Cuestionario Evaluación COSO (2)
Short Description
Descripción: coso...
Description
CUESTIONARIO DE EVALUACION DEL CONTROL INTERNO BAJO ENFOQUE “COSO” Basados en nuestras observaciones documentadas en el formulario, el control interno del cliente a nivel de empresa es:
Eficaz Ineficaz
Describa a continuación las bases para su conclusión. Para acceder a las respuestas detalladas dentro del formulario.
A) AMBIENTE DE CONTROL Concepto Si No N/A Ref.: Comentarios Observaciones 1) integridad y valores éticos, y comportamiento de los ejecutivos clave Tiene la empresa un código de conducta o comportamiento que es Los empleados siempre deben guiarse por Tendrían que hacer saber que es CUESTIONARIO DE EVALUACION DEL CONTROL BAJObásicos: ENFOQUE “COSO” comunicado a todos los empleados? X los INTERNO siguientes principios responsabilidad de cada empleado – Evitar cualquier conducta que pueda dañar garantizar el pleno cumplimiento de o poner en peligro a Sofía o a su reputación; todas las disposiciones de este Código y – Actuar legal y honestamente; de ser necesario buscar ayuda de parte – Priorizar los intereses de la Compañía de su superior inmediato o responsable sobre los intereses personales o de otra del área de Recursos Humanos, Legal índole. “Hacer lo correcto” y garantizar los más altos estándares de integridad es la responsabilidad personal de cada empleado y la misma no puede delegarse. La cultura corporativa de la empresa enfatiza la importancia de la Realmente estamos de acuerdo a que toda Todo incumplimiento de este Código integridad y comportamiento ético? Por ejemplo, se sanciona X falta que vaya en contra de los códigos de podrá dar lugar a la aplicación de inmediatamente a quienes no cumplen? ética dentro de la empresa sean medidas disciplinarias, incluida la sancionados de forma inmediata, esto para posibilidad del despido y, en caso de que la gente que trabaja ahí vea que la corresponder, a la iniciación de acciones empresa está muy bien reglamentada. legales o la aplicación de sanciones penales. La gerencia lidera con el ejemplo? Dentro de Sofía, la gerencia desempeña un Si la gerencia lidera de manera ejemplar X alto liderazgo de la integridad y el se verá reflejada en el rendimiento del comportamiento ético de manera ejemplar. personal a cargo. La alta gerencia se exige a sí misma el cumplir con las normas más La alta gerencia si cumple con las normas NINGUNA estrictas? X estrictas y también vela el cumplimiento en todas las áreas. La gerencia toma medidas y acciones apropiadas en respuesta a las El cumplimiento de todas las leyes y En este caso se ve que existe un desviaciones de políticas y procedimientos aprobados o del código de X regulaciones aplicables nunca debe excelente control del código de conducta? comprometerse. Además, los empleados conducta para la toma de medidas y deberán adherirse a las normas y acciones apropiadas. regulaciones internas según las mismas resulten aplicables en una situación determinada. Dichas normas internas son específicas de la empresa.
2) Conciencia de control de la gerencia y estilo operativo. La gerencia da atención apropiada al control interno, incluyendo los controles de tecnología de información? Existen uno o unos pocos individuos que dominan a la gerencia sin una supervisión o vigilancia eficaz por parte de la junta directiva o el comité de auditoría? Cuál es la tendencia de la gerencia respecto a la selección de principios contables y la determinación de estimaciones contables — agresiva o conservadora? La gerencia consulta con auditoría interna sobre asuntos significativos relativos al control interno y asuntos contables, o existen frecuentes
Se ve una apropiada atención respecto al control interno y la tecnología de información. Dentro de la empresa si existen supervisiones y controles eficaces para las gerencias.
X
X
Si se pretende dominar a la alta gerencia es necesario tener una supervisión y vigilancia eficaz para medir un buen desempeño gerencial.
X
X
La gerencia consulta con auditoria interna sobre asuntos de control interno que sean
Se observa que existen consultas en determinados tiempos dentro del
CUESTIONARIO DE EVALUACION DEL CONTROL INTERNO BAJO ENFOQUE “COSO” Después de haber identificado los controles a nivel de empresa importantes para la auditoría, evaluamos el diseño de los controles y determinamos si éstos han sido implantados. Evaluar el diseño de los controles a nivel de empresa involucra considerar si los controles respaldan eficazmente los controles a nivel de transacción. La implantación de un control significa que el control existe y que ha sido puesto en operación. Controles a Nivel de Empresa Importantes para la Auditoría Existen descripciones de funciones por escrito, manuales de
Implantados?
Procedimientos Ejecutados
Si
No
Estructura organica y asiganacion de responsabilidades
Si
No
Si
No
Si
No
Si
No
Las comunicaciones de la empresa dan vigor a un mensaje
Si
No
consistente respecto a las políticas y cultura La gerencia corrige oportunamente las deficiencias de control interno identificadas.
Si
No
Existen políticas apropiadas para asuntos tales como aceptación de
Si
No
Reuniones periodicamente con paticipación de gerencia
referencia y otras comunicaciones para informar al personal sobre sus deberes.
El comité de auditoría proporciona vigilancia eficaz del reporte externo de información financiera y el control interno sobre el reporte de información financiera de la empresa La gerencia mantiene, monitorea y responde apropiadamente a una hotline de fraude. La gerencia ha establecido una política de “informantes” y monitorea y responde apropiadamente a las quejas. La gerencia ha instalado otros procesos para manejar las quejas sobre problemas de contabilidad, auditoría, IT, o control interno.
nuevos negocios, conflictos de intereses, y prácticas de seguridad, las cuales son comunicadas adecuadamente a toda la organización. El desempeño de funciones es evaluado y revisado periódicamente con cada empleado. .
Si
No
Autoevaluaciones por cada trabajador verificada por el supervisor de area.
CUESTIONARIO DE EVALUACION DEL CONTROL INTERNO BAJO ENFOQUE “COSO”
A)
EVALUACION DE RIESGOS
Concepto Se ha establecido un proceso de evaluación de riesgo, que incluye estimación de la importancia de los riesgos, evaluación de la posibilidad de que éstos ocurran, y determinación de las acciones necesarias? El proceso de evaluación de riesgo de la empresa incluye específicamente la identificación y evaluación de riesgos de fraude? El proceso de evaluación de riesgo de la empresa incluye específicamente la identificación y evaluación de riesgos relacionados con IT (e.g., se ha ejecutado una evaluación de impacto de negocios que considere el efecto de las fallas en el sistema sobre el proceso de reporte de información financiera)? Existen mecanismos establecidos para prever, identificar y reaccionar ante eventos cotidianos o actividades que afectan el logro de los objetivos a nivel de empresa o de proceso/aplicación? Cuenta el departamento de IT con un proceso para notificar a los usuarios finales (end-users) (e.g., contabilidad) cuando se hacen cambios significativos que pueden afectar el método o el proceso de registro de transacciones? Cuenta el departamento de contabilidad con procesos establecidos para identificar cambios significativos en la estructura de reporte de información financiera promulgados por cuerpos autorizados pertinentes? Notifican los canales de comunicación establecidos a los departamentos de contabilidad e IT de los cambios en las prácticas de negocios de la empresa que puedan afectar el método o el proceso de registro de las transacciones? Cuenta el departamento de contabilidad con procesos establecidos para identificar cambios significativos en el entorno operativo, incluyendo los cambios reglamentarios? Se han establecido y comunicado objetivos a nivel de empresa, incluyendo la forma en que están respaldados por planes estratégicos y complementados sobre un nivel de proceso/aplicación? La gerencia de IT comunica periódicamente sus actividades, retos y
Si
No
N/A
Ref.:
Comentarios
Observaciones
X
X
X
X
X
X
X Es recomendable contar con procesos claros para poder identificar cambios repentinos dentro de la contabilidad en cuanto a reglamentos y el entorno operativo.
X
X
se ve que se cuenta con excelentes procesos de identificación de cambios.
CUESTIONARIO DE EVALUACION DEL CONTROL INTERNO BAJO ENFOQUE “COSO” A)
EVALUACION DE RIESGOS Concepto
Si
riesgos al CEO y al CFO.
No X
N/A
Ref.:
Comentarios
Observaciones
Identificar y Evaluar el Diseño de los Procesos o Controles a Nivel de Empresa Importantes para la Auditoría y Determinar Si Han Sido Implantados La empresa cuenta con un mecanismo adecuado para identificar riesgos de negocios, incluyendo aquéllos que resultan de ingreso a nuevos mercados, oferta de nuevos productos o servicios, cumplimiento con protección de privacidad e información, y otros cambios en el entorno de negocios, económico y reglamentario La gerencia evalúa los riesgos de reporte de información financiera dentro de la organización. La auditoría interna (u otro grupo dentro de la empresa) ejecuta periódicamente (por lo menos anualmente) una evaluación de riesgo, incluyendo IT. La junta directiva y/o el comité de auditoría supervisa y monitorea el proceso de evaluación de riesgo y las acciones de la gerencia para tratar los riesgos significativos identificados. El departamento de contabilidad tiene establecido un proceso para identificar y tratar los cambios en la estructura de reporte de información financiera, el entorno operativo, o el entorno reglamentario aplicables, así como para aprobar las modificaciones hechas en contabilidad para tratar tales cambios. Los objetivos de negocios son establecidos, comunicados y monitoreados en toda la empresa.
X
X X
X
X
X
El plan estratégico es revisado y aprobado por la junta directiva. X
El comité de auditoría supervisa y monitorea los procesos de evaluación de riesgos para ver si son significativos y ver de darle soluciones inmediatas. Cuando la entidad cambie su estrategia, misión, política, objetivos, programa de trabajo, etc., se debe contemplar el impacto en el sistema de información y actuar en consecuencia. Los objetivos deberán ser oportunamente establecidos y comunicados dentro de la empresa para un planeamiento y ejecución de objetivos específicos. La empresa deberá realizar un proceso de planeación estratégica, a intervalos de tiempo regulares, con el propósito de lograr el cumplimiento de los objetivos de la organización a través de las oportunidades que brinda la tecnología a su alcance.
Vemos que el comité de auditoría supervisa de forma oportuna y puntual todos los riesgos significativos. Dentro de la empresa la modificación de hechas en contabilidad deben ser aprobadas mediante un proceso para identificar y tratar los cambios lo cual se ejecuta de manera simple. Notamos que existe una excelente comunicación de los objeticos del negocio y no así un monitorio de frecuente sobre los objetivos establecidos. La junta deberá conocer estudios de mercado y factibilidad de alternativas tecnológicas que respondan a las necesidades de la entidad. Planes operacionales estableciendo metas claras y concretas.
CUESTIONARIO DE EVALUACION DEL CONTROL INTERNO BAJO ENFOQUE “COSO” A)
EVALUACION DE RIESGOS
Concepto Los presupuestos o pronósticos son actualizados durante el año para reflejar las condiciones que cambian.
Si
No
N/A
Ref.:
X
Comentarios Los presupuestos como en toda empresa o entidad se debe ir actualizando constantemente durante el año y así no exista cambios significativos.
Observaciones Si existe actualizaciones de pronósticos y presupuestos durante el año con frecuencia.
Después de haber identificado los procesos o controles a nivel de empresa importantes para la auditoría, evaluamos su diseño y determinamos si han sido implantados. Evaluar el diseño de los procesos o controles a nivel de empresa involucra considerar si éstos respaldan eficazmente los controles a nivel de transacción. La implantación de un proceso o control significa que éste existe y ha sido puesto en operación.
Controles a Nivel de Empresa Importantes para la Auditoría La junta directiva y/o el comité de auditoría supervisan y monitorea el
Implantados?
Procedimientos Ejecutados
Si
No
Si
No
Si
No
Si
No
proceso de evaluación de riesgo y las acciones de la gerencia para tratar los riesgos significativos identificados. El departamento de contabilidad tiene establecido un proceso para identificar y tratar los cambios en la estructura de reporte de información financiera, el entorno operativo, o el entorno reglamentario aplicables, así como para aprobar las modificaciones hechas en contabilidad para tratar tales cambios. Los objetivos de negocios son establecidos, comunicados y monitoreados en toda la empresa. El plan estratégico es revisado y aprobado por la junta directiva.
CUESTIONARIO DE EVALUACION DEL CONTROL INTERNO BAJO ENFOQUE “COSO”
B)
ACTIVIDADES DE CONTROL, INFORMACION Y COMUNICACION
Concepto ACTIVIDADES DE CONTROL Tiene la empresa controles físicos adecuados (e.g., instalaciones protegidas, salvaguardias sobre el acceso a activos y datos, autorización para el acceso a programas computarizados y archivos de datos, y conteos periódicos y comparación de activos físicos con los importes que muestran los registros de control)? Cuenta la empresa con procesos para revisar el desempeño real contra los presupuestos, pronósticos y desempeño del período anterior, y reportar adecuadamente las excepciones y variaciones del desempeño planeado y las respuestas apropiadas a tales excepciones y variaciones? Cuenta la empresa con sistemas de planeación y de reporte (tales como planeación de negocios; planeación de presupuestos, pronósticos, y utilidades; y contabilidad de responsabilidad) que establezcan adecuadamente los planes de la gerencia y los resultados del desempeño real Tiene la empresa una segregación adecuada de funciones (e.g., segregación apropiada de custodia de activos, autorización y aprobación de transacciones y asientos de diario, registro y reporte de transacciones y asientos de diario, acceso a los archivos maestros)? Está la empresa en capacidad de preparar reportes de información financiera exactos y oportunos, incluyendo reportes interinos? Están los usuarios generalmente satisfechos con el procesamiento de los sistemas de información, incluyendo la confiabilidad y disponibilidad de los reportes? Existe un nivel apropiado de coordinación entre la contabilidad y las funciones de IT? Cuentan los departamentos de contabilidad y de IT con el personal adecuado, con experiencia y/o capacitación (i.e., existe evidencia de que se han determinado los niveles apropiados de asignación de personal con base en las responsabilidades de trabajo y que la gerencia busca mantener esos niveles) ? Existen políticas y procedimientos adecuados para desarrollar y modificar los sistemas y controles contables, incluyendo los cambios y uso de los programas computarizados y/o los archivos de datos?
Si
X
No
N/A
Ref.:
Comentarios
Observaciones
CUESTIONARIO DE EVALUACION DEL CONTROL INTERNO BAJO ENFOQUE “COSO” B)
ACTIVIDADES DE CONTROL, INFORMACION Y COMUNICACION
Concepto Es razonable el nivel de rotación del personal contable y de IT? Identificar y Evaluar el Diseño de Controles a Nivel de Empresa Importantes para la Auditoría y Determinar Si los Controles Han Sido Implantados. Existen políticas y procedimientos adecuados establecidos y son revisados periódicamente para determinar que continúan siendo apropiados.
Si
No
N/A
Ref.:
Comentarios -
La empresa cuenta con políticas y procedimientos adecuados para prácticas contables y de cierre que son aplicadas consistentemente durante todo el año y al fin del año. Existen en toda la empresa políticas y procedimientos que tratan: (1) la segregación apropiada de funciones, (2) salvaguardia de activos, (3) autorización adecuada de transacciones, y (4) procedimientos para monitorear la responsabilidad por activos. La gerencia mantiene, comunica y monitorea objetivos claros en términos de presupuestos, utilidades, y otras metas operativas financieras. La gerencia revisa regularmente (e.g. mensualmente, trimestralmente) los indicadores clave de desempeño (e.g., presupuesto, utilidades, metas financieras, metas operativas) e identifica las variaciones significativas. Las variaciones son investigadas y se toma la acción correctiva apropiada. Los estados financieros son presentados a la gerencia operativa acompañados por comentarios analíticos. Se requieren aprobaciones adecuadas de la gerencia antes de permitir el acceso de alguien a aplicaciones y bases de datos específicas.
-
La seguridad física sobre los activos de IT es razonable dada la naturaleza del negocio de la compañía. La información crítica computarizada es replicada (backed up) diariamente y almacenada fuera del lugar (off-site) INFORMACIÓN Y COMUNICACIÓN La empresa mantiene descripciones de trabajo por escrito y manuales de referencia que describen las funciones del personal. La junta directiva o el comité de auditoría participa en el monitoreo de proyectos de sistemas de información y prioridades de recursos.
-
-
-
-
-
Observaciones
CUESTIONARIO DE EVALUACION DEL CONTROL INTERNO BAJO ENFOQUE “COSO” B)
ACTIVIDADES DE CONTROL, INFORMACION Y COMUNICACION
Concepto Existen responsabilidades definidas para las personas responsables de implantar, documentar, probar y aprobar cambios a programas computarizados que son comprados o desarrollados por personal o usuarios de los sistemas de información. Existen canales apropiados para comunicar información, monitorear el cumplimiento con las políticas y procedimientos, y comunicar nuevos requerimientos. Existen canales apropiados para comunicar información a localidades descentralizadas.
Si
No
N/A
Ref.:
Comentarios
Observaciones
Controles a Nivel de Empresa Importantes para Implantados? Procedimientos Ejecutados la Auditoría Si No Si No Si No Si No Si No Si No Si No Si No Después de haber identificado los procesos o controles a nivel de empresa importantes para la auditoría, evaluamos su diseño y determinamos si han sido implantados. Evaluar el diseño de los procesos o controles a nivel de empresa involucra considerar si éstos respaldan eficazmente los controles a nivel de transacción. La implantación de un proceso o control significa que éste existe y ha sido puesto en operación.
CUESTIONARIO DE EVALUACION DEL CONTROL INTERNO BAJO ENFOQUE “COSO”
C)
MONITOREO
Concepto Si Responde la gerencia oportuna y apropiadamente a las recomendaciones sobre control interno hechas por los auditores internos y nosotros? Se ejecutan oportunamente los procedimientos de monitoreo? Existe un nivel bajo de quejas de los clientes, y responde la gerencia oportuna y apropiadamente a la causa de tales quejas? Para empresas más pequeñas, se involucra el propietario/gerente activamente en el negocio? Examina cuidadosa y adecuadamente la casa matriz las actividades de las diferentes unidades operativas (e.g., subsidiarias, divisiones, plantas)? Si es aplicable, es eficaz la vigilancia ejercida por los cuerpos legislativos o reglamentarios? Factores adicionales para empresas con departamentos de auditoría interna Cuenta la auditoría interna con personal adecuado y entrenado, con las habilidades especializadas apropiadas, incluyendo IT, según la naturaleza, tamaño y complejidad de la compañía y su entorno operativo? El departamento de auditoría interna es independiente (relaciones de autoridad y de reportes), y tiene acceso adecuado al comité de auditoría (o su equivalente)? Es apropiado el alcance de las actividades de auditoría interna según la naturaleza, tamaño y complejidad de la empresa y su entorno operativo? Dedica la auditoría interna suficiente tiempo y atención a evaluar el diseño y operación del control interno? Tiene autoridad la auditoría interna para examinar todos los aspectos de las operaciones de la empresa, incluyendo aquellas supervisadas o controladas por la alta gerencia? Se adhiere la auditoría interna a las normas profesionales? Identificar y Evaluar el Diseño de los Procesos o Controles a Nivel de Empresa Importantes para la Auditoría y Determinar Si Han Sido Implantados.
No
N/A
Ref.:
Comentarios
Observaciones
CUESTIONARIO DE EVALUACION DEL CONTROL INTERNO BAJO ENFOQUE “COSO” C)
MONITOREO
Concepto • Existen políticas y procedimientos establecidos para asegurar que se toma oportunamente acción correctiva cuando ocurren excepciones de control. • La gerencia toma acciones adecuadas y oportunas para corregir deficiencias reportadas por la función de auditoría interna o los auditores independientes. • El comité de auditoría proporciona vigilancia eficaz del reporte externo de información financiera y el control interno sobre el reporte de información financiera. • La función de auditoría interna es independiente de las actividades que ellos auditan y les está prohibido tener responsabilidades operativas. • Los auditores internos tienen acceso directo a la junta directiva o al comité de auditoría. • La función de auditoría interna se adhiere a las normas profesionales (e.g., Normas Internacionales para la Práctica Profesional de Auditoría Interna). • El alcance de las actividades de auditoría interna es apropiado según la naturaleza, tamaño y estructura de la empresa. • El departamento de auditoría interna desarrolla un plan anual que considera el riesgo al determinar la asignación de recursos. • El alcance de las actividades planeadas de auditoría interna es revisado anticipadamente con la alta gerencia, la junta directiva o el comité de auditoría, y los auditores independientes. • Los resultados de las actividades de auditoría interna son reportados a la alta gerencia, la junta directiva o el comité de auditoría, y los auditores independientes.
Si
No
N/A
Ref.:
Comentarios
Observaciones
Después de haber identificado los procesos o controles a nivel de empresa importantes para la auditoría, evaluamos su diseño y determinamos si han sido implantados. Evaluar el diseño de los procesos o controles a nivel de empresa involucra considerar si éstos
CUESTIONARIO DE EVALUACION DEL CONTROL INTERNO BAJO ENFOQUE “COSO” respaldan eficazmente los controles a nivel de transacción. La implantación de un proceso o control significa que éste existe y ha sido puesto en operación. Controles a Nivel de Empresa Importantes para la Auditoría
Implantados? Si Si Si Si Si Si Si Si
No No No No No No No No
Procedimientos Ejecutados
View more...
Comments
