Trabajo de compilación bibliográfica Auditoria Sistemas II COSO, SOX, MEJORES PRÁCTICAS INTERNACIONALES EN CONTROL INTERNO Presentado por: Liliana Montes Díaz Código: 0905026 Presentado a: Carlos Hernán Gómez Gómez Administración de Sistemas Informáticos Universidad Nacional de Colombia Sede Manizales Septiembre de 2010 ÍNDICE Portada Índice Introducción Marco teórico Cuerpo del trabajo Historia y evolución Descripción general Comparación con COBIT Resumen Conclusiones y observaciones Bibliografía INTRODUCCIÓN Debido al mundo económico integrado que existe hoy en día se ha creado la necesidad de integrar metodologías y conceptos en todos los niveles de las diversas áreas administrativas y operativas con el fin de ser competitivos y responder a las nuevas exigencias empresariales, surge así un nuevo concepto de control interno donde se brinda una estructura común el cual es documentado en el denominado informe COSO. SOX es un sistema de implementación de control interno para la certificación de las empresas mediante la verificación y análisis del correcto funcionamiento de sus procedimientos, información confiable y gestiones oportunas. La Ley Sarbanes-Oxley es una Ley federal de Estados Unidos que ha generado mucha controversia, ya que esta Ley va en respuesta a los escándalos financieros de algunas grandes corporaciones, entre los que se incluyen los casos que afectan a Enron, Tyco International, WorldCom y Peregrine Systems. Estos escándalos hicieron caer la confianza de la opinión pública en los sistemas de contabilidad y auditoría. Las mejores prácticas internacionales en control interno de los procesos pueden ser un punto de partida importante a la hora de crear, proteger y dar valor a los clientes. Las mejores prácticas son estándares que han surgido de la experiencia e investigación de muchos años, es decir, no es necesaria la “reinvención de la rueda”, las herramientas ya están, es sólo conocerlas, entenderlas, y aplicarlas en el control interno. MARCO TÉORICO El control interno comprende el plan de organización, los métodos y procedimientos que tiene implantados una empresa o negocio, estructurados en un todo para la obtención de tres objetivos fundamentales: La obtención de información financiera correcta y segura. La salvaguarda de los activos. La eficiencia de las operaciones. El control interno ha carecido durante muchos años de un marco referencial común, generando expectativas diferentes entre empresarios y profesionales. El control interno debe garantizar la obtención de información financiera correcta y segura ya que ésta es un elemento fundamental en la marcha del negocio, pues con base en ella se toman las decisiones y formulan programas de acciones futuras en las actividades del mismo. Debe permitir también el manejo adecuado de los bienes, funciones e información de una empresa determinada, con el fin de generar una indicación confiable de su situación y sus operaciones en el mercado. CUERPO DEL TRABAJO COSO Historia y evolución: En 1985 se formó la Comisión Nacional para Emisión de Informes Fraudulentos, conocida como la Treadway Commission, a fin de identificar las causas de la proliferación actual de emisión de informes fraudulentos. En 1987 la Treadway Commission solicitó realizar un estudio para desarrollar una definición común del control interno y marco conceptual. En 1988, el Comité de Organizaciones Patrocinantes de la Comisión Treadway, conocido como COSO, seleccionó a Coopers & Lybrand para estudiar el control interno. En septiembre de 1992 se publicó el informe del Marco Conceptual integrado de Control Interno (Estudio COSO I). El denominado "INFORME COSO" sobre control interno, publicado en Estados Unidos en 1992, surgió como una respuesta a las inquietudes que planteaban la diversidad de conceptos, definiciones e interpretaciones existentes en torno a la temática referida. Plasma los resultados de la tarea realizada durante más de cinco años por el grupo de trabajo que la Treadway Commission, National Commission on Fraudulent Financial Reporting creó en Estados Unidos en 1985 bajo la sigla COSO (Committee of Sponsoring Organizations). El grupo estaba constituido por representantes de las siguientes organizaciones: American Accounting Association (AAA). American Institute of Certified Public Accountants (AICPA). Financial Executive Institute (FEI). Institute of Internal Auditors (IIA). Institute of Management Accountants (IMA). Se trataba entonces de materializar un objetivo fundamental: Definir un nuevo marco conceptual del control interno, capaz de integrar las diversas definiciones y conceptos que venían siendo utilizados sobre este tema, logrando así que, al nivel de las organizaciones públicas o privadas, de la auditoría interna o externa, o de los niveles académicos o legislativos, se cuente con un marco conceptual común, una visión integradora que satisfaga las demandas generalizadas de todos los sectores involucrados. Committee of Sponsoring Organizations, creó COSO, para facilitar a las empresas a evaluar y mejorar sus sistemas de control interno. Desde entonces ésta metodología se incorporó en las políticas, reglas y regulaciones y ha sido utilizada por muchas compañías para mejorar sus actividades de control hacia el logro de sus objetivos. Existen en la actualidad dos versiones del Informe COSO. La versión del 1992 y la versión del 2004, publicada recientemente. Hacia fines de Septiembre de 2004, como respuesta a una serie de escándalos, e irregularidades que provocaron pérdidas importante a inversionistas, empleados y otros grupos de interés, nuevamente el Committee of Sponsoring Organizations of the Treadway Commission, publicó el Enterprise Risk Management - Integrated Framework y sus Aplicaciones técnicas asociadas, el cual amplía el concepto de control interno, proporcionando un foco más robusto y extenso sobre la identificación, evaluación y gestión integral de riesgo. Este nuevo enfoque no intenta ni sustituye el marco de control interno, sino que lo incorpora como parte de él, permitiendo a las compañías mejorar sus prácticas de control interno o decidir encaminarse hacia un proceso más completo de gestión de riesgo. Adicionalmente, dado que COSO Enterprise Risk Management - Integrated Framework se encuentra completamente alineado con el Internal Control Integrated Framework, las mejoras en la gestión de riesgo permitirán mejorar, aún más, sobre la inversión ya realizada en control interno bajo las disposiciones de la Ley Sarbanes-Oxley. Descripción General: El Informe COSO es un documento que contiene las principales directivas para la implantación, gestión y control de un sistema de Control Interno. Debido a la gran aceptación de la que ha gozado, desde su publicación en 1992, el Informe COSO se ha convertido en el estándar de referencia en todo lo que concierne al Control Interno. Recientemente, el interés de los profesionales de la auditoria y las finanzas por el informe COSO se ha reavivado gracias también a las nuevas exigencias en lo que concierne al Control Interno introducido por el Sarbanes Oxley Act (SOX). Es un proceso efectuado por el consejo de administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: Eficacia y eficiencia en las operaciones: Se relaciona con los objetivos del negocio incluyendo el desempeño y metas de rentabilidad. Confiabilidad de los informes financieros: Se relaciona con la preparación de estados financieros confiables. Cumplimiento con los aspectos legales y regulatorios: Se relaciona con el cumplimiento de las leyes y las regulaciones. El Informe COSO tiene dos objetivos fundamentales: Encontrar una definición clara del Control Interno: Para que pueda ser utilizada por todos los interesados en el tema. Proponer un modelo ideal o de referencia del Control Interno: Para que las empresas y las demás organizaciones puedan evaluar la calidad de sus propios sistemas de Control Interno. Todo esto es aplicado al Control Interno de una organización: El control interno comprende el plan de organización, el conjunto de métodos y procedimientos que aseguren que los activos estén debidamente protegidos, que los registros contables son fidedignos y que la actividad de la empresa se desarrolla eficazmente, según las directrices marcadas por la administración. El control interno posee cinco componentes que pueden ser implementados en todas las compañías de acuerdo a las características administrativas, operacionales y de tamaño; los componentes son: un ambiente de control, una valoración de riesgos, las actividades de control (políticas y procedimientos), información y comunicación y finalmente el monitoreo o supervisión. Componentes: El marco integrado de control que plantea el informe COSO consta de cinco componentes interrelacionados, derivados del estilo de la dirección, e integrados al proceso de gestión: Ambiente de control: El ambiente de control define al conjunto de circunstancias que enmarcan el accionar de una entidad desde la perspectiva del control interno y que son por lo tanto determinantes del grado en que los principios de este último imperan sobre las conductas y los procedimientos organizacionales. Evaluación de riesgos: El control interno ha sido pensado esencialmente para limitar los riesgos que afectan las actividades de las organizaciones. A través de la investigación y análisis de los riesgos relevantes y el punto hasta el cual el control vigente los neutraliza se evalúa la vulnerabilidad del sistema. Actividades de control: Están constituidas por los procedimientos específicos establecidos como un reaseguro para el cumplimiento de los objetivos, orientados primordialmente hacia la prevención y neutralización de los riesgos. Información y comunicación: Así como es necesario que todos los agentes conozcan el papel que les corresponde desempeñar en la organización, es imprescindible que cuenten con la información y comunicación periódica y oportuna que deben manejar para orientar sus acciones en consonancia con los demás, hacia el mejor logro de los objetivos. Supervisión: Incumbe a la dirección la existencia de una estructura de control interno idónea y eficiente, así como su revisión y actualización periódica para mantenerla en un nivel adecuado. SOX Historia y evolución: Ley Sarbanes-Oxley: La Ley toma el nombre del senador Paul Sarbanes (Demócrata) y el congresista Michael G. Oxley (Republicano). Se considera uno de los cambios más significativos en la legislación empresarial, desde el “New Deal” de 1930. La Ley Sarbanes Oxley, cuyo título oficial en inglés es Sarbanes-Oxley Act of 2002, Pub. L. No. 107-204, 116 Stat. 745 (30 de julio de 2002), es una ley de Estados Unidos también conocida como el Acta de Reforma de la Contabilidad Pública de Empresas y de Protección al Inversionista. También es llamada SOX, SarbOx o SOA. La Ley Sarbanes Oxley nace en Estados Unidos con el fin de monitorear a las empresas que cotizan en bolsa, evitando que las acciones de las mismas sean alteradas de manera dudosa, mientras que su valor es menor. Su finalidad es evitar fraudes y riesgo de bancarrota, protegiendo al inversor. Esta ley, más allá del ámbito nacional, afecta a todas las empresas que cotizan en NYSE (Bolsa de Valores de Nueva York), así como a sus filiales. Descripción General: SOX es un sistema de implementación de control interno para la certificación de las empresas mediante la verificación y análisis del correcto funcionamiento de sus procedimientos, información confiable y gestiones oportunas. SOX nace de la Ley Sarbanes Oxley que abarca y establece nuevos estándares para los consejos de administración y dirección y los mecanismos contables de todas las empresas que cotizan en bolsa en los Estados Unidos. Introduce responsabilidades penales para el consejo de administración y establece unos requerimientos por parte de la SEC (Securities and Exchanges Commission), es decir, la comisión reguladora del mercado de valores de Estados Unidos. Los partidarios de esta Ley afirman que la legislación era necesaria y útil, mientras los críticos creen que causará más daño económico del que previene. La primera y más importante parte de la Ley establece una nueva agencia casi pública, “The Public Company Accounting Oversight Board", es decir, una compañía reguladora encargada de revisar, regular, inspeccionar y disciplinar a las auditoras. La Ley también se refiere a la independencia de las auditoras, el gobierno corporativo y la transparencia financiera. La ley estadounidense “Sarbanes-Oxley Act” tiene como objetivo generar un marco de transparencia para las actividades y reportes financieros de las compañías que cotizan en Bolsa, lo que le aporta más confianza y mayor certidumbre a los accionistas y al propio Estado. La ley afecta a todas las empresas públicas en los Estados Unidos, tanto como su subsidiaria en todo el mundo y empresas extranjeras que coticen en cualquier Bolsa de Valores en los Estados Unidos. En particular, SOX tiene tres artículos (secciones) que afectan directamente la utilización de la tecnología informática así: Sección 302: Responsabilidad Corporativa por los estados financieros. Primera fase de SOX entró en rigor desde otoño 2003. Esta sección exige que los gerentes financieros y los gerentes generales certifiquen personalmente y avalen la exactitud de los estados financieros de la empresa. Sección 404: Evaluación de la administración del control interno. Es el requerimiento más urgente y demandante de SOX para TI y exige que los auditores certifiquen los controles y procesos de TI requeridos para garantizar los resultados financieros. Esta sección les exige a los auditores, internos y externos, que certifiquen los controles internos y los procesos por los cuales los ejecutivos obtienen la información. Sección 409: Liberación en tiempo real de la información requerida. Es el requerimiento más exigente de SOX y está planeado para el futuro. Exige el reporte en tiempo real de eventos materiales que podrían afectar el desempeño financiero de una compañía. El aspecto de tiempo en este requerimiento ejercerá presión significativa sobre la infraestructura actual de TI y las actividades de su administración. Las principales novedades introducidas por la Ley Sarbanes Oxley son: SOX regula la creación y funcionamiento de un órgano que supervise la actividad de las empresas de auditoría (Public accounting firms). Es evidente que los legisladores pretenden monitorear más de cerca la actividad de las firmas de auditoría. SOX establece algunas importantes limitaciones a la actividad de las firmas de auditoría. El principio general es que no se permite a las firmas de auditoría ofrecer a sus clientes otros servicios distintos al de auditoría. Se establece además la obligación de rotación del socio responsable del encargo cada cinco años. Muy interesante es el llamado periodo del “Cooling-off” en base al cual una firma de auditoría no puede ofrecer sus servicios a una empresa en la que el Director General o Administrador, Director Financiero, Controlador, Director Administrativo o Director de Contabilidad han sido miembros del equipo de auditoría en el año anterior. Los principales beneficios de SOX son: Implantación de mecanismos de evaluación de riesgos y revisión de los procesos. Formalización y divulgación de actividades y responsabilidades. Implantación de un Código de ética. Protección de la empresa contra fraudes internas, estableciendo controles y revisiones de delegación de autoridad y aprobaciones. Comprometimiento de los colaboradores en relación a las mejoras de control. Elevación del nivel de seguridad de las aplicaciones. Además de estos beneficios, también permite hacer viable los controles internos y la evaluación del flujo de información, el mapeo de procesos críticos de las empresas, gestión de los riesgos asociados a estos procesos, asignación de responsabilidades a los responsables internos, identificación de no conformidades y rapidez en la resolución de riesgos. MEJORES PRÁCTICAS INTERNACIONALES EN CONTROL INTERNO Descripción General: En la actualidad existen herramientas muy utilizadas que pueden ayudar a comparar que tan buenas prácticas en control interno tiene una organización: COSO (Commite of Sponsoring Organizations of the Treadway Commission y COBIT (Control Objectives for Information and related Technology). COSO: El Informe COSO es un documento que define unos parámetros para la implantación, gestión y control de un sistema de Control Interno. Debido a la gran aceptación de la que ha gozado, desde su publicación en 1992, el Informe COSO se ha convertido en el estándar de referencia en todo lo que concierne al Control Interno. COBIT: Provee un modelo de “mejores prácticas” que le pueden ayudar al Auditor a evaluar de manera ágil y consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de información y tecnología contribuyen al logro de los objetivos del negocio. COMPARATIVO CON COBIT COBIT (Control Objectives Control Objectives for Information and related Technology) es el marco aceptado internacionalmente como una buena práctica para el control de la información, TI y los riesgos que conllevan. COBIT se utiliza para implementar el gobierno de IT y mejorar los controles de IT. Contiene objetivos de control, directivas de aseguramiento, medidas de desempeño y resultados, factores críticos de éxito y modelos de madurez. Para ayudar a las organizaciones a satisfacer con éxito los desafíos de los negocios actualmente, el IT Governance Institute® (ITGI) ha publicado la versión de COBIT® 4.1. COBIT es un framework de Gobierno de TI y un conjunto de herramientas de soporte para el gobierno de T.I que les permite a los gerentes cubrir la brecha entre los requerimientos de control, los aspectos técnicos y riesgos de negocio. COBIT hace posible el desarrollo de una política clara y las buenas prácticas para los controles de T.I a través de las organizaciones, enfatizando en la conformidad a regulaciones, ayuda a las organizaciones a incrementar el valor alcanzado desde la TI, permite el alineamiento y simplifica la implementación de la estructura COBIT. RESUMEN El Informe COSO es un documento que define unos parámetros para la implantación, gestión y control de un sistema de Control Interno. Debido a la gran aceptación de la que ha gozado, desde su publicación en 1992, el Informe COSO se ha convertido en el estándar de referencia en todo lo que concierne al Control Interno. El modelo COSO provee a los usuarios (Gerentes, Contralores, Auditores, etc.), de una base de comparación con la cual pueden implementar, evaluar o modificar un sistema de control interno. Existen en la actualidad dos versiones del Informe COSO. La versión del 1992 y la versión del 2004. La versión del 2004 es una ampliación del Informe original, para dotar al Control Interno de un mayor enfoque hacia el Enterprise Risk Management, o gestión del riesgo. El Informe COSO define el Control Interno como un proceso que garantice, con una seguridad razonable (y por lo tanto no absoluta), que se alcanzan los tres objetivos siguientes: Eficacia y eficiencia de las operaciones. Fiabilidad de la información financiera. Cumplimiento de las leyes y normas que sean aplicables. Un buen sistema de control interno le puede ayudar a la administración una compañía a: Lograr sus objetivos de una forma eficiente y efectiva. Prevenir la pérdida de activos. Generar información financiera confiable. Cumplir con las leyes y reglamentaciones. Según las mejores prácticas internacionales, un sistema de control interno efectivo debe comprender al menos cinco componentes como son: El ambiente de control, La valoración o gestión de riesgos, Las actividades de control, Los sistemas de información y comunicación y El debido monitoreo de su efectividad. CONCLUSIONES Y OBSERVACIONES En el marco de control postulado a través del Informe COSO, la interrelación de los cinco componentes (Ambiente de control, Evaluación de riesgos, Actividades de control, Información y comunicación, y Supervisión) genera una sinergia conformando un sistema integrado que responde dinámicamente a los cambios del entorno. El cumplimiento de las disposiciones de SOX permite: Mejorar la estructura de controles internos, financieros y no financieros; mejorar los procesos operacionales y financieros; alcanzar un nuevo nivel de Gobierno Corporativo; dar mayor credibilidad junto al mercado, en función del combate a los fraudes financieros. La ventaja de utilizar las mejores prácticas internacionales de control interno, es que se puede tomar un camino que garantiza en gran parte el logro de los objetivos del negocio, porque se cuenta con modelos, métodos y procedimientos que nacen de la experiencia de años de práctica y son frutos de los buenos resultados en las organizaciones en las cuales estas se han implementado. BIBLIOGRAFÍA http://www.monografias.com/trabajos12/coso/coso.shtml http://www.unap.cl/~setcheve/cdeg/CdeG%20(2)-38.htm http://www.slideshare.net/alafito/coso-version-mail http://212.9.83.4/auditoria/home.nsf/COSO_1!OpenPage http://es.wikipedia.org/wiki/Ley_Sarbanes-Oxley http://www.gestiopolis.com/delta/term/TER417.html http://auditool.org/index.php?option=com_content&task=view&id=252&Itemi d=31 http://www.upc.edu.pe/2/modulos/JER/JER_Interna.aspx?ARE=2&PFL=2&J ER=3749