Evaluacion del Control

Interno

Control interno COSO

Marco integrado

Treadway Commission formado

en 1985
Treadway Commission publica
el informe en 1987 convoca al
estudio para desarrollar un
marco comn de control interno
Coopers & Lybrand (PWC) fue
seleccionado para conducir el
estudio y autor del informe
El informe titulado Internal
Control-Integrated Framework
es publicado en Setiembre,
1992.
Es el estndar internacional ms
reconocido como marco de control
interno

Enfoque COSO como del marco de

Control interno
Control interno es definido (en COSO y US auditing standardsAU 319)
como un proceso, efectuado por el directorio de una entidad, la gerencia
y otro personal, diseado para proveer una seguridad razonable
relacionada con el logro de los objetivos en las siguientes categoras:
Efectividad y eficiencia de las operaciones.
Confianza en los reportes.
Cumplimiento con las leyes y regulaciones
aplicables.
COSO identifica cinco componentes del control
interno que requieren estar establecidos e
integrados para asegurar el cumplimiento de
cada uno de los objetivos.

Cinco componentes que conforman

el marco COSO
Supervisin y Seguimiento
Supervisin y Seguimiento
Evaluacin del funcionamiento del
Evaluacin del funcionamiento del
sistema de control en el tiempo.
sistema de control en el tiempo.
Combinacin de evaluacin
Combinacin
de evaluacin
constante e independiente.
constante e independiente.
Actividades de los niveles de
Actividades
de los niveles de
supervisin y gerencia.
supervisin y gerencia.
Actividades de auditora interna.
Actividades
de auditora interna.

Informacin y Comunicacin
Informacin y Comunicacin
Informacin pertinente
Informacin pertinente
determinada, capturada y
determinada, capturada y
comunicada en forma oportuna.
comunicada en forma oportuna.
Acceso a informacin generada
Acceso a informacin generada
interna y externamente.
interna y externamente.
Flujo de informacin que permite
Flujo de informacin que permite
acciones de control exitosas
acciones de control exitosas
desde instrucciones sobre
desde instrucciones sobre
responsabilidades a resumen de
responsabilidades a resumen de
observaciones para accin de la
observaciones para accin de la
gerencia
gerencia

Actividades de Control
Actividades de Control
Polticas/procedimientos que
Polticas/procedimientos que
aseguran que se efectan las
aseguran que se efectan las
directivas de la gerencia.
directivas de la gerencia.
Gama de actividades que incluye
Gama de actividades que incluye
aprobaciones, autorizaciones,
aprobaciones, autorizaciones,
verificaciones, recomendaciones,
verificaciones, recomendaciones,
revisiones de rendimiento,
revisiones de rendimiento,
salvaguarda de activos y
salvaguarda de activos y
separacin de funciones.
separacin de funciones.

Evaluacin de riesgos
Evaluacin de riesgos
Evaluacin de riesgos es la
Evaluacin
de riesgos es la
determinacin y el anlisis de
determinacin y el anlisis de
riesgos importantes para lograr los
riesgos importantes para lograr los
objetivos de la entidad y formar la
objetivos de la entidad y formar la
base para determinar las
base para determinar las
actividades de control.
actividades de control.

Deben estar presentes los cinco

componentes para que un control
sea eficaz

COSO: Ambiente de control

(Control Environment)
El ambiente de control fija el tonode la organizacin influenciando
en la conciencia de control de su personal.
Ejemplos que podran mencionarse:
La comunicacin clara y frecuente as como el compromiso del
personal por parte de los ejecutivos para controlar la calidad,
establece el ambiente de control de la Gerencia y determina los
controles de alta prioridad.
Las reuniones entre la gerencia ejecutiva y operativa refuerzan el
sentido de urgencia para compartir informacin y resolver problemas.
El nivel de participacin por parte de Auditora Interna demuestra la
preocupacin de la gerencia y el fortalecimiento de los controles.
Las decisiones de la gerencia reflejan el compromiso de un apropiado
ambiente de control para actuar sobre los problemas.
La Gerencia brinda capacitacin, herramientas y apoyo al personal
para llevar a cabo su misin.

COSO: Evaluacin de riesgo

(Risk Assessment)
La evaluacin de riesgo es la identificacin y anlisis de riesgos para
el logro de los objetivos, ayudando a determinar cmo los riesgos
pueden ser administrados.
Ejemplos que podran mencionarse:
Los riesgos por no lograr algunos
objetivos son evaluados y las reas de
alto riesgo son identificadas. Se
definen planes para cubrir las reas
de alto riesgo
De ser apropiado, el riesgo por no
lograr un objetivo deber ser evaluado
en trminos de costos, incluyendo
potenciales
penalidades,
imagen
pblica, etc.
Todos los niveles de la organizacin
estn involucrados en la identificacin
de riesgos y definicin de objetivos

COSO: Actividades de control

(Control activities)
Las Actividades de Control son polticas y procedimientos que ayudan a
asegurar las acciones necesarias que sern realizadas para direccionarlos
riesgos relacionados al logro de los objetivos de la organizacin.
Se consideran uno o ms de los siguientes objetivos de
control:
Totalidad: Toda la informacin es ingresada y
procesada una sola y nica vez
Exactitud: la informacin (incluyendo datos
permanentes) es ingresada y procesada correctamente
Validez: las transacciones y actualizaciones son
autorizadas por personal apropiado. Las transacciones
estn soportadas por una fuente de documentos
vlidos
Acceso restringido: La habilidad para modificar
informacin est restringida a personal apropiado. Los
activos de la Compaa son protegidos de robo e
inadecuada utilizacin

COSO: Informacin y Comunicacin

(Information & Communication)
La informacin pertinente debe ser identificada y comunicada de
una forma y dentro de un marco de tiempo que permita al personal
asumir sus responsabilidades y realizar las acciones apropiadas.
Ejemplos que podran incluirse:
Compartir informacin, por ejemplo la comunicacin
ejecutiva, hacia todos los niveles de la organizacin
demuestra un sentido de propiedad comn
Para cada empleado sus responsabilidades de
control son claramente definidas y comunicadas por
la Gerencia (Polticas y Procedimientos)
Un proceso apropiado para la comunicacin regular
entre la Gerencia y entidades externas es establecido
Los objetivos y metas son establecidos para medir el
progreso y facilitar oportunamente las acciones
correctivas
Existen los procesos para la administracin de
incidentes y son apoyados por la Gerencia

COSO: Monitoreo (Monitoring)

Monitoreo es el proceso para evaluar la calidad del desempeo de los sistemas de control
interno en el tiempo, incluyendo las actividades gerenciales y de supervisin peridicas.
Ejemplos que podran mencionarse:
Los jefes de proyecto definen claramente y regularmente revisan los entregables y plazos
de tiempo relacionados a sus responsabilidades para asegurar que los planes estn
progresando y las acciones correctivas estn siendo tomadas, de ser necesario
La Gerencia requiere una evaluacin progresiva desde los propietarios para evaluar si las
consideraciones de riesgo y oportunidad han sido realizados por los responsables del equipo

Revisiones independientes del ambiente de

control interno son realizadas regularmente
Los supervisores monitorean el personal
Los lderes de las unidades de negocio evalan y
prueban los resultados de la efectividad operativa
Auditora Interna evala la efectividad integral

Niveles de madurez de la
estructura de control interno

Nivel 1 No confiable

Ambiente impredecible donde las actividades de control no existen y no estn

diseadas

Nivel 2 Informal

Las actividades y controles de divulgacin de la informacin existen y estn

diseados pero no estn adecuadamente documentados
Los controles dependen bsicamente de las personas
No hay un entrenamiento formal ni comunicacin de las actividades de control

Niveles de madurez de la estructura de

control interno (continuacin)
Nivel 3 Estandarizado
Las actividades de control existen y estn diseadas
Las actividades de control han sido documentadas y comunicadas a los empleados
Las desviaciones de las actividades de control probablemente no sern detectadas

Nivel 4 Monitoreado
Controles estandarizados en la preparacin y diseo de los reportes a la gerencia
Pueden utilizarse herramientas en una forma limitada para soportar las actividades de
control

Nivel 5 Optimizado
Una estructura integrada de control interno, con un monitoreo en tiempo real por la
gerencia, as como mejoramiento continuo (EnterpriseWide RiskManagement)
Se utilizan herramientas para soportar las actividades de control que permiten a la
organizacin efectuar cambios rpidos a las actividades de control si es necesario

Efectividad del diseo de los controles

El Control interno sobre la preparacin de los reportes financieros est

diseado efectivamente cuando los controles cumplen con lo esperado para
prevenir o detectar errores, o fraude que podran resultar en errores materiales
en los estados financieros. El auditor debe determinar si la Compaa cuenta
con controles para cubrir los objetivos del control, a travs de:
Identificacin de los objetivos de los controles de la Compaa en cada
rea
Identificacin de los controles que satisfacen cada objetivo
Determinar si los controles, operan apropiadamente, de manera que
pueden efectivamente prevenir o detectar errores, o fraude que podran
resultar en errores materiales en los estados financieros

Efectividad del diseo de los controles

El auditor ejecuta prueba de controles para obtener evidencia sobre la
operatividad efectiva de los controles, es decir si est operando como
ha sido diseado y si la persona que ejecuta el control posee la
autoridad y las calificaciones necesarias para ejecutar el control de
manera efectiva. La prueba de controles para la efectividad de la
operatividad debera incluir un mezcla de:
Entrevistas con el personal apropiado,
Observacin de las operaciones de la compaa,
Revisin de documentacin relevantes, o
Re-ejecucin de la aplicacin de un control

Solo entrevistas no es suficiente

Nivel de
confort

Efectividad de la operatividad de los

controles (continuacin)
Factores a considerar cuando se decide la extensin de las pruebas
Complejidad del control
Importancia de juicio en la operacin del control
Nivel de competencia necesario para ejecutarlo
Frecuencia de operacin
Impacto de cambios
Importancia del Control (cubre mltiples aserciones de los estados
financieros)

Efectividad de la operatividad de los

controles (continuacin)
El auditor debe efectuar pruebas suficientes por si mismo de
manera que el trabajo del mismo auditor provee la principal evidencia
para la opinin del auditor. El auditor podra, sin embargo, usar el
trabajo de otros para modificar la naturaleza, oportunidad y extensin
del trabajo que de otra forma tendra que efectuar.(AS 2.108)

Extensin de las pruebas: Controles automatizados

Una sola prueba podra ser suficiente pero es necesario recordar que
hay un nmero de atributos en un control automatizado.
Cuando se confa en un control automatizado, la prueba de controles
generales de TI debe satisfacer la confianza depositada en los
controles automatizados.
Se debe entender y probar los controles asociados con la posibilidad
de incumplimiento por parte de la Gerencia de las polticas y
procedimientos.

Extensin de las pruebas: Controles manuales

Cuando se realiza la prueba de controles manuales, basados en la

frecuencia del control, se sugiere el siguiente tamao de muestra:

Cuando se selecciona la muestra se

debe considerar:
Complejidad del control
Importancia del juicio
Competencia necesario para la
ejecucin
Impacto de cambios
Importancia del control

Extensin de las pruebas: Controles

generales de TI (Tecnologa de Informacin)
Los controles generales de TI tiene un efecto dominante en el logro
de muchos de los objetivos de control.
Controles en los siguientes cuatro dominios deberan ser probados:

Desarrollo de programas
Cambios en programas
Operaciones computarizadas
Acceso a programas y data

Usando el trabajo de otros: Evaluar

experiencia y objetividad
Competencia (AS 2.119)

Nivel educacin y experiencia profesional

Certificacin profesional y educacin continua
Como se asigna a los individuos
Calidad de la documentacin
Supervisin y revisin
Evaluacin de su desempeo

Usando el trabajo de otros: Evaluar

experiencia y objetividad

Usar el trabajo
de otros
AS 2.117

Remediacin de las deficiencias

La Gerencia podra remediar deficiencias de control interno encontradas

durante las pruebas realizadas por ellos o por los auditores externos
Los controles remediados deben estar operando por un periodo previo a
la fecha de reporte de modo que permita que los auditores efecten sus
pruebas y concluyan sobre su efectividad
Debilidades materiales identificadas en el control interno de la Compaa
para la preparacin de los reportes financieros, necesitan ser divulgadas
en la Certificacin 302 de la Gerencia, incluyendo la correccin de la
debilidad material durante el periodo.

Periodo y muestra mnima requerida para los

controles remediados (informacin sugerida)
Los cambios a controles o remediacin de controles, necesitan tener
el tiempo suficiente para permitir la evaluacin de la efectividad de la
operatividad de los mismos.

Deficiencias de control
Cuando el diseo u operacin de un control no permite a la Gerencia o sus empleados, en
el normal curso de la ejecucin de sus funciones, prevenir o detectar errores oportunamente.
Criterio para la clasificacin de deficiencias

Agregacin de las deficiencias

Deficiencias de control
interno pueden en forma
agregada convertirse a
Deficiencia significativa

Deficiencias
significativas pueden en
forma agregada
convertirse a Debilidad
material

Marco para la evaluacin de

deficiencias y excepciones
Desarrollado por nueve firmas y un profesor, representa sus puntos de vistas de
que requiere el PCAOB AuditingStandard (AS 2)
Marco inicial (deficiencia en procesos/nivel transaccin); publicada en Octubre 28,
2004
Marco ampliado para incluir deficiencias de Controles Generales de IT, versin 2
publicada Noviembre 24, 2004
Compuesto por los siguientes rboles de decisin:
Chart1Evaluar excepciones encontradas en la prueba de la efectividad de
operacin del control
Chart2Evaluar deficiencias de control en procesos / nivel transaccin
Chart3Evaluar deficiencia de controles en los Controles generales de TI
(ITGC)

Factores crticos de xito

Propiedad / inters / compromiso del CFO y del Comit de Auditora

Capacidad y liderazgo del Gerente del proyecto

Nmero y capacidad de recursos dedicados al proyecto

Comunicacin efectiva con los involucrados en el proyecto

Calidad del plan detallado del proyecto (ser realista)

Comunicacin efectiva
Estructura y proceso

Qu problemas pueden presentarse?

Falta de recursos
Fallas en el entrenamiento y comunicacin
Pobre gestin del proyecto
Instrucciones de oficina del proyecto no comunicadas o entendidas
Insuficiente alcance
Narrativas de procesos no cubren las 5 Ws(what, who, when, where, why)
Mayora de deficiencias provienen de la falta de evidencia documentaria
Los controles a nivel entidad no operan efectivamente a nivel de las
localidades / subsidiarias

Qu problemas pueden presentarse con relacin a

los controles generales de TI?

La documentacin contina en proceso

Falta de conocimiento de los controles de tecnologa de informacin
Superposicin de proyectos
Proyectos de TI no cumplen con sus fechas lmite
Mientras el proyecto se extiende, genera dos crisis:
-Falta de tiempo para el trabajo que resta ser completado (tanto a nivel interno,
como para sus auditores externos).
-Presupuestos excedidos
Los programadores y el acceso inapropiado

Lecciones aprendidas
Qu toma mas tiempo de lo esperado?

Generalmente la planificacin
Involucrados, mapeo y alcance, recursos, herramientas, fechas lmite
Educacin y conocimiento de Control interno
Revisin de la calidad de la documentacin y remediacin
Planes de remediacin para debilidades de diseo en controles
Ponerse de acuerdo en los controles claves a probar en cada ciclo
Probar el tamao de muestra requerida
Contar con la evidencia de la documentacin para un control clave si falla en la
prueba de controles
Pruebas de controles remediados despus de que el mismo haya operado el
tiempo requerido

Lecciones aprendidas
Qu haramos de forma diferente?
Asegurarse que los involucrados (keystakeholders) estn interesados y
comprometidos con las decisiones de planeamiento
Asegurarse que el gerente de proyecto cuente con las habilidades y
credibilidad dentro de la organizacin
Crear un rbol de decisin para determinar el alcance y ceirse al mismo
Clara responsabilidad (accountability) para las revisiones requeridas y sign-offs
Acordar los protocolos de comunicacin
Asegurarse que los controles clave estn relacionados con sus factores de
riesgo
Identificar el inicio y el final de cada proceso significativo en las localidades
Asegurarse de que se efecte un trabajo piloto y control de calidad
Proveer formularios (templates) de narrativas, matrices de controls,
flujogramas para cada proceso / transaccin
Agendar las reuniones de kick-off y de revisin estimar el tiempo y
comprometerse
Los controles anuales y trimestrales deben ser evaluados / remediados primero
Priorizar los planes de remediacin

Necesidad de Accin

Si no ha comenzado an a preparar la
evaluacin de control interno,
empiece a trabajar en ello
inmediatamente.
--Discurso de ScottA. Taub, Contador Jefe Adjunto,
SEC de Estados Unidos. 29 de mayo de 2003