LEY 603 DE 2000
En 1985, en Estados Unidos se crea el sistema de control interno COSO
(Committee of Sponsoring Organization), con el objetivo de prevenir riesgos fraudolentos,
acutalmentee esta organismo está constituido por las siguientes entidades: Asociación
Norteamericana de Contabilidad (AAA); Instituto Norteamericano de Contadores
Públicos Asociados (AICPA); Instituto Ejecutivo Financiero (FEI); Instituto de
Auditores Internos (IIA); Instituto de Contabilidad Gerencial (IMA). En 1992,se
publica en Estados Unidos el COSO sobre Control Interno; hacia fines de
Septiembre de 2004, como respuesta a una serie de escándalos, e irregularidades
que provocaron pérdidas importante a inversionistas, empleados y otros grupos
de interés, se publicó el Enterprise
Risk Management - Integrated Framework y sus Aplicaciones técnicas asociadas,
el cual amplía el concepto de control interno, proporcionando un foco más
robusto y extenso sobre la identificación, evaluación y gestión integral de riesgo.
Este nuevo enfoque permite que las entidades mejoren sus
prácticas de control interno de como fue el proceso del COSO I al COSO II:
El
Proyecto fue dirigido y supervisado por la Junta de Directores de la organización
COSO, obteniendo retroalimentación de la siguiente forma:
•
Más de 700 respuestas a encuestas de la estructura vigente (1992)
•
Un Consejo Asesor conformado por representantes de:
•
Compañías
•
Academia
•
Agencias de Gobierno
•
La profesión de contabilidad
•
Organizaciones sin ánimo de lucro
•
Respuestas del público sobre los borradores revelados por COSO (Modelo
propuesto)
Finalmente
el proyecto actualizado de COSO incluye una serie de documentos que se
describen a continuación:
Control interno es un
proceso ejecutado por la junta directiva o consejo de administración de una
entidad, diseñado para proporcionarles seguridad razonable a la efectividad y
eficiencia de las operaciones, suficiencia y confiabilidad de la información
financiera y permite el cumplimiento de las leyes y regulaciones aplicables.
El control interno consta de cinco
componentes interrelacionados, que se derivan de la forma como la
administración maneja el ente
·
Ambiente
de control
·
Evaluación
de riesgos
·
Actividades
de control
·
Información
y comunicación
·
Supervisión
y seguimiento
Consiste
en el establecimiento de un entorno que estimule e influencie la actividad del
personal con respecto al control de sus actividades.
Es
en esencia el principal elemento sobre el que se sustenta o actúan los otros
cuatro componentes e indispensable, a su vez, para la realización de los
propios objetivos de control.
Las empresas enfrentan riesgos en todos
los niveles de sus organizaciones, los riesgos afectan la habilidad de la
empresa para poder sobrevivir ante la competencia de su sector, manteniendo
siempre sus fortalezas financieras, la calidad de sus productos y servicios. La
administración es la que determina cuántos riesgos es prudente mantener y se
esfuerza por tenerlos siempre dentro de unos niveles óptimos.
Antes de determinar cuáles son los riesgos
dentro de una organización, se debe definir cuáles son los objetivos, para luego proceder con la identificación de los
riesgos y poder tomar acciones necesarias para administrarlos.
Categorías
de Objetivos
Existen tres grandes categorías:
1. Objetivos relacionados con las operaciones:
2.
Objetivos relacionados con
la información financiera:
3.
Objetivos de cumplimiento: Identificación de los riesgos
Los riesgos se pueden dar por
factores internos y externos por ejemplo:
Factores Externos:
§
Avances tecnológicos
§
Cambio del gusto de los clientes
§
Cambios en las leyes
§
Cambios de clima
Factores Internos:
§
Interrupción del procesamiento de la
información
§
Cambios en las responsabilidades de
la gerencia
§
Calidad profesional de los empleados
Los riesgos pueden identificarse tanto a largo y corto plazo y con la
planificación estratégica, luego de la identificación de los factores la
dirección puede contribuir en el establecimiento de vínculos entre los factores
de riesgo y las actividades de negocio.
.
Son actividades donde
participa todo el personal de la
organización para con los objetivos de la organización, se encuentran relacionadas con políticas,
procedimientos y actividades de la organización.
Las actividades de control pueden ser:
§
Manuales o computarizadas
§
Gerenciales u operacionales
§
Generales o específicas
§
Preventivas o detectivas
Control en los sistemas de información
Los sistemas de
información se encuentran en toda la organización y estos conllevan a atender
uno o más objetivos de control, existen controles generales y controles de
aplicación sobre los sistemas de información.
§
Controles Generales: Su propósito es
asegurar una operación continua y adecuada, incluye un control sobre el procesamiento
de datos seguridad y mantenimiento del hardware y software, también se
encuentra relacionado con funciones de desarrollo y mantenimiento de sistemas.
§
Controles de Aplicación: Va dirigido
al interior de cada sistema y funciona para lograr el procesamiento y la
confiabilidad de la información, este control incluye la interrelación con
otros sistemas de los que recibe o entrega información.
Los sistemas de información sirven para incrementar la productividad y
competitividad de la empresa, por lo cual es necesario diseñar controles a
través de ellas.
6.
Información y comunicación.
Es importante identificar,
recopilar y propagar información pertinente en tiempo y forma que permitan
cumplir a cada funcionario con sus responsabilidades a cargo. Debe existir una
comunicación eficaz -en un sentido amplio que fluya en todas direcciones a
través de todos los ámbitos de la Unidad, de forma descendente como ascendente.
La organización obtiene o genera y utiliza
la información relevante y de calidad para apoyar el funcionamiento del control
interno.
1.
La
organización comunica la información internamente, incluidos los objetivos y
responsabilidades que son necesarios para apoyar el funcionamiento del sistema
de control interno.
2.
La
organización se comunica con los grupos de interés eternos sobre los aspectos
clave que afectan el funcionamiento del control interno.
Monitoreo
es un proceso que evalúa la calidad de la ejecución del sistema con el tiempo.
El monitoreo continuo ocurre en el desarrollo de las operaciones e incluye
actividades de administración y supervisión continuas y otras acciones que el
personal realiza para cumplir con sus obligaciones.
Actividades de Monitoreo continuo:
Las actividades que sirven para monitorear
la eficacia de control interno en el curso ordinario de las operaciones son
múltiples. Ellas incluyen actividades regulares de dirección y supervisión,
comparaciones, conciliaciones y otras tareas de rutina.
Evaluaciones separadas:
Las evaluaciones independientes se
ejecutan periódicamente y pueden variar en alcance y frecuencia dependiendo de
la evaluación de riesgos, la efectividad de las evaluaciones continuas y otras
consideraciones de la dirección. Las evaluaciones incluyen observaciones,
investigaciones, revisiones y examinaciones, apropiadas para determinar si los
controles para llevar a cabo los principios a través de la entidad son
diseñados, implementados y conducidos.
La
perspectiva que se ha tenido cuando una entidad implementa un sistema de
control interno es que esta no tendrá problemas a la hora de cumplir sus
objetivos, es decir, que la ejecución de este sistema puede generar resultados
óptimos, pero se debe tener presente que este sistema presenta algunas
limitaciones inherentes que no se puedan controlar por bien ejecutado que esté,
así lo señala el informe Ejecutivo COSO: “el control interno puede ayudar a
asegurar que la dirección esté al tanto
del progreso de la entidad, o de la falta de progreso. Pero no puede proveer ni
aún una razonable seguridad de que los objetivos mismos serán logrados”.
El
control interno genera una seguridad razonable, entendida esta que no será
absoluta; si una entidad tienen buena
comunicación de la efectividad de sus procesos entonces será más efectivo el
sistema de control interno implementado.
La
efectividad del control interno está relacionada con lo siguiente:
Juicio: La eficacia del control interno
está relacionado con el juicio de la persona dado que esta puede tomarse una
opinión errada. Una decisión bien tomada debe contar con tiempo, sin presiones.
Fallas: El control interno está
diseñado, planeado correctamente pero a veces por fallas humanas los controles
no funcionan como se esperaba, ya sea por equivocación o por error.
Violación de la dirección: Para que un sistema de control
interno funcione como se planeó, debe haber compromiso de todos, desde el mando
más bajo hasta el más alto; pero hay casos donde los altos mandos manipulan el
control interno para beneficio propio, es aquí donde se evidencia la falta de
ética de quien lo comente, dado que no está respetando las políticas para su
ejecución.
La Colusión:
se presenta cuando dos o más personas se ponen de acuerdo para burlar el
control interno haciendo creer que los objetivos de la entidad se están
cumpliendo.
Costos vs beneficios: La implementación de un buen
sistema de control interno se debe valuar, es decir que la implementación del
control interno no resulte más costoso que lo que se desea monitorear
La implantación de un sistema de control
interno no debe ser tan tedioso lo que generaría que los clientes o empleados
sintieran molestia, pero tampoco debe ser tan débil que no permita el
cumplimento de los objetivos asignados.
Cada persona en la organización tiene
alguna responsabilidad respecto del control interno, sin embargo la
administración es la responsable del control interno de la entidad. El consejo
directivo, la administración, los auditores internos y otro personal hacen
contribuciones importantes para un sistema de control interno efectivo. Otros
órganos como los auditores externos y los cuerpos reguladores, algunas veces
están asociados con el control interno.
Las partes internas de una organización son componentes del sistema de control
interno, estas contribuyen a proporcionar seguridad razonable respecto de que
los objetivos especificados de la entidad se están consiguiendo.
Las partes externas de una organización pueden también ayudarla a conseguir
sus objetivos mediante acciones que provean información útil para la entidad en
la ejecución del control, o mediante acciones que contribuyan independientemente
a sus objetivos
Ley Sarbanes-Oxley: La Ley toma el nombre del senador Paul
Sarbanes (Demócrata) y el congresista Michael G. Oxley (Republicano). Se
considera uno de los cambios más significativos en la legislación empresarial,
desde el “New Deal” de 1930.
La Ley Sarbanes Oxley, cuyo título oficial en inglés es
Sarbanes-Oxley Act of 2002, Pub. L. No. 107-204, 116 Stat. 745 (30 de julio de
2002), es una ley de Estados Unidos también conocida como el Acta de Reforma de
la Contabilidad Pública de Empresas y de Protección al Inversionista. También
es llamada SOX, SarbOx o SOA.
La Ley Sarbanes Oxley nace en Estados Unidos con el fin de
monitorear a las empresas que cotizan en bolsa, evitando que las acciones de
las mismas sean alteradas de manera dudosa, mientras que su valor es menor. Su
finalidad es evitar fraudes y riesgo de bancarrota, protegiendo al inversor.
Esta ley, más allá del ámbito nacional, afecta a todas las empresas que cotizan
en NYSE (Bolsa de Valores de Nueva York), así como a sus filiales.
SOX es un sistema de implementación de control interno para
la certificación de las empresas mediante la verificación y análisis del
correcto funcionamiento de sus procedimientos, información confiable y
gestiones oportunas. SOX nace de la Ley Sarbanes Oxley que abarca y establece
nuevos estándares para los consejos de administración y dirección y los
mecanismos contables de todas las empresas que cotizan en bolsa en los Estados
Unidos. Introduce responsabilidades penales para el consejo de administración y
establece unos requerimientos por parte de la SEC (Securities and Exchanges
Commission), es decir, la comisión reguladora del mercado de valores de Estados
Unidos. Los partidarios de esta Ley afirman que la legislación era necesaria y
útil, mientras los críticos creen que causará más daño económico del que
previene.
La primera y más importante parte de la Ley establece una nueva
agencia casi pública, “The Public Company Accounting Oversight Board", es
decir, una compañía reguladora encargada de revisar, regular, inspeccionar y
disciplinar a las auditoras. La Ley también se refiere a la independencia de
las auditoras, el gobierno corporativo y la transparencia financiera. La ley
estadounidense “Sarbanes-Oxley Act” tiene como objetivo generar un marco de
transparencia para las actividades y reportes financieros de las compañías que
cotizan en Bolsa, lo que le aporta más confianza y mayor certidumbre a los
accionistas y al propio Estado.
La ley afecta a todas las empresas públicas en los Estados
Unidos, tanto como su subsidiaria en todo el mundo y empresas extranjeras que
coticen en cualquier Bolsa de Valores en los Estados Unidos.
En particular, SOX tiene tres artículos (secciones) que
afectan directamente la utilización de la tecnología informática así:
·
Sección 302: Responsabilidad
Corporativa por los estados financieros. Primera fase de SOX entró en rigor
desde otoño 2003. Esta sección exige que los gerentes financieros y los
gerentes generales certifiquen personalmente y avalen la exactitud de los
estados financieros de la empresa.
·
Sección 404: Evaluación de la
administración del control interno. Es el requerimiento más urgente y
demandante de SOX para TI y exige que los auditores certifiquen los controles y
procesos de TI requeridos para garantizar los resultados financieros. Esta
sección les exige a los auditores, internos y externos, que certifiquen los
controles internos y los procesos por los cuales los ejecutivos obtienen la
información.
·
Sección 409: Liberación en tiempo
real de la información requerida. Es el requerimiento más exigente de SOX y
está planeado para el futuro. Exige el reporte en tiempo real de eventos
materiales que podrían afectar el desempeño financiero de una compañía. El
aspecto de tiempo en este requerimiento ejercerá presión significativa sobre la
infraestructura actual de TI y las actividades de su administración.
·
SOX regula la creación y
funcionamiento de un órgano que supervise la actividad de las empresas de
auditoría (Public accounting firms). Es evidente que los legisladores pretenden
monitorear más de cerca la actividad de las firmas de auditoría.
·
SOX establece algunas importantes
limitaciones a la actividad de las firmas de auditoría. El principio general es
que no se permite a las firmas de auditoría ofrecer a sus clientes otros
servicios distintos al de auditoría. Se establece además la obligación de
rotación del socio responsable del encargo cada cinco años. Muy interesante es
el llamado periodo del “Cooling-off” en base al cual una firma de auditoría no
puede ofrecer sus servicios a una empresa en la que el Director General o Administrador,
Director Financiero, Controlador, Director Administrativo o Director de
Contabilidad han sido miembros del equipo de auditoría en el año anterior.
·
Implantación de mecanismos de
evaluación de riesgos y revisión de los procesos.
·
Formalización y divulgación de
actividades y responsabilidades.
·
Implantación de un Código de ética.
·
Protección de la empresa contra
fraudes internas, estableciendo controles y revisiones de delegación de
autoridad y aprobaciones.
·
Comprometimiento de los
colaboradores en relación a las mejoras de control.
·
Elevación del nivel de seguridad de
las aplicaciones.
Además de estos beneficios, también permite hacer viable los
controles internos y la evaluación del flujo de información, el mapeo de
procesos críticos de las empresas, gestión de los riesgos asociados a estos
procesos, asignación de responsabilidades a los responsables internos,
identificación de no conformidades y rapidez en la resolución de riesgos.
Ø
Con el informe COSO (COMMITTEE OF
SPONSORING ORGANIZATIONS), de 1992, se modificaron los principales conceptos
del Control Interno dándole a este una mayor amplitud.
Ø
El control interno se define
como un proceso integrado a los
procesos, efectuado por el consejo de la administración, la dirección y el
resto del personal de una entidad, diseñado con el objetivo de proporcionar una
garantía razonable para el logro de los objetivos.
Ø
Por lo cual la auditoria interna se
considera entonces como una parte del sistema de control.
Ø
En lo contable, el control interno
pretende ahora garantizar:
Ø
El trabajo desarrollado permite
reconocer y entender que la buena administración del control interno permite a
las organizaciones cumplir con los objetivos de ejecución, aprovechamiento de
los recursos, garantizar confiabilidad en la información financiera.
·
Mantilla
S.A (2005) Control interno informe coso.
Bucaramanga, Colombia.
·
Informe
ejecutivo coso, Control Interno – Marco Integrado de trabajo, Universidad del
Cauca faculta de ciencias contables económicas y administrativas.
- Trabajo de compilación bibliográfica. Liliana Montes
Díaz, Universidad Nacional de Colombia Sede Manizales.
·
http://www.upc.edu.pe/2/modulos/JER/JER_Interna.aspx?ARE=2&PFL=2&JER=3749
COBIT 5
COBIT 5 contiene cinco principios que permiten a la empresa de construir una gobernabilidad efectiva y un marco de gestión basado en un conjunto holístico de siete facilitadores que optimiza la información y la inversión en tecnología y el uso para el beneficio de las partes interesadas
— COBIT 5 ayuda a las empresas a tener cumplir sus objetivos a través de la implementación de las tecnologías de información dado que permite un equilibrio entre la minimización en los niveles de riesgo y el uso de los recursos.
—
Es así como la información y la tecnología son requeridas por el Gobierno de la empresa y la parte administrativa para ser dirigida de manera integral y generar información a los diferentes grupos de interés tanto interno como externo.
— El Gobierno de una empresa tiene la función de asegurar los objetivos de la empresa, razón por la cual debe evaluar las necesidades de las partes interesadas para después ser monitoreado su ejecución,
— La Administración tiene como función planear, construir, ejecutar y monitorear actividades establecidas por el gobierno con efin de cumplir los objetivos de la empresa (PBRM).
Los principios de COBIT 5 son ejercidos por diferentes empresas.
COBIT 5 tiene principios:
1 PASO- SATISFACER NECESIDADES DE PARTES INTERESADAS: Para cumplir con las necesidades de las partes interesadas primero se debe crear valor a sus accionistas es decir generar recursos a un costo óptimo.
Como se señaló en la exposición una forma de crear valor es con la cascada de metas, las metas deben trasformase en estrategia, convertir las necesidades de las partes en metas.
Un beneficio de la cascada de metas en COBIT 5 es que funciona para definir objetivos y metas, filtra base de conocimientos e identifica claramente y conduce como los catalizadores son importantes para alcanzar metas en la empresa.
La ejecución de la cascada tiene 4 pasos que se describen a continuación:
1 paso) Los motivos de las partes interesadas influyen en las necesidades de las partes interesadas
2 paso) Las necesidades de las partes interesadas desencadenan metas empresariales.
3 paso) Cascada de metas de la empresa, metas que están relacionadas con la tecnología de la información en dimensiones del CMI.
4 paso) Cascada de meas relacionadas con las T.I. hacia metas catalizadoras, entiéndase catalizadoras a los factores individuales o colectivos que influyen hacia algo funcione.
2DO PRINCIPIO CUMPLIR LA COMPAÑÍA DE FORMA INTEGRA
Son muchos los beneficios, dado que reduce el riesgo.
3ER PRINCIPIO APLICAR UN SOLO MARCO INTEGRADO:
El objetivo de este principio es que la empresa maneje solo un estándar, que todos se integren a este para lograr una guía simple y de fácil entendimiento.
4TO PRINCIPIO- HABILITAR UN ENFOQUE HOLISTICO:
Cuando se dice que un enfoque holístico nos estamos refiriendo a que todo esté entrelazado para que funcione mejor.
Los catalizadores son factores que individual o colectivamente determinan si el gobierno y la administración con la implementación de TI si todo lo diseñado funciona correctamente.
5TO PRINCIPIO- SEPARAR EL GOBIERNO DE LA ADMINISTRACION
Para comprender como se debe separar, se debe primero entender las funciones básicas de cada uno, es así como el Gobierno tiene tres funciones evaluar, orientar y supervisar mientras la Gestión tiene como finalidad planificar, construir, ejecutar y supervisar.
Infórmese! 971 425 974 Servicio Técnico: 630 464 089 
