lunes, 17 de marzo de 2014

INFORME COSO

En Estados Unidos hacia 1970 se atravesaba una crisis  sobre  diversos riesgos, como alteraciones, malos manejos, fraudes, es por ello que la Securities and Exchange Commission (SEC) junto con la Comisión de Valores y Bolsa de EE.UU. promueven la regularización  de estas irregularidades, surgiendo de allí la Comisión Treadway, con el fin de analizar, inspeccionar y recomendar. Esta comisión emite un informe de recomendaciones con sus conclusiones y el resultado de este es el Comité de Organizaciones Patrocinadoras (COSO), para estudiar los problemas en relación con un marco integrado de control interno y su respectivo reporte.
En 1992 sale la primer versión de COSO, posicionándose como marco de referencia y en el 2004 COSO II, incorporando la  Ley Sarbanes Oxley a su modelo.
COSO (COMMITTEE OF SPONSORING ORGANIZATIONS) se define como un marco de referencia que permite que las organizaciones puedan y mejorar y evaluar sus sistemas de control.

El principal objetivo mejorar la calidad de la información financiera concentrándose en el manejo corporativo, las normas éticas y el control interno, de igual manera unificar criterios ante la existencia de una importante variedad de interpretaciones y conceptos sobre el control interno.

VENTAJAS DE COSO
  •   Permite a la dirección de la empresa poseer una visión global del riesgo y accionar los planes para su correcta gestión.
  •   Posibilita la priorización de los objetivos, riesgos clave del negocio, y de los controles implantados, lo que permite su adecuada gestión. toma de decisiones más segura, facilitando la asignación del capital.
  •  Alinea los objetivos del grupo con los objetivos de las diferentes unidades de negocio, así como los riesgos asumidos y los controles puestos en acción.
  • Permite dar soporte a las actividades de planificación estratégica y control interno. 
  •  Fomenta que la gestión de riesgos pase a formar parte de la cultura del grupo.
  • Permite cumplir con los nuevos marcos regulatorios y demanda de nuevas prácticas de gobierno corporativo.


 LA LEY SARBANES- OXLEY

La Sarbanes-Oxley Act (SOA) del año 2002 ha sido redactada con la intención de recuperar la confianza de los inversores en los estados financieros después de los numerosos escándalos contables de los últimos años. La sección 404 de la SOA ha transformado en parte el proceso contable debido a que exige que las empresas cuenten con una serie de gestores que puedan en primer lugar evaluar y reportar el control interno del informe financiero y en segundo lugar enviar dicho informe a los auditores externos para su auditoría. Esos gestores deben además explicar el marco de trabajo usado para evaluar y reportar acerca del control interno. El marco de trabajo integrado de Control Interno (COSO) está específicamente citado por el SEC (Security and Exchange Comisión) como el apropiado, este marco de trabajo es una herramienta de auditoria diseñada para ayudar en la evaluación de los controles internos que pueden ser vista como si de un cubo tridimensional se tratara en la que una dimensión se refiere a los objetivos, la segunda se refiere al área de focalización y la tercera se refiere a los componentes del control interno.

COMPARATIVO COSO I COSO II



ELEMENTOS DEL INFORME COSO





Ambiente Interno: El ambiente interno de la compañía es la base sobre la que se sitúan el resto de elementos, e influye de manera significativa en el establecimiento de los objetivos y de la estrategia. En el entorno de ese ambiente interno, la dirección establece la filosofía que pretende establecer en materia de gestión de riesgos, en función de su cultura y de su apetito de riesgo.

Establecimiento de objetivos: Los objetivos deben establecerse con anterioridad a que la dirección identifique los posibles acontecimientos que impidan su consecución. Deben estar alineados con la estrategia de la compañía, dentro del contexto de la visión y misión establecidas.
Identificación de riesgos: La incertidumbre existe, y por tanto se debe  considerar aspectos externos (económicos, políticos y sociales) e internos(infraestructura, personal, procesos) que afecten la consecución de los objetivos del negocio, surgiendo la identificación de acontecimientos negativos que significan riesgo o positivos que significan oportunidades o mitigación del riesgo.
Evaluación del riesgo: Para poder establecer una evaluación sobre el riesgo se deben identificar los objetivos organizacionales y que los puede estar afectando. Los riesgos deben administrasen atendiendo la existencia de un medio interno y externo en continuo cambio. Deben ser avaluados por la auditoría interna y se debe Diferenciar los controles de T.I  para áreas versus funciones de alto riesgo. La evaluación del riesgo se centra inicialmente en el riego inherente (antes de establecer mecanismos para su mitigación) y posteriormente en el riesgo residual (riesgo que existe tras el establecimiento de medidas de control)
Respuesta al riesgo: La dirección debe evaluar la respuesta al riesgo de la compañía en función de cuatro categorías: Evitar, reducir, compartir y aceptar. Una vez establecida la respuesta al riesgo más adecuada para cada situación, se deberá efectuar una reevaluación del riesgo residual.
Actividades de control: Se trata de las políticas y procedimientos que son necesarios para asegurar que la respuesta al riesgo ha sido la adecuada. Las actividades de control deben estar establecidas en toda la organización, a todos los niveles y en todas sus funciones.
Información y comunicación: La adecuada información es necesaria a todos los niveles de la organización, de cara a una adecuada identificación, evaluación y respuesta al riesgo que permita a la compañía la consecución de sus objetivos.  Para conseguir un ERM que funcione efectivamente es necesario un adecuado tratamiento de la información.

Supervisión: La metodología ERM debe ser monitoreada, para asegurar su correcto funcionamiento y la calidad de sus resultados a lo largo del tiempo. El modo en que esta supervisión se lleve a cabo dependerá fundamentalmente de la complejidad y el tamaño de la compañía.

LOS DIEZ RIESGOS DE LA TECNOLOGÍA MÁS COMUNES




1.           Cumplimiento de Regulaciones y Legislación.
2.           Gestión de amenazas / puntos vulnerables.
3.           Privacidad
4.           Supervisión / auditoría / aseguramiento continuos.
5.           Seguridad de las redes inalámbricas
6.           Protección contra intrusiones
7.           Tercerización de TI
8.           Mediciones de seguridad empresarial
9.           Gestión de identidad
10.         Adquisiciones y ventas, impacto en la gestión de sistemas


Fuentes:
Estrategia Financiera No 225. Febrero de 2006
Boletín de la comisión de normas y asuntos profesionales del Instituto de auditores
Internos de Argentina –No 9-Septiembre de 2003
Revista Estrategia Financiera, Nº 225, Sección Artículos, 01 de Febrero de 2006




Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)