COSO

El Comité de organizaciones patrocinadoras de la Comisión Treadway fue conformado en 1985 con la

finalidad de identificar los factores que originaban la presentación de información financiera falsa o
fraudulenta y emitir las recomendaciones que garantizaran la máxima transparencia informativa en ese
sentido.

COSO se dedica a desarrollar marcos y orientaciones generales sobre el control interno, la gestión del
riesgo empresarial y la disuasión del fraude, diseñados para mejorar el desempeño organizacional y la
supervisión y reducir el grado de fraude en las organizaciones. Asimismo, el Comité sustenta que una
buena gestión del riesgo y un sistema de control interno son necesarios para el éxito a largo plazo de las
organizaciones.

El Comité estaba conformado por cinco instituciones representativas en Estados Unidos en el campo de
contabilidad, finanzas y auditoria interna:

- American Accounting Association – AAA – Asociación de Contadores Públicos Norteamericanos

- American Institute of Certified Public Accountants – AICPA – Instituto Norteamericano de
Contadores Publicos Certificados: Contadores CPA que forman parte de empresas de
contabilidad que hacen auditorías externas de estados financieros.
- Financial Executive Institute – FEI – Asociación internacional de Ejecutivos de Finanzas:
- Institute of Internal Auditors – IIA – Instituto de Auditores Internos: Auditores encargados de la
evaluación de los sistemas de control interno en el interior de las organizaciones.
- Institute of Management Accountants – IMA – Instituto de Contadores Empresariales:
Contadores que trabajan en empresas.

La complejidad en las operaciones de las empresas y organizaciones hizo necesario adaptar procesos
administrativos que debían incluir planificación, organización, dirección y control. A su vez, estos procesos
requerían de personal capacitado para implementar y mantener las normas de control interno en el
ámbito de la gestión con el fin de asegurar el cumplimiento de los objetivos de la empresa.

De esta manera las empresas empezaron a implementar sus propias políticas para el control interno,
generando una diversidad de conceptos y una falta de uniformidad. Esta situación hace evidente la
necesidad de un marco conceptual que estandarizara las buenas prácticas con respecto a control interno,
facilitando así la implementación y comprensión de sistemas de control interno adecuados. En primera
medida este marco debía establecer una definición común de control interno, y luego presentar un
modelo que se pudiera adecuar a cualquier empresa sin distinción alguna.

Por esta razón, el comité - COSO en septiembre de 1992 emite en los Estados Unidos el informe Internal
Control – Integrated Framework, Marco Integrado de Control Interno – COSO I, luego de un trabajo arduo
de cinco años y con el fin de establecer una definición común de control interno y proveer una guía para
la creación y el mejoramiento de la estructura de control interno de las entidades. El Marco es publicado
para las empresas de los Estados Unidos, pero sin embargo ha sido utilizado y aceptado a nivel mundial.

Este Marco fue creado para facilitar a las empresas los procesos de evaluación y mejoramiento continuo
de sus sistemas de control interno. Además, ha sido incluido en las políticas, reglas y regulaciones, de tal
manera que las empresas mejoren sus actividades de control hacia el logro de sus objetivos. Es el caso de
la Ley Sarbarnes Oxley, donde las empresas que cotizan en bolsa tienen que cumplir con una sección de
Control Interno (Sección 404), que solicita la implementación y evaluación de un sistema de control
interno en las organizaciones.

- Eficacia y eficiencia de las operaciones

- Confiabilidad de la información financiera
- Cumplimiento de las leyes, reglamentos y normas que sean aplicables

ENRON

2 de diciembre de 2001, la empresa energética Enron se declaraba en quiebra. Primer distribuidor

energético a nivel global, facturaba 100.000 millones de dólares anuales. ¿Cómo algo tan enorme pudo
llegar a esa situación? Fácil: era todo un engaño.

La empresa, fundada en 1985 por Kenneth Lay, vivió un antes y un después con la llegada de Jeffrey
Skilling. Uno de los mejores graduados en Harvard en su promoción de MBA, aterrizó en Enron en 1997.
Con él, la compañía descubrió en toda su expresión lo que es la ingeniería contable. Pasivos que se
convirtieron en activos, préstamos que se computaban como ingresos, deuda maquillada, beneficios
inflados... A ojos de la contabilidad, todo rozaba la perfección. De hecho, era un ejemplo para los demás.
La más innovadora, la mejor manejada. Así lo fue hasta que poco a poco la realidad fue saliendo a la luz.
La junta directiva vivía engañada, con una acción en bolsa que cotizaba sobre los 90 dólares en el 2000.
Una revisión de las cuentas por parte de las autoridades contables afloró deudas escondidas y elementos
ocultos fuera de balance que daban la impresión de que la empresa estaba saneada. Poco a poco el mundo
Enron fue cayendo. De los 90 dólares por acción del 2000, un año después se pasó a apenas un dólar, un
99% menos. Más de 10.000 millones en valor contable que se esfumaron. Miles de ahorradores que
perdían su inversión.

En su día fue la mayor bancarrota de la historia. Acumulaba unos activos de 64.000 millones y unas deudas
de 30.000 millones. Un hito de la época. 20.000 empleados perdieron su trabajo, la consecuencia lógica
del desastre.

Menos esperada fue la caída de su auditora. Enron se llevó por delante a Arthur Andersen, una de las
cinco auditoras más importantes del mundo en ese momento. Fue partícipe del engaño. En teoría, bajo la
presión de los máximos directivos, que pedían que hiciera la vista gorda para mantener el enjuague
contable vivo. Desprestigiada y condenada, acabó despiezada y su negocio en manos de las demás
grandes. Casi cien años de historia trayectoria dilapidados por Enron.

A Jeffrey Skilling, la mente detrás de la contabilidad, le salió mal su última jugada maestra. Antes de la
quiebra se las vio venir, renunció a su cargo alegando motivos familiares y vendió las acciones que tenía
en la empresa. Cuatro meses después llegaba la bancarrota. Supuestamente, él no sabía nada de la
situación crítica de la empresa. No coló.

En 2004 se le imputaron una treintena de cargos, entre ellos operar con información confidencial, al
vender unos 60 millones de dólares en acciones de Enron antes de la quiebra, engañar al auditor o
conspiración.

Kenneth Lay, fundador de Enron, se embolsaba 40 millones de dólares por año

En octubre de 2006 se lo condenó a 24 años de prisión y fue multado con 45 millones de dólares. Afirma
que tras la ‘muerte’ de Enron consideró el suicidio, pero que la condena lo salvó. Le hizo recapacitar. Se
convirtió en su mayor crítico.

En los años siguientes se dieron revisiones y reducciones de su condena. Al final, puede salir a la calle en
febrero de 2019, menos de 18 años después de la quiebra de Enron.

Kenneth Lay, el fundador, se embolsaba 40 millones de dólares por año. Tras el escándalo y la bancarrota,
se las tuvo que ver con la justicia. Se le imputaban hasta once cargos relacionados con fraude. El juicio
empezó en enero de 2006. El jurado lo halló culpable de seis delitos de conspiración y fraude en mayo.
Para septiembre estaba prevista la vista de la sentencia. Nunca llegó: Lay falleció en julio, a los 64 años,
de un infarto.

Otra decena de cargos fueron enjuiciados. Como suele ocurrir en el mundo de las finanzas, la condena de
los culpables suele ser menor al daño causado.

COSO 2

Como respuesta a una serie de escándalos e irregularidades que provocaron pérdidas importantes a
inversionistas, empleados y otros grupos de interés, en septiembre de 2004, el comité – COSO publica el
Enterprise Risk Management - Integrated Framework y sus Aplicaciones técnicas asociadas, COSO II, el
cual amplía el concepto de control interno, proporcionando un enfoque más completo y extenso sobre la
identificación, evaluación y gestión integral de riesgo.

1. Ambiente de control: son los valores y filosofía de la organización, influye en la visión de los
trabajadores ante los riegos y las actividades de control de los mismos.
2. Establecimiento de objetivos: estratégicos, operativos, de información y de cumplimientos.
3. Identificación de eventos: que pueden tener impacto en el cumplimiento de objetivos.
4. Evaluación de riesgos: identificación y análisis de los riesgos relevantes para la consecución de los
objetivos.
5. Repuesta a los riesgos: determinación de acciones frente a los riesgos.
6. Actividades de control: políticas y procedimientos que aseguran que se llevan a cabo acciones
contra los riesgos.
7. Información y comunicación: eficaz en contenido y tiempo, para permitir a los trabajadores
cumplir con sus responsabilidades.
8. Supervisión: para realizar el seguimiento de las actividades.

Este nuevo enfoque no sustituye el marco de control interno, sino que lo incorpora como parte de él,
permitiendo a las compañías mejorar sus prácticas de control interno o decidir encaminarse hacia un
proceso más completo de gestión de riesgo. Adicionalmente, dado que COSO Enterprise Risk
Management - Integrated Framework se encuentra completamente alineado con el Internal Control -
Integrated Framework, las mejoras en la gestión de riesgo permiten mejorar un trabajo eficaz en control
interno bajo las disposiciones de la Ley Sarbanes-Oxley.
COSO 3 o Actualización del COSO 2 (ERM) en 2013.

En Mayo de 2013 el Comité – COSO publica la actualización del Marco Integrado de Control Interno cuyos
objetivos son: aclarar los requerimientos del control interno, actualizar el contexto de la aplicación del
control interno a muchos cambios en las empresas y ambientes operativos, y ampliar su aplicación al
expandir los objetivos operativos y de emisión de informes. Este nuevo Marco Integrado permite una
mayor cobertura de los riesgos a los que se enfrentan actualmente las organizaciones.

El modelo de control interno COSO 2013 está compuesto por los cinco componentes integrados,
establecidos en el Marco anterior y 17 principios que representan los conceptos fundamentales asociados
a cada componente y 85 atributos. Dado que estos principios proceden directamente de los componentes,
una entidad puede alcanzar un control interno efectivo aplicando todos los principios, los que son
aplicables a los objetivos operativos, de información y de cumplimiento.

COSO ERM

COSO II o COSO ERM es un proceso continuo realizado por personal de todos los niveles de la organización,
que está diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionar
sus riesgos dentro del límite aceptado y proporcionar una seguridad razonable sobre la consecución de
objetivos.

COSO ERM es un facilitador del proceso de la gestión de riesgos que permite a los administradores de las
empresas operar más eficazmente en un ámbito pleno de riesgo, aumentando la capacidad para:

- Alinear el nivel de riesgo aceptado con la estrategia.

- Unir crecimiento, riesgo y rendimiento.
- Mejorar las decisiones de respuesta al riesgo.
- Minimizar sorpresas y pérdidas operativas.
- Identificar y administrar riesgos a nivel de la entidad.
- Racionalizar el uso de recursos.

COSO ERM - Objetivos

El modelo divide los objetivos de las compañías en cuatro categorías diferentes:

- Objetivos estratégicos: Se trata de los objetivos establecidos al más alto nivel, y relacionados con
el establecimiento de la misión y visión de la compañía.
- Objetivos Operativos: Son aquellos relacionados con la eficacia y eficiencia de las operaciones,
incluyendo los objetivos relacionados con el desempeño y la rentabilidad.
- Objetivos relacionados con la Información suministrada a terceros: Son aquellos objetivos que
afectan la efectividad del reporte de la información suministrada (interna y externa) y que va más
allá de la información financiera.
- Objetivos relacionados con el Cumplimiento Regulatorio: Son aquellos objetivos relacionados con
el cumplimiento, por parte de la entidad, con todas las leyes y regulaciones que le son aplicables.
COSO ERM - Componentes

En el informe COSO ERM, la gestión de riesgos empresariales está conformada por ocho componentes
relacionados entre sí:

- Ambiente interno: Abarca el talante de una organización y establece la base de cómo el personal
de la entidad percibe y trata los riesgos, incluyendo la filosofía para su gestión, el riesgo aceptado,
la integridad y valores éticos y el entorno en que se actúa.
- Establecimiento de objetivos: Los objetivos deben existir antes de que la dirección pueda
identificar potenciales eventos que afecten a su consecución. La gestión de riesgos empresariales
asegura que la dirección ha establecido un proceso para fijar objetivos y que los objetivos
seleccionados apoyan la misión de la entidad y están en línea con ella.
- Identificación de eventos: Los acontecimientos internos y externos que afectan a los objetivos de
la entidad deben ser identificados, diferenciando entre riesgos y oportunidades.
- Evaluación de riesgos: Los riesgos deben ser analizados considerando su probabilidad e impacto
como base para determinar cómo deben ser gestionados y se evalúan desde una doble
perspectiva, inherente y residual. Para ello se deben considerar realizar autoevaluaciones,
elaborar mapas de riesgo y distribuciones de severidad y probabilidad.
- Respuesta al riesgo: Una vez identificados los riesgos y establecido el nivel de significancia, la
dirección selecciona las posibles respuestas: evitar, aceptar, reducir o compartir los riesgos,
desarrollando una serie de acciones para alinearlos con el riesgo aceptado y las tolerancias al
riesgo de la entidad.
- Actividades de control: Se trata de las políticas y procedimientos que son necesarios para asegurar
que la respuesta al riesgo ha sido la adecuada. Las actividades de control deben estar establecidas
en toda organización, a todos los niveles y todas sus funciones.
- Información y comunicación: La información relevante se identifica, capta y comunica en forma y
plazo adecuado para permitir al personal afrontar sus responsabilidades. Una comunicación eficaz
debe producirse en un sentido amplio, fluyendo en todas las direcciones dentro de la entidad.
- Supervisión: La totalidad de la gestión de riesgos se supervisa, realizando modificaciones
oportunas cuando se necesiten. Esta supervisión se lleva a cabo mediante actividades
permanentes de la dirección, evaluaciones independientes o ambas actuaciones a la vez.

Cabe aclarar que los componentes mencionados no se llevan a cabo en serie como si fueran las etapas de
un proceso lineal; por el contrario, se trata de un proceso multidireccional e iterativo, en donde cada una
de los componentes genera información que influye en los restantes.

COSO ERM - Relación entre objetivos y componentes

La relación entre los diferentes conceptos enunciados puede graficarse como un cubo, tal como se
muestra en la Ilustración 1, en donde las cuatro categorías de objetivos están representadas por las
columnas verticales, los ocho componentes de la gestión de riesgos empresariales por las filas
horizontales y los diferentes niveles organizacionales por la tercera dimensión del cubo.
Esta matriz tridimensional refleja la capacidad de centrarse sobre la totalidad de la administración de
riesgos de una entidad o bien por categoría de objetivos, por componente, por unidad de negocio o por
cualquier subconjunto de ellos.

RIESGOS Y OPORTUNIDADES

Las entidades operan en ambientes donde factores como la globalización, la tecnología, las regulaciones
de los organismos de control, los mercados cambiantes y la competencia, crean incertidumbre. La
mencionada incertidumbre está representada por eventos, que a su vez implican riesgos u oportunidades
para la entidad. Un evento con impacto negativo será un riesgo que la dirección deberá acotar para
permitir la generación de valor. Por el contrario, un evento con impacto positivo, puede compensar los
impactos negativos y/o generar oportunidades que ayuden a crear valor.

En este sentido, la gestión de riesgos empresariales le permitirá a la dirección tratar a la incertidumbre de

una manera eficaz, y administrar los riesgos y oportunidades asociados, con la finalidad de generar o
maximizar el valor.