CONTROL INTERNO

BASADO EN EL
INFORME COSO
 Alcance
 Nuevos paradigmas.

 Conceptos metodológicos de COSO.

 Bases de MEYCOR COSO AG, una

herramienta para la implantación del
control interno basado en COSO.
 Informe COSO
 En 1992, COSO publicó el Sistema
Integrado de Control Interno, un informe
que establece una definición común de
control interno y proporciona un estándar
mediante el cual las organizaciones
pueden evaluar y mejorar sus sistemas de
control.
 El objetivo de COSO
 Mejorar la calidad de la información
financiera concentrándose en el manejo
corporativo, las normas éticas y el
control interno. 
 Unificar criterios ante la existencia de
una importante variedad de interpreta-
ciones y conceptos sobre el control
interno.
Gestión del Riesgo empresarial (ERM)

 “El control interno es una parte integral de la

Administración del riesgo empresarial y está
abarcado dentro de éste.”
 “La Administración del riesgo empresarial es más
amplia que el control interno, expandiendo y
elaborando sobre el control interno para formar
una concepción más robusta que se enfoca más
sobre el riesgo.”
 “El Marco Integrado Control Interno sigue siendo
totalmente válido para las entidades y otros que
ponen énfasis en el control interno.”
 Basilea II
 Incluye varios cambios que, si bien serán exigibles a
principios de 2007, marcan un rumbo sobre el que
hay que empezar.
 Basilea I se centraba en el análisis de riesgos de
crédito y de mercado. Ahora se aumenta la
regulación de fondos propios exigidos por la
normativa y la exposición al riesgo.
 Se incluye la necesidad de tener en cuenta un nuevo
riesgo: el riesgo operacional o sea el resultado de la
pérdida derivada de fallos en los procesos internos,
en la actuación de personas o de sistemas
inadecuados o erróneos así como de factores
externos.
Conformidad con ley SARBANES
OXLEY
 Utilización de COSO, modelo del
Gobierno Corporativo, y de COBIT,
modelo del Gobierno de la Tecnología
de la Información, para lograr
conformidad con la ley SARBANES-
OXLEY
 Conceptos
Metodológicos del
INFORME COSO

Los nuevos conceptos del

control interno en las
organizaciones
Definición de Control Interno
 Es un proceso que involucra a todos los
integrantes de la organización sin excepción,
diseñado para dar un grado razonable de apoyo
en cuanto a la obtención de los objetivos en las
siguientes categorías:
 Eficacia y eficiencia de las operaciones (O)
 Fiabilidad de la información financiera (F)
 Cumplimiento de las leyes y normas que son
aplicables(C)
 Estas tres categorías se interrelacionan entre sí.
 ¿Qué se puede obtener a través de
COSO?
 La definición de un marco de referencia
aplicable a cualquier organización.
 COSO considera que el control interno debe
ser un proceso integrado con el negocio que
ayude a conseguir los resultados esperados
en materia de rentabilidad y rendimiento.
 Trasmitir el concepto de que el esfuerzo
involucra a toda la organización: desde la
Alta Dirección hasta el último empleado.
 Componentes del Control
Interno
 Son 5 componentes (Entorno de control,
Evaluación de los Riesgos, Actividades de control,
Información y comunicación, y Supervisión) que
interactúan entre si y están integrados al proceso
de Dirección.
 El sistema de control debe incorporarse de
manera armónica con las actividades operativas
de la organización.
 Esto ayuda a que se fomente la calidad de la
delegación de poderes, se eviten pérdidas y haya
una respuesta rápida ante los cambios.
 Entorno de Control
 Es la base de los demás componentes,
aportando disciplina y estructura.
 Incluye: la integridad, los valores éticos y la
capacidad de los empleados de la entidad,
la filosofía de la Dirección y el estilo de
gestión, la asignación de la autoridad y las
responsabilidades, la organización y el
desarrollo de los empleados y la
orientación de la Dirección.
 Evaluación de los riesgos
 Primeramente deben identificarse los
objetivos organizacionales, vinculados y
coherentes. Luego deben identificarse y
evaluarse los riesgos relevantes que
pueden afectar el alcanzar esos objetivos.
 Los riesgos deben ser administrados,
atendiendo a la existencia de un medio
interno y externo cambiante.
 Actividades de Control
 Son las políticas y procedimientos que
ayudan a asegurar que se toman las
medidas para limitar los riesgos que pueden
afectar que se alcancen los objetivos
organizacionales.
 Son ejemplos: autorizaciones, verifica-
ciones, conciliaciones, segregación de
funciones, revisiones de rentabilidad
operativa, etc.
 Información y Comunicación
 Se debe identificar, ordenar y comunicar en forma
oportuna la información necesaria para que los
empleados puedan cumplir con sus obligaciones.
 La información puede ser operativa o financiera,
de origen interno o externo.
 Deben existir adecuados canales de
comunicación.
 El personal debe ser informado de la importancia
de que participe en el esfuerzo de aplicar el
control interno.
 Supervisión
 Debe existir un proceso que compruebe que
el sistema de control interno se mantiene en
funcionamiento a través del tiempo.
 La misma tiene tareas permanentes y
revisiones periódicas. Estas últimas
dependerán en cuanto a su frecuencia de la
evaluación de la importancia de los riesgos
en juego.
 Interrelación
 La organización debe
lograr cumplir con
esas tres categorías
de objetivos (O, F,C)
ya vistas.
 Los 5 componentes
descriptos son
acciones necesarias
para lograr esos
objetivos.
 Limitaciones a atender
 La confianza en el sistema de control
interno no debe dejar de considerar que:
 Pueden existir fallas resultantes de errores de
juicio.
 La colusión de dos o más personas o la acción
de la Dirección pueden burlar el sistema.
 El sistema a diseñar debe explicitar las
limitaciones de recursos (relación costo
beneficio).
 Funciones y
responsabilidades
 La Alta Gerencia es la responsable última del
sistema de control. La integridad y la ética deben
ser elementos que aporten ejemplo a los demás
empleados. Debe dirigir a los gerentes que a su vez
son los responsables en sus respectivas áreas.
 El Consejo de Administración fija las pautas y la
visión global del negocio. El Consejo debe tener un
papel activo en el conocimiento de las acciones que
se ejecutan. Debe asegurarse de contar con vías
de comunicación efectivas con la Alta Dirección y
las áreas financieras, legales y de auditoría interna.
 La Auditoría Interna debe desempeñar un papel
de supervisión sobre la eficiencia y permanencia
de los sistemas de control. Para ello debe
contar con una ubicación jerárquica adecuada.
 Los empleados en general tienen la
responsabilidad de participar en el esfuerzo de
aplicar el control interno, cuyos detalles deben
ser incorporados a la descripción de los puestos
de trabajo. Ellos deben comunicar al nivel
superior las desviaciones que detecten a los
códigos de conducta, a las políticas establecidas
o la legalidad de las acciones realizadas.
 MEYCOR COSO AG
 El Informe COSO define una estructura, un marco
de referencia.
 Dentro del mismo se debe analizar cómo
interactuan los componentes en la realidad peculiar
de cada organización.
 Debe contarse con una herramienta que asista en
el proceso de evaluación periódica y proactiva del
sistema de control interno.
 La evaluación puede querer centrarse en un solo
objetivo (por ejemplo la información financiera).
Puede también querer referirse a una unidad de la
organización o a una actividad en particular.
Matriz de COSO
 Evaluación de los riesgos
 Determinación de los Objetivos.
 Objetivos globales (tales como la Misión).
 Objetivos específicos de las diversas
actividades (por ej. Producción), estos
sub-objetivos medibles a través de metas
deben ser coherentes.
 Los objetivos deben ser:
 Definidos de modo de identificar los criterios
para medir el rendimiento y establecer factores
críticos de éxito (que pueden ser a nivel de
actividad o unidad operacional).
 Coherentes y compatibles.
 Como ejemplo se puede considerar: efectuar
pagos sólo para compras autorizadas, que los
sistemas informáticos se encuentren disponibles
según los requerimientos del negocio, etc.
 Los riesgos
 La identificación y el análisis de riesgos es un
proceso interactivo que involucra al personal
responsable de cumplir con los objetivos fijados
ya que es el más idóneo.
 Los riesgos pueden ser el resultado del efecto de
factores internos y externos, por ejemplo: las
averías de los sistemas informáticos, los cambios
en la responsabilidad de los directivos, etc.
 Una vez identificados debe estimarse su
importancia, evaluar la probabilidad de que
impacte a la organización y qué medidas deben
tomarse para atenuar sus efectos.
 Actividades de Control
 Son políticas, procedimientos y acciones que
afectan a una o más áreas de la organización.
 Algunos ejemplos serían:
 Análisis efectuados por la Dirección.
 Gestión directa de los responsables.
 Proceso de información.
 Controles físicos.
 Indicadores de rendimiento y segregación de
funciones.
Relacionamiento de los elementos

 Las actividades de control, al enfrentar

adecuadamente a los riesgos, ayudan a
alcanzar los objetivos de los Departa-
mentos y actividades, logrando así
alcanzar los objetivos del negocio.
 Información y comunicación
 Debe asegurase que se obtenga
información de calidad y no meros datos.
 La información debe ser protegida ya que
se trata de un activo valioso.
 Las vías de comunicación interna deben
asegurar que el personal conozca los
elementos suficientes para cumplir con su
tarea.
 Supervisión

 Las actividades de supervisión continua y

evaluaciones puntuales.

 Las deficiencias detectadas deben ser

oportunamente comunicadas.
MEYCOR COSO
AG
Detalle de funcionalidades
 Ingreso al sistema
El
El sistema
sistema cuenta
cuenta con
con un
un control
control de
de acceso
acceso al
al
mismo
mismo compuesto
compuesto porpor unun login
login yy una
una
contraseña.
contraseña.

El
El Administrador
Administrador (ADMIN)
(ADMIN) deberá
deberá conocer
conocer la la
herramienta
herramienta yy sussus fundamentos
fundamentos teóricos,
teóricos, yy aa la
la hora
hora
de
de hacer
hacer los
los relevamientos
relevamientos podrá
podrá distribuir
distribuir el
el acceso
acceso
aa los
los cuestionarios
cuestionarios según
según el
el perfil
perfil de
de los
los revisores.
revisores.
 Menú Principal

El
El Menú
Menú Principal
Principal cuenta
cuenta con
con una
una barra
barra
de
de herramientas
herramientas que que permite
permite unun
acceso
acceso más
más directo
directo aa las
las opciones
opciones más
más
usadas.
usadas.
 Grupos de trabajo y revisores

Se
Se definen
definen grupos
grupos de
de trabajo
trabajo yy los
los revisores
revisores
que
que participarán
participarán en
en la
la revisión.
revisión.
 Guía metodológica

Existe
Existe una
una guía
guía metodológica
metodológica que
que facilita
facilita la
la
aplicación
aplicación de
de la
la metodología
metodología COSO.
COSO. Esta
Esta
guía
guía contiene
contiene los
los pasos
pasos aa seguir
seguir durante
durante lala
evaluación,
evaluación, documentación,
documentación, yy accesos
accesos
directos
directos aa los
los formularios
formularios donde
donde la la
información
información debe
debe ser
ser ingresada.
ingresada.
 Cuestionarios Generales

Los
Los cuestionarios
cuestionarios generales
generales dede los
los 55
componentes
componentes pueden
pueden serser evaluados
evaluados aa
diferentes
diferentes niveles
niveles de
de la
la organización.
organización.
Formularios de Cuestionarios
Generales

Los
Los cuestionarios
cuestionarios generales
generales pueden
pueden serser
generados
generados en en formato
formato RTF
RTF (con
(con ingreso
ingreso
manual
manual dede respuestas)
respuestas) oo en
en formato
formato HTML
HTML
(con
(con ingreso
ingreso automático
automático de
de respuestas).
respuestas).
 Cargar respuestas desde Formularios HTML

Este
Este formulario
formulario le
le permite
permite cargar
cargar las
las
respuestas
respuestas de de loslos cuestionarios
cuestionarios
generales
generales desde
desde los
los formularios
formularios HTML.
HTML.
Sincronización de Evaluaciones Off-line

Este
Este formulario
formulario lele permite
permite sincronizar
sincronizar las
las
respuestas
respuestas de
de los
los cuestionarios
cuestionarios generales
generales que
que
los
los revisores
revisores hayan
hayan ingresado
ingresado en
en bases
bases off-line.
off-line.
 Informe de Cuestionarios Generales

Permite
Permite evaluar
evaluar los
los resultados
resultados dede la
la revisión
revisión de
de
los
los 55 componentes
componentes tanto
tanto aa nivel
nivel numérico
numérico como
como
gráfico,
gráfico, con
con diferente
diferente nivel
nivel de
de desagregación.
desagregación.
 Comparación de Cuestionarios
Generales

Permite
Permite comparar
comparar los
los resultados
resultados de
de la
la revisión
revisión entre
entre
sí
sí yy contra
contra el
el promedio,
promedio, tanto
tanto aa nivel
nivel numérico
numérico
como
como gráfico,
gráfico, con
con diferente
diferente nivel
nivel de
de desagregación.
desagregación.
Comparación de diferentes períodos

Permite
Permite comparar
comparar los
los resultados
resultados obtenidos
obtenidos en
en
diferentes
diferentes períodos
períodos tanto
tanto aa nivel
nivel numérico
numérico como
como
gráfico,
gráfico, con
con diferente
diferente nivel
nivel de
de desagregación.
desagregación.
Codificación de la estructura organizacional

Antes
Antes de
de comenzar
comenzar lala revisión,
revisión, se
se deben
deben
determinan
determinan los
los niveles
niveles que
que componen
componen la
la
estructura
estructura de
de la
la organización.
organización.
 Organigrama

Se
Se identifica
identifica el
el organigrama,
organigrama, definiendo
definiendo los
los
objetivos
objetivos de
de cada
cada área
área yy sus
sus responsables.
responsables.
Reporte del organigrama
 Procesos y sub-procesos

Se
Se definen
definen los
los procesos
procesos yy sub-procesos
sub-procesos yy se
se
los
los asigna
asigna aa las
las unidades
unidades del
del organigrama
organigrama
correspondientes.
correspondientes.
Reporte de Procesos y Sub-
procesos
 Asignación de procesos

Se
Se asignan
asignan los
los procesos
procesos yy sub-procesos
sub-procesos que
que
serán
serán revisados
revisados por
por cada
cada grupo
grupo de
de trabajo.
trabajo.
 Ponderación de procesos

Los
Los procesos
procesos yy sub-procesos
sub-procesos pueden
pueden ser
ser ponderados
ponderados
yy rankeados
rankeados aa efectos
efectos de
de determinar
determinar las
las actividades
actividades
que
que son
son críticas
críticas para
para el
el negocio
negocio yy que
que por
por tanto
tanto
requieren
requieren mayor
mayor atención.
atención.
 Ingreso de actividades de los
procesos

Procesos
Procesos yy sub-procesos
sub-procesos Jerarquía
Jerarquía de
de tareas
tareas que
que
asignados
asignados aa unidades
unidades.. se
se realizan
realizan en
en el
el proceso
proceso..
 Riesgos y Actividades de Control

Es
Es posible
posible marcar
marcar laslas
actividades
actividades de
de control
control que
que
luego
luego serán
serán auditadas
auditadas

Se
Se definen
definen los
los objetivos
objetivos de
de control,
control, los
los
riesgos
riesgos yy las
las actividades
actividades de
de control
control relativas
relativas
aa los
los procesos
procesos yy sub-procesos
sub-procesos aa ser
ser evaluados
evaluados
Selección de actividades de control a auditar

Mediante
Mediante la la utilización
utilización dede filtros
filtros es
es posible
posible
seleccionar
seleccionar dentro
dentro del
del universo
universo de
de las
las actividades
actividades
de
de control,
control, aquellas
aquellas que
que requieran
requieran ser
ser auditadas
auditadas
 Creación de proyectos de
auditoría

Los
Los usuarios
usuarios supervisores
supervisores pueden
pueden crear
crear
proyectos
proyectos de
de auditoría.
auditoría. Para
Para los
los proyectos
proyectos sese
definen
definen los
los auditores
auditores asignados
asignados yy los
los objetivos
objetivos
de
de procesos
procesos que
que se
se van
van aa auditar
auditar en
en el
el proyecto.
proyecto.
 Asignación de objetivos y riesgos

El
El supervisor
supervisor que
que creó
creó un
un proyecto
proyecto debe
debe definir
definir los
los
objetivos
objetivos que
que auditará
auditará cada
cada auditor.
auditor.
Se
Se definen
definen también
también los
los riesgos
riesgos de
de cada
cada objetivo
objetivo que
que
serán
serán alcanzados
alcanzados por
por el
el proyecto
proyecto de
de auditoría.
auditoría.
Auditoría de actividades de control
Objetivos
Objetivos yy riesgos
riesgos aa auditar
auditar
según
según la
la asignación
asignación del
del auditor.
auditor.

Registro
Registro de
de Vinculación
Vinculación Registro
Registro de
de tareas
tareas
hallazgos.
hallazgos. de
de archivos.
archivos. realizadas.
realizadas.
Informe final de auditoría

Selección
Selección de
de observaciones
observaciones que
que
se
se incluyen
incluyen en
en el
el informe
informe final.
final.

Informe
Informe final
final de
de auditoría
auditoría
generado
generado automáticamente.
automáticamente.
Cálculo de exposición
Impacto x Probabilidad de Riesgo
Eval. Act. de Control
 Informe de Riesgos y Actividades de
Control

Es
Es posible
posible ver
ver la
la ponderación
ponderación
de
de riesgos
riesgos yy el
el resultado
resultado de
de la
la
evaluación
evaluación dede las
las actividades
actividades
de
de control
control existentes.
existentes.

Se
Se evalúa
evalúa el
el cumplimiento
cumplimiento de
de los
los objetivos
objetivos
de
de control,
control, aa efectos
efectos de
de determinar
determinar si
si ante
ante
los
los riesgos
riesgos identificados,
identificados, los
los mismos
mismos sese
encuentran
encuentran adecuadamente
adecuadamente cubiertos.
cubiertos.
 Informe de Riesgos y Actividades de
Control

Permite
Permite evaluar
evaluar los
los resultados
resultados de
de la
la revisión
revisión de
de
los
los objetivos
objetivos tanto
tanto aa nivel
nivel numérico
numérico como
como gráfico.
gráfico.
 Resumen de Riesgos y Actividades de Control

Permite
Permite visualizar
visualizar enen forma
forma resumida
resumida los
los
resultados
resultados dede la
la revisión
revisión dede los
los objetivos
objetivos yy
los
los factores
factores de
de riesgos
riesgos de
de los
los procesos
procesos
 Mapas de riesgos y gráficas de
exposición
Mapa
Mapa de
de riesgos
riesgos
según
según la
la
probabilidad
probabilidad ee
impacto
impacto

Gráfica
Gráfica de
de exposición
exposición
considerando
considerando la
la
evaluación
evaluación de
de los
los
controles
controles
 Tratamiento de riesgos
Se
Se define
define elel trata-
trata-
miento
miento que
que se
se da
da aa los
los
riesgos.
riesgos.

Según
Según elel tratamiento
tratamiento
realizado
realizado sese simula
simula el
el
cambio
cambio en en lala expo-
expo-
sición
sición al
al riesgo.
riesgo.
 Definición de proyectos de
mejora
Los
Los nuevos
nuevos controles
controles que
que se
se incluyen
incluyen en
en el
el tratamiento
tratamiento
se
se agrupan
agrupan en
en proyectos
proyectos de
de implantación.
implantación.

Los
Los proyectos
proyectos se
se
priorizan
priorizan según
según el el
Controles
Controles incluidos
incluidos en
en impacto
impacto yy la
la relación
relación
el
el proyecto.
proyecto. costo-riesgo.
costo-riesgo.
Comparación de diferentes períodos

Permite
Permite comparar
comparar las
las evaluaciones
evaluaciones de de los
los
procesos
procesos obtenidas
obtenidas en
en diferentes
diferentes períodos
períodos
tanto
tanto aa nivel
nivel numérico
numérico como
como gráfico.
gráfico.
 Meycor COSO Web
Publicación, Distribución y Revisión de
Documentos

El
El módulo
módulo web
web de
de Meycor
Meycor COSO
COSO AG,
AG, facilita
facilita
la
la publicación
publicación yy distribución
distribución dede documentos
documentos
de
de manera
manera sencilla,
sencilla, aa la
la vez
vez que
que permite
permite
emitir
emitir un
un juicio
juicio acerca
acerca de
de los
los mismos.
mismos.
 Meycor COSO Web
Respuesta a Cuestionarios Generales

Meycor
Meycor COSO
COSO Web
Web permite
permite contestar
contestar los
los
cuestionarios
cuestionarios de
de autoevaluación
autoevaluación de
de forma
forma
remota
remota
 Prestaciones de MEYCOR
COSO AG para personalizar y
mejorar el detalle y la
información de la revisión
 Contiene una guía metodológica que facilita la
aplicación de la metodología COSO y lo asiste
durante todo el procesos de revisión.
 Permite codificar los niveles jerárquicos de la
organización para así determinar el
organigrama de acuerdo a la nomenclatura de
la misma.
 Permite identificar los procesos y sub-procesos,
efectuar un ranking de los mismos, así como
asociarlos a las áreas correspondientes.
 Permite la creación de grupos de trabajo y de
revisores, que facilitan la distribución de las
tareas.
 Permite asignar a los revisores privilegios de
Administrador.
 Contiene los objetivos, riesgos y actividades de
control genéricos del Informe COSO.
 Permite manejar varias versiones de los
cuestionarios generales.
 Permite marcar las actividades de control que
luego serán objeto de auditoría.
 Permite el uso de ponderadores a nivel de
procesos, objetivos y riesgos.
 Permite evaluar los cuestionarios generales a
cualquier nivel jerárquico.
 Permite exportar todos los reportes a formato
RTF, HTML y EXCEL.
 Permite exportar todas las gráficas a formato
BMP.
 Genera formularios de evaluación de
cuestionarios generales en HTML.
 Permite la sincronización de cuestionarios
generales y evaluación de riesgos y actividades
de control de bases off-line.
 Permite acceso multi-usuario a la evaluación de
riesgos y actividades de control.

 Permite efectuar un ranking de los procesos.

 Permite comparar los resultados de diferentes

períodos.

 Incluye ayuda en línea.

 DATASEC
IT Security & Control

Patria 716 - CP 11300 - Montevideo - Uruguay

Tel: (5982) 711-58-78/ 711-04-20
Fax: (5982) 711-58-94
Web site: www.datasec-soft.com