Conoce COSO,

una visión 360° para

gestionar el riesgo
Índice
01 ¿Qué es COSO? ......................................................... 5

02 Los 5 componentes de COSO.............................. 7

03 Control interno, según el

documento COSO II ............................................. 12

04 La evolución de este marco

de control interno ................................................ 14
01
Intro
ducción
El Comité de Organizaciones Patrocinadoras de la Comisión Treadway
(COSO) fue diseñado para identificar, evaluar y administrar los riesgos; para
dar una visión general de las amenazas a las que está expuesta una
compañía; ampliar el concepto de control interno, y tener una dirección clara
del negocio.

Este marco de trabajo fue pensado para tratar los riesgos de forma
inteligente con el fin de conservar la rentabilidad y rendimiento de la
empresa y para comprender la importancia tanto del cumplimiento con las
normas gubernamentales como las internas de la compañía.

En el año 1992 se publicó la primera versión COSO y, desde entonces el

documento se convirtió en referente para gestores de riesgos, juntas
directivas y gerentes de las organizaciones alrededor del mundo.
Al brindar una visión 360° de los riesgos que podrían afectar la compañía,
este marco permite dar una línea para accionar planes y así hacer una
correcta gestión de riesgos.
Además, posibilita priorizar y alinear los objetivos, tomar decisiones
acertadas, tener planificación estratégica y un control interno de todas las
áreas de la compañía. En ese orden de ideas, implementar COSO mejora el
desempeño y la supervisión, también ayuda a reducir fraudes en las
organizaciones, tomar mejores decisiones y cumplir las metas.

El Comité de Organizaciones Patrocinadoras de la Comisión Treadway dice

que COSO está dedicado a proporcionar un liderazgo reflexivo a través del
desarrollo de marcos integrales y orientación sobre el control interno, la
gestión del riesgo institucional y la disuasión del fraude, con el fin de mejorar
la eficacia de la organización.

En este ebook usted podrá comprender este marco de control interno,

encontrará claves para implementarlo y conocerá su importancia.
01 ¿QUÉ ES COSO?
El Comité de Organizaciones Patrocinadoras de la Comisión
Treadway (COSO) es un marco de control interno que fue
constituido hace más de dos décadas para proporcionar
liderazgo organizacional en tres frentes: gestión del riesgo
empresarial (ERM), control interno, y disuasión del fraude.
Precisamente, este marco fue diseñado por representantes de
cinco organizaciones del sector privado de los Estados Unidos,
tras una crisis de fraude internacional para evitar malas
prácticas empresariales.

De acuerdo con la tesis Métodos de Administración y Evaluación

de Riesgos de la Universidad de Chile, COSO favorece los
negocios y sirve para que una compañía refuerce sus sistemas
de control interno, por ello, se está incorporando dentro de las
políticas, reglas, y regulaciones de muchas empresas para un
mejor control. “La necesidad de un marco de riesgo operacional en
la empresa, que entregará claves y conceptos fundamentales, un
lenguaje común, dirección y una guía clara, hizo que cada vez fuera
más imprescindible este marco de trabajo”, agrega la investigación.
De acuerdo con el modelo del Comité de
Organizaciones Patrocinadoras de la Comisión
Treadway, el Control Interno es un proceso que se
gestiona por la dirección y el resto del personal de
una organización, diseñado con el objeto de
proporcionar seguridad en la eficacia y
eficiencia de las operaciones, confiabilidad de
la información financiera y cumplimiento de la
normativa para garantizar el logro de objetivos.

Este marco aborda temas trascendentales en una

correcta gestión de riesgos como apetito y
tolerancia de riesgos, así como una visión de
riesgos desde todas sus perspectivas, impactos y
probabilidades.

www.riesgoscero.com | 06
02 LOS 5 COMPONENTES DE COSO
1. Ambiente de Control
2. Evaluación de Riesgos
3. Actividades de Control
4. Información y Comunicación
5. Monitoreo

COSO
Desarrollo
de componentes

*Imagen tomada del documento COSO II Internal Control

Integrated Framework, versión 2013
1. Ambiente de Define parámetros para gestionar el control interno
de la compañía que tiene que ver con
control: la estructura organizacional, las políticas
administrativas, ética institucional y las relaciones de
jerarquía, la autoridad y responsabilidad; así como la
integridad, los valores de la compañía y la filosofía
administrativa. El ambiente de control es la base
sobre la que se posicionan al resto de elementos
e influye fundamentalmente en los objetivos y en
la estrategia de la empresa.

El documento COSO II, actualizado en 2013, señala

que el ambiente de control es el conjunto de
normas, procesos y estructuras que proveen las
bases para llevar a cabo el Control Interno a través
de la organización. “El directorio y la alta gerencia
establecen el ejemplo en relación con la importancia
del Control Interno y las normas de conducta
esperada”

Los elementos de un ambiente de control se

priorizan así:

Estructura organizacional

Políticas administrativas

Ética institucional

Valores de la compañía

Filosofía administrativa

www.riesgoscero.com | 08
2. Evaluación Durante la evaluación, los riesgos se identifican y se
analizan, de acuerdo a la probabilidad de impacto y
de Riesgos frecuencia, para conocer sus posibles consecuencias
en caso de que se presenten. En este proceso, se
analiza cada riesgo y se clasifica como alto (es muy
factible que se presente), medio (factible) o bajo
(muy poco factible).

Se analiza si cada impacto puede ser interno o

externo y si es alto, medio o bajo para priorizarlos en
ese orden. Esta evaluación sirve para empezar a
trabajar en los riesgos más urgentes y plantear
estrategias para mitigarlos o evitarlos.

Para evaluar los riesgos, se recomienda elaborar

un mapa de calor, donde se clasifique el impacto y
la probabilidad.
Cada uno se identifica con un color diferente: Riesgo
Alto ( Rojo)- Riesgo Medio - Alto (Naranja) - Riesgo
Medio (Amarillo) - Riesgo Bajo (Verde).

El documento COSO II dice que la evaluación de

riesgos involucra un proceso dinámico e interactivo
para identificar y analizar riesgos que afectan el
logro de objetivos de la entidad, dando la base para
determinar cómo los riesgos deben ser
administrados. “La gerencia considera posibles
cambios en el contexto y en el propio modelo de
negocio que impidan su posibilidad de alcanzar
sus objetivos”.

www.riesgoscero.com | 09
 3. Actividades Se refiere a las políticas y procedimientos que trazan
las acciones adecuadas para gestionar los riesgos,
de control tomar decisiones que favorezcan la operación y
el logro de los objetivos.
Todas las áreas de la compañía, sin excepción, son
las responsables de ejecutar las actividades de
control, que lleven a una correcta toma de
decisiones y cumplimiento de los objetivos.

Estas actividades de control, según COSO, pueden

ser preventivas o de detección y pueden abarcar una
amplia gama de actividades manuales y
automatizadas. Estas actividades deben minimizar
los riesgos que dificultan el logro de los objetivos de
la organización.

4. Información y Las empresas deben gestionar la información

comunicación desde todas sus áreas y unificarla para tener
convergencia y hablar un mismo idioma. La
información es uno de los activos más importantes
de la organización, por lo que debe protegerse y
debe estar disponible para todas las áreas de la
empresa, así se disminuyen errores a la hora de
identificar, clasificar, evaluar y gestionar los riesgos.

Por ello, los líderes de cada área deben velar por

recoger información que permita analizar los riesgos
e intercambiarla para tener una mirada general de la
empresa. En la medida que se cumpla esto, habrá
mejor control interno y se removerán obstáculos
que amenacen el cumplimiento de los objetivos.

www.riesgoscero.com | 10
 En este sentido la información no se utiliza solo para
los estados financieros, sino también en la toma de
decisiones. Por esta razón, los líderes deben ser
rigurosos a la hora de recoger la información,
verificarlos y confirmarlos para que sean verídicos y
acertados. Entre tanto, la comunicación es el
proceso para proporcionar, compartir y obtener
la información necesaria, relevante y de calidad.

De acuerdo con COSO, la Información es necesaria

en la entidad para ejercer las responsabilidades de
Control Interno en soporte del logro de objetivos.
“La Comunicación ocurre tanto interna como
externa y provee a la organización con la
información necesaria para la realización de los
controles diariamente. La Comunicación permite al
personal comprender las responsabilidades del
Control Interno y su importancia para el logro de los
objetivos”. (COSO II, 2013).

5. Monitoreo Un continuo monitoreo de la gestión de riesgos de la

organización ayuda a que las estrategias para
mitigarlos sean efectivas y se disminuyen errores
que puedan afectar las metas. Además, sirve para
comprobar la efectividad del control interno. Una
adecuada gestión de riesgos se logra con
supervisión y monitoreo continuo, así como con
evaluaciones frecuentes.

El monitoreo es: “Evaluaciones concurrentes o

separadas, o una combinación de ambas. Es
utilizado para determinar si cada uno de los
componentes del Control Interno, incluidos los
controles para efectivizar los principios dentro de
cada componente, está presente y funcionando. Los
hallazgos son evaluados y las deficiencias son
comunicadas oportunamente, las significativas son
comunicadas a la alta gerencia y al directorio”
(COSO II, 2013).

www.riesgoscero.com | 11
 CONTROL INTERNO, SEGÚN
03 EL DOCUMENTO COSO*
El documento COSO II (2013) define el control interno como un
proceso llevado a cabo por el Consejo de Administración, la
Gerencia y otro personal de la Organización, diseñado para
proporcionar una garantía razonable sobre el logro de
objetivos relacionados con operaciones, reporte y cumplimiento.

Objetivos de Control interno

Objetivos de operaciones

Relacionados con la misión y visión de la entidad.

Varían en función de las decisiones de la conducción
relacionadas con el modelo de operaciones, consideraciones
de la industria y rendimiento.
Se abren en sub-objetivos para los distintos componentes de la
estructura de la entidad.
Incluyen el resguardo de activos.
Objetivos de reporte
Reportes financieros externos
- Estados Contables
- Cuenta de Inversión
Reportes no financieros externos
- Reportes de sustentabilidad
- Información al público
Reportes internos financieros y no financieros
- Ejecución presupuestaria
- Informes sobre nivel de actividad

Objetivos de cumplimiento
Objetivos relacionados con el cumplimiento de
leyes y regulaciones.
El cumplimiento de políticas y procedimientos
de la entidad, a los efectos del marco,
corresponde a objetivos de operaciones.

Limitaciones del Control Interno

Establecimiento de adecuados objetivos, como

precondición para el control interno.
El juicio humano en la toma de decisiones
puede ser equivocado o sujeto a parcialidades.
Errores productos del error humano.
Posibilidad de anulación de controles por la
gerencia.
Posibilidad de burlar controles por la colusión
entre distintos actores.
Factores externos más allá del control de la
entidad.

*Tomado de COSO (2013)

www.riesgoscero.com | 13
 LA EVOLUCIÓN DE ESTE MARCO
04 DE CONTROL INTERNO
COSO I

Con el propósito de direccionar a las compañías para mejorar el

control interno, en 1992, el Comité de Organizaciones
Patrocinadoras de la Comisión Treadway publicó COSO I, en el
que se definió que el control interno es una responsabilidad
de la dirección para tener los objetivos alineados con el
control de la información financiera, cumplimiento de
normativa y seguridad en las operaciones.

Este COSO exigía demostrar compromiso con la integridad y

valores éticos, establecer estructuras de autoridad y exigir
rendición de cuentas; evalúa el riesgo y analiza los cambios.
COSO II

En 2004 se publicó el estándar “Enterprise Risk

Management - Integrated Framework” (COSO II)
Marco integrado de Gestión de Riesgos, que amplió
la importancia del control interno y la gestión de
riesgos en todas las áreas de la organización,
incluyendo tanto a directores y administradores
como los demás empleados.

El documento COSO II señala que la gestión de

riesgo corporativo se ocupa de los riesgos y
oportunidades que afectan la creación de valor o
la permanencia de la empresa. Además, los riesgos
se gestionan para identificar eventos potenciales que
puedan afectar la organización y proporcionar una
seguridad razonable en el logro de los objetivos.

Este nuevo marco en vez de establecer estructuras

con autoridad y exigir rendición de cuentas,
recomienda responsabilidad en la supervisión y en
vez de solo evaluar riesgos, los identifica y analiza.

*Imagen tomada del documento COSO II

Internal Control Integrated Framework, versión 2013

www.riesgoscero.com | 15
COSO II ERM

La versión de COSO II ERM, se publicó en 2013 y es

la evolución del editado en 2004. Este nuevo marco
resalta la importancia de la agilidad de los
sistemas de gestión de riesgos para adaptarse a
los entornos; la confianza en la eliminación de
riesgos y el cumplimiento de objetivos; así como
mayor claridad en la información y comunicación.

El nuevo Marco de Gestión de Riesgos Empresariales

“describe cómo los ejecutivos pueden tener mayor
confianza para hacer frente a muchos de los retos
críticos de los negocios del siglo XXI a medida que
navegan por los mercados en evolución, la rápida
innovación y un mayor enfoque regulatorio”, según
explica la tesis Métodos de Administración y
Evaluación de Riesgos de la Universidad de Chile.

“El Marco está diseñado para convertir un monólogo

de riesgos preventivo y basado en procesos en una
conversación proactiva y centrada en las
oportunidades para descubrir cómo la gestión de
riesgos puede crear, preservar y hacer realidad la
calidad y el valor”, agrega el análisis de Métodos de
Administración y Evaluación de Riesgo.

*Imagen tomada del documento COSO II

Internal Control Integrated Framework, versión 2013

www.riesgoscero.com | 16
La tesis de la Universidad de Chile también explica
que entre los desafíos más críticos para las gerencias
está el determinar cuán preparada está la entidad
para aceptar los riesgos mientras procura crear valor.

Entre tanto, Dennis Chesley, líder de Consultoría de

Riesgos Global, referente del tema, explica que COSO
se actualiza porque la complejidad de hacer
negocios está cambiando, y siguen surgiendo
nuevos riesgos a un ritmo más rápido que en el
pasado, además, el experto analiza que los cambios
en el comportamiento de los clientes están
ejerciendo una influencia considerable en un
panorama económico mundial impredecible.

“Mientras tanto, la evolución de la tecnología y una

mayor exigencia de transparencia están
poniendo a prueba los procesos de planificación
estratégica y las capacidades operativas. Para hacer
frente a estos desafíos es necesario que las
organizaciones adopten un nuevo enfoque de la
gestión del riesgo: un enfoque que ayude a crear,
preservar y hacer realidad el valor ahora y en el
futuro”, resalta Chesley.

En definitiva, este marco de control interno da una

mayor orientación sobre la forma correcta de
gestionar los riesgos y de articular esa gestión con
las estrategias y los objetivos trazados para tener
una mejor toma de decisiones. También le da a los
gestores una mirada de los riesgos, desde todos
los ángulos tanto generales como en cada área,
proyectos y procesos.

www.riesgoscero.com | 17