IMPORTANCIA DEL MARCO DE

REFERENCIA COSO
GESTION DE GOBIERNO, RIESGOS Y
CONTROL

Alvin Barnett
Panamá
CIA, CCSA, CRMA, ISO 9000, CPA

1
 TEMARIO A CUBRIR

Nuevo Marco de Referencia

COSO
Los principio Importantes
Aplicación en las Entidades
Financieros de Panamá
Aplicación de Herramientas
COSO – Definición de Control Interno
Proceso establecido por el Consejo de Dirección, la
Administración y otro personal de una empresa,
designado para proporcionar certeza razonable
sobre el cumplimiento de objetivos en las
siguientes categorías:

• Efectividad y eficiencia de las operaciones

• Confiabilidad de información
• Cumplimiento con leyes y regulaciones
aplicables.

Committee of Sponsoring Organizations of the Treadway Comission (COSO)

3
Es una iniciativa del sector privado establecida en 1985
por cinco asociaciones profesionales

American Institute of Certified Public Accountants

American Accounting Association
Financial Executives Institute
The Institute of Internal Auditors
Institute of Management Accountants

4
COSO Overview – Internal Control
Publications

1992 2006 2009 2013

 Internal Control-Integrated Framework
(2013 Edition)
• Consiste de tres volúmenes:
– Resumen ejecutivo
– Marco de referencia y
apéndices
– Herramientas ilustrativas para
evaluar la efectividad del
sistema control interno
• Establece:
– Definición de control interno
– Categorías de objetivos
– Componentes y principios de
control interno
– Requerimientos para la
efectividad

6
 Internal Control over External
Financial Reporting

– Enfoques ilustrativos y
ejemplos de como los
principios son aplicados en
la preparación de los EF´s
– Considera los cambios en
el ambiente de negocios y
operacional de las dos
décadas pasadas
– Provee ejemplos de una
variedad de entidades –
publica, privada, sin fines
de lucro y gobierno
– Se alinea al marco de
referencia actualizado

7
 Revisión del Marco Integrado
de Control Interno Original

1. Expectativas sobre la vigilancia del

GC
Condiciones de Cambio Continuos

2. Globalización de mercado y
operaciones
3. Cambio en los modelos de negocio
4. Demanda y complejidad de reglas,
regulaciones y normas.
5. Expectativas sobre competencias y
responsabilidades
6. Uso y confianza en tecnología
avanzada
7. Expectativas sobre la prevención y
detección de fraude

8
PRINCIPIOS COSO
AMBIENTE DE CONTROL

La Organización debe de demostrar su compromiso con la integridad y los valores éticos.

1

La Junta Directivas debe demostrar independencia de la gestión administrativa y

2 ejercer la supervisión del desarrollo y ejecución del control interno.

La alta dirección debe establecer, con la supervisión de la Junta Directiva: la

3 estructura, líneas de reportes, autoridad y responsabilidad en la consecución de
objetivos.

4 La Organización debe demostrar su compromiso para atraer, desarrollar, y retener

personas competentes en alineación a los objetivos.

La Organización debe exigir la rendición de cuentas sobre la responsabilidad individual de

5 control interno en el logro de sus objetivos.
EVALUACIÓN DE RIESGOS

6 La Organización debe especificar sus objetivos con suficiente claridad para

permitir la identificación y evaluación de los riesgos relacionados a sus objetivos.

7 La Organización debe identificar los riesgos en el logro de sus objetivos a

través de toda la entidad y evaluarla a fin de determinar como debe ser
administrado.

8 La Organización debe considerar la probabilidad de fraude en la evaluación

de sus riesgos.

9 La Organización debe identificar y evaluar los cambios importantes que podrían

impactar en el sistema de control interno
ACTIVIDADES DE CONTROL

La Organización debe seleccionar y desarrollar actividades de

10 control que contribuyan a la mitigación de los riesgos a niveles
aceptables para el logro de sus objetivos.

La Organización seleccionará y desarrollará actividades de

11 Controles Generales sobre Tecnología de la Información

La Organización establece sus actividades de control a través de

políticas que brinden los lineamientos de lo que se espera y los
12
procedimientos adecuados que los implementen.
INFORMACION Y COMUNICACION

La Organización obtiene, generar y utiliza la información relevante y

13 de calidad para respaldar el funcionamiento del Control Interno.

La Organización comparte internamente información, incluyendo

14 los objetivos y responsabilidades para el control interno, necesaria
para respaldar el funcionamiento del Control Interno.

La Organización comunica a terceros fuera de la organización sobre

15 aspectos que afecten al funcionamiento del Control Interno.
Actividades de Monitoreo

La Organización selecciona, desarrolla y ejecuta

16 evaluaciones continuas o separadas, con el fin de
asegurar que el control interno existe y esta funcionando.

La Organización evalúa y comunica las deficiencias de

control interno sobre una base periódica a las áreas
17 responsables de establecer acciones correctivas,
incluyendo, la gerencia superior y directores.
Beneficios del marco de referencia
actualizado
Administración y
Mejorar el Gobierno Corporativo Junta Directiva

Expande el uso más allá del reporte

financiero Agilidad

Mejorar la calidad de la evaluación

de riesgos

Fortalecer esfuerzos anti-fraude

Adaptar los controles a las Desempeño

necesidades cambiantes del
negocio

Mayor aplicabilidad sobre varios Claridad Confianza

modelos de negocio

Partes Externas Otros Usuarios

15
 MARCO DE REFERENCIA DE CONTROL
SUPERINTENDENCIA DE BANCOS DE PANAMA
ACUERDO 5-2011
 Ambiente de Control

Sistema de organización y administración que

corresponda al establecimiento de una
adecuada estructura organizativa y
administrativa que delimite claramente las
obligaciones, responsabilidades y el grado de
dependencia e interrelación existente entre las
áreas operativas y administrativas, las cuales
deben estar contenidas en el respectivo manual
de organización y funciones.
 Evaluación de los riesgos

 Deben identificarse los

objetivos organizacionales,
vinculados y coherentes.
 Luego deben identificarse y
evaluarse los riesgos
relevantes que pueden
afectar el alcanzar esos
objetivos.
 Los riesgos deben ser
administrados, atendiendo a
la existencia de un medio
interno y externo cambiante.
 Actividades de Control

Políticas, procedimientos, y controles ya

sean, preventivos, detectivos,
correctivos, manuales, informáticos,
gerenciales o directivos que se
ejecutan en todos los niveles de la
organización para el seguimiento de las
actividades desarrolladas.
Información y Comunicación
 Se debe identificar, ordenar y
comunicar en forma oportuna la
información necesaria para que los
empleados puedan cumplir con sus
obligaciones.
 La información puede ser operativa o
financiera, de origen interno o externo.
 Deben existir adecuados canales de
comunicación.
 El personal debe ser informado de la
importancia de que participe en el
esfuerzo de aplicar el control interno.
Sistema Informático

Políticas y procedimientos para la

utilización de los sistemas
informáticos que garanticen su buen
funcionamiento, disponibilidad
operativa para la continuidad del
negocio, incluyendo las medidas de
seguridad y planes de contingencia
para preservar la confidencialidad e
integridad de la información
transmitida y/o almacenada en las
bases de datos.
 Monitoreo

Es el proceso que se lleva a cabo para

verificar la calidad de desempeño del
control interno a través del tiempo. Se
realiza por medio de la supervisión
continua que realizan los jefes o
líderes de cada área o proceso como
parte habitual de su responsabilidad
frente al control interno.
Evaluaciones Independientes
• Son los procedimientos de seguimiento
permanente, así como la autoevaluación
de cada área, que proporcionan una
retroalimentación importante.
• Adicionalmente, es necesario realizar
evaluaciones que se centren directamente
sobre la efectividad del sistema de
control interno, las cuales deben ser
realizadas por personas totalmente
independientes del proceso, tales como
auditores internos o externos, como
requisito indispensable para garantizar su
imparcialidad y objetividad.
APLICACIÓN DE HERRAMIENTAS
ENCUESTAS DE CONTROL
AMBIENTE DE CONTROL

 ¿Usted ha leído el Código de Ética y entiende cuál debe ser su

comportamiento y responsabilidades dentro del Banco?
¿Considera usted que el Código de Ética cubre ampliamente los
aspectos importantes del manejo del comportamiento individual,
relaciones con clientes, accionistas, interpersonales, conflictos de
interés, etc.?
 ¿Sabe si se han establecido medidas disciplinarias necesarias
cuando hay desviaciones o violaciones del Código de Ética?
¿Existen manuales, políticas y procedimientos que describan las
funciones de los empleados que comprenda: tareas específicas,
roles, responsabilidades, etc.?
 ¿Cree Usted que, en general, los empleados de su área poseen el
conocimiento y habilidades requeridas?
EVALUACION DE RIESGOS

 ¿Existe una supervisión oportuna para cada uno de los riesgos

identificados que afectan a su área?
 ¿Los riesgos relacionados con los cambios (internos y externos) y
sus posibles implicaciones, se identifican oportunamente y se
formulan planes de acción adecuados?
 ¿Se han establecido procedimientos para identificar y evaluar los
riesgos de fraude que pudieran resultar en divulgación incorrecta de
los estados financieros?
ACTIVIDADES DE CONTROL

 ¿Existe una revisión oportuna de los procedimientos de acuerdo al

desarrollo de las operaciones?
 ¿Los manuales, políticas y procedimientos del departamento son
distribuidos al personal y aplicados por estos en el manejo de las
operaciones?
 ¿La jefatura del departamento aprueba las excepciones a las
políticas y procedimientos de forma apropiada y oportuna?
 ¿Los sistemas de información nuevos le permiten mantener un
adecuado control de las actividades de las cuales Usted es
responsable?
 ¿Existe segregación de funciones entre la negociación y
aprobación de las operaciones y su registro contable?
INFORMACION Y COMUNICACIÓN
 ¿Se han establecido, alineado y comunicado los objetivos globales
y específicos de cada área?
 ¿Cuenta la Jefatura y Supervisores del Departamento con la
información que necesitan para cumplir con sus responsabilidades y
definir los planes de acción que crean necesarios?
 ¿La información está disponible en tiempo oportuno para permitir el
control efectivo de las actividades y acontecimientos, tanto internos
como externos, posibilitando la rápida reacción ante factores
económicos y comerciales y los asuntos de control?
 ¿Se permite el anonimato como forma de comunicar posibles
irregularidades dentro del departamento?
ACTIVIDADES DE MONITOREO

 ¿Se verifica la información procesada diariamente con la

información generada (reportes) a través de los sistemas?
 ¿Los procesos y los controles internos del departamento son
evaluados oportunamente, enfocando el análisis directamente a la
eficacia del sistema?
 ¿La jefatura del departamento le informa a la Administración o
Comités de algunos tipos de deficiencias o situaciones, en especial
aquellas que representen un riesgo para la empresa?
 ¿La jefatura del departamento efectúa el seguimiento para asegurar
que se toma la acción correctiva necesaria para el fortalecimiento
de los controles internos, de acuerdo con las recomendaciones de
los auditores (externos o internos) ?
 ¿Se han implementado procedimientos para monitorear los
resultados de las operaciones contra los objetivos y resultados
esperados, por área de negocio o por producto?
RESULTADOS DE ENCUESTA
Porcentaje de Respuestas Favorables

100
95 95 95 95 95
89 87 95
80 79 84

60

40

20

0
Ambiente de Evaluación de Actividades de Información y Monitoreo
Control Riesgos Control Comunicación

Componente COSO

31
 Auto--Evaluaci
Auto Evaluación
ón
Es un proceso, a través del cual la
efectividad del control interno es
examinada y evaluada.

Su finalidad es proveer seguridad

razonable de que los objetivos de
negocio serán logrados.

Es un proceso formal documentado,

en el cual la gerencia y/o equipo de
trabajo envuelto en la función de
negocio, juzgan la efectividad del
proceso llevado a cabo y deciden si la
probabilidad de alcanzar los objetivos
de negocio son razonablemente
seguras.
 EJEMPLO DE MATRIZ BASADA EN CONTROL

Formato de Auto Evaluación de los dueños del Control

Sobre Información financiera
Proceso: G Sobre Operaciones -
Evaluación General del Proceso:
Fecha de la evaluación: ABRIL DE 2012 Sobre Leyes, Regulaciones y Politicas Internas
Impacto del proceso en la operación: US$____________ Puntaje Global -
Tipo de
Existente Control Efectividad del Objetivos de Sustentación del Riesgo Asociado al Riesgo de Control
Control Requerido SI/NO P/D M/A Control Control COSO Control control Frecuencia Impacto Dueño del Control
(Nombre de los Procesos)
1
2
3
4
5
Tenga clara las
Responsabilidades

JD / Comités
• Vigilar el proceso
• Exigir eficiencia y efectividad

Gerencia
• Mantener un marco de control
• Promover la mejora e innovación
• Proveer recursos e infraestructura

Dueños de control
• Evaluar sus procesos, objetivos, controles , riesgos
• Mantener el nivel de eficacia y efectividad requeridos
• Compromiso para implementar soluciones

Auditoría Interna
• Facilitar el proceso
• Mantener seguimiento
• Evaluar y reportar sobre planes de acción y efectividad del CSA
 PONDERACIÓN DE RESULTADOS
Según los componentes del Sistema de Control Interno - Marco de Referencia COSO
Departamento Auditoría Interna

Ponderación Riesgo del Hallazgo Ponderación

por Categoría Impacto Frecuencia por Factores
Ambiente de Control 20% 0.00
Políticas y procedimientos vigentes y existen mecanismos de actualización
Existencia de procedimiento de evaluación del desempeño de los procesos auditados
Adecuado diseño de políticas de autorización y delegación
Perfil de competencia del personal alineados con los roles asignados
Disposición y uso de recursos humanos y físicos para el desempeño de las funciones
Evaluación de Riesgo 20% 0.00
Evidencia de gestión para monitorear los riesgos
Nivel de exposición a riesgos por deficiencias y debilidades observadas
Alineación de los objetivos individuales a los objetivos estratégicos
Efectividad de la gestión de riesgos por parte de la gerencia
Disposición y uso de recursos humanos y físicos para el desempeño de las funciones
Actividades de Control 30% 0.00
Los controles claves están bien diseñados e implementados
Los controles claves son aplicados adecuadamente
Adecuada aplicación de las políticas de autorización y delegación
Apropiada segregación de funciones
Apropiados procesos de generación de reportes financieros y de gestión operacional
Información y Comunicación 10% 0.00
Adecuada divulgación de las políticas y procedimientos emitidos
Programa de adiestramiento continuo al personal
Adecuado proceso para informar al personal sobre sus responsabilidades referentes a las
funciones que ejercen.
Monitoreo 20% 0.00
Establecimiento de un programa de autoevaluación de riesgos y control
Seguimiento e implementación de las recomendaciones de Auditoría Interna, Auditores Externos y
Reguladores
Uso de la tecnología para efectuar seguimiento al desempeño de los procesos financieros y de
gestión operacional

100% 0.00
Evaluación General
De 5.77 a 8.71 = Insatisfactorio
De 3.87 a 5.76 = Requiere Mejora Riesgos del Hallazgo
De 1.00 a 3.86 = Satisfactorio Alto 3
Moderado 2
Bajo 1
 REFLEXION FINAL

LOS RETOS SON LOS QUE HACEN LA VIDA INTERESANTE;

SUPERARLOS ES LO QUE HACE QUE TENGA SENTIDO
( Joshua J. Marine).