FEDERACIN DE CONTADORES PBLICOS DE COLOMBIA FEDECOP XXIV SIMPOSIO SOBRE REVISORA FISCAL 2007 RIOHACHA GUAJIRA - COLOMBIA

EL MECI Y OTROS SISTEMAS DE CONTROL INTERNOREA 2 SECTOR SOLIDARIO Y GOBIERNOCONTROL INTERNO PBLICO Y PRIVADO (MECI-COSO)RODRIGO ESTUPIN GAITN, C.P.T. - COLOMBIA 10/12/2007

Aplicacin en Colombia de los documentos de Control y Administracin del Riesgo formulados por el COSO I y COSO II y otros modelos internacionales en el sector privado y pblico, anlisis y consideraciones.

XXIV SIMPOSIO SOBRE REVISORA FISCAL 2007 RIOHACHA, GUAJIRA - COLOMBIA 10 al 12 de Octubre 2007

REA 2 SECTOR SOLIDARIO Y GOBIERNO 2- CONTROL INTERNO PBLICO Y PRIVADO (MECI COSO)

EL MECI Y OTROS SISTEMAS DE CONTROL INTERNOINCLUYE APLICACIONES DE: -COSO I y COSO II -Marco Integrado de Control Interno para Latinoamrica MICIL -Modelo Estndar de Control Interno MECI Colombia -Gua de Administracin del Riesgo Departamento Administrativo de la Funcin Pblica - Colombia

Rodrigo Estupin Gaitn, C.P.T. - Colombia

EL MECI Y OTROS SISTEMAS DE CONTROL INTERNOINTRODUCCIN

1948- El control interno comprende el plan de organizacin, todos los mtodos coordinados ylos mtodos adoptados en el negocio para proteger los activos, verificar la exactitud y confiabilidad de sus datos contables, promover la eficiencia en las operaciones y estimular la adhesin a las prcticas ordenadas por la gerencia. y y y y Proteger los activos y salvaguardar los bienes de la Institucin. Verificar la razonabilidad y confiabilidad de los informes contables y administrativos. Promover la adhesin a las polticas administrativas establecidas Lograr el cumplimiento de las metas y objetivos programados. Elementos del control interno Personal Seleccin Capacitacin Eficiencia Moralidad Retribucin Sistemas Procedimientos y Supervisin

Organizacin

Direccin Asignacin

de responsabilidades Segregacin de deberes Coordinacin

Manuales de Interna procedimientos Externa Sistemas Autocontrol Formas Informes

La estructura anterior del Control Interno viene aplicndose en el sector privado y en el pblico con base en la Declaracin sobre las Normas de Auditora (SAS 1, por las siglas en ingls) del Instituto Americano de Contadores Pblicos (AICPA), que contiene la compilacin de las declaraciones emitidas hasta el ao 1948 hasta el 1 de enero de 1990, fecha en la cual empez a aplicarse el SAS 55, documento que introdujo algunos cambios a la estructura de control interno en cuanto al nacimiento de tres elementos bsicos como fueron el ambiente de control, el sistema contable y los procedimientos de control y su consideracin obligatoria cuando un profesional est relacionado con la ejecucin de la auditora financiera. Debido a una serie de problemas identificados en el Gobierno de los EEUU y llegando a las dificultades financieras del Sistema de Ahorro y Crdito en la dcada de los 80, la Comisin del Senado de los EUA, Treadway Comission gestion la formacin del Commitee of Sponsoring Organizations (Comit de Organizaciones Patrocinadoras), conocido por sus siglas en ingls (COSO1). Este Comit realiz una investigacin sobre el conocimiento, aplicacin y mejora de los

COSO estuvo conformado por organismos profesionales de los EEUU, inici investigacin en 1986, sus miembros son: American Accounting Association (AAA), American Institute of Certified Public Accountants

1

criterios de control interno en las grandes corporaciones, las medianas y pequeas empresas, incluyendo temas relacionados con el mejoramiento tcnico y el alcance de las funciones de diseo, implantacin y evaluacin de los controles internos integrados de las organizaciones. En septiembre de 1992 se public la versin en ingls denominado Informe COSO , el cual fue expedido bajo la asistencia tcnica permanente de la firma Coopers & Librand para la investigacin. La traduccin en espaol fue realizada por el Instituto de Auditores Internos Captulo de Espaa, publicada en 1997, del cual mostramos su principal estructura: Definicin: ...es un proceso, ejecutado por la Junta Directiva o Consejo de Administracin de una Entidad por su grupo directivo (gerencia) y por el resto de personal, diseado para proporcionarles seguridad razonable de conseguir en la Empresa las tres siguientes categoras de objetivos de (1) Efectividad y eficiencia en las operaciones; (2) Suficiencia y confiabilidad de la informacin financiera; y (3) Cumplimiento de las leyes y regulaciones aplicables Convierte los antiguos elementos de Control Interno en 5 componentes interrelacionados, que se derivan de la forma como la administracin maneja el ente econmico, y estn integrados a los procesos administrativos, como son : 1. 2. 3. 4. 5. El ambiente de control Evaluacin de riesgos Actividades de control Informacin y comunicacin ; y Supervisin, seguimiento o monitoreo

Esta nueva metodologa asegura al auditor una mayor seguridad razonable dentro del proceso de la auditora porque antiguamente el control interno no tena en cuenta los avances de la tecnologa, especialmente de la dcada del 90, cuya revolucin informtica ha sido demasiado rpida, as como el marco no dedicado solamente a la eficiencia de las personas sino tambin a la eficiencia de las operaciones y si la empresa y el auditor no estn atentos a los cambios, pueden aparecer hechos irregulares no detectados oportunamente o por el contrario se puede dedicar tiempo precioso a situaciones relativamente no importantes, mientras que aspectos relevantes no son detectados porque su enfoque era el de detectar fraudes solamente sin medir la relacin costo-beneficio, que en el diseo es fundamental. Otro de los cambios que se notan en las investigaciones sobre el control interno es el de apoyo administrativo dentro de los informes de deficiencias, inconsistencias y fallas administrativas que quedaban sin soluciones, las cuales en nuevas visitas eran detectadas las mismas sin dar la importancia, de parte de la administracin, siendo as el costo de la auditora, gasto sin reposicin. Con el enfoque formulado por el COSO como herramientas fundamentales de establecimiento, control y seguimiento se han manejado en mejor forma y ms econmicamente las organizaciones de control interno en las Empresas privadas y pblicas, utilizando componentes ms organizados y claves como son los de:

(AICPA), Financial Executive Institute (FEI), Institute of Internal Auditors (IIA) y el Institute of Management Accountants (IMA).

1) 2)

En el Ambiente de Control por : Compromiso para la competencia Comit de auditora Filosofa de la administracin y estilo de operacin Estructura organizacional Asignacin de autoridad y responsabilidad Polticas y prcticas de recursos humanos En la Valoracin de riesgos, enfocando los siguientes puntos : Objetivos globales de la entidad Objetivos a nivel de actividad Identificacin, valoracin y consecuencia de riesgos Manejo del cambio

3) Actividades de Control para asegurar la : Existencia de las polticas apropiadas y los procedimientos necesarios con respecto a cada una de las actividades del ente econmico. Identificacin de las actividades de Control para que sean usadas apropiadamente. 4) Informacin Interna y Externa : Que debe ser obtenida, identificada, capturada, procesada y reportada por el sistema de informacin basados en planes estratgicos en lazados a las estrategias generales de la empresa y logrando el apoyo de la direccin en el desarrollo de los sistemas de informacin. 5) Comunicacin, en cuanto a su efectividad, canales confiables, receptividad en las sugerencias, informacin precisa y suficiente, franqueza y efectividad en la forma de tratar a la administracin, establecer planes adecuados para que se analicen y entiendan los estndares ticos de la entidad y seguimiento oportuno y apropiado de parte de los directivos y en corto plazo, en una nueva evaluacin exclusiva a las fallas, inconsistencias o deficiencias informadas dentro del Concepto denominado Monitoreo. 6) Monitoreo o Seguimiento, ocurre en el curso normal de las operaciones, e incluye actividades de supervisin y direccin o administracin permanente y otras actividades que son tomadas para llevar a cabo obligaciones de cada empleado y obtener el mejor sistema de Control Interno, especialmente a : Evidencia de si el sistema de control interno contina funcionando por parte del ente. Corroboracin en comunicaciones externas, la informacin generada internamente. Comparacin peridica de las cantidades registradas por el sistema de informacin contable La sensibilidad frente a las recomendaciones de auditores externos o internos para fortalecerlos. Asegurar retroalimentacin a la administracin de los seminarios de entrenamiento, las sesiones de planeacin y otras reuniones para asegurar que los controles operen efectivamente. Si el personal es cuestionado peridicamente para establecer si ellos entienden y cumplen con el cdigo de conducta de la Entidad y desempean regularmente actividades crticas de control. Efectividad en las actividades de la Auditora Interna.

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

7

___________________________________

Marco Integrado de Control Interno para Latino Amrica MICILEn el ao 2000, el Proyecto Responsabilidad/Anticorrupcin en las Amricas (Proyecto AAA9, financiado por la Agencia de los EEUU para el Desarrollo Internacional (USAID) y administrado por Casals & Associates, Inc. (C&A), reconoci la necesidad de contar con un modelo que sirviera de marco de control interno para las empresas y los gobiernos de la regin de Amrica Latina. En septiembre 2004 se emite el Marco Integrado de Control Interno para Latinoamrica MICIL, el cual fue aprobado en octubre de 2003 en la reunin anual de la FLAI2 en la Paz Bolivia, las Comisiones Interamericanas de Auditora Interna y de Auditora de la AIC 3, el MICIL es un modelo basado en estndares de control interno para las pequeas, medianas y grandes empresas desarrolladas por el COSO. El MICIL incorpora los componentes y las actividades que vinculan a toda la organizacin. Las actividades de contexto constituyen las relaciones externas con otras entidades vinculadas por sus operaciones como los accionistas e inversionistas, las instituciones financieras, los organismos gubernamentales relacionados, la competencia y los potenciales usuarios importantes de bienes o servicios producidos, los cuales deben generar valor agregado integral, a su insfraestructura, a la gestin y sus procesos financieros.

Administracin de Riesgo4 como apoyo al Control Interno.

2004 - El COSO II ha desarrollado una estructura conceptual para la administracin del riesgo empresarial denominada E.R.M.5 (sigla del ingls) para el entendimiento de la formulacin y seguimiento de un proceso bsico en la administracin del riesgo como apoyo al buen gobierno corporativo y mejores medidas de control en una Organizacin.La gestin o administracin de riesgo empresarial ERM es un proceso estructurado, consistente y contino a travs de toda la organizacin para identificar, evaluar, medir y reportar amenazas y oportunidades que afectan el poder alcanzar el logro de sus objetivos, cuya definicin formulada por el COSO II fue de:

Es un proceso, efectuado por la Junta Directiva o el Consejo de Administracin, la Alta Gerencia y otro personal de un ente econmico, mediante la determinacin de una estrategia diseada para identificar los eventos potenciales que la pueden afectar y para administrar los riesgos que se encuentran dentro de la cantidad de riesgo que un ente econmico est dispuesto a aceptar en la bsqueda de valor, para as proveer seguridad razonable en relacin con el logro de sus objetivosLa definicin captura los conceptos fundamentales que son claves sobre la manera como as l compaas y otras organizaciones administran el riesgo, proveyendo una base para la aplicacin a travs de diferentes tipos de organizaciones y sectoriales. Se centra directamente en el logro de los objetivos de la entidad y la entidad provee una base p definir la efectividad de la ara administracin del riesgo empresarial

FLAI: Federacin Latinoamericana de Auditora Interna. AIC: Asociacin Interamericana de Contabilidad, en la Conferencia Interamericana de Contabilidad de San Juan, Puerto Rico en 1999 se recomend un marco latinoamericano de control similar al COSO en espaol (comisionados la FLAI y la AIC). 4 En captulos separados se tratar el tema del ERM. 5 Enterprise Risk Managament3

2

7

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

8

Las empresas con nimo o sin nimo de lucro deben propender a crear valor a sus protectores, dueos o accionistas, as como la de enfrentar y superar las incertidumbres6, desafindolas con preparacin suficiente, para poder proveer una estructura conceptual, as la gerencia trate de manera efectiva la incertidumbre que representan los riesgos y oportunidades, y as enriquecer su capacidad para generar valor7 El riesgo es la posibilidad de que un evento ocurra y afecte adversamente el cumplimiento de los objetivos, en los procesos, en el personal y en los sistemas internos generando prdidas. Los riesgos se clasifican en cuatro grandes tipos, el riesgo de reputacin, el riesgo de mercad el o, riesgo de crdito y el riesgo operacional en todas sus divisiones; como formalidad de prevencin, deteccin y mitigacin a dichos riesgos, el E.R.M. determin 8 componentes interrelacionados, los cuales muestra cmo la Alta Gerencia opera un negocio, y cmo estn integrados dentro del proceso administrativo en general, ellos son: 1. 2. 3. 4. 5. 6. 7. 8. Entorno interno Definicin de los objetivos (nuevo) Identificacin de eventos (nuevo) Valoracin del riesgo Respuesta al riesgo (nuevo) Actividades de control Informacin y comunicacin Monitoreo

EL Modelo Estndar de Control Interno MECIEl MECI fue desarrollado por la Agencia de los Estados Unidos para el desarrollo internacional y donado a Colombia. Es un modelo construido con base en estndares internacionales de calidad referenciado y revisado para aplicacin en el sector pblico por la FLAI y AIC dentro del MICIL8 que se estudia en esta ponencia. El COSO (EEUU), COCO (Canad), el CADBURY (Reino Unido) y luego revisado por el MICIL sirvi de base fundamental para establecerlo y sobretodo ajustado a entidades de gobierno de distinta ndole bajo prueba piloto adelantada en 8 departamentos, los principales cambios especficos se refieren a la adiccin en la definicin como objetivos bsicos la salvaguarda de los recursos y el haber agregado en el objetivo de confiabilidad de la informacin financiera la palabra y operativa como atributo especial de que una entidad emite diferentes clases de informaciones no solamente de estados financieros, situacin que corrigi el COSO II del famoso E.R.M. Administracin de Riesgo Empresarial. El MECI es concebido como un modelo de gestin que proporciona a los gerentes pblicos las herramientas para llevar a cabo su trabajo de manera idnea, transparente y til. El modelo comprende un resumen ejecutivo, un marco terico y el manual de implementacin.

Incertidumbres: Afectados por los factores del entorno como son la globalizacin, la tecnologa, regulaciones, reestructuraciones, mercados cambiantes y competencia, los cuales generan incertidumbres. Emana incapacidad para determinar la probabilidad de que ocurrirn eventos potenciales y sus resultados asociados. 7 Generacin de Valor.- Decisiones de la administracin generan valor o se debilitan por la definicin de las estrategias hasta la operacin diaria. El reconocimiento del riesgo y de la oportunidad por la informacin interna y externa, despliega recursos preciosos, para enderezar las actividades de riesgo frente a las circunstancias cambiantes. Generacin de valor para los stakeholders con o sin nimo lucro, entidades gubernamentales, la gerencia.8

6

Marco Integrado de Control Interno para la Amrica Latina MECIL

8

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

9

En cuanto a los componentes, el MECI efecto una organizacin a nivel macro ampliada a nivel micro con base en subsistema, componentes y elementos importantes en su clasificacin adecuando algunos especficos para el sector gubernamental bien acogidos por los que han intervenido en la revisin de dicho documento, as: Subsistema de Control Estrtegico: Compuesto de los siguientes componentes: y Ambiente de control (acuerdos, compromisos o protocolos ticos, desarrollo del talento humano, estilo de direccin) y Direccionamiento estratgico (planes y programas, modelo de operacin, estructura organizacional), y y Administracin de riesgos (contexto estratgico, identificacin de riesgos, anlisis de riesgos, valoracin de riesgos, polticas de administracin de riesgos). Subsistema de Control de Gestin: Compuesto de los siguientes componentes: y Actividades de control (Polticas de operacin, procedimientos, controles, indicadores y manual de operacin) y Informacin (Informacin primaria, secundaria y sistemas de informacin) y Comunicacin pblica (comunicacin organizativa, informativa y medios de comunicacin) Subsistema de Evaluacin de Control Compuesto de los siguientes componentes: y Autoevaluacin (autoevaluacin de control, autoevaluacin de gestin) y Evaluacin Independiente (evaluacin del sistema de control interno, evaluacin de gestin) y Planes de Mejoramiento (Institucional, funcional e individual)

Gua de Administracin del RiesgoAl formalizarse a partir de julio de 2004 el COSO II o E.R.M. Administracin de Riesgo Empresarial a raz de los grandes problemas de maquillaje de balance y fraudes empresariales a nivel mundial desde el ao 2000 y por los diferentes cambios en el mundo de mayores e indecifrales peligros, nuevas tecnologas, fuerte competencia, globalizacin de mercados y acuerdos corporativos, los organismos mundiales encomendaron a la Pricewaterhouse Coopers la elaboracin complementaria al COSO I y se formaliz en espaol bajo la orientacin del Captulo Instituto Internacional de Auditores Interno de Espaa el Marco Integrado de Gestin de Riesgos Corporativos denominado el COSO II, el cual revoluciona al sector privado y pblicoen el sentido de cambiar los enfoques estratgicos analizando en primer lugar los riesgos para efectuar planeacin de sus actividades. Como la elaboracin del MECI no inclua elementos fundamentales de administracin de riesgos, sino solo como un componente ms, muy gilmente el Departamento Administrativo de la Funcin Pblica de la Repblica de Colombia con base en el componente del MECI 1000 2005 expidi la GUIA DE ADMINISTRACIN DEL RIESGO para ser aplicada en las entidades pblicas a que les aplica del MECI como herramienta gerencial que fortalece la gestin del estado. El manual facilita la concrecin de la administracin del riesgo para que sea incorporada en la prctica gerencial pblica como una poltica de gestin y de control p parte de la alta or direccin y cuente con la participacin y respaldo de todos los servidores pblicos, su aplicacin se har a partir del 8 de diciembre del ao 2008 igual que al MECI. Su marco estructural es el siguiente: INSUMOS9

PRODUCTOS

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

10

Diagnstico estratgico para la gestin de la Entidad

SISTEMA DE CONTROL ESTRATGICO

Anlisis de los aspectos externos e internos que implican exposicin del riesgo.

Planes y programas que regulen y orienten el desarrollo de la funcin constitucional.

Componente: ADMINISTRACIN DE RIESGOS Elementos: -Contexto estratgico -Identificacin de riesgos -Anlisis de riesgos -Valoracin de riesgos -Polticas de administracin de riesgos

Reconocimiento de situaciones de riesgo o los riesgos que afectan el cumplimiento de los objetivos de la entidad. Medidas de respuesta ante los riesgos identificados.

Modelo de Operacin que garantice una gestin efectiva. Estructura Organizacional flexible y efectiva

Polticas de Administracin de riesgos identificados.

10

EL AUDITOR INTERNO EN EL CONTROL INTERNO

Con el discurrir del tiempo los problemas de control interno en las empresas pblicas y privadas, ha centrado la preocupacin del gobierno corporativo y la Alta Gerencia, as como de los profesionales responsables en implementar nuevas formas de mejorar y perfeccionar dichos controles, por cuanto el control interno es fundamental para que una empresa logre alcanzar a travs de una evaluacin de su misin y visin el logro de sus objetivos y metas trazadas, pues de lo contrario seria imposible que se puedan definir las medidas que se deben adoptar para alcanzarlos, as como para evaluar el grado de eficiencia, eficacia y cumplimiento. El rol del auditor interno Cuando se habla del rol del Auditor Interno en los procesos de Autoevaluacin de controles, se parte de la premisa que en las organizaciones ya existe determinada cultura administrativa, mediante la cual sus integrantes tienen claramente entendido lo que es el proceso de control, la importancia y beneficio de un buen sistema de control, as como de su propia responsabilidad sobre la eficiencia y eficacia del funcionamiento del proceso respectivo. Esto igualmente implica que la administracin debi haber adoptado un Modelo de Control, adecuado a las caractersticas de la organizacin, cuya implantacin fue apoyada por una amplia difusin y un programa de capacitacin para todos los involucrados en el proceso de control, a fin de propiciar un cambio en la manera de pensar o actuar del personal, hacindoles asumir el papel de "propietarios" del Control Interno, y proporcionndoles apoyo y orientacin en el cumplimiento de sus metas y objetivos. Lo anterior adicionalmente requiere que la actividad de Auditora Interna haya logrado el suficiente grado de reconocimiento en la organizacin, que le permita impulsar y liderar los procesos de Autoevaluacin de riesgos y de Autoevaluacin de Control (AEC). Dicho reconocimiento se puede alcanzar, cuando la participacin de Auditora Interna aporta de manera tangible un valor agregado, mediante su apoyo a la mejora de las operaciones y de los resultados, as como al fortalecimiento de los procesos de administracin de riesgos, control y gobierno corporativo. CONTROL INTERNO Se entiende como Control Interno, las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para proporcionar razonable confianza en que los objetivos de los negocios y metas de servicios pblicos y privados sern alcanzados y que los eventos indeseados sern prevenidos o detectados y corregidos. Ampliado su concepto inicial y con base en el COSO I defini el siguiente; el control interno es un proceso, efectuado por el Consejo de Administracin, Juntas Directivas, la Alta Gerencia y el resto del personal de una Entidad, diseado para proporcionar una razonable seguridad con miras a la realizacin de objetivos en las siguientes categoras:

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

6

y

Efectividad y eficiencia de las operaciones (objetivos bsicos de la empresa, incluyendo metas de desempeo rentabilidad y salvaguarda de recursos). Confiabilidad de la informacin financiera (la preparacin y publicacin de estados financieros dignos de confianza, incluyendo estados financieros intermedios y resumidos e informacin financiera derivada de dichos estados tales como ganancias por distribuir, reportadas pblicamente). Acatamiento de las leyes y regulaciones aplicables (cumplimiento de las leyes y regulaciones a que la empresa est sujeta).

y

y

La Importancia del Control A partir de la publicacin del informe COSO (Control Interno- Estructura Integrada) en septiembre de 1992 y en cuyo desarrollo participaron representantes de organizaciones profesionales de contadores, de ejecutivos de finanzas y de Auditores Internos, ha resurgido en forma impresionante la atencin hacia el mejoramiento del control interno y un mejor gobierno corporativo, lo, cual fue derivado de la presin pblica para un mejor manejo de los recursos pblicos o privados en cualquier tipo de organizacin, esto ante los numerosos escndalos, crisis financieras, o fraudes, durante los ltimos decenios. El Modelo COSO, tanto con la definicin de Control que propone presentada atrs, como con la estructura de Control que describe, impulsa una nueva cultura administrativa en todo tipo de organizaciones, y ha servido de plataforma para diversas definiciones y modelos de Control a nivel internacional. En esencia, todos los modelos hasta ahora conocidos, persiguen los mismos propsitos y las diferentes definiciones, aunque no son idnticas, muestran mucha similitud. Otros modelos de controles actuales Como se mencion, a partir de la divulgacin del informe COSO9 se han publicado diversos modelos de Control, as como numerosos lineamientos para un mejor gobierno corporativo; los ms conocidos, adems del COSO (USA), son los siguientes: COCO (Canad), Cadbury (Reino Unido), Vienot (Francia), Peters (Holanda) y King (Sudfrica). Los modelos COSO y COCO en nuestro continente son los de mayor aplicacin, cuyos atributos se muestran en el cuadro No.1. Los cambios fundamentales de todos los modelos establecidos despus del COSO, se encuentra sobre las personas y, en consecuencia, en cualquier parte de los sistemas, procesos, funciones o actividades y no en forma separada como tericamente se pudiera interpretar de los enunciados del proceso administrativo, que declara que la administracin organiza, planea, dirige y controla. El sealamiento de propsito del Control en cuanto a asegurar razonablemente el cumplimiento de objetivos de tipo operacional, financiero y normativo, se comprende mejor cuando se analizan los cinco componentes del modelo COSO y sus 17 factores que en conjunto forman una estructura integrada de control, ya que existe una relacin directa entre los objetivos que la organizacin persigue y los citados componentes, puesto que estos representan lo necesario para la consecucin de tales objetivos. Los componentes y factores se presentan en mayor o menor grado en cualquier rea, proceso o9

The Committee of Sponsoring Organizations of the Treadway Commission COSO

6

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

7

divisin de toda organizacin y se reconoce que los componentes con mayor influencia e importancia son los dos primeros: el Ambiente de Control y la Evaluacin de Riesgos. Estructura del control interno propuesta por el modelo COSO Identifica cinco componentes interrelacionados: 1. 2. 3. 4. 5. Ambiente de Control. Evaluacin de riesgos. Actividades de control. Informacin y comunicacin. Monitoreo.

Ambiente de Control. Establece el tono de una organizacin, influenciando en la gente la conciencia o conocimiento sentido del control. Esta es la fundamentacin para todos los otros componentes del control interno, suministrando disciplina y estructura. El ambiente de control incluye factores de integridad, valores ticos y competencia del personal de la entidad. El ambiente de control se determina en funcin de la integridad y competencia del personal de una organizacin; los valores ticos son un elemento esencial que afecta a otros componentes del control. Entre sus factores se incluye la filosofa de la administracin, la atencin y gua proporcionados por el consejo de administracin, el estilo operativo, as como la manera en que la gerencia confiere autoridad y asigna responsabilidades, organiza y desarrolla a su personal. Evaluacin de Riesgos. Cada entidad afronta una variedad de riesgos de origen interno y externo que deben ser valorados. La precondicin para la evaluacin del riesgo. Es el establecimiento de objetivos, articulados a diferentes niveles e internamente consistentes. La evaluacin de riesgos es la identificacin y anlisis de riesgos relevantes a la ejecucin de los objetivos, formando una base para determinar como deben ser manejados. Porque la economa, la industria, las regulaciones y las condiciones de operacin continuaran cambiando, son necesarios mecanismos que identifiquen y se ocupen de los riesgos especiales asociados con el cambio, la administracin debe cuantificar su magnitud, proyectar su probabilidad y sus posibles consecuencias. En la dinmica actual de los negocios, se debe prestar especial atencin a: y y y y y y y Los avances tecnolgicos. Los cambios en los ambientes operativos. Las nuevas lneas de negocios. La reestructuracin corporativa. La expansin o adquisiciones extranjeras. El personal nuevo. El rpido crecimiento.

El enfoque no se determina en el uso de una metodologa particular de evaluacin de riesgos, sino en la realizacin de la evaluacin de riesgos como una parte natural del proceso de planeacin. Actividades de Control. Son las polticas y procedimientos que ayudan a garantizar que se lleve a cabo la administracin. Ello contribuye a garantizar que las acciones necesarias sean tomadas para7

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

8

direccionar el riesgo y ejecucin de los objetivos de la entidad. Las actividades de control ocurren por toda la organizacin, a todos los niveles y en todas las funciones. Ello incluye un rango de actividades tan diversas como aprobaciones, autorizaciones, verificaciones, reconciliaciones, revisiones de desempeo de operaciones, seguridad de activos y segregacin de funciones. Las actividades de control se clasifican en: y y y y y y Controles preventivos. Controles detectivos. Controles correctivos. Controles manuales o de usuario. Controles de cmputo o de tecnologa de informacin. Controles administrativos.

Las actividades de control deben ser apropiadas para minimizar los riesgos; el personal realiza cada da una gran variedad de actividades especficas para asegurarse que la organizacin se adhiera a los planes de accin y al seguimiento de la consecucin de objetivos. Informacin y Comunicacin. La informacin pertinente debe ser identificada, capturada y comunicada en forma y estructuras de tiempo que faciliten a la gente cumplir sus responsabilidades. Los sistemas de informacin producen informacin operacional financiera y suplementaria que hacen posible controlar y manejar los negocios. Todo el personal debe recibir un claro, mensaje de la alta direccin en el sentido de que las responsabilidades del control deben ser tomadas muy seriamente. Ellos deben entender claramente el significativo comunicativo de la inmediatez de la informacin. Tambin es necesario tener una comunicacin til con el exterior como clientes, proveedores, entidades gubernamentales y accionistas. Se debe generar informacin relevante y comunicarla oportunamente, de tal manera que permita a las personas entenderla y cumplir con sus responsabilidades. Monitoreo o Supervisin. Un sistema de control interno necesita ser supervisado, o sea, implementar un proceso de evaluacin de la calidad del desempeo del sistema simultneo a su actuacin. Esto es, actividades de supervisin que se desarrollan adecuadamente con evaluacin separada o una combinacin de las dos. Los aspectos de supervisin ocurren en el transcurso de las operaciones. Los controles internos deben ser monitoreados constantemente para asegurarse que el proceso se encuentra operando como se plane y comprobar que son efectivos ante los cambios de las situaciones que les dieron origen. El alcance y la frecuencia del monitoreo dependen de los riesgos que se pretenden cubrir. Las actividades de monitoreo constante pueden ser implantadas en los propios procesos del negocio o a travs de evaluaciones separadas de la operacin, es decir, mediante auditoria interna o externa. Los controles internos se deben implementar en los procesos del negocio, sin inhibir el desarrollo del proceso operativo. Los controles que hacen que la ejecucin sea lenta, son evitados, lo cual puede ser ms daino que no tener controles, debido al falso sentido de seguridad. Los controles son efectivos cuando en los procedimientos no se les recuerda constantemente de su existencia.8

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

9

Participantes en el control y sus responsabilidades. Todo personal tiene alguna responsabilidad sobre el control. La gerencia es la responsable del sistema de control y debe asumirla, as como los directivos de la junta directiva o consejo de administracin y el comit de auditora juegan un papel importante mediante el monitoreo de que la gerencia ejercite el control, todo el personal es responsable de controlar sus propias reas, as como el auditor interno debe contribuir a la marcha efectiva del sistema de control, sin tener responsabilidad directa sobre su establecimiento y mantenimiento. Otras partes externas, como son los auditores externos, revisores fiscales, comisarios, sndicos y distintas autoridades, contribuyen al logro de los objetivos de la organizacin y proporcionan informacin til para el control interno sin ser responsables directos. Dentro de un ente econmico, las responsabilidades sobre control corresponden a: La Junta Directiva o Consejo de Administracin, quienes establecen la misin y los objetivos de la organizacin, como tambin las expectativas relativas a la integridad y los valores ticos. La Gerencia debe asegurar que exista un ambiente propicio para el control. Los Directivos Financieros apoyan la prevencin y deteccin de reportes financieros fraudulentos. El Comit de Auditora, organismo independiente, que no solo tiene el poder de cuestionar a la gerencia en relacin con el cumplimiento de sus responsabilidades, sino tambin asegurar que se tomen las medidas correctivas necesarias. El Comit de Finanzas, contribuyendo con la responsabilidad de evaluar la consistencia de los presupuestos con los planes operativos. La Auditora Interna, a travs del examen de la efectividad y adems del control interno y mediante recomendaciones sobre su mejoramiento. El rea Jurdica, llevando a cabo la revisin de los contratos y otros instrumentos legales, con el fin de salvaguardar los bienes de la empresa.

Importancia del control interno COSO. Para este modelo, el control interno es: y y y y El corazn de una organizacin La cultura, las normas sociales y ambientales que la gobiernan. Los procesos del negocio (Los mecanismos por medio de los cuales una organizacin proporciona bienes y/o servicios de valor agregado). La infraestructura, la tecnologa de la informacin, las actividades, las polticas y los procedimientos. o EL MODELO COCO10

El Modelo COCO es producto de una profunda revisin del Comit de Criterios de Control de Canad sobre el reporte COSO y cuyo propsito fue hacer el planteamiento de un Modelo ms sencillo y comprensible, ante las dificultades que en la aplicacin del COSO enfrentaron inicialmente algunas organizaciones. El resultado es un modelo conciso y dinmico encaminado aCOCO: The Criteria of Control Board, dado a conocer por el Instituto Canadiense de Contadores Certificados (CICA), documento que muestra criterios o lineamientos generales sobre control. 910

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

10

mejorar el Control, el cual describe y define al Control en forma casi idntica a como lo hace el Modelo COSO. El cambio importante que plantea el Modelo Canadiense consiste que en lugar de conceptualizar el proceso de Control como una pirmide de componentes y elementos interrelacionados, proporciona un marco de referencia a travs de 20 criterios generales, que el personal en toda la organizacin puede usar para disear, desarrollar, modificar o evaluar el Control. El llamado ciclo de entendimiento bsico del Control, como se representa en el Modelo, consta de cuatro etapas que contienen los 20 criterios generales, conformando un ciclo lgico de acciones a ejecutar para asegurar el cumplimiento de los objetivos de la organizacin. Un Auditor acostumbrado a la tradicional evaluacin del Control Interno, enfrenta un gran desafo al tener que realizar de acuerdo a dichos Modelos, un trabajo ms complejo y de mayor alcance a travs de la evaluacin de los cinco componentes o los 20 criterios. Esto debido a que diversos factores o criterios segn el caso, corresponden a aspectos intangibles o "informales" desde el punto de vista de su documentacin, percepcin o funcionamiento, tales como integridad y valores ticos, filosofa de la organizacin, estilo de mando, medicin de los riesgos, etc.; as como el tener que evaluar las tres categoras de objetivos (y no solamente el financiero) para opinar sobre la suficiencia y efectividad del sistema de Control. Propsitos del modelo COCO El modelo busca proporcionar un entendimiento del control y dar respuesta a las tendencias que se observan en los desarrollos siguientes: y En el impacto de la tecnologa y el recorte a las estructuras organizacionales, que han propiciado un mayor nfasis sobre el control a travs de medios informales, como la visin empresarial compartida, comunin de valores y una comunicacin ms abierta. En la creciente demanda de informar pblicamente acerca de la efectividad del control, respecto de ciertos objetivos. En el nfasis de las autoridades para establecer controles, como una forma de proteger los intereses de los accionistas. Algunas autoridades financieras han establecido procedimientos y protocolos de informacin, aplicables a las instituciones bajo su jurisdiccin.

y

y

El modelo pretende proporcionar bases consistentes para dichos requerimientos reguladores, de tal manera que permitan a las autoridades cumplir sus objetivos, sin que con ello se establezcan requerimientos excesivos que pudieran atentar contra la eficiencia de la gestin. El propsito del modelo es desarrollar orientaciones o guas generales para el diseo, evaluacin y reportes sobre los sistemas de control dentro de las organizaciones, incluyendo asuntos gubernamentales en el sector pblico y privado. Criterios del modelo COCO

10

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

11

En la estructura del modelo, los criterios son elementos bsicos para entender y, en su caso, aplicar el sistema de control que se comenta. Se requieren adecuados anlisis y comparaciones para interpretar los criterios en el contexto de una organizacin en particular, y para una evaluacin efectiva de los controles implantados. El modelo COCO prev 20 criterios agrupados en cuanto al: y y Propsito. Compromiso. y y Aptitud. Evaluacin y Aprendizaje.

Propsito a) Los objetivo deben ser comunicados, b) Se deben identificar los riesgos internos y externos que afecten el logro de objetivos, c) Las polticas para apoyar el logro de objetivos deben ser comunicadas y practicadas, para que el personal identifique el alcance de su libertad de actuacin, d) Se deben establecer planes para guiar los esfuerzos, e) Los objetivos y planes deben incluir metas, parmetros e indicadores de medicin del desempeo. Compromiso a) Se deben establecer y comunicar los valores ticos de la organizacin. b) Las polticas y prcticas sobre recursos humanos deben ser consistentes con los valores ticos de la organizacin, c) Las polticas y prcticas sobre recursos materiales y financieros deben ser definidos con el logro de sus objetivos, d) La autoridad y responsabilidad, deben ser deben claramente definidos y consistentes con los objetivos de la organizacin, para que las decisiones se tomen por el personal apropiado; e) Se debe fomentar una atmsfera de confianza para apoyar el flujo de la informacin. Aptitud a) El personal debe tener los conocimientos, habilidades y herramientas necesarios para el logro de objetivos. b) El proceso de comunicacin debe apoyar los valores de la organizacin. c) Se debe identificar y comunicar informacin suficiente y relevante para el logro de objetivos. d) Las decisiones y acciones de las diferentes partes de una organizacin deben ser coordinadas. e) Las actividades de control deben ser diseadas como una parte integral de la organizacin. Evaluacin y aprendizaje a) Se debe monitorear el ambiente interno y externo para identificar informacin que oriente hacia la reevaluacin de objetivos. b) El desempeo debe ser evaluado contra metas e indicadores. c) Las premisas consideradas para el logro de objetivos deben ser revisadas peridicamente.

11

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

12

d) Los sistemas de informacin deben ser evaluados nuevamente en la medida en que cambien los objetivos y se precisen deficiencias en la informacin. e) Debe comprobarse el cumplimiento de los procedimientos modificados. Se debe evaluar peridicamente el sistema de control e informar de los resultados. Participacin del personal Las guas sobre control establecen criterios para un efectivo control en una organizacin. Un control efectivo puede apoyar el xito de una organizacin en diferentes formas: a) Al personal, al desarrollar sus funciones puede ejercitar su juicio y creatividad, b) Administra o controla los riesgos de que ocurran acciones indebidas. c) El personal tiene la flexibilidad de impulsar cambios en la organizacin o gestin, al tener un adecuado conocimiento de los riesgos. d) El personal posee informacin confiable y est en aptitud de usarla al momento oportuno y al ms adecuado nivel en la organizacin. e) La organizacin puede lograr mejoras en la efectividad y eficiencia y obtener mayor confianza por parte de terceros interesados. Lineamientos: Las organizaciones que pretendan aplicar los lineamientos de COCO, debern tener un claro conocimiento y consideracin de los cinco componentes que conforman el Marco Integrado de Control Interno publicado por COSO. Estos factores son iguales al modelo americano COSO, pero con una propuesta diferente en la manera de la aplicacin prctica. Se parte de la idea de que la unidad ms pequea en una organizacin es la persona, tomada individualmente. Una persona ejecuta una tarea guiada por el entendimiento de: y y y y Su propsito (objetivo). El apoyo en su capacidad o aptitud para alcanzarlo (informacin, herramientas y habilidades). El sentido de compromiso e involucramiento para realizar debida y oportunamente su tarea. Que la misma persona deba vigilar y evaluar su desempeo.

Es importante reiterar que la misma persona deber vigilar y evaluar su desempeo, al igual que su entorno, para aprender de la experiencia y poder ejecutar mejor su tarea, as como para introducir los cambios necesarios. En este sentido, si se desea aplicar este modelo en una organizacin, la unidad a considerar puede ser toda la entidad, una agencia o dependencia de la misma, o sub unidades como pueden ser divisiones o departamentos. Estructura del control interno propuesta por el modelo COCO

12

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

13

El control comprende los elementos de una organizacin que tomados en conjunto, apoyan al personal en el logro de sus objetivos organizacionales, los cuales se ubican en las categoras generales siguientes: Efectividad y eficiencia de las operaciones. Incluye objetivos relacionados con metas de la organizacin. Servicios al cliente. Salvaguarda y uso eficiente de recursos. Cumplimiento de obligaciones sociales. Proteccin de recursos contra prdida o uso indebido. Confiabilidad de los reportes internos y externos. Adecuado mantenimiento de registros contables. Informacin confiable para uso de la organizacin y la publicada para informacin de terceros. Proteccin de los registros contra accesos indebidos. Cumplimiento de leyes, disposiciones y polticas internas. En esta definicin del control se entiende que el mismo conlleva la responsabilidad de identificar y reducir los riesgos, con mayor nfasis en aquellos que pudieran afectar la viabilidad y xito de la organizacin, tales como: y y y Deficiente capacidad para identificar y explotar oportunidades. Deficiente capacidad para responder a riesgos inesperados. Ausencia de informacin definitiva e indicadores confiables para toma de decisiones.

La estructura del modelo canadiense requiere de creatividad para su interpretacin y aplicacin y es adaptable a cualquier organizacin una vez que se adecua a las necesidades de sus propios intereses, o usarla de referencia para desarrollar un modelo propio. Modelo de evaluacin de riesgos Todas las organizaciones enfrentan riesgos. Los riesgos afectan la posibilidad de la organizacin de competir para mantener su poder financiero y la calidad de sus productos o servicios. Los riesgos de negocio determinados por la alta direccin incluyen aspectos tales como: y y y y y Clima de tica y presin a la direccin para el logro de objetivos. Competencia, aptitud e integridad del personal. Tamao del activo, liquidez o volumen de transacciones. Condiciones econmicas del pas. Complejidad y volatilidad de las transacciones. y y y y Impacto en reglamentos gubernamentales. Procesos y sistemas de informacin automatizados. Dispersin geogrfica de las operaciones. Cambios organizacionales, operacionales, tecnolgicos y econmicos.

Los riesgos identificados por la alta direccin estn directamente relacionados con los procesos crticos en los que se involucran a diversas reas de la organizacin. La funcin de la auditora

13

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

14

interna es identificar los riesgos y asignar prioridades de revisin a las actividades con probabilidad de riesgo mayor. Consideraciones Los aspectos a considerar en el establecimiento de prioridades en la planeacin de auditora, en adicin a la identificacin de riesgos, son los siguientes: y Fecha y resultados de la ltima auditora. y Exposicin financiera en trminos de riesgo. y Riesgos y prdidas potenciales. y Requerimientos de la gerencia. y Cambios importantes en operaciones, programas, sistemas y controles. y Oportunidades para lograr beneficios operativos. y Cambios en el equipo y capacidad del departamento de auditora.

Para la aplicacin de este modelo es necesario incursionar de manera detallada a los criterios seguidos en la ponderacin de la importancia de las diversas operaciones de la Institucin y a la eficacia de los controles relativos; para la consecucin de este propsito es necesario guiarse por los elementos del control interno, para estos efectos se pueden adoptar los propuestos en el marco de control interno del Modelo COCO. b. Aplicacin en el marco integrado del control interno. El modelo de evaluacin de riesgos est basado en el marco de control interno de COCO que considera cinco objetivos del control interno y cinco componentes: Objetivos: y y Eficiencia en el costo. Eficacia de las operaciones Confiabilidad de la informacin. y y Cumplimiento con la normatividad. Salvaguarda de activos.

y

Componentes: 1. Ambiente de control. 2. Evaluacin del control

14

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

15

3. Actividades de control 4. Informacin y comunicacin 5. Monitoreo o Supervisin. Utilizando el modelo de evaluacin de riesgos a nivel de subfunciones, es necesario determinar lo siguiente: 1. La importancia de cada subfuncin de la organizacin, frente a los cinco objetivos del control. 2. Se asigna un valor matemtico de 1 al menos importante y de 4 al ms crtico. La asignacin de estos valores es subjetiva. 3. Se estima la eficacia de los controles internos dentro de cada uno de los cinco componentes.

Los valores asignados se ponderan por cada uno de los componentes y representan el riesgo residual posterior a la operacin de los controles. En este sentido un valor menor refleja mas confianza en el funcionamiento efectivo del control.

15

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

16

En la estructura de los modelos COSO y COCO se definen los componentes que estructuran el marco integrado de control, en ellos se involucra al personal en todos los niveles jerrquicos de la organizacin y a todas las actividades del negocio, desde las polticas y metas de la alta direccin, hasta los sistemas, procedimientos y actividades a establecer para evaluar los controles que apoyan el logro de los objetivos que les han sido encomendados. MARCO INTEGRADO DE CONTROL INTERNO PARA LATINOAMRICA MICIL

MODELOS DE ONTROLATRI TO

COBITDirecci , s arios, Auditores i ter os Co junto de rocesos Incluyendo rcticas Procedimientos, olticas estructuras organizacionales

SACAuditores i ter os Conjunto de rocesos Subsistemas y gente

COSODirecci

COCODirecci

Componentes o dominios

Dominios: Planeamiento, Organizacin, Adquisicin,e implantacin Entrega, soporte y monitoreo

FOCO EFECTIVIDAD DEL CONTROL RESPONSABILIDAD POR LOS SISTEMAS DE CONTROL INTERNO

Tecnologa Informatica Por un perodo de tiempo Direccin

Tecnologa Informatica

Toda la Organizacin

Por un perodo de tiempoUn momento dado Un momento dado Direccin Direccin Direccin

El MICIL acepta la definicin11 del COSO I mostrada arriba agregando dentro de los objetivos el correspondiente a salvaguarda de los recursos de la entidad y agregarse en cuanto a la de fiabilidad de la informacin financiera la palabra y operativa.11

El control interno se define como un proceso, efectuado por el consejo de administracin, la direccin y el resto de personal de una entidad, diseado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecucin de objetivos dentro de las siguientes categoras: Eficacia y eficiencia de las operaciones Fiabilidad de la informacin financiera Salvaguarda de los recursos de la entidad, y, Cumplimiento de las leyes y normas aplicables.

16

OBJETIVOS ORGANIZACIONALES DEL CONTROL INTERNO

Operacione efectivas Operaciones efectivas eficientes eficientes Confiabilidad e integridad Informes financieros Disponibilidad de informacin Confiables Informes financieros confiables Cumplimiento de las Cumplimiento de leyes y regulaciones Leyes y regulaciones

Operacione efectivas Operacione efectivas eficientes eficientes Informes financieros Informes financieros Confiables Confiables Cumplimiento de las Cumplimiento de las Leyes y regulaciones Leyes y regulaciones Componentes: Componentes: Criterios: Ambiente de control Ambiente de control Propsito Manual y AutomatizadoGestin de Riesgos Compromiso Procedimientos de control Actividades de control Capacidad de sistemas Informacin Vigilancia Monitoreo Aprendizaje Toda la Organizacin

CONTROL VISTO COMO

Conjunto De rocesos

Conjunto De rocesos

AUDIENCIA PRIMARIA

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

17

Incluye como el COSO I, cinco componentes, como requisitos bsicos para el diseo y funcionamiento del MICIL de una organizacin o de una actividad importante y son: 1. 2. 3. 4. 5. Ambiente de control y trabajo institucional. Evaluacin de riesgos Actividades de control Informacin y comunicacin, y, Supervisin.

El primer componente incluye la palabra trabajo como complemento a la importancia de la influencia del recurso humano y resaltado como elemento fundamental inicial la de Integridad y Valores y la tica para el funcionamiento de la organizacin debido a la fortaleza que tienen para la organizacin y del personal que la conforma. Sobre el se soportan los otros cuatro componentes que se asientan sobre l, llegando hasta el final y asegurando su funcionamiento en todos los niveles de la organizacin. El componente informacin y comunicacin es el ms dinmico y permite su interrelacin desde el primer componente hasta el de la supervisin, mediante los reportes procesados para los diferentes niveles y en varias instancias. Factores del Entorno o ambiente de control y trabajo institucional: y Integridad y valores ticos y Estructura Organizativa y Autoridad asignada y Responsabilidad asumida y Administracin de los Recursos Humanos. y Competencia Profesional y Evaluacin del Desempeo Individual. y Filosofa y Estilo de la Direccin. y Consejo de Administracin y Comits. y Rendicin de cuentas y Transparencia Comparados con el COSO tienen algunas variaciones dirigida a enfoques de las entidades de gobierno como la evaluacin del desempeo individual, la adicin de los Comits y la rendicin de cuentas y transparencia. Factores fundamentales del componente evaluacin de riesgos: 1. Objetivos de las organizaciones y Objetivos generales (los que incluye la definicin de Control Interno) Informacin financiera y operativa incluye las siguientes aseveraciones: Existencia o efectividad Totalidad o integridad Derechos y obligaciones Valoracin o asignacin Presentacin y desglose. Salvaguarda de los recursos de la organizacin ( adquisicin, contratacin, integracin, registro, custodia, utilizacin, manejo, evaluacin y control de los recursos humanos, materiales, financieros y tecnolgicos) Objetivos de cumplimiento legal (cumplimiento de normas legales en todos los niveles, reglamentarias y contractuales referidas a las operaciones (seguridad, higiene y otros), financieros y salvaguarda de recursos (identificacin de vehculos, codificacin de bienes). y Objetivos estratgicos(con las operaciones y su objeto social)17

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

18

y

Objetivos especficos (apoyan la consecucin del objetivo primario)

2. Riesgos potenciales para la organizacin. y Identificacin de riesgos externos e internos y Anlisis de los riesgos Estimar la importancia del riesgo (alto, medio, bajo), Evaluar la probabilidad (frecuencia) de que el riesgo se materaliece, se produzca o se presente. Anlisis de la situacin y establecer la manera como se gestionar el riesgo y determinar las medidas que se podran adoptar. y Gestiones dirigidas al cambio (a corto plazo e indicios de alerta temprana) Cambios en el entorno operacional Nuevo personal Sistemas de informacin nuevos o modernizados Rpido crecimiento de la organizacin. Tecnologas modernas. Nuevos servicios y actividades. Reestructuraciones internas. Actividades en el extranjero. Actividades de control para minimizar los riesgos(polticas y procedimientos que tienden a asegurar que se cumplen las directrices de la direccin) y En las reas de operacin que generan valor agregado a las organizaciones como la preparacin de informes operativos sobre la prestacin de servicios o la produccin de bienes. Varias actividades, aplicacin de indicadores de rendimiento Los controles en las operaciones pueden contribuir a la confiabilidad de la informacin financiera, a la salvaguarda de los recursos institucionales y al cumplimiento de las disposiciones aplicables. Actividades de control que son aplicadas por el personal en todos los niveles; o Repeticin de las acciones aplicadas durante el procesamiento de las operaciones para validar los datos y los controles aplicados. o Validacin mediante la autorizacin, comparacin y verificacin de la operacin y la legalidad de la transaccin. o Aseguramiento mediante la aplicacin de los controles establecidos para reducir los riesgos y los errores en la ejecucin de las actividades. o Especializacin funcional insertada en la estructura de la organizacin como la separacin de funciones, la supervisin de procesos, las evaluaciones ejecutadas por la Auditora Interna y otras.

y y

y

Factores aplicables a las actividades de control aplicables al marco integrado de control interno institucional: 1) 2) 3) 4) 5) 6)18

Anlisis de la direccin Proceso de la informacin Indicadores de rendimiento Disposiciones legales puntuales Criterios tcnicos de control interno Estndares especficos

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

19

7) Informacin generada 8) Rendimientos esperados 9) Otros criterios de control. Informacin y comunicacin para fomenter la transparencia: Es necesario identificar, recoger y comunicar la informacin relevante en la forma y en el plazo que permita a cada funcionario y empleado asumir sus responsabilidades. Los sistemas de informacin generan informes, recogen informacin operacional (actividades que generan valor agregado), financiera (E.F. bsicos o intermedios) y de cumplimiento (impuestos y otros). La comunicacin debe ser eficaz y la circulacin de la informacin formal o informal en varias direcciones (circulares informativas y reglamentarias) Factores que conforman el componente de informacin y comunicacin: 1) 2) 3) 4) 5) Informacin en todos los niveles Datos fundamentales en los estados financieros. Herramienta para la supervisin. Informacin adicional y detallada. Comunicacin de los objetivos de la organizacin (interna o externa)

Supervisin interna continua y externa peridica: Permite evaluar si se continua funcionando de manera adecuada o es necesario introducir cambios. El proceso de supervisin comprende la evaluacin, por los niveles adecuados, sobre el diseo, funcionamiento y manera como se adoptan las medidas para actualizarlo o corregirlo; se aplica a todas las actividades importantes de la entidad (clasificadas en las que generan valor agregado, de infraestructura, de gestin y los procesos financieros) incluso en el caso de servicios externos contratados. Factores que se concretan en el componente de la supervisin: 1) Monitoreo continuo por la administracin. 2) Seguimiento interno. 3) Evaluaciones externas. Limitaciones, responsabilidades y los controles suaves A. Limitaciones para el diseo y aplicacin del MICIL a. Juicio individual del personal b. Funcionamiento errado de los controles c. Omisin de los controles por la direccin. d. Colusin del personal e. Relacin del costo del control comparada con los beneficios. B. Responsabilidad por el diseo y aplicacin del MICIL C. Qu son los controles suaves? (no estn por escrito, puede salir de una reunin) D. Cmo aplicar y evaluar los controles suaves? (formalizarlos en manuales de procedimientos y formularios) E. Qu normar y evaluar? (la integridad y los valores ticos, estructura organizativa, la autoridad asignada y las responsabilidades asumidas, la administracin del principal recurso de las organizaciones, su personal, la competencia profesional del personal, la filosofa de la direccin y el estilo de gestin, la junta directiva, la rendicin de cuentas)19

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

20

Modelo genrico empresa y clasificacin de las Actividades de una Organizacin: A. Clasificacin de las actividades realizadas por las organizaciones, su objeto social principal (pblicas o privadas). B. Las actividades del contexto( propietarios, accionistas, inversionistas e instituciones financieras, organismos pblicos relacionados, terceros en general, colaboradores, fuentes de consumo relevantes (clientes actuales o futuros), competidores) C. Actividades que generan valor agregado (recepcin de mercancas, operaciones, expedicin de facturas, mercadeo y ventas, servicio al cliente o usuario) D. Actividades de infraestructura (recursos humanos, desarrollo de tecnologa, aprovisionamientos) E. Actividades de gestin (gestin de la empresa y administracin de riesgos, relaciones externas, suministros de servicios administrativos, gestin de asuntos legales, tecnologa de la informacin, planificacin). F. Actividades sobre los procesos financieros (cuentas por pagar, cuentas por cobrar, tesorera, activos fijos y materiales, anlisis y conciliaciones, nminas, obligaciones fiscales, valoracin de costos de los productos o los servicios, informes financieros y de gestin). G. El marco genrico de la organizacin como herramienta para disear el MICIL.

N 1 2 3 4 5 6 7 8

DESCRIPCION - COSO IAMBIENTE DE CONTROL

DESCRIPCIN DEL "MICIL"AMBIENTE DE CONTROL Y TRABAJO INSTITUCIONAL

Las actividades del C.Admn o J.D. y el Comit de Auditora La mentalidad y estilo de operacin de la gerencia La integridad y los valores ticos El compromiso a ser competente La estructura de la organizacin

Consejo de Administracin y Comits Filosofa y estilo de operacin Integridad y valores ticos Competencia profesional y evaluacin del desempeo individual Estructura organizativa Autoridad asignada y responsabilidad asumida Administracin de recursos humanos Rendicin de cuentas y transparencia

9 La asignacin de autoridad y responsabilidades 10 Las polticas y prcticas de recursos humanos 11 12 13 14 15 16 17 18 19 20

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

21

20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39

EVALUACIN DE RIESGOS

Anlisis de riesgos y su proceso Manejo de cambios Objetivos de cumplimiento Objetivos de Operacin Objetivos de Informacin

EVALUACIN DE RIESGOS Objetivos estratgicos Objetivos especficos Anlisis de los riesgos Gestiones dirigidas al cambio Objetivos de cumplimiento legal Objetivos de Operacin Objetivos de informacin y operativas Identificacin de riesgos internos y externos Salvaguarda de los recursos

ACTIVIDADES DE CONTROL

ACTIVIDADES DE CONTROL Anlisis de la direccin

Detectivos, preventivos y correctivos Polticas, sistemas y procedimientos

Proceso de la informacin. Indicadores de rendimiento, disposiciones legales puntuales, criterios tcnicos de control interno, estndares especficos, informacin generada y rendimientos 40 esperados) Repeticin de las acciones para validar datos y los controles aplicados, Aprobacin, autorizacin, verificacin, conciliacin, validacin mediante autorizacin, inspeccin, indicadores de rendimiento, salvaguarda comparacin, verificacin y legalidad, de recursos, segregacin de funciones, supervisin y aseguramiento para reducir riesgos, entrenamiento adecuado separacin de funciones, supervisin de procesos, evaluaciones de auditora 41 interna. INFORMACIN Y COMUNICACIN INFORMACIN Y COMUNICACIN 42 43 44 Controles generales en los sistemas de informacin Controles de aplicacin hacia el interior de la organizacin Sistemas de informacin (general, iniciativas estratgicas, en lnea interna y externa, de informacin comercial, sistemas de manufactura, contables, nmina y otros. Comunicacin formal Comunicacin informal Canales de comunicacin abiertos SUPERVISIN O MONITOREO Comunicacin de los objetivos de la organizacin (interna y externa) Herramienta para la supervisin, datos fundamentales en los estados financieros. Informacin en todos los niveles Informacin adicional y detallada SUPERVISIN O MONITOREO

45 46 47 48 49

21

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

22

50

Supervisin sistemtica de los componentes Ongoing (autocontrol, auditora interna, externa, comits de J.D. o de gerencia, sistema de informacin gerencial por anlisis y seguimiento.

Monitoreo continuo por la administracin Evaluaciones externas Informes de control interno

51 Evaluaciones independientes Informes de las deficiencias, excepciones o 52 inconsistencias.

MODELO MECI (Mdelo Estndar de Control Interno12)El modelo Estndar de Control Interno para Entidades del Estado, nace bajo los principios constitucionales y del artculo 1 de la Ley 87 de 199313, identificados por el mismo Gobierno en la siguiente forma: Autocontrol: Es la capacidad que ostenta cada servidor pblico para controlar su trabajo, detectar desviaciones y efectuar correctivos para el adecuado cumplimiento de los resultados que se esperan en el ejercicio de su funcin, de tal manera que la ejecucin de los procesos, actividades y/o tareas bajo su responsabilidad, se desarrollen con fundamento en los principios establecidos en la Constitucin Poltica. Autorregulacin: Es la capacidad institucional para aplicar de manera participativa al interior de las entidades, los mtodos y procedimientos establecidos en la normatividad que permitan el desarrollo e implementacin del Sistema de Control Interno bajo un entorno de integridad, eficiencia y transparencia en la actuacin pblica. Autogestin: Es la capacidad institucional de toda entidad pblica para interpretar, coordinar, aplicar y evaluar de manera efectiva, eficiente y eficaz la funcin administrativa que le ha sido asignada por la Constitucin, la Ley y sus Reglamentos.

Compatibilidad con otros sistemas de gestin: El sistema de control interno debe entenderse como una herramienta que comparte algunos elementos con otros sistemas y en especial con el Sistema de Gestin de la Calidad y Desarrollo Administrativo14, por lo que debe tenerse cuidado al momento de su implantacin del MECI en la identificacin de elementos comunes15 para evitar la duplicacin de esfuerzos.Decreto 1599 del 20 de mayo de 2005, formaliz el MECI 1000-2005 Definicin del control interno: Se entiende por control interno el sistema integrado por el Esquema de Organizacin y el Conjunto de los Planes, Mtodos, Principios, Normas, Procedimientos y Mecanismos de Verificacin y Evaluacin adoptados por una entidad, con el fin de procurar que todas las actividades, operaciones y actuaciones, as como la administracin de la informacin y los recursos, se realicen de acuerdo con las normas constitucionales y legales vigentes dentro de las polticas trazadas por la direccin y en atencin a las metas u objetivos previstos. (..) 14 Segn la Ley 872 de 2003 se crea el Sistema de Gestin de la Calidad en la Rama Ejecutiva del Poder Pblico y otras entidades prestadoras de servicios, como una herramienta de gestin sistemtica y transparente que permita evaluar el desempeo institucional en trminos de calidad y satisfaccin social en la prestacin de servicios a cargo de entidades y agentes obligados, la cual empieza a regir el 8 de diciembre del ao 2008. 15 En el anexo A del MECI 1000-2005 se incluye una tabla que compara los elementos del MECI y la NTCGP 1000-2004 o Sistema de Gestin de la Calidad.13 12

22

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

23

Objetivos Especficos: Para establecer las acciones, las polticas, los mtodos, procedimientos y mecanismos de prevencin, control y evaluacin y de mejoramiento continuo de la Entidad Pblica, se han identificado los objetivos especficos de control de cumplimiento, control estratgico, control de ejecucin, control de evaluacin y control de informacin. Control de Cumplimiento: a. Establecer las acciones que permitan a la Entidad garantizar el cumplimiento de las funciones a su cargo, con base en el marco legal que le es aplicable. b. Determinar el marco legal que le es aplicable a la Entidad, con base en el principio de autorregulacin. c. Disear los procedimientos de verificacin y evaluacin que garanticen el cumplimiento del marco legal aplicable. Control Estratgico: a. Crear conciencia en todos los Servidores Pblicos sobre la importancia del control, mediante la generacin y mantenimiento de un entorno favorable que permita la aplicacin de los principios del Modelo Estandar de Control Interno. b. Establecer los procedimientos que permitan el diseo y desarrollo organizacional de la Entidad de acuerdo con su naturaleza, caractersticas y propsitos que le son inherentes. c. Disear los procedimientos necesarios, que permitan a la Entidad Pblica cumplir la misin para la cual fue creada y proteger los recursos que se encuentran bajo su custodia, buscando administrar en forma diligente los posibles riesgos que se puedan generar. Control de Ejecucin: a. Determinar los procedimientos de prevencin, deteccin y correccin que permitan mantener las funciones, operaciones y actividades institucionales en armona con los principios de eficacia, eficiencia y economa. b. Velar porque todas las actividades y recursos de la Entidad estn dirigidos hacia el cumplimiento de su misin. c. Establecer los procedimientos, que garanticen la generacin y registro de informacin oportuna y confiable necesaria para la toma de decisiones, el cumplimiento de la Misin y la Rendicin de Cuentas a la comunidad. d. Disear los procedimientos que permitan llevar a cabo una efectiva comunicacin interna y externa a fin de dar a conocer la informacin que genera la Entidad Pblica de manera transparente, oportuna y veraz, garantizando que su operacin se ejecute adecuada y convenientemente. Control de Evaluacin: a. Garantizar la existencia de mecanismos y procedimientos que permitan en tiempo real, realizar seguimiento a la gestin de la Entidad por parte de los diferentes niveles de autoridad, permitiendo acciones oportunas de correccin y de mejoramiento. b. Establecer los procedimientos de verificacin y evaluacin permanentes del Control Interno.

23

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

24

c. Garantizar la existencia de la funcin de Evaluacin Independiente de las Oficinas de Control Interno, Auditora Internas o quien haga sus veces sobre la Entidad Pblica, como mecanismo de verificacin a la efectividad del Control Interno. d. Propiciar el mejoramiento continuo del Control y de la Gestin de la Entidad, as como de su capacidad para responder efectivamente a los diferentes grupos de inters. e. Establecer los procedimientos que permiten integrar las observaciones de los rganos de Control Fiscal, a los planes de mejoramiento establecidos por la Entidad. Control de Informacin: a. Establecer los procedimientos necesarios para garantizar la generacin de informacin veraz y oportuna. b. Establecer los procedimientos que permitan la generacin de la informacin que por mandato legal, le corresponde suministrar a la Entidad a los rganos de Control Externo. c. Garantizar la publicidad de la informacin que se genere al interior de la Entidad. d. Garantizar el suministro de informacin veraz y oportuna para el proceso de Rendicin de Cuentas Pblicas. Estructura de Control: Con base en los art. 3 y 4 de la Ley 87 de 1003, el Modelo Estandar de Control Interno se encuentra compuesto por una serie de Subsistemas, Componentes y Elementos de Control, segn se muestra en el cuadro No.3:MODELO DE CONTROL INTERNO PARA ENTIDADES DEL ESTADO SUBSISTEMA

COMPONENTES Ambiente de Control (concienciade control, planificacin, gestin de operaciones)

Control Estratgico(Permiten el cumplimiento de la orientacin estratgica y organizacional de la Entidad Pblica)

Direccionamiento Estratgico (hacia elcumplimiento de su Misin, el alcance de la Visin para el cumplimiento de sus objetivos globales)

ELEMENTOS -Acuerdos, compromisos o protocolos ticos. -Desarrollo del talento humano. -Estilo de direccin -Planes y Programas -Modelo de Operacin -Estructura Organizacional

Administracin de riesgos (Evalaeventos negativos internos y externos y los eventos positivos para identificar oportunidades)

-Contexto Estratgico -Identificacin de riesgos -Anlisis de riesgos. -Valoracin de riesgos. -Polticas de administracin de riesgos. -Polticas de Operacin -Procedimientos -Controles -Indicadores -Manual de operacin

Actividades de control (Ejecucin de lafuncin, planes y programas, haciendo efectivas las acciones necesarias al manejo de los riesgos y orientando la operacin hacia la consecucin de sus resultados, metas y objetivos)

24

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

25

Control de gestin(Aseguran el control a la ejecucin de los procesos, orientando la consecucin de resultados, metas y objetivos)

Informacin (datos ordenados y procesados. Garantiza la base de la transparencia de la actuacin pblica, la rendicin de cuentas a la comunidad y el cumplimiento de obligaciones de informacin) Comunicacin pblica (construccinde visin compartida, y el perfeccionamiento de las relaciones humanas con grupos de inters internos y externos)

-Informacin primaria -Informacin secundaria -Sistemas de Informacin.

-Comunicacin organizativa -Comunicacin Informativa -Medios de comunicacin.

Autoevaluacin(Medicin de la efectividad de los controles en los procesos y los resultados en tiempo real, verificando su capacidad para cumplir las metas y resultados a su cargo y tomar medidas correctivas)

-Autoevaluacin de control. -Autoevaluacin de gestin.

Evaluacin de control(Valoracin de la eficiencia, eficacia y efectividad de los procesos; el nivel de ejecucin de los planes y programas, los resultados de la gestin, detectar desviaciones, establecer tendencias y generar recomendaciones)

Evaluacin Independiente(caractersticas de independencia, neutralidad y la objetividad, bajo planes y programas)

-Evaluacin del sistema de control interno. -Evaluacin a la gestin.

Planes de Mejoramiento(Acciones para corregir desviaciones en el control y en la gestin resultantes de otros componentes)

-Institucional -Funcional -Individual

El Modelo Estndar de Control Interno (MECI) que se establece para las entidades del Estado proporciona una estructura para el control a la estrategia, la gestin y la evaluacin en las entidades del estado, cuyo propsito es orientarlos hacia el cumplimiento de sus objetivos institucionales y la contribucin de estos a los fines esenciales del Estado, bajo ese modelo las Entidades del Estado obligadas puedan mejorar su desempeo institucional mediante el fortalecimiento del control y de los procesos de evaluacin que deben llevar a cabo las Oficinas de Control Interno, Unidades de Auditora Interna o quien haga sus veces. La importancia que se le ha dado al MECI es en cuanto 1) que es un modelo de control dinmico y moderno16; 2) que es un modelo de gestin que proporciona a los gerentes pblicos las herramientas para llevar a cabo su trabajo de manera idnea, transparente y gil.

El MECI es basado en estndares internacionales de calidad aplicados y aprobados en entidades gubernamentales de EEUU y Europa en el sistema COSO, COCO (controles de criterio), GAO (oficina de contabilidad gubernamental) entre otros, desarrollado por la firma Casals y Asociados) 25

16

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

26

El modelo MECI busca estandarizar, a nivel de todas las entidades del Estado, los procesos y procedimientos, que sirva de parmetro comn y que permitan el fortalecimiento del Sistema de Control Interno en las organizaciones gubernamentales, Los objetivos institucionales del MECI se definieron con el propsito de: y Establecer las acciones y Las Polticas, los mtodos y los procedimientos, y Los mecanismos de prevencin, control, evaluacin y de mejoramiento continuo de la Entidad Pblica. El MECI incluye un resumen ejecutivo, un marco terico y el manual de implementacin, adems integra los trabajos realizados por la firma Casals y Asociados en temas como el de la tica para las entidades pblicas (Construyendo confianza) y el Modelo de Comunicacin Pblica (MCPOI). El trmino definitivo para adoptar el Modelo Estndar de Control Interno para el Estado Colombiano MECI por parte de las entidades obligadas a implementarlo vence el 8 de diciembre de 2008, fecha en la cual vence la implementacin del Sistema de Gestin de Calidad en el sector pblico, de acuerdo al decreto 2913 del 31 de Julio de 2007. Roles y responsabilidades Se debe asegurar de que los diferentes niveles de responsabilidad y autoridad en materia de Control Interno, estn definidas y comunicadas dentro de la Entidad, para ello se distribuir esa responsabilidad a los siguientes entes: Alta Direccin Representante de la Direccin Comit de Coordinacin de Control Interno Servidores Pblicos y/o particulares que ejercen funciones pblicas. Oficina de Control Interno, Unidad de Auditora Interna o quien haga sus veces.

Implementacin del Modelo Estndar de Control Interno: La Entidad Pblica debe establecer, documentar, implementar y mantener el Sistema de Control Interno mejorando continuamente su eficacia, eficiencia y efectividad de acuerdo con los requisitos el Modelo Estndar bajo las siguientes etapas y actividades: ETAPA 1: Planeacin al Diseo e Implementacin del Sistema de Control Interno. -Establecer el Compromiso de la Alta Direccin -Definir la Organizacin del Equipo de Trabajo -Definir los diferentes niveles de implementacin o Ajuste del Sistema de Control Interno actual en trminos del MECI. -Elaborar el plan de trabajo para el diseo e implementacin. ETAPA 2: Diseo e Implementacin del Sistema de Control Interno. Para el diseo e implementacin del MECI se deber llevar a cabo una evaluacin sobre la existencia o estado de desarrollo e implementacin de cada elemento de Control en la Entidad Pblica y definir la actividad y responsables del diseo, ajuste o implementacin utilizando para

26

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

27

ello la metodologa, procedimientos e instrumentos que para tal efecto defina el Departamento Administrativo de la Funcin Pblica DAFT17. ETAPA 3: Evaluacin a la implementacin del MECI. Se llevar a cabo una evaluacin permanente a los procesos de diseo, desarrollo e implementacin del Modelo de Control Interno para garantizar su efectividad. ETAPA 4: Normograma Sistema de Control Interno. Se deber elaborar un Normograma con las normas de carcter constitucional, legal, reglamentario y de autorregulacin que le sean aplicables, verificando a travs del desarrollo del MECI, el cumplimiento de todas y cada una de las normas.

COSO II o E.R.M. Administracin de Riesgo EmpresarialAdministracin de Riesgo18 como apoyo al Control Interno El COSO II ha desarrollado una estructura conceptual para la administracin del riesgo empresarial denominada E.R.M.19 (sigla del ingls) para el entendimiento de la formulacin y seguimiento de un proceso bsico en la administracin del riesgo como apoyo al buen gobierno corporativo y mejores medidas de control en una Organizacin. La gestin o administracin de riesgo empresarial ERM es un proceso estructurado, consistente y contino a travs de toda la organizacin para identificar, evaluar, medir y reportar amenazas y oportunidades que afectan el poder alcanzar el logro de sus objetivos, cuya definicin formulada por el COSO II fue de: Es un proceso, efectuado por la Junta Directiva o el Consejo de Administracin, la Alta Gerencia y otro personal de un ente econmico, mediante la determinacin de una estrategia diseada para identificar los eventos potenciales que la pueden afectar y para administrar los riesgos que se encuentran dentro de la cantidad de riesgo que un ente econmico est dispuesto a aceptar en la bsqueda de valor, para as proveer seguridad razonable en relacin con el logro de sus objetivos La definicin captura los conceptos fundamentales que son claves sobre la manera como las compaas y otras organizaciones administran el riesgo, proveyendo una base para la aplicacin a travs de diferentes tipos de organizaciones y sectoriales. Se centra directamente en el logro de los objetivos de la entidad y la entidad provee una base para definir la efectividad de la administracin del riesgo empresarial Las empresas con nimo o sin nimo de lucro deben propender a crear valor a sus protectores, dueos o accionistas, as como la de enfrentar y superar las incertidumbres20, desafindolas con

La Administracin del Riesgo como componente del subsistema de control estratgico, el DAFP estableci un documento fundamental denominado GUIA DE ADMINISTRACIN DE RIESGO para facilitarles a las entidades el ejercicio de la Administracin del Riesgo. 18 En captulos separados se tratar el tema del ERM. 19 Enterprise Risk Managament 20 Incertidumbres: Afectados por los factores del entorno como son la globalizacin, la tecnologa, regulaciones, reestructuraciones, mercados cambiantes y competencia, los cuales generan incertidumbres. 27

17

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

28

preparacin suficiente, para poder proveer una estructura conceptual, as la gerencia trate de manera efectiva la incertidumbre que representan los riesgos y oportunidades, y as enriquecer su capacidad para generar valor21 El riesgo es la posibilidad de que un evento ocurra y afecte adversamente el cumplimiento de los objetivos, en los procesos, en el personal y en los sistemas internos generando prdidas. Los riesgos se clasifican en cuatro grandes tipos, el riesgo de reputacin, el riesgo de mercado, el riesgo de crdito y el riesgo operacional en todas sus divisiones; como formalidad de prevencin, deteccin y mitigacin a dichos riesgos, el E.R.M. determin 8 componentes interrelacionados, los cuales muestra cmo la Alta Gerencia opera un negocio, y cmo estn integrados dentro del proceso administrativo en general, ellos son: Entorno Interno: Filosofa de administracin de riesgo Cultura de riesgo Responsabilidad de la Junta Directiva o Consejo de Administracin Integridad y valores ticos Compromiso para con la competencia. Definicin de los objetivos: Objetivos estratgicos Objetivos relacionados Objetivos seleccionados Apetitos del riesgo Tolerancia al riesgo. Identificacin de eventos: Eventos o factores que influyen en la estrategia y en los objetivosMetodologas y tcnicas Interdependencia entre los eventos Categora de eventos Riesgos y oportunidades Valoracin del riesgo: Riesgo inherente y residual- Probabilidad e impacto Metodologas y tcnicas de correlacin. Respuesta al Riesgo: Identificacin de las respuestas al riesgo Evaluacin de las posibles respuestas al riesgo Seleccin de respuestas Punto de vista de mapeo o portafolio Actividades de control: Integracin con la respuesta al riesgo Tipos de actividades de Control Controles generales Controles de aplicacin Controles especficos de la actividad Informacin y comunicacin: Informacin Sistemas estratgicos e integrados Comunicacin Monitoreo: Evaluaciones separadas Evaluaciones Ongoing

Emana incapacidad para determinar la probabilidad de que ocurrirn eventos potenciales y sus resultados asociados. 21 Generacin de Valor.- Decisiones de la administracin generan valor o se debilitan por la definicin de las estrategias hasta la operacin diaria. El reconocimiento del riesgo y de la oportunidad por la informacin interna y externa, despliega recursos preciosos, para enderezar las actividades de riesgo frente a las circunstancias cambiantes. Generacin de valor para los stakeholders con o sin nimo lucro, entidades gubernamentales, la gerencia.

28

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

29

COMPARATIVO COMPONENTES DE CONTROL Y RIESGOS COSO I y COSO IIDESCRIPCION - COSO II AMBIENTE INTERNO Filosofa de la gestin de riesgos Cultura del riesgo Consejo de administracin o J.D. Alta Gerencia Integridad y valores ticos Compromiso de competencia Estructura Organizativa Asignacin de Autoridad y responsabilidad Polticas y prcticas en materia de recursos humanos ESTABLECIMIENTO DE OBJETIVOS Objetivos estratgicos Objetivos relacionados Objetivos seleccionados Riesgo Aceptado Tolerancia al riesgo IDENTIFICACIN DE EVENTOS O ACONTECIMIENTOS Acontecimientos o eventos Factores de influencia estratgica y de objetivos Metodologas y tcnicas Acontecimientos interdependientes Categora de acontecimientos Riesgos y Oportunidades INVESTIGACIN DEL RIESGO Riesgo Inherente Riesgo Residual Probabilidad Impacto Fuentes de datos Tcnicas de evaluacin Correlacin entre acontecimientos RESPUESTA A LOS RIESGOS Evaluacin de posibles respuestas Seleccin de respuestas Perspectivas a las respuestas al riesgoN 36 37 38 39 40 DESCRIPCION - COSO II ACTIVIDADES DE CONTROL Integracin de la respuesta al riesgo (evitar, reducir, compartir o aceptar) Tipos de actividades de control Polticas y procedimientos Controles de los sistemas de informacin

N 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35

DESCRIPCION - COSO I AMBIENTE DE CONTROL

Las actividades del C.Admn o J.D. y el Comit de Auditora La mentalidad y estilo de operacin de la gerencia La integridad y los valores ticos El compromiso a ser competente La estructura de la organizacin La asignacin de autoridad y responsabilidades Las polticas y prcticas de recursos humanos

EVALUACIN DE RIESGOS

Anlisis de riesgos y su proceso Manejo de cambios Objetivos de cumplimiento Objetivos de Operacin Objetivos de Informacin

COMPARATIVO COMPONENTES DE CONTROL Y RIESGOS COSO I y COSO IIN DESCRIPCION - COSO I 36 ACTIVIDADES DE CONTROL 37 38 Detectivos, preventivos y correctivos 39 Polticas, sistemas y procedimientos 40 Aprobacin, autorizacin, verificacin, conciliacin, inspeccin, indicadores de rendimiento, salvaguarda de recursos, segregacin de funciones, 41 supervisin y entrenamiento adecuado 42 INFORMACIN Y COMUNICACIN 43 Controles generales en los sistemas de informacin 44 Controles de aplicacin hacia el interior de la organizacin Sistemas de informacin (general, iniciativas estratgicas, en lnea interna y externa, de informacin comercial, sistemas de manufactura, contables, 45 nmina y otros. 46 Comunicacin formal 47 Comunicacin informal 48 Canales de comunicacin abiertos 49 Supervisin sistemtica de los componentes - Ongoing (autocontrol, auditora interna, externa, comits de J.D. o de gerencia, sistema de 50 informacin gerencial por anlisis y seguimiento. 51 Evaluaciones independientes 52 Informes de las deficiencias, excepciones o inconsistencias.

41 42 43 44

Controles especficos de la entidad INFORMACIN Y COMUNICACIN Datos internos Datos externos

45 46 47 48 49

Salidas informativas Fluidez eficaz en todas las direcciones de la organizacin Mensajes claros de la Direccin a todos Medios efectivos de informacin SUPERVISIN O MONITOREO

50 Actividades permanentes de supervisin 51 Evaluaciones independientes 52 Comunicacin de deficiencias

Beneficios del E.R.M. o Administracin de Riesgos Empresarial Ningn proceso de la administracin de riesgos puede crear un ambiente libre de riesgos y por ello el E.R.M. permite a la gerencia operar ms efectivamente en un ambiente de negocios lleno de riesgos fuctuantes. El E.R.M. proporciona valor agregado permanente al administrarlo adecuadamente, para: y y29

Alinear el riesgo aceptado y la estrategia. Reducir las sorpresas y prdidas operativas.

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

30

y y y y y y

Mejorar las decisiones de respuesta a los riesgos. Eficiencia de los recursos. Identificar y manejar los riesgos cruzados de la empresa. Ligar el crecimiento, el riesgo y el rendimiento. Racionalizar el capital. Aprovechar las oportunidades.

Los principales beneficios para una empresa utilizar la administracin de riesgos cuando es aplicada de manera sistemtica y metdica, son: a) mejora el funcionamiento del negocio; b)incrementa la actividad organizacional; y c) logra mejores reportes del riesgo. MARCO DE ADMINISTRACIN DE RIESGOS EMPRESARIAL I. II. III. IV. Gobierno Corporativo (Vigilancia de la Junta Directiva) Control Interno (Slido sistema de control interno) Implementacin (nombramiento de apoyo interno o externo) Proceso de Administracin de Riesgos Fases incrementables de un proceso interactivo: i. Anlisis ii. Identificar los riesgos iii. Clasificar los riesgos iv. Evaluar los riesgos v. Planeacin de riesgos vi. Administrar riesgos Orgenes del Riesgo (internas de la empresa de sus procesos internos y externas emanadas del entorno, como competencia, proveedores, clientes, gobierno, empleados, impuestos, econmicos, ambientales, nuevas tecnologas, etc.) GOBIERNO CORPORATIVO Para la administracin del riesgo se requiere un apoyo irrestricto de su Junta Directiva o Consejo de Administracin y de la Alta Gerencia, de quienes se requiere hayan establecido los procesos organizacionales apropiados y los controles corporativos para medir y para manejar los riesgos a travs de la empresa. Las recientes investigaciones han demostrado que en las empresas y gobiernos donde se han establecido los modelos de Administracin del Riesgo existe un mejoramiento en sus controles internos y eficiencia y eficacia operativas. Actualmente el Gobierno Corporativo se ha convertido en un componente esencial de la administracin de riesgo empresarial porque proporciona monitoreo integral de la empresa y aplica la administracin del riesgo. Adems establece la responsabilidad en la Junta Directiva de asegurar el adecuado funcionamiento de los sistemas y las polticas para la administracin de riesgos. La utilizacin de prcticas transparentes de la junta directiva y un slido gobierno corporativo son cruciales para una efectiva administracin de riesgos empresarial. Cualquier estrategia que las Juntas Directivas o Consejos de Administracin adopten deben decidir qu oportunidades, presentes y futuras, desean aprovechar y qu riesgos estn dispuestas a tomar para desarrollar oportunidades seleccionadas. Los miembros de la Junta Directiva no pueden distanciarse de la administracin de riesgos o creer que ellos no son responsables, recordemos que por la serie de problemas inesperados del gobierno corporativo han conducido al colapso de varias30

V.

EVOLUCIN DEL CONTROL INTERNO Y EL E.R.M.

31

compaas y a otros escndalos corporativos en todo el mundo, las juntas directivas y la Alta Gerencia estn bajo situaciones de desconfianza de sus accionistas, dueos, acreedores y gobierno y as las expectativas del Gobierno Corporativo han aumentado perceptiblemente. El control interno, el gobierno corporativo y la administracin del riesgo La evaluacin de los controles internos proporciona un entendimiento de qu y cmo debe ser controlado en una organizacin. Los controles internos son un subconjunto de gobierno corporativo y la administracin de riesgos est dirigida a facilitar la efectiva y eficiente operacin de un negocio, mejorando los informes internos y externos, favoreciendo el cumplimiento de las leyes y regulaciones. Su objetivo es lograr estos a travs de la identificacin y la evaluacin de los riesgos a los que hace frente al negocio, para removerlos, o reducirlos, o cuando sea necesario transferirlos a terceros, cuando sea econmicamente factible hacerlo.

GUIA DE ADMINISTRACIN DEL RIESGO PARA EL SECTOR PBLICOCon base en el COSO II y en desarrollo de las actividades de control de la Gestin Pblica, el Departamento Administrativo de la Funcin Pblica desarroll la Gua de la Administracin del Riesgo22, cuyo objetivo fundamental es facilitar el cumplimiento de la misin y objetivos institucionales de las entidades de la administracin pblica a travs de la prevencin y administracin de los riesgos. El componente de la Administracin del Riesgo en