Embed Size (px)
Citation preview
Administración Integral de Riesgos de Negocio
Septiembre 2008
Actualmente…
• Es muy difícil predecir el futuro.
• El Consejo de Administración debe atender el tema de los riesgos.
• Para prosperar se tendrán que conocer y administrar los riesgos.
• La capacidad de dominar el riesgo se ha transformado en una ventaja estratégica básica.
• Ignorar los riesgos puede significar el fracaso individual o el de la organización.
Premisas de administración de riesgos
• El riesgo es un hecho de la vida; la vida está constantemente cambiando.
• La economía está creando grandes oportunidades y retos.
• El riesgo es la razón de ser de la empresa.
• Las organizaciones necesitan un nuevo proceso de negocio estratégico.
• Ese proceso es la Administración Integral de Riesgos de Negocio (AIRN).
Definición de riesgo
“El impacto y la probabilidad de que una
amenaza pueda afectar adversamente la
capacidad de una organización para lograr
sus estrategias y objetivos de negocio”
El Riesgo de Negocio provee el contexto para el enfoque de AIRN
– Riesgo de Negocio - “La posibilidad de que un evento o acción, interna o externa, afecte adversamente la capacidad de una organización para ejecutar exitosamente sus estrategias y alcanzar sus objetivos”.
– La AIRN es el proceso de identificación y gestión global de los riesgos clave del negocio con el objeto de mitigar la exposición total de la entidad.
Un enfoque para toda la entidad ayuda a ver el riesgo y la oportunidad desde un punto de vista integral
• La Administración Integral de Riesgos de Negocio:
– Optimiza oportunidades, riesgos, crecimiento y capital
– Sistemáticamente evalúa y gestiona riesgos
– Consolida riesgos y oportunidades para mejorar resultados
– Es parte integral del proceso de toma de decisiones de la gerencia
– Enriquece el Gobierno Corporativo a través de una estructura de supervisión
Definición de administración integral de riesgos
“La AIR es un enfoque estructurado y disciplinado que coordina estrategias, procesos, recursos humanos, tecnológicos y conocimientos con el fin de evaluar y administrar los riesgos enfrentados” Estrategia
Tecnología Conocimiento
ProcesosGente
Proceso de administración integral de riesgos
“La AIR está basada en un proceso, lo que implica un enfoque sistemático para desarrollar las capacidades de Administración de Riesgos”
Diseñar / Implementar Capacidades de AR
Monitorear Desempeño de AR
Mejora Continua de las Capacidades de AR
Evaluar los Riesgosdel Negocio
• Identificar• Determinar la fuente• Medir
Establecer el proceso de AIR• Metas y Objetivos• Lenguaje común
• Estructura de supervisión
Informaciónpara la Toma
de Decisiones
Desarrollar Estrategias de AREvitar
Transferir
Retener
Aprovechar Reducir
Estrategias básicas de administración de riesgos
Si No
RechazarAceptar
Transferir AprovecharReducirRetener Evitar
El riesgo es inherente en el modelo de negocio o normal para las operaciones futuras.
•Fuera de estrategia•Ofrece recompensas
no atractivas
Dejar el riesgo – fijar nuevo precio, asegurar o planear dependiendo de los niveles de tolerancia
Incluye cualquier acción necesaria para eliminar completamente todos los elementos de la exposición a un riesgo específico
Puede incrementar la exposición y posiblemente conduzca al supuesto de riesgo adicional, mientras que al mismo tiempo se incrementa la ventaja competitiva
Requiere una contraparte independiente financieramente capaz que esté de acuerdo en aceptar el riesgo
Controlar o dispersar el riesgo
Modelo de riesgos de negocio
Riesgos del entorno
Riesgos de procesos
Riesgos de informaciónPara la toma dedecisiones
Fuentes de Incertidumbre
Incertidumbres que afectan la viabilidad de nuestro modelo de negocios
Incertidumbres que afectan la ejecución de nuestro modelo de negocios
Incertidumbres acerca de la pertinencia y confiabilidad de la información sobre la cual se basan nuestras decisiones
Modelo para identificar la fuente de riesgos críticos
Competencia, Regulatorio, Industria, Otro
Riesgos del entorno
Riesgo Operacional
Riesgos de informacion para la toma de decisiones
Riesgo de Facultades
Riesgo FinancieroProcesamiento de Información /Riesgo Tecnológico
Riesgo de Integridad
Operacional Financiera Estratégica
Riesgos de procesos
SIGNIFICANCIAPO
SIB
ILID
AD
DE
OC
UR
RE
NC
IA
SIGNIFICANCIAPO
SIB
ILID
AD
DE
OC
UR
RE
NC
IA
Evaluar el costo
beneficio
Mínima prioridad
Acción urgente
Evaluarel costo
beneficio
A través de la clasificación de riesgos según la posibilidad de ocurrencia y la significancia del impacto, identificamos los temas más urgentes para usar mejor los recursos escasos.Acciones urgentes son requeridas para aquellos riesgos que tiene tanto una alta posibilidad de ocurrencia y alta significancia, dado que ellos son los que más afectarían al fracaso de la empresa.Los riesgos que son tanto de baja significancia como de baja posibilidad de ocurrencia no requieren ninguna acción, pues representan las ganancias y pérdidas habituales en el normal desenvolvimiento de la operaciones del negocio.Los temas que son o de alta significancia o de alta posibilidad de ocurrencia (pero no ambos), representan pérdidas inesperadas que deben ser absorbidas por las reservas de capital.
Traduciendo el Mapa de Riesgo en acciones concretas….
Los mapas de riesgo nos ayudan a colocar todos los riesgos identificados en perspectiva. Es una herramienta indispensable en la etapa de priorización.
Mapa de riesgo
Infraestructura de administración integral de riesgos
La infraestructura debe ser coherente y alineada en sus componentes:
Procesos nose alinean aestrategias
Personasno realizanprocesos
Reportes no proveen información relevante
Metodologíasno tieneninformaciónadecuada
Información no esta disponible para análisis
Sistemas eInformaciónEstructura
Estrategiasy
PolíticasProcesos Reportes de
Gestión
Modelos y Metodologías
Beneficios aportados por la AIR
Las empresas implementan el enfoque de AIR para mejorar el desempeño e incrementar el valor de mercado:
• Mejora en entendimiento de riesgos que afectan utilidades y capital
• Cuantificación de efectos de estrategias alternativas
• Prever y comunicar incertidumbres asociadas a metas de desempeño
• Administración de riesgos a costos más bajos que la competencia
Conocimiento Mejoradodel Riesgo
• Establecimiento de límites de riesgo
• Mejora en la asignación de recursos y capital
• Integración de AR con planeación estratégica
• Enfoque de portafolios a la AR
Toma de DecisionesCoordinada
• Adecuada evaluación de riesgos inherentes en transacciones
• Mayor certidumbre por procesos sistemáticos de evaluación de riesgos
• Mejora en la transparencia de riesgos e involucramiento de los accionistas
• Asumir riesgos que intimidan a la competencia
Incremento enConfianza
Poner en marcha la AIR
Dirigir desde la alta gerencia
• Involucrar a ejecutivos clave– Crear una visión de AIR
– Establecer objetivos realistas
– Integrar en los procesos de planeación estratégica y de negocios
– Desarrollar un plan de acción
• Identificar prioridades para actuar– Identificar los riesgos y priorizarlos
– Pensar en lo impensable, prevenir sorpresas es el corazón de la AR
– Dominar los riesgos inherentes en el modelo de negocio
– Aplicar un perspectiva de riesgo a los principales eventos de cambio
En resumen…
• Los exitosos comprenden los riesgos y crean valor ante la incertidumbre.
• La AIR es un cambio de actitud que requiere de un enfoque a la medida y un proceso de cambio efectivo guiado desde el más alto nivel de la organización.
• La AIR es un proceso continuo y no una serie de ejercicios únicos.
• Hoy se pueden controlar los riesgos, mañana será diferente y hay que anticiparnos.
• La AIR afecta la forma en que pensamos e implica sobrellevar un cambio cultural y no puede ocurrir de un día para otro.
Mejores prácticas en Control Interno.La Ley Sarbanes Oxley.
Septiembre 2008
¿Qué es el Control Interno?
• El Control Interno significa diferentes cosas para diferentes personas.
• Personal Facultado en el tema define el Control Interno* como: el proceso diseñado para proveer una seguridad razonable en relación con el logro de los objetivos de la organización.
• Los tres objetivos principales que tiene el Control Interno son:– Promover eficiencia en las operaciones
– Asegurar confiabilidad en la información financiera
– Mantener el cumplimiento con las leyes y regulaciones aplicables.
• “El control interno ayuda a la entidad a llegar a donde quiere llegar, evitando los peligros y sorpresas que puedan suceder a lo largo del camino”
* Marco Integrado - Control Interno, Committee of Sponsoring Organizations (COSO) of the Treadway Commission
Operacional• Promover eficiencia y
eficacia en las operaciones a través de los procesos estandarizados.
• Asegurar la salvaguarda de los activos a través de las actividades de control
Financiero
• Promover la integridad de los datos en la toma de decisiones del negocio.
• Asistir en la prevención y detección de fraudes a través de la creación de un rastro de evidencia auditable.
De Cumplimiento
• Ayudar a mantener el cumplimiento con las leyes y regulaciones a través de un monitoreo periódico
¿Por qué el Control Interno es importante?
A mediados de los 70sInvestigación del “Escándalo Watergate”
1977Ley de prácticas de corrupción extranjeras (Foreign Corrupt Practices Act- FCPA)
Inicios -1980sIncrementó el enfoque en Control Interno y cumplimiento
1985Comisión Nacional de Informes Financieros Fraudulentos- (Treadway Commission)
1992Publicación del Marco Integrado de Control Interno-COSO
1990s – 2000Continúa el enfoque en Controles Internos, Riesgos Administrativos y responsabilidades(Blue Ribbon Commission, Competency Framework for Internal Audit)
19801970 1990 2000
2002Ley Sarbanes-Oxley
Eventos Seleccionados en la Evolución del Control Interno
Como todo inicio...
• A mediados de los 70s, la SEC y el fiscalista especial del Escándalo Watergate, se enfocaron en el control interno.– Ciertas corporaciones realizaron pagos ilícitos, incluyendo sobornos a funcionarios del
gobierno.
• La Ley de Prácticas de Corrupción Extranjeras (Foreign Corrupt Practices Act -FCPA) de 1977 fue resultado de las investigaciones del Escándalo Watergate y de la participación de la SEC.– Una de las consideraciones de la Ley respecto al Control Interno es que éste debe ser un
elemento adicional para prevenir la realización de pagos ilegales.
• Al inicio de los 80s, se dió un creciente enfoque dirigido al ambiente de control y a los procesos de control interno.
• La Comisión Nacional de Informes Financieros Fraudulentos, conocida como Treadway Commission, fue creada en 1985 y pretende:– Identificar los factores que causan informes financieros fraudulentos– Hacer recomendaciones para reducir incidencias.
La Evolución Continúa...
• La Treadway Commission emitió un reporte sobre Informes Financieros Fraudulentos en el cual:– Se enfatizó en el ambiente de control, en los códigos de conducta, y en el
involucramiento de Comités de Auditoría
– Se realizó un llamado a diferentes organizaciones para integrar varios comités y desarrollar un punto de referencia común. El resultado fue el Committee of Sponsoring Organizations (COSO)– El modelo COSO incorporó el aprendizaje de otros modelos existentes (ej. CoCo,
Cadbury, Turnbull, etc.)
• COSO desarrolló y publicó, un criterio ampliamente aceptado para establecer evaluaciones efectivas sobre el control interno – Definió un criterio común de control y un modelo de ambiente de control –
“Control Interno – Marco Integrado”.– Establece el medio para monitorear, evaluar e informar respecto al control interno.
– Resume los roles y responsabilidades de la gerencia.
• Blue Ribbon Commission – Enfocado a fortalecer la independencia de los Comites de Auditoría,
definiendo la confiabilidad y aprobando la efectividad.
– Informe emitido en 1999, destacando 10 recomendaciones y requerimientos para los Comites de Auditoría.
– Reglas aplicadas por la SEC, NASDAQ, NYSE, AICPA.
• Marco de competencia para Auditoría Interna (CFIA)– Emitido por el Instituto de Auditores Internos
– Define la aportación de “valor agregado” de los departamentos de auditoría interna del futuro.
– Auditoría Interna deberá proveer aseguramiento acerca de la exposición de la compañía al riesgo y sobre estrategias de control
La Evolución Continúa...
• Ley Sarbanes-Oxley– Ley firmada en Julio 2002
– Requiere responsabilidad ejecutiva para la infraestructura de control interno.
– Certificación trimestral de estados financieros y testimonio anual de la efectividad de la infraestructura de controles internos.
CONCLUSIÓN: Las organizaciones están siendo continuamente conducidas hacia la
aplicación de estándares mas elevados de control interno y administración de riesgos
La Evolución Continúa...
Obligaciones y oportunidades derivadas de los objetivos de la Ley Sarbanes Oxley
• Restaurar la confianza del público en el mercado público de valores
• Mejorar el gobierno corporativo y promover prácticas éticas de negocios
• Mejorar la transparencia e integridad de los estados financieros y sus revelaciones
• Asegurar que los ejecutivos de la compañía estén conscientes de la información financiera al emanar de un ambiente bien controlado
• Hacer responsable a la administración de la compañía de información material que es presentada ante la SEC y liberada a los inversionistas
• Alcanzar nuevos niveles de excelencia corporativa
• Requiere que el CEO y el CFO certifiquen los reportes entregados periódicamente a la SEC.
• Errores en los reportes podrían ocasionar penas legales a los directivos — exactitud
• Ambigüedad entre ‘oportuna’ y ‘material’----oportunidad
• Requiere documentación, evaluación y remediación de controles internos duros transparencia y exactitud
Requerimiento Implicación en la información
302
Seccio
nes d
e la L
ey S
arb
an
es-O
xle
y
409
404
• 103 Retención y salvaguarda de documentos de auditoría
• 201 Monitoreo y pre-aprobación de servicios diferentes a la auditoría
• 301 Monitoreo de quejas por parte del Comité de Auditoría
• 306 Monitoreo y prevención de operaciones con información privilegiada
• 401 Revelación de información financiera
• 402 Monitoreo y prevención de préstamos a ejecutivos
• 403 >10% Revelación de tenencia accionaria en dos días hábiles
Sarbanes–Oxley y sus regulaciones buscan asegurar un mínimo de calidad, exactitud, transparencia y oportunidad en la preparación de información financiera.
802 • Digitalización y fácil acceso a registros históricos, incluyendo correspondencia y correos electrónicos — exactitud
• 406 Creación y revelación del Código de Ética
• 407 Revelación de expertos financieros en el Comité de Auditoría
• 408 Simplificación de revisiones de la SEC
• 501 Monitoreo y revelación de analista de valores
• 806 Comunicación y recepción de denuncias
• 906 Certificación de la información financiera
• 1102 Retención y salvaguarda de información
Otros requerimientos
• Requerimiento de revelar cualquier cambio material de manera oportuna
• Requerimiento de entregar un reporte sobre el Control Interno
• Retención y protección de documentos y registros de auditoría
Principales requerimientos
Resumen de los Requerimientos
Requiere que anualmente la Administración:
• Declare su responsabilidad por establecer y mantener una estructura de control interno adecuada y procedimientos para reporte financiero
• Conducir una evaluación de la eficacia de los controles internos y procedimientos para reporte financiero de la Compañía
Requiere al auditor independiente que:
• Atestigüe la evaluación de la Administración. El objetivo del auditor en una Auditoría al control interno sobre la información financiera, es expresar una opinión sobre las aseveraciones hechas por la Dirección respecto al control interno sobre la información financiera.
Para formarse dicha opinión, el auditor debe planear y ejecutar su Auditoría para obtener una seguridad razonable respecto a si la compañía mantuvo, en todos sus aspectos importantes, control interno efectivo sobre la información financiera a la fecha indicada en el reporte hecho por la gerencia.
Secció
n 4
04
Comprendiendo los Requerimientos, Sección 404
Ausencia de la información mencionada puede resultar en que la administración no tenga la documentación necesaria para soportar su afirmación.
La información necesaria para soportar la afirmación incluye:
• Información acerca del ambiente de control de la compañía
• Documentación del proceso para identificar, clasificar y evaluar el riesgo
• Documentación de los objetivos de control para cubrir riesgos identificados y actividades de control relacionadas
• Documentación de sistemas de información y procedimientos de comunicación
• Documentación del proceso de creación, de revelación y actividades de control relacionadas
• Resultados de la última evaluación de controles de la administración
• Lista de las deficiencias encontradas y procedimientos propuestos para remediarlas
• Documentación del proceso de comunicación de deficiencias
• Documentación de los procedimientos de monitoreo
Comprendiendo los Requerimientos, Sección 404
En los Estados Unidos, el Committee of Sponsoring Organizations ("COSO") de la Comisión Treadway publicó el Marco Integrado de Control Interno. El cual es conocido como el reporte COSO, y proporciona una marco adecuado para los propósitos de la evaluación por parte de la gerencia.
Comprendiendo los Requerimientos, Sección 404COSO
Estados Financieros consolidados
Divisiones
Entidades
Entidades
Entidades
Ciclos de negocio
Partiendo de los estados financieros consolidados se determina el monto sobre el cual se definirá si determinada entidad / ciclo / proceso, en cada una de las divisiones que forman el grupo, será sujeto a diagramación e identificación de objetivos y actividades de control.
Validación conjunta con el auditor externo
Sistemas de información
Cuentas materiales en BG y ER
Comprendiendo los Requerimientos, Sección 404“Divisiones / Empresas / Ciclos de negocios / Procesos”
Procesos
Procesos
Procesos
Cuentas individuales en BG y ER por entidad
Divisiones
Entidades
Entidades
Entidades
Ciclos de negocio
Sistemas de información
Macroproceso
A partir de la selección de las entidades con operaciones
materiales y riesgos identificados, se lleva a cabo el
“mapeo” del Macroproceso relativo al ciclo seleccionado.
Una vez mapeado el macroproceso, utilizando ciertos factores clave de
decisión, se seleccionan los procesos sobre los cuales se
identifican Riesgos, Objetivos y Actividades de control.
Dichos procesos se relacionan con cuentas contables
específicas.
Sobre una plataforma tecnológica uniforme que
permita automatizar gran parte de los controles.
Comprendiendo los Requerimientos, Sección 404“Divisiones / Empresas / Ciclos de negocios / Procesos”
Recibe pedido Entrega materialRecibe vale de
entrada original enobras metropolitanas
Recibe copia yoriginal de vale deentrada en caso de
obras foráneas
Entregadocumentos a
revisión
Autoriza contrarecibossegún calendario de pagosy/ o cadenas productivas yentrega documentación a
cuentas por pagar
Recibedocumentación
Codifica y elaboracuenta por pagar
Recibe material yelabora vale de
entrada
Recibe documentosy genera
contrarecibos
Pro
ve
ed
or
Alm
ac
én
Cu
en
ta
s p
or
pa
ga
r
Co
mp
ra
s
43
4
Fin
1
Elaboró: Revisó: Autorizó:
CICLO: EgresosPROCESO: Compras operativas
Código: P- 01Versión #1
Octubre 200X
Procesos
Procesos
Procesos
Procesos
Cuentas individuales en
BG y ER por entidad
Divisiones
Entidades Entidades Entidades
Ciclos de negocio
Sistemas de información
Macroproceso
Comprendiendo los Requerimientos, Sección 404“Divisiones / Empresas / Ciclos de negocios / Procesos”
CICLOS DE CONSTRUCCION OPERACIÓN DE DESARROLLONEGOCIOS PESADA VIVIENDA INFRAESTRUCTURA INMOBILIARIO SERVICIOS CORPORATIVAS
INGRESOS-ESTIMACIONES COSTO DEL TRABAJO Y RECONOCIMIENTO DE INGRESOS
INVENTARIOS N/ A N/ A N/ A
DESEMBOLSOS
NOMINAS - PERSONAL
CONTABILIDAD E INFORMES FINANCIEROS
ACTIVO FIJO N/ A N/ A N/ A N/ A
TESORERIA
CUENTAS POR COBRAR Y PARTES RELACIONADAS N/ A
PI ADI SA, PARQUES Y CENTRO SUR N/ A N/ A
PRESTAMOS COMERCIAL Y VALUACION
Tecnológia de la información
REVI SAR EN CADA DI VI SI ON
CUBRE A TODAS LAS DI VI SI ONES
Empresas X Empresas X Empresas X Empresas X Empresas X Empresas X
N/A
Comprendiendo los Requerimientos, Sección 404“Divisiones / Empresas / Ciclos de negocios / Procesos”
Matriz SO X
Subproceso:
Manual TI
Ad
ecu
ad
o
Ina
dec
ua
do
I E O V M D P
Total
Coordinador: Responsable / Proceso Responsable / Ciclo
(*) Tipo de control: (identificar e l tipo y si es preventivo o detectivo)
Revisión : Preventivo ó Detectivo
Autorización: Preventivo
Verificación: Preventivo ó Detectivo
Conciliación: Detectivo
Segregación de funciones: Preventivo
(**) Aseveración:
I: Integridad
E: Existencia
O: Ocurrencia
V: Valuación
M: Medición
D: Derechos y obligaciones
P: Presentación y revelación
O tros
Nombre y número de
cuenta relacionada
Subsidiaria: Banco
Nombre y puesto
O bjetivo de Control
Frecuencia del control (D, S, M, T, SEM, A)
Tipo de Control
(*) No.
Descripción del Riesgo
Riesgo
Ciclo:
Código:
Proceso:
Cuentas Contables y Aseveraciones (**)
Control efectuado:
Evaluación al Diseño del
control
Control
Aseveraciones
Nombre del área dueña del control
Actividad de control
Nombre y nivel
Total
Unidad de negocio: Revisor: Asesor:
La actividad de control ¿es de
Salvaguarda de Activos?
Comprendiendo los Requerimientos, Sección 404Matriz de controles
• Las compañías deben estar preparadas para soportar sus afirmaciones y proporcionar soporte a los auditores independientes
• Se debe desarrollar un programa de control interno– El nivel de esfuerzo es significativo
– Diseminar un marco de referencia de control interno
– Documentar controles
– Evaluar la eficacia de controles
– Debido a que la evaluación formal y el reporte de los auditores externos es a la fecha de cierre de la compañía, se requiere tiempo para remediar las deficiencias de control potenciales
– Algunas deficiencias de control pueden requerir de un lapso significativo de tiempo de los directores para corregirlas
– Los auditores independientes necesitan suficiente tiempo para planear y ejecutar su trabajo
– Los auditores independientes serán requeridos a hacer más pruebas de controles
Comprendiendo los Requerimientos, Sección 404Sentido de Urgencia
Sección 404. Después de la autoevaluación...
Estándar No. 2
• En junio de 2003, la “SEC” (Securities and Exchange Commission) reformó sus reglas respecto al “Securities Exchange Act of 1934”. La reforma a la regla requiere que las compañías incluyan en su informe anual un reporte hecho por la dirección respecto a la efectividad del control interno sobre la información financiera, así como un reporte hecho por los auditores externos.
• En marzo de 2004, el Public Company Accounting Oversight Board (PCAOB) aprobó y emitió el “Standard No. 2” An Audit of Internal Control over Financial Reporting Performed in Conjunction with an Audit of Financial Statements.
• El objetivo del auditor en una auditoría al control interno sobre la información financiera, es expresar una opinión sobre las aseveraciones hechas por la Dirección respecto al control interno sobre la información financiera. Para formarse dicha opinión, el auditor debe planear y ejecutar su auditoría para obtener una seguridad razonable respecto a si la compañía mantuvo, en todos sus aspectos importantes, control interno efectivo sobre la información financiera a la fecha indicada en el reporte hecho por la gerencia.
• El auditor, como todos los años, debe auditar la situación financiera de la empresa a una fecha determinada, ya que la información que el auditor obtenga durante su auditoría es relevante en la conclusión respecto a la efectividad del control interno sobre la información financiera.
• Mantener un control interno efectivo significa que no existen “debilidades materiales”. Por lo tanto, el objetivo de una auditoría de control interno es obtener seguridad razonable de que no existan “debilidades materiales” a la fecha especificada en la aseveración de la Dirección.
Sección 404. Después de la autoevaluación...
• Una de las tareas más complicadas en el análisis del control interno se refiere a la clasificación de deficiencias y/o debilidades. Determinar la definición y/o naturaleza correctamente es vital, por lo que esto debe expandirse a todos los niveles de la empresa.
• El PCAOB ofrece las siguientes definiciones:– Una deficiencia de control existe cuando el diseño o la operación del
control no permite a la administración o a los empleados, prevenir o detectar errores en el curso normal de operaciones, de manera oportuna.
– Una deficiencia en diseño existe cuando:– Un control necesario para cumplir el objetivo de control esta ausente o
– Un control existente no está adecuadamente diseñado, y por la tanto aunque opere según fue diseñado, el objetivo de control no siempre se cumple. Una deficiencia en operación existe cuando un control adecuadamente diseñado no opera según fue diseñado, o cuando la persona responsable del control no cuenta con las atribuciones o la capacidad necesarias para llevar a cabo el control eficientemente.
Sección 404. Después de la autoevaluación...Deficiencias y debilidades
• Una deficiencia significativa es una deficiencia de control, o una combinación de éstas, que afectan de manera adversa la habilidad de la compañía para iniciar, autorizar, registrar, procesar, o reportar información financiera a terceros de manera confiable y de acuerdo con principios de contabilidad generalmente aceptados, de tal forma que haya una posibilidad más que remota de que un error en la información financiera intermedia o anual de la compañía, que se considere material pueda o no ser prevenido o detectado.
• Una debilidad material es una deficiencia de control, o una combinación de estas, que resulta en una posibilidad más que remota de que un error en la información financiera intermedia o anual de la compañía, que se considere material pueda o no ser prevenido o detectado.
Sección 404. Después de la autoevaluación...Deficiencias y debilidades
