TEMA: Material de Apoyo N° 3 Fecha: Preparado por: CONTROL INTERNO Y ADMINISTRACIÓN DE RIESGO Control Interno General 23- Marzo - 2011 Antonino Bahamonde – Rodrigo Alarcón. NAGAS Sección 101 Las Normas de Auditoría se aplican cuando se lleva a cabo una auditoría independiente: esto es, en el examen independiente de la información financiera de una entidad, ya sea lucrativa o no, no importando su tamaño o forma legal, cuando tal examen se lleva a cabo con el objeto de expresar una opinión. Las Normas también pueden tener aplicación, cuando sea apropiado, a otras actividades relacionadas a los auditores. Sección 150: Normas Relativas a la Ejecución del Trabajo 1) El trabajo se planificará adecuadamente y se supervisará apropiadamente la labor de los integrantes del equipo de auditoría. 2) Deberá adquirir una comprensión suficiente de la estructura de control interno para planificar la auditoría y para determinar la naturaleza, oportunidad y extensión necesaria de las pruebas que deberán efectuarse. CONTROL INTERNO Y ADMINISTRACIÓN DEL RIESGO Para nadie es un misterio que el INCPA incorporó el informe COSO, como una norma Americana en el año 1997, a través de su boletín SAS 78, pero acontecimientos tan importantes como la caída de grandes empresas Americanas en insolvencias, se solicitó en julio de 2003 a la empresa PricewaterhouseCoopers emitiera un nuevo documento denominado COSO ERM o COSO II. La Comisión Treadway plantea en la temática fundamental de su segundo informe, que la administración de riesgos, se aplica desde la puesta en marcha de las estrategias y objetivos operacionales de la organización, debiendo integrarse a todos los controles internos, hasta el resultado final y en la retroalimentación pertinente de todos los procesos. 1 ADMINISTRACION DE RIESGOS La Comisión Treadway define a la Administración de Riesgos como “un proceso, efectuado por el Directorio, Administradores y otras personas de la entidad, aplicados a la estrategia establecida en la empresa, diseñado para identificar potenciales eventos que puedan afectarla, y administrar los riesgos que están dentro de su cantidad y capacidades, para proveer una seguridad razonable con respecto al logro de los objetivos”. COMPONENTES DEL CONTROL INTERNO EN LA ADM. DE RIESGOS. Componentes COSO I - 1992 1. Ambiente de Control 2. Evaluación de Riesgos 3. Actividades de Control 4. Información y Comunicación 5. Supervisión Componentes COSO II - 2004 1. Ambiente de Control Interno 2. Establecimiento de Objetivos 3. Identificación de Eventos 4. Evaluación de Riesgos 5. Estrategias frente al Riesgo 6. Actividades de Control 7. Información y Comunicación 8. Supervisión AMBIENTE DE CONTROL INTERNO El Ambiente de Control Interno, armoniza el conjunto de circunstancias que enmarcan el accionar de una entidad desde la perspectiva del riesgo, siendo determinante en las conductas y procedimientos organizacionales. Es una consecuencia, asumida de la actitud de la alta dirección, la gerencia, y por los otros integrantes de la organización, con relación a la importancia del riesgo y su impacto sobre las actividades y resultados. Ejerce un ordenamiento, a través de la influencia que provee al comportamiento del personal en su conjunto. 2 ESTABLECIMIENTO DE OBJETIVOS. El establecimiento de los objetivos es una condición previa al desarrollo propiamente tal las actividades de la entidad, ya que deben haber objetivos antes que la Dirección pueda identificar, evaluar y manejar los riesgos para su obtención, éstos generalmente vienen implícitos en la misión y visión de la entidad, las cuales son su razón de ser. Luego, la Dirección define sus objetivos estratégicos, los cuales son metas de alto nivel y de largo plazo, las que se sustentan en la visión y misión de la organización, y reflejan la opción de cómo la entidad buscará darse valor y a la vez rentabilidad a las partes interesadas. IDENTIFICACION DE EVENTOS Los eventos son sucesos que ocurren por casualidad o causalidad, que pueden originarse de fuentes internas o externas de la empresa, y que pueden afectar el desarrollo de las estrategias o el logro de los objetivos. Para estos efectos, la gerencia define rangos de ocurrencia de eventos potenciales de origen interno o externo y si el impacto va a ser positivo o negativo. EVALUACION DE RIESGOS La Dirección considera dos tipos de riesgos, siendo el primero el riesgo inherente que es aquel que afecta a una entidad ante la ausencia de acciones de la administración que fuercen a alterar la probabilidad de su impacto; y el riesgo residual es aquel que permanece después que la dirección responde al riesgo a través de sus controles, siendo el segundo un derivado del primero. Asimismo, en la evaluación de riesgos, la dirección considera el impacto potencial de eventos esperados e inesperados, donde muchos eventos son rutinarios y recurrentes y son administrados con relativa facilidad con programas y presupuestos. Otros son totalmente inesperados, y tienen una probabilidad de baja ocurrencia pero de gran impacto potencial y la respuesta por parte de la organización es individual, sin embargo, la incertidumbre existe con respecto de ambos tipos de eventos. La evaluación de la incertidumbre de eventos potenciales es efectuada en dos perspectivas, probabilidad e impacto. La probabilidad representa la posibilidad que un evento dado ocurra, mientras el impacto representa su efecto. Es importante que los juicios para distinguir estas perspectivas sean responsables, cuidadosos y racionales, ya que un riesgo con una probabilidad baja de ocurrencia y un impacto potencial pequeño garantiza menor consideración; en cambio un riesgo con probabilidad alta de ocurrir y un impacto potencial significativo exige una atención especial. RESPUESTA O ESTRATEGIA FRENTE AL RIESGO. Habiendo evaluado los riesgos pertinentes, la administración de riesgos debe determinar cómo responderá o 3 reaccionará ante ellos, lo que incluye evitar el riesgo, reducirlo, compartirlo y aceptarlo. Considerando la respuesta, se deben tener presente los costos y beneficios en directa relación con la tolerancia de riesgo deseada. ACTIVIDADES DE CONTROL Estas son políticas y procedimientos que ayudan a asegurar que las respuestas a los riesgos de la Dirección sean llevadas a cabo, a través de toda la organización. Estas actividades son aplicadas con respecto a cada uno de las categorías de objetivos: estratégicos, operativos, información y cumplimiento, y que en su conjunto son partes del proceso que permiten a una organización alcanzar sus metas comerciales. Son fundamentales para la respuesta a los riesgos en forma propia y oportuna. Existen variados tipos de actividades de control, que son los siguientes: Función Directiva o Actividad Administrativa. Los directivos desarrollan funciones o actividades revisando y desarrollando informes. Procesos de Información. Una variedad de controles es desarrollado para comprobar la exactitud, totalidad y autorización de las transacciones. Controles Físicos. Equipos, inventarios, inversiones, caja y otros activos son sometidos a recuentos físicos y comparados con archivos de control; Indicadores de rendimiento. Análisis de diferentes datos combinados entre sí, que en conjunto con acciones correctivas conforman una actividad de control. INFORMACION Y COMUNICACIÓN Cada organización ha de obtener información relevante financiera o no, relacionada con actividades internas o externas. Esta información debe ser entregada a las personas a tiempo, en un formato que les permita llevar a cabo sus responsabilidades de administración de riesgos como sus otras funciones. La información se vuelve necesaria en todos los niveles de la organización, desde la más rutinaria hasta la más relevante, tanto de fuentes internas como externas, lo que permitirá a la entidad mantenerse o adaptarse a las condiciones cambiantes, para identificar, evaluar y responder a los riesgos, contribuyendo con ello a que ésta alcance uno o más objetivos, a través de sus distintas categorías. SUPERVISION (MONITOREO – VIGILANCIA) La Administración de riesgos de una organización cambia con el tiempo, las respuestas al riesgo que alguna vez fueron eficaces pueden no serlo hoy, las actividades de control pueden encontrarse obsoletas e ineficaces, los objetivos de la entidad pueden cambiar. Esto puede originarse por cambios de personal, de estructura, nuevos procesos, etc. Estos cambios hace necesario realizar actividades de supervisión, llevados a través de monitoreos periódicos. 4 De lo señalado anteriormente se desprende lo siguiente, "El auditor deberá adquirir una comprensión suficiente de la estructura de control interno, para determinar la naturaleza, oportunidad y extensión necesaria de las pruebas que deberán ejecutarse". COMPRESION DE LOS PROCESOS SIGNIFICATIVOS Antes que el auditor confeccione las pruebas de cumplimiento, debe evaluar el control interno del servicio, basándose en la información antes señalada (COSOII). Luego de recopilar la información referente al control interno del servicio y de los procesos significativos, el auditor debe confeccionar un flujograma del o los procesos significativos, que se hayan identificados para el servicio en cuestión, con el objeto de identificar cuales son los riesgos potenciales que pueden afectar a dichos procesos y si el servicio cuenta con los controles necesarios para mitigar los riesgos. Posteriormente, el auditor esta en condiciones de confeccionar su programa de pruebas de cumplimientos. 5