COSO SOX - auditoriaunal20101

Compilación Bibliográfica: Ley de Sarbanes-Oxley (SOX) y Committee of
Sponsoring Organizations (COSO)
José Alejandro Arias M. cod.907037
Materia: Auditoría de Sistemas II
Profesor: Carlos Hernán Gómez
Universidad Nacional de Colombia
Sede Manizales
Marzo de 2010
ÍNDICE
Introducción_________________________________________ 3
Marco Teórico________________________________________ 4
Desarrollo del Trabajo__________________________________6
Ley de Sarbanes-Oxley____________________________6
COSO__________________________________________11
Comparativo con COBIT__________________________ 24
Resumen____________________________________________ 25
Conclusiones y Observaciones__________________________29
Bibliografía___________________________________________30
INTRODUCCIÓN
En el trabajo presentado a continuación se presenta una compilación bilbiográfica
basada inicialmente en la reconocida ley SOX o de Sarbanes-Oxley, la cual ha
visto la luz desde hace poco a raíz de los principales escándalos financieros en
Estados Unidos en inicios del nuevo milenio. Para la recopilación de esta
información se recurrió a diversos escritos y artículos que mencionaban
características de la ley, así como a su vez resumían algunos artículos
importantes, el resultado final es un compendio bien explicado de la ley en cuanto
a sus inicios y sus intereses.
También se aborda el tema de COSO (Committee of Sponsoring Organizations of
Treadway Comission), el cual básicamente es un comité de iniciativa privada, que
ha propuesto un marco de control en conformidad con la ley SOX. Para este tema
se tuvo que hacer una investigación un poco más exhaustiva ya que el material
viene principalmente en Inglés, de esta manera se recurrió a sitios de internet de
algunas compañías auditorias que explicaban en conformidad este marco de
referencia. El resultado es una explicación de buen nivel en la cual se profundizan
los 5 componentes principales que se encuentran en este marco.
MARCO TEÓRICO
El Control Interno:
El Control Interno es el conjunto de principios, fundamentos, reglas, acciones,
mecanismos, instrumentos y procedimientos que ordenados, relacionados entre sí
y unidos a las personas que conforman una organización, se constituye en un
medio para lograr el cumplimiento de sus objetivos y la finalidad que persigue
frente a los diferentes públicos o grupos de interés que debe atender.
En consecuencia el Control Interno no es un evento aislado, más bien es una serie
de acciones que ocurren de manera constante a través del funcionamiento y
operación de una entidad, debiendo reconocerse por lo tanto como un
componente integral de cada sistema parte inherente a la estructura administrativa
y operacional existente en la organización, asistiendo a la dirección de manera
constante, en cuanto al manejo de la entidad y la realización de sus metas se
refiere.
¿Quiénes ejercen el control interno?
El control interno lo ejerce cada uno de las personas que hacen parte de la entidad
y que contribuyen al cumplimiento de los objetivos establecidos.
¿Para qué sirve el control interno?
Sirve para garantizar que cada uno de los procesos, políticas, metas y actividades
se cumplan de acuerdo a lo preestablecido, dando el máximo de rendimiento en
cumplimiento de su misión.
Principios del control interno
La Constitución Política de 1991, estableció los principios que deben cumplirse en
el ejercicio de la Función Pública de Administrar el Estado, constituyéndose en los
preceptos fundamentales definidos para encaminar su desarrollo y otorgar
orientación estratégica a la toma de decisiones. Están presentes en todos los
procesos, actividades o tareas emprendidas por la entidad pública a fin de cumplir
con su propósito institucional.



Responsabilidad
Transparencia
Moralidad








Igualdad
Imparcialidad
Eficiencia
Eficacia
Economía
Celeridad
Publicidad
Preservación del medio ambiente
Fundamentos del Control Interno



Autorregulación
Autocontrol
Autogestión
Auditoría Interna
Mecanismo a través del cual las Oficinas de Control Interno verifican el
cumplimiento de las metas, procedimientos, políticas, objetivos, planes,
programas, proyectos, directrices, normatividad, de la entidad pública, como
también oportunidades de mejora a la operación de las actividades; apoyando a la
alta dirección en la toma de decisiones sobre la base de evidencias para corregir
las desviaciones presentadas.
DESARROLLO
La Ley de Sarbanes Oxley (SOX)
En julio del 2002, en medio de un agitado clima político y económico, el congreso
americano sancionó la resonada ley «Sarbanes-Oxley» (SOX), un compendio
jurídico de más de 100 páginas de estrictos lineamientos contables y corporativos,
lo que significó para muchos, una clara injerencia del estado en los asuntos
internos corporativos, así como una gradual pérdida de libertad del manejo
corporativo.
La Ley Sarbanes-Oxley ha generado mucha controversia, ya que ésta va en
respuesta a los escándalos financieros de algunas grandes corporaciones, entre
los que se incluyen los casos que afectan a Enron, Tyco International, WorldCom y
Peregrine Systems. Estos escándalos hicieron caer la confianza de la opinión
pública en los sistemas de contabilidad y auditoría. La Ley toma el nombre del
senador Paul Sarbanes (Demócrata) y el congresista Michael G. Oxley
(Republicano). Los partidarios de esta Ley afirman que la legislación era necesaria
y útil, mientras los críticos creen que causara más daño económico del que
previene.
El presidente de la desaparecida WorldCom, Bernard Ebbers de 63 años, que
otrora fuese considerado el genio de las telecomunicaciones, al llevar una
pequeña empresa a ser un emporio internacional, fue recientemente declarado
culpable por un fraude de más de US$11.000 millones, y en un fallo sin
precendetes, condenado a 25 años de cárcel.
Muchas personas, incluyendo sus propios empleados que durante años habían
invertido en acciones, quedaron literalmente en la quiebra. Igual suerte corrieron
los 21.000 empleados y 4.500 jubilados de Enron, cuyos ahorros estaban
depositados en acciones de su compañía, cuando en el 2001 la cotización de esta
acciones se desplomó tras el escándalo, (la acción pasó de 85 dólares a unos
pocos centavos en menos de un año), y no pudieron vender porque la
reglamentación sobre fondos de pensiones se lo impedía.
Los hechos revelados en empresas de clase mundial ubicadas principalmente en
Estados Unidos y Europa en tan solo 4 años sumaban más de US$100.000
millones de pérdidas por fraude contable y corporativo.
Sin embargo, fue quizá la pérdida de confianza de los inversionistas, el daño más
grave realizado. La crisis de credibilidad se hizo sentir en una fuerte caída de la
bolsa, y un temor generalizado de los inversionistas que no se veía quizá, desde la
caída de la bolsa de 1929.
A raíz de estos hechos, el gobierno norteamericano decidió tomar cartas en el
asunto dando paso a una profunda reforma legislativa iniciada por el Congreso de
ese país y la Comisión de Valores (SEC), destinada a restablecer la confianza en
los informes financieros corporativos.
La legislación abarca y establece nuevos estándares para los consejos de
administración y dirección y los mecanismos contables de todas las empresas que
cotizan en bolsa en los Estados Unidos. Introduce responsabilidades penales para
el consejo de administración y establece unos requerimientos por parte de la SEC.
La SOX es sin duda, el cambio más grande e importante en legislación sobre
manejo de contaduría y finanzas empresariales en las últimas décadas. La SOX
representa además, un enorme desafío para los departamentos contables de las
empresas obligadas, en tanto el volumen de los cambios, su aplicación, y también,
en mayor medida, por el desconocimiento que aún existe en la materia.
Su alcance no se reduce a las compañías americanas y sus ejecutivos (CEO,
CFO, directores con funciones similares) sino también, a múltiples empresas de
otras latitudes que cotizan en bolsas americanas, las subsidiarias de empresas
registradas con la SEC, los emisores domésticos o extranjeros que están
registrados con la SEC, e incluso, a los proveedores de estas compañías.
La SOX representa un verdadero replanteamiento la responsabilidad y la ética al
interior del mundo corporativo. Entre sus objetivos generales esta, en primer lugar,
establecer o mejorar el ambiente de control interno de las empresas públicas, y
segundo, definir y formalizar responsabilidades sobre su cumplimiento al CEO,
CFO y auditores financieros.
Novedades y puntos más importantes que introduce la Ley Sarbanes-Oxley:

La creación del “Public Company Accounting Oversight Board” (Comisión
encargada de supervisar las auditorías de las compañías que cotizan en
bolsa).

El requerimiento de que las compañías que cotizan en bolsa garanticen la
veracidad de las evaluaciones de sus controles internos en el informe
financiero, así como que los auditores independientes de estas compañías
constaten esta transparencia y veracidad.

Certificación de los informes financieros, por parte del comité ejecutivo y
financiero de la empresa.

Independencia de la empresa auditora.

El requerimiento de que las compañías que cotizan en bolsa tengan un
comité de auditores completamente independientes, que supervisen la
relación entre la compañía y su auditoría. Este comité de auditores
pertenece a la compañía, no obstante los miembros que lo forman son
completamente independientes a la misma. Esto implica que sobre los
miembros, que forman el comité de auditores, recae la responsabilidad
confirmar la independencia.

Prohibición de préstamos personales a directores y ejecutivos.

Transparencia de la información de acciones y opciones, de la compañía en
cuestión, que puedan tener los directivos, ejecutivos y empleados claves de
la compañía y consorcios, en el caso de que posean más de un 10% de
acciones de la compañía. Asimismo estos datos deben estar reflejados en
los informes de las compañías.

Endurecimiento de la responsabilidad civil así como las penas, ante el
incumplimiento de la Ley. Se alargan las penas de prisión, así como las
multas a los altos ejecutivos que incumplen y/o permiten el incumplimiento
de las exigencias en lo referente al informe financiero.

Protecciones a los empleados caso de fraude corporativo. La OSHA
(Oficina de Empleo y Salud) se encargará en menos de 90 días, reinsertar
al trabajador, se establece una indemnización por daños, la devolución del
dinero defraudado, los gastos en pleitos legales y otros costes.
Los cambios más importantes respecto de la gerencia de las compañías son, a
modo de síntesis, los siguientes:

Se requieren comités de auditoría independientes y deben incluir, al menos,
un experto financiero que tenga la capacidad de interpretar y detectar
situaciones anómalas

Aparecen nuevas sanciones (multas y prisión) por la presentación de
estados financieros fraudulentos

Se establece el requerimiento de mantener códigos de ética para
funcionarios “senior”, basándose en la premisa que el comportamiento
ético debe transmitirse desde la cúpula directiva hacia las bases

Necesidad de revelar en tiempo real cambios que afecten de forma
importante al negocio y que, por tanto, deban ser conocidos por el público
inversor

Responsabilidad personal definida del director general y director financiero
sobre la “exactitud” en los estados financieros y adecuados controles
internos sobre la información financiera
Es importante destacar que, bajo la sección 404 de SOx, la cúpula directiva es
responsable de:

Diseñar los controles internos para que sean efectivos en la detección de
fraudes en la información financiera

Documentar dichos controles internos para que puedan ser analizados y
sometidos a prueba en todo momento y circunstancia

Efectuar las pruebas necesarias que aseguren su eficacia

Certificar mediante su firma que dichos controles funcionan, son adecuados
y permiten que la información financiera esté libre de riesgos de fraude
Se ha comprobado que el coste asociado al cumplimiento del apartado 404 de la
Ley SARBANES-OXLEY es realmente significativo. Según “Financial Executives
International” (FEI), en una muestra de 217 compañías con un promedio de
ingresos mayores de 5.000 millones de dólares, se estimó un coste de 4,36
millones de dólares en el primer año.
El gran coste de implementación incurrido durante el primer año, puede ser
atribuido a la gran carga de trabajo que tuvieron que realizar las auditoras, y el
coste monetario que esto acarrea. Estos costes de establecimiento de la Ley
puede ser poco significantes para una minoría de grandes compañías, no obstante
puede llegar a ser insostenible para una empresa más pequeña con una
facturación de unos pocos millones. Por otro lado la Ley todavía no es efectiva
para las compañías pequeñas con un valor de menos de 75 millones de dólares
en el mercado bursátil, y todavía no está claro lo que la Ley requerirá a las
pequeñas compañías, cuando ésta se haga efecto.
Leyes o Títulos de la SOX

I Junta de Supervisión de Firmas de Auditoría
Sección 101, sobre retención y salvaguardia de documentos de auditoría.

II Independencia de los Auditores
Sección 201, sobre monitoreo y pre aprobación de servicios de no auditoría

III Responsabilidad Corporativa
Sección 302, sobre Certificación por parte del CEO y CFO de los reportes
entregados a la SEC
Sección 306, sobre monitoreo y prevención de operaciones con información
privilegiada

IV Revelaciones Financieras Mejoradas
Sección 404, sobre control interno
Sección 409, sobre revelación oportuna de cualquier cambio materia

IV Conflicto de Intereses
Sección 501, sobre monitoreo y revelación de analista de valores

VI Recursos y Autoridad de la Comisión

VII Estudios e Informes

VIII Responsabilidad Corporativa y Fraude
Sección 802, sobre la retención y protección de documentos y registros de
auditoria
Sección 806, sobre comunicación y recepción de denuncias

IX Sanciones por crímenes de cuello y corbata
Sección 906, sobre certificación de la información financiera

X Declaraciones de Impuestos Corporativos

XI Responsabilidad por Fraudes Corporativos
Sección 1102, sobre retención y salvaguardia de la información
Committee of Sponsoring Organizations of the Treadway Commission –
COSO
COSO es una organización voluntaria del sector privado y está dedicada a orientar
la gestión ejecutiva y las entidades de gobierno hacia el establecimiento de una
operación de negocio más eficaz, eficiente y ética sobre una base global. El
comité patrocina y difunde marcos de referencia y orientación basados en una
investigación en profundidad, análisis y mejores prácticas. Entre los miembros de
COSO se cuentan el American Institute of chartered Public Accountants (AICPA),
el Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA), The
Institute of Management Accountants (IMA), y la American Accounting Association
(AAA, que agrupa a profesores universitarios de contabilidad), cuyas instituciones
mencionadas anteriormente gozan de reconocido prestigio y tienen relación
directa con el Control Interno.
La misión de COSO es proporcionar liderazgo mediante el desarrollo de marcos
generales y orientación en el manejo de riesgos empresariales, control interno y
disuasión del fraude destinado a mejorar el desempeño organizacional y la gestión
y a reducir el alcance del fraude en las organizaciones.
Historia:
COSO se formó en 1985 para patrocinar la Comisión Nacional sobre Informes
Financieros Fraudulentos, una iniciativa independiente del sector privado, que
estudió los factores causales que pueden dar lugar a la presentación de informes
financieros fraudulentos. También elaboró recomendaciones para las empresas
públicas y sus auditores independientes, para la SEC y otros reguladores, y para
las instituciones educativas.
La Comisión Nacional fue patrocinado conjuntamente por cinco asociaciones
profesionales más importantes con sede en los Estados Unidos (mencionadas
anteriormente). Totalmente independiente de cada una de las organizaciones
patrocinadoras, en la Comisión figuran representantes de la industria, la
contabilidad pública, las empresas de inversión, y la Bolsa de Nueva York.
El presidente original de la Comisión Nacional fue James C. Treadway, Jr.,
vicepresidente ejecutivo y consultor general, Paine Webber incorporado y ex
Comisionado de la SEC de los EE.UU.. De aqui, el nombre popular "Treadway
Commission." Actualmente, el Presidente de COSO es Dave Ladsittel.
Principales Objetivos de COSO:

Mejorar la calidad de la información financiera concentrándose en el manejo
corporativo, las normas éticas y el control interno.

Unificar criterios ante la existencia de una importante variedad de
interpretaciones y conceptos sobre el control interno.
El control interno debe su existencia dentro de una entidad por el interés de la
propia administración. Ningún administrador desea ver pérdidas ocasionadas por
error o fraude o a través de decisiones erróneas basadas en informaciones
financieras no confiables. Así, el control interno es una herramienta útil mediante
la cual la administración logra asegurar, la conducción ordenada y eficiente de las
actividades de la empresa.
El COSO en su estudio define el control interno como aquel proceso que se
encarga de realizar el Consejo de Administración, la dirección y el colectivo
restante de una entidad, con el propósito de otorgar un nivel razonable de
confianza en la consecución de los siguientes objetivos:
- Asegurar la exactitud y confiabilidad de los datos de la contabilidad y de las
operaciones financieras.
- Proteger los recursos contra el despilfarro, el fraude o el uso ineficiente, así como
evaluar el desempeño de todas las divisiones administrativas y funcionales de la
entidad (eficacia y eficiencia de las operaciones).
- Asegurar el cumplimiento de las políticas normativas económicas de la entidad.
Es por ello que podemos afirmar que el control interno es el conjunto de
mecanismos, sistemas, procedimientos y normas que aseguran una eficiente
gestión de la entidad, la consecución de sus objetivos y el mantenimiento de su
patrimonio, en un ambiente de participación e integración de todos aquellos que lo
emplean y con los que se relacionan: clientes y proveedores.
COSO define un marco de referencia aplicable a cualquier organización, el cual
considera que el control interno debe ser un proceso integrado con el negocio que
ayude a conseguir los resultados esperados en materia de rentabilidad y
rendimiento, trasmitiendo el concepto de que el esfuerzo involucra a toda la
organización: desde la Alta Dirección hasta el último empleado.
Marco Integrado de Control según COSO
Este marco integrado asegura la obtención de los objetivos en las siguientes
categorías:
 Eficacia y eficiencia de las operaciones (O)
 Fiabilidad de la información financiera (F)
 Cumplimiento de las leyes y normas que son aplicables(C)
El control interno, no consiste en un proceso secuencial, en donde alguno de los
componentes afecta sólo al siguiente, sino en un proceso multidireccional
repetitivo y permanente, en el cual más de un componente influye en los otros.
El control consta de cinco componentes interrelacionados que se derivan de la
forma cómo la administración maneja el negocio, y están integrados a los
procesos administrativos. Los componentes son:
Ambiente de control
Evaluación de riesgos
Actividades de control
Información y comunicación
Supervisión y seguimiento del sistema de control
Son 5 componentes que interactúan entre si y están integrados al proceso de
Dirección y aseguran que el sistema de control se incorpore de manera armónica
con las actividades operativas de la organización. Esto ayuda a que se fomente la
calidad de la delegación de poderes, se eviten pérdidas y haya una respuesta
rápida ante los cambios.

Ambiente de Control: El estudio del COSO establece a este componente
como el primero de los cinco y se refiere al establecimiento de un entorno
que estimule e influencie las actividades del personal con respecto al
control de sus actividades.
El ambiente o entorno de control constituye el punto fundamental para el
desarrollo de las acciones y refleja la actitud asumida por la alta dirección
en relación con la importancia del control interno y su incidencia sobre las
actividades de la entidad y resultados, por lo que debe tener presente todas
las disposiciones, políticas y regulaciones que se consideren necesarias
para su implantación y desarrollo exitoso.
La dirección de la entidad y el auditor interno, son los encargados de crear
un ambiente adecuado mediante una estructura organizativa efectiva, de
sanas políticas de administración y así se logra que las leyes y políticas
sean asimiladas de mejor forma por el trabajador.
Normas para el ambiente de control:
o Integridad y Valores Éticos: Tiene como propósito establecer
pronunciamientos relativos a los valores éticos y de conducta que se
espera de todos los miembros de la Organización durante el
desempeño de sus actividades, ya que la efectividad del control
interno depende de la integridad y valores de la gente que lo diseña
y lo establece.
El comportamiento y la integridad moral encuentran su sustento en la
cultura del organismo, lo que determina, cómo se hacen las cosas,
qué normas y reglas se observan y si estas se eluden. La dirección
superior de la entidad, en la creación de una cultura apropiada a
estos fines desempeña un papel principal la dirección superior de la
entidad, ya que con su ejemplo contribuirá a desarrollar o destruir
diariamente este requisito de control interno.
Debe tenerse cuidado con aquellos factores que pueden inducir a
conductas adversas a los valores éticos como pueden ser: controles
débiles o requeridos; debilidad de la función de auditoría;
inexistencia o inadecuadas sanciones para quienes actúan
inapropiadamente.
o Competencia Profesional: Los dirigentes, funcionarios y demás
trabajadores deben caracterizarse por poseer un nivel de
o
o
o
o
competencia que les permita comprender la importancia del
desarrollo, implantación y mantenimiento de controles internos
apropiados, o sea que deben contar con un nivel de competencia
profesional en relación con sus responsabilidades, comprender,
suficientemente, la importancia, objetivos y procedimientos del
control interno, así como asegurar la calificación y competencia de
todos los dirigentes y demás trabajadores.
Atmósfera de Confianza Mutua: La comunicación abierta crea y
depende de la confianza dentro de la entidad. Un alto nivel de
confianza estimula para que se asegure que cualquier tema de
importancia sea de conocimiento de más de una persona. El
compartir tal información fortalece el control, reduciendo la
dependencia del juicio, la capacidad y la presencia de una única
persona. La comunicación propicia, además, la cooperación y la
delegación que se requieren para un desempeño eficaz tendente al
logro de los objetivos de la entidad. La confianza está basada en la
seguridad respecto a la integridad y competencia de la otra persona
o grupo.
Organigrama: Toda entidad debe desarrollar una estructura
organizativa que atienda al cumplimiento de la misión y objetivos, la
que deberá ser formalizada en un organigrama. La estructura
organizativa, formalizada en un organigrama, constituye el marco
formal de autoridad y responsabilidad en el cual las actividades que
se desarrollan en cumplimiento de los objetivos del organismo, son
planeadas, efectuadas y controladas.
Asignación de Autoridad y Responsabilidad: Toda entidad debe
complementar su organigrama, con un manual de organización y
funciones, en el cual se debe asignar la responsabilidad, las
acciones y los cargos, a la par de establecer las diferentes relaciones
jerárquicas y funcionales para cada uno de estos. El Ambiente de
Control se fortalece en la medida en que los miembros de una
entidad conocen claramente sus deberes y responsabilidades. Ello
impulsa a usar la iniciativa para enfrentar y solucionar los problemas,
actuando siempre dentro de los límites de su competencia.
Toda delegación de la autoridad contribuye a la necesidad de que los
jefes examinen y aprueben, cuando proceda, el trabajo de sus
subordinados y que ambos cumplan con la debida rendición de
cuentas de sus responsabilidades y tareas.
Políticas y Prácticas en Personal: Los procedimientos de
contratación, inducción, capacitación y adiestramiento, calificación,
promoción y disciplina, deben corresponderse con los propósitos
enunciados en la política. El personal es el activo más valioso que
posee cualquier entidad y se debe tratar y conducir de forma tal que
se obtenga su más elevado rendimiento. Debe procurarse su
satisfacción personal en el trabajo que realiza, propendiendo a que
en este se consolide como persona y se enriquezca humana y
técnicamente.
o Comité de Control: En cada entidad debe constituirse un comité de
control integrado, al menos, por un dirigente del máximo nivel y el
auditor interno titular, siempre que las condiciones lo permitan. Su
objetivo general es la vigilancia del adecuado funcionamiento del
Sistema de Control Interno y su mejoramiento continuo. La
existencia de un Comité con tal objetivo, refuerza el Sistema de
Control Interno y contribuye positivamente al Ambiente de Control.
Para su efectivo desempeño debe integrarse adecuadamente con
miembros que generen respeto por su capacidad y trayectoria
integral, que exhiban un apropiado grado de conocimientos y
experiencia que les permita apoyar a la dirección de la entidad
mediante su guía y supervisión.

Evaluación de Riesgos: El segundo componente del control, involucra la
identificación y análisis de riesgos relevantes para el logro de los objetivos y
la base para determinar la forma en que tales riesgos deben ser
manejados. Asimismo se refiere a los mecanismos necesarios para
identificar y manejar riesgos específicos asociados con los cambios, tanto
los que influyen en el entorno de la Organización como en el interior de la
misma.
A través de la investigación y análisis de los riesgos relevantes y el punto
hasta el cual el control vigente los neutraliza, se evalúa la vulnerabilidad del
sistema. Para ello debe adquirirse un conocimiento práctico de la entidad y
sus componentes como manera de identificar los puntos débiles, enfocando
los riesgos tanto de la entidad (internos y externos) como de la actividad.
La evaluación, o mejor dicho la autoevaluación de riesgo debe ser una
responsabilidad ineludible para todos los niveles que están involucrados en
el logro de objetivos.
Normas para la evaluación de los riesgos:
o Identificación del Riesgo: Se deben identificar los riesgos relevantes que
enfrenta una entidad en el logro de sus objetivos, ya sean de origen
interno, es decir, provocados por la entidad teniendo en cuenta la
actividad específica o sus características internas en el funcionamiento,
como externos que son los elementos fuera de la organización que
afectan, en alguna medida, el cumplimiento de sus objetivos.
La identificación del riesgo es un proceso interactivo, y generalmente
integrado a la estrategia y planificación. En este proceso es conveniente
"partir de cero", esto es, no basarse en el esquema de riesgos
identificados en estudios anteriores.
Su desarrollo debe comprender la realización de un análisis del riesgo,
que incluya la especificación de los dominios o puntos claves del
organismo, la identificación de los objetivos generales y particulares y
las amenazas y riesgos que se pueden afrontar.
o Estimación del Riesgo: Se debe estimar la frecuencia con que se
presentarán los riesgos identificados, así como cuantificar la probable
pérdida que ellos pueden ocasionar.
Una vez identificados los riesgos a nivel de institución y de programa o
actividad, debe procederse a su análisis. Los métodos utilizados para
determinar la importancia relativa de los riesgos pueden ser diversos, e
incluirán como mínimo:
·Una estimación de su frecuencia, o sea, la probabilidad de ocurrencia.
·Una valoración de la pérdida que podría resultar.
En general, aquellos riesgos cuya concreción esté estimada como de
baja frecuencia, no justifican preocupaciones mayores, por el contrario,
los que se estiman de alta frecuencia deben merecer preferente
atención. Entre estos extremos se encuentran casos que deben ser
analizados cuidadosamente, aplicando elevadas dosis de buen juicio y
sentido común.
o Determinación de los Objetivos de Control: Una vez que la máxima
dirección y los responsables de otras áreas han identificado y estimado
el nivel de riesgo, deben adoptarse las medidas para enfrentarlo de la
manera más eficaz y económica posible.
Se deberán establecer los objetivos específicos de control de la entidad,
que estarán adecuadamente articulados con sus propios objetivos
globales y sectoriales. En función de los objetivos de control
determinados, se seleccionarán las medidas o salvaguardas que se
estimen más efectivas al menor costo, para minimizar la exposición.
o Detección del Cambio: Toda entidad debe disponer de procedimientos
capaces de captar e informar oportunamente los cambios registrados o
inminentes en el ambiente interno y externo, que puedan conspirar
contra la posibilidad de alcanzar sus objetivos en las condiciones
deseadas.
Una etapa fundamental del proceso de Evaluación del Riesgo, es la
identificación de los cambios en las condiciones del medio ambiente en
que la entidad desarrolla su acción. Un sistema de control puede dejar
de ser efectivo al cambiar las condiciones en las cuales opera.

Actividades de Control: Las actividades de control son aquellas que
realiza la Gerencia y demás personal de la Organización para cumplir
diariamente con actividades asignadas. Estas actividades están
relacionadas (contenidas) con las políticas, sistemas y procedimientos
principalmente. Ejemplo de estas actividades son aprobación, autorización,
verificación, conciliación, inspección, revisión de indicadores de
rendimiento. Las actividades de control se ejecutan en todos los niveles de
la organización y en cada una de las etapas de la gestión, partiendo de la
elaboración de un mapa de riesgos, conociendo los riesgos, se disponen
los controles destinados a evitarlos o minimizarlos. En muchos casos, las
actividades de control pensadas para un objetivo suelen ayudar también a
otros: los operacionales pueden contribuir a los relacionados con la
confiabilidad de la información financiera, estas al cumplimiento normativo y
así sucesivamente.
Normas de actividades de control:
o Separación de Tareas y Responsabilidades: El propósito de esta
norma es procurar un equilibrio conveniente de autoridad y
responsabilidad dentro de la estructura de organización.
Al evitar que las cuestiones fundamentales de una transacción u
operación queden concentradas en una misma persona o sector, se
reduce notoriamente el riesgo de errores, despilfarros o actos ilícitos
y aumenta la probabilidad que, de producirse, sean detectados.
o Coordinación entre Áreas: Cada área o subárea de la entidad debe
operar coordinada e interrelacionadamente con las restantes áreas o
subáreas. En una entidad, las decisiones y acciones de cada una de
las áreas que la integran, requieren coordinación. Para que el
resultado sea efectivo, no es suficiente que las unidades que lo
componen alcancen sus propios objetivos; sino que deben trabajar
mancomunadamente para que se alcancen, en primer lugar, los de la
entidad.
o Documentación: La estructura de control interno y todas las
transacciones y hechos significativos, deben estar claramente
documentados, y la documentación debe estar disponible para su
verificación.
o Niveles Definidos de Autorización: La autorización es la forma idónea
de asegurar que sólo se realizan actos y transacciones que cuentan
con la conformidad de la dirección. Esta conformidad supone su
ajuste a la misión, la estrategia, los planes, programas y
presupuestos.
La autorización debe documentarse y comunicarse explícitamente a
o
o
o
o
o
las personas o sectores autorizados. Estos deberán ejecutar las
tareas que se les han asignado, de acuerdo con las directrices, y
dentro del ámbito de competencia establecido por las normas.
Registro oportuno y adecuado de las transacciones y hechos: Las
transacciones o hechos deben registrarse, en el momento de su
materialización o lo más inmediato posible, para garantizar su
relevancia y utilidad. Esto es válido para todo el proceso o ciclo de la
transacción o hecho, desde su inicio hasta su conclusión.
Asimismo, deberán clasificarse adecuadamente para que, una vez
procesados, puedan ser presentados en informes y estados
financieros con saldos razonables, facilitando a directivos y gerentes
la adopción de decisiones.
Acceso restringido a los recursos, activos y registros: Todo activo de
valor debe ser asignado a un responsable de su custodia y contar
con adecuadas protecciones, a través de seguros, almacenaje,
sistemas de alarma, pases para acceso, etc. Además, deben estar
debidamente registrados, y periódicamente, se cotejarán las
existencias físicas con los registros contables para verificar su
coincidencia. La frecuencia de la comparación depende del nivel de
vulnerabilidad del activo.
Rotación del personal en las tareas claves: Si bien el Sistema de
Control Interno debe operar en un ambiente de solidez ética, es
necesario adoptar ciertas protecciones para evitar hechos que
puedan propiciar actos reñidos con el código de conducta del
organismo. En tal sentido, la rotación en el desempeño de tareas
claves para la seguridad y el control es un mecanismo de probada
eficacia y muchas veces no utilizado por el equivocado concepto del
"hombre imprescindible".
Control del Sistema de Información: La calidad del proceso de toma
de decisiones en una entidad, descansa fuertemente en sus
sistemas de información. Un sistema de información abarca
información cuantitativa, por ejemplo, los informes de desempeño
que utilizan indicadores, y cualitativa, lo concerniente a opiniones y
comentarios. El sistema deberá contar con mecanismos de
seguridad que alcancen a las entradas, procesos, almacenamiento y
salidas.
Control de la Tecnología de Información: La seguridad del sistema
de información es la estructura de control para proteger la integridad,
confidencialidad y disponibilidad de datos y recursos de la tecnología
de información. Las actividades de control general de la tecnología
de información se aplican a todo el sistema de información, incluida
la totalidad de sus componentes, desde la arquitectura de
procesamiento de grandes computadoras, mini computadoras y
redes, hasta la gestión de procesamiento por el usuario final.
También abarcan las medidas y procedimientos manuales que
permiten garantizar la operación continua y correcta del sistema de
información.
o Indicadores de desempeño: Toda entidad debe contar con métodos
de medición de desempeño que permitan la preparación de
indicadores para su supervisión y evaluación. Un sistema de
indicadores elaborados desde los datos emergentes de un
mecanismo de medición del desempeño, contribuirá al sustento de
las decisiones. Los indicadores no deben ser tan numerosos que se
tornen ininteligibles o confusos, ni tan escasos que no permitan
revelar las cuestiones claves y el perfil de la situación examinada.
o Función de Auditoría Interna independiente: Las unidades de
auditoría interna deben brindar sus servicios a toda la entidad.
Constituyen un "mecanismo de seguridad" con el que cuenta la
autoridad superior para estar informada, con razonable certeza,
sobre la confiabilidad del diseño y funcionamiento de su sistema de
control interno. Esta unidad de auditoría interna, al depender de la
autoridad superior, puede practicar los análisis, inspecciones,
verificaciones y pruebas que considere necesarios en los distintos
sectores de la entidad con independencia de estos, ya que sus
funciones y actividades deben mantenerse desligadas de las
operaciones sujetas a su examen.

Información y Comunicación: Consecuentemente la información
pertinente debe ser identificada, capturada, procesada y comunicada al
personal en forma y dentro del tiempo indicado, de forma tal que le permita
cumplir con sus responsabilidades. Los sistemas producen reportes
conteniendo información operacional, financiera y de cumplimiento que
hace posible conducir y controlar la Organización.
Los informes deben transmitirse adecuadamente a través de una
comunicación eficaz, incluyendo una circulación multidireccional de la
información: ascendente, descendente y transversal. La existencia de
líneas abiertas de comunicación y una clara voluntad de escuchar, por parte
de los dirigentes, resultan vitales. Además de una buena comunicación
interna, es importante una eficaz comunicación externa que favorezca el
flujo de toda la información necesaria y, en ambos casos, importa contar
con medios eficaces, como los manuales de políticas, memorias, difusión
institucional, canales formales e informales, la actitud que asume la
dirección en el trato con sus subordinados. Una entidad con una historia
basada en la integridad y una sólida cultura de control no tendrá dificultades
de comunicación.
Normas de Información y Comunicación:
o Información y responsabilidad: La información debe permitir a los
funcionarios y empleados cumplir sus obligaciones y
responsabilidades. Los datos pertinentes deben ser identificados,
captados, registrados, estructurados en información y
comunicados, en tiempo y forma.

Supervisión: En general los sistemas de control están diseñados para
operar en determinadas circunstancias. Claro está que para ello se tomaron
en consideración los riesgos y las limitaciones inherentes al control; sin
embargo, las condiciones evolucionan debido tanto a factores externos
como internos colocando con ello que los controles pierdan su eficiencia.
Como resultado de todo ello, la Gerencia debe llevar a cabo la revisión y
evaluación sistemática de los componentes y elementos que forman parte
de los sistemas. Lo anterior no significa que tengan que revisarse todos los
componentes y elementos, como tampoco que deba hacerse al mismo
tiempo.
Métodos de supervisión:
o Actividades de supervisión continua: La realización de las
actividades diarias permite observar si efectivamente los objetivos de
control se están cumpliendo y si los riesgos se están considerando
adecuadamente. Los niveles de supervisión y gerencia juegan un
papel importante al respecto, ya que ellos son quienes deben
concluir si el sistema de control es efectivo o ha dejado de serlo
tomando las acciones de corrección o mejoramiento que el caso
exige. Son más efectivas que las evaluaciones separadas, lo cual
hace que el monitoreo continuo pueda identificar rápidamente
cualquier desviación
o Evaluaciones Independientes: Este tipo de actividades proporciona
información valiosa sobre la efectividad de los sistemas de control.
Desde luego las ventajas de este enfoque es que tales evaluaciones
tienen un carácter independiente, que se traduce en objetividad y
que están dirigidas respectivamente a la efectividad de los controles
por adición a la evaluación de la efectividad de los procedimientos de
supervisión y seguimiento del sistema de control.
Reporte de Deficiencias: El proceso de comunicar las debilidades y
oportunidades de mejoramiento de los sistemas de control, debe estar
dirigido hacia quienes son los propietarios y responsables de operarlos, con
el fin de que implementen las acciones necesarias. Dependiendo de la
importancia de las debilidades identificadas, la magnitud del riesgo
existente y la probabilidad de ocurrencia, se determinará el nivel gerencia al
cual deban comunicarse las deficiencias.
Participantes y Responsabilidades:
Internamente las responsabilidades sobre el control corresponden conforme a lo
siguiente:
Consejo de Administración: Establece no sólo la misión y los objetivos de la
organización, sino también las expectativas relativas a la integridad y los valores
éticos.
Gerencia: Debe asegurar que existe un ambiente propicio para el control.
Ejecutivos financieros: Entre otras cosas, apoyan la prevención y detección de
reportes financieros fraudulentos.
Comité de Auditoría: Es el órgano que no sólo tiene la facultad de cuestionar a la
Gerencia en relación con el cumplimiento de sus responsabilidades, sino también
asegurar que se tomen las medidas correctivas necesarias.
Comité de Finanzas: Contribuye cumpliendo con la responsabilidad de evaluar la
consistencia de los presupuestos con los planes operativos.
Auditoría Interna: A través del examen de la efectividad y adecuación del sistema
de control interno y mediante recomendaciones relativas a su mejoramiento.
Area Jurídica: Llevando a cabo la revisión de 105 controles y otros instrumentos
legales, con el fin de salvaguardar los bienes de la Empresa.
Personal de la Organización: Mediante la ejecución de las actividades que tiene
cotidianamente asignadas y tomando las acciones necesarias para su control.
También siendo responsable de comunicar cualquier problema que se presente en
las operaciones, incumplimiento de normas o posibles faltas al código de conducta
y otras violaciones.
La participación de las entidades externas consisten en lo siguiente:
Auditores Independientes: Proporcionan al Consejo de Administración y a la
Gerencia un punto de vista objetivo e independiente, que contribuye al
cumplimiento del logro de los objetivos de los reportes financieros, entre otros.
AUTORIDADES
(Ejecutivas/Legislativas):
Participan
mediante
el
establecimiento de requerimientos de control interno, así como en el examen
directo de las operaciones de la Organización, haciendo recomendaciones que lo
fortalezcan.
Evolución de COSO I a COSO II
En 1992, COSO publicó el Sistema Integrado de Control Interno (COSO I), un
informe que establece una definición común de control interno y proporciona un
estándar mediante el cual las organizaciones pueden evaluar y mejorar sus
sistemas de control. COSO – ERM (COSO II) se crea ampliando a COSO I para la
gestión integral de riesgo pero no para sustituir el marco de control interno. En
Septiembre de 2004 se publicó el estudio ERM (Enterprise Risk Management)
Integrated Framework.
Comparativo con COBIT
Origen:
COBIT fué creado por la Asociación de Auditoría y Control de Sistemas de
Información (ISACA), una asociación profesional internacional. Fue lanzado
originalmente en 1996.
COSO es una iniciativa del sector privado estadounidense. Fue originalmente
relacionado en 1985.
Objetivos:
COBIT es basado directamente en COSO pero proporciona controles para las
tecnologías de información.
COSO es el marco oficial para los controles sobre los informes financieros, pero
COSO no ofrece controles para tecnologías de información.
Usos en auditoría:
Las auditorías y revisiones de tecnologías de información pueden ser hechas en
base a COBIT.
Las auditorías financieras pueden ser hechas en base a COSO.
Audiencias:
COBIT es útil para usuarios y auditores de TI.
COSO es útil para la administración general.
Estructura:
COBIT posee 4 dominios: Planear y Organizar, Adquirir e Implementar, Entregar y
Dar Soporte, Monitorear y Evaluar.
COSO tiene 5 componentes principales: Ambiente de control, Evaluación de
riesgos, Actividades de control, Información y comunicación, Supervisión y
seguimiento del sistema de control.
COSO y COBIT deben implementarse a la par, ya que COSO proporciona un
marco de control interno en auditoria cumpliendo con la ley SOX y COBIT
proporciona un marco para el control y la seguridad de TI definiendo requisitos,
políticas y normas.
RESUMEN
Ley de Sarbanes-Oxley:
La Ley Sarbanes-Oxley ha generado mucha controversia, ya que ésta va en
respuesta a los escándalos financieros de algunas grandes corporaciones, entre
los que se incluyen los casos que afectan a Enron, Tyco International, WorldCom y
Peregrine Systems. Estos escándalos hicieron caer la confianza de la opinión
pública en los sistemas de contabilidad y auditoría. La Ley toma el nombre del
senador Paul Sarbanes (Demócrata) y el congresista Michael G. Oxley
(Republicano). Los partidarios de esta Ley afirman que la legislación era necesaria
y útil, mientras los críticos creen que causara más daño económico del que
previene.
La legislación abarca y establece nuevos estándares para los consejos de
administración y dirección y los mecanismos contables de todas las empresas que
cotizan en bolsa en los Estados Unidos. Introduce responsabilidades penales para
el consejo de administración y establece unos requerimientos por parte de la SEC.
La SOX es sin duda, el cambio más grande e importante en legislación sobre
manejo de contaduría y finanzas empresariales en las últimas décadas. La SOX
representa además, un enorme desafío para los departamentos contables de las
empresas obligadas, en tanto el volumen de los cambios, su aplicación, y también,
en mayor medida, por el desconocimiento que aún existe en la materia.
Es importante destacar que, bajo la sección 404 de SOx, la cúpula directiva es
responsable de:

Diseñar los controles internos para que sean efectivos en la detección de
fraudes en la información financiera

Documentar dichos controles internos para que puedan ser analizados y
sometidos a prueba en todo momento y circunstancia

Efectuar las pruebas necesarias que aseguren su eficacia

Certificar mediante su firma que dichos controles funcionan, son adecuados
y permiten que la información financiera esté libre de riesgos de fraude
Se ha comprobado que el coste asociado al cumplimiento del apartado 404 de la
Ley SARBANES-OXLEY es realmente significativo. Según “Financial Executives
International” (FEI), en una muestra de 217 compañías con un promedio de
ingresos mayores de 5.000 millones de dólares, se estimó un coste de 4,36
millones de dólares en el primer año.
Committee of Sponsoring Organizations of the Treadway Commission –
COSO:
COSO se formó en 1985 para patrocinar la Comisión Nacional sobre Informes
Financieros Fraudulentos, una iniciativa independiente del sector privado, que
estudió los factores causales que pueden dar lugar a la presentación de informes
financieros fraudulentos.
La misión de COSO es proporcionar liderazgo mediante el desarrollo de marcos
generales y orientación en el manejo de riesgos empresariales, control interno y
disuasión del fraude destinado a mejorar el desempeño organizacional y la gestión
y a reducir el alcance del fraude en las organizaciones.
COSO define un marco de referencia aplicable a cualquier organización, el cual
considera que el control interno debe ser un proceso integrado con el negocio que
ayude a conseguir los resultados esperados en materia de rentabilidad y
rendimiento, trasmitiendo el concepto de que el esfuerzo involucra a toda la
organización: desde la Alta Dirección hasta el último empleado.
El control consta de cinco componentes interrelacionados que se derivan de la
forma cómo la administración maneja el negocio, y están integrados a los
procesos administrativos. Los componentes son:

Ambiente de Control: El estudio del COSO establece a este componente
como el primero de los cinco y se refiere al establecimiento de un entorno
que estimule e influencie las actividades del personal con respecto al
control de sus actividades.
Normas:
o Integridad y valores éticos
o Competencia profesional
o Atmosfera de confianza mutua
o Organigrama
o Asignación de responsabilidad y autoridad
o Políticas y prácticas en personal
o Comité de control

Evaluación de Riesgos: A través de la investigación y análisis de los
riesgos relevantes y el punto hasta el cual el control vigente los neutraliza,
se evalúa la vulnerabilidad del sistema.
Normas:
o Identificación del Riesgo
o Estimación del Riesgo
o Determinación de los Objetivos de Control
o Detección del Cambio

Actividades de Control: Las actividades de control son aquellas que
realiza la Gerencia y demás personal de la Organización para cumplir
diariamente con actividades asignadas.
o Separación de Tareas y Responsabilidades
o Coordinación entre Áreas
o Documentación
o Niveles Definidos de Autorización
o Registro oportuno y adecuado de las transacciones y hechos
o Acceso restringido a los recursos, activos y registros
o Rotación del personal en las tareas claves
o Control del Sistema de Información
o Control de la Tecnología de Información
o Indicadores de desempeño
o Función de Auditoría Interna independiente

Información y Comunicación: Los informes deben transmitirse
adecuadamente a través de una comunicación eficaz, incluyendo una
circulación multidireccional de la información: ascendente, descendente y
transversal.

Supervisión: En general los sistemas de control están diseñados para
operar en determinadas circunstancias. Claro está que para ello se tomaron
en consideración los riesgos y las limitaciones inherentes al control; sin
embargo, las condiciones evolucionan debido tanto a factores externos
como internos colocando con ello que los controles pierdan su eficiencia.
Métodos:
o Actividades de supervisión continua
o Evaluaciones Independientes
Evolución de COSO I a COSO II
CONCLUSIONES Y OBSERVACIONES
o Los escándalos financieros en estados unidos prendieron las alarmas en
cuanto a los manejos de dinero que se estaban llevando a cabo al interior
de las empresas, por esta razón se propuso la ley SOX.
o El principal efecto de los escándalos de Enron y WorldCom fue la pérdida
de confianza por parte de los inversionistas y por lo tanto una gran baja en
la compra de acciones.
o La ley SOX busca asegurar a los inversionistas recibir información
transparente y eficaz de los procesos de las organizaciones para así
propiciar un ambiente optimo entre estos actores.
o El COSO surgió originalmente de una iniciativa privada, que, al salir la ley
SOX mejoro su marco de referencia para cumplir a cabalidad con los
nuevos requerimientos.
o El COSO trata principalmente el tema del control interno, proporcionando
una herramienta efectiva para llevar buenos procesos empresariales que ha
venido convirtiéndose en un marco de referencia reconocido.
o EL COBIT tiene sus raíces en COSO pero su principal orientación es hacia
las tecnologías de información, convirtiéndose así en dos marcos de
referencia que al ser puestos en marcha a la par aseguran una total
confianza en la organización y mejoran los procesos de gestión financiera y
de tecnologías.
o Son muchas las empresas que prestan servicios de auditoría en base al
COSO, ya que se ha comprobado que mediante este marco de referencia
se pueden obtener muy buenos resultados.
BIBLIOGRAFÍA











http://infosys.uncc.edu/mbad7090/Slides2008/COSO.ppt
http://www.gerencie.com/el-informe-coso.html
http://www.coso.org
http://www.gestiopolis.com/recursos6/Docs/Fin/finanzas-control-interno.htm
http://www.datasecsoft.com/archivos/sp/PPTS/Presentacion_Control_Interno_COSO-ES.ppt
http://es.wikipedia.org/wiki/Ley_Sarbanes-Oxley
http://actualicese.com/editorial/especiales/navidad/2005/Sarbanes/Index.ht
m
http://www.piramidedigital.com/Documentos/ICT/pdictleysarbanesoxley2.pdf
http://www.castillomiranda.com.mx/espanol/Publicaciones/ArchivoPDF/IGP
%2520Ley%2520SarbanesOxley.pdf
http://www2.valledelcauca.gov.co/SIISVC/documentos/Presentaciones/MEC
I/picolo/Unidad_1/B_ci_concepto/B_conint.htm
http://sincelejo-sucre.gov.co/apc-aafiles/66373432636435613966396461306466/Que_es_control_interno.pdf