GUIA DE IMPLEMENTACIÓN DE MODELO DE CONTROL INTERNO

COSO II – COSO ERM

¿Qué vamos a hacer?

Trabajando de manera colaborativa, diseñarlos procedimientos, guías y documentos opapeles de trabajo para realizar laimplementación del modelo de controlCOSO ERM o COSO II en una empresa.

¿Cómo lo vamos a hacer?

De manera individual o colectiva se trabaja encada uno de los pasos de implementación, encada paso se debe llenar el formatoPROCEDIMIENTO explicando las actividadesa desarrollar en dicho paso.

¿Cómo lo vamos a hacer?

Los pasos específicos de un procedimiento sellaman actividades, si alguna actividadnecesita un formato, guía o documentoadicional se debe referenciar de la siguientemanera:

Presentar PropuestaAReferencia del Procedimiento

Documento PropuestaA-01Referencia del

Documento parte del

Procedimiento

¿Cómo lo vamos a hacer?

Si durante el procedimiento se elaborandocumentos, guías o formatos adicionalesademás de la referenciación en el formatoprocedimiento, dicho documento debecontener, al inicio:

GUIA DE IMPLEMENTACIÓN DE MODELO DE CONTROL INTERNO

COSO ERM – COSO II

Referencia: xxxxxx

NOMBRE DEL DOCUMENTO

Elaborado por: xxx Fecha de Elaboración: xxx

Revisado por: Versión: xxx

Presentar Propuesta y Firmar Contrato

¿Ayuda? Obligatoriamente se debe llenar elformato de Procedimiento donde expliquepaso a paso como cumplir esta actividad, porejemplo debe explicar a quien debe dirigir lapropuesta, cómo evaluar los honorarios, etc.

A1

¿Qué hacer? Un documento en donde seexponga ante la Gerencia o Administración laimportancia del Control Interno y seconvenza de la necesidad de implementar elcontrol interno. Hay que SEDUCIR, para quefinalmente se contrate a la empresa

A1

Presentar Propuesta y Firmar Contrato

¿Ayuda? Este documento debe conteneralgunos elementos básicos como el objetivodel trabajo, introducción, alcance,metodología, etc. Aunque este trabajo deimplementación no es propiamente unaAuditoría podemos seguir lo que dice laNorma Internacional 210 – Términos delTrabajo de Auditoría

A1

Presentar Propuesta y Firmar Contrato

¿Ayuda? Este tipo de actividades sonnormalmente externas y prestadas comoservicios, por lo tanto una guía puede ser unejemplo de un Contrato de Servicios. En estepaso debe quedar como evidencia, eldocumento de contrato.

A1

Presentar Propuesta y Firmar Contrato

¿Ayuda? Es importante pensar paso a paso:

1. Reunir a la Gerencia: ¿Cómo citar a lagerencia? ¿A quienes se considera laGerencia? ¿Cómo saber a quien invitar?¿Dónde? ¿Cómo se realiza la invitación(escrita, via mail)? – Diseñar un modelo decarta de citación???

B1Comprometer a la Gerencia

¿Ayuda? Es importante pensar paso a paso:

2. Socializar a la Gerencia: Teniéndolos reunidoshay que contarles que vamos a hacer y comolo vamos a hacer. ¿Cómo socializar? Puedeser un informe, una presentación condiapositivas, un folleto, entre otros.

Ideas: Presentación COSO II y el Auditor Interno

B1Comprometer a la Gerencia

¿Ayuda? Es importante pensar paso a paso:

3. Firmar Carta de Compromiso: Siendosensibilizados al proceso de implementación,hay que conseguir que se firme una cartadonde quede claro que la responsabilidad delcontrol interno es de la administración

B1Comprometer a la Gerencia

¿Qué hacer? El objetivo de este procedimiento es identificar yal final dar un concepto sobre el Ambiente de Control deuna empresa.

¿Cómo hacerlo? Algunas ideas son:1. Lista de Chequeo: Diseñar una serie de actividades de

revisión que debe realizar el auditor que implementa elmodelo de control, en la empresa, cumpliendo los 7conceptos del Ambiente de Control

2. Cuestionario: Preguntar a los empleados de la empresasobre sus percepciones respecto a los 7 conceptos delAmbiente de Control = Página 9 a 18 Informe COSO II –Actividades de Clase

C Evaluar el Ambiente de Control

¿Cómo hacerlo? Tanto para la Lista de Chequeo comopara el cuestionario hay que diseñar las preguntas, laforma de aplicación, como se debe hacer el análisis ytabulación, y finalmente como se realiza el análisis yla forma del documento final.

¿Qué elaborar como anexo? El formato de la lista dechequeo, el formato del cuestionario y el formato delinforme final.

¿Ayuda? Revisar el Formato Diagnóstico Ambiente deControl y Formato Lista de Chequeo

C Evaluar el Ambiente de Control

¿Qué hacer? El objetivo de este procedimiento es ayudar a cadadepartamento de la empresa a identificar sus objetivos yclasificarlos como estratégicos, operativos, reporte o cumplimiento.

¿Cómo hacerlo? Piensen paso a paso:1. ¿Quiénes van a identificar los objetivos? ¿Cómo citar a estas

personas? ¿Cuáles departamentos?2. Socializarles a estas personas que se está haciendo, que es este

paso de identificar objetivos, que es un objetivo, que tipos deobjetivos hay, cómo se formula un objetivo, etc.

3. Ofrecerles a los empleados por departamentos un grupo deobjetivos propios de dicho departamento para que ellos puedanescoger y/o modificar, los más apropiados a su empresa.

D Identificar Objetivos por Departamento

¿Pistas? Leer página 19 a 22 del Informe COSO II en laActividad de Clase

¿Qué hay que diseñar?1. Anexos para hacer la socialización (Informe,

Diapositivas, Folletos, etc)2. Documento de objetivos departamento por

departamento, preferiblemente referenciar cadaobjetivo, por ejemplo:

1. Objetivos de Contabilidad = OC01, OC02, …, OCxx2. Objetivos de Producción = OP01, OP02,…,OPxx

D Identificar Objetivos por Departamento

¿Recomendación? Elaborar los objetivos quesean genéricos, o sea, aplicables a cualquierempresa y departamento por departamento.

Cada vez que terminen un departamentodeben pasarlo al siguiente procedimiento E

¿Qué hacer? En este procedimiento para cada unode los objetivos del paso anterior, departamentopor departamento, los empleados de la empresadeben identificar los eventos, hechos o sucesosque pueden afectar que no se alcancen estasmetas. Como en el paso anterior han diseñadoobjetivos genéricos, también se deben diseñareventos genéricos para ayudar a los empleadosa entender e identificar sus propios eventos.

E Identificar Eventos de Riesgos por Objetivos

¿Pistas? Leer página 29 a 36 del Informe COSO II en laActividad de Clase

¿Qué hay que diseñar?1. Anexos para hacer la socialización de qué es un evento,

porque es importante identificarlo (Informe, Diapositivas,Folletos, etc)

2. Documento de eventos por objetivo de cadadepartamento por departamento, preferiblementereferenciar cada evento, por ejemplo:

1. Evento del Objetivo de Contabilidad = EC01, EC02, …, ECxx2. Evento del Objetivo de Producción = EP01, EP02,…,EPxx

E Identificar Eventos de Riesgos por Objetivos

¿Recomendación? Un evento puede relacionarvarios objetivos, un objetivo puede tenervarios eventos

E Identificar Eventos de Riesgos por Objetivos

Codigo Objetivo Código Evento

OC01 XXXXX EO01 XXXXX

OC02 XXXXX EO02EO03EO04

XXXXXXXXXXXXXXX

OC03 XXXXX EO01 XXXXX

¿Recomendación? Elaborar los eventos quesean genéricos, o sea, aplicables a cualquierempresa y departamento por departamento.

Cada vez que terminen un departamentodeben pasarlo al siguiente procedimiento F

¿Qué hacer? En este procedimiento para cada uno de losobjetivos y eventos de los pasos anteriores, departamentopor departamento, los empleados de la empresa debenidentificar los riesgos. Como en el paso anterior handiseñado objetivos y eventos genéricos, también se debendiseñar riesgos genéricos para ayudar a los empleados aentender e identificar sus propios riesgos.

Adicionalmente hay que diseñar una metodología para quelos empleados evalúen y clasifiquen los riesgos de más amenos importantes.

F Identificar y Valorar los Riesgos

¿Pistas? Leer página 45 a 51 del Informe COSO II en laActividad de Clase

¿Qué hay que diseñar?1. Anexos para hacer la socialización de qué es un riesgo,

porque es importante identificarlos, tipos de riesgos, etc(Informe, Diapositivas, Folletos, etc) Ver Sistema deValoración de Riesgo

2. Documento de riesgos por evento – objetivo,departamento por departamento, preferiblementereferenciar cada riesgo.

3. Matriz de Evaluación de Riesgo y metodología deaplicación

F Identificar y Valorar los Riesgos

¿Qué hay que diseñar?

3. Matriz de Evaluación de Riesgo ymetodología de aplicación: Se debe explicardetalladamente que es la matriz, queevalúa, como lo hace y como aplicarla

F Identificar y Valorar los Riesgos

¿Recomendación? Elaborar los riesgos que seangenéricos, o sea, aplicables a cualquierempresa y departamento por departamento.

Cada vez que terminen un departamentodeben pasarlo al siguiente procedimiento G

¿Qué hacer? En este procedimiento para cada unode los riegos – eventos y objetivos de los pasosanteriores, departamento por departamento, losempleados de la empresa deben identificar quehacer con los riesgos (Eliminarlo, Aceptarlo,Minimizarlo o Transferirlo).

Adicionalmente hay que diseñar una metodologíapara que los empleados evalúen e identifiquenlas opciones de gestión de riesgos.

G Gestionar los Riesgos

¿Pistas? Leer página 69 a 75 del Informe COSO II en laActividad de Clase

¿Qué hay que diseñar?1. Anexos para hacer la socialización de cómo se

gestiona un riesgo, porque es importanteidentificarlos, formas de gestión (Informe,Diapositivas, Folletos, etc)

2. Documento de acción de gestión por riesgo porevento – objetivo, departamento pordepartamento. Un riesgo puede cumplir variasformas de gestión.

G Gestionar los Riesgos

¿Recomendación? Elaborar la gestión de riesgosdepartamento por departamento.

Cada vez que terminen un departamentodeben pasarlo al siguiente procedimiento H

¿Qué hacer? En este procedimiento para cadauno de los riegos que los empleados de laempresa han identificado como forma degestión minimizarlo o transferirlo, hay quediseñarle un control.

H Implementar Controles

¿Qué hay que diseñar?

1. Anexos para hacer la socialización de qué esun control, tipos de controles, comoimplementar un control (Informe,Diapositivas, Folletos, etc)

2. Documento Formato de Control, para cadauno de los riesgos

H Implementar Controles

¿Qué hay que diseñar? Teniendo en cuenta lasnormas de Información y Comunicación dellink: Normas Generales de Control Interno,para cada item definir una política para laempresa. Por ejemplo una política respecto aInformación y Responsabilidad puede ser:

• La información debe ser comunicada deforma oportuna, es decir cuando se necesita.

I Información y Comunicación

¿Qué hay que diseñar? Teniendo en cuenta lasnormas de Supervisión del link: NormasGenerales de Control Interno, para cada itemdefinir una política para la empresa.

J Normas de Supervisión

¿Entrega?

Al finalizar cada equipo debe entregar vía mail a ancadira@gmail.com toda la

documentación de su grupo, los archivos se guardan según la referencia.