COSO Y COSO ERM

1. 1. GRUPO EXPOSITOR DE AUDITORIA # 1 EXPOSITORAS: Lic. Jaqueline Alonso

Selva . Lic. Yelba Cuarezma Rodríguez. 12/12/2014
2. 2. COSO I Y COSO II.
3. 3. Contenidos: ¿Qué es el COSO?1 Informe COSO2 Objetivos Informe COSO3
Componentes del Control Interno.4
4. 4. Contenidos. Definición de Riesgo5 Estructura COSO I6 Explicación Estructura
COSO I7 8 Estructura COSO II
5. 5. Contenidos. 9 Relación COSO I y COSO II10 COSO en la Organización11 12
COSO y Auditoria Interna. Explicación Estructura COSO II
6. 6. ¿Qué es C.O.S.O? Committee of Sponsoring Organizatión of the Treadway
Commission C O S O
7. 7. ¿Qué es COSO?  Organización voluntaria del sector privado, establecida en los
EEUU formada el año 1985 , dedicada a proporcionar orientación a la gestión ejecutiva
y las entidades de gobierno sobre los aspectos fundamentales de organización de
este, la ética empresarial, control interno, gestión del riesgo empresarial, el fraude, y la
presentación de informes financieros. COSO ha establecido un modelo común de
control interno contra el cual las empresas y organizaciones pueden evaluar sus
sistemas de control.  En esta presentación se expondrá exclusivamente lo relativo al
Control Interno.
8. 8. Informe COSO.  Hace más de una década el Committee of Sponsoring
Organizations of the Treadway Commission, conocido como COSO, publicó el Internal
Control - Integrated Framework (COSO I) para facilitar a las empresas a evaluar y
mejorar sus sistemas de control interno. Desde entonces ésta metodología se
incorporó en las políticas, reglas y regulaciones y ha sido utilizada por muchas
compañías para mejorar sus actividades de control hacia el logro de sus objetivos.
9. 9. ACERCA DE COSO Integrada por las siguientes instituciones dedicadas a guiar a
las administración ejecutiva y a los participantes del Gobierno de la empresa para
lograr el establecimiento de operaciones de negocios más efectivas, eficientes y éticas
. Promueve y difunde estructuras ( frameworks ) y guías basados en profundas
investigaciones, análisis y mejores prácticas:  American Accounting Association (
AAA)  American Institute of CPAs ( AICPA )  Financial Executives International
(FEI)  The Association of Accountants and Financial Professional in Business ( IMA )
 The Institute of Internal Auditors ( IIA )
10. 10. Informe COSO.  Hacia fines de Septiembre de 2004, como respuesta a una serie
de escándalos, e irregularidades que provocaron pérdidas importante a inversionistas,
empleados y otros grupos de interés, nuevamente el Committee of Sponsoring
Organizations of the Treadway Commission, publicó el Enterprise Risk Management -
Integrated Framework (COSO II) y sus Aplicaciones técnicas asociadas, el cual amplía
el concepto de control interno, proporcionando un foco más robusto y extenso sobre la
identificación, evaluación y gestión integral de riesgo.
11. 11. Informe COSO.  Este nuevo enfoque no sustituye el marco de control interno,
sino que lo incorpora como parte de él, permitiendo a las compañías mejorar sus
prácticas de control interno o decidir encaminarse hacia un proceso más completo de
gestión de riesgo.
12. 12. Informe COSO.  A nivel organizacional, este documento destaca la necesidad de
que la alta dirección y el resto de la organización comprendan cabalmente la
trascendencia del control interno, la incidencia del mismo sobre los resultados de la
gestión, el papel estratégico a conceder a la auditoría y esencialmente la
consideración del control como un proceso integrado a los procesos operativos de la
empresa y no como un conjunto pesado, compuesto por mecanismos burocráticos. 
 A nivel regulatorio o normativo, el Informe COSO ha pretendido que cuando se plantee
cualquier discusión o problema de control interno, tanto a nivel práctico de las
empresas, como a nivel de auditoría interna o externa, o en los ámbitos académicos o
legislativos, los interlocutores tengan una referencia conceptual común, lo cual hasta
ahora resultaba complejo, dada la multiplicidad de definiciones y conceptos
divergentes que han existido sobre control interno.
13. 13. Informe COSO. COSO I (MICI) COSO II (ERM) Internal Control - Integrated
Framework Enterprise Risk Management - Integrated Framework
14. 14. Informe COSO. Establecer una definición común de control interno que responda a
las necesidades de las distintas partes. Objetivos Facilitar un modelo en base al cual
las empresas y otras entidades, cualquiera sea su tamaño y naturaleza, puedan
evaluar sus sistemas de control interno
15. 15. Control Interno.  Proceso realizado por el consejo de directores, administradores
y otro personal de una entidad, diseñado para proporcionar seguridad razonable
mirando el cumplimiento de los objetivos en las siguientes categorías:  Efectividad y
eficiencia de las operaciones.  Confiabilidad de la información financiera. 
Cumplimiento de las leyes y regulaciones aplicables.
16. 16. Control Interno.  El Control Interno puede juzgarse efectivo en cada una de las
categorías anteriores respectivamente, si quienes lo llevan a cabo tienen seguridad
razonable sobre que:  Comprenden la extensión en la cual se están obteniendo los
objetivos de las operaciones de la entidad.  Los EEFF publicados se están
preparando confiablemente.  Se está cumpliendo con las leyes y regulaciones
aplicables.
17. 17. Control Interno. Efectuado por personas de la organización: No solamente son
políticas, manuales y formatos realizados, son personas que interactúan y se
comunican a lo largo de toda la estructura organizacional de una empresa o entidad.
18. 18. ESTRUCTURA DE COSO I COSO I AMBIENTE DE CONTROL EVALUACION DE
RIESGO ACTIVIDAD DE CONTROL INFORMACION y COMUNICACION
MONITOREO
19. 19. ESTRUCTURA DEL COSO I COSO ofrece un marco de trabajo integrado que
define el control interno en cinco elementos interrelacionados:  Ambiente de Control.
 Evaluación del Riesgo.  Actividades de Control.  Información & Comunicación. 
Monitoreo.
20. 20. 1. AMBIENTE DE CONTROL Establece el tono de una organización , influyendo
en la conciencia que los empleados tienen sobre el control. Es el fundamento de todos
los demás componentes del control interno, proporcionando disciplina y estructura. Se
considera lo siguiente:  Integridad y valores Éticos.  Compromisos para la
competencia.  Consejos de directores o comité de Auditoria.  Filosofía de la
Administración y Estilo de operación.  Estructura Organizativa.  Asignación de
Autoridad y Responsabilidad.  Políticas de Recursos Humanos.
21. 21. 2. EVALUACION DEL RIESGO  Identificación y análisis de los riesgos relevantes
para la consecución de los objetivos, constituyendo una base para determinar cómo se
deben administrar los riesgos.
22. 22. Diversos tipos de Riesgos se pueden resumir en los siguientes:  Contabilidad
errónea e inapropiada.  Costos excesivos/ingresos deficientes.  Sanciones legales.
 Fraude o robo.  Decisiones Erróneas de la Gerencia.  Interrupción del negocio. 
Deficiencia en el logro de objetivos.  Desventaja ante la competencia- desprestigio
de imagen.
23. 23. 3. Actividades de Control.  Políticas y procedimientos que ayudan a asegurar que
las directivas administrativas se lleven a cabo. Tipos de Actividades de Control: 
Revisiones de alto nivel.  Funciones directas o actividades administrativas. 
 Procesamiento de la información.  Controles físicos.  Indicadores de desempeños. 
Segregación de responsabilidades.  Políticas y procesamiento.
24. 24.  Cambio en el entorno de operación.  Personal nuevo.  Sistemas de
Información nuevos o modernizados.  Modelo del negocio, productos o actividades
nuevas.  Nuevos pronunciamientos de contabilidad. Diversos tipos de Riesgos se
pueden resumir en los siguientes:
25. 25. 4. INFORMACION Y COMUNICACION  Identificación, obtención y comunicación
de información pertinente en una forma y en un tiempo que le permita a los empleados
cumplir con sus responsabilidades.  Debe de existir una comunicación efectiva en un
sentido amplio, que fluya hacia abajo, a lo largo y hacia arriba de la organización.
26. 26. 5. Monitoreo: Supervisión.  Proceso que valora el desempeño de sistema en el
tiempo.  El monitoreo asegura que el control interno continua operando
efectivamente. Este proceso implica la valoración por parte del personal apropiado, del
diseño y operación de los controles en una adecuada base de tiempo y realizando las
acciones apropiadas.
27. 27. Cualquiera que sea el área de observación indicada (Monitoreo), cada una de ellas
debe contener lo siguiente: 1. Descripción de la deficiencia encontrada. 2. Causa del
problema. 3. Consecuencia de la debilidad encontrada, y de ser posible su
cuantificación. 4. Correctivos adecuados según la circunstancia. 5. Cualquier otro
punto.
28. 28. Gestión de Riesgo.  Todas las organizaciones independientemente de su
tamaño, naturaleza o estructura, enfrentan riesgos.  LOS OBJETIVOS DE LA
GESTION DE RIESGO SON IDENTIFICAR, CONTROLAR Y ELIMINAR LAS
FUENTES DE RIESGOS.
29. 29. Definición de Riesgo  Es la probabilidad que ocurra un determinado evento que
puede tener efectos negativos para la institución.  Riesgos es uno de los cinco
componentes del Marco de Control Interno COSO.
30. 30. COSO II “Administración de riesgo de la empresa” ERM
31. 31. Estructura del COSO II.  Los 8 componentes del coso II están interrelacionados
entre si. Estos procesos debe ser efectuados por el director, la gerencia y los demás
miembros del personal de la empresa a lo largo de su organización  Los 8
componentes están alineados con los 4 objetivos.  Donde se consideran las
actividades en todos los niveles de la organización
32. 32. La administración de riesgos de la empresa (ERM) COSO describe en su marco
basado en principios tales como:  La definición de administración de riesgos de la
empresa  Los principios críticos y componentes de un proceso de administración de
riesgo corporativo efectivo.  Pautas para las empresa, para que ellas sean capaces
de administrar sus riesgos.  Criterios para determinar si la administración de riesgo
de la empresa es efectiva.
33. 33. Conceptos claves de el COSO II  Administración del riesgo en la determinación
de la estrategia.  Eventos y riesgo.  Apetito de riesgo.  Tolerancia al riesgo. 
Visión de portafolio de riesgo.
34. 34.  Administración de Riesgos: Proceso efectuado por el Directorio, Gerencia y otros
miembros del personal , aplicado en el establecimiento de la estrategia y a lo largo de
la organización , diseñados para identificar eventos potenciales que puedan afectarla y
administrar riesgos de acuerdo a su apetito de riesgos , de modo de proveer seguridad
razonable en cuanto al logro de los objetivos de la organización.  Eventos y Riesgos :
Se deben identificar eventos y riesgos potenciales que afectan la implementación de
las estrategias o el logro de los objetivos , con impacto positivos, negativos o ambos.
35. 35.  Apetito de Riesgo: Es la cantidad de riesgo en un nivel amplio que una empresa
esta dispuesta a aceptar para generar valor.  Se considera en el establecimiento de
la estrategia , permite el alineamiento de la organización, las personas , procesos e
 infraestructura; Expresados en términos cualitativos o cuantitativos.  Tolerancia al
Riesgo: Es el nivel aceptable de desviación en relación con el logro de los objetivos.
Se alinea con el apetito de Riesgo.
36. 36.  Visión de portafolio de Riesgos.  ERM propone que el riesgo sea considerado
desde una perspectiva de la entidad en su conjunto o de portafolio de riesgos. 
ƒPermite desarrollar una visión de portafolio de riesgos tanto a nivel de unidades de
negocio como a nivel de la entidad.  ƒ Es necesario considerar como los riesgos
individuales se interrelacionan.  ƒPermite determinar si el perfil de riesgo residual de
la entidad esta acorde con su apetito de riesgo global.
37. 37. Descripción de Componente del COSO II.
38. 38. 1. Ambiente interno  Sirve como la base fundamental para los otros componentes
del ERM, dándole disciplina y estructura.  Dentro de la empresa sirve para que los
empleados creen conciencia de los riesgos que se pueden presentar en la empresa
39. 39. 2. Establecimientos de objetivos.  Es importante para que la empresa prevenga
los riesgo, tenga una identificación de los eventos, una evaluación del riesgo y una
clara respuesta a los riesgos en la empresa.  La empresa debe tener una meta clara
que se alineen y sustenten con su visión y misión, pero siempre teniendo en cuenta
que cada decisión con lleva un riesgo que debe ser previsto por la empresa .
40. 40. 3. Identificación de eventos  Se debe identificar los eventos que afectan los
objetivos de la organización aunque estos sean positivos, negativos o ambos, para
que la empresa los pueda enfrentar y proveer de la mejor forma posible.  La empresa
debe identificar los eventos y debe diagnosticarlos como oportunidades o riesgos.
Para que pueda hacer frente a los riesgos y aprovechar las oportunidades.
41. 41. IDENTIFICACIÓN DE EVENTOS EVENTOS EXTERNOS - La Economía. - El
Comercio. - Catástrofes. - Medio Ambiente. - Políticas de gobierno. - Cambios de
ámbitos sociales. - Tecnología.
42. 42. IDENTIFICACIÓN DE EVENTOS EVENTOS INTERNOS - La Infraestructura. - El
Personal. - Procesos. - Tecnología.
43. 43. IDENTIFICACIÓN DE EVENTOS - RIESGOS. - OPORTUNIDADES
44. 44. 4. EVALUACIÓN DE RIESGOS En la evaluación de riesgos se mezclan los
potenciales eventos futuros relacionados a la entidad y sus objetivos, lo que considera
en el análisis del tamaño de la estructura, la complejidad de los procesos, funciones y
el grado de regulación de sus actividades, entre otros.
45. 45. EVALUACIÓN DE RIESGOS Evaluar los Riesgos desde 2 Perspectivas: -
Probabilidad. - Impacto.
46. 46. EVALUACIÓN DE RIESGOS Metodología de Evaluación de Riesgos: -
Cualitativas. - Cuantitativas.
47. 47. 5. Respuesta al riesgo  Una vez evaluado el riesgo la gerencia identifica y evalúa
posibles repuestas al riesgo en relación al las necesidades de la empresa.  Las
respuestas al riesgo pueden ser:  Evitarlo: se discontinúan las actividades que
generan riesgo.  Reducirlo: se reduce el impacto o la probabilidad de ocurrencia o
ambas  Compartirlo: se reduce el impacto o la probabilidad de ocurrencia al transferir
o compartir una porción del riesgo.  Aceptarlo: no se toman acciones que afecten el
impacto y probabilidad de ocurrencia del riesgo.
48. 48. 6. Actividades de control  Son las políticas y procedimientos para asegurar que
las respuesta al riesgo se lleve de manera adecuada y oportuna.  Tipo de actividades
de control: Preventiva, detectivas, manuales, computarizadas o controles gerenciales
49. 49. 7. Información y comunicación  La información es necesaria en todos los niveles
de la organización para hacer frente a los riesgos identificando, evaluando y dando
respuesta a los riesgos.  La comunicación se debe realizar en sentido amplio y fluir
por toda la organización en todo los sentidos.  Debe existir una buena comunicación
con los clientes, proveedores, reguladores y accionistas.
50. 50. 8. Monitoreo.  Sirve para monitorear que el proceso de administración de los
riesgos sea efectivo a lo largo del tiempo y que todos los componentes del marco ERM
funcionen adecuadamente.  El monitoreo se puede medir a través de: Actividades
de monitoreo continuo. Evaluaciones puntuales. Una combinación de ambas formas
51. 51. Monitoreo. Las regulaciones también pueden comunicar a la entidad disposiciones
u otras materias que afecten las funciones o los procesos de administración de
riesgos. Los auditores internos y externos permanentemente proponen
recomendaciones para fortalecer la Administración de riesgos.
52. 52. Monitoreo. ROLES Y RESPONSABILIDADES Todo el personal en una entidad
tiene algún tipo de responsabilidad en la Administración de Riesgos: - Directores. -
Gerentes. - Oficiales de Riesgos. - Auditor Interno. - Otros miembros de la
Organización.
53. 53. El personal debe ser consultado periódicamente sobre si conocen, cumplen los
códigos de conducta de su entidad. Monitoreo.
54. 54. Relación entre COSO I y COSO II.
55. 55. MODELOS DE COSO I Y COSO II
56. 56. Diferencia Entre COSO Y COSO ERM En cuanto a sus componentes Como se
puede observar desde el COSO I, el componente que tiene una profundización mayor,
es la Evaluación de Riesgos, la cual pasa a transformarse en el centro del análisis de
un control interno moderno
57. 57. Análisis  COSO II “ERM” toma muchos aspectos importantes que el coso I no
considera, como por ejemplo:  El establecimiento de objetivos  Identificación de
riesgo  Respuesta a los riesgos  Se puede decir que estos componentes son claves
para definir las metas de la empresa .  Si los objetivos son claros se puede decidir
que riegos tomar para hacer realidad las metas de la organización.  Amplía el
concepto de control interno, proporcionando un foco más robusto y extenso sobre la
identificación, evaluación y gestión integral de riesgo.  De esta manera se puede
hacer una clara identificación, evaluación, mitigación y respuesta para los riesgos.
58. 58. 1. AMBIENTE DE CONTROL Común en IC Y ERM Introducido en IC y Expandido
en ERM Incremental para ERM Demuestra compromiso con la integridad y valores
éticos Ejercicios responsabilidad de supervisión Establece la filosofía de gestión de
riesgos Establece estructuras, autoridad, y la responsabilidad - Establece la cultura de
riesgo Demuestra compromiso con la competencia - Establece el apetito de riesgo
Hace cumplir la rendición de cuentas - -
59. 59. 2. Evaluación de riesgos Común en IC Y ERM Introducido en IC y Expandido en
ERM Incremental para ERM Evalúa el riesgo de fraude Identifica y analiza los riesgos /
eventos Distingue los riesgos y oportunidades Identifica y analiza cambios
significativos Desarrolla vista de cartera a nivel de entidad (evaluación compuesta de
riesgo de las unidades individuales.)
60. 60. 3. Actividades de control Común en IC Y ERM Introducido en IC y Expandido en
ERM Incremental para ERM Selecciona y desarrolla el control actividades - -
Selecciona y desarrolla en general controles sobre la tecnología - - Se implementa a
través de políticas y procedimientos - -
61. 61. 4. Información y comunicación Común en IC Y ERM Introducido en IC y Expandido
en ERM Incremental para ERM Se comunica internamente Utiliza la información
relevante - Se comunica externamente - - - -
62. 62. 5. Actividades de Monitoreo Común en IC Y ERM Introducido en IC y Expandido
en ERM Incremental para ERM Lleva a cabo evaluaciones en curso y / o separadas - -
Evalúa y comunica deficiencias - -
63. 63. COSO en la Organización. GOBIERNOS CORPORATIVOS GESTION DE
RIESGOS ACCIONISTAS DIRECTORIO ADM. SUPERIOR ENTORNO
64. 64. COSO en la Organización.  Gobiernos Corporativos: Es el conjunto de
relaciones, de mejores prácticas, que debe establecer una empresa entre su Junta de
 Accionistas , su Directorio y su Administración Superior para acrecentar el valor para
sus accionistas y responder a los objetivos de todos sus stakeholder.
65. 65. NORMAS FUNDAMENTALES DE CONTROL INTERNO  PERSONAL
COMPETENTE Y CONFIABLE.  Capacitación  Supervisión  Rotación 
Vacaciones  Fianzas  Respaldo de la Alta Dirección  Documentos y Registros 
Segregación adecuada de funciones  Niveles de autorización y responsabilidad 
Auditorías Internas y Externas
66. 66. AUDITORIA INTERNA  La función de auditoría interna ha cambiado
notablemente en los últimos años, pasando de una auditoria tradicional orientada a la
protección de la empresa (activos) hacia una auditoria enfocada al control de los
riesgos, a fin de aumentar el valor de la organización para los accionistas.
67. 67. COSO y Auditoria Interna.  La auditoria interna se considerará entonces como
una parte del sistema de control.  Informe COSO es una herramienta utilizada por la
Auditoria interna para realizar el control interno de la empresa.  La responsabilidad
de los Auditores Internos en este proceso es la de revisar el Control implementado.
68. 68. GRACIAS POR SU ATENCION!

Enterprise Risk Management (ERM),

analizando el riesgo
FINANZAS

El mundo de los negocios de hoy en día está en constante evolución , es

un mundo complejo y en el que la mayor parte de su comportamiento
resulta impredecible y complejo. En otras palabras, por su propia
naturaleza está lleno de riesgos.
Por ello, la identificación gestión y explotación de riesgo en
toda organización se ha convertido en un factor cada vez más importante
para la supervivencia, el éxito y la longevidad de cualquier negocio.
 Enterprise Risk
Management. Fuente gráfico:www.rmahq.org

Hacia una definición del Enterprise Risk

Management (ERM)
La evaluación de riesgos empresariales es un proceso sistemático para
la identificación y evaluación de eventos (es decir,posibles riesgos y
oportunidades) que podrían afectar a la consecución de los
objetivos,positiva o negativamente. Estos eventos pueden
ser identificadosen el ambiente externo (por ejemplo, las tendencias
económicas) y dentro de un
ambiente interno de la organización (por ejemplo, personas, procesos e
infraestructura).

¿Qué ventajas me aporta el Enterprise Risk

Management
La evaluación de riesgos proporciona un mecanismo para la
identificación de los riesgos que representan oportunidades y que
representan peligros potenciales para nuestro negocio. Si se hace bien ,
una evaluación de riesgos ofrece a las organizaciones una visión clara de
las variables a las que puedan estar expuestos , ya sean internos o
externos , retrospectiva o prospectiva .
Convencido, ahora ¿Cómo aplico el
Entreprise Risk Management a mi empresa?
Lo más recomendado es implementarlo para ser llevado a cabo en los
distintos niveles de la organización.
Los objetivos y los eventos considerados determinar el alcance del riesgo
para llevar a cabo la evaluación .

Ejemplos de aplicaciones concretas de

Enterprise Risk Management
• Evaluación del Riesgo Estratégico . La evaluación de los riesgos
relacionados con la organización de
misión y objetivos estratégicos , por lo general realizadas por la alta
dirección equipos en las reuniones de planificación estratégica, con
diferentes grados de formalidad .
• Evaluación de riesgos operacionales . Evaluación del riesgo de
pérdida debido a la inadecuación o a fallos de
procesos , personas y sistemas, o de sucesos externos . En la mayor
parte de las empresas hay que identificar con regularidad y cuantificar
su exposición a tales riesgos. Si bien la responsabilidad de la gestión del
riesgo recae en la empresa, una función independiente a menudo actúa
en calidad de asesor para ayudar a evaluar estos riesgos.
• Evaluación de riesgos de cumplimiento. Evaluación de factores de
riesgo en relación con la obligaciones de cumplimiento de la organización
, teniendo en cuenta las leyes , disposiciones, políticas y procedimientos ,
la ética y las normas de conducta en los negocios y contratos , así como
normas voluntarias estratégicos y mejores prácticas para que la
organización tiene cometido . Este tipo de evaluación se realiza
normalmente por el cumplimiento función con el aporte de las áreas de
negocio.
• Evaluación de riesgos de auditoría interna . La evaluación de los
riesgos relacionados con los impulsores de valor
de la organización , cubriendo la estratégia financiera , operativa y de
cumplimiento de objetivos . La evaluación considera el impacto de los
riesgos de valor para los accionistas como base para definir el plan de
auditoría y posterior seguimiento de los principales riesgos . Este
enfoque descendente-vertical permite la cobertura de las actividades de
auditoría interna que afecta directamente tanto al cliente como al
accionista.

En definitiva...
El proceso de evaluación de riesgos constituye la piedra angular de un
programa de ERM efectivo.Un proceso de evaluación de riesgos sólida ,
aplicada con consistencia en toda la organización , permite a la
administración, identificar, evaluar y explotar los riesgos adecuadas para
su negocio, a la vez que mantener los controles adecuados para
garantizar el funcionamiento eficaz y efi cientes del cumplimiento del
marco normativo .