Compilación Bibliográfica: Ley de Sarbanes-Oxley (SOX) y Committee of Sponsoring Organizations (COSO) José Alejandro Arias M. cod.907037 Materia: Auditoría de Sistemas II Profesor: Carlos Hernán Gómez Universidad Nacional de Colombia Sede Manizales Marzo de 2010 ÍNDICE Introducción_________________________________________ 3 Marco Teórico________________________________________ 4 Desarrollo del Trabajo__________________________________6 Ley de Sarbanes-Oxley____________________________6 COSO__________________________________________11 Comparativo con COBIT__________________________ 24 Resumen____________________________________________ 25 Conclusiones y Observaciones__________________________29 Bibliografía___________________________________________30 INTRODUCCIÓN En el trabajo presentado a continuación se presenta una compilación bilbiográfica basada inicialmente en la reconocida ley SOX o de Sarbanes-Oxley, la cual ha visto la luz desde hace poco a raíz de los principales escándalos financieros en Estados Unidos en inicios del nuevo milenio. Para la recopilación de esta información se recurrió a diversos escritos y artículos que mencionaban características de la ley, así como a su vez resumían algunos artículos importantes, el resultado final es un compendio bien explicado de la ley en cuanto a sus inicios y sus intereses. También se aborda el tema de COSO (Committee of Sponsoring Organizations of Treadway Comission), el cual básicamente es un comité de iniciativa privada, que ha propuesto un marco de control en conformidad con la ley SOX. Para este tema se tuvo que hacer una investigación un poco más exhaustiva ya que el material viene principalmente en Inglés, de esta manera se recurrió a sitios de internet de algunas compañías auditorias que explicaban en conformidad este marco de referencia. El resultado es una explicación de buen nivel en la cual se profundizan los 5 componentes principales que se encuentran en este marco. MARCO TEÓRICO El Control Interno: El Control Interno es el conjunto de principios. más bien es una serie de acciones que ocurren de manera constante a través del funcionamiento y operación de una entidad. asistiendo a la dirección de manera constante. Están presentes en todos los procesos. metas y actividades se cumplan de acuerdo a lo preestablecido. actividades o tareas emprendidas por la entidad pública a fin de cumplir con su propósito institucional. ¿Para qué sirve el control interno? Sirve para garantizar que cada uno de los procesos. instrumentos y procedimientos que ordenados. en cuanto al manejo de la entidad y la realización de sus metas se refiere. estableció los principios que deben cumplirse en el ejercicio de la Función Pública de Administrar el Estado. Principios del control interno La Constitución Política de 1991. reglas. Responsabilidad Transparencia Moralidad . ¿Quiénes ejercen el control interno? El control interno lo ejerce cada uno de las personas que hacen parte de la entidad y que contribuyen al cumplimiento de los objetivos establecidos. debiendo reconocerse por lo tanto como un componente integral de cada sistema parte inherente a la estructura administrativa y operacional existente en la organización. dando el máximo de rendimiento en cumplimiento de su misión. En consecuencia el Control Interno no es un evento aislado. mecanismos. acciones. relacionados entre sí y unidos a las personas que conforman una organización. fundamentos. políticas. se constituye en un medio para lograr el cumplimiento de sus objetivos y la finalidad que persigue frente a los diferentes públicos o grupos de interés que debe atender. constituyéndose en los preceptos fundamentales definidos para encaminar su desarrollo y otorgar orientación estratégica a la toma de decisiones. Igualdad Imparcialidad Eficiencia Eficacia Economía Celeridad Publicidad Preservación del medio ambiente Fundamentos del Control Interno Autorregulación Autocontrol Autogestión Auditoría Interna Mecanismo a través del cual las Oficinas de Control Interno verifican el cumplimiento de las metas. . directrices. proyectos. objetivos. como también oportunidades de mejora a la operación de las actividades. normatividad. programas. apoyando a la alta dirección en la toma de decisiones sobre la base de evidencias para corregir las desviaciones presentadas. de la entidad pública. políticas. planes. procedimientos. WorldCom y Peregrine Systems. Tyco International. Sin embargo. una clara injerencia del estado en los asuntos internos corporativos. ya que ésta va en respuesta a los escándalos financieros de algunas grandes corporaciones.500 jubilados de Enron. (la acción pasó de 85 dólares a unos pocos centavos en menos de un año). Muchas personas. fue quizá la pérdida de confianza de los inversionistas.000 millones. cuyos ahorros estaban depositados en acciones de su compañía. Estos escándalos hicieron caer la confianza de la opinión pública en los sistemas de contabilidad y auditoría. al llevar una pequeña empresa a ser un emporio internacional. mientras los críticos creen que causara más daño económico del que previene. así como una gradual pérdida de libertad del manejo corporativo. El presidente de la desaparecida WorldCom. en medio de un agitado clima político y económico. cuando en el 2001 la cotización de esta acciones se desplomó tras el escándalo. el congreso americano sancionó la resonada ley «Sarbanes-Oxley» (SOX). La Ley Sarbanes-Oxley ha generado mucha controversia. incluyendo sus propios empleados que durante años habían invertido en acciones. y no pudieron vender porque la reglamentación sobre fondos de pensiones se lo impedía. y en un fallo sin precendetes. La crisis de credibilidad se hizo sentir en una fuerte caída de la . un compendio jurídico de más de 100 páginas de estrictos lineamientos contables y corporativos. La Ley toma el nombre del senador Paul Sarbanes (Demócrata) y el congresista Michael G. lo que significó para muchos. condenado a 25 años de cárcel. entre los que se incluyen los casos que afectan a Enron.000 empleados y 4. Igual suerte corrieron los 21. el daño más grave realizado. Oxley (Republicano).DESARROLLO La Ley de Sarbanes Oxley (SOX) En julio del 2002. Bernard Ebbers de 63 años. fue recientemente declarado culpable por un fraude de más de US$11. Los partidarios de esta Ley afirman que la legislación era necesaria y útil. que otrora fuese considerado el genio de las telecomunicaciones.000 millones de pérdidas por fraude contable y corporativo. quedaron literalmente en la quiebra. Los hechos revelados en empresas de clase mundial ubicadas principalmente en Estados Unidos y Europa en tan solo 4 años sumaban más de US$100. definir y formalizar responsabilidades sobre su cumplimiento al CEO. a múltiples empresas de otras latitudes que cotizan en bolsas americanas. los emisores domésticos o extranjeros que están registrados con la SEC. e incluso. desde la caída de la bolsa de 1929. el cambio más grande e importante en legislación sobre manejo de contaduría y finanzas empresariales en las últimas décadas. el gobierno norteamericano decidió tomar cartas en el asunto dando paso a una profunda reforma legislativa iniciada por el Congreso de ese país y la Comisión de Valores (SEC). La SOX es sin duda. directores con funciones similares) sino también. un enorme desafío para los departamentos contables de las empresas obligadas. La legislación abarca y establece nuevos estándares para los consejos de administración y dirección y los mecanismos contables de todas las empresas que cotizan en bolsa en los Estados Unidos. en tanto el volumen de los cambios. Entre sus objetivos generales esta. Introduce responsabilidades penales para el consejo de administración y establece unos requerimientos por parte de la SEC. Su alcance no se reduce a las compañías americanas y sus ejecutivos (CEO. así como que los auditores independientes de estas compañías constaten esta transparencia y veracidad. en mayor medida. su aplicación. Novedades y puntos más importantes que introduce la Ley Sarbanes-Oxley: La creación del “Public Company Accounting Oversight Board” (Comisión encargada de supervisar las auditorías de las compañías que cotizan en bolsa). por parte del comité ejecutivo y financiero de la empresa. La SOX representa además. CFO y auditores financieros. y segundo. A raíz de estos hechos. CFO.bolsa. establecer o mejorar el ambiente de control interno de las empresas públicas. La SOX representa un verdadero replanteamiento la responsabilidad y la ética al interior del mundo corporativo. El requerimiento de que las compañías que cotizan en bolsa garanticen la veracidad de las evaluaciones de sus controles internos en el informe financiero. a los proveedores de estas compañías. por el desconocimiento que aún existe en la materia. y también. las subsidiarias de empresas registradas con la SEC. destinada a restablecer la confianza en los informes financieros corporativos. y un temor generalizado de los inversionistas que no se veía quizá. . Certificación de los informes financieros. en primer lugar. un experto financiero que tenga la capacidad de interpretar y detectar situaciones anómalas Aparecen nuevas sanciones (multas y prisión) por la presentación de estados financieros fraudulentos Se establece el requerimiento de mantener códigos de ética para funcionarios “senior”. Esto implica que sobre los miembros. Este comité de auditores pertenece a la compañía. basándose en la premisa que el comportamiento ético debe transmitirse desde la cúpula directiva hacia las bases . La OSHA (Oficina de Empleo y Salud) se encargará en menos de 90 días. Los cambios más importantes respecto de la gerencia de las compañías son. así como las multas a los altos ejecutivos que incumplen y/o permiten el incumplimiento de las exigencias en lo referente al informe financiero. Transparencia de la información de acciones y opciones. Endurecimiento de la responsabilidad civil así como las penas. que forman el comité de auditores. El requerimiento de que las compañías que cotizan en bolsa tengan un comité de auditores completamente independientes. al menos. los gastos en pleitos legales y otros costes. los siguientes: Se requieren comités de auditoría independientes y deben incluir. de la compañía en cuestión. reinsertar al trabajador. recae la responsabilidad confirmar la independencia. que puedan tener los directivos. se establece una indemnización por daños. en el caso de que posean más de un 10% de acciones de la compañía. Asimismo estos datos deben estar reflejados en los informes de las compañías. que supervisen la relación entre la compañía y su auditoría. no obstante los miembros que lo forman son completamente independientes a la misma. Independencia de la empresa auditora. Se alargan las penas de prisión. Prohibición de préstamos personales a directores y ejecutivos. a modo de síntesis. ejecutivos y empleados claves de la compañía y consorcios. ante el incumplimiento de la Ley. Protecciones a los empleados caso de fraude corporativo. la devolución del dinero defraudado. Según “Financial Executives International” (FEI). Leyes o Títulos de la SOX I Junta de Supervisión de Firmas de Auditoría . bajo la sección 404 de SOx. y el coste monetario que esto acarrea. Por otro lado la Ley todavía no es efectiva para las compañías pequeñas con un valor de menos de 75 millones de dólares en el mercado bursátil. no obstante puede llegar a ser insostenible para una empresa más pequeña con una facturación de unos pocos millones. por tanto. cuando ésta se haga efecto. en una muestra de 217 compañías con un promedio de ingresos mayores de 5.000 millones de dólares. deban ser conocidos por el público inversor Responsabilidad personal definida del director general y director financiero sobre la “exactitud” en los estados financieros y adecuados controles internos sobre la información financiera Es importante destacar que. puede ser atribuido a la gran carga de trabajo que tuvieron que realizar las auditoras. la cúpula directiva es responsable de: Diseñar los controles internos para que sean efectivos en la detección de fraudes en la información financiera Documentar dichos controles internos para que puedan ser analizados y sometidos a prueba en todo momento y circunstancia Efectuar las pruebas necesarias que aseguren su eficacia Certificar mediante su firma que dichos controles funcionan. Estos costes de establecimiento de la Ley puede ser poco significantes para una minoría de grandes compañías.36 millones de dólares en el primer año. Necesidad de revelar en tiempo real cambios que afecten de forma importante al negocio y que. se estimó un coste de 4. El gran coste de implementación incurrido durante el primer año. y todavía no está claro lo que la Ley requerirá a las pequeñas compañías. son adecuados y permiten que la información financiera esté libre de riesgos de fraude Se ha comprobado que el coste asociado al cumplimiento del apartado 404 de la Ley SARBANES-OXLEY es realmente significativo. II Independencia de los Auditores Sección 201. sobre retención y salvaguardia de documentos de auditoría. sobre retención y salvaguardia de la información . sobre monitoreo y revelación de analista de valores VI Recursos y Autoridad de la Comisión VII Estudios e Informes VIII Responsabilidad Corporativa y Fraude Sección 802. sobre control interno Sección 409. sobre monitoreo y prevención de operaciones con información privilegiada IV Revelaciones Financieras Mejoradas Sección 404. sobre monitoreo y pre aprobación de servicios de no auditoría III Responsabilidad Corporativa Sección 302. sobre la retención y protección de documentos y registros de auditoria Sección 806. sobre certificación de la información financiera X Declaraciones de Impuestos Corporativos XI Responsabilidad por Fraudes Corporativos Sección 1102.Sección 101. sobre revelación oportuna de cualquier cambio materia IV Conflicto de Intereses Sección 501. sobre Certificación por parte del CEO y CFO de los reportes entregados a la SEC Sección 306. sobre comunicación y recepción de denuncias IX Sanciones por crímenes de cuello y corbata Sección 906. control interno y disuasión del fraude destinado a mejorar el desempeño organizacional y la gestión y a reducir el alcance del fraude en las organizaciones. Entre los miembros de COSO se cuentan el American Institute of chartered Public Accountants (AICPA). una iniciativa independiente del sector privado. para la SEC y otros reguladores. Totalmente independiente de cada una de las organizaciones patrocinadoras.. la contabilidad pública. El comité patrocina y difunde marcos de referencia y orientación basados en una investigación en profundidad. . The Institute of Internal Auditors (IIA). análisis y mejores prácticas.Committee of Sponsoring Organizations of the Treadway Commission – COSO COSO es una organización voluntaria del sector privado y está dedicada a orientar la gestión ejecutiva y las entidades de gobierno hacia el establecimiento de una operación de negocio más eficaz. en la Comisión figuran representantes de la industria. cuyas instituciones mencionadas anteriormente gozan de reconocido prestigio y tienen relación directa con el Control Interno." Actualmente. Historia: COSO se formó en 1985 para patrocinar la Comisión Nacional sobre Informes Financieros Fraudulentos. el Financial Executives Institute (FEI). y la American Accounting Association (AAA. el Presidente de COSO es Dave Ladsittel. La Comisión Nacional fue patrocinado conjuntamente por cinco asociaciones profesionales más importantes con sede en los Estados Unidos (mencionadas anteriormente). el nombre popular "Treadway Commission. La misión de COSO es proporcionar liderazgo mediante el desarrollo de marcos generales y orientación en el manejo de riesgos empresariales. vicepresidente ejecutivo y consultor general. El presidente original de la Comisión Nacional fue James C. También elaboró recomendaciones para las empresas públicas y sus auditores independientes. Paine Webber incorporado y ex Comisionado de la SEC de los EE. De aqui. que agrupa a profesores universitarios de contabilidad). las empresas de inversión. Jr..UU. que estudió los factores causales que pueden dar lugar a la presentación de informes financieros fraudulentos. y la Bolsa de Nueva York. y para las instituciones educativas. The Institute of Management Accountants (IMA). Treadway. eficiente y ética sobre una base global. Asegurar el cumplimiento de las políticas normativas económicas de la entidad. con el propósito de otorgar un nivel razonable de confianza en la consecución de los siguientes objetivos: . procedimientos y normas que aseguran una eficiente gestión de la entidad. trasmitiendo el concepto de que el esfuerzo involucra a toda la organización: desde la Alta Dirección hasta el último empleado. .Principales Objetivos de COSO: Mejorar la calidad de la información financiera concentrándose en el manejo corporativo.Asegurar la exactitud y confiabilidad de los datos de la contabilidad y de las operaciones financieras. el cual considera que el control interno debe ser un proceso integrado con el negocio que ayude a conseguir los resultados esperados en materia de rentabilidad y rendimiento. COSO define un marco de referencia aplicable a cualquier organización. la consecución de sus objetivos y el mantenimiento de su patrimonio. Es por ello que podemos afirmar que el control interno es el conjunto de mecanismos. en un ambiente de participación e integración de todos aquellos que lo emplean y con los que se relacionan: clientes y proveedores. la dirección y el colectivo restante de una entidad. .Proteger los recursos contra el despilfarro. así como evaluar el desempeño de todas las divisiones administrativas y funcionales de la entidad (eficacia y eficiencia de las operaciones). las normas éticas y el control interno. . Unificar criterios ante la existencia de una importante variedad de interpretaciones y conceptos sobre el control interno. El control interno debe su existencia dentro de una entidad por el interés de la propia administración. Así. el control interno es una herramienta útil mediante la cual la administración logra asegurar. la conducción ordenada y eficiente de las actividades de la empresa. Ningún administrador desea ver pérdidas ocasionadas por error o fraude o a través de decisiones erróneas basadas en informaciones financieras no confiables. El COSO en su estudio define el control interno como aquel proceso que se encarga de realizar el Consejo de Administración. sistemas. el fraude o el uso ineficiente. en el cual más de un componente influye en los otros. El control consta de cinco componentes interrelacionados que se derivan de la forma cómo la administración maneja el negocio. en donde alguno de los componentes afecta sólo al siguiente. Los componentes son: Ambiente de control Evaluación de riesgos Actividades de control Información y comunicación Supervisión y seguimiento del sistema de control Son 5 componentes que interactúan entre si y están integrados al proceso de Dirección y aseguran que el sistema de control se incorpore de manera armónica . sino en un proceso multidireccional repetitivo y permanente.Marco Integrado de Control según COSO Este marco integrado asegura la obtención de los objetivos en las siguientes categorías: Eficacia y eficiencia de las operaciones (O) Fiabilidad de la información financiera (F) Cumplimiento de las leyes y normas que son aplicables(C) El control interno. no consiste en un proceso secuencial. y están integrados a los procesos administrativos. son los encargados de crear un ambiente adecuado mediante una estructura organizativa efectiva. lo que determina. debilidad de la función de auditoría. Ambiente de Control: El estudio del COSO establece a este componente como el primero de los cinco y se refiere al establecimiento de un entorno que estimule e influencie las actividades del personal con respecto al control de sus actividades. funcionarios y demás trabajadores deben caracterizarse por poseer un nivel de . o Competencia Profesional: Los dirigentes. La dirección de la entidad y el auditor interno. Debe tenerse cuidado con aquellos factores que pueden inducir a conductas adversas a los valores éticos como pueden ser: controles débiles o requeridos. inexistencia o inadecuadas sanciones para quienes actúan inapropiadamente. La dirección superior de la entidad. El ambiente o entorno de control constituye el punto fundamental para el desarrollo de las acciones y refleja la actitud asumida por la alta dirección en relación con la importancia del control interno y su incidencia sobre las actividades de la entidad y resultados. qué normas y reglas se observan y si estas se eluden. Esto ayuda a que se fomente la calidad de la delegación de poderes. de sanas políticas de administración y así se logra que las leyes y políticas sean asimiladas de mejor forma por el trabajador. ya que con su ejemplo contribuirá a desarrollar o destruir diariamente este requisito de control interno. Normas para el ambiente de control: o Integridad y Valores Éticos: Tiene como propósito establecer pronunciamientos relativos a los valores éticos y de conducta que se espera de todos los miembros de la Organización durante el desempeño de sus actividades. cómo se hacen las cosas. por lo que debe tener presente todas las disposiciones.con las actividades operativas de la organización. ya que la efectividad del control interno depende de la integridad y valores de la gente que lo diseña y lo establece. se eviten pérdidas y haya una respuesta rápida ante los cambios. políticas y regulaciones que se consideren necesarias para su implantación y desarrollo exitoso. El comportamiento y la integridad moral encuentran su sustento en la cultura del organismo. en la creación de una cultura apropiada a estos fines desempeña un papel principal la dirección superior de la entidad. La estructura organizativa. formalizada en un organigrama. deben corresponderse con los propósitos . calificación. El Ambiente de Control se fortalece en la medida en que los miembros de una entidad conocen claramente sus deberes y responsabilidades. la cooperación y la delegación que se requieren para un desempeño eficaz tendente al logro de los objetivos de la entidad. a la par de establecer las diferentes relaciones jerárquicas y funcionales para cada uno de estos. suficientemente. Políticas y Prácticas en Personal: Los procedimientos de contratación. Asignación de Autoridad y Responsabilidad: Toda entidad debe complementar su organigrama. en el cual se debe asignar la responsabilidad. La comunicación propicia. cuando proceda. La confianza está basada en la seguridad respecto a la integridad y competencia de la otra persona o grupo. además. son planeadas. Un alto nivel de confianza estimula para que se asegure que cualquier tema de importancia sea de conocimiento de más de una persona. Ello impulsa a usar la iniciativa para enfrentar y solucionar los problemas. reduciendo la dependencia del juicio. comprender. Atmósfera de Confianza Mutua: La comunicación abierta crea y depende de la confianza dentro de la entidad. actuando siempre dentro de los límites de su competencia. Organigrama: Toda entidad debe desarrollar una estructura organizativa que atienda al cumplimiento de la misión y objetivos. el trabajo de sus subordinados y que ambos cumplan con la debida rendición de cuentas de sus responsabilidades y tareas. inducción. capacitación y adiestramiento. o sea que deben contar con un nivel de competencia profesional en relación con sus responsabilidades. constituye el marco formal de autoridad y responsabilidad en el cual las actividades que se desarrollan en cumplimiento de los objetivos del organismo. Toda delegación de la autoridad contribuye a la necesidad de que los jefes examinen y aprueben. la importancia. la que deberá ser formalizada en un organigrama. efectuadas y controladas. con un manual de organización y funciones. objetivos y procedimientos del control interno.o o o o competencia que les permita comprender la importancia del desarrollo. El compartir tal información fortalece el control. las acciones y los cargos. promoción y disciplina. así como asegurar la calificación y competencia de todos los dirigentes y demás trabajadores. la capacidad y la presencia de una única persona. implantación y mantenimiento de controles internos apropiados. . propendiendo a que en este se consolide como persona y se enriquezca humana y técnicamente.enunciados en la política. al menos. es decir. A través de la investigación y análisis de los riesgos relevantes y el punto hasta el cual el control vigente los neutraliza. involucra la identificación y análisis de riesgos relevantes para el logro de los objetivos y la base para determinar la forma en que tales riesgos deben ser manejados. se evalúa la vulnerabilidad del sistema. Asimismo se refiere a los mecanismos necesarios para identificar y manejar riesgos específicos asociados con los cambios. en alguna medida. siempre que las condiciones lo permitan. que exhiban un apropiado grado de conocimientos y experiencia que les permita apoyar a la dirección de la entidad mediante su guía y supervisión. Debe procurarse su satisfacción personal en el trabajo que realiza. tanto los que influyen en el entorno de la Organización como en el interior de la misma. enfocando los riesgos tanto de la entidad (internos y externos) como de la actividad. ya sean de origen interno. El personal es el activo más valioso que posee cualquier entidad y se debe tratar y conducir de forma tal que se obtenga su más elevado rendimiento. La existencia de un Comité con tal objetivo. como externos que son los elementos fuera de la organización que afectan. o Comité de Control: En cada entidad debe constituirse un comité de control integrado. refuerza el Sistema de Control Interno y contribuye positivamente al Ambiente de Control. por un dirigente del máximo nivel y el auditor interno titular. Su objetivo general es la vigilancia del adecuado funcionamiento del Sistema de Control Interno y su mejoramiento continuo. Normas para la evaluación de los riesgos: o Identificación del Riesgo: Se deben identificar los riesgos relevantes que enfrenta una entidad en el logro de sus objetivos. Para su efectivo desempeño debe integrarse adecuadamente con miembros que generen respeto por su capacidad y trayectoria integral. Para ello debe adquirirse un conocimiento práctico de la entidad y sus componentes como manera de identificar los puntos débiles. La evaluación. el cumplimiento de sus objetivos. provocados por la entidad teniendo en cuenta la actividad específica o sus características internas en el funcionamiento. Evaluación de Riesgos: El segundo componente del control. o mejor dicho la autoevaluación de riesgo debe ser una responsabilidad ineludible para todos los niveles que están involucrados en el logro de objetivos. ·Una valoración de la pérdida que podría resultar. aplicando elevadas dosis de buen juicio y sentido común. o Detección del Cambio: Toda entidad debe disponer de procedimientos capaces de captar e informar oportunamente los cambios registrados o inminentes en el ambiente interno y externo. En este proceso es conveniente "partir de cero". o Determinación de los Objetivos de Control: Una vez que la máxima dirección y los responsables de otras áreas han identificado y estimado el nivel de riesgo. o Estimación del Riesgo: Se debe estimar la frecuencia con que se presentarán los riesgos identificados. esto es. e incluirán como mínimo: ·Una estimación de su frecuencia. para minimizar la exposición. . aquellos riesgos cuya concreción esté estimada como de baja frecuencia.La identificación del riesgo es un proceso interactivo. la identificación de los objetivos generales y particulares y las amenazas y riesgos que se pueden afrontar. debe procederse a su análisis. Los métodos utilizados para determinar la importancia relativa de los riesgos pueden ser diversos. y generalmente integrado a la estrategia y planificación. En general. o sea. Un sistema de control puede dejar de ser efectivo al cambiar las condiciones en las cuales opera. Una vez identificados los riesgos a nivel de institución y de programa o actividad. Una etapa fundamental del proceso de Evaluación del Riesgo. que incluya la especificación de los dominios o puntos claves del organismo. así como cuantificar la probable pérdida que ellos pueden ocasionar. los que se estiman de alta frecuencia deben merecer preferente atención. la probabilidad de ocurrencia. Se deberán establecer los objetivos específicos de control de la entidad. Entre estos extremos se encuentran casos que deben ser analizados cuidadosamente. es la identificación de los cambios en las condiciones del medio ambiente en que la entidad desarrolla su acción. no justifican preocupaciones mayores. no basarse en el esquema de riesgos identificados en estudios anteriores. En función de los objetivos de control determinados. se seleccionarán las medidas o salvaguardas que se estimen más efectivas al menor costo. que puedan conspirar contra la posibilidad de alcanzar sus objetivos en las condiciones deseadas. que estarán adecuadamente articulados con sus propios objetivos globales y sectoriales. Su desarrollo debe comprender la realización de un análisis del riesgo. deben adoptarse las medidas para enfrentarlo de la manera más eficaz y económica posible. por el contrario. Estas actividades están relacionadas (contenidas) con las políticas. las actividades de control pensadas para un objetivo suelen ayudar también a otros: los operacionales pueden contribuir a los relacionados con la confiabilidad de la información financiera. requieren coordinación. conciliación. las decisiones y acciones de cada una de las áreas que la integran. o Coordinación entre Áreas: Cada área o subárea de la entidad debe operar coordinada e interrelacionadamente con las restantes áreas o subáreas. o Documentación: La estructura de control interno y todas las transacciones y hechos significativos. Ejemplo de estas actividades son aprobación. y la documentación debe estar disponible para su verificación. Al evitar que las cuestiones fundamentales de una transacción u operación queden concentradas en una misma persona o sector. autorización. verificación. Las actividades de control se ejecutan en todos los niveles de la organización y en cada una de las etapas de la gestión. despilfarros o actos ilícitos y aumenta la probabilidad que. Esta conformidad supone su ajuste a la misión. La autorización debe documentarse y comunicarse explícitamente a . revisión de indicadores de rendimiento. deben estar claramente documentados. los de la entidad. inspección. programas y presupuestos. estas al cumplimiento normativo y así sucesivamente. en primer lugar. En una entidad. los planes. Actividades de Control: Las actividades de control son aquellas que realiza la Gerencia y demás personal de la Organización para cumplir diariamente con actividades asignadas. se disponen los controles destinados a evitarlos o minimizarlos. sino que deben trabajar mancomunadamente para que se alcancen. Para que el resultado sea efectivo. sistemas y procedimientos principalmente. se reduce notoriamente el riesgo de errores. Normas de actividades de control: o Separación de Tareas y Responsabilidades: El propósito de esta norma es procurar un equilibrio conveniente de autoridad y responsabilidad dentro de la estructura de organización. partiendo de la elaboración de un mapa de riesgos. o Niveles Definidos de Autorización: La autorización es la forma idónea de asegurar que sólo se realizan actos y transacciones que cuentan con la conformidad de la dirección. la estrategia. sean detectados. no es suficiente que las unidades que lo componen alcancen sus propios objetivos. En muchos casos. conociendo los riesgos. de producirse. una vez procesados. lo concerniente a opiniones y comentarios. almacenaje. pases para acceso. puedan ser presentados en informes y estados financieros con saldos razonables. Esto es válido para todo el proceso o ciclo de la transacción o hecho. facilitando a directivos y gerentes la adopción de decisiones. activos y registros: Todo activo de valor debe ser asignado a un responsable de su custodia y contar con adecuadas protecciones. sistemas de alarma. deberán clasificarse adecuadamente para que. Acceso restringido a los recursos. Estos deberán ejecutar las tareas que se les han asignado. deben estar debidamente registrados. Registro oportuno y adecuado de las transacciones y hechos: Las transacciones o hechos deben registrarse. almacenamiento y salidas. Asimismo. por ejemplo. Además. confidencialidad y disponibilidad de datos y recursos de la tecnología de información. El sistema deberá contar con mecanismos de seguridad que alcancen a las entradas. y cualitativa. Rotación del personal en las tareas claves: Si bien el Sistema de Control Interno debe operar en un ambiente de solidez ética. se cotejarán las existencias físicas con los registros contables para verificar su coincidencia. la rotación en el desempeño de tareas claves para la seguridad y el control es un mecanismo de probada eficacia y muchas veces no utilizado por el equivocado concepto del "hombre imprescindible". Un sistema de información abarca información cuantitativa. etc. de acuerdo con las directrices. Control de la Tecnología de Información: La seguridad del sistema de información es la estructura de control para proteger la integridad. La frecuencia de la comparación depende del nivel de vulnerabilidad del activo. es necesario adoptar ciertas protecciones para evitar hechos que puedan propiciar actos reñidos con el código de conducta del organismo. para garantizar su relevancia y utilidad. En tal sentido.o o o o o las personas o sectores autorizados. y periódicamente. desde su inicio hasta su conclusión. Las actividades de control general de la tecnología de información se aplican a todo el sistema de información. en el momento de su materialización o lo más inmediato posible. y dentro del ámbito de competencia establecido por las normas. a través de seguros. los informes de desempeño que utilizan indicadores. descansa fuertemente en sus sistemas de información. incluida . Control del Sistema de Información: La calidad del proceso de toma de decisiones en una entidad. procesos. Constituyen un "mecanismo de seguridad" con el que cuenta la autoridad superior para estar informada. puede practicar los análisis. o Función de Auditoría Interna independiente: Las unidades de auditoría interna deben brindar sus servicios a toda la entidad. contribuirá al sustento de las decisiones. de forma tal que le permita cumplir con sus responsabilidades. Además de una buena comunicación interna. capturada. resultan vitales.la totalidad de sus componentes. Los indicadores no deben ser tan numerosos que se tornen ininteligibles o confusos. procesada y comunicada al personal en forma y dentro del tiempo indicado. Un sistema de indicadores elaborados desde los datos emergentes de un mecanismo de medición del desempeño. la actitud que asume la . incluyendo una circulación multidireccional de la información: ascendente. También abarcan las medidas y procedimientos manuales que permiten garantizar la operación continua y correcta del sistema de información. Los informes deben transmitirse adecuadamente a través de una comunicación eficaz. Los sistemas producen reportes conteniendo información operacional. al depender de la autoridad superior. en ambos casos. como los manuales de políticas. descendente y transversal. La existencia de líneas abiertas de comunicación y una clara voluntad de escuchar. es importante una eficaz comunicación externa que favorezca el flujo de toda la información necesaria y. ya que sus funciones y actividades deben mantenerse desligadas de las operaciones sujetas a su examen. mini computadoras y redes. por parte de los dirigentes. o Indicadores de desempeño: Toda entidad debe contar con métodos de medición de desempeño que permitan la preparación de indicadores para su supervisión y evaluación. ni tan escasos que no permitan revelar las cuestiones claves y el perfil de la situación examinada. memorias. financiera y de cumplimiento que hace posible conducir y controlar la Organización. Información y Comunicación: Consecuentemente la información pertinente debe ser identificada. Esta unidad de auditoría interna. hasta la gestión de procesamiento por el usuario final. desde la arquitectura de procesamiento de grandes computadoras. inspecciones. con razonable certeza. canales formales e informales. sobre la confiabilidad del diseño y funcionamiento de su sistema de control interno. difusión institucional. verificaciones y pruebas que considere necesarios en los distintos sectores de la entidad con independencia de estos. importa contar con medios eficaces. como tampoco que deba hacerse al mismo tiempo. Los niveles de supervisión y gerencia juegan un papel importante al respecto. Desde luego las ventajas de este enfoque es que tales evaluaciones tienen un carácter independiente. Lo anterior no significa que tengan que revisarse todos los componentes y elementos. Claro está que para ello se tomaron en consideración los riesgos y las limitaciones inherentes al control. estructurados en información y comunicados. la Gerencia debe llevar a cabo la revisión y evaluación sistemática de los componentes y elementos que forman parte de los sistemas. registrados. captados. las condiciones evolucionan debido tanto a factores externos como internos colocando con ello que los controles pierdan su eficiencia. lo cual hace que el monitoreo continuo pueda identificar rápidamente cualquier desviación o Evaluaciones Independientes: Este tipo de actividades proporciona información valiosa sobre la efectividad de los sistemas de control. Son más efectivas que las evaluaciones separadas. Como resultado de todo ello. Los datos pertinentes deben ser identificados.dirección en el trato con sus subordinados. ya que ellos son quienes deben concluir si el sistema de control es efectivo o ha dejado de serlo tomando las acciones de corrección o mejoramiento que el caso exige. debe estar . en tiempo y forma. Métodos de supervisión: o Actividades de supervisión continua: La realización de las actividades diarias permite observar si efectivamente los objetivos de control se están cumpliendo y si los riesgos se están considerando adecuadamente. Una entidad con una historia basada en la integridad y una sólida cultura de control no tendrá dificultades de comunicación. que se traduce en objetividad y que están dirigidas respectivamente a la efectividad de los controles por adición a la evaluación de la efectividad de los procedimientos de supervisión y seguimiento del sistema de control. Normas de Información y Comunicación: o Información y responsabilidad: La información debe permitir a los funcionarios y empleados cumplir sus obligaciones y responsabilidades. sin embargo. Reporte de Deficiencias: El proceso de comunicar las debilidades y oportunidades de mejoramiento de los sistemas de control. Supervisión: En general los sistemas de control están diseñados para operar en determinadas circunstancias. sino también asegurar que se tomen las medidas correctivas necesarias. apoyan la prevención y detección de reportes financieros fraudulentos. la magnitud del riesgo existente y la probabilidad de ocurrencia.dirigido hacia quienes son los propietarios y responsables de operarlos. se determinará el nivel gerencia al cual deban comunicarse las deficiencias. con el fin de que implementen las acciones necesarias. Gerencia: Debe asegurar que existe un ambiente propicio para el control. Dependiendo de la importancia de las debilidades identificadas. También siendo responsable de comunicar cualquier problema que se presente en las operaciones. Participantes y Responsabilidades: Internamente las responsabilidades sobre el control corresponden conforme a lo siguiente: Consejo de Administración: Establece no sólo la misión y los objetivos de la organización. Ejecutivos financieros: Entre otras cosas. con el fin de salvaguardar los bienes de la Empresa. La participación de las entidades externas consisten en lo siguiente: . Comité de Auditoría: Es el órgano que no sólo tiene la facultad de cuestionar a la Gerencia en relación con el cumplimiento de sus responsabilidades. Auditoría Interna: A través del examen de la efectividad y adecuación del sistema de control interno y mediante recomendaciones relativas a su mejoramiento. Personal de la Organización: Mediante la ejecución de las actividades que tiene cotidianamente asignadas y tomando las acciones necesarias para su control. Area Jurídica: Llevando a cabo la revisión de 105 controles y otros instrumentos legales. Comité de Finanzas: Contribuye cumpliendo con la responsabilidad de evaluar la consistencia de los presupuestos con los planes operativos. sino también las expectativas relativas a la integridad y los valores éticos. incumplimiento de normas o posibles faltas al código de conducta y otras violaciones. Auditores Independientes: Proporcionan al Consejo de Administración y a la Gerencia un punto de vista objetivo e independiente. . que contribuye al cumplimiento del logro de los objetivos de los reportes financieros. un informe que establece una definición común de control interno y proporciona un estándar mediante el cual las organizaciones pueden evaluar y mejorar sus sistemas de control. COSO publicó el Sistema Integrado de Control Interno (COSO I). AUTORIDADES (Ejecutivas/Legislativas): Participan mediante el establecimiento de requerimientos de control interno. COSO – ERM (COSO II) se crea ampliando a COSO I para la gestión integral de riesgo pero no para sustituir el marco de control interno. así como en el examen directo de las operaciones de la Organización. Evolución de COSO I a COSO II En 1992. En Septiembre de 2004 se publicó el estudio ERM (Enterprise Risk Management) Integrated Framework. entre otros. haciendo recomendaciones que lo fortalezcan. Estructura: COBIT posee 4 dominios: Planear y Organizar. COSO tiene 5 componentes principales: Ambiente de control. COSO es una iniciativa del sector privado estadounidense. Evaluación de riesgos. . Usos en auditoría: Las auditorías y revisiones de tecnologías de información pueden ser hechas en base a COBIT.Comparativo con COBIT Origen: COBIT fué creado por la Asociación de Auditoría y Control de Sistemas de Información (ISACA). ya que COSO proporciona un marco de control interno en auditoria cumpliendo con la ley SOX y COBIT proporciona un marco para el control y la seguridad de TI definiendo requisitos. políticas y normas. Información y comunicación. Monitorear y Evaluar. COSO es útil para la administración general. pero COSO no ofrece controles para tecnologías de información. una asociación profesional internacional. Entregar y Dar Soporte. Actividades de control. Supervisión y seguimiento del sistema de control. COSO y COBIT deben implementarse a la par. Las auditorías financieras pueden ser hechas en base a COSO. Objetivos: COBIT es basado directamente en COSO pero proporciona controles para las tecnologías de información. COSO es el marco oficial para los controles sobre los informes financieros. Fue lanzado originalmente en 1996. Adquirir e Implementar. Fue originalmente relacionado en 1985. Audiencias: COBIT es útil para usuarios y auditores de TI. Tyco International. el cambio más grande e importante en legislación sobre manejo de contaduría y finanzas empresariales en las últimas décadas. Introduce responsabilidades penales para el consejo de administración y establece unos requerimientos por parte de la SEC. en tanto el volumen de los cambios. por el desconocimiento que aún existe en la materia. ya que ésta va en respuesta a los escándalos financieros de algunas grandes corporaciones. La Ley toma el nombre del senador Paul Sarbanes (Demócrata) y el congresista Michael G. Los partidarios de esta Ley afirman que la legislación era necesaria y útil. La SOX es sin duda. su aplicación.RESUMEN Ley de Sarbanes-Oxley: La Ley Sarbanes-Oxley ha generado mucha controversia. La SOX representa además. mientras los críticos creen que causara más daño económico del que previene. Estos escándalos hicieron caer la confianza de la opinión pública en los sistemas de contabilidad y auditoría. bajo la sección 404 de SOx. Es importante destacar que. entre los que se incluyen los casos que afectan a Enron. La legislación abarca y establece nuevos estándares para los consejos de administración y dirección y los mecanismos contables de todas las empresas que cotizan en bolsa en los Estados Unidos. Oxley (Republicano). son adecuados y permiten que la información financiera esté libre de riesgos de fraude . y también. un enorme desafío para los departamentos contables de las empresas obligadas. WorldCom y Peregrine Systems. la cúpula directiva es responsable de: Diseñar los controles internos para que sean efectivos en la detección de fraudes en la información financiera Documentar dichos controles internos para que puedan ser analizados y sometidos a prueba en todo momento y circunstancia Efectuar las pruebas necesarias que aseguren su eficacia Certificar mediante su firma que dichos controles funcionan. en mayor medida. control interno y disuasión del fraude destinado a mejorar el desempeño organizacional y la gestión y a reducir el alcance del fraude en las organizaciones. el cual considera que el control interno debe ser un proceso integrado con el negocio que ayude a conseguir los resultados esperados en materia de rentabilidad y rendimiento. que estudió los factores causales que pueden dar lugar a la presentación de informes financieros fraudulentos. Los componentes son: Ambiente de Control: El estudio del COSO establece a este componente como el primero de los cinco y se refiere al establecimiento de un entorno que estimule e influencie las actividades del personal con respecto al control de sus actividades. en una muestra de 217 compañías con un promedio de ingresos mayores de 5. y están integrados a los procesos administrativos. El control consta de cinco componentes interrelacionados que se derivan de la forma cómo la administración maneja el negocio. COSO define un marco de referencia aplicable a cualquier organización. Normas: o Integridad y valores éticos o Competencia profesional o Atmosfera de confianza mutua o Organigrama o Asignación de responsabilidad y autoridad o Políticas y prácticas en personal o Comité de control . Según “Financial Executives International” (FEI).36 millones de dólares en el primer año. Committee of Sponsoring Organizations of the Treadway Commission – COSO: COSO se formó en 1985 para patrocinar la Comisión Nacional sobre Informes Financieros Fraudulentos.Se ha comprobado que el coste asociado al cumplimiento del apartado 404 de la Ley SARBANES-OXLEY es realmente significativo. trasmitiendo el concepto de que el esfuerzo involucra a toda la organización: desde la Alta Dirección hasta el último empleado. se estimó un coste de 4. La misión de COSO es proporcionar liderazgo mediante el desarrollo de marcos generales y orientación en el manejo de riesgos empresariales. una iniciativa independiente del sector privado.000 millones de dólares. Normas: o Identificación del Riesgo o Estimación del Riesgo o Determinación de los Objetivos de Control o Detección del Cambio Actividades de Control: Las actividades de control son aquellas que realiza la Gerencia y demás personal de la Organización para cumplir diariamente con actividades asignadas. se evalúa la vulnerabilidad del sistema. incluyendo una circulación multidireccional de la información: ascendente. o Separación de Tareas y Responsabilidades o Coordinación entre Áreas o Documentación o Niveles Definidos de Autorización o Registro oportuno y adecuado de las transacciones y hechos o Acceso restringido a los recursos. Métodos: o Actividades de supervisión continua o Evaluaciones Independientes . activos y registros o Rotación del personal en las tareas claves o Control del Sistema de Información o Control de la Tecnología de Información o Indicadores de desempeño o Función de Auditoría Interna independiente Información y Comunicación: Los informes deben transmitirse adecuadamente a través de una comunicación eficaz. las condiciones evolucionan debido tanto a factores externos como internos colocando con ello que los controles pierdan su eficiencia. Evaluación de Riesgos: A través de la investigación y análisis de los riesgos relevantes y el punto hasta el cual el control vigente los neutraliza. descendente y transversal. Supervisión: En general los sistemas de control están diseñados para operar en determinadas circunstancias. Claro está que para ello se tomaron en consideración los riesgos y las limitaciones inherentes al control. sin embargo. Evolución de COSO I a COSO II . o El principal efecto de los escándalos de Enron y WorldCom fue la pérdida de confianza por parte de los inversionistas y por lo tanto una gran baja en la compra de acciones. proporcionando una herramienta efectiva para llevar buenos procesos empresariales que ha venido convirtiéndose en un marco de referencia reconocido. que. . ya que se ha comprobado que mediante este marco de referencia se pueden obtener muy buenos resultados. o EL COBIT tiene sus raíces en COSO pero su principal orientación es hacia las tecnologías de información. o El COSO trata principalmente el tema del control interno. al salir la ley SOX mejoro su marco de referencia para cumplir a cabalidad con los nuevos requerimientos. por esta razón se propuso la ley SOX. o La ley SOX busca asegurar a los inversionistas recibir información transparente y eficaz de los procesos de las organizaciones para así propiciar un ambiente optimo entre estos actores. convirtiéndose así en dos marcos de referencia que al ser puestos en marcha a la par aseguran una total confianza en la organización y mejoran los procesos de gestión financiera y de tecnologías.CONCLUSIONES Y OBSERVACIONES o Los escándalos financieros en estados unidos prendieron las alarmas en cuanto a los manejos de dinero que se estaban llevando a cabo al interior de las empresas. o Son muchas las empresas que prestan servicios de auditoría en base al COSO. o El COSO surgió originalmente de una iniciativa privada. htm http://sincelejo-sucre.piramidedigital.ppt http://www.pdf http://www2.com/editorial/especiales/navidad/2005/Sarbanes/Index.gov.gerencie.com/Documentos/ICT/pdictleysarbanesoxley2.pdf .valledelcauca.gestiopolis.gov.org http://www.com/el-informe-coso.mx/espanol/Publicaciones/ArchivoPDF/IGP %2520Ley%2520SarbanesOxley.ht m http://www.htm http://www.edu/mbad7090/Slides2008/COSO.castillomiranda.org/wiki/Ley_Sarbanes-Oxley http://actualicese.com/archivos/sp/PPTS/Presentacion_Control_Interno_COSO-ES.uncc.co/SIISVC/documentos/Presentaciones/MEC I/picolo/Unidad_1/B_ci_concepto/B_conint.BIBLIOGRAFÍA http://infosys.wikipedia.datasecsoft.co/apc-aafiles/66373432636435613966396461306466/Que_es_control_interno.pdf http://www.coso.com.ppt http://es.com/recursos6/Docs/Fin/finanzas-control-interno.html http://www.