GRUPO EXPOSITOR DE AUDITORIA # 1

EXPOSITORAS:

Lic. Jaqueline Alonso Selva .

Lic. Yelba Cuarezma Rodríguez.

12/12/2014
COSO I Y COSO II.
 Contenidos:

1 ¿Qué es el COSO?

2 Informe COSO

3 Objetivos Informe COSO

4 Componentes del Control Interno.

 Contenidos.

5 Definición de Riesgo

6 Estructura COSO I

7 Explicación Estructura COSO I

8 Estructura COSO II
 Contenidos.

9 Explicación Estructura COSO II

10 Relación COSO I y COSO II

11 COSO en la Organización

12 COSO y Auditoria Interna.

¿Qué es C.O.S.O?

Committee of Sponsoring Organizatión of the Treadway Commission

C O S O
 ¿Qué es COSO?

 Organización voluntaria del sector privado,

establecida en los EEUU formada el año 1985 ,
dedicada a proporcionar orientación a la gestión
ejecutiva y las entidades de gobierno sobre los
aspectos fundamentales de organización de este, la
ética empresarial, control interno, gestión del
riesgo empresarial, el fraude, y la presentación de
informes financieros. COSO ha establecido un
modelo común de control interno contra el cual las
empresas y organizaciones pueden evaluar sus
sistemas de control.

 En esta presentación se expondrá exclusivamente lo

relativo al Control Interno.
 Informe COSO.

 Hace más de una década el Committee of

Sponsoring Organizations of the Treadway
Commission, conocido como COSO,
publicó el Internal Control - Integrated
Framework (COSO I) para facilitar a las
empresas a evaluar y mejorar sus sistemas
de control interno. Desde entonces ésta
metodología se incorporó en las políticas,
reglas y regulaciones y ha sido utilizada por
muchas compañías para mejorar sus
actividades de control hacia el logro de sus
objetivos.
 ACERCA DE COSO
Integrada por las siguientes instituciones dedicadas a guiar a las
administración ejecutiva y a los participantes del Gobierno de la
empresa para lograr el establecimiento de operaciones de
negocios más efectivas, eficientes y éticas . Promueve y difunde
estructuras ( frameworks ) y guías basados en profundas
investigaciones, análisis y mejores prácticas:

 American Accounting Association ( AAA)

 American Institute of CPAs ( AICPA )
 Financial Executives International (FEI)
 The Association of Accountants and Financial Professional in
Business ( IMA )
 The Institute of Internal Auditors ( IIA )
 Informe COSO.

 Hacia fines de Septiembre de 2004, como

respuesta a una serie de escándalos, e
irregularidades que provocaron pérdidas
importante a inversionistas, empleados y otros
grupos de interés, nuevamente el Committee of
Sponsoring Organizations of the Treadway
Commission, publicó el Enterprise Risk
Management - Integrated Framework (COSO II)
y sus Aplicaciones técnicas asociadas, el cual
amplía el concepto de control interno,
proporcionando un foco más robusto y extenso
sobre la identificación, evaluación y gestión
integral de riesgo.
 Informe COSO.

 Este nuevo enfoque no sustituye el

marco de control interno, sino que lo
incorpora como parte de él,
permitiendo a las compañías mejorar
sus prácticas de control interno o
decidir encaminarse hacia un proceso
más completo de gestión de riesgo.
 Informe COSO.
 A nivel organizacional, este  A nivel regulatorio o
documento destaca la normativo, el Informe COSO
necesidad de que la alta ha pretendido que cuando
dirección y el resto de la se plantee cualquier
organización comprendan discusión o problema de
cabalmente la trascendencia control interno, tanto a nivel
del control interno, la práctico de las empresas,
incidencia del mismo sobre como a nivel de auditoría
los resultados de la gestión, interna o externa, o en los
el papel estratégico a ámbitos académicos o
conceder a la auditoría y legislativos, los
esencialmente la interlocutores tengan una
consideración del control referencia conceptual
como un proceso integrado común, lo cual hasta ahora
a los procesos operativos de resultaba complejo, dada la
la empresa y no como un multiplicidad de definiciones
conjunto pesado, y conceptos divergentes que
compuesto por mecanismos han existido sobre control
burocráticos. interno.
Informe COSO.

COSO I COSO II
(MICI) (ERM)

Enterprise
Internal Risk
Control - Management
Integrated - Integrated
Framework Framework
 Informe COSO.

Objetivos

Facilitar un
modelo en base al
Establecer una cual las empresas
definición común
y otras entidades,
de control interno
que responda a las cualquiera sea su
necesidades de las tamaño y
distintas partes. naturaleza, puedan
evaluar sus
sistemas de
control interno
 Control Interno.

 Proceso realizado por el consejo de

directores, administradores y otro personal
de una entidad, diseñado para proporcionar
seguridad razonable mirando el
cumplimiento de los objetivos en las
siguientes categorías:

 Efectividad y eficiencia de las operaciones.

 Confiabilidad de la información financiera.
 Cumplimiento de las leyes y regulaciones
aplicables.
 Control Interno.
 El Control Interno puede juzgarse efectivo en cada
una de las categorías anteriores respectivamente,
si quienes lo llevan a cabo tienen seguridad
razonable sobre que:

 Comprenden la extensión en la cual se están

obteniendo los objetivos de las operaciones de la
entidad.

 Los EEFF publicados se están preparando

confiablemente.

 Se está cumpliendo con las leyes y regulaciones

aplicables.
 Control Interno.

Efectuado por personas de la

organización: No solamente son políticas,
manuales y formatos realizados, son
personas que interactúan y se comunican
a lo largo de toda la estructura
organizacional de una empresa o entidad.
ESTRUCTURA DE COSO I

COSO I

AMBIENTE DE CONTROL

EVALUACION DE RIESGO

ACTIVIDAD DE CONTROL

INFORMACION y COMUNICACION

MONITOREO
ESTRUCTURA DEL COSO I
COSO ofrece un marco
de trabajo integrado
que define el control
interno en cinco
elementos
interrelacionados:

 Ambiente de
Control.
 Evaluación del
Riesgo.
 Actividades de
Control.
 Información &
Comunicación.
 Monitoreo.
 1. AMBIENTE DE CONTROL

Establece el tono de una organización , influyendo en la

conciencia que los empleados tienen sobre el control.
Es el fundamento de todos los demás componentes del
control interno, proporcionando disciplina y estructura.
Se considera lo siguiente:
 Integridad y valores Éticos.
 Compromisos para la competencia.
 Consejos de directores o comité de Auditoria.
 Filosofía de la Administración y Estilo de operación.
 Estructura Organizativa.
 Asignación de Autoridad y Responsabilidad.
 Políticas de Recursos Humanos.
 2. EVALUACION DEL RIESGO

 Identificación y análisis de los riesgos

relevantes para la consecución de los objetivos,
constituyendo una base para determinar cómo
se deben administrar los riesgos.
Diversos tipos de Riesgos se pueden resumir
en los siguientes:

 Contabilidad errónea e inapropiada.

 Costos excesivos/ingresos deficientes.
 Sanciones legales.
 Fraude o robo.
 Decisiones Erróneas de la Gerencia.
 Interrupción del negocio.
 Deficiencia en el logro de objetivos.
 Desventaja ante la competencia-
desprestigio de imagen.
 3. Actividades de Control.
 Políticas y procedimientos que ayudan a asegurar
que las directivas administrativas se lleven a cabo.

Tipos de Actividades de Control:

 Revisiones de alto nivel.

 Funciones directas o actividades administrativas.
 Procesamiento de la información.
 Controles físicos.
 Indicadores de desempeños.
 Segregación de responsabilidades.
 Políticas y procesamiento.
Diversos tipos de Riesgos se pueden
resumir en los siguientes:

 Cambio en el entorno de operación.

 Personal nuevo.
 Sistemas de Información nuevos o
modernizados.
 Modelo del negocio, productos o
actividades nuevas.
 Nuevos pronunciamientos de contabilidad.
4. INFORMACION Y COMUNICACION

 Identificación, obtención y comunicación

de información pertinente en una forma y
en un tiempo que le permita a los
empleados cumplir con sus
responsabilidades.
 Debe de existir una comunicación efectiva
en un sentido amplio, que fluya hacia
abajo, a lo largo y hacia arriba de la
organización.
 5. Monitoreo: Supervisión.

 Proceso que valora el desempeño de

sistema en el tiempo.

 El monitoreo asegura que el control interno

continua operando efectivamente. Este
proceso implica la valoración por parte del
personal apropiado, del diseño y operación
de los controles en una adecuada base de
tiempo y realizando las acciones apropiadas.
Cualquiera que sea el área de
observación indicada (Monitoreo), cada
una de ellas debe contener lo siguiente:
1. Descripción de la deficiencia encontrada.
2. Causa del problema.
3. Consecuencia de la debilidad
encontrada, y de ser posible su
cuantificación.
4. Correctivos adecuados según la
circunstancia.
5. Cualquier otro punto.
 Gestión de Riesgo.

 Todas las organizaciones

independientemente de su tamaño,
naturaleza o estructura, enfrentan riesgos.

 LOS OBJETIVOS DE LA GESTION DE

RIESGO SON IDENTIFICAR, CONTROLAR Y
ELIMINAR LAS FUENTES DE RIESGOS.
 Definición de Riesgo

 Es la probabilidad que ocurra un

determinado evento que puede tener efectos
negativos para la institución.

 Riesgos es uno de los cinco componentes

del Marco de Control Interno COSO.
 COSO II

“Administración
de riesgo de la
empresa” ERM
Estructura del COSO II.

 Los 8 componentes del

coso II están
interrelacionados entre si.
Estos procesos debe ser
efectuados por el director,
la gerencia y los demás
miembros del personal de
la empresa a lo largo de su
organización
 Los 8 componentes están
alineados con los 4
objetivos.
 Donde se consideran las
actividades en todos los
niveles de la organización
La administración de riesgos de la empresa (ERM) COSO
describe en su marco basado en principios tales como:

 La definición de administración de riesgos de la

empresa
 Los principios críticos y componentes de un
proceso de administración de riesgo corporativo
efectivo.
 Pautas para las empresa, para que ellas sean
capaces de administrar sus riesgos.
 Criterios para determinar si la administración de
riesgo de la empresa es efectiva.
Conceptos claves de el COSO II

 Administración del riesgo en la

determinación de la estrategia.
 Eventos y riesgo.
 Apetito de riesgo.
 Tolerancia al riesgo.
 Visión de portafolio de riesgo.
 Administración de Riesgos: Proceso efectuado por el
Directorio, Gerencia y otros miembros del personal ,
aplicado en el establecimiento de la estrategia y a lo
largo de la organización , diseñados para identificar
eventos potenciales que puedan afectarla y administrar
riesgos de acuerdo a su apetito de riesgos , de modo
de proveer seguridad razonable en cuanto al logro de
los objetivos de la organización.

 Eventos y Riesgos : Se deben identificar eventos y

riesgos potenciales que afectan la implementación de
las estrategias o el logro de los objetivos , con impacto
positivos, negativos o ambos.
 Apetito de Riesgo: Es la cantidad de riesgo en un
nivel amplio que una empresa esta dispuesta a
aceptar para generar valor.

 Se considera en el establecimiento de la estrategia

, permite el alineamiento de la organización, las
personas , procesos e infraestructura; Expresados
en términos cualitativos o cuantitativos.

 Tolerancia al Riesgo: Es el nivel aceptable de

desviación en relación con el logro de los
objetivos. Se alinea con el apetito de Riesgo.
 Visión de portafolio de Riesgos.
 ERM propone que el riesgo sea considerado desde
una perspectiva de la entidad en su conjunto o de
portafolio de riesgos.

ƒ
Permite desarrollar una visión de portafolio de
riesgos tanto a nivel de unidades de negocio como
a nivel de la entidad.

 ƒ Es necesario considerar como los riesgos

individuales se interrelacionan.

 ƒPermite determinar si el perfil de riesgo residual de

la entidad esta acorde con su apetito de riesgo
global.
Descripción de Componente del COSO II.
 1. Ambiente interno

 Sirve como la base fundamental para los

otros componentes del ERM, dándole
disciplina y estructura.
 Dentro de la empresa sirve para que los
empleados creen conciencia de los
riesgos que se pueden presentar en la
empresa
 2. Establecimientos de objetivos.

 Es importante para que la empresa prevenga

los riesgo, tenga una identificación de los
eventos, una evaluación del riesgo y una clara
respuesta a los riesgos en la empresa.

 La empresa debe tener una meta clara que se

alineen y sustenten con su visión y misión, pero
siempre teniendo en cuenta que cada decisión
con lleva un riesgo que debe ser previsto por la
empresa .
 3. Identificación de eventos

 Se debe identificar los eventos que afectan los

objetivos de la organización aunque estos sean
positivos, negativos o ambos, para que la
empresa los pueda enfrentar y proveer de la
mejor forma posible.
 La empresa debe identificar los eventos y debe
diagnosticarlos como oportunidades o riesgos.
Para que pueda hacer frente a los riesgos y
aprovechar las oportunidades.
IDENTIFICACIÓN DE EVENTOS
EVENTOS EXTERNOS
- La Economía.
- El Comercio.
- Catástrofes.
- Medio Ambiente.
- Políticas de gobierno.
- Cambios de ámbitos sociales.
- Tecnología.
 IDENTIFICACIÓN DE EVENTOS

EVENTOS INTERNOS

- La Infraestructura.

- El Personal.

- Procesos.

- Tecnología.
 IDENTIFICACIÓN DE EVENTOS

- RIESGOS.

- OPORTUNIDADES
 4. EVALUACIÓN DE RIESGOS

En la evaluación de riesgos se mezclan

los potenciales eventos futuros
relacionados a la entidad y sus objetivos,
lo que considera en el análisis del
tamaño de la estructura, la complejidad
de los procesos, funciones y el grado de
regulación de sus actividades, entre
otros.
 EVALUACIÓN DE RIESGOS

Evaluar los Riesgos desde 2 Perspectivas:

- Probabilidad.

- Impacto.
 EVALUACIÓN DE RIESGOS

Metodología de Evaluación de Riesgos:

- Cualitativas.

- Cuantitativas.
 5. Respuesta al riesgo

 Una vez evaluado el riesgo la gerencia identifica y

evalúa posibles repuestas al riesgo en relación al las
necesidades de la empresa.
 Las respuestas al riesgo pueden ser:
 Evitarlo: se discontinúan las actividades que generan
riesgo.
 Reducirlo: se reduce el impacto o la probabilidad de
ocurrencia o ambas
 Compartirlo: se reduce el impacto o la probabilidad de
ocurrencia al transferir o compartir una porción del
riesgo.
 Aceptarlo: no se toman acciones que afecten el
impacto y probabilidad de ocurrencia del riesgo.
 6. Actividades de control

 Son las políticas y procedimientos para

asegurar que las respuesta al riesgo se
lleve de manera adecuada y oportuna.

 Tipo de actividades de control:

Preventiva, detectivas, manuales,
computarizadas o controles gerenciales
 7. Información y comunicación

 La información es necesaria en todos los niveles

de la organización para hacer frente a los
riesgos identificando, evaluando y dando
respuesta a los riesgos.
 La comunicación se debe realizar en sentido
amplio y fluir por toda la organización en todo
los sentidos.
 Debe existir una buena comunicación con los
clientes, proveedores, reguladores y
accionistas.
 8. Monitoreo.

 Sirve para monitorear que el proceso de

administración de los riesgos sea efectivo
a lo largo del tiempo y que todos los
componentes del marco ERM funcionen
adecuadamente.
 El monitoreo se puede medir a través de:
Actividades de monitoreo continuo.
Evaluaciones puntuales.
Una combinación de ambas formas
 Monitoreo.

Las regulaciones también pueden comunicar a

la entidad disposiciones u otras materias que
afecten las funciones o los procesos de
administración de riesgos.

Los auditores internos y externos

permanentemente proponen recomendaciones
para fortalecer la Administración de riesgos.
 Monitoreo.

ROLES Y RESPONSABILIDADES

Todo el personal en una entidad tiene algún

tipo de responsabilidad en la
Administración de Riesgos:
- Directores.
- Gerentes.
- Oficiales de Riesgos.
- Auditor Interno.
- Otros miembros de la Organización.
 Monitoreo.

El personal debe ser consultado

periódicamente sobre si conocen,
cumplen los códigos de conducta de
su entidad.
Relación entre COSO I y COSO II.
MODELOS DE COSO I Y COSO II
 Diferencia Entre COSO Y COSO ERM
En cuanto a sus componentes

Como se puede observar desde el COSO I, el componente

que tiene una profundización mayor, es la Evaluación de
Riesgos, la cual pasa a transformarse en el centro del
análisis de un control interno moderno
 Análisis
 COSO II “ERM” toma muchos aspectos importantes que el
coso I no considera, como por ejemplo:
 El establecimiento de objetivos
 Identificación de riesgo
 Respuesta a los riesgos
 Se puede decir que estos componentes son claves para
definir las metas de la empresa .
 Si los objetivos son claros se puede decidir que riegos tomar
para hacer realidad las metas de la organización.
 Amplía el concepto de control interno, proporcionando un
foco más robusto y extenso sobre la identificación,
evaluación y gestión integral de riesgo.
 De esta manera se puede hacer una clara identificación,
evaluación, mitigación y respuesta para los riesgos.
 1. AMBIENTE DE CONTROL
Común en IC Y ERM Introducido en IC y Incremental para
Expandido en ERM ERM
Demuestra Ejercicios Establece la
compromiso con la responsabilidad de filosofía de
integridad y valores supervisión gestión de
éticos riesgos
Establece estructuras, - Establece la
autoridad, y la cultura de riesgo
responsabilidad

Demuestra - Establece el
compromiso con la apetito de riesgo
competencia
Hace cumplir la - -
rendición de cuentas
 2. Evaluación de riesgos
Común en IC Y ERM Introducido en IC y Incremental para ERM
Expandido en ERM

Evalúa el riesgo de fraude Identifica y analiza Distingue los riesgos y

los riesgos / eventos oportunidades

Identifica y analiza Desarrolla vista de

cambios significativos cartera a nivel de
entidad (evaluación
compuesta de riesgo
de las unidades
individuales.)
 3. Actividades de control
Común en IC Y ERM Introducido en IC y Incremental para
Expandido en ERM
ERM
Selecciona y desarrolla - -
el control actividades

Selecciona y desarrolla - -
en general controles
sobre la tecnología

Se implementa a través - -
de políticas y
procedimientos
 4. Información y comunicación
Común en IC Y ERM Introducido en IC y Incremental
Expandido en ERM para ERM
Se comunica Utiliza la información -
internamente relevante
Se comunica - -
externamente

- -
 5. Actividades de Monitoreo
Común en IC Y ERM Introducido en IC y Incremental
Expandido en ERM para ERM

Lleva a cabo - -
evaluaciones en curso y
/ o separadas

Evalúa y comunica - -
deficiencias
 COSO en la Organización.

GOBIERNOS CORPORATIVOS

ACCIONISTAS DIRECTORIO ADM. SUPERIOR

GESTION DE RIESGOS

ENTORNO
 COSO en la Organización.

 Gobiernos Corporativos: Es el conjunto de

relaciones, de mejores prácticas, que debe
establecer una empresa entre su Junta de
Accionistas , su Directorio y su Administración
Superior para acrecentar el valor para sus
accionistas y responder a los objetivos de todos
sus stakeholder.
NORMAS FUNDAMENTALES DE
CONTROL INTERNO
 PERSONAL COMPETENTE Y CONFIABLE.
 Capacitación
 Supervisión
 Rotación
 Vacaciones
 Fianzas
 Respaldo de la Alta Dirección
 Documentos y Registros
 Segregación adecuada de funciones
 Niveles de autorización y responsabilidad
 Auditorías Internas y Externas
 AUDITORIA INTERNA

 La función de auditoría interna ha

cambiado notablemente en los últimos
años, pasando de una auditoria tradicional
orientada a la protección de la empresa
(activos) hacia una auditoria enfocada al
control de los riesgos, a fin de aumentar el
valor de la organización para los
accionistas.
 COSO y Auditoria Interna.

 La auditoria interna se considerará entonces

como una parte del sistema de control.

 Informe COSO es una herramienta utilizada

por la Auditoria interna para realizar el control
interno de la empresa.

 La responsabilidad de los Auditores Internos

en este proceso es la de revisar el Control
implementado.
GRACIAS POR SU ATENCION!