CAPÍTULO I MARCO TEÓRICO
1.3. Valoración crítica de las distintas posiciones teóricas sobre el control interno
1.3.2. Informes de control interno
1.3.2.3. COSO III
El COSO III toma la esencia del COSO 1992 y enfatiza que los cinco componentes de COSO deben estar presentes diseñados y funcionando conjuntamente de manera integrada. El 14 de mayo de 2013, el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) lanzó una versión actualizada de su Control Interno – Marco Integrado.
Las novedades que introducirá este marco integrado de gestión de riesgos son: Mejora en la agilidad de los sistemas de gestión de riesgos para adaptarse a los
entornos.
Mayor confianza en la eliminación de riesgos y consecución de objetivos. Mayor claridad en cuanto a la información y comunicación.
El modelo de control interno COSO 2013 actualizado está compuesto por los cinco componentes, establecidos en el Marco anterior y 17 principios que la administración de toda organización debería implementar.
Entorno de control.
Principio 1: Demuestra compromiso con la integridad y los valores éticos. Principio 2: Ejerce responsabilidad de supervisión.
Principio 3: Establece estructura, autoridad, y responsabilidad. Principio 4: Demuestra compromiso para la competencia. Principio 5: Hace cumplir con la responsabilidad.
Evaluación de riesgos.
Principio 6: Especifica objetivos relevantes. Principio 7: Identifica y analiza los riesgos. Principio 8: Evalúa el riesgo de fraude.
Actividades de control.
Principio 10: Selecciona y desarrolla actividades de control.
Principio 11: Selecciona y desarrolla controles generales sobre tecnología. Principio 12: Se implementa a través de políticas y procedimientos.
Principio 13: Usa información relevante. Sistemas de información.
Principio 14: Comunica internamente. Principio 15: Comunica externamente.
Supervisión del sistema de control – Monitoreo.
Principio 16: Conduce evaluaciones continuas y/o independientes. Principio 17: Evalúa y comunica deficiencias.
Ambiente de control.
Estupiñán, R (2015) Es la base de los demás componentes de control a proveer disciplina y estructura para el control e incidir en la manera como:
Se estructuran las actividades del negocio. Se asigna autoridad y responsabilidad. Se organiza y desarrolla la gente.
Se comparten y comunican los valores y creencias. El personal toma conciencia de la importancia del control.
El ambiente de control es todo aquello que no es específico de un proceso de negocio concreto, sino que influye en todas las actividades de la entidad. Dentro del ambiente de control se puede incluir conceptos como la integridad, valores éticos y filosofía de la dirección, la organización del consejo de administración, la implantación de un comité de auditoría y auditoria interna. (Mantilla, 2013, p. 58)
Conforme a lo citado el ambiente de control en una organización busca estimular y promover la conciencia y el compromiso de sus empleados hacia el control en las actividades realizadas, mismas que deben cumplirse basándose en valores éticos.
Evaluación del riesgo. Clasificación de Riesgos
De acuerdo Campo (2012) El mapa de riesgo de una organización debe seguir de la evolución de entorno, de los procesos de la información que maneja esa empresa, de manera que los riegos empresariales se categorizan dentro de los siguientes:
Riesgo de entorno: surge de los factores externos, en los cambios tecnológicos y la variación del gusto de consumidor.
Riesgo de procedimientos: Derivadas de las propias operaciones del negocio, cuando no se genera las correctas actividades, esto afecta a la eficiencia, eficacia y a sus propios activos y recursos.
Riesgo de información: Deriva de toda la información utilizada dentro de la compañía, ayuda a registrar las operaciones realizadas para la toma de mejores decisiones. Como lo indica Coso (2013) permite comparar los resultados de la calificación del riesgo, con los criterios definidos para establecer el grado de exposición de la entidad, de esta forma es posible distinguir entre los riesgos aceptables, tolerables, moderados importantes o inaceptables y fijar las prioridades de las acciones requeridas para su tratamiento.
Según Miles (2013) El riesgo se define como la probabilidad de que un acontecimiento ocurra y afecte negativamente a la consecución de los objetivos. La evaluación del riesgo implica un proceso dinámico e iterativo para identificar y evaluar los riesgos de cara a la consecución de objetivos, dichos riesgos deben evaluarse en relación a unos niveles preestablecidos de tolerancia para que la evaluación de riesgos constituya la base para determinar cómo se gestionarán.
Identificación del riesgo
RIESGO CALIFICACIÓN Tipo Impacto Evaluación Medidas de
Respuesta Probabilidad Impacto
Daños 4 3 Económico Zona Riesgo
Alta
Evitar, y transferir el riesgo.
Pérdida 3 4 Económico Zona de
riesgo extrema
Evitar, y Transferir el riesgo.
Robo 3 4 Económico Zona de
riesgo
Evitar y transferir el
extrema riesgo.
Deterioro 2 2 Económico Zona de
riesgo baja
Asumir y gestionar el riesgo. Figura 4. Identificación del riesgo.
Fuente: (Coso 2013)
Esta matriz determina las causas, con base a los factores internos y externos analizados para la identidad y que pueden afectar el logro de los objetivos. Para poder reconocer los riesgos es a través de un formato de identificación del riesgo, para así poder centrase en los riesgos más importantes que tiene la empresa.
Figura 5. Análisis del riesgo por probabilidad
Esta matriz identifica la probabilidad que tiene el riesgo bajo diferentes impactos en cual deberá medir con estas especificaciones ya sea raro, improbable, posible, probables, y casi seguro que serán de gran ayuda para elaboración de la matriz.
Análisis del riesgo por Impacto
NIVEL DESCRIPTOR DESCRIPCIÓN
1 Insignificante Si el hecho llegara a presentarse, tendría consecuencias o efectos mínimos sobre la entidad.
2 Menor Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la entidad.
Análisis del riesgo por Probabilidad
NIVEL DESCRIPTOR DESCRIPCIÓN FRECUENCIA
1 Raro El evento puede ocurrir solo en circunstancias excepcionales.
No se ha presentado en los últimos 5 años.
2 Improbable El evento puede ocurrir en algún momento Al menos de una vez en los últimos 5 años.
3 Posible El evento podría ocurrir en algún momento Al menos de una vez en los últimos 2 años.
4 Probable
El evento probablemente ocurrirá en la mayoría de las circunstancias
Al menos de una vez en el último año.
5 Casi seguro Se espera que el evento ocurra en la mayoría de las circunstancias
3 Moderado Si el hecho llegara a presentarse, tendría medianas consecuencias o efectos sobre la entidad.
4 Mayor Si el hecho llegara a presentarse, tendría altas consecuencias o efectos sobre la entidad
5 Catastrófico Si el hecho llegara a presentarse, tendría desastrosas consecuencias o efectos sobre la entidad.
Figura 6. Análisis del riesgo por impacto Fuente (Coso 2013)
Esta matriz ayuda a determinar el impacto que se suele tener en el momento de que ocurra el riesgo con diferentes descripciones ya que sea insignificante, menor, moderado, mayor y catastrófico.
Actividades de control.
Según Mantilla (2011) Son las políticas y los procedimientos que ayudan a conseguir que se lleven a cabo las instrucciones de la dirección de la empresa. Ayudan a asegurar que se tomen las medidas necesarias para controlar los riesgos relacionados con la consecución de los objetivos de la empresa.
Las actividades de control son las políticas y procedimientos, son acciones de las personas para implementar las políticas para ayudar a asegurar que se están llevando a cabo las administrativas identificadas como necesarias para manejar los riesgos. Las actividades de control se pueden dividir en tres categorías, basadas en la naturaleza de los objetivos de la entidad con las cuales se relaciona: operaciones, información financiera o cumplimiento. (Barquero, 2013, p. 20)
También es uno de los más importantes ya que ya que ayuda a que las actividades de se cumplan con lo que son conciliaciones bancarias, saldos con eso pueden controlar los distintos departamentos.
Información y Comunicación.
La información y comunicación debes existir en toda empresa con el accionista, autoridades y clientes para que así puedan tener un mejor desempeño laboral llegando así a tener una buena organización entre ellos.
Estupiñán (2013) manifiesta: este elemento hace referencia a la visualización que se debe dar a la administración de los hallazgos encontrados a través de la evaluación de
control interno, esta información debe ser proporcionada en forma oportuna de tal manera que se pueda tomar las medidas correctivas pertinentes.
Actividades de Supervisión y Monitoreo.
Según Gaitán (2012) La supervisión debe conducir a la identificación de los controles débiles, insuficientes e innecesarios para promover con el apoyo decidido de la gerencia, su robustecimiento e implantación. Esta evaluación puede llevarse a cabo de tres formas; durante la realización de las actividades diarias en los distintos de la organización de manera separada por personal que no es responsable directo de la ejecución de las actividades y mediante la combinación de las dos formas anteriores. “Las evaluaciones continuas, las evaluación independientes o una combinación de ambas se utilizan para comprobar si cada uno de los componentes de control interno, están presentes y funcionan adecuadamente, las evaluaciones continuas, que están integradas en los procesos de negocio en los diferentes niveles de la entidad proporcionan información adecuada.” (Munch, 2012, p. 134)
1.3.3. Métodos de evaluación del control interno.