COSO 2013: Hacia un Estándar Mejorado de Control Interno. Agosto 13 de 2014

Transcripción

1 COSO 2013: Hacia un Estándar Mejorado de Control Interno Agosto 13 de 2014

2 Agenda Antecedentes COSO 2013: Estructura Mejorada Hacia una transición efectiva Preguntas y Comentarios 1 COSO 2013: Hacia una Transición Efectiva 1

3 Antecedentes

4 Antecedentes Misión y Estructura de la Organización COSO COSO1 es una iniciativa conjunta de las siguientes organizaciones: Asociación de Contadores Públicos Norteamericanos ( AAA ) Instituto Norteamericanos de Contadores Públicos Certificados ( AICPA ) Asociación Internacional de Ejecutivos de Finanzas ( FEI ) Instituto de Gerentes de Contabilidad ( IMA ) Instituto de Auditores Internos ( IIA ) COSO AAA AICPA FEI IMA IIA COSO - Misión proporcionar liderazgo de pensamiento a través de la creación de estructuras y orientaciones generales sobre la gestión del riesgo empresarial, el control interno y la disuasión del fraude diseñado para mejorar el desempeño organizacional, la gestión y reducir el alcance del fraude en las organizaciones. 1 Committee of the Treadway Commission of the Sponsoring Organization 3 COSO 2013: Hacia una Transición Efectiva

5 Antecedentes Por qué mejorar lo que está funcionando? Estructura Original Estructura Integrada de Control Interno COSO (1992) Actualizar Objetivos Reflejar cambios en los ambientes de negocios y operaciones Expandir los objetivos de reporte y operaciones Articular principios para evaluar la efectividad del sistema Mejoras Actualización del Contexto Ampliación de la Aplicación Clarificar Requerimientos Estructura Actualizada Estructura Integrada de Control Interno COSO (2013) Fuente: Presentación COSO Mayo COSO 2013: Hacia una Transición Efectiva

6 Antecedentes Cuáles son los nuevos documentos? Estructura 2013 Compendio CIRF Externo Componentes Principios Puntos de Enfoque Herramientas Ilustrativas Plantillas Enfoques Ejemplos Escenarios 5 COSO 2013: Hacia una Transición Efectiva

7 COSO 2013 Estructura Mejorada de Control Interno

8 Vicepresidencia Financiera Dirección de Relacionamiento con el Inversionista Unidad de Finanzas Corporativas Unidad de Gestión de Riesgos Unidad de Tesorería Unidad de Información Contable y Tributaria Áreas de Direccionamiento Centro Corporativo Secretaría General Vicepresidencia Jurídica Vicepresidencia de Talento Humano Vicepresidencia Ejecutiva de Exploración y Producción Gerencia Técnica y de Desarrollo de E y P Gerencia de Nuevos Negocios E y P Vicepresidencia de Exploración Vicepresidencia de Producción Áreas transversales a Negocios Áreas de Negocio Junta Directiva Presidencia Gerencia de Nuevos Negocios del Downstream Vicepresidencia de Refinación y Petroquímica Vicepresidencia de Transporte Vicepresidencia de Suministro y Mercadeo Vicepresidencia de Estrategia y Crecimiento Vicepresidencia Ejecutiva del Downstream Subordinación Administrativa Oficina de Control Disciplinario Subordinación Funcional Comité Auditoría Junta Directiva Dirección de Auditoria Interna Vicepresidencia de Servicios y Tecnología Dirección de HSE y Gestión Social Dirección Instituto Colombiano del Petróleo Dirección de Tecnología de Información Dirección de Abastecimiento de Bienes y Servicios Dirección de Seguridad Física Dirección de Servicios y Beneficios al Personal 2013 Estructura de CI y Guías Qué no cambia frente al Modelo COSO 1992? Definición de control interno Un proceso, efectuado por la junta directiva, la gerencia y otro personal, diseñado para proveer seguridad razonable en relación con el cumplimiento de objetivos relacionados con operaciones, reporte y cumplimiento Proceso continuo. Es un medio no un fin en sí mismo. Proporciona seguridad razonable a la Gerencia y la Junta. Ejecutado por personas. No son solo políticas y manuales. Adaptable a la estructura de la entidad 7 COSO 2013: Hacia una Transición Efectiva

9 Componentes Entidad Legal Unidad de Negocios División Procesos Actividades Alcance Organizacional 2013 Estructura Mejorada de Control Interno Principales Cambios Algunas mejoras al Modelo incluyen: Objetivos Mayor énfasis en impacto de organizaciones de servicios (terceros) en el sistema de control interno Mayor descripción del impacto de aspectos de TI en el sistema de control interno Uso de 17 principios para describir los conceptos/prácticas clave asociadas a cada componente Una vía mas formal de diseñar y evaluar el sistema de control interno, de acuerdo con los principios. Monitoreo Información & Comunicación Actividades de Control Evaluación de Riesgos Ambiente de Control Cubo COSO (Edición 2013) Fuente: COSO Integrated Framework Executive Summary, May COSO 2013: Hacia una Transición Efectiva

10 COMPONENTES Estructura Coso 2013 Control Interno 1 Ambiente de Control 5 Principios 20 Puntos de Enfoque 2 Evaluación de Riesgos 4 Principios 27 Puntos de Enfoque COSO Actividades de Control 3 Principios 16 Puntos de Enfoque 4 Información y Comunicación 3 Principios 14 Puntos de Enfoque 5 Actividades de Monitoreo 2 Principios 10 Puntos de Enfoque 9 COSO 2013: Hacia una Transición Efectiva 17 principios 87 puntos de enfoque

11 Estructura COSO 2013 (Ejemplo) Componente (1) Principio (4) Punto de Enfoque (27) Evaluación de Riesgos Identificación de Riesgos Consideración de Fraude Analiza factores internos y Externos Determina respuesta a los riesgos Considera los tipos de fraude Obligatorios Recomendaciones 10 COSO 2013: Hacia una Transición Efectiva

12 2013 Estructura de Control Interno Resumen de Principios COMPONENTE RESUMEN DE PRINCIPIOS Ambiente de Control 1. Demostrar compromiso con la integridad y los valores éticos. 2. Rol Asesor / Supervisor de Junta Directiva (Incluyendo su independencia). 3. La gerencia, bajo supervisión de la Junta, establece la estructura, autoridad y responsabilidad para cumplir objetivos. 4. Demostrar compromiso por ser competentes. 5. Reforzar las responsabilidades sobre el control interno (Junta / Gerencia). 11 COSO 2013: Hacia una Transición Efectiva

13 2013 Estructura de Control Interno Resumen de Principios (cont.) COMPONENTE RESUMEN DE PRINCIPIOS Evaluación de Riesgos 6. Definir objetivos lo suficientemente claros para identificar riesgos (Operaciones, Cumplimiento y Reportes). 7. Identificar y analizar riesgos que impidan alcanzar los objetivos. 8. Evaluar el riesgo de fraude que impidan alcanzar los objetivos. 9. Identificar y analizar cambios que afecten el cumplimiento de objetivos. 12 COSO 2013: Hacia una Transición Efectiva

14 2013 Estructura de Control Interno Resumen de Principios (cont.) COMPONENTE RESUMEN DE PRINCIPIOS Actividades de Control 10. Seleccionar e implementar actividades de control que mitiguen los riesgos hasta niveles aceptables. 11. Seleccionar e implementar controles generales sobre TI. 12. Desplegar controles a través de políticas y procedimientos. 13 COSO 2013: Hacia una Transición Efectiva

15 2013 Estructura de Control Interno Resumen de Principios (cont.) COMPONENTE RESUMEN DE PRINCIPIOS Información y Comunicaciones 13. Usar información relevante para soportar el funcionamiento del Control Interno. 14. Comunicar internamente los objetivos y responsabilidades de control interno. 15. Comunicar externamente aspectos relevantes sobre el funcionamiento del control interno. 14 COSO 2013: Hacia una Transición Efectiva

16 2013 Estructura de Control Interno Resumen de Principios (cont.) COMPONENTE RESUMEN DE PRINCIPIOS Monitoreo 16. Desarrollar evaluaciones propias o separadas para verificar que los controles están presentes y funcionando conjuntamente. 17. Evaluar y comunicar sobre Deficiencias de Control a aquellos responsables del gobierno. 15 COSO 2013: Hacia una Transición Efectiva

17 2013 Estructura Mejorada de Control Interno Define qué se entiende por Control Interno Efectivo Para COSO, un sistema de control interno efectivo requiere que: Cada uno de los cinco (5) componentes y 17 principios estén presentes y funcionando Monitoreo Ambiente de Control Los cinco (5) componentes estén operando de forma conjunta e integrada. Las deficiencias de control agregadas a través de principios y componentes no resulten en la determinación de que existen una o más deficiencias de control importantes. Información y comunicaciones Actividades de Control Evaluación de Riesgos Componentes del SCI 16 COSO 2013: Hacia una Transición Efectiva

18 Estructura Coso 2013 COSO 2013 Deficiencia de control Deficiencia mayor SOX Deficiencia de control Deficiencia significativa Debilidad material Reporte Control interno efectivo Control Interno inefectivo 17 COSO 2013: Hacia una Transición Efectiva

19 2013 Estructura Mejorada de Control Interno Visión General de Un Proceso para concluir sobre la Efectividad del SCI Establecer Objetivos Identificar y Evaluar Riesgos Interrelaci o-nar con SCI y sus Principios Evaluar Efectivida d SCI Concluir y Reportar Operacional Reporte Cumplimiento Criterios de riesgos Mapa de riesgos Prevenir Detectar Monitorear Valorar diseño, implementación y funcionamiento del SCI en un periodo de tiempo. Evaluar impacto de deficiencias de control en cumplimiento de objetivos Comunicar deficiencias a aquellos responsables del gobierno. Comunicar externamente conclusiones 18 COSO 2013: Hacia una Transición Efectiva

20 Responsabilidades de Junta Directiva y Gerencia Enfatizados por COSO 2013 Gerencia Junta Directiva Comité de Auditoría Auditor Interno Proveer liderazgo y dirección en la definición de objetivos a nivel de la entidad Mantener supervisión y control sobre los riesgos que enfrenta la entidad Liderar el desarrollo de actividades de control a nivel de entidad Comunicar expectativas y requerimientos de información Evaluar las deficiencias de control que afectan la efectividad del sistema de control interno Vigilancia del Sistema de Control Interno Definir expectativas sobre integridad, valores éticos, transparencia y responsabilidad Evaluación del riesgo de fraude por omisión de controles de la Gerencia Establecimiento de líneas de comunicación separadas de la gerencia (P.e. líneas de denuncia) Vigilancia de riesgos y control interno Verificar el cumplimiento de responsabilidades de la Gerencia en el proceso de reportes y cumplimiento Interactuar con auditores externos Supervisión de la función de auditoría interna. Proveer aseguramiento independiente y asesoría a la gerencia en gestión del control interno Evaluar el diseño y efectividad de los controles Comunicar hallazgos e interactuar con la Gerencia, Comité de Auditoría y Junta Directiva 19 COSO 2013: Hacia una Transición Efectiva

21 Relación COSO con otras estructuras y normatividad Por qué COSO impacta otras estructuras y normas con las que debe cumplir la organización? Ley SOX Usado por compañías cotizantes en el NYSE para generar sus informes de control interno de reporte financiero externo anual. Ley FCPA/Anticorrupción Usado por compañías para diseñar y desarrollar programas de cumplimiento. Circular 038 La norma usa buena parte de los conceptos de COSO para reforzar el gobierno, la gestión de control interno y la disuasión del fraude. Objetivo: Generar reportes confiables Objetivo: Cumplir con leyes y regulaciones Objetivo: Mantener operaciones eficientes y efectivas COSO Control Interno: Referente Integral 20 COSO 2013: Hacia una Transición Efectiva

22 Oportunidades que plantea COSO a la Organización Integrando el Control Interno al Modelo de Negocios Generación de Valor Misión - Visión Estrategias Objetivos Relacionados Operacionales Reportes (Informes) Cumplimiento Evaluación de Riesgos Evaluación de Controles Valoración Efectividad 21 COSO 2013: Hacia una Transición Efectiva

23 Impacto en el cumplimiento SOX

24 Consideraciones de implementación Periodo de Transición y Consideración de Reporte Periodo de Transición: Mayo 14, 2013 Diciembre 15, 2014 COSO considerará la estructurada de 1992 sustituida después de Diciembre 15 de Si se aplica y referencia la Estructura Integrada de Control Interno COSO para reportes externos (P.e. SOX 404) El reporte externo debe declarar la estructura usada: COSO 1992 o COSO Si bien la SEC no ha indicado que se acoja al periodo de transición establecido por COSO, ha dejado claro que ( ) entre más tiempo los emisores continúen usando la estructura de 1992, es más probable que reciban preguntas del personal SEC acerca de si el uso que el emisor hace de la estructura de 1992 satisface los requerimientos de la SEC para usar una estructura reconocida, confiable (particularmente después del 15 diciembre 2014) 3 3 Ver las minutas del 25 de septiembre de 2013 de la reunión del Center for Audit Quality SEC Regulations Committee con el personal de la SEC- 23 COSO 2013: Hacia una Transición Efectiva

25 Hacia una Transición Efectiva

26 2013 Estructura de Control Interno COSO Resumiendo Importantes mejoras al Modelo COSO 1992 que pueden plantear desafíos a las organizaciones: Expansión del Gobierno Corporativo Consideraciones sobre el rol de la junta directiva en la organización (Guía, consejero y supervisor) Discusiones sobre claridad en roles y responsabilidades de alta gerencia sobre el diseño y efectividad del control interno. Evaluación de Riesgos Discusiones más detalladas acerca de los conceptos de evaluación de riesgos, incluidos los relacionados con el riesgo inherente, tolerancia al riesgo, y la correlación entre evaluación de riesgos y actividades de control Considera el potencial de riesgo de fraude al evaluar los riesgos para el logro de los objetivos de una organización Proveedores Externos de Servicios ( PES ) Consideraciones relacionadas con las PES se incluyen en toda la estructura, incluyendo 12 de los 17 principios Requiere que la administración considere específicamente la forma en que los PES son monitoreados Tecnología Informática ( TI ) Las consideraciones relacionadas con TI se incluyen en 14 de 17 principios Debate sobre el uso de TI para ayudar en la monitorización continua Requisitos para garantizar la calidad de la información (integridad de datos) 25 COSO 2013: Hacia una Transición Efectiva

27 Cinco Pasos para la Transición Paso 5 Paso 4 Paso 1 Desarrollar conciencia, experiencia y alineación Paso 2 Realizar la evaluación de Impacto Preliminar Paso 3 Realizar la sensibilización, capacitación y evaluación integral Desarrollar y ejecutar un plan de transición COSO -Dando prioridad al cumplimiento SOX- Impulsar la mejora continua 26 COSO 2013: Hacia una Transición Efectiva

28 Paso 1: Desarrollar conciencia, experiencia y alineación Reunir a la administración y presentar COSO 2013 Presentar una visión general actual del marco a los oficiales de cumplimiento y al Comité de Auditoría Obtener apoyo y soporte de la Alta Gerencia Mapear sistema actual de control a los principios, considerando los conceptos de presencia y funcionamiento Identificar oportunidades para expandir el control interno Reunirse con Auditores Externos para discutir expectativas (áreas de interés y/o preocupación particular) 27 COSO 2013: Hacia una Transición Efectiva

29 Paso 2: Realizar la evaluación de Impacto Preliminar Importante obtener una diagnóstico real, obteniendo información veraz y actualizada considerando cambios en el negocio Realizar el mapeo de principios y componentes a controles Identifique controles que deban ajustarse, cambiarse o eliminarse para soportar una opinión positiva sobre el SCI Identificar las áreas que podrían ser más difíciles y requieren de atención para abordar los desafíos específicos Remediar las brechas 28 COSO 2013: Hacia una Transición Efectiva

30 Paso 3: Realizar la sensibilización, capacitación y evaluación integral Desarrollar una evaluación más amplia a partir de la evaluación preliminar Focalizar esfuerzos sobre el cumplimiento SOX o pueden existir diversos niveles de evaluación Considerar la definición de bases para el cumplimientos de otros objetivos fuera de SOX 29 COSO 2013: Hacia una Transición Efectiva

31 Paso 4: Desarrollar y ejecutar un plan de transición COSO Fase 1: Definir el plan del proyecto Transición COSO 2013 Fase 2: Gestionar el entrenamiento de los recursos Fase 3: Revisar la documentación para reflejar el cambio de COSO 2013 Fase 4: Probar controles bajo el nuevo marco Fase: Concluir sobre el control interno bajo el nuevo marco 30 COSO 2013: Hacia una Transición Efectiva

32 Paso 5: Impulsar la mejora continua Línea de Defensa (TheIIA) Junta Directiva/Comité de Auditoría Alta Dirección 1ª Línea de Defensa 2ª Línea de Defensa 3ª Línea de Defensa Controles Finanzas Controles Controles de la Gerencia de la Gerencia Medidas de de Control Interno Seguridad Gestión de Riesgos Calidad Auditoría Interna Cumplimiento 31 COSO 2013: Hacia una Transición Efectiva

33 Algunas preguntas a considerar: Sabemos si la empresa debe cumplir con la transición al marco COSO 2013? Tenemos un plan de acción realista? Hemos concluido sobre nuestros principios y puntos de enfoque relevantes? Nuestra documentación se encuentra debidamente alineada con los 17 principios, que permitan promover una procesos de auditoría externa? Estamos capacitados en el nuevo marco? Nuestra Compañía ha dedicado recursos para esto? Hemos identificados todas las brechas para concluir si los principios están presentes? Podemos concluir que nuestros controles están diseñados adecuadamente, operando de manera efectiva y que los cinco componentes están funcionando conjuntamente e integrados? 32 COSO 2013: Hacia una Transición Efectiva

34 Preguntas y Respuestas Nelson Valero Socio Consultoría en Riesgos Empresariales nvalero@deloitte.com Mauricio Roa, Gerente Senior Consultoría en Riesgos Empresariales mroa@deloitte.com Agosto 13 de 2014

35 About Deloitte Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee, and its network of member firms, each of which is a legally separate and independent entity. Please see for a detailed description of the legal structure of Deloitte Touche Tohmatsu Limited and its member firms. Please see for a detailed description of the legal structure of Deloitte LLP and its subsidiaries. Certain services may not be available to attest clients under the rules and regulations of public accounting. 36 USC Member of Deloitte Touche Tohmatsu Limited