mejores prácticas internacionales en control interno

Trabajo de compilación bibliográfica
Auditoria Sistemas II
COSO, SOX, MEJORES PRÁCTICAS INTERNACIONALES EN CONTROL
INTERNO
Presentado por:
Liliana Montes Díaz
Código:
0905026
Presentado a:
Carlos Hernán Gómez Gómez
Administración de Sistemas Informáticos
Universidad Nacional de Colombia
Sede Manizales
Septiembre de 2010
ÍNDICE









Portada
Índice
Introducción
Marco teórico
Cuerpo del trabajo
 Historia y evolución
 Descripción general
Comparación con COBIT
Resumen
Conclusiones y observaciones
Bibliografía
INTRODUCCIÓN
Debido al mundo económico integrado que existe hoy en día se ha creado la
necesidad de integrar metodologías y conceptos en todos los niveles de las
diversas áreas administrativas y operativas con el fin de ser competitivos y
responder a las nuevas exigencias empresariales, surge así un nuevo concepto de
control interno donde se brinda una estructura común el cual es documentado en
el denominado informe COSO.
SOX es un sistema de implementación de control interno para la certificación de
las empresas mediante la verificación y análisis del correcto funcionamiento de
sus procedimientos, información confiable y gestiones oportunas.
La Ley Sarbanes-Oxley es una Ley federal de Estados Unidos que ha generado
mucha controversia, ya que esta Ley va en respuesta a los escándalos financieros
de algunas grandes corporaciones, entre los que se incluyen los casos que
afectan a Enron, Tyco International, WorldCom y Peregrine Systems. Estos
escándalos hicieron caer la confianza de la opinión pública en los sistemas de
contabilidad y auditoría.
Las mejores prácticas internacionales en control interno de los procesos pueden
ser un punto de partida importante a la hora de crear, proteger y dar valor a los
clientes. Las mejores prácticas son estándares que han surgido de la experiencia
e investigación de muchos años, es decir, no es necesaria la “reinvención de la
rueda”, las herramientas ya están, es sólo conocerlas, entenderlas, y aplicarlas en
el control interno.
MARCO TÉORICO
El control interno comprende el plan de organización, los métodos y
procedimientos que tiene implantados una empresa o negocio, estructurados en
un todo para la obtención de tres objetivos fundamentales:
 La obtención de información financiera correcta y segura.
 La salvaguarda de los activos.
 La eficiencia de las operaciones.
El control interno ha carecido durante muchos años de un marco referencial
común, generando expectativas diferentes entre empresarios y profesionales. El
control interno debe garantizar la obtención de información financiera correcta y
segura ya que ésta es un elemento fundamental en la marcha del negocio, pues
con base en ella se toman las decisiones y formulan programas de acciones
futuras en las actividades del mismo. Debe permitir también el manejo adecuado
de los bienes, funciones e información de una empresa determinada, con el fin de
generar una indicación confiable de su situación y sus operaciones en el mercado.
CUERPO DEL TRABAJO
COSO
Historia y evolución:
En 1985 se formó la Comisión Nacional para Emisión de Informes Fraudulentos,
conocida como la Treadway Commission, a fin de identificar las causas de la
proliferación actual de emisión de informes fraudulentos.
En 1987 la Treadway Commission solicitó realizar un estudio para desarrollar una
definición común del control interno y marco conceptual.
En 1988, el Comité de Organizaciones Patrocinantes de la Comisión Treadway,
conocido como COSO, seleccionó a Coopers & Lybrand para estudiar el control
interno.
En septiembre de 1992 se publicó el informe del Marco Conceptual integrado de
Control Interno (Estudio COSO I).
El denominado "INFORME COSO" sobre control interno, publicado en Estados
Unidos en 1992, surgió como una respuesta a las inquietudes que planteaban la
diversidad de conceptos, definiciones e interpretaciones existentes en torno a la
temática referida.
Plasma los resultados de la tarea realizada durante más de cinco años por
el grupo de trabajo que la Treadway Commission, National Commission on
Fraudulent Financial Reporting creó en Estados Unidos en 1985 bajo la sigla
COSO (Committee of Sponsoring Organizations). El grupo estaba constituido por
representantes de las siguientes organizaciones:





American Accounting Association (AAA).
American Institute of Certified Public Accountants (AICPA).
Financial Executive Institute (FEI).
Institute of Internal Auditors (IIA).
Institute of Management Accountants (IMA).
Se trataba entonces de materializar un objetivo fundamental: Definir un nuevo
marco conceptual del control interno, capaz de integrar las diversas definiciones y
conceptos que venían siendo utilizados sobre este tema, logrando así que, al nivel
de las organizaciones públicas o privadas, de la auditoría interna o externa, o de
los niveles académicos o legislativos, se cuente con un marco conceptual común,
una visión integradora que satisfaga las demandas generalizadas de todos los
sectores involucrados.
Committee of Sponsoring Organizations, creó COSO, para facilitar a las empresas
a evaluar y mejorar sus sistemas de control interno. Desde entonces ésta
metodología se incorporó en las políticas, reglas y regulaciones y ha sido utilizada
por muchas compañías para mejorar sus actividades de control hacia el logro de
sus objetivos.
Existen en la actualidad dos versiones del Informe COSO. La versión del 1992 y la
versión del 2004, publicada recientemente.
Hacia fines de Septiembre de 2004, como respuesta a una serie de escándalos, e
irregularidades que provocaron pérdidas importante a inversionistas, empleados y
otros grupos de interés, nuevamente el Committee of Sponsoring Organizations of
the Treadway Commission, publicó el Enterprise Risk Management - Integrated
Framework y sus Aplicaciones técnicas asociadas, el cual amplía el concepto de
control interno, proporcionando un foco más robusto y extenso sobre la
identificación, evaluación y gestión integral de riesgo.
Este nuevo enfoque no intenta ni sustituye el marco de control interno, sino que lo
incorpora como parte de él, permitiendo a las compañías mejorar sus prácticas de
control interno o decidir encaminarse hacia un proceso más completo de gestión
de riesgo.
Adicionalmente, dado que COSO Enterprise Risk Management - Integrated
Framework se encuentra completamente alineado con el Internal Control Integrated Framework, las mejoras en la gestión de riesgo permitirán mejorar, aún
más, sobre la inversión ya realizada en control interno bajo las disposiciones de la
Ley Sarbanes-Oxley.
Descripción General:
El Informe COSO es un documento que contiene las principales directivas para la
implantación, gestión y control de un sistema de Control Interno. Debido a la gran
aceptación de la que ha gozado, desde su publicación en 1992, el Informe COSO
se ha convertido en el estándar de referencia en todo lo que concierne al Control
Interno.
Recientemente, el interés de los profesionales de la auditoria y las finanzas por el
informe COSO se ha reavivado gracias también a las nuevas exigencias en lo que
concierne al Control Interno introducido por el Sarbanes Oxley Act (SOX).
Es un proceso efectuado por el consejo de administración, la dirección y el resto
del personal de una entidad, diseñado con el objeto de proporcionar un grado de
seguridad razonable en cuanto a la consecución de objetivos dentro de las
siguientes categorías:
 Eficacia y eficiencia en las operaciones: Se relaciona con los objetivos del
negocio incluyendo el desempeño y metas de rentabilidad.
 Confiabilidad de los informes financieros: Se relaciona con la preparación
de estados financieros confiables.
 Cumplimiento con los aspectos legales y regulatorios: Se relaciona con el
cumplimiento de las leyes y las regulaciones.
El Informe COSO tiene dos objetivos fundamentales:
 Encontrar una definición clara del Control Interno: Para que pueda ser
utilizada por todos los interesados en el tema.
 Proponer un modelo ideal o de referencia del Control Interno: Para que las
empresas y las demás organizaciones puedan evaluar la calidad de sus
propios sistemas de Control Interno.
Todo esto es aplicado al Control Interno de una organización: El control interno
comprende el plan de organización, el conjunto de métodos y procedimientos que
aseguren que los activos estén debidamente protegidos, que los registros
contables son fidedignos y que la actividad de la empresa se desarrolla
eficazmente, según las directrices marcadas por la administración.
El control interno posee cinco componentes que pueden ser implementados en
todas las compañías de acuerdo a las características administrativas,
operacionales y de tamaño; los componentes son: un ambiente de control, una
valoración de riesgos, las actividades de control (políticas y procedimientos),
información y comunicación y finalmente el monitoreo o supervisión.
Componentes: El marco integrado de control que plantea el informe COSO
consta de cinco componentes interrelacionados, derivados del estilo de la
dirección, e integrados al proceso de gestión:
 Ambiente de control: El ambiente de control define al conjunto de
circunstancias que enmarcan el accionar de una entidad desde la
perspectiva del control interno y que son por lo tanto determinantes del
grado en que los principios de este último imperan sobre las conductas y
los procedimientos organizacionales.
 Evaluación de riesgos: El control interno ha sido pensado esencialmente
para limitar los riesgos que afectan las actividades de las organizaciones. A
través de la investigación y análisis de los riesgos relevantes y el punto
hasta el cual el control vigente los neutraliza se evalúa la vulnerabilidad del
sistema.
 Actividades de control: Están constituidas por los procedimientos
específicos establecidos como un reaseguro para el cumplimiento de los
objetivos, orientados primordialmente hacia la prevención y neutralización
de los riesgos.
 Información y comunicación: Así como es necesario que todos los agentes
conozcan el papel que les corresponde desempeñar en la organización, es
imprescindible que cuenten con la información y comunicación periódica y
oportuna que deben manejar para orientar sus acciones en consonancia
con los demás, hacia el mejor logro de los objetivos.
 Supervisión: Incumbe a la dirección la existencia de una estructura de
control interno idónea y eficiente, así como su revisión y actualización
periódica para mantenerla en un nivel adecuado.
SOX
Historia y evolución:
Ley Sarbanes-Oxley: La Ley toma el nombre del senador Paul Sarbanes
(Demócrata) y el congresista Michael G. Oxley (Republicano). Se considera uno
de los cambios más significativos en la legislación empresarial, desde el “New
Deal” de 1930.
La Ley Sarbanes Oxley, cuyo título oficial en inglés es Sarbanes-Oxley Act of
2002, Pub. L. No. 107-204, 116 Stat. 745 (30 de julio de 2002), es una ley de
Estados Unidos también conocida como el Acta de Reforma de la Contabilidad
Pública de Empresas y de Protección al Inversionista. También es llamada SOX,
SarbOx o SOA.
La Ley Sarbanes Oxley nace en Estados Unidos con el fin de monitorear a las
empresas que cotizan en bolsa, evitando que las acciones de las mismas sean
alteradas de manera dudosa, mientras que su valor es menor. Su finalidad es
evitar fraudes y riesgo de bancarrota, protegiendo al inversor. Esta ley, más allá
del ámbito nacional, afecta a todas las empresas que cotizan en NYSE (Bolsa de
Valores de Nueva York), así como a sus filiales.
Descripción General:
SOX es un sistema de implementación de control interno para la certificación de
las empresas mediante la verificación y análisis del correcto funcionamiento de
sus procedimientos, información confiable y gestiones oportunas. SOX nace de la
Ley Sarbanes Oxley que abarca y establece nuevos estándares para los consejos
de administración y dirección y los mecanismos contables de todas las empresas
que cotizan en bolsa en los Estados Unidos. Introduce responsabilidades penales
para el consejo de administración y establece unos requerimientos por parte de la
SEC (Securities and Exchanges Commission), es decir, la comisión reguladora del
mercado de valores de Estados Unidos. Los partidarios de esta Ley afirman que la
legislación era necesaria y útil, mientras los críticos creen que causará más daño
económico del que previene.
La primera y más importante parte de la Ley establece una nueva agencia casi
pública, “The Public Company Accounting Oversight Board", es decir, una
compañía reguladora encargada de revisar, regular, inspeccionar y disciplinar a
las auditoras. La Ley también se refiere a la independencia de las auditoras, el
gobierno corporativo y la transparencia financiera. La ley estadounidense
“Sarbanes-Oxley Act” tiene como objetivo generar un marco de transparencia para
las actividades y reportes financieros de las compañías que cotizan en Bolsa, lo
que le aporta más confianza y mayor certidumbre a los accionistas y al propio
Estado.
La ley afecta a todas las empresas públicas en los Estados Unidos, tanto como su
subsidiaria en todo el mundo y empresas extranjeras que coticen en cualquier
Bolsa de Valores en los Estados Unidos.
En particular, SOX tiene tres artículos (secciones) que afectan directamente la
utilización de la tecnología informática así:
 Sección 302: Responsabilidad Corporativa por los estados financieros.
Primera fase de SOX entró en rigor desde otoño 2003. Esta sección exige
que los gerentes financieros y los gerentes generales certifiquen
personalmente y avalen la exactitud de los estados financieros de la
empresa.
 Sección 404: Evaluación de la administración del control interno. Es el
requerimiento más urgente y demandante de SOX para TI y exige que los
auditores certifiquen los controles y procesos de TI requeridos para
garantizar los resultados financieros. Esta sección les exige a los auditores,
internos y externos, que certifiquen los controles internos y los procesos por
los cuales los ejecutivos obtienen la información.
 Sección 409: Liberación en tiempo real de la información requerida. Es el
requerimiento más exigente de SOX y está planeado para el futuro. Exige el
reporte en tiempo real de eventos materiales que podrían afectar el
desempeño financiero de una compañía. El aspecto de tiempo en este
requerimiento ejercerá presión significativa sobre la infraestructura actual
de TI y las actividades de su administración.
Las principales novedades introducidas por la Ley Sarbanes Oxley son:
 SOX regula la creación y funcionamiento de un órgano que supervise la
actividad de las empresas de auditoría (Public accounting firms). Es
evidente que los legisladores pretenden monitorear más de cerca la
actividad de las firmas de auditoría.
 SOX establece algunas importantes limitaciones a la actividad de las firmas
de auditoría. El principio general es que no se permite a las firmas de
auditoría ofrecer a sus clientes otros servicios distintos al de auditoría. Se
establece además la obligación de rotación del socio responsable del
encargo cada cinco años. Muy interesante es el llamado periodo del
“Cooling-off” en base al cual una firma de auditoría no puede ofrecer sus
servicios a una empresa en la que el Director General o Administrador,
Director Financiero, Controlador, Director Administrativo o Director de
Contabilidad han sido miembros del equipo de auditoría en el año anterior.
Los principales beneficios de SOX son:
 Implantación de mecanismos de evaluación de riesgos y revisión de los
procesos.
 Formalización y divulgación de actividades y responsabilidades.
 Implantación de un Código de ética.
 Protección de la empresa contra fraudes internas, estableciendo controles y
revisiones de delegación de autoridad y aprobaciones.
 Comprometimiento de los colaboradores en relación a las mejoras de
control.
 Elevación del nivel de seguridad de las aplicaciones.
Además de estos beneficios, también permite hacer viable los controles internos y
la evaluación del flujo de información, el mapeo de procesos críticos de las
empresas, gestión de los riesgos asociados a estos procesos, asignación de
responsabilidades a los responsables internos, identificación de no conformidades
y rapidez en la resolución de riesgos.
MEJORES PRÁCTICAS INTERNACIONALES EN CONTROL
INTERNO
Descripción General:
En la actualidad existen herramientas muy utilizadas que pueden ayudar a
comparar que tan buenas prácticas en control interno tiene una organización:
COSO (Commite of Sponsoring Organizations of the Treadway Commission y
COBIT (Control Objectives for Information and related Technology).
COSO: El Informe COSO es un documento que define unos parámetros para la
implantación, gestión y control de un sistema de Control Interno. Debido a la gran
aceptación de la que ha gozado, desde su publicación en 1992, el Informe COSO
se ha convertido en el estándar de referencia en todo lo que concierne al Control
Interno.
COBIT: Provee un modelo de “mejores prácticas” que le pueden ayudar al Auditor
a evaluar de manera ágil y consistente el cumplimiento de los objetivos de control
y controles detallados, que aseguran que los procesos y recursos de información y
tecnología contribuyen al logro de los objetivos del negocio.
COMPARATIVO CON COBIT
COBIT (Control Objectives Control Objectives for Information and related
Technology) es el marco aceptado internacionalmente como una buena práctica
para el control de la información, TI y los riesgos que conllevan. COBIT se utiliza
para implementar el gobierno de IT y mejorar los controles de IT. Contiene
objetivos de control, directivas de aseguramiento, medidas de desempeño y
resultados, factores críticos de éxito y modelos de madurez.
Para ayudar a las organizaciones a satisfacer con éxito los desafíos de los
negocios actualmente, el IT Governance Institute® (ITGI) ha publicado la versión
de COBIT® 4.1. COBIT es un framework de Gobierno de TI y un conjunto de
herramientas de soporte para el gobierno de T.I que les permite a los gerentes
cubrir la brecha entre los requerimientos de control, los aspectos técnicos y
riesgos de negocio.
COBIT hace posible el desarrollo de una política clara y las buenas prácticas para
los controles de T.I a través de las organizaciones, enfatizando en la conformidad
a regulaciones, ayuda a las organizaciones a incrementar el valor alcanzado
desde la TI, permite el alineamiento y simplifica la implementación de la estructura
COBIT.
RESUMEN
El Informe COSO es un documento que define unos parámetros para la
implantación, gestión y control de un sistema de Control Interno. Debido a la gran
aceptación de la que ha gozado, desde su publicación en 1992, el Informe COSO
se ha convertido en el estándar de referencia en todo lo que concierne al Control
Interno. El modelo COSO provee a los usuarios (Gerentes, Contralores, Auditores,
etc.), de una base de comparación con la cual pueden implementar, evaluar o
modificar un sistema de control interno.
Existen en la actualidad dos versiones del Informe COSO. La versión del 1992 y la
versión del 2004. La versión del 2004 es una ampliación del Informe original, para
dotar al Control Interno de un mayor enfoque hacia el Enterprise Risk
Management, o gestión del riesgo. El Informe COSO define el Control Interno
como un proceso que garantice, con una seguridad razonable (y por lo tanto no
absoluta), que se alcanzan los tres objetivos siguientes:
 Eficacia y eficiencia de las operaciones.
 Fiabilidad de la información financiera.
 Cumplimiento de las leyes y normas que sean aplicables.
Un buen sistema de control interno le puede ayudar a la administración una
compañía a:




Lograr sus objetivos de una forma eficiente y efectiva.
Prevenir la pérdida de activos.
Generar información financiera confiable.
Cumplir con las leyes y reglamentaciones.
Según las mejores prácticas internacionales, un sistema de control interno efectivo
debe comprender al menos cinco componentes como son: El ambiente de control,
La valoración o gestión de riesgos, Las actividades de control, Los sistemas de
información y comunicación y El debido monitoreo de su efectividad.
CONCLUSIONES Y OBSERVACIONES
 En el marco de control postulado a través del Informe COSO, la
interrelación de los cinco componentes (Ambiente de control, Evaluación de
riesgos, Actividades de control, Información y comunicación, y Supervisión)
genera una sinergia conformando un sistema integrado que responde
dinámicamente a los cambios del entorno.
 El cumplimiento de las disposiciones de SOX permite: Mejorar la estructura
de controles internos, financieros y no financieros; mejorar los procesos
operacionales y financieros; alcanzar un nuevo nivel de Gobierno
Corporativo; dar mayor credibilidad junto al mercado, en función del
combate a los fraudes financieros.
 La ventaja de utilizar las mejores prácticas internacionales de control
interno, es que se puede tomar un camino que garantiza en gran parte el
logro de los objetivos del negocio, porque se cuenta con modelos, métodos
y procedimientos que nacen de la experiencia de años de práctica y son
frutos de los buenos resultados en las organizaciones en las cuales estas
se han implementado.
BIBLIOGRAFÍA







http://www.monografias.com/trabajos12/coso/coso.shtml
http://www.unap.cl/~setcheve/cdeg/CdeG%20(2)-38.htm
http://www.slideshare.net/alafito/coso-version-mail
http://212.9.83.4/auditoria/home.nsf/COSO_1!OpenPage
http://es.wikipedia.org/wiki/Ley_Sarbanes-Oxley
http://www.gestiopolis.com/delta/term/TER417.html
http://auditool.org/index.php?option=com_content&task=view&id=252&Itemi
d=31
 http://www.upc.edu.pe/2/modulos/JER/JER_Interna.aspx?ARE=2&PFL=2&J
ER=3749