Resumen COSO

COSO (Committee of Sponsoring Organizations of the Treadway Commission)

Objetivos del Informe

• Promover operaciones metódicas, económicas, eficientes y eficaces, así como productos y servicios de la calidad esperada.

• Preservar al patrimonio de pérdidas por despilfarro, abuso, mala gestión, errores, fraudes o irregularidades.

• Respetar las leyes y reglamentaciones, como también las directivas y estimular al mismo tiempo la adhesión de los integrantes de la organización a las políticas y objetivos de la misma.

• Obtener datos financieros y de gestión completos y confiables y presentados a través de informes oportunos.

El control interno está diseñado para proporcionar una seguridad razonable en cuanto a:

1.    Eficacia de las operaciones

2.    Eficiencia de las operaciones

3.    Fiabilidad de la información financiera

4.    Fiabilidad de la información operativa y de gestión

5.    Salvaguardia de los activos

6.    Cumplimiento de las leyes y normas aplicables, tanto internas como externas a la empresa.

Limitaciones del Control Interno

• Puede existir que el control interno frene el crecimiento empresarial.  Ya que el objetivo del control interno no es crecer sino que las actividades que la empresa realice sean las adecuadas y correctas.

• Con el control interno no se puede asegurar la efectividad en las operaciones empresariales cuando fueron definidos de forma.

COSO I

Ambiente de control: Este componente se refiere al establecimiento de un entorno que estimule e influencie las actividades del personal.

Valoración del riesgo: Se refiere a la identificación y el análisis de los riesgos más relevantes que asume la empresa para el logro de sus objetivos.

Actividades de control: Actividades de control que realiza la gerencia y las demás dependencias de la empresa, para cumplir con las diferentes funciones.

Información comunicacional: Toda la información relevante que se produzca, debe ser identificada, capturada, procesada y comunicada a todo el personal de la organización, dentro de los tiempos establecidos.

Monitoreo: La gerencia de la organización debe llevar a cabo una permanente revisión y evaluación de todos los componentes y elementos que forman parte del sistema.

COSO II

COSO define ERM como:

Un proceso que lleva a cabo el consejo de administración, la dirección y otro personal de la entidad, que se aplica en la definición de estrategias y en toda la empresa, que está diseñado para identificar incidentes potenciales que pueden afectar a la entidad.

Componentes/Elementos de la ERM

La ERM tiene ocho componentes interrelacionados.

Entorno interno: Abarca el ambiente de una empresa y define la base para la manera en que el personal de una empresa considera y aborda los riesgos y el control.

Es la base de todos los demás componentes de la ERM y proporciona disciplina y estructura.

Definición de objetivos: los objetivos se definen en el nivel estratégico, estableciendo una base para las operaciones, la elaboración de informes y los objetivos de cumplimiento.

Identificación del incidente: la dirección identifica posibles incidentes que, si suceden, afectaran la entidad y determina si estos incidentes representan oportunidades o si podrían afectar negativamente la posibilidad de la entidad de implementar con éxito la estrategia y lograr los objetivos.

Evaluación de riesgos: permite a la entidad considerar el grado hasta el cual los incidentes potenciales tienen impacto sobre el logro de los objetivos.

Respuesta al riesgo: una vez evaluados los riesgos relevantes, la dirección determina como responderá. Las respuestas se clasifican en cuatro categorías: Evasión, reducción, gestión compartida y aceptación del riesgo

Actividades de control: son políticas y procedimientos que ayudan a garantizar que se lleven a cabo las respuestas al riesgo de la dirección.

Información y comunicación: la información relevante se identifica, captura y comunica en tiempo y forma, lo cual permite a los empleados llevar a cabo sus responsabilidades.

Supervisión: la ERM debe ser supervisada evaluando la presencia y el funcionamiento e sus componentes en el transcurso del tiempo.

MODELO COSO PARA LOS CONTROLES DE LA TECNOLOGÍA

Entorno de control

-        Imagen de la gerencia: TI y controles de seguridad considerados importantes

-        Política de tecnología general y política de seguridad de la información

-        Comité de gobierno corporativo sobre tecnología

-        Comité de normas y arquitectura de la tecnología

-        Representación total de todas las unidades de negocio

Evaluación de riesgos

-        Riesgos de TI incluidos en la evaluación de riesgo corporativo general

-        TI integrada en las evaluaciones de riesgos del negocio

-        Diferenciación de controles de TI para áreas/funciones de alto riesgo

-        Evaluación de auditoría interna de TI

-        Evaluación de aseguramiento de TI

Actividades de control

-        Junta revisora de la gestión del cambio

-        Comparación de iniciativas de tecnología para el plan y el rendimiento de la inversión

-        Documentación y aprobación de plantas de TI y arquitectura de sistemas

-        Cumplimiento de normas sobre seguridad física e información

-        Adhesión a la evaluación de riesgos de la continuidad del negocio

-        Cumplimiento de las normas sobre tecnología

Información y comunicación

-        Comunicaciones corporativas periódicas (intranet, correo electrónico, reuniones, boletines)

-        Concientización continua sobre mejores practicas en el área de tecnología

-        Encuesta de desempeño de TI

-        Capacitaciones de seguridad y TI

-        Resolución continua de problemas a través de mesas de ayuda

Supervisión

-        Mediciones mensuales del desempeño tecnológico

-        Análisis de desempeño de control y costos de la tecnología

-        Evaluaciones periódicas de la gestión de la tecnología

-        Auditoría interna de empresas de tecnología

-        Auditoría interna de áreas de alto riesgo