CONTROL INTERNO COSO 2013 MICI 2016 CP Luz

CONTROL INTERNO COSO 2013 - MICI 2016 CP Luz María Ortiz Rodríguez luzmaortiz@hotmail. com

Presentación CP Luz María Ortiz Rodríguez Perito contable y especialista en control interno y riesgos. CCSA en proceso Trece años de experiencia en el sector empresarial en México y en España. Veinte años de experiencia en el gobierno de México, dirigiendo: control de gestión, administración de personal, presupuesto por programas, finanzas, recursos materiales; con experiencia en organización y sistemas informáticos, auditoría interna y creación de áreas. Facilitador C. I. , key-líder de calidad total en la SE y de gestión de cambio en proyectos para el SS. Especialista en Capital Inteligente, Control Interno COSO 2013 y MICI, Administración de Riesgos, Gobierno Corporativo y Autoevaluación de Control Interno. luz. ortiz@htasesores. net @Luz_ORO www. ortizabogados. com. mx

Objetivo General Dotar de los conocimientos y herramientas técnicas para identificar los propósitos, objetivos, componentes, principios y herramientas de evaluación del sistema estructurado de control interno COSO 2013 y MICI, así como las principales características de un sistema de control interno efectivo, bajo las mejores prácticas internacionales y la normativa de nuestro País. LMOR | 3

Contenido I. III. IV. Introducción al marco de control interno Iniciativas legales Definición de Control Interno Modelos de Control Interno COSO 2013 – MICI Objetivos, Componentes y Principios i. Ambiente de Control ii. Administración de riesgos iii. Actividades de Control iv. Información y Comunicación v. Supervisión Criterios de Eficacia y Herramientas de Evaluación VI. Beneficios y limitaciones del control interno VII. Responsabilidades sobre el control interno VIII. Criterios de Implantación del modelo V. LMOR | 4

CONTROL INTERNO COSO 2013 - MICI I. Introducción al marco de control interno LMOR | 5

Control Interno De donde surge la necesidad del control? ____________________________ LMOR | 6

Mejores prácticas internacionales • Definición común • Evaluar • Modelos de informes 1949. - Primera definición de control interno, Instituto Americano de Contadores Públicos Certificados (AICPA). Septiembre, 1992. - “Marco Integrado de Control Interno” conocido como COSO. LMOR | 7

Enfoque moderno del control interno USA. Marco Integrado de Control Interno COSO, editado 1992 por el Committee of Sponsoring Organizations of the Treadway Commission. Marco más extendido y utilizado a nivel mundial. Proceso de evolución, fue revisado y actualizado en 2004 y en Mayo de 2013. COSO 2013. LMOR | 8

Mejores prácticas internacionales (UK) (Francia) CADBURY TURNBULL Vienot Co. Co COSO KING PETERS (CANADA) COBIT (USA) (HOLANDA) (Sudáfrica) COSO y Co. Los más utilizados hasta el momento, en América. LMOR | 9

Enfoque moderno del control interno COSO ha sido adoptado por el sector público y privado en USA, por el Banco Mundial, el Banco Interamericano de Desarrollo y prácticamente en toda Latino América. La Unión Europea también lo ha adoptado en auditorías o consultorías de sus proyectos, debido también a la globalización de las empresas. LMOR | 10

Enfoque moderno del control interno 2004. COSO publica el Marco Integrado de la Administración de Riesgos Corporativos COSO -ERM. Enfoque más robusto sobre la gestión integral de riesgo. Mayo, 2013 se publicó la actualización a COSO 2013, para dar respuesta a las exigencias del ambiente de negocios y operativo de globalización y tecnología. LMOR | 11

Antecedentes 1992, COSO MIC R FI EPO N R AN T E CI S ER O S Marco Integrado de Control Interno COSO MIC ACTIVIDAD 2 ACTIVIDAD 1 ACTIVIDAD COMPONENTE LMOR | 12

Modelo de control interno COSO ERM Antecedentes 2004, COSO-ERM Objetivos o c gi té ra st E es n io ac r pe O s te r po e R o nt ie im pl m Cu Ambiente Interno Identificación de Eventos Componente Evaluación del Riesgo Respuesta al Riesgo Actividades de Control Subsidiaria Unidad de Negocio División Nivel-Entidad Establecimiento Objetivos Entidad Información y Comunicación Monitoreo Fuente: COSO-ERM, 2005 LMOR | 13

Modelo COSO 2013 Marco Integrado de Control Interno COMPONENTE 17 Principios LMOR | 14

Enfoque moderno del control interno COSO 2013 enfatiza los siguientes cambios: Objetivos estratégicos. Tecnología de la Información. Gobierno Corporativo. Información financiera y la No financiera. Consideración contra el fraude. Aplica a diferentes modelos de negocio y estructuras organizacionales. Actualiza los roles y responsabilidades de los distintos participantes en el proceso. LMOR | 15

Enfoque moderno del control interno Ejes principales de la importancia del sistema de control interno 1) Autoevaluación sobre la efectividad de su control interno; 2) Auditoría externa debe emitir dictamen sobre la efectividad del control interno como base para la generación de la información financiera. LMOR | 17

CONTROL INTERNO COSO 2013 - MICI II. Iniciativas legales LMOR | 17

Iniciativas legales La corrupción y fraudes filtrados también en corporaciones internacionales de prestigio, a causa de no manejar un control confiable, transparente, claro, integro y responsable. Y para fortalecer el Control Interno, se incluye, la responsabilidad de los miembros de los Consejos de Administración de las diferentes actividades económicas de cualquier organización o país. LMOR | 19

Marco Legal USA La ley Sarbanes-Oxley Act, obliga a todas las empresas que cotizan en bolsa a adoptar sistemas de control interno robustos. (SOX) INTOSAI* * Organización Internacional de Entidades Fiscalizadoras Superiores Expide la Guía para las Normas de Control Interno del Sector Público, basada en COSO, con enfoque a la Administración Pública. LMOR | 8

Marco Legal México SFP establece el Modelo Estándar de Control Interno (MECI) en julio de 2010, reformado en 2011, 2012 y en mayo de 2014, denominado: • ACUERDO de Disposiciones en Materia de Control Interno y • Manual Administrativo de Aplicación General en Materia de Control Interno. LMOR | 9

Marco Legal México En noviembre de 2014 la ASF y la SFP publican: • Marco Integrado de Control Interno en el Sector Público (MICI) • Guías de Autoevaluación de Riesgos a la Integridad • Guía para Implementar un Programa de Promoción de la Integridad y Prevención de la Corrupción • Manual del Sistema Automatizado para la Autoevaluación de Riesgos

MICI - COSO 2013 �Aplica un enfoque basado en 17 principios. �Establece objetivos estratégicos como condición previa a la fijación de los objetivos de Control Interno. �Refleja la relevancia de la Tecnología de la Información. LMOR | 23

MICI - COSO 2013 �Fortalece los conceptos de Gobierno Corporativo. �Amplía el objetivo del reporte financiero, pasando a ser reporte en general. �Fortalece la consideración de las expectativas contra el fraude. �Considera los diferentes modelos de negocio y estructuras organizacionales. LMOR | 24

La Gobernanza Pública* Como el conjunto de procesos, estructuras, disposiciones formales y valores que guían y controlan las actividades institucionales, es un elemento clave que contribuye a que las organizaciones alcancen sus objetivos de manera eficaz, eficiente y económica, de acuerdo con sus características propias y el mandato al que están sujetas. *ASF

Gobernanza Pública Organismos como INTOSAI, ONU, OCDE, Banco Mundial, The IIA e IFAC, abordan este concepto, señalando que el Control Interno, la Administración de Riesgos y la Promoción de la Integridad, entre otros, son elementos indispensables de la Gobernanza.

Etapas de un Plan de Transición sugerido: 1. 2. Educar y comunicar: o Revisión del Marco Integrado de Control Interno o Capacitación del personal clave a cargo del control interno o Comprensión de los principios relevantes a la entidad. Auto Evaluación preliminar o Mapeo de los 17 principios o Identificar brechas o Estimación de esfuerzos adicionales.

3. 4. Completar la evaluación y desarrollar el plan de acción o Evaluación integral o Identificar cambios en controles y su documentación o Desarrollar plan de acción. Ejecutar el plan de acción o Remediar deficiencias de control y/o de documentación Si como resultado del plan de transición se observan brechas significativas debe establecerse un plan correctivo.

CONTROL INTERNO COSO 2013 - MICI III. Definición de Control Interno LMOR | 29

Control interno Definición COSO 2013 El control interno es un proceso efectuado por el consejo de administración de la entidad, sus gerentes y demás personal, diseñado para proporcionar una seguridad razonable de acuerdo con los siguientes objetivos: • De operación • Presentación de informes • Cumplimiento LMOR | 30

Definición de Control Interno Guía INTOSAI Proceso integral efectuado por la administración y el personal, diseñado para administrar los riesgos y proveer una seguridad razonable de que en la consecución de la misión de la entidad, se alcanzarán los objetivos: Ejecución de las operaciones de manera ordenada, ética, económica, eficiente y efectiva. § Cumplimiento de las obligaciones de responsabilidad; § Cumplimiento con leyes y regulaciones; § Salvaguarda de los recursos contra pérdida, uso indebido y daño. §

Definición de Control Interno MICI Proceso efectuado por el Órgano de Gobierno, el Titular, la Administración y los demás servidores públicos de una Institución, con objeto de proporcionar una seguridad razonable sobre la consecución de los objetivos institucionales, la salvaguarda de los recursos públicos y prevenir la corrupción. Objetivos y sus riesgos: a) Operación b) Información c) Cumplimiento

Definición de Control Interno MICI Incluye planes, métodos, programas, políticas y procedimientos utilizados para alcanzar el mandato, la misión, el plan estratégico, los objetivos y las metas. Es línea de defensa en la salvaguarda de los recursos y la prevención de actos de corrupción. Ayuda a la administración eficaz de todos los recursos, tecnológicos, materiales, humanos y financieros. Es parte intrínseca de la gestión de procesos operativo, y no como un sistema separado.

Control interno Definición (IIA) Es el proceso que tiene como fin proporcionar un grado de seguridad razonable en la consecución de los objetivos de una institución. LMOR | 10

Control interno Objetivos del control interno (IIA) a) Promover la eficiencia y eficacia en las operaciones b) Asegurar la confiabilidad en la información financiera. c) Mantener el cumplimiento con las leyes y regulaciones aplicables. LMOR | 35

Definición de Control Interno Es un Proceso efectuado para lograr un fin y no un fin en sí mismo. Lo llevan a cabo las Personas, no los manuales, sistemas y procedimientos. Están definidos los Responsables claramente.

Definición de Control Interno Participan todos a todos los niveles. Facilita la consecución de los objetivos. Aporta un grado de seguridad razonable. Debe tender al logro del: Autocontrol, Liderazgo, Integridad, Calidad, Responsabilidad y Cumplimiento.

Definición de Control Interno Proceso de gestión: Conjunto de acciones emprendidas por la dirección para gestionar una entidad. El sistema de control interno, forma parte de dicho proceso y está integrado en él. Diseño: El diseño del sistema, tiene como propósito proporcionar un grado de seguridad razonable acerca de la consecución de los objetivos. Cuando dicho propósito se logra, se puede considerar que sistema es eficaz.

Definición de Control Interno Seguridad razonable: El control interno, por muy bien diseñado y ejecutado que esté, no puede garantizar al 100% que los objetivos de una entidad se consigan, debido a las limitaciones inherentes de todo sistema de control interno. Limitaciones inherentes: Son propias a todo sistema de control interno. Estas limitaciones resultan de lo limitado del juicio humano, la escasez de recursos y la necesidad de considerar el costo-beneficio de los controles, el riesgo de crisis del sistema, la posibilidad de elusión de los controles por parte de la dirección y el riesgo de confabulación.

CONTROL INTERNO COSO 2013 - MICI IV. Modelos de Control Interno COSO 2013 – MICI Objetivos, Componentes y Principios i. iii. iv. v. Ambiente de Control Administración de riesgos Actividades de Control Información y Comunicación Supervisión LMOR | 40

Cuál fue (fueron) el (los) componente(s) del Sistema de Control Interno Institucional que fueron debilitados: 1. Cuáles son las similitudes y diferencias entre los sistemas de gestión de calidad y los sistemas de control interno. 2. Qué sucede cuando los valores de integridad son relegados por otros como la presión por lograr a cualquier costo la producción (Toyota) 3. Qué sucede cuando se debilitan las actividades de control (específicamente de supervisión en el caso de BP Petroleum) 4. Cual es la lección que deja el accidente en la Nasa. LMOR | 41

Modelo COSO 2013 Marco Integrado de Control Interno COMPONENTE 17 Principios LMOR | 42

Objetivos del control interno

Control interno Objetivos COSO 2013 Operacionales Eficacia y la eficiencia de las operaciones de la entidad, incluyendo metas de desempeño operativo y financiero, así como la protección de los activos contra pérdidas. LMOR | 44

Control interno Objetivos COSO 2013 Información Reportes internos y externos; financieros y no financieros, y pueden abarcar fiabilidad, oportunidad, transparencia u otras condiciones establecidas por los organismos reguladores, órganos normativos o las políticas internas de la entidad. LMOR | 45

Control interno Objetivos COSO 2013 Cumplimiento Adhesión a las leyes y reglamentos a los que la entidad está sujeta. Pueden abarcar más de una categoría al abordar diferentes necesidades y puede ser de responsabilidad directa de diferentes individuos. Las categorías también indican lo que se puede esperar del control interno. LMOR | 46

Objetivos de Control Interno Planeación Estratégica Misión Visión Objetivos Estratégicos Objetivos Particulares FODA PLAN DE NEGOCIO Estrategia Riesgos Control Interno … …

Objetivos de Control Interno SISTEMA NACIONAL DE PLANEACION PLAN NACIONAL DE DESARROLLO PROGRAMAS PLANES SECTORIALES Y ESTRATEGICOS ESTATALES DE DESARROLLO PROGRAMAS POLITICAS OPERATIVOS ANUALES Y PROGRAMAS INSTITUCIONALES

Objetivos de Control Interno Categorías de Objetivos § Estratégicos: alineados con la misión y visión. § Operativos: vinculados al uso efectivo de los recursos. § Información: relacionados con la confiabilidad de los reportes e informes. § Cumplimiento: de leyes y regulaciones aplicables. § Salvaguarda de activos: salvaguarda de los recursos contra pérdida, uso indebido y daño.

Objetivos de Control Interno MICI Objetivos y sus riesgos: Operación. Se refiere a la eficacia, eficiencia y economía de las operaciones. Información. Consiste en la confiabilidad de los informes internos y externos. Cumplimiento. Se relaciona con el apego a las disposiciones jurídicas y normativas.

Características del Control Interno MICI Es acorde con el tamaño, estructura y circunstancias específicas y mandato legal de la institución Contribuye de manera eficaz, eficiente y económica a alcanzar las 3 categorías de objetivos

Características del Control Interno MICI Asegura razonablemente la salvaguarda de los recursos públicos, la actuación honesta de todo el personal y la prevención de actos de corrupción El Titular es responsable de establecer los objetivos institucionales de control interno.

Características del Control Interno MICI El Titular asigna a determinadas unidades la responsabilidad de: Implementar controles adecuados y suficientes en toda la institución Supervisar y evaluar el control interno periodicamen te Mejorar de manera continua el control interno, conforme a las evaluaciones y revisiones

Definición de componentes y principios LMOR | 54

Los 17 Principios COMPONENTES Puntos de Enfoque 4 5 3 4 5 5 5 4 3 6 4 6 5 4 5 7 4 LMOR | 55

COMPONENTE AMBIENTE DE CONTROL

Qué elementos de control interno se observan? Qué tipo de ambiente de control? Qué tipo de respuesta se observa? Amenaza? Factor? Riesgo? Qué elementos de control interno se observan? Qué observan de ambiente de control, cómo es? Cómo es el estilo de liderazgo? Cómo es el trabajo en equipo? Qué hacen con la Amenaza? Factor? Riesgo? Qué elementos de control interno se observan? Qué tipo de ambiente de control? Qué tipo de respuesta se observa? Amenaza? Factor? Riesgo? LMOR | 57

Jefe vs. Líder

REFLEXIONES: • • • Cultura Valores Ética Códigos verbales culturales Códigos no verbales culturales Estilo de liderazgo

Ambiente de control COSO 2013: Principios 1. Compromiso de la Organización con la integridad y los valores éticos. 2. Independencia del Consejo de Administración en la gestión y supervisión del desarrollo y ejecución del control interno. 3. La alta dirección debe establecer, con la supervisión del Consejo de Administración: la estructura, líneas de reporting, autoridad y responsabilidad en la consecución de objetivos. LMOR | 60

Ambiente de control COSO 2013: Principios 4. La Organización debe demostrar su compromiso para atraer, desarrollar y retener personas competentes. 5. En la consecución de los objetivos, la Organización debe disponer de las personas adecuadas para atender sus responsabilidades de Control Interno. LMOR | 61

MICI: Ambiente de control Principio 1 – Mostrar Actitud de Respaldo y Compromiso Con la integridad, los valores éticos, las normas de conducta, así como la prevención de irregularidades administrativas y la corrupción. Puntos de Interés • Actitud de Respaldo del Titular y la Administración • Normas de Conducta • Apego a las Normas de Conducta • Programa de Promoción de la Integridad y Prevención de la Corrupción • Apego, Supervisión y Actualización Continua del Programa de Promoción de la Integridad y Prevención de la Corrupción LMOR | 62

Ambiente de control Programa de Promoción de la Integridad y Prevención de la Corrupción en el Sector Publico. Etapas: 1. Liderazgo y responsabilidades del programa. 2. Establecimiento de un programa de prevención de corrupción. 3. Mejora del Ambiente de Control. 4. Administración y evaluación de riesgos de corrupción. 5. Actividades de control anticorrupción. 6. Capacitación sobre anticorrupción. 7. Información y comunicación. 8. Supervisión. LMOR | 63

Ambiente de control COMITES DE AUDITORIA Y ETICA El Plan Estratégico debe contener los siguientes: Comité de Ética Código de Ética (moral) Código de Conducta (institucional) Línea de denuncia Difusión Capacitación y Cultura de Integridad LMOR | 64

MICI: Ambiente de control Principio 2 – Ejercer la Responsabilidad de Vigilancia El Órgano de Gobierno / Titular es responsable de supervisar el funcionamiento del control interno. Puntos de Interés • Estructura de Vigilancia • Vigilancia General del Control Interno • Corrección de Deficiencias LMOR | 65

MICI: Ambiente de control Principio 3 – Establecer la Estructura, Responsabilidad y Autoridad Conforme al marco legal, contar con la estructura organizacional, responsabilidades y delegación de autoridad para alcanzar los objetivos institucionales, preservar la integridad, prevenir la corrupción y rendir cuentas de los resultados alcanzados. Puntos de Interés • Estructura Organizacional • Asignación de Responsabilidad y Delegación de Autoridad • Documentación y Formalización del Control Interno LMOR | 66

MICI: Ambiente de control Principio 4 - Demostrar Compromiso con la Competencia Profesional Contratar, capacitar y retener profesionales competentes. Puntos de Interés • Expectativas de Competencia Profesional • Atracción, Desarrollo y Retención de Profesionales • Planes y Preparativos para la Sucesión y Contingencias LMOR | 67

MICI: Ambiente de control Principio 5 – Establecer la Estructura para el Reforzamiento de la Rendición de Cuentas Evaluar el desempeño del control interno y hacer responsables a todo el personal por sus obligaciones. Puntos de Interés • Establecimiento de una Estructura para Responsabilizar al Personal por sus Obligaciones de Control Interno • Consideración de las Presiones por las Responsabilidades Asignadas al Personal LMOR | 68

Ambiente de control Criterios de Evaluación Contar con un Código de Ética y un Código de Conducta Formal Medios de difusión de los códigos de ética y de conducta Método de evaluación del apego a los Códigos de Ética y de Conducta Institucional Obligatoriedad de una declaración de cumplimiento a los Códigos LMOR | 69

Ambiente de control Criterios de Evaluación Contar con un Comité de Ética formal Procedimiento de investigación de posibles actos contrarios a la ética Mecanismos para captar denuncias de posibles actos contrarios a la ética y al código de conducta Informes a instancias superiores sobre las denuncias de los actos contrarios a la ética y al código de conducta LMOR | 70

Ambiente de control Criterios de Evaluación Informe periódico al Órgano de Gobierno sobre el funcionamiento general del Sistema de Control Interno Actualización profesional para el Comité de Control y Desempeño Institucional Capacitación permanente en temas de ética e integridad; control interno y evaluación; administración de riesgos y evaluación; sobre prevención, disuasión, detección y corrección de posibles actos de corrupción

Ambiente de control Criterios de Evaluación Obligación de actualizar el modelo de control interno en sus respectivos ámbitos Lineamiento de difusión sobre la obligatoriedad de cumplir con el control interno y la administración de riesgos

COMPONENTE ADMINISTRACION DE RIESGOS

Componente: Evaluación de riesgos Definición de Administración de Riesgos. Proceso dinámico e interactivo para identificar, evaluar, priorizar, supervisar y responder a aquellos riesgos que, en caso de materializarse, podrían impactar negativamente el logro de los objetivos.

COMPONENTES Los 17 Principios de COSO 2013 87 Puntos de Interés 4 5 3 4 5 5 5 4 3 6 4 6 5 4 5 7 4 LMOR | 76

Evaluación de riesgos COSO 2013: Principios 6. Especificar los objetivos con claridad para permitir la identificación y evaluación de los riesgos relacionados. 7. Identificar y evaluar sus riesgos. 8. Gestionar el riesgo de fraude. 9. Identificar y evaluar los cambios importantes que podrían impactar en el sistema de control interno. LMOR | 77

MICI: Evaluación de riesgos 6 – Definir Objetivos y Tolerancias al Riesgo 7 – Identificar, Analizar y Responder a los Riesgos 8 – Considerar el Riesgo de Corrupción • Tipos de Corrupción • Factores de Riesgo de Corrupción • Respuesta a los Riesgos de Corrupción 9 – Identificar, Analizar y Responder al Cambios significativos que puedan impactar el control interno. • Identificación del Cambio • Análisis y Respuesta al Cambio LMOR | 78

Tolerancia al Riesgo La Administración es quien debe definir la tolerancia al riesgo para los objetivos. Tolerancia es el nivel aceptable de diferencia entre el cumplimiento cabal del objetivo y su grado real de cumplimiento. La tolerancia es usualmente medida con las mismas normas e indicadores de desempeño que los objetivos. Dependiendo de la categoría de los objetivos, las tolerancias al riesgo pueden ser expresadas como sigue: LMOR 79

Tolerancia al Riesgo • De Operación. Nivel de variación en el desempeño en relación con el riesgo. • De Información no Financieros. Nivel requerido de precisión y exactitud para las necesidades de los usuarios; implican consideraciones tanto cualitativas como cuantitativas para atender las necesidades de los usuarios de informes no financieros. • De Información Financieros. La relevancia depende de las circunstancias que los rodean; tanto cualitativas como cuantitativas y se ven afectados por las necesidades de los usuarios de los informes financieros, así como por el tamaño o la naturaleza de la información errónea. • De Cumplimiento. El concepto de tolerancia al riesgo no le es LMOR 80

Evaluación de riesgos Establecimiento de objetivos. Identificación de eventos Evaluación de riesgos Respuestas a los riesgos COSO ERM reconoce como componentes: • • COSO 2013. EVALUACIÓN DE LOS RIESGOS añade: • Velocidad de riesgo. - rapidez con la que impacta un riesgo, una vez este se ha materializado (hace referencia al ritmo con el que se espera que la entidad experimente el impacto). • Resilencia de un riesgo. - duración del impacto después de que el riesgo se haya materializado. LMOR | 81

Evaluación de riesgos Ilustración del riesgo FUENTE RIESGO MITIGANTES FACTORES INTERNOS Y EXTERNOS ERM - SCI IMPACTO LMOR | 82

Evaluación de riesgos Categorías de Objetivos § Estratégicos: los de más alto nivel, alineados con la misión y visión de la entidad § Operativos: vinculados al uso efectivo de los recursos § Información: relacionados con la confiabilidad de los reportes e informes § Cumplimiento: relativos al cumplimiento de leyes y regulaciones aplicables § Salvaguarda de activos: relacionados con la salvaguarda de los recursos contra pérdida, uso indebido y daño LMOR | 83

Clasificación de riesgos Discrecionales. Resultan de la toma de una posición de riesgo. • Crédito • Liquidez • Mercado No discrecionales. Aquellos que afectan la operación o actividad Riesgos de Auditoría • Riesgo Inherente • Riesgo de Control (control deficiente o inexistente) • Riesgo de Detección 84

Evaluación de riesgos Clasificación de riesgos • • Riesgo Estratégico Riesgo Financiero (C-M-L) Riesgo Operacional Riesgo Legal Riesgo Reputacional Riesgo de Fraude Riesgo Tecnológico LMOR | 85

Evaluación de riesgos Clasificación de riesgos. Operacional • Incumplimientos • Errores • Negligencia • Documentación inadecuada • Interrupción en el proceso de las operaciones • Acceso a los sistemas • Obsolescencia tecnológica • Personal incompetente • Fraude, • Conflicto de intereses • Registro contable incorrecto, etc. LMOR | 86

Fraude: Acto ilegal caracterizado por engaño, ocultación o violación de confianza. No requiere de la aplicación de amenaza, violencia o fuerza física. Perpetrados por individuos o por organizaciones para obtener dinero, bienes o servicios, para evitar pagos o pérdidas de servicios, o para asegurarse ventajas personales o de negocio. Presión Oportunidad Justificación Triángulo del Fraude: sistema desarrollado por el Doctor Donald Cressey, criminólogo estadounidense. 87

Evaluación de riesgos Principio 8 Evaluación del Riesgo de Fraude Considera Informes diversos tipos de fraude: financieros / no financieros fraudulentos Malversación de activos Corrupción Elusión o anulación de la administración Evalúa incentivos y presiones Evalúa las oportunidades al fraude Evalúa las actitudes y las racionalizaciones LMOR | 88

Principio 8 Riesgo de Corrupción Tipos de Corrupción: Informes financieros / no financieros fraudulentos Apropiación Conflicto de intereses Pretensión Inducir de beneficios adicionales a un tercero para la obtención de un beneficio. Coalición Trafico o utilización indebida de activos con terceros de influencias Enriquecimiento ilícito Peculado Intimidación o extorsión para actividades ilegales/ilícitas LMOR | 89

Principio 8 Riesgo de Corrupción Evaluación del Riesgo de Corrupción Factores de Riesgo de Corrupción: Fraude, abuso, desperdicio y otras irregularidades. Incentivos / Presiones Oportunidad Actitud / Racionalización LMOR | 90

Evaluación de riesgos Principio 9 Identifica y analiza cambios significativos. Evalúa cambios en el entorno externo Evalúa cambios en el modelo de negocio Evalúa cambios en el liderazgo LMOR | 91

MICI. Principio 9 Identificar, Analizar y Responder al Cambio Identificación Análisis de Cambios que impacten al C. I. y Respuestas al Cambio LMOR | 92

Evaluación de riesgos Identificación de eventos Sucesos internos y externos con repercusión en los objetivos; • Riesgos y oportunidades; • Combinación e interacción de factores internos y externos que modifiquen el perfil del riesgo • LMOR | 93

Evaluación de riesgos Identificación de riesgos Factores Internos Externos • Infraestructura • Estructura de la • Económicos administración • Personal • Procesos • Acceso a los bienes • Tecnología • Políticos / Reglamentación • Medio ambientales • Operaciones en el extranjero • Sociales • Tecnológicos 94 LMOR | 94

Evaluación de riesgos Identificación de riesgos Técnicas de Identificación Inventarios de eventos (información estadística) Análisis de información histórica (empresa/sector) • Entrevistas y sesiones grupales guiadas por facilitadores • Análisis de flujos de procesos • • LMOR | 95

Técnicas de identificación Talleres de Autoevaluaci ón de riesgos Registros de riesgos materializado s Análisis comparativo Talleres de análisis Mapeo de procesos Técnicas para identificación de riesgos Análisis de entorno interno y externo Lluvia de ideas Análisis de Cuestionario indicadores a mandos de gestión, superiores y desempeño y medios Entrevistas riesgos LMOR | 96

Evaluación de riesgos • Análisis de probabilidad e impacto • Evaluación bajo una doble perspectiva: riesgo inherente y riesgo residual. • Considera el riesgo aceptado • Horizonte en el tiempo • Velocidad. - rapidez con la que impacta un riesgo, una vez este se ha materializado (hace referencia al ritmo con el que se espera que la entidad experimente el impacto). • Resilencia. - duración del impacto después de que el riesgo se haya materializado. LMOR | 97

Evaluación de riesgos Metodología de evaluación Combinación de técnicas cualitativas y cuantitativas • Cualitativas: Dosis de subjetividad • ü Empleo del criterio y conocimientos de la entidad ü Probabilidad e impacto se expresan en expresiones adjetivas: alta, media, baja, etc. ü Mitigación de subjetividad: datos de eventos anteriores observables; equipos multidisciplinarios LMOR | 98

Evaluación de riesgos Metodología de evaluación • Cuantitativa: mayor objetividad ü Empleo de estadísticas y modelos matemáticos ü Probabilidad e impacto se expresan en términos de • • • porcentaje, frecuencia y ocurrencia, escenarios o derivados de otras métricas numéricas Evaluación: Probabilidad de Ocurrencia por el Impacto del evento Velocidad de impacto y la Resilencia o duración del efecto Priorización. Escala de mayor a menor. Riesgos clave LMOR | 99

Evaluación de riesgos Priorización-Respuesta LMOR | 100

Evaluación de riesgos Matriz de riesgos Identificación de los Objetivos Identificación de los Riesgos Identificación de los Controles Cuantificación Impacto y Probabilidad de Ocurrencia de Riesgos Evaluación de Efectividad de los controles Identificación de brecha entre riesgos y Controles (exposición) MATRIZ DE RIESGOS LMOR | 101

Evaluación de riesgos Respuesta a los riesgos • • • Base para respuestas Riesgos evaluados y priorizados Mapa Simple de Priorización y Respuesta Alinear acciones con el riesgo aceptado y las tolerancias al riesgo de la entidad Relación costo-beneficio de las acciones Concluye en un Plan de Respuesta a los riesgos LMOR | 102

Evaluación de riesgos Respuesta a los riesgos Acciones de respuestas EVITAR Supone eliminar la fuente de riesgo ACEPTAR Implica no emprender ninguna acción REDUCIR Acciones para reducir la probabilidad o el impacto COMPARTIR Trasladar o compartir con seguros, coberturas, tercerización, etc Efecto potencial y las opciones de respuesta se alinean a la TOLERANCIA COSTO-BENEFICIO de posibles respuestas Segregación de funciones para dar respuesta al riesgo LMOR | 103

Evaluación de riesgos Respuesta a los riesgos Consideraciones gerenciales ante las respuestas: Efectos de las respuestas potenciales sobre la probabilidad y el impacto del riesgo. • Opciones de respuesta que están en línea con las tolerancias al riesgo de la entidad. • Costos versus Beneficios de las opciones. • Detectar Oportunidades para alcanzar los objetivos de la entidad. • LMOR | 104

Matriz de de riesgos Matriz riesgos institucional LMOR | 105

Etapas en la administración de Riesgos 1ª. Etapa luación de riesgos (sin controles) 2ª. Etapa Evaluación de controles 5ª. Definición de estrategias y acciones para su administración 3ª. Valoración final de riesgos respecto a controles 4ª. Etapa Mapa de Riesgos Institucional LMOR |

1ª. Etapa para la Evaluación de Riesgos (sin controles) Identificaci ón, selección y descripción de riesgos. Clasificació n de los riesgos. Identificac ión de factores de riesgo. Identificaci ón de los posibles efectos de los riesgos. Valoración inicial del grado de impacto. Valoración inicial de la probabilida d de ocurrencia. Según catálogo de SFP LMOR | 107

2ª. Etapa: Evaluación de Controles Descripción de los controles existentes. Descripción de los factores que sin ser controles promueven su aplicación. Descripción del tipo de control: preventivo, correctivo y/o detectivo. Determinar la suficiencia, deficiencia o inexistencia del control. LMOR | 108

3ª. Etapa: valoración de riesgos respecto a controles Asignar valor final al impacto y probabilidad de ocurrencia del riesgo. Establecer criterios para determinar la valoración final del impacto y probabilidad de ocurrencia del riesgo , así como su ubicación en el cuadrante del MRI. LMOR | 109

Evaluación de riesgos Matriz de riesgos • Riesgos identificados • Roles y responsabilidades Contenido ü Plantilla de categorización y niveles de severidad para probabilidad e impacto (valor 1, 2, 3 y color) ü Etapas del Proceso, Tipo de riesgo, Descripción del riesgo, Efecto, Nivel de Impacto, Nivel de Probabilidad, Evaluación (calificación, valor y nivel de severidad) ü Descripción de respuesta al riesgo. ü Priorización de atención ü Monitoreo LMOR | 110

Evaluación de riesgos 4ª y 5ª Etapa • La Matriz de Riesgos (formato propuesto por la SFP, en su caso) Los • El Mapa de Riesgos productos generados • Las Estrategias y acciones para atender los riesgos serán: • El Programa de Trabajo de Administración de Riesgos (PTAR) LMOR | 111

Mapa de riesgos institucional Los riesgos de ubican por cuadrantes en la Matriz de Administración de Riesgos y se grafican en el Mapa de Riesgos. La representación gráfica del Mapa de riesgos comprende los siguientes cuadrantes Cuadrante I Riesgos de atención inmediata Cuadrante II Riesgos de atención periódica Cuadrante III Riesgos de seguimiento Cuadrante IV Riesgos Controlados. LMOR | 112

Mapa de administración de riesgos INICIO Seguimiento a la administración de riesgos. Análisis anual del comportamiento de riesgos. Identificar y seleccionar los riesgos institucionales. Evaluar riesgos con grado de impacto y probabilidad de ocurrencia. Elaborar la Matriz de Administración de Riesgos. Definir estrategia y acciones para administrar riesgos. Establecer prioridades en la atención de riesgos. Elaborar el Mapa de Riesgos. La Matriz de Administración de Riesgos Institucional deriva en el Programa Anual de Trabajo y el del Comité. Monitoreo LMOR | 113

Grado de madurez del S. C. I. LMOR | 114

Administración de riesgo Seguimiento de estrategias Programa de Trabajo de Administración de Riesgos contiene: § Riesgos; § Factores de riesgo; § Estrategias para administrar los riesgos, y § Las acciones de control registradas en la Matriz de Administración de Riesgos, las cuales deberán identificar: ü Área; ü Responsable de su implementación; ü La fechas de inicio y término; ü Medios de verificación, y ü Porcentaje de avances. LMOR | 115

Análisis de riesgos vs Factores Impunidad de los servidores públicos NO ES RIESGO, es el resultado de una inacción Corrupción en el otorgamiento de licencias NO ES RIESGO, es una causa subyacente al riesgo No cumplir con los objetivos de los programas NO ES RIESGO, es consecuencia genérica del riesgo Inadecuada aplicación de la normatividad por desconocimiento o interpretación indebida | factor de riesgo NO ES RIESGO, ASFes 116

Administración de riesgo Criterios de Evaluación Método de Difusión del Plan Estratégico, Objetivos y Metas, y áreas responsables. Riesgos identificados y documentados. ID Procesos sustantivos, soporte de objetivos y metas estratégicos; su evaluación y gestión de riesgos ID Procesos adjetivos, su evaluación y gestión de riesgos Metodología definida para la Administración de Riesgos Procedimiento para informar sobre posibles riesgos, sus fuentes internas o externas Responsabilidades documentadas de procedimientos para la mitigación y administración de riesgos 117

Administración de riesgo Criterios de Evaluación Políticas de autorización de planes y programas de administración de riesgos: responsables, actividades de prevención, RIESGO RESIDUAL, contingencias, recuperación de desastres y capacitación para la implantación de programas. INVENTARIO DE RIESGOS, responsables de su administración, su naturaleza y estado que guarda su control y administración Comunicados periódicos al Órgano de Gobierno sobre la situación de los RIESGOS RELEVANTES. Procedimientos para PROCESOS CRÍTICOS que afectan objetivos y metas relevantes, y sus programas de gestión de riesgos. Procesos susceptibles a CORRUPCIÓN, su evaluación de riesgos, con acciones de prevención y mitigación 118

COMPONENTE: ACTIVIDADES DE CONTROL LMOR | 119

Objetivos de Control Interno ES OR S CT TO FA V EN OS Y E IESG R Objetivo s Proceso Estratégico Entrada Proceso Sustantivo Salida Proceso de Soporte ACTIVIDADES DE CONTROL

Los controles son actividades incorporadas al proceso que ayudan a prevenir o detectar la ocurrencia de un evento de riesgo, omisión o desviación, a fin de cumplir los objetivos generales de la entidad y del proceso Actividad 2 Inicio Actividad 1 Modelo de Flujo de Proceso Actividad 4 S/N Actividad 3 ACTIVIDADES DE CONTROL Actividad 5 Fin

DETECTIVO: ACTIVIDAD QUE PERMITE IDENTIFICAR ERRORES CUANDO OCURRE EL RIESGO CORRECTIVO: PERMITE IDENTIFICAR ERRORES POSTERIOR A SU PRESENTACIÓN

Tipos de Controles Por el Momento en los que se desarrollan: ADECUACIONES CORRECTIVOENTRADA PROCESO SALIDA ? PUNTO DE CONTROL ADECUACIONES DETECTIVO ENTRADA PROCESO ? SALIDA PUNTO DE CONTROL ADECUACIONES PREVENTIVOENTRADA ? PUNTO DE CONTROL PROCESO SALIDA

Tipos de Controles Preventivos Son los más eficaces y rentables porque se anticipan en grado razonable a la ocurrencia de eventos indeseables o inesperados. Controles Detectivos Son menos efectivos que los preventivos, pero mejores que los correctivos. Controles Correctivos Son necesarios, pero deben privilegiarse los dos anteriores. Controles Directivos Fomentan o establecen condiciones o un ambiente que favorezca el sistema de C. I. en conjunto.

Tipos de Controles DESCRIPCION DEL CONTROL TIPO Preventivo Detectivo Correctivo

Actividades de control COSO 2013: Principios 10. Seleccionar y desarrollar actividades de control que contribuyan a la mitigación de los riesgos para el logro de sus objetivos. 11. La Organización seleccionará y desarrollará Controles Generales sobre Tecnología de la Información. 12. Implementa sus actividades de control a través de políticas y procedimientos adecuados. LMOR | 126

Actividades de control Principio 10 Selecciona y desarrolla las actividades de control. Se integra con la evaluación de riesgos. Considera los factores específicos de la entidad. Determina los procesos de negocio relevantes. Evalúa una mezcla de tipos de actividades de control. Considera en qué nivel se aplican las actividades. Las directrices de la segregación de funciones. LMOR | 127

Actividades de control Principio 11 Selección y desarrollo de controles generales sobre Tecnología en los procesos de negocios y los Controles Generales de Tecnología. Actividades de control a la infraestructura de Tecnología relevante. Actividades de control a la administración de la seguridad. Actividades de control para los procesos de adquisición, desarrollo y mantenimiento de la tecnología.

Actividades de control Principio 12 Implementación a través de políticas y procedimientos. Políticas y procedimientos para apoyar el desarrollo de la administración. Establece responsabilidad y rendición de cuentas para la ejecución de las mismas. Oportunidad. Acciones correctivas. Competencia. Reevaluación periódica. LMOR | 129

Actividades de control Técnicas • • • Segregación de funciones Coordinación entre tareas Documentación Niveles de autorización Registro oportuno y adecuado de transacciones y hechos Acceso restringido a los recursos Activos y registros Rotación de personal en tareas clave Control del sistema de información Controles en TI. LMOR | 130

Controles para tecnología de la información Se dividen en: • controles generales • controles de aplicación relacionados entre sí y ambos ayudan a asegurar el procesamiento de información completa y precisa. LMOR | 131

Controles Generales T. I SISTEMAS INFORMÁTICOS. Las principales categorías son: • Planeación y administración del programa de seguridad de la entidad; • Controles de acceso; • Controles sobre el desarrollo, mantenimiento y cambio del software de aplicación; • Controles de software de sistema; • Segregación de funciones; y • Continuidad del servicio LMOR | 132

Controles Generales T. I. Planeación y administración seguridad de la entidad del programa de El programa de planeación y administración de seguridad provee un marco y ciclo continuo de actividad para el riesgo gerencial. Incluye: § El desarrollo de políticas de seguridad, § La asignación de responsabilidades, y § El seguimiento de la correcta operación de los controles relacionados con las computadoras. LMOR | 133

Controles Generales T. I. Controles de acceso § Limitan o detectan el acceso a los recursos informáticos (información, programas, equipos y facilidades), § Protegen contra modificaciones no autorizadas, pérdida y exposición no deseada. Controles sobre el desarrollo, mantenimiento y cambio del software de aplicación § Previenen la utilización de programas no autorizados y/o modificaciones a los programas existentes. LMOR | 134

Controles Generales T. I. Controles de software del sistema § Limitan y realizan el seguimiento del acceso a programas potentes y archivos sensibles que controlan el hardware de las computadoras y § Aseguran las aplicaciones apoyadas por el sistema. Segregación de Funciones § Previene que un individuo controle los aspectos clave de las operaciones de las computadoras § Evita acciones o accesos no autorizados a los bienes o a los archivos. LMOR | 135

Controles Generales T. I Continuidad del servicio Sirve para asegurar que ante la eventualidad de un siniestro, las operaciones críticas continúen sin interrupción. • Asegura la rápida recuperación de la información. • Garantiza que la operación se reanude prontamente • La información crítica o sensible sea protegida y recuperada. LMOR | 136

Controles Generales T. I • Afectan a sistemas aplicativos individuales, tales como cuentas por pagar, inventarios, nóminas, etc. • Se diseñan para cubrir el procesamiento de información dentro de aplicaciones específicas de software. • Son diseñados para prevenir, detectar y corregir errores en los flujos de información a través de los sistemas informáticos. • Se categorizan en las tres fases fundamentales del ciclo del proceso: Entrada, Proceso y Salida LMOR | 137

Controles Generales T. I Entradas La información es autorizada, convertida a una forma automática e introducida a la aplicación de manera exacta, completa y puntual. Procesamiento La información es correctamente procesada por la computadora y los archivos son actualizados de manera apropiada. Salidas Los archivos y reportes generados por la aplicación reflejan transacciones y eventos que han ocurrido y reflejan los resultados del procesamiento. Los reportes son controlados y distribuidos a usuarios autorizados. LMOR | 138

CRITERIOS DE EVALUACIÓN Actividades de control Programa formal de trabajo de control interno para los procesos sustantivos y adjetivos mencionados en los criterios mencionados en el componente de administración de riesgos 5 sistemas de información automatizados relevantes, a los que se les haya aplicado evaluación de control interno y/o riesgos Documento o procedimiento formal en el que se establezca la obligatoriedad de evaluar y actualizar periódicamente las políticas y procedimientos de los controles internos, relacionados con los procesos sustantivos y adjetivos para logro de metas y objetivos institucionales Evaluación de control interno a los procedimientos autorizados por el cual se integra la información para la actualización trimestral de normas de desempeño de los indicadores estratégicos, a fin de asegurar su integridad y confiabilidad LMOR | 139

COMPONENTE: INFORMACION Y COMUNICACION LMOR | 140

Información y comunicación COSO 2013: Principios 13. Generar la información relevante para respaldar el funcionamiento de los otros componentes de Control Interno. 14. Compartirá internamente la información, incluyendo objetivos y responsabilidades para el control interno, necesaria para respaldar el funcionamiento de los otros componentes de Control Interno. 15. Comunicar externamente las materias que afecten el funcionamiento de los otros componentes de Control Interno. LMOR | 141

Características Los objetivos de la información financiera externa pueden estar relacionados con: Los objetivos de la información no financiera externa pueden estar relacionados con: q Usadas para cumplir los requerimientos externos • Estados Financieros Anuales. • Informes de Control Interno q Preparados de acuerdo a las normas • Estados Intermedios. • Informes de sustentabilidad Financieros • Reportes trimestrales • Procedimiento de suministro/custodia de los activos. Reportes financieros internos: Los objetivos de la información no financiera interna pueden estar relacionados con: Información financiera por área o división Compromisos financieros convenios bancarios de • Medidas de satisfacción del cliente q Pueden ser requeridos y regulados por contratos y acuerdos Presupuestos / cash flow / Presupuesto por programas • Personal/ Utilización del Activo Internos / Externos Financieros/ No Financieros q Usados por el gerente para negocios y desiciones de mercado q Establecido por la gerencia y la dirección • Medidas de Seguridad y Salud LMOR | 142

Información y comunicación Definición Información Establece la forma en que la organización identifica, captura e intercambia información de una forma y en un período de tiempo que le permita a las personas llevar a cabo sus responsabilidades. LMOR | 143

Información y comunicación Definición Comunicación La comunicación efectiva debe fluir a través de toda organización, de todos los componentes, la estructura completa y partes externas. LMOR | 144

Información y comunicación Elementos • • Información y responsabilidad; Contenido y flujo de la información; Calidad de la información; Flexibilidad al cambio; Compromiso de la autoridad superior; Comunicación de valores organizacionales Canales de comunicación. LMOR | 145

CRITERIOS DE EVALUACIÓN Información y comunicación Plan de Sistemas de Información implantado, alineado y que dé soporte al cumplimiento de objetivos y estratégicos Planes de recuperación de desastres de datos, hardware y software asociados directamente al logro de objetivos y metas, documentados. Documentadas las Políticas, lineamientos y criterios para la elaboración de informes relevantes respecto al logro del plan estratégico y sus objetivos y metas, que promuevan la integridad, confiabilidad, oportunidad y protección de la información LMOR | 146

COMPONENTE: SUPERVISIÓN

Monitoreo COSO 2013: Principios 16. La Organización llevará a cabo evaluaciones continuas e individuales, con el fin de comprobar si los componentes de el control interno están presentes y están funcionando. 17. Evalúa y comunica las deficiencias de control interno. LMOR | 148

Monitoreo Identifica el proceso utilizado por la organización para determinar o medir la calidad del desempeño de la estructura de control interno a través del tiempo. Se logra a través de: • Monitoreo continuo • Evaluaciones periódicas • Ambas LMOR | 149

CRITERIOS DE EVALUACIÓN Monitoreo Autoevaluaciones del control interno por parte de los responsables de su funcionamiento en los dos últimos ejercicios, de los procesos sustantivos y adjetivos con riesgos detectados y evaluados Procedimiento de los lineamientos y mecanismos para los responsables de los procesos y controles internos, para comunicar al Coordinador del Control Interno, sobre los resultados de las evaluaciones y deficiencias detectadas, para su seguimiento Procesos sustantivos y adjetivos con riesgos detectados y evaluados, a los que se llevaron a cabo auditorías internas o externas en los dos últimos ejercicios LMOR | 150

CONTROL INTERNO COSO 2013 - MICI V. Criterios de Eficacia y Herramientas de Evaluación LMOR | 151

HERRAMIENTAS DE EVALUACION

Herramientas de evaluación Para evaluar o autoevaluar el control interno existen diversas herramientas técnicas tales como: • • Entrevistas, Dinámicas grupales, Mapa de procesos, Diagramas de flujo, Cuestionarios, Análisis documental, Encuestas, entre otras. Se utilizan dependiendo del tipo y alcance de la evaluación LMOR | 153

Evaluación del control interno en la Administración Pública Municipal Etapas: I. Planeación 1. Capacitación 2. Objetivo y Alcance 3. Universo 4. Normativa aplicable 5. Programa de actividades LMOR | 154

Evaluación del control interno en la Administración Pública Municipal Etapas: II. Ejecución 1. Cuestionarios 2. Análisis documental y valoración de las respuestas III. Integración y presentación de resultados 1. Resultados total y por componente 2. Estrategias sugeridas para su fortalecimiento 3. Presentación de resultados por componente y total del municipio, institución o delegación LMOR | 155

Evaluación del control interno en la Administración Pública Municipal Modelo de Evaluación (ASF): 1. Cuestionario para valoración 2. Parámetros de Valoración Cuantitativos 3. Criterios para la valoración 4. Rangos de Valoración http: //www. asf. gob. mx/Publication/182_Metodologias_para_la_Evaluacion LMOR | 156

CONTROL INTERNO COSO 2013 - MICI VI. Beneficios y limitaciones del control interno LMOR | 157

BENEFICIOS Y LIMITACIONES

Responsables del Control CONSEJO DIRECTIVO O DIRECCION EJECUTIVA CP Luz María Ortiz Rodríguez

Importancia del Control RESPONSABILIDADES CLARAS IDENTIFICA CAUSAS DE DESVIACONES FACILITA LA ADMINISTRACIÓN INFORMES ECONÓMICOS Y OPERATIVOS APLICACIÓN GLOBAL PREVIENE IRREGULARIDADES Y FRAUDES MEDIDAS CORRECTIVAS DE DESVIACIONES

Importancia del Control El Control Interno, da transparencia y mejora la eficiencia de la gestión al tomar acción sobre debilidades y riesgos identificados a lo largo de la organización y sus procesos.

Importancia del Control Interno En resumen contribuye para: Alcanzar metas y objetivos. Fortalecer la fiabilidad de la información financiera. Ayuda al cumplimiento de leyes y ordenamientos. Ayuda a prevenir la pérdida de recursos. Ayuda en la prevención de irregularidades y fraudes. Es un frente en el combate a la corrupción. Aporta una estructura para la rendición de cuentas. Fomenta la transparencia.

Limitaciones del control interno Limitaciones § Por sí mismo no puede asegurar el logro de los objetivos; § No puede convertir un gerente malo en un buen gerente; § No puede garantizar el éxito ni la sobrevivencia de la entidad; § No puede impedir la toma de decisiones erróneas; § No puede evitar una elusión de los controles por la propia dirección; § Puede ser neutralizado por la confabulación; y § Su costo no debe exceder los beneficios potenciales. LMOR | 163

CONTROL INTERNO COSO 2013 - MICI VII. Roles y responsabilidades LMOR | 164

QUE SE ESPERA? Responsables del Control RESULTADOS – OBJETIVOS – SEGURIDAD – CALIDAD – COSTO - CUMPLIMIENTO – INFORMACIÓN TRANSPARENCIA – RENDICION DE CUENTAS IMPACTO ESTRATEGIA OBJETIVOS RECURSOS PROCESOS ESTRUCTURA PLANEACIÓN ESTRATEGICO PROGRAMACIÓN PRESUPUESTO Y SUPERVISIÓN DIRECTIVO OPERATIVO PROCESOS, ACCIONES Y TAREAS

Responsables del Control Todos los integrantes de una organización tienen una participación y responsabilidad en el control interno. La eficacia del sistema de C. I. depende de la actitud de respaldo de la alta dirección y demás personal. La alta dirección establece el “tono” de la organización y su compromiso con el buen funcionamiento de un sistema adecuado de C. I. , fomenta que el resto del personal sea responsable en sus respectivos ámbitos.

Responsables del Control GOBIERNO CORPORATIVO COMITE PLANEACIÓN COMITE ESTRATEGICO COMITE PROGRAMACIÓN PRESUPUESTO Y SUPERVISIÓN GOBIERNO CORPORATIVO PROCESOS, ACCIONES Y TAREAS DIRECTIVO OPERATIVO

Responsables del Control La ALTA DIRECCIÓN tiene la responsabilidad más importante en el sistema. Debe asegurarse de su adecuado funcionamiento y actualización y de impulsar la capacitación sobre el C. I. y su evaluación. Le corresponde: • La misión y plan estratégico • Tono ético y de integridad • Vigilancia y supervisión de la alta dirección • Políticas generales y estructura de la organización • Rendición de cuentas a los accionistas • Filosofía de administración, decisiones y riesgos.

Responsables del Control Dirección Ejecutiva / Administración Son responsables directos del diseño, implementación y adecuada supervisión del funcionamiento, mantenimiento y documentación del sistema de C. I. Sus responsabilidades varían dependiendo de sus funciones y de las características de la organización. a) Debe mostrar integridad, ética, honestidad, legalidad, compromiso con el desempeño, transparencia y rendición de cuentas, respeto al personal, entre las más importantes.

Responsables del Control b) Liderazgo basado en el ejemplo y buena dirección. c) Asegurar la competencia de los integrantes con capacidades alineadas a los objetivos. d) Dar oportunidad a la innovación y mejora. e) Debe supervisar cómo se ejerce la autoridad y el control interno en las operaciones, asignando claras responsabilidades y líneas de comunicación. Auditores Internos Contribuyen a mantener o mejorar la calidad del C. I. al evaluar su efectividad en el proceso de Monitoreo.

Responsables del Control Evalúan y contribuyen con sus recomendaciones a la eficacia continua del sistema. Desempeñan un papel importante en el control interno eficaz con sus recomendaciones pero no tienen directa responsabilidad sobre el diseño, implementación, mantenimiento y documentación del control interno. Personal El control interno es parte implícita y explícita de las funciones de cada uno.

Responsables del Control Todos los miembros del personal juegan un rol al efectuar el control y son responsables de reportar problemas de operación y de no cumplimiento al código de ética y de conducta o de violaciones a la política. Auditores Externos Agentes externos como los auditores externos, asesoran y proporcionan recomendaciones sobre el control interno.

Responsables del Control Otros Agentes externos que interactúan con la organización (clientes, proveedores, expertos, etc), proporcionan información sobre el funcionamiento del C. I. , la calidad y el logro de sus objetivos o desviaciones. Legisladores que emiten regulaciones para la mejora del control interno.

Responsables del Control Participantes: • Consejo de Administración • Comité de Ética • Comité de Auditoría • Comité de Riesgos y Control • Comité de Nominaciones de Gobierno • Asesoramiento jurídico

Responsables del Control Sector Público El MICI, define que el titular debe establecer objetivos institucionales de control interno y asignar de manera clara la responsabilidad de: Implementar controles adecuados y suficientes Supervisar y evaluar periódicamente el control interno Mejorar de manera continua el control interno, con base en los resultados de las evaluaciones periódicas realizadas por los revisores internos y externos, entre otros

Responsables del Control Asegurar que el control interno: Contribuye de manera eficaz, eficiente y económica a alcanzar las tres categorías de objetivos b. Asegura de manera razonable, la salvaguarda de los recursos, la actuación honesta de todo el personal y la prevención de actos de corrupción. Asignar de manera clara a determinadas unidades o áreas, la responsabilidad de su control interno. A través de las conductas pertinentes. a.

Responsables del Control Participantes: • Titular • Nivel directivo y operativo • Órgano Interno de Control • Coordinador de control Interno • Enlace de control interno • Enlace de administración de riesgos • Enlace del COCODI

Implantación del modelo de control interno

Requisitos del Control Interno Efectivo Responsabilidad del Titular de la Organización • Claridad en la metodología a instrumentar • Se constituya como herramienta de gestión y proceso sistemático. Ø Deben estar presentes los cinco componentes funcionando de manera integrada. Ø Criterio profesional para evaluar los componentes en relación al cumplimiento de los objetivos. Ø Solidez de la alta dirección al demostrar integridad y ética. Ø Análisis periódico y objetivo de problemática y tendencias. LMOR | 179

Requisitos del Control Interno Efectivo Criterio profesional tomando en cuenta: § Leyes, regulaciones y normas aplicables a la organización § Naturaleza del negocio, tamaño de la organización y los mercados en los que opera § Alcance y naturaleza del modelo operativo y los procesos de la organización § Capacidad del personal responsable del control interno § Uso de la tecnología en la organización § Apetito al riesgo de la dirección § Análisis del costo beneficio de los controles § Documentación del sistema de control interno § La implantación de los Criterios de Evaluación de cada componente

MARCO INTEGRADO DE CONTROL INTERNO LMOR | 181

Análisis del modelo MECI Estructura del modelo ESTRATÉGICO (Titular y 2º. Nivel) I DIRECTIVO (3º. y 4º. Nivel) II III Objetivos Niveles de control IV OPERATIVO 5º. Nivel hasta Jefe Departamento I. A de C 50 Elementos Componente s/Normas II. A de R III. Act. de C. IV. I y C V. S y Mc LMOR | 182

Gracias por su atención CP Luz María Ortiz Rodríguez luzmaortiz@hotmail. com