ÍNDICE PRÓLOGO DEL PROF. JORGE TUA PEREDA... PRÓLOGO DEL DR. SERGIO VILLAGARCÍA... PREFACIO DEL AUTOR...

Transcripción

1 ÍNDICE PRÓLOGO DEL PROF. JORGE TUA PEREDA... PRÓLOGO DEL DR. SERGIO VILLAGARCÍA... PREFACIO DEL AUTOR... XI XIX XXIII CAPÍTULO 1 ASPECTOS DEL GOBIERNO CORPORATIVO INTERRELACIONADOS 1. Introducción... 1 Definiciones La junta directiva... 5 Principales funciones de la junta directiva... 5 Condiciones básicas para los miembros independientes de la junta directiva... 6 Ley de sociedades comerciales... 7 Sociedades que hacen oferta pública Principios de Gobierno Corporativo Régimen de transparencia de la oferta pública RG (CNV) 516/ Enfoques de Gobierno Corporativo Definiciones Gobierno (governance) Gobierno del sector privado Código de buenas prácticas Respondhabilidad (accountability) Posibles títulos de un Código de Buen Gobierno Corporativo Responsabilidad social ARMANDO MIGUEL CASAL XXVII

2 2. Interrelaciones del Gobierno Corporativo Dimensiones del Gobierno Corporativo Dimensión situacional Dimensión estratégica Dimensión de gestión integrada del directorio Dimensión de monitoreo Conclusiones IFRS y Gobierno Corporativo Controles internos/administración de riesgos y Gobierno Corporativo Fraude y Gobierno Corporativo Comité de auditoría y Gobierno Corporativo Memoria del directorio y Gobierno Corporativo Vigencia Código de Gobierno Societario de la CNV Contenido Consideraciones finales El caso argentino Notas bibliográficas CAPÍTULO 2 GOBIERNO CORPORATIVO PARA PYMES 1. Gobierno Corporativo y PYMES Situación de Argentina Deberes de la estructura de Gobierno Corporativo según la OCDE Elementos de un buen Gobierno Corporativo según la OCDE Perspectivas Conclusiones Código de Buen Gobierno Corporativo para PYMES Derechos y trato equitativo de los asociados Los asociados de las PYMES tendrán los siguientes derechos XXVIII ERREPAR

3 ÍNDICE Los asociados de las PYMES tendrán las siguientes obligaciones Acuerdos entre asociados Trato equitativo de los asociados Reunión del máximo órgano social en sesión ordinaria o extraordinaria De los administradores De la Junta Directiva Estructura de la junta directiva Funciones de la junta directiva Comités de la junta directiva Sistemas de remuneración de los miembros de la junta directiva Del ejecutivo principal Conflictos de interés Prácticas prohibidas Divulgación Grupos de interés Responsabilidad social empresaria Políticas ambientales Protección de la propiedad intelectual Políticas antisoborno y anticorrupción Políticas de inversión social Políticas de información - E-Governance Políticas de cumplimiento de la ley Transparencia, fluidez e integridad de la información Revelación de información financiera Revelación de información no financiera Administración y resolución de controversias Frente a terceros Resolución interna de conflictos en la sociedad Para sociedades de familia Glosario de términos Comentarios finales ARMANDO MIGUEL CASAL XXIX

4 5. Notas bibliográficas Bibliografía adicional de consulta CAPÍTULO 3 FRAUDE EN LOS NEGOCIOS 1. Introducción Factores del riesgo de fraude Del personal Estilo administrativo autocrático de los máximos responsables Incompatibilidad entre personalidad y posición Comportamientos inusuales Actos ilegales Estilos de vida costosos Vacaciones no tomadas Personal de baja calidad Moral baja Alta rotación Compensación vinculada al rendimiento Culturales Resultados a cualquier costo Bajo compromiso frente al control Ausencia de código de ética corporativo Obediencia incuestionable del personal Estructurales Estructuras de organización complejas Sitios remotos mal supervisados Varias firmas de auditores Comerciales Estrategia comercial pobremente definida Utilidades por encima del promedio de la industria Desajuste entre el crecimiento y el desarrollo de los sistemas Reputación pobre Problemas de liquidez XXX ERREPAR

5 ÍNDICE 3. Principios para combatir el fraude Estrategia corporativa clara Principios comerciales sólidos Código de ética corporativa Política de personal efectiva Administración del riesgo Controles y auditoría eficaces Seguridad en el sistema computadorizado Plan de respuesta al fraude Comentarios finales Notas bibliográficas CAPÍTULO 4 EL SISTEMA DE GESTIÓN PARA PREVENIR EL FRAUDE CORPORATIVO. NORMA IRAM 1. Introducción Códigos de mejores prácticas corporativas Sistema de seguridad de la información Fraude financiero Tipos de fraude Sistema de prevención del fraude corporativo Sistema de control interno integrado y sistema de administración de riesgos empresarios Factores de riesgo de fraude Causas que facilitan los delitos económicos Supervisión del control interno y gestión de riesgos por los Comités de auditoría Estructura de la norma IRAM 17450/ Introducción Objeto y campo de aplicación Documentos normativos para consulta Fundamentos ARMANDO MIGUEL CASAL XXXI

6 Sistema de gestión para la prevención del fraude Gestión de la prevención del fraude en una entidad Efectividad del sistema normativo Ventajas de la adhesión Principios sobre los que se desarrolla la norma Definiciones Requisitos del sistema de gestión para la prevención del fraude Organización general de la norma Definición del tono moral Diligencia debida Órgano disciplinario y unidad de investigación Otras recomendaciones Programa de cumplimiento. Seguimiento Gestión del incidente Anexos Anexo normativo Anexo A: Proceso de implantación y mejora continua del sistema Anexos informativos Anexo B: Políticas y Código de Ética. Ayudas prácticas Anexo C: Formulario de matriz de riesgos (modelo sugerido) Anexo D: Modelo de plan de acción Anexo E: Modelo de registro de incidentes Anexo F: Matriz de responsabilidades políticas antifraude Anexo G: Bibliografía Comentarios finales Notas bibliográficas XXXII ERREPAR

7 ÍNDICE CAPÍTULO 5 CONTROLES INTERNOS Y GESTIÓN DE RIESGOS. INFORMES COSO 1. Introducción Cuadro comparativo - Informes COSO I y II Informe COSO - Control interno integrado (COSO I) Partes del texto completo Resumen ejecutivo Estructura conceptual Reporte a partes externas Herramientas de evaluación Informe COSO - Gestión de riesgos Comentarios finales Notas bibliográficas Anexo 1: COSO Administración de riesgo (COSO I) La incertidumbre y la creación del valor Beneficios del ERM Definición del ERM Componentes del ERM Entorno interno Definición de objetivos Identificación de eventos Valoración del riesgo Respuesta al riesgo Actividades de control Información y comunicación Monitoreo Objetivos del ERM Efectividad del ERM y su aplicación a las PYMES Modelo de control interno COSO y su relación con el ERM Limitaciones del ERM Responsabilidad por el ERM Información en apéndices ARMANDO MIGUEL CASAL XXXIII

8 7. ANEXO 2: Guía COSO sobre el monitoreo de los sistemas de control interno de la entidad Introducción El monitoreo es un componente del control interno integral El monitoreo beneficia al proceso de gobierno corporativo Principios fundamentales del monitoreo efectivo Amplitud de los procesos de monitoreo Usar la guía para mover el monitoreo hacia adelante Notas bibliográficas CAPÍTULO 6 SISTEMA DE GESTIÓN DE RIESGOS. NORMA IRAM 1. Introducción La valoración de riesgos de negocios en el enfoque de la auditoría financiera Gobierno Corporativo, gestión de riesgos y controles Riesgo, incertidumbre y la contabilidad Riesgo Incertidumbre Sistema de gestión de riesgos. Directivas generales Introducción Gestión de riesgos Objeto y campo de aplicación Documentos normativos para consulta Definiciones Incorporación de la gestión de riesgos Propósito Revisión Planificación de la gestión de riesgos General Apoyo de la dirección Desarrollo de la política de gestión de riesgos XXXIV ERREPAR

9 Comunicación de la política Establecimiento de responsabilidad y autoridad Adaptación del proceso de gestión de riesgos Recursos Planificación de gestión de riesgos a nivel organizacional Gestión de riesgos a niveles de áreas, proyectos y equipos Supervisión y revisión Revisión por la dirección Visión general del proceso de gestión de riesgos General Elementos principales Establecer el contexto Identificar riesgos Analizar riesgos Evaluar riesgos Tratar riesgos Supervisar y revisar Comunicar y consultar Proceso de gestión de riesgos Establecer el contexto General Establecer el contexto interno Establecer el contexto externo Establecer el contexto de gestión de riesgos Desarrollar criterios de evaluación de riesgos Definir la estructura para el análisis de riesgo Identificación de riesgos ARMANDO MIGUEL CASAL XXXV

10 General Qué puede suceder, dónde y cuándo? Cómo y por qué puede suceder? Herramientas y técnicas Análisis del riesgo General Determinar estrategias y controles existentes Consecuencias y probabilidades Tipos de análisis Evaluación del riesgo Tratamiento del riesgo General Identificar las opciones para el tratamiento del riesgo Evaluar las opciones de tratamiento del riesgo Preparación e implementación de planes Control y revisión Documentación y registro del proceso de gestión de riesgos Comunicación y consultas Sistemas de gestión de riesgos. Requisitos Comentarios finales Notas bibliográficas Anexo: Requisitos de los sistemas de gestión de riesgos. Esquema 1, Norma (IRAM) Introducción Objeto y campo de aplicación Documentos normativos para consulta Términos y definiciones Sistema de gestión de riesgos Responsabilidad de la dirección Gestión de los recursos Realización del proceso de gestión de riesgos XXXVI ERREPAR

11 6.9. Evaluación, análisis y mejora Anexos informativos a) Definiciones tomadas de otras normas b) Proceso de gestión de riesgos c) Bibliografía d) Integrantes del organismo de estudio CAPÍTULO 7 TECNOLOGÍA DE LA INFORMACIÓN. NORMA IRAM-ISO 1. Introducción Norma IRAM Requisitos para los sistemas de gestión de la seguridad de la información. Su relación con la norma IRAM-ISO/IEC Clasificación de guías globales sobre seguridad de la información Detalle de guías Modelo de política de seguridad en el sector público basado en la norma IRAM-ISO/IEC Desarrollo de la norma IRAM-ISO/IEC tecnología de la información. Código de práctica para la gestión de la seguridad de la información (Information Technology - Code of Practice for Information Security Management) Política de seguridad (Security Policy) Organización de la seguridad (Organizational Security) Infraestructura de seguridad de la información (Information Security Infrastructure) Foro gerencial sobre seguridad de la información (Management Information Security Forum) Coordinación de la seguridad de la información (Information Security Coordination) Asignación de responsabilidades en materia de seguridad de la información (Allocation of Information Security Responsibilities) Proceso de autorización para instalaciones de procesamiento de información (Authorization Process for Information Processing Facilities) ARMANDO MIGUEL CASAL XXXVII

12 Asesoramiento especializado en materia de seguridad de la información (Specialist Information Security Advice) Cooperación entre organizaciones (Cooperation between Organizations) Revisión independiente de la seguridad de la información (Independent Review of Information Security) Seguridad frente al acceso por parte de terceros (Security of Third Party Access) Identificación de riesgos del acceso de terceras partes (Identification of Risks from Third Party Access) Requerimientos de seguridad en contratos con terceros (Security Requirements in Third Party Contracts) Tercerización (Outsourcing) Requerimientos de seguridad en contratos de tercerización (Security Requirements in Outsourcing Contracts) Clasificación y control de activos (Assets Classification and Control) Responsabilidad por rendición de cuentas de los activos (Accountability for Assets) Inventario de activos (Inventory of Assets) Clasificación de la información (Information Classification) Seguridad del personal (Personnel Security) Seguridad en la definición de puestos de trabajo y la asignación de recursos (Security in Job Definition and Resourcing) Inclusión de la seguridad en las responsabilidades de los puestos de trabajo (Including Security in Job Responsibilities) Selección y política de personal (Personnel Screening and Policy) Acuerdos de confidencialidad (Confidentiality Agreements) Términos y condiciones de empleo (Terms and Conditions of Employment) XXXVIII ERREPAR

13 Capacitación del usuario (User Training) Formación y entrenamiento en materia de seguridad de la información (Information Security Education and Training) Respuesta a incidentes y anomalías en materia de seguridad (Responding to Security Incidents and Malfunctions) Comunicación de incidentes relativos a la seguridad (Reporting Security Incidents) Comunicación de debilidades en materia de seguridad (Reporting Security Weaknesses) Comunicación de anomalías del software (Reporting Software Malfunctions) Aprendiendo de los incidentes (Learning from Incidents) Proceso disciplinario (Disciplinary Process) Seguridad física y ambiental (Physical and Environmental Security) Áreas seguras (Security Areas) Perímetro de seguridad física (Physical Security Perimeter) Controles de acceso físico (Physical Entry Controls) Protección de oficinas, recintos e instalaciones (Securing Offices, Rooms and Facilities) Desarrollo de tareas en áreas protegidas (Working in Secure Areas) Aislamiento de las áreas de entrega y carga (Insolated Delivery and Loading Areas) Seguridad del equipamiento (Equipment Security) Ubicación y protección del equipamiento (Equipment Sitting and Protection) Suministro de energía (Power Supplies) Seguridad del cableado (Cabling Security) Mantenimiento de equipos (Equipment Maintenance) ARMANDO MIGUEL CASAL XXXIX

14 Seguridad del equipamiento fuera del ámbito de la organización (Security of Equipment Off-Premises) Baja segura o reutilización de equipamiento (Secure Disposal or Re-use of Equipment) Controles generales (General Controls) Políticas de escritorios limpios y pantallas limpias (Clear Desk and Clear Screen Policy) Retiro de bienes (Removal of Property) Gestión de comunicaciones y operaciones (Communications and Operations Management) Procedimientos y responsabilidades operativas (Operational Procedures and Responsibilities) Documentación de los procedimientos operativos (Documented Operating Procedures) Control de cambios en las operaciones (Operational Change Control) Procedimientos de manejo de incidentes (Incident Management Procedures) Separación de funciones (Segregation of Duties) Separación entre instalaciones de desarrollo e instalaciones operativas (Separation of Development and Operational Facilities) Administración de instalaciones externas (External Facilities Management) Planificación y aprobación de sistemas (System Planning and Acceptance) Planificación de la capacidad (Capacity Planning) Aprobación del sistema (System Acceptance) Protección contra software malicioso (Protection against Malicious Software) Controles contra software malicioso (Controls against Malicious Software) Mantenimiento (Housekeeping) Resguardo de la información (Information Back-Up) Registro de actividades del personal operativo (Operator Logs) XL ERREPAR

15 Registro de fallas (Fault Logging) Administración de la red (Network Management) Controles de redes (Network Controls) Administración y seguridad de los medios de almacenamiento (Media Handling and Security) Administración de medios informáticos removibles (Management of Removable Computer Media) Eliminación de medios informáticos (Disposal of Media) 216 Procedimientos de manejo de la información (Information Handling Procedures) Seguridad de la documentación del sistema (Security of System Documentation) Intercambios de información y software (Exchanges of Information and Software) Acuerdos de intercambio de información y software (Information and Software Exchange Agreements) Seguridad de los medios en tránsito (Security of Media in Transit) Seguridad del comercio electrónico (Electronic Commerce Security) Seguridad del correo electrónico (Security of Electronic Mail) Seguridad de los sistemas electrónicos de oficina (Security of Electronic Office Systems) Sistemas de acceso público (Publicly Available Systems) Otras formas de intercambio de información (Others Forms of Information Exchange) Control de accesos (Access Control) Requerimientos de negocio para el control de accesos (Business Requirement for Access Control) Política de control de accesos (Access Control Policy) 220 Administración de accesos de usuarios (User Access Management) Registración de usuarios (User Registration) ARMANDO MIGUEL CASAL XLI

16 Administración de privilegios (Privilege Management) Administración de contraseñas de usuario (User Password Management) Revisión de derechos de acceso de usuario (Review of User Access Rights) Responsabilidades del usuario (User Responsibilities) Uso de contraseñas (Password Use) Equipos desatendidos en áreas de usuarios (Unattended User Equipment) Control de acceso a la red (Network Access Control) Política de utilización de los servicios de red (Policy on Use of Network Services) Camino forzoso (Enforced Path) Autenticación de usuarios para conexiones externas (User Authentication for External Connections) Autenticación de nodos (Node Authentication) Protección de los puertos de diagnóstico remoto (Remote Diagnostic Port Protection) Subdivisión de redes (Segregation in Networks) Control de conexión a la red (Network Connection Control) Control de ruteo de red (Network Routing Control) Seguridad de los servicios de red (Security of Network Services) Control de acceso al sistema operativo (Operating System Access Control) Identificación automática de terminales (Automatic Terminal Identification) Procedimientos de conexión de terminales (Terminal Log-On Procedures) Identificación y autenticación de los usuarios (User Identification and Authentication) Sistema de administración de contraseñas (Password Management System) Uso de utilitarios de sistema (Use of System Utilities) 225 XLII ERREPAR

17 Alarmas silenciosas para la protección de usuarios (Duress Alarm to Safeguard Users) Desconexión de terminales por tiempo muerto (Terminal Time-Out) Limitación del horario de conexión (Limitation of Connection Time) Control de acceso a las aplicaciones (Application Access Control) Restricción del acceso a la información (Information Access Restriction) Monitoreo del acceso y uso de los sistemas (Monitoring System Access and Use) Registro de eventos (Event Logging) Monitoreo del uso de los sistemas (Monitoring System Use) Sincronización de relojes (Clock Synchronization) Computación móvil y trabajo remoto (Mobile Computing and Teleworking) Computación móvil (Mobile Computing) Trabajo remoto (Teleworking) Desarrollo y mantenimiento de sistemas (Systems Development and Maintenance) Requerimientos de seguridad de los sistemas (Security Requirements of Systems) Análisis y especificaciones de los requerimientos de seguridad (Security Requirements Analysis and Specification) Seguridad de los sistemas de aplicación (Security in Application Systems) Validación de datos de entrada (Input Data Validation). 229 Controles de procesamiento interno (Control of Internal Processing) Controles criptográficos (Cryptographic Controls) Política de utilización de controles criptográficos (Policy on the Use of Cryptographic Controls) ARMANDO MIGUEL CASAL XLIII

18 Cifrado (Encryption) Firma digital (Digital Signatures) Servicios de no repudio (Non-Repudiation Services) Administración de claves (Key Management) Seguridad de los archivos del sistema (Security of System Files) Control del software operativo (Control of Operational Software) Protección de los datos de prueba del sistema (Protection of System Test Data) Control de acceso a las bibliotecas de programa fuente (Access Control to Program Source Library) Seguridad de los procesos de desarrollo y soporte (Security in Development and Support Processes) Procedimientos de control de cambios (Change Control Procedures) Revisión técnica de los cambios en el sistema operativo (Technical Review of Operating System Changes) Restricción del cambio en los paquetes de software (Restrictions on Changes to Software Packages) Canales ocultos y código troyano (Covert Channels and Trojan Code) Desarrollo externo de software (Outsourced Software Development) Administración de la continuidad de los negocios (Business Continuity Management) Aspectos de la administración de la continuidad de los negocios (Aspects of Business Continuity Management) 233 Proceso de administración de la continuidad de los negocios (Business Continuity Management Process) 233 Continuidad del negocio y análisis del impacto (Business Continuity and Impact Analysis) Elaboración e implementación de planes de continuidad de los negocios (Writing and Implementing Continuity Plans) XLIV ERREPAR

19 Marco conceptual para la planificación de la continuidad de los negocios (Business Continuity Planning Framework) Prueba, mantenimiento y reevaluación de los planes de continuidad de los negocios (Testing, Maintaining and Re-assessing Business Continuity Plans) Cumplimiento (Compliance) Cumplimiento de requisitos legales (Compliance with Legal Requirements) Identificación de la legislación aplicable (Identification of Applicable Legislation) Derechos de propiedad intelectual (DPI) (Intellectual Property Rights - IPR) Recolección de evidencia (Collection of Evidence) Revisiones de la política de seguridad y la compatibilidad técnica (Reviews of Security Policy and Technical Compliance) Cumplimiento de la política de seguridad (Compliance with Security Police) Verificación de la compatibilidad técnica (Technical Compliance Checking) Consideraciones de auditoría de sistemas (Systems Audit Considerations) Controles de auditoría de sistemas (System Audit Controls) Protección de las herramientas de auditoría de sistemas (Protection of System Audit Tools) Términos y definiciones de la norma Comentarios finales Notas bibliográficas CAPÍTULO 8 CÓDIGOS DE CONDUCTA CORPORATIVA 1. Introducción ARMANDO MIGUEL CASAL XLV

20 Definición Relación con la RSC Alcance Contenido Monitoreo Ética y práctica empresarial Desafíos Implementación Desarrollo de prácticas empresariales responsables Cambios en el contexto Organizaciones responsables Conducta empresarial responsable en economías emergentes 252 Cumplimiento con estándares de conducta Rol de las PYMES Aspectos del Código de Conducta Corporativa Comentarios finales Glosario de términos CAPÍTULO 9 SISTEMA DE RESPONSABILIDAD SOCIAL. NORMA ISO 1. Introducción Regulación del Gobierno Corporativo Cultura en la responsabilidad social Accountability Norma ISO Orientaciones y estructura de la norma Social Accountability Comentarios sobre el borrador de la Norma ISO RS Consideraciones finales Notas bibliográficas CAPÍTULO 10 RESPONSABILIDAD SOCIAL CORPORATIVA PARA PYMES 1. Introducción XLVI ERREPAR

21 Directrices para las PYMES - Responsabilidad Social Empresaria (RSE) Directrices Paso a Paso para PYMES Pacto Mundial - Responsabilidad Social de las Empresas Derechos Humanos Derechos Laborales Derechos Medioambientales Lucha contra la Corrupción Balance de Responsabilidad Social y Ambiental Leyes referenciadas Ley Pequeña y mediana empresa (BO: 28/03/1995), reglamentada por el decreto 146/ Ley Fomento para la micro, pequeña y mediana empresa - modificaciones de la ley (BO: 07/09/2000) Definición de PYMES Definición de pequeña empresa Consideraciones sobre la RSC en las PYMES Guía de RSC para PYMES Glosario de términos Comentarios finales Notas bibliográficas Anexo. Guía de la Responsabilidad Social Corporativa para las PYMES Aspectos introductorios Herramientas para el diagnóstico a) Análisis FODA b) Análisis y valoración de riesgos c) Cuestionarios de autoevaluación Comportamientos adecuados de RSC Recomendaciones prácticas Trabajadores ARMANDO MIGUEL CASAL XLVII

22 Consumidores, Clientes y Proveedores Comunidad Autoridades locales Competidores Medio Ambiente Gobierno Corporativo CAPÍTULO 11 MEMORIA DE LOS ADMINISTRADORES 1. Introducción Sociedades alcanzadas Aspectos societarios legales Contabilidad Aspectos ampliados de la memoria Dispensas para microempresas y pequeñas empresas Fecha de aplicación efectiva Sindicatura societaria privada Análisis de aspectos a considerar en la Memoria por las normas legales aplicables Encabezamiento de la Memoria Razones de variaciones significativas en los activos y pasivos Explicación sobre los resultados extraordinarios y ajustes de ejercicios anteriores Ajustes de resultados de ejercicios anteriores Resultados extraordinarios Razones para proponer la constitución de reservas Reserva legal Otras reservas Estado de evolución del patrimonio neto Restricciones para la distribución de ganancias Causas por las que se proponen dividendos que no sean en efectivo XLVIII ERREPAR

23 2.5. Orientación sobre las perspectivas futuras Relaciones y variaciones con sociedades relacionadas Consideración de hechos posteriores a la fecha de los estados contables financieros Concepto de información complementaria Hechos posteriores al cierre Conceptos e importes que forman parte del costo de los bienes del activo Estado de resultados Comentarios finales Resumen de la nueva regulación societaria Reseña crítica con un enfoque empresarial Notas bibliográficas CAPÍTULO 12 INFORMES CORPORATIVOS SOBRE SOSTENIBILIDAD 1. Introducción Estándares GRI Proceso de Verificación Utilización de las Memorias de sostenibilidad Contabilidad para la sostenibilidad Las mejores prácticas de los Informes de sostenibilidad Tendencias Beneficios de la elaboración de Informes o Memorias Memoria de sostenibilidad del GRI Indicadores Informes financieros Principios para la elaboración de Informes o Memorias Contenido de la Memoria de sostenibilidad Credibilidad y verificación de las Memorias de sostenibilidad Glosario de términos Comentarios finales Notas bibliográficas ARMANDO MIGUEL CASAL XLIX