CLAIN 2014

1. CLAIN 2014 TEMA COSO 2013 PRINCIPALES CAMBIOS EN RELACIÓN A COSO 1992 Y SU USO EN LA EVALUACIÓN DEL CONTROL INTERNO Nota previa Esta presentación excede con mucho a la exposición , les he querido dejar material para vuestra lectura y trabajo Buenos Aires- Argentina -16 de mayo del 2014 Profesor Carlos Valdivieso Valenzuela carvalva@entelchile.net

2. ACERCA DE COSO • The Commitee of Sponsoring Organization of the Treading Commission es una organización privada y voluntaria formada el año 1985 ,integrada por las siguientes instituciones dedicadas a guiar a las administración ejecutiva y a los participantes del Gobierno de la empresa para lograr el establecimiento de operaciones de negocios más efectivas, eficientes y éticas . Promueve y difunde estructuras ( frameworks ) y guías basados en profundas investigaciones, análisis y mejores prácticas: • American Accounting Associaton ( AAA) • American Institute of CPAs ( AICPA ) • Financial Executives International (fei) • The Associaton of Accountants and Financial Profesional in Bussiness ( ima ) • The Institute of Internal Auditors( IIA )

3. COSO ES UNA ESTRUCTURA • La estructura (del latínstructūra) es la disposición y orden de las partes dentro de un todo. También puede entenderse como un sistema de conceptos coherentes enlazados, cuyo objetivo es precisar la esencia del objeto de estudio. Tanto la realidad como el lenguaje tienen estructura tendiendo a que refleje fielmente la estructura de la realidad ( fuente, resumen a partir de wikipedia) • O sea, todo armado y coherente, nada suelto por sí sólo. • Algunos Auditores tienden a tomar elementos específicos, esto NOSIRVE, están todas las piezas relacionadas. • Esto que es abstracto, aterrizémoslo con una foto en la diapositiva siguiente.

4. COSO ES UNA ESTRUCTURA( Framework ) TODO UNIDO E INTEGRADO

5. Tomadode COSO IC-IF-EDTraducciónlibre al español de Carlos Valdivieso Valenzuela Porquéfuénecesarioactualizar COSO ? COSO’s Internal Control – Integrated Framework (1992 Edition) Es de 1992 Codifica el criterio en el desarrollo y estructura del sistema de control interno. Aumenta el foco en lasoperaciones,cumplimiento y objetivos de informes no financieros Cambiossignificativos en los negocios, el entorno y los riesgosasociados Refrescar los objetivos Actualiza,mejora y clarifica el Framework Principios Expandeinformacióninterna y la no financiera Atributos Mejoras Irabajarámejor a futuro COSO’s Internal Control – Integrated Framework Mayo 2013 )

6. Tomado de COSO IC-IF-EDTraducciónlibre al español de Carlos Valdivieso Valenzuela Fecha de publicación mayo 2013 Fechaobligatoriamáxima de implementación 15 diciembre 2014 2010 2011 2012 Estudio y análisispor los interesados Diseño y construcción ExposiciónPública Finalización

7. COSO 2013. COSO ERM e ISO 31.000Estructuras desarrolladas y aceptadas internacionalmente • He tenido la oportunidad y la suerte de estar cercano a la génesis de las tres estructuras. • COSO original data de 1992; antes,hubo participaciones de numerosas entidades, y personas , cientos de workshopsy finalmente un borrador el que se circularizó en 40.000 ejemplares aprox el que anduvo por un año para comentarios tanto en EEUU como fuera de eses país, finalmente en 1992 nace COSO 1992 .COSO 2013 es una actualización de COSO 1992 y resulta de un amplio trabajo internacional con más de 700 aportes. • COSO ERM es un hijo de COSO para focalizarse en riesgos (ERM , es Enterprise RiskManagement). Nace de un encargo a la Universidad de Virginia en EEUU , quien después de una larga investigación concluye que no había un entendimiento global y uniforme en lo relativo a riesgos y su administración; luego el Comité COSO con ayuda externa lleva adelante el proyecto el que cuenta con aportes tanto en EEUU como en el exterior. En 2004 nace COSO ERM, COSO 1992 sigue vigente en paralelo con COSO 2013 hasta el 15 de diciembre 2013.En EEUU debe explicitarse en las Memorias de empresan que transan valores el uso de COSO. • ISO 31.000 , la única ISO de riesgos, nace el 2009 después de un trabajo internacional de varios años. Se aprueba por 160 países.

8. COSO ERM Y COSONo confundirlos son complementarios • COSO ERM 2004 COSO 2013

9. COSO LA EVOLUCIÓN DE LOS DOCUMENTOSNO CONFUNDIRSE COSO ERM ( Año 2004 ) , QUE ES PARA RIESGOS Y LO VEREMOS 1992 2006 2009 2013

10. COSO 2013 LO INTEGRAN TRES DOCUMENTOS • “Internal Control-Integrated Framework,” estoes la estructura central, es el másconocido • “Illustrative Tools for Assessing Effectiveness of a System of Internal Control”, son lasherramientasparamedir la efectividad en la operación del sistema de control interno. • “Internal Control over External Financial Reporting: A Compendium of Approaches and examples”Documentorelativo al proceso de informesfinancierosenviados al exterior de la empresa ( Los EstadosFinancieros , son sólouno de ellos) . • Los documentosestánsólo en inglés y traerlosresultaunos US $ 500 aprox. • En el link siguienteestán los borradores finales que son casiidénticos a los documentos finales, es de la Asociación de AuditoresExternos de Chile AG a quienes les colaboro . • www.aechile.cl • Ahí buscar Gobierno Corporativo y luego pestaña COSO, documentos de apoyo .Tienen unas 400 páginas

11. Fuente: ISO 31000 – Traducción libre al español del señor Carlos Valdivieso Valenzuela

12. COSO E ISO 31.000- Unica ISO de RIESGOS Fuente Linkedin ISO31000 RiskGroup

13. LOS CAMBIOS CONSIDERADOS COSO Cube (2013 Edition)

14. COSODiapositiva libre de Carlos Valdivieso Valenzuela • El nuevo COSO 2013 mantienesuestructura de representación • Cambia en susistematización en 17 principios y 86 atributos • Tienemateriasnuevas. Original COSO Cube

15. InformeTomo 1 – Control Interno ( Edición 2013 ) :Contiene • Resumenejecutivo • Framework y apéndices • Herramientasparamedir la efectividad del control interno ( es un tomoaparte ) • Explicita • Definición de control interno • Categorías y objetivos • Componentes y principios

16. EN LO GENERAL, LO QUE NO CAMBIA Y LO QUE CAMBIA RESPECTO A COSO 1992Fuente COSO IC-IF-EDTraducción y adaptación libre al español de Carlos Valdivieso Valenzuela El lector experimentado en COSO encontrará mucho conocido en estaactualización, la que se ha construido a partir de la base de lo que ha probado ser efectivo en suversión original durante 21 años

17. DEFINICIÓN DE CONTROL INTERNO SEGÚN COSO • DEFINICION: Proceso, efectuado por el consejo de administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: • Eficacia y eficiencia de las operaciones • Fiabilidad de la información financiera • Cumplimiento de leyes y normas que sean aplicables • El Informe COSO es un documento que contiene las principales directivas para la implantación, gestión y control de un sistema de control interno; funciona como un framework ; esto es una estructura integrada • La diapositiva siguiente no es mía, la encontré en la web pero no tengo a su autor

18. NUEVO COSO

19. Actualización en 2013 integracomponentes con principiosEn los 17 principiosdejé el inglésparaapreciar los conceptosoriginales, los explicaré en español Entorno de control • Demonstrates commitment to integrity and ethical values • Exercises oversight responsibility • Establishes structure, authority and responsibility • Demonstrates commitment to competence • Enforces accountability Evaluación de los riesgos • Specifies suitable objectives • Identifies and analyzes risk • Assesses fraud risk • Identifies and analyzes significant change Actividades de control • Selects and develops control activities 11. Selects and develops general controls over technology • Deploys through policies and procedures Información y comunicaciones Uses relevant information Communicates internally Communicates externally Actividades de monitoreo Conducts ongoing and/or separate evaluations Evaluates and communicates deficiencies

20. Veamos lo anterior con másdetalle Entorno de control The organization demonstrates a commitment to integrity and ethical values. The board of directors demonstrates independence from management and exercises oversight of the development and performance of internal control. Management establishes, with board oversight, structures, reporting lines, and appropriate authorities and responsibilities in the pursuit of objectives. The organization demonstrates a commitment to attract, develop, and retain competent individuals in alignment with objectives. The organization holds individuals accountable for their internal control responsibilities in the pursuit of objectives.

21. Update articulates principles of effective internal control (continued) Evaluación de riesgos 6. The organization specifies objectives with sufficient clarity to enable the identification and assessment of risks relating to objectives. 7. The organization identifies risks to the achievement of its objectives across the entity and analyzes risks as a basis for determining how the risks should be managed. 8. The organization considers the potential for fraud in assessing risks to the achievement of objectives. 9. The organization identifies and assesses changes that could significantly impact the system of internal control.

22. Update articulates principles of effective internal control (continued) Actividades de control 10. The organization selects and develops control activities that contribute to the mitigation of risks to the achievement of objectives to acceptable levels. 11. The organization selects and develops general control activities over technology to support the achievement of objectives. The organization deploys control activities through policies that establish what is expected and procedures that put policies into place.

23. Update articulates principles of effective internal control (continued) Information & Communication 13. The organization obtains or generates and uses relevant, quality information to support the functioning of internal control. 14. The organization internally communicates information, including objectives and responsibilities for internal control, necessary to support the functioning of internal control. The organization communicates with external parties regarding matters affecting the functioning of internal control.

24. Update articulates principles of effective internal control (continued) Actividades de monitoreo 16. The organization selects, develops, and performs ongoing and/or separate evaluations to ascertain whether the components of internal control are present and functioning. The organization evaluates and communicates internal control deficiencies in a timely manner to those parties responsible for taking corrective action, including senior management and the board of directors, as appropriate.

25. 17 PRINCIPIOS CON 86 ATRIBUTOS

26. CADA UNO DE LOS 17 PRINCIPIOS TIENE ATRIBUTOS- EN TOTAL SON 86 • Se recomienda ver el documento de COSO va un ejemplo de algunos atributos para control de actividades para mejor entender como se armó la estructura.Aquí va uno de los 86 atributos, la traducción libre al español para este curso es del profesor Carlos Valdivieso. • “Selecciona y desarrolla control de actividadesquecontribuyan a la mitigación de riesgos a nivelesaceptablespara el logro de los objetivos”; paraello: • a ) Integra los controles con los riesgos de forma de mitigarlos. • b )Determina los procesos de negociosrelevantesquerequierensuscontrles de actividades. • c ) Considera los factores de entorno e internos de la empresa , susoperaciones en calidad, complejidad y cantidadparaseleccionar y desarrollarlasactividades de control másapropiadas. • d ) Hace un mix de actividades de control manuales y automatizadas. • e ) Determina el tipo de actividades de control porniveles y lasdetalla. • f ) Revisa la segregación de funciones y las cambia en caso de sernecesarioparatenerbuenasactividades de control.

27. Beneficios de la actualización Fuente COSO IC-IF-EDTraducciónlibre al español de Carlos Valdivieso Valenzuela Administración y Directorio • Mejora la gobernabilidad. • Expandesuusomásallá de lo financiero. • Mejora la calidad de la medición de riesgos. • Fortalece los esfuerzosantifraude. • Adaptacontroles a los negocios y sudinámica. • Mayor uso en distintosmodelos de negocios. Claridad Agilidad Performance Entes externos Confidencialidad Otrosusuarios

28. ALCANCE • COSO contiene un planteamiento general, con los fundamentos del control interno. • No hay por tanto, aspectos específicos del tipo checklist, los que siguen siendo válidos y útiles, pero ubicados en una ESTRUCTURA INTEGRADA • Cada empresa debe analizar cómo lo desarrolla a su realidad. • Es la experiencia de este relator, involucrado en el tema desde 1992 que aquí radica el principal problema y la gran oportunidad; hay algunos que se sienten desorientados cuando por tantos años la auditoría interna le ha dicho: vaya y haga esto en detalle; a su vez, hay otros, que ven en esto una posibilidad de desarrollo profesional; el desafío no es menor. • Es también mi experiencia, que hay pocos reparos a COSO mismo y el problema es de implementación. • Vaya un ejemplo; el principio 7 dice « identifica y analiza los riesgos «, pues bien, Uds saben lo que esto significa en la práctica, riesgos primarios, eventos de riesgo y controles, nada de simple.

29. ANÁLISIS POR COMPONENTE DE COSO ENTORNO DE CONTROL EVALUACIÓN DE RIESGOS CONTROL DE ACTIVIDADES INFORMACIÓN YCOMUNICACIONES MONITOREO DE ACTIVIDADES ____________________________ Todo ello para: Logro de la eficiencia y eficacia de las Operaciones que permitan el logro de los objetivos, consistentes con la MISIÓN, el alcance de las metas, incluyendo rentabilidad y salvaguarda de recursos. Confiabilidad de informes financieros y no financieros tanto con destino externo como interno. Cumplimiento de leyes y regulaciones que afecten a la empresa.

30. LA FAMOSA “SEGURIDAD RAZONABLE “ • “Reasonable Assurance—The concept that internal control, no matter how well designed and operated, cannot guarantee that an entity’s objectives will be met. This is because of Inherent Limitations in all internal control systems”. --------------------------------------------------------------------------- O sea,queproveaunaseguridadrazonable (NO ABSOLUTA ) a una persona competente,con bases sólidas, permitiéndoledarunaopiniónfundadarelativa al sistema de control interno en el logro de los objetivos de la empresa, pero no lo puedegarantizarporlaslimitacionesinherentes de todosistema de control interno, ------------------------------------------------------------------------- Algoasícomo : El sistema de control interno de la empresa XX al 31 de diciembre del 2012 eseficaz y proporcionaunaseguridadrazonable de que el proceso de preparación de la informaciónfinancieraesfiable, de que la empresatieneprocedimientoseficacesparaasegurar el cumplimiento de lasleyes y normativasque le seanaplicables y de que la direcciónconocehastaquépunto la empresaestáalcanzandosusobjetivosoperacionales.

31. OBJETIVOS Y SUBOJETIVOS • Los objetivos generales de la empresa se deben desagregar en subobjetivos por Unidades de la empresa,deben ser claros, cuantificables, medibles y auditables. • Estos subojetivos deben ser conocidos por todo el personal a quienes los incumbe.

32. ENTORNO DE CONTROL • PRINCIPIOS INVOLUCRADOS • La organizacióncomo un tododemuestracompromisocon la integridad y valoreséticos. • El Directoriodemuestraindependencia de la Administracióny supervisa el desarrollo y funcionamiento del sistema de control interno. • El Directoriojunto a la Administraciónsupervisan la estructura de la empresa, laslíneas de autoridady responsabilidad y el logro de los objetivos. Ejercitala responsabilidad de supervisión. 4. La empresademuestracompromiso con la competenciaparaatraer, desarrollar y retener al personal y alinearlo con los objetivos. 5.Hace cumplirlasrendiciones(accountability ) por la autoridad y responsabilidadque le hanotorgadopara el logro de los objetivos.

33. PRINCIPALES CAMBIOS EN ENTORNO DE CONTROL RESPECTO A COSO 1992 • Integra los 5 principios y los relaciona aplicándolos en el Directorio, Administración, personal, comités, especialmente de Auditoría , estructura de organización, políticas y prácticas, dejando definiciones por escrito y velando por su cumplimiento. • Explicita y define el Gobierno Corporativo, los roles y lo que debe hacer cada cual y refuerza el concepto de accountability. • Define lo relativo a supervisión de riesgos, los recursos requeridos y las relaciones existentes para el logro de los objetivos que deben estar explícitos. • Involucra al outsourcing como parte del entorno de control. • Los puntos anteriores deben constar por escrito y ( según este relator ) dejar pistas de auditoría y revisar su comportamiento.

34. PRINCIPIO 1.La organizacióncomo un tododemuestracompromiso con la integridad y valoreséticos. Foco en : • Directorio y Administración en todossusnivelesdemuestrancompromiso con los aspectoséticoscomoaspecto central del control interno. • Establece Standard de Conducta, difundido a todos los niveles tanto internos como al outsourcing . • Evalúa su cumplimiento y desviaciones.

35. Principio 2 El Directoriodemuestraindependencia de la Administracióny supervisa el desarrollo y funcionamiento del sistema de control interno. • Foco en : • Directoriotiene y efectúasupervisión superior del Control Interno, sudiseño y cumplimiento • Directorio revisa sus capacidades y conocimientos de control interno(si les faltare, deben capacitarse ) • Son y actúan independiente de la Administración.

36. Principio 3 El Directoriojunto a la Administraciónsupervisan la estructura de la empresa, laslíneas de autoridady responsabilidad y el logro de los objetivos. Ejercita la responsabilidad de supervisión . • Foco en • Considera toda la estructura de la empresa. • Establece líneas de autoridad y responsabilidad y reportes • Define los límites de autoridad. • Define la autoridad de servicios de outsourcing.

37. Principio 4 La empresademuestracompromiso con la competenciaparaatraer, desarrollar y retener al personal y alinearlo con los objetivos. • Foco en : • Define políticas y prácticas relativas a talentos de Recursos Humanos. • Evalúa junto con la Administración las competencias requeridas en distintos cargos y como obtener resultados para llenar los gaps. • Atrae, desarrolla y mantiene los recursos humanos requeridos. • Establece planes de sucesiones.

38. Principio 5 .Hacecumplirlasrendiciones( accountability ) por la autoridad y responsabilidadque le hanotorgadopara el logro de los objetivos. • Foco en : • Se definen con claridad y se supervisan las accountabilities y analiza los incumplimientos de control interno y sus correcciones. • El Directorio y la Administración establecen mediciones, incentivos y retroalimentaciones para mejoras. • Alinea incentivos con cumplimientos de control interno . • Tiene cuidado en las presiones para el logro de metas que pudieren afectar al control interno, • Evalúa los resultados y cumplimiento de estándares de conducta.

39. EVALUACIÓN DE RIESGOS PRINCIPIOS INVOLUCRADOS 6Especificalos objetivosrelevantes 7 Identifica y analiza los riesgos Apreciay analizariesgosde fraude Identifica y analiza los cambiossignificativos

40. PRINCIPALES CAMBIOS EN LA EVALUACIÓN DE RIESGOS RESPECTO A COSO 1992 • La identificación de los objetivosrelevantes, esuna precondiciónpara la evaluaciónde riesgos.El ordenes MISIÓN, y objetivosparacumplir la Misión . De dichosobjetivosderivan los primerosriesgos. • Establece la relación de los riesgoscon las operaciones, informes y cumplimiento ( compliance) • Especificaquedebencontemplarse la identificación de los riesgos, el análisis y susrespuestas. • Incluyelastolerancias al riesgo, comoprerequisito. • Contemplaquedebenentenderse los cambiossignificativostanto de origeninternocomoexterno y susrelaciones con los sistemas de control interno. • Considera el riesgo de fraudey susrelaciones con los informes , como parte de la administración de riesgos.

41. Principio 6 Especifica los objetivosrelevantes • Foco en : • Claridad y documentación en : objetivos, informes y compliance ( nota del profesor Valdivieso, ojo, se refiere a la parte superior del cubo COSO ). • Debe reflejar las selecciones de objetivos hechos por la empresa. • Considera la tolerancia al riesgo determinada. • Incluye las metas financieras. • Es la base para la alocación de recursos humanos y financieros.

42. Principio 7 Identifica y analiza los riesgos • Foco en : • Para la determinación y administración de riesgos, deben incluirse todas las filiales y subsidiarias y luego todas las funiciones y niveles. • Analizar tanto los factores internos como externos. • Definir y explicitar los riesgos • Asignar los riesgos por niveles. • Analizar los riesgos inherentes. • Contar con un sistema de respuesta a los riesgos.

43. Principio 8 Aprecia y analizariesgos de fraude • Foco en : • Especificar los posibles tipos de fraudes, ej :En Estados Financieros,pérdidas de activos, etc. • Presiones por lograr metas lleva a distintos fraudes. • Vacíos en control interno que dejan oportunidades de fraudes ( nota de este profesor, algo así como donde las dan las toman ) • Ahorros de costos por racionalizaciones que dejan vacíos de control interno.

44. Principio 9 Identifica y analiza los cambiossignificativos • Foco en : • Analizar cambios tanto de origen interno como externo , ej regulatorios , económico los riesgossetc y como afectan a los riesgos . • Cambios en el modelo de negocios, productos, distribución y como afectan a los riesgos. • Cambios en liderazgos, jefaturas y estilos de administración y como afectan a los riesgos.

45. CONTROL DE ACTIVIDADES CONTROL DE ACTIVIDADES PRINCIPIOS INVOLUCRADOS 10 Selecciona y desarrolla control de las actividades Selecciona y desarrollacontrolespara la tecnología 12 Despliegue de políticas y procedimientos

46. PRINCIPALES CAMBIOS EN EL CONTROL DE ACTIVIDADES RESPECTO A COSO 1992 • La tecnología en sentidoamplio, es parte integrante del Sistema de Control Interno.Aquí hay un cambio de énfasisimportante. • Foco en la tecnología y los procesos de negocios. • El control de actividades se relaciona con los riesgos. • Recomendaciónparausartodaslastécnicasque se necesiten. • Amplitud de controlesdesde los controles de transacciones hasta los superiores; debenagruparse y sistematizarseporniveles. • Integración de políticas con procedimientos y controlescomo un conjuntointegrado.

47. Principio 10 Selecciona y desarrolla control de las actividades • Foco en : • Integrar los controles con los riesgos. • Especificar los factores de riesgos ( causas ). • Determinar los procesos significativos , riesgos y controles ). • Evaluar qué tipo de controles se necesitan y su mezcla. • Detallar los controles por niveles. • Contar con segregación de funciones.

48. Principio 11 Selecciona y desarrollacontrolespara la tecnología • Foco en : • Determinar con detalles las relaciones de los procesos con tecnología, sus riesgos y controles automáticos y generales en los respectivos procesos( nota del profesor Valdivieso, se recomienda ver COBIT ). • Establecer la tecnología en uso y su infraestuctura, sus riesgos y controles. • Determinar y probar todo lo relativo a seguridad de IT en sus disntintos ámbitos . • Analizar todo lo referente a adquisiones de TI y sus controles. ( de nuevo, favor ver COBIT ) • TI es ahora con COSO 2013 parte integrante del Control interno.

49. Principio 12 Políticas y procedimientosDeploys through policies and procedures • Foco en : • Políticas y procedimientos. • Establecer accountabilities en la ejecución de políticas y procedimientos. • Controles hacerlos oportunamente. • Ver las desviaciones y corregirlas. • Usar las competencias personales. • Revisar y retroalimentar políticas y procedimientos.

50. CONTROL DE ACTIVIDADES INFORMACIÓN Y CONTROL PRINCIPIOS INVOLUCRADOS 13 Usa información relevante 14La organizacióninternacomunicainformaciónincluyendoobjetivos y responsabilidadespara el soporte y funcionamiento del control interno 15 Comunicación con entesexternoslasmaterias de operación del control interno.