lunes, 30 de enero de 2012

10 Razones para incrementar el uso de la Auto-Evaluación de Riesgo y Control

La auto-evaluación de control es una forma para ayudar a la organización a incrementar su habilidad para alcanzar los objetivos de negocio.  La mayor parte del tiempo, esto se hace a través de una serie de talleres o reuniones facilitadas por el departamento de auditoría o finanzas.  Estos talleres pueden ser aplicados a proyectos, procesos, unidades de negocio, funciones, o básicamente cualquier nivel, cuyos objetivos puedan ser claramente definidos.  Estos talleres envuelven al personal directamente responsable del logro de objetivo organizacional, diseñados para examinar, evaluar y reportar la probabilidad de que los objetivos sean alcanzados.

De acuerdo al libro Control Self-assessment: Making the Choice de Glenda S. Jordan, CIA, CPA, CFE, los principales beneficios del CSA son:

1.    Ayuda a los empleados de línea de todos los niveles a entender y asumir su responsabilidad y cumplimiento del efectivo control y riesgo gerencial.   

2.    Las acciones correctivas pueden ser más efectivas, debido a que los participantes “son dueños” de los resultados.

3.    Provee una cobertura amplia de asuntos importantes, debido a que los expertos, el equipo de trabajo, pueden rápidamente enfocar los riesgos y controles claves.

4.    Mejora la comunicación en todos los niveles, debido a que los talleres pueden incluir múltiples lugares, departamentos, funciones y niveles de personal.

5.    Enseña a los participantes cómo analizar y reportar sobre control interno, así ayuda a incrementar la conciencia de control en la organización entera.

6.    Incrementa la preocupación de los objetivos organizacionales y el rol del personal en el logro de las metas y objetivos.

7.    Motiva al personal para el diseño e implementación cuidadosa de procesos de control y mejoramiento continuo de los controles operativos.

8.    Ayuda a la auditoría a focalizar solamente los puntos de alto riesgo y concentrar los esfuerzos de auditoría en éstos.

9.    Provee evaluación sobre controles suaves o colaborativos que son difíciles de analizar por la auditoría tradicional.

10. Incrementa la participación de la gerencia en las tareas de mejorar el ambiente de control interno.

viernes, 27 de enero de 2012

Del qué hacer, al cómo hacerlo

Por Jesús Aisa Díez

La forma en que las organizaciones gestionan alcanzar eficientemente los objetivos estratégicos establecidos, cumpliendo así las expectativas de las partes interesadas que en ellas participan, es un proceso de mejora continua sometido a cambios permanentes en el modo de desarrollarlo.

En estos momentos creo que podríamos decir que una de la más consolidada es la que se realiza a través de la aplicación de técnicas de gestión de riesgos. En este sentido es frecuente encontrarnos con acrónimos como: ERM, COSO, KRI, KPI, etcétera, todos ellos relacionados con dichas técnicas, y que, para los que se desenvuelven profesionalmente en el entorno de esos ámbitos, no precisan de una aclaración de su significado, lo que puede darnos una idea de lo extendido y familiar que resulta su uso.

Aunque el origen de estas técnicas de gestión de riesgos podríamos situarlo en el año 1988, fecha en la que se publicó el protocolo denominado Basilea I, con el que se describieron determinadas recomendaciones con las que determinar el capital mínimo que debían tener las entidades bancarias en función de los riesgos que afrontaban, no es hasta el año 2004, con la publicación de documento Gestión de Riesgos Corporativos-Marco Integrado elaborado por el Committe of Sponsoring Organizations of the Treadway Commission, cuando realmente se dan por primera vez las pautas y las orientaciones necesarias para realizar una gestión empresarial genérica basada en riesgos, aunque sin incluir en ellas todavía ni la sistemática, ni el necesario detalle de cómo podrían ser implementadas por profesionales sin experiencia previa en éstos ámbitos, lo que obligaba a tener que solicitar el apoyo de expertos en la materia, encareciendo el proceso. 

O lo que es lo mismo, pero con otra forma de decirlo, con COSO II ya sabíamos lo que teníamos que hacer, pero faltaba establecer cómo debíamos hacerlo.

Para cubrir esta carencia, entre otros objetivos, la Organización Internacional de Normalización (ISO) ha emitido varios documentos relacionados con este tema, en concreto las Normas ISO 31. 000 y la 31.010, así como la Guía 73, todos ellos en el año 2009, que entendemos deben ser tratados en forma conjunta, pues se complementan y permiten su adecuada interpretación y empleo. Veamos porque:

De la Norma 31.000, Gestión del Riesgo. Principios y directrices, ya que en este blog se han compartido varias e interesantes referencias a su contenido y utilidad, no creo necesario insistir nuevamente en ello, pero sí, si se me permite, reproducir dos recomendaciones que se recogen en la misma y que señalan:

miércoles, 25 de enero de 2012

¿Hemos perdido el monopolio de hacer auditorías internas?

A continuación presentamos una reflexión interesantísima realizada por Don Jesús Aisa Díez sobre la denominación y manejo que debería dársele al trabajo de auditoría interna realizado por proveedores externos.

De mi época de responsable corporativo de la función de Auditoría Interna en una multinacional española, recuerdo el debate en el que entró el DAI de una de sus filiales, ya que en su opinión “solo” deberían ser considerados “auditores internos” aquellos profesionales que estuviesen adscritos al Departamento de Auditoría Interna que él dirigía,  por lo que entendía que los compañeros que trabajaban en el Área de Calidad, cuya misión era la de realizar las verificaciones internas del cumplimiento de los requerimientos derivados del Sistema de Gestión de Calidad de la empresa, no debían llamarse auditores, ni sus trabajos auditorías, pues no estaban ubicados en su Departamento, ni realizaban sus actividades de acuerdo con el Plan aprobado por el Comité de Auditoría.

Aunque en la Corporación al tema no le dimos demasiada importancia, dejando que el conflicto se resolviese en el ámbito de la filial, la postura defendida por el DAI prosperó y los “auditores de calidad” dejaron de  denominarse así y llamarse “supervisores”.

Me viene a la memoria esta anécdota porque la postura que había detrás de esta reivindicación del DAI, con el tiempo transcurrido creo que ha venido a darle la razón, o al menos en haberme ganado para esa “causa”.

Las razones que pueden esgrimirse para justificar mi cambio de actitud ante este planteamiento pueden ser varias, pero las fundamentales estarían en la redacción, pero sobre todo en lo que subyace en el contenido del nuevo Marco Internacional para la Práctica Profesional de Auditoría Interna, edición 2011; en concreto el Consejo para la Práctica 2050-3.Veamos por qué.

El Risk Control Self Assessment (RCSA): Una combinación de técnicas de evaluación de riesgos del ISO 31010

Por Alberto Villanueva Chang

Para los que utilizamos en nuestro trabajo la herramienta del Control Self Assessment (CSA) y el Risk Control Self Assessment (RCSA), no debemos dejar pasar la oportunidad para resaltar la similitud que existen con algunas de las técnicas de evaluación de riesgos señaladas en el ISO 31010.

¿Qué es en esencia el CSA y RCSA?

Es el resultado de una serie de actividades informales orientadas a extraer una opinión por consenso sobre la marcha de los controles y riesgos respectivamente. Una característica básica es que se obtiene opinión de un grupo representativo mediante sesiones, entrevistas o cuestionarios de manera anónima. Sus resultados constituyen actividades a enmendar a la brevedad a iniciativa de los interesados.

Si quisiéramos descomponer la práctica del CSA y RCSA y hallar qué tipo de técnicas de evaluación de riesgos ISO 31010 se asemejan, no cabe duda que sería la combinación de muchas de ellas, entre las cuales están: Lluvia de ideas, entrevista estructuradas o semi-estructuradas, técnica delphi, técnica estructurada “what-if”, evaluación de la fiabilidad humana, análisis de impacto de negocio,  análisis de árbol de defectos, análisis de causa – efecto, entre otras.

Es reconfortante y hasta halagador reconocer que quienes dieron origen a las herramientas del CSA y RCSA, no hicieron más adelantarse en sintetizar y dar uso práctico a muchas de estas técnicas de evaluación de riesgos seleccionadas por el ISO 31010, algunas de ellas bastante habituales.

lunes, 23 de enero de 2012

Piensa Diferente: No te quedes atrapado en el dogma

Estoy desarrollado una conferencia cuyo título es: "Auditoría Interna en Tercera Dimensión (3D): Desafíos, Dogmas; Deber".  Durante el proceso de investigación encontré una frase de Steve Jobs, sobre los dogmas, la cual encierra una gran enseñanza.  Un dogma es, según el Diccionario de la Real Academia, una proposición que se asienta por firme y cierta como principio innegable, en pocas palabras, representa una axioma o creencia tan clara y evidente que se admite sin necesidad de demostración. A continuación comparto la misma:

"Tu tiempo es limitado, de modo que no lo malgastes viviendo la vida de alguien distinto. No quedes atrapado en el dogma, que es vivir como otros piensan que deberías vivir. No dejes que los ruidos de las opiniones de los demás acallen tu propia voz interior. Y, lo que es más importante, ten el coraje para hacer lo que te dicen tu corazón y tu intuición. Ellos ya saben de algún modo en qué quieres convertirte realmente. Todo lo demás es secundario."

Tomado del Discurso en el acto de graduación Universidad de Stanford el 12 de Junio de 2005.

viernes, 20 de enero de 2012

Si, si,… pero dando la talla

Por Jesús Aisa Díez

El pasado mes de Noviembre, concretamente los días 23 y 24, tuve la oportunidad de atender la invitación del Instituto de Auditores Internos de El Salvador y participar en  su 3er Congreso, del cual, aparte de su perfecta organización, debo destacar que permitió reunir a ponentes de diversas organizaciones y entornos empresariales diferentes -en mi caso por delegación del Instituto de Auditores Internos de España-. Coyuntura que permitió un contraste de experiencias que estimo habrán sido de utilidad e interés para los numerosos asistentes, ya que se trataron aspectos de máxima actualidad que afectan a la actividad de auditoría interna, así como diversas mejores prácticas con  efectos en su necesaria eficiencia.

Pero también, y con muy buen criterio, se contó con la participación de un alto directivo de un Grupo empresarial salvadoreño, el cual disertó sobre “La Auditoría Interna desde el punto de vista del CEO”,  que fue la ponencia con la que se abrió el Congreso. Y a ella quiero referirme, pues una de sus conclusiones considero es de suma trascendencia.

Para este directivo la función de auditoría interna resultaba fundamental para alcanzar un adecuado control interno en su organización, ya que, a través de sus Planes de trabajo, incidiendo en la supervisión de los procesos seleccionados, sería posible observar y concluir sobre sus carencias, y aportar las sugerencias de mejora con las que corregirlas. Si bien, para que ello fuese verdaderamente útil, la opinión de los auditores internos debía ser objetiva; y ahí es donde él consideraba que radicaba la principal debilidad de la actividad de auditoría interna gestionada en forma convencional (la desarrollada fundamentalmente por personas internas de la empresa) ya que, al relacionarse empleados de la propia organización, con otros compañeros de la misma empresa, entre los que pudiera probablemente existir un vínculo de amistad, esta circunstancia, en su opinión, daría lugar a la existencia de conflictos de intereses por los que se adulterarían probablemente las conclusiones de la auditorías, restándoles rigor y utilidad.

Por este motivo nos comentó que en su empresa sí existía la función de auditoría interna, pero desarrollada por externos, obteniéndose así, según su criterio, un plus de objetividad. En resumen, tenía una auditoría interna externalizada.

Alternativa contra la que no tengo ninguna objeción, bien sea esta en modalidad co-sourcing o incluso sourcing; pero la causa por la que esta modalidad de auditoría se empleaba en esa organización, sí que nos genera algún rechazo, o al menos incomodidad, pues entiendo que es una enmienda a la totalidad que resulta demoledora para la confianza en el trabajo de los auditores internos ejercida en forma convencional y mayoritaria, por lo que confío que no sea extrapolable a otras organizaciones, pues incide en un aspecto básico de nuestra función, tal cual es la calidad del nuestro trabajo realizado.

En este sentido, y justificando el título que encabeza a estos comentarios, entiendo que hoy en día no resulta discutible la conveniencia de que las empresas, con independencia de su tamaño, forma de propiedad, sector en el que desarrollen la actividad, etcétera, deben disponer todas ellas de una función de auditoría interna con la que incidir, mejorar y, hasta donde resulte razonable, garantizar el nivel de control interno de la empresa a través de la revisión de los procesos básicos de gestión de riesgos, control y gobierno corporativo, lo cual, obviamente, está representando una oportunidad para los profesionales que se desenvuelven en el ámbito de la auditoría interna, debido a lo cual estos ocupan puestos organizacionales de elevado nivel, se relacionan directamente con la alta dirección y con los miembros del Directorio, estan presentes en los Comités de Dirección, por citar solo algunas situaciones que reflejan el avance institucional alcanzado, pero también de las oportunidades que de esa situación se pueden derivar.

jueves, 19 de enero de 2012

La simplicidad del ISO 31000 respecto al COSO ERM

Por Juan Alberto Villanueva Chang

La organización COSO, en una publicación elaborada por la Universidad Estatal de Carolina del Norte de los EE.UU., en el verano del 2010[1], recogió la opinión sobre las prácticas del COSO ERM, percepciones sobre las fortalezas y debilidades así como su utilidad. En resumen los resultados mostraron lo siguiente:

  • El estado del COSO ERM en las organizaciones parece estar relativamente inmaduro. En pocas entidades se ha logrado una óptima implementación.
  • Cerca del 60% considera que los riesgos todavía son tratados de forma informal y se hace mediante silos individuales o diversas categorias dentro de la empresa.
  • Aproximandamente un tercio admite no estar satisfecho de la naturaleza y tipo de reporte de indicadores de riesgos comunicados a los Directores Ejecutivos.
  • Una buena parte de los encuestados están familiarizados con COSO ERM, mientras que pocos conocen el ISO 31000, y el Estándar Australiano. Es importante resaltar que para cerca del 40% es dificil reconocer si emplean o apoyan en algún marco de referencia.
  • Existen algunas criticas que el COSO ERM contiene una orientación demasiado vaga.

La rápida aceptación del ISO 31000, elaborado el 2009, ha motivado que sea recocida y aceptada en su integridad como versión actualizada de los siguientes marcos de gestión de riesgos:

  • Asociación de Estándares de Canadá adoptó en 2010 el CAN/CSA - ISO 31000 en vez del CAN/CSA Q850 - (1997) Risk Management.
  • Estándar Australiano Neo Zelándes: acogió el nuevo ISO y publicó el AS/NZS 31000-2009 Risk Management (originado en el AS/NZS 2004, documento reconocido y aceptado en el contexto mundial, además documento de consulta en la elaboración del COSO ERM)

Como se puede apreciar, es unánime reconocer la acogida por su simplicidad del ISO 3100, situación que hubiera sido fructífero considerar a los miembros que participaron en la elaboración del ISO 31000 como colaboradores del equipo de  profesionales que actualmente viene efectuado la actualización del Control Interno – Marco Integrado 1992 en la organización COSO.


[1] Current State of Enterprise Risk Oversight and Market Perceptions of COSO´s ERM Framework, Dic. 2010.

miércoles, 18 de enero de 2012

11 Peores Prácticas Auditoría Interna

Por Dante Navarro García, CIA, CCSA, CFSA, CRMA, MBA, CPC
Presidente del Instituto de Auditores Internos del Perú

1.    Vernos como parte aislada e independiente de la organización.  Somos parte de un todo.
2.    Ver al auditado como una presa o víctima y no como un cliente interno.
3.    Aplicar un mismo método, enfoque y estilo gerencial para todos los casos.
4.    Escribir demasiado y dedicar un porcentaje importante de nuestro tiempo en la redacción de los informes de auditoría. 
5.    No capacitarse.
6.    Enfoque Silo vs. Enfoque proceso.
7.    Enfoque en «los árboles y no en el bosque».
8.    Recomendaciones muy teóricas o genéricas.
9.    Plantear las oportunidades de mejora sin un orden de criticidad o relevancia.
10. No discutir ni validar las oportunidades de mejora con su cliente antes de plantearlas formalmente.
11. Emitir informes sin la revisión previa por parte del “auditado”.  Soltar “bombas” sin previo aviso.

viernes, 13 de enero de 2012

En torno a la auditoría de la gestión de riesgos

Por Juan Alberto Villanueva Chang

Al observar hace algunos años como se adopta la gestión de riesgos en una organización, comparto lo señalado en algunas encuestas que señalan que no existe un modelo único de gestión de riesgos para una entidad. Cada cual define su propia gestión de riesgos luego de algunos intentos y de lograr el grado de madurez de su cultura organizacional.

Quienes hemos experimentado la progresiva implementación de la gestión de riesgos, indudablemente entendemos que existe una correlación directa respecto a su adopción: tamaño vs  la  especialización de sus actividades. Por consiguiente, ésta evoluciona con el ciclo del negocio.

Una cultura de gestión de riesgos (según el ISO 31000) requiere de la existencia de la siguiente plataforma:

  • Estrategia respecto al riesgo: Su incorporación en la gestión estratégica y definir el apetito al riesgo
  • Ambiente organizacional: Sensibilización permanente y medidas de control de desempeño
  • Infraestructura de riesgos: Políticas, organización, sistemas
  • Proceso de riesgos: Cumplir el establecimiento del contexto, identificación, evaluación, análisis, mitigación del riesgo, control y monitoreo

A propósito del ISO 31000, es  un documento práctico que ayuda a las organizaciones a desarrollar su propio enfoque de gestión de riesgos. No es un estándar para optar una certificación, son sugerencias para compararse con las mejores prácticas.

La gestión de riesgos se refiere a la arquitectura:

  •  Principios para la gestión de riesgos
  •  Estructura de soporte o marco de gestión de riesgos
  • Proceso de gestión de riesgos

miércoles, 11 de enero de 2012

15 Mejores Prácticas Auditoría Interna

Por Dante Navarro García, CIA, CCSA, CFSA, CRMA, MBA, CPC
Presidente del Instituto de Auditores Internos del Perú

Mejores Prácticas Generales:

1.    Ampliar el alcance de la definición de “riesgo” para desarrollar un plan de auditoria que mejore significativamente el desempeño de los procesos de negocio:
a.    Plan de Auditoria basado en Riesgos
b.    Riesgo es responsabilidad de la Gerencia
c.    A.I. debe asegurarse que  el sistema de gestión de riesgos funcione
2.    Asegurarse que los auditores internos tengan una experiencia de formación multidisciplinaria:
a.    Contadores Públicos
b.    Administradores de Empresas
c.    Economistas
d.    Ingenieros
e.    Abogados
f.     Otros profesionales según la industria o el negocio
3.    Hacer una reingeniería a la función de Auditoría Interna para una mejora continua en sus procesos
a.    Estatutos
b.    Manual de Auditoria  Interna
c.    Manual de  Funciones
d.    Descripción de Puesto
e.    Plan  anual  (cada dos o tres años)
f.     Programa de  Auditoria Interna

viernes, 6 de enero de 2012

22 Métodos de Evaluación Riesgos

Todos los auditores interno que conozco siempre están interesados en ampliar sus destrezas y aprender sobre nuevas herramientas para el análisis efectivo de los riesgos que pueden afectar el negocio, por lo que a continuación presentamos algunos de los métodos incluidos en la Norma ISO 31010 sobre Técnicas de Evaluación de Riesgos:

1.    Análisis Preliminar de Peligros
2.    Técnica Delphi
3.    Técnica Estructurada “What –If”
4.    Evaluación Fiabilidad Humana
5.    Causa y Origen
6.    Análisis de Escenarios
7.    Impacto Negocio
8.    Árbol de Defectos
9.    Árbol de Acontecimientos
10. Causa y Efecto (Ishikawa)

Desarrolle al Máximo su Potencial

En un libro de dos especialistas en Ecología Emocional, Jaume Soler y Mercé Conangla, presenta un conocimiento y una reflexión muy provechosos.  En Japón, hay gran preferencia por un pez muy especial llamado koi o Carpa Japonesa. 

¿Por qué es distinto el koi?

Porque si se le mantiene en una pequeña pecera, sólo crece unos cinco centímetros de largo.  Si se le sumerge en un estanque pequeño, crecerá hasta quince y veinticinco centímetros. Si se le coloca en un estanque de tamaño grande, su crecimiento puede llegar hasta cuarenta y cinco centímetros. Más si  vive en un gran lago donde puede desarrollarse al máximo, el koi puede alcanzar hasta noventa  centímetros. En conclusión, el tamaño del koi está directamente relacionado con el tamaño del recipiente  donde él viva.  Cada ser humano necesita de un espacio para crecer y,  como plantean Soler y Conangla, nuestro entorno determina nuestro desarrollo. Por lo que debemos ser como el koi y buscar espacios donde podamos crecer al máximo.

Me gustaría preguntarle lo siguiente:

1.    ¿Se encuentra usted en un ambiente que le permita desarrollarse personal y profesionalmente?
2.    ¿Está explotando al máximo sus destrezas y habilidades?
3.    ¿Está usted invirtiendo su tiempo en cosas que realmente tienen impacto significativo en su crecimiento y desarrollo?
4.    ¿En cuáles áreas de la profesión piensa incrementar sus conocimientos durante los próximos 12 meses (tecnología, muestreo estadístico, gestión de riesgos, etc.)?
5.    ¿Qué debo hacer para salir de mi zona de confort (inscribirme en un MBA, tomar el examen CIA, etc.?  

miércoles, 4 de enero de 2012

Siete Pecados Capitales Redacción Informes Auditoría Interna

Uso excesivo de jerga técnica: Uso de lenguaje sofisticado, entendible sólo por expertos y conocedores del área bajo examen o personal con conocimientos profundos de metodologías y enfoques financieros; por lo que los usuarios del informe necesitan auxiliarse de un diccionario contable, para comprender el mensaje que se desea transmitir.

No identificar la raíz del problema: Es siempre importante entender las causas o impulsores fundamentales de un hallazgo. Esto ayuda a asegurarnos que las acciones tomadas están dirigidas a corregir el problema real o aprovechar la oportunidad, además de prevenir o reducir la posibilidad de ocurrencia del incidente.

No presentar el sentido de urgencia de la situación: El reporte no incluye una calificación del grado de importancia del hallazgo presentado. Por ejemplo emplear una clasificación basada en riesgo: Muy alto, Alto, Medio y Bajo.

¿Quién controla a quién?

A continuación presentamos el artículo “¿Quién Controla a Quién?, preparado por el colega y amigo Don Jesús Aisa Díez, quien gentilmente nos sumistro el mismo, en el que se realiza una reflexión sobre la "independencia" que deberíamos tener los auditores para el adecuado ejercicio de la profesión, el cual fue publicado en la revista del IAI España el pasado mes de Octubre.

En las democracias avanzadas el Parlamento es el poder que, aparte de asumir la aprobación de normas con rango de ley, tiene la responsabilidad  de controlar al Ejecutivo. Situación que, en determinadas situaciones, y por motivos diversos, puede verse alterada siendo el Gobierno el que controla a la mayoría parlamentaria, pues la diseña de antemano, la domestica, la manipula y utiliza..., dando origen a lo que se ha venido a denominar partitocracia, en la que el partido en el poder es el que, a través de la disciplina de voto exigida a los congresistas, promueven las leyes que le son propicias, condicionan los mecanismos de control a las actuaciones de los gobernantes, e incluso predeterminan los nombramientos de los miembros del poder judicial en sus instancias más altas, como sucede en el caso español con los Tribunales Supremo y Constitucional.

Situaciones reales en la que el poder ejecutivo está en condiciones  de influir en las decisiones del  legislativo y en las del judicial, apartándonos del modelo  que Montesquieu  definió como un sistema de gobierno de controles y contrapesos, con el que evitar que alguno de los poderes pudiera convertirse en supremo.

Siendo esto así, la pregunta que recoge el título de estas líneas entendemos que tiene plena validez, pudiendo concluir que en determinadas situaciones existen imperfecciones del sistema democrático que pueden afectar a la gobernabilidad de las sociedades en las que estas carencias existen, siendo el teórico controlado el verdadero controlador. Circunstancia que también puede reproducirse en la denominada gobernanza corporativa, como a continuación veremos.

domingo, 1 de enero de 2012

Nuevo Año - Nuevo Marco

El Committee of Sponsoring Organizations of the Treadway Commission (COSO) presento recientemente un borrador del nuevo Marco Integrado de Control Interno COSO, los impulsores que originaron la actualización de modelo están relacionados, fundamentalmente, con el ambiente cambiante en los negocios, entre los que se encuentran:

Expectativas de los entes relacionados con el gobierno corporativo.
Globalización del mercado y operaciones.
Cambios en los modelos de negocio.
Demandas y complejidad de leyes, regulaciones y normas.
Expectativas de competencias y cumplimiento.
Uso y confianza en la tecnología desarrollada.
Expectativas para prevenir y detectar fraudes.

 Que no Cambia

1.    Definición de control interno.
2.    Cinco Componentes del control interno.
3.    Criterios fundamentales usados para la evaluación efectividad sistema de control interno.
4.    Uso del juicio en la evaluación de la efectividad del control interno.

Que Cambia

1.    Codificación de principios con aplicación universal usados para el desarrollo y evaluación de la efectividad de los sistemas de control interno.
2.    Expansión de los objetivos de informes financieros para dirigirlos a usuarios tanto internos como externos; e incluyendo objetivos financieros y no financieros.
3.    Incremento en el enfoque en las operaciones, cumplimiento e informes no financieros.

Beneficios de la actualización

Mejora el gobierno corporativo.
Expande su cobertura más allá de la información financiera.
Aumenta la calidad de la evaluación de riesgo.
Fortalece los esfuerzos antifraude.
Adapta los controles a las necesidades cambiantes del negocio.
Mayor adaptabilidad a varios tipos de modelos de negocio.

El nuevo Marco Integral de Control Interno COSO trae Agilidad, Confianza y Claridad.