro de estos niveles de riesgo.

43 www.auditool.org

El proceso de identificacin de riesgos debe ser integral y completo y considerar todas las interacciones significativas de bienes, servicios e informacin, internamente y entre la entidad y sus principales socios y proveedores de servicios externos.

Los riesgos pueden surgir en todos los niveles de la entidad y debido a factores tanto internos como externos. Una vez identificados estos factores se puede considerar su relevancia e importancia, y si es posible relacionarlos con riesgos y actividades especficas. Riesgos externos: desarrollos tecnolgicos que en caso de no adoptarse

provocaran obsolescencia organizacional, cambios en las necesidades y expectativas de la demanda, condiciones macroeconmicas tanto a nivel internacional como nacional, condiciones microeconmicas, competencia elevada con otras organizaciones, dificultad para obtener crdito o costos elevados del mismo, complejidad y elevado dinamismo del entorno de la organizacin, y reglamentos y legislacin que afecten negativamente a la organizacin.

! Riesgos econmicos: cambios que pueden impactar las finanzas, la disponibilidad de capital, y barreras al acceso competitivo.

! Ambiente natural: catstrofes naturales o causadas por el ser humano, o cambios climticos que puedan generar cambios en las operaciones, reduccin en la disponibilidad de materia prima, perdida de sistemas de informacin, resaltando la necesidad de planes de contingencia.

! Factores regulatorios: nuevos estndares, regulaciones y leyes que impliquen cambios en las polticas y estrategias operativas y de reporte de la entidad.

! Operaciones extranjeras: cambios en el gobierno o leyes de pases extranjeros que afecten a la entidad.

! Factores sociales: cambios en las necesidades y expectativas