Control interno y administración del riesgo

Anuncio
TEMA:
Material de Apoyo N° 3
Fecha:
Preparado por:
CONTROL INTERNO Y ADMINISTRACIÓN DE
RIESGO
Control Interno General
23- Marzo - 2011
Antonino Bahamonde – Rodrigo Alarcón.
NAGAS
Sección 101
Las Normas de Auditoría se aplican
cuando se lleva a cabo una auditoría independiente: esto es, en el examen
independiente de la información financiera de una entidad, ya sea lucrativa o no,
no importando su tamaño o forma legal, cuando tal examen se lleva a cabo con el
objeto de expresar una opinión. Las Normas también pueden tener aplicación,
cuando sea apropiado, a otras actividades relacionadas a los auditores.
Sección 150: Normas Relativas a la Ejecución del Trabajo
1) El trabajo se planificará adecuadamente y se supervisará apropiadamente la
labor de los integrantes del equipo de auditoría.
2) Deberá adquirir una comprensión suficiente de la estructura de control interno
para planificar la auditoría y para determinar la naturaleza, oportunidad y extensión
necesaria de las pruebas que deberán efectuarse.
CONTROL INTERNO Y ADMINISTRACIÓN DEL RIESGO
Para nadie es un misterio que el INCPA
incorporó el informe COSO, como una norma Americana en el año 1997, a través
de su boletín SAS 78, pero acontecimientos tan importantes como la caída de
grandes empresas Americanas en insolvencias, se solicitó en julio de 2003 a la
empresa PricewaterhouseCoopers emitiera un nuevo documento denominado
COSO ERM o COSO II.
La Comisión Treadway plantea en la
temática fundamental de su segundo informe, que la administración de riesgos, se
aplica desde la puesta en marcha de las estrategias y objetivos operacionales de
la organización, debiendo integrarse a todos los controles internos, hasta el
resultado final y en la retroalimentación pertinente de todos los procesos.
1
ADMINISTRACION DE RIESGOS
La Comisión Treadway define a la
Administración de Riesgos como “un proceso, efectuado por el Directorio,
Administradores y otras personas de la entidad, aplicados a la estrategia
establecida en la empresa, diseñado para identificar potenciales eventos que
puedan afectarla, y administrar los riesgos que están dentro de su cantidad
y capacidades, para proveer una seguridad razonable con respecto al logro
de los objetivos”.
COMPONENTES DEL CONTROL INTERNO EN LA ADM. DE RIESGOS.
Componentes COSO I - 1992
1. Ambiente de Control
2. Evaluación de Riesgos
3. Actividades de Control
4. Información y Comunicación
5. Supervisión
Componentes COSO II - 2004
1. Ambiente de Control Interno
2. Establecimiento de Objetivos
3. Identificación de Eventos
4. Evaluación de Riesgos
5. Estrategias frente al Riesgo
6. Actividades de Control
7. Información y Comunicación
8. Supervisión
AMBIENTE DE CONTROL INTERNO
El Ambiente de Control Interno, armoniza
el conjunto de circunstancias que enmarcan el accionar de una entidad desde la
perspectiva del riesgo, siendo determinante en las conductas y procedimientos
organizacionales. Es una consecuencia, asumida de la actitud de la alta dirección,
la gerencia, y por los otros integrantes de la organización, con relación a la
importancia del riesgo y su impacto sobre las actividades y resultados. Ejerce un
ordenamiento, a través de la influencia que provee al comportamiento del personal
en su conjunto.
2
ESTABLECIMIENTO DE OBJETIVOS.
El establecimiento de los objetivos es una
condición previa al desarrollo propiamente tal las actividades de la entidad, ya que
deben haber objetivos antes que la Dirección pueda identificar, evaluar y manejar
los riesgos para su obtención, éstos generalmente vienen implícitos en la misión y
visión de la entidad, las cuales son su razón de ser. Luego, la Dirección define sus
objetivos estratégicos, los cuales son metas de alto nivel y de largo plazo, las que
se sustentan en la visión y misión de la organización, y reflejan la opción de cómo
la entidad buscará darse valor y a la vez rentabilidad a las partes interesadas.
IDENTIFICACION DE EVENTOS
Los eventos son sucesos que ocurren por
casualidad o causalidad, que pueden originarse de fuentes internas o externas de
la empresa, y que pueden afectar el desarrollo de las estrategias o el logro de los
objetivos. Para estos efectos, la gerencia define rangos de ocurrencia de eventos
potenciales de origen interno o externo y si el impacto va a ser positivo o negativo.
EVALUACION DE RIESGOS
La Dirección considera dos tipos de
riesgos, siendo el primero el riesgo inherente que es aquel que afecta a una
entidad ante la ausencia de acciones de la administración que fuercen a alterar la
probabilidad de su impacto; y el riesgo residual es aquel que permanece después
que la dirección responde al riesgo a través de sus controles, siendo el segundo
un derivado del primero.
Asimismo, en la evaluación de riesgos, la
dirección considera el impacto potencial de eventos esperados e inesperados,
donde muchos eventos son rutinarios y recurrentes y son administrados con
relativa facilidad con programas y presupuestos. Otros son totalmente
inesperados, y tienen una probabilidad de baja ocurrencia pero de gran impacto
potencial y la respuesta por parte de la organización es individual, sin embargo, la
incertidumbre existe con respecto de ambos tipos de eventos.
La evaluación de la incertidumbre de
eventos potenciales es efectuada en dos perspectivas, probabilidad e impacto. La
probabilidad representa la posibilidad que un evento dado ocurra, mientras el
impacto representa su efecto. Es importante que los juicios para distinguir estas
perspectivas sean responsables, cuidadosos y racionales, ya que un riesgo con
una probabilidad baja de ocurrencia y un impacto potencial pequeño garantiza
menor consideración; en cambio un riesgo con probabilidad alta de ocurrir y un
impacto potencial significativo exige una atención especial.
RESPUESTA O ESTRATEGIA FRENTE AL RIESGO.
Habiendo
evaluado
los
riesgos
pertinentes, la administración de riesgos debe determinar cómo responderá o
3
reaccionará ante ellos, lo que incluye evitar el riesgo, reducirlo, compartirlo y
aceptarlo. Considerando la respuesta, se deben tener presente los costos y
beneficios en directa relación con la tolerancia de riesgo deseada.
ACTIVIDADES DE CONTROL
Estas son políticas y procedimientos que
ayudan a asegurar que las respuestas a los riesgos de la Dirección sean llevadas
a cabo, a través de toda la organización. Estas actividades son aplicadas con
respecto a cada uno de las categorías de objetivos: estratégicos, operativos,
información y cumplimiento, y que en su conjunto son partes del proceso que
permiten a una organización alcanzar sus metas comerciales. Son fundamentales
para la respuesta a los riesgos en forma propia y oportuna.
Existen variados tipos de actividades de control, que son los siguientes:

Función Directiva o Actividad Administrativa. Los directivos desarrollan
funciones o actividades revisando y desarrollando informes.

Procesos de Información. Una variedad de controles es desarrollado para
comprobar la exactitud, totalidad y autorización de las transacciones.

Controles Físicos. Equipos, inventarios, inversiones, caja y otros activos son
sometidos a recuentos físicos y comparados con archivos de control;

Indicadores de rendimiento. Análisis de diferentes datos combinados entre
sí, que en conjunto con acciones correctivas conforman una actividad de
control.
INFORMACION Y COMUNICACIÓN
Cada organización
ha de obtener
información relevante financiera o no, relacionada con actividades internas o
externas. Esta información debe ser entregada a las personas a tiempo, en un
formato que les permita llevar a cabo sus responsabilidades de administración de
riesgos como sus otras funciones. La información se vuelve necesaria en todos
los niveles de la organización, desde la más rutinaria hasta la más relevante, tanto
de fuentes internas como externas, lo que permitirá a la entidad mantenerse o
adaptarse a las condiciones cambiantes, para identificar, evaluar y responder a los
riesgos, contribuyendo con ello a que ésta alcance uno o más objetivos, a través
de sus distintas categorías.
SUPERVISION (MONITOREO – VIGILANCIA)
La Administración de riesgos de una
organización cambia con el tiempo, las respuestas al riesgo que alguna vez fueron
eficaces pueden no serlo hoy, las actividades de control pueden encontrarse
obsoletas e ineficaces, los objetivos de la entidad pueden cambiar. Esto puede
originarse por cambios de personal, de estructura, nuevos procesos, etc. Estos
cambios hace necesario realizar actividades de supervisión, llevados a través de
monitoreos periódicos.
4
De lo señalado anteriormente se desprende
lo siguiente, "El auditor deberá adquirir una comprensión suficiente de la
estructura de control interno, para determinar la naturaleza, oportunidad y
extensión necesaria de las pruebas que deberán ejecutarse".
COMPRESION DE LOS PROCESOS SIGNIFICATIVOS
Antes que el auditor confeccione las
pruebas de cumplimiento, debe evaluar el control interno del servicio, basándose
en la información antes señalada (COSOII).
Luego de recopilar la información referente
al control interno del servicio y de los procesos significativos, el auditor debe
confeccionar un flujograma del o los procesos significativos, que se hayan
identificados para el servicio en cuestión, con el objeto de identificar cuales son
los riesgos potenciales que pueden afectar a dichos procesos y si el servicio
cuenta con los controles necesarios para mitigar los riesgos. Posteriormente, el
auditor esta en condiciones de confeccionar su programa de pruebas de
cumplimientos.
5
Descargar