|
Modelo COSO como una herramienta de control
“COSO…Es un proceso efectuado por la junta directiva, gerentes y el personal de una entidad, aplicado en el establecimiento de la estrategia, diseñado para identificar eventos potenciales que puedan afectar la entidad, y gestionar los riesgos para estar dentro de su apetito de riesgo, proporcionando una seguridad razonable sobre la consecución de los objetivos de la entidad.”
Marco conceptual
Éste define sus componentes esenciales sugeridos, como un lenguaje común, y provee una clara dirección y guía para la administración de riesgos.
Objetivos de una entidad
Pueden ser vistos en el contexto de cuatro categorías:
• Estratégicos
• Operaciones
• Reporte/información
• Cumplimiento
Ambiente interno
* Establece la política de administración de riesgos.
* Reconoce qué eventos (esperados e inesperados) pueden ocurrir.
* Toma en cuenta las acciones de la Organización para delimitar su cultura de riesgo.
Establecimiento de objetivos
* Estratégicos: metas de alto nivel
* Operacionales: uso eficaz y eficiente de los recursos.
* Reporte: confiabilidad de la información.
* Cumplimiento: de leyes y reglamentos.
identificación de eventos
Implica la identificación de incidentes, que ocurren de forma interna o externamente, que podrían afectar a la estrategia y el logro de los objetivos.
Direcciona cómo los factores internos y externos se combinan e interactúan para influir en el perfil de riesgo.
· Asignación de riesgos
Permite comprender el grado en que los eventos potenciales podrían afectar los objetivos en la entidad y analiza el riesgo desde dos perspectivas:
Probabilidad e Impacto. Este se utiliza para evaluar los riesgos y también suele utilizarse para medir los objetivos relacionados. Emplea una combinación de metodologías de evaluación cualitativa y cuantitativa del riesgo.
· Respuesta al riesgo
Evalúa las opciones en relación con el apetito de riesgo de la entidad, el costo-beneficio de las respuestas potenciales de riesgo, y el grado en que una respuesta será reducir el impacto y/o riesgo. Identifica y evalúa las posibles respuestas al riesgo y selecciona y ejecuta la respuesta basada en la evaluación de la cartera de riesgos y respuestas.
Para aceptar, evitar, reducir o compartir el riesgo se desarrollan actividades de control
* Las políticas y procedimientos que ayudan a asegurar que las respuestas al riesgo, así como otras acciones de la entidad, se realicen.
* Ocurren en toda la organización, en todos los niveles y en todas las funciones.
* Incluye la aplicación y el control general en las tecnologías de la información.
Información y comunicación
* Gestión que identifica y comunica la información pertinente en tiempo y forma que permite a las personas que administran, llevar a cabo sus responsabilidades.
* La comunicación se produce en un sentido más amplio, que fluye hacia abajo a través de toda la organización.
El monitoreo se realiza a través de actividades de vigilancia en curso y valuaciones independientes o una combinación de las anteriores.
El Comité emitió el Marco Integrado de Control Interno, el cual pretende ayudar a las empresas a evaluar y reforzar su sistema de control interno.
Este Marco Integrado de Control interno, tiene como base el conocimiento de los diversos riesgos que puede enfrentar una empresa. La administración de estos riesgos, logrará que el impacto resultante no tenga un efecto negativo dentro de las operaciones de la empresa.
El establecimiento de un programa COSO ERM, es responsabilidad de la administración de la empresa, con el apoyo de los auditores internos, quienes tienen un papel importante en el establecimiento de dicho programa, pero no tienen la responsabilidad de su ejecución o mantenimiento.
Comunicación de riesgos y hallazgos:
* Narrativas de los objetivos de negocio relacionados con los riesgos operativos y de controles.
* Lista de los riesgos clave a ser controlados o usados.
* Comprensión de la gerencia de las principales responsabilidades de la gestión de riesgo. Se adapta al logro de objetivos de la entidad por operativos, de información y cumplimiento, un proceso de tareas y actividades continuas, un sistema que involucra personas, no sólo políticas, manuales y procedimientos para afectar el control interno.
Capaz de brindar seguridad razonable y es adaptable a la estructura de la entidad. Flexible para cualquier aplicación dentro de la entidad.
A continuación se incluye un cuestionario donde se describen actividades encaminadas a la implementación:
|
El área de RH realiza encuestas de satisfacción a los colaboradores cada seis meses y sus resultados son presentados a Gobierno corporativo.
|
|
Los resultados de las encuestas generan planes de acción liderados por Innovación y desarrollo, que minimicen la causa que genera la inconformidad de los colaboradores.
|
|
La Política antifraude, limita la contratación o promoción de funcionarios que no cumplen con:
a. Funciones de control
b. Evaluación de riesgo
c. Monitoreo
|
|
La Política Antifraude fue aprobada el ____, divulgada a la organización el ________ y se revisa y actualiza cada ______
|
|
Todos los eventos de fraude y/o sospecha de fraude se administran según la Política establecida.
|
|
Inmediatamente se conoce el evento de fraude, se toman acciones correctivas y ejemplares con los funcionarios involucrados.
|
|
Se tiene definida la metodología para administrar y gestionar el riesgo de fraude, la cual es liderada por el área de _______.
|
|
Se han identificado las posibles acciones de fraude que pueden cometer los funcionarios, estableciendo controles en dichos áreas vulnerables, dejando registro de dichas sesiones de identificación.
|
|
Se tiene un plan para la recepción, gestión y respuesta a las denuncias, el cual NO es administrado por los funcionarios de seguridad, pues es administrado por el área de __________, capacitada en dicha administración.
|
|
El Plan de administración de denuncias es revisado y evaluado periódicamente por el Comité de __________
|
|
Todas las denuncias recibidas son presentadas periódicamente al Comité de Auditoría.
|
|
Se cuenta con una metodología para la administración del Riesgo de Fraude, la cual incluye la :
- Identificación (malversación de activos, ingresos o gastos no reportados)
- Medición (Impacto y la probabilidad)
- Administración
- Monitoreo
- Responsable de la Metodología
|
|
Se han identificado las áreas y/o procesos con mayor vulnerabilidad a fraude (inventarios, administración de efectivo, etc.), considerando la materialización de Fraudes por la Alta Gerencia.
|
|
Realizar talleres de identificación de riesgos en los diferentes niveles de la organización, estableciendo controles para su mitigación.
|
|
Los procesos de la organización son revisados periódicamente, realizando actualizaciones acordes al funcionamiento de la organización.
|
|
Los dueños de proceso han implementado controles de monitoreo, que les permite validar el cumplimiento de los controles establecidos para la mitigación de riesgos de Fraude.
|
|
Desarrollar matrices de segregación de funciones que minimizan la materialización de fraudes por concentración de funciones.
|
|
Accesos restringidos, bitácoras de auditoría, así como asignación de accesos dentro del marco de segregación de funciones.
|
|
Se realizan campañas en todos los niveles de la organización orientados a crear conciencia de denunciar eventos de Fraude
|
|
La Línea Ética es administrada por __________y funciona continuamente.
|
|
Los clientes y proveedores son involucrados en los planes de concientización de denuncia de los fraudes y/o sobornos.
|
|
Los lineamientos sobre la consecuencia del fraude ha sido divulgada en todos los niveles de la organización.
|
|
Se realizan capacitaciones periódicas sobre el Código de Conducta y Ética.
|
|
La Función de Auditoría Interna incluye dentro de la definición de su Plan de Trabajo la identificación de riesgos de Fraude.
|
|
Se cuenta con personal especializado en la investigación de eventos de Fraudes y/o se ha contemplado su contratación.
|
|
Los controles anti fraude son monitoreados de forma regular por la administración.
|
|
Los resultados de monitoreo a los controles anti fraude son comunicados oportunamente al Comité de Auditoría.
|
|
El Comité de Auditoría cuenta con un miembro especializado en Fraude.
|
Este modelo de control está enfocado a crear conciencia de fraude en las entidades ante cualquier amenaza, ya que las estadísticas indican un alto índice de fraudes que han estremecido al mundo en casos muy sonados y que han generado acciones y reacciones. La Comisión Treadway es una de ellas atendiendo temas de fraude, ética, administración de riesgos, emisión de reportes financieros
COSO: es una organización voluntaria establecida en los Estados Unidos de América que está dedicada a proveer guías a los administradores y gobierno corporativo de las empresas o entidades en temas críticos a este respecto. COSO responde a las siglas en inglés Committee of Sponsoring Organizations of the Treadway Commission
CPC. Javier Ulises Romero Pérez.
|
