COSO

COSO (Committee of Sponsoring Organizations of the Treadway) es una Comisión voluntaria

constituida por representantes de cinco organizaciones del sector privado en EEUU, para
proporcionar liderazgo intelectual frente a tres temas interrelacionados: la gestión del riesgo
empresarial (ERM), el control interno, y la disuasión del fraude. Las organizaciones son:

La Asociación Americana de Contabilidad (AAA)

El Instituto Americano de Contadores Públicos Certificados (AICPA)

Ejecutivos de Finanzas Internacional (FEI), el Instituto de Auditores Internos (IIA)

La Asociación Nacional de Contadores (ahora el Instituto de Contadores Administrativos [AMI]).

Desde su fundación en 1985 en EEUU, promovida por las malas prácticas empresariales y los años
de crisis anteriores, COSO estudia los factores que pueden dar lugar a información financiera
fraudulenta y elabora textos y recomendaciones para todo tipo de organizaciones y entidades
reguladoras como el SEC (Agencia Federal de Supervisión de Mercados Financieros) y otros.

COSO I

En 1992 la comisión publicó el primer informe “Internal Control - Integrated Framework”

denominado COSO I con el objeto de ayudar a las entidades a evaluar y mejorar sus sistemas de
control interno, facilitando un modelo en base al cual pudieran valorar sus sistemas de control
interno y generando una definición común de “control interno”.

Según COSO el Control Interno es un proceso llevado a cabo por la dirección y el resto del personal
de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en
cuanto a la consecución de objetivos dentro de las siguientes categorías:

Eficacia y eficiencia de las operaciones

Confiabilidad de la información financiera

Cumplimiento de las leyes, reglamentos y normas que sean aplicables

La estructura del estándar se dividía en cinco componentes:

1. Ambiente de Control

2. Evaluación de Riesgos

3. Actividades de Control
4. Información y Comunicación

5. Supervisión.

COSO II

En 2004, se publicó el estándar “Enterprise Risk Management - Integrated Framework” (COSO II)
Marco integrado de Gestión de Riesgos que amplía el concepto de control interno a la gestión de
riesgos implicando necesariamente a todo el personal, incluidos los directores y administradores.

COSO II (ERM) amplía la estructura de COSO I a ocho componentes:

Ambiente de control: son los valores y filosofía de la organización, influye en la visión de los
trabajadores ante los riesgos y las actividades de control de los mismos.

Establecimiento de objetivos: estratégicos, operativos, de información y de cumplimientos.

Identificación de eventos, que pueden tener impacto en el cumplimiento de objetivos.

Evaluación de Riesgos: identificación y análisis de los riesgos relevantes para la consecución de los
objetivos.

Respuesta a los riesgos: determinación de acciones frente a los riesgos.

Actividades de control: Políticas y procedimientos que aseguran que se llevan a cabo acciones
contra los riesgos.

Información y comunicación: eficaz en contenido y tiempo, para permitir a los trabajadores

cumplir con sus responsabilidades.

Supervisión: para realizar el seguimiento de las actividades.

COSO III

En mayo de 2013 se ha publicado la tercera versión COSO III. Las novedades que introducirá este
Marco Integrado de Gestión de Riesgos son:
Mejora de la agilidad de los sistemas de gestión de riesgos para adaptarse a los entornos

Mayor confianza en la eliminación de riesgos y consecución de objetivos

Mayor claridad en cuanto a la información y comunicación.

Algunos de los beneficios de utilizar el estándar COSO en las organizaciones son:

Promueve la gestión de riesgos en todos los niveles de la organización y establece directrices para
la toma de decisiones de los directivos para el control de los riesgos y la asignación de
responsabilidades.

Ayuda a la integración de los sistemas de gestión de riesgos con otros sistemas que la organización
tenga implantados

Ayuda a la optimización de recursos en términos de rentabilidad

Mejora la comunicación en la organización

Mejora el control interno de la organización

MODELO COCO.

GENERALIDADES

El informe COCO fue publicado por el Instituto Canadiense de Contadores Autorizados en 1995,
con el objetivo de simplificar los conceptos y lenguaje para hacer posible una discusión del alcance
total del control en cualquier nivel de la organización.

El modelo COCO es producto de una profunda revisión al modelo coso por parte del Comité de
Criterios de Control de Canadá, con el propósito de hacer un planteamiento de un modelo más
sencillo y comprensible ante las dificultades que enfrentaron inicialmente algunas organizaciones
en la aplicación del informe coso.

El modelo COCO define el control interno de una forma idéntica al modelo coso, la diferencia se
encuentra en que el modelo COCO proporciona un marco de referencia a través de 20 criterios
agrupados en 4 componentes, que el personal en todo la organización puede usar para diseñar,
desarrollar, modificar o evaluar el control.
Estos 20 criterios conforman un ciclo lógico de acciones a ejecutar para asegurar el cumplimiento
de los objetivos de una organización, también conocido como ciclo de entendimiento básico del
control.

DEFINICIÓN

Es un proceso efectuado por la junta directiva, la administración, y por el personal en general

diseñado para proporcionar por medio de criterios un aseguramiento razonable con respecto al
logro de los objetivos

Componentes.

El modelo COCO busca proporcionar un entendimiento del control y dar respuesta a las siguientes
tendencias:

En el impacto de la tecnología y el recorte a las estructuras organizacionales, debido a la

implantación de medios informales, como la visión empresarial compartida, comunión de valores y
una comunicación mas abierta.

En el énfasis de las autoridades para establecer controles,como una forma de proteger los
intereses de los accionista.

En la creciente demanda de informar públicamente acerca de la efectividad del control.

El modelo pretende desarrollar orientaciones o guías generales para el diseño, evaluación y

reportes sobre los sistemas de control de las organizaciones.

CARACTERÍSTICAS

La característica principal es la participación del personal, ya que ayuda a:

Al personal, para desarrollar sus funciones y ejercitar su juicio y creatividad, al tiempo que
administra o controla los riesgos.

El personal tiene la flexibilidad de impulsar cambios en la organización o gestión, al tener un

adecuado conocimiento de los riesgos.

El personal posee información confiable y está en aptitud de usarla al momento oportuno y al más
adecuado nivel en la organización
La organización puede lograr mejoras en la efectividad y eficiencia y obtener mayor confianza por
parte de terceros interesados.

COMPONENTES.

PROPÓSITO.

En esta etapa se Incluyen la misión, visión, estrategia, riesgos y oportunidades, políticas, objetivos
e indicadores de desempeño, como se detalla a continuación:

Los objetivos deben ser establecidos y ser comunicados.

Consiste en que los objetivos establecidos por la empresa deben darse a conocer a todas las partes
involucradas utilizando todos los medios disponibles y necesarios para que todos tengan muy claro
lo que tienen que hacer y como lo deben hacer,

evitando los esfuerzos innecesarios.

Se deben identificar los riesgo internos y externos que puedan afectar el logro de los objetivos.

Se debe identificar todos aquellos riesgos que afecten directamente o indirectamente el logro de
objetivos, ya sean estos internos como externos, lo cual se lograra implementando políticas de
prevención de riesgos, utilizando tecnología de punta para detectar y prevenir los riesgos que
puedan incidir en gran manera en el logro de los objetivos.

Las políticas diseñadas para apoyar el logro de objetivos pueden ser comunicados, de manera que
el personal identifique el alcance de su libertad de actuación.

Para lograr el logro de objetivos es necesario que el personal conozca las políticas de apoyo para la
ejecución de sus actividades, de esta manera se pretende que el personal conozca su campo de
acción, es decir el alcance de su libertad en una entidad.

Los planes para dirigir esfuerzos en la realización de los objetivos de organización deben ser
establecidos y comunicados.
Consiste en que todas las actividades a realizarse deben estar guiados por un plan muy bien
estructurado y definido, de tal manera que los involucrados sepan que hacer en el momento, de
esta manera se logra optimizar el talento humano.

Los objetivos y planes deben incluir metas, parámetros e indicadores de medición del desempeño.

Todos los objetivos y planes deben estar acompañados con sus respectivas metas e indicadores
que nos permitan medir el desempeño de la actividad.

COMPROMISO.

Considera todos los aspectos relativos a la identidad y valores de la organización.

Se deben establecer y comunicar los valores éticos de la organización.

Se debe comunicar a los empleados los valores éticos con los que se van a trabajar, para de esta
manera asegurar la integridad de la empresa, ya que los valores empresariales dependen de los
valores de los trabajadores.

Las políticas y practicas sobre recursos humanos deben ser consistentes con los valores éticos de
la organización y con el logro de objetivos.

Consiste en que el personal de la organización debe tener claro que en una empresa las políticas
deben desarrollarse tal como se establecen.

La autoridad y la responsabilidad deben ser claramente definidos y consistentes con los objetivos
de la organización, para que las decisiones se tome por el personal apropiado.

En las organizaciones es fundamental establecer niveles jerárquicos que permitan el correcto

funcionamiento y el cumplimiento de sus funciones.

Se debe fomentar una atmósfera de confianza, para apoyar el flujo de la información.

Es necesario motivar al personal para que las operaciones sean realizadas de la mejor manera y
poniendo todo el interés posible.

CAPACIDAD.

Esta etapa cubre aspectos como conocimientos, habilidades y herramientas, información,

coordinación y actividades de control, los criterios son los siguientes.

El personal debe tener los conocimientos, las habilidades y las herramientas que sean necesarias
para el logro de los objetivos de la organización.

Es necesario contratar personal que tenga al menos un conocimiento básico sobre las actividades
a desarrollar.

El proceso de comunicación debe apoyar los valores éticos de la organización.

Debe existir una buena y constante comunicación entre los gerentes o encargados de las
diferentes áreas funcionales de la empresa.

Se debe identificar y comunicar información suficiente y relevante para el logro de los objetivos.

Consiste en la depuración de la información, ya que no toda es necesaria para la toma de

decisiones.

Las decisiones y acciones de las diferentes partes de una organización deben ser coordinadas.

Es necesario que los gerentes de las diferentes áreas o funciones se reúnan para establecer y
planificar acciones en bien de la compañía.

Las actividades de control deben ser diseñadas como una parte integral de la organización.
Se debe considera que las actividades de control de las diferentes áreas sean en función a las
actividades de control de una compañía.

EVALUACIÓN Y APRENDIZAJE.

Toma en cuenta la evolución de la organización, mediante el monitoreo del entorno, el

seguimiento del desempeño y aplicación, y seguimiento de procedimientos.

Se debe supervisar el ambiente interno y externo para identificar información que oriente hacia la
re evaluación de objetivos.

Las personas encargadas del control interno, deben reunirse para obtener información de las
diferentes áreas que ayuden a identificar factores internos y externos para realizar una re
evaluación de los objetivos.

El desempeño debe ser evaluado contra metas e indicadores.

Se el desempeño del empleado de la empresa en función del cumplimiento de metas impuestas a

cada empleado.

Las premisas consideradas para el logro de los objetivos deben ser revisadas periódicamente.

Se debe revisar periódicamente los resultados alcanzados para tener plena seguridad de que las
metas propuesta se estén cumpliendo tal como se a establecido para la toma de decisiones.

Los sistemas de información deben ser evaluados nuevamente en la medida en que cambien los
objetivos y se precisen deficientes en la información.

Se debe revisar que los sistemas de información no se vuelvan obsoletos y perjudiquen al

cumplimiento de los objetivos.
Debe comprobarse el cumplimiento de los procedimientos modificados.

La persona encargada del control interno debe de revisar periódicamente el cumplimiento de

todos los procedimientos que sean modificados.

La gerencia debe determinar la eficacia del control en su organización y comunicar periódicamente

los resultados a los responsables.

La evaluacion del sistema de control interno se debe realizar al menos cada tres meses, y se debe
informar a los encargados de area las debilidades encontradas.

MICIL (MARCO INTEGRADO DE CONTROL INTERNO LATINOAMERICANO)

El marco integrado de control interno fue desarrollado por los requerimientos de los auditores
externos, como base para determinar el grado de confiabilidad en las operaciones realizadas y las
registradas, a partir de su evaluación. Con el desarrollo de las funciones de control y auditoría
profesional las organizaciones han llegado a crear y constituir las “Direcciones Ejecutivas de
Auditoría Interna” (DEAI) de las entidades y empresas, cuya principal actividad está dirigida a la
evaluación del control interno orientado hacia la evaluación de los riesgos respecto al eficiente uso
de los recursos, el eficaz logro de los objetivos para los cuales se creó la entidad.

OBJETIVO

Según Acosta (2004)

· Su objetivo es guiar a los miembros de la junta, gerentes, u otros empleados que desean
mejorar su comprensión acerca del control interno y su efectividad.

· Debe estar disponible para los principales ejecutivos de la organización, además, debe
elaborarse una presentación sencilla para el personal operativo y de apoyo a fin de que se
sensibilice con sus contenidos y sea el camino para que se apropie de la misión, objetivos y metas
de la institución.

COMPONENTES Y FACTORES

Define Sanchez (2004)

Los componentes de control interno son los requisitos básicos para el diseño y funcionamiento del
MICIL de una organización o de una actividad importante y son:
1. Ambiente de control y trabajo.

1.1. Entorno o ambiente de control y trabajo institucional

2. Evaluación de riesgos.

2.1. Evaluación de los riesgos para obtener los objetivos

3. Actividades de control.

3.1.Actividades de control para minimizar los riesgos

4. Información y comunicación.

4.1. Información y comunicación para fomentar la transparencia

5. Supervisión.

5.1.Supervisión interna continua y externa periódica

Ambiente de control y trabajo

El entorno de control marca las pautas de comportamiento de una organización, y tiene una
influencia directa en el nivel de concientización del personal respecto al control.

Constituye la base de todos los demás elementos del control interno, aportando disciplina y
estructura. Entre los factores que constituyen el entorno de control se encuentran la honradez, los
valores éticos y la capacidad del personal; la filosofía de la dirección y su forma de actuar; la
manera en que la dirección distribuye la autoridad y la responsabilidad y organiza y desarrolla
profesionalmente a sus empleados, así como la atención y orientación que proporciona el consejo
de administración.

Evaluación de riesgos

Toda entidad debe hacer frente a una serie de riesgos, tanto de origen interno como externo, que
deben evaluarse. Una condición previa a la evaluación de los riesgos es el establecimiento de
objetivos en cada nivel de la organización y que sean coherentes entre sí. La evaluación del riesgo
consiste en la identificación y análisis de los factores que podrían afectar la consecución de los
objetivos y, sobre la base de dicho análisis, determinar la forma en que los riesgos deben ser
gestionados.”

Actividades de control
Las actividades de control consisten en las políticas y los procedimientos que tienden a asegurar
que se cumplen las directrices de la dirección. También tienden a asegurar que se toman las
medidas necesarias para afrontar los riesgos que ponen en peligro la consecución de los objetivos
de la entidad. Las actividades de control se llevan a cabo en cualquier parte de la organización, en
todos los niveles y en todas sus funciones.

Información y comunicación

El componente dinámico del marco integrado de control interno es la “información y

comunicación”, que por su ubicación en la pirámide del control interno comunican el ambiente de
control y trabajo (base) con la supervisión (cima), con la evaluación del riesgo y las actividades de
control, conectando en forma ascendente a través de la información y descendente mediante la
calidad de comunicación generada por la supervisión ejercida.

Supervisión

Resulta necesario realizar una supervisión de los sistemas de control interno, evaluando la calidad
de su rendimiento. Dicho seguimiento tomará la forma de actividades de supervisión continuada,
de evaluaciones periódicas o una combinación de las anteriores.

EN DONDE SE APLICA EL MICIL

Menciona Blanco (2005) que el Marco Integrado de Control Interno Latinoamericano (MICIL) se
aplica en las medianas y pequeñas organizaciones. El control interno diseñado debe orientarse a
facilitar la consecución de los objetivos de la organización, eficiencia y eficacia de las operaciones,
confiabilidad de la información financiera y operativa, protección de los activos, y cumplimiento de
las leyes, regulaciones y contratos. En el desarrollo puede enfocarse a nivel global de un país, hacia
los poderes de un Estado, dirigido a los sectores importantes de la economía, hacia las entidades
públicas específicas, para las empresas privadas en sus diferentes actividades, enfocado a las
organizaciones de la sociedad civil, dirigido a las municipalidades y especializado para las unidades
de operación.

FORTALEZAS

· Está dirigido al logro de los objetivos

· Disponer de un marco general sencillo y apoyado en los criterios técnicos

· Es un modelo que se adecua a cada empresa y a sus necesidades.

· Involucra a todo el personal de la empresa

· Los gerentes fortalecen las áreas de interés y puede dirigir de manera más eficaz la empresa.

DEBILIDADES

Algunas de las debilidades del MICIL son:

· Errores humanos

· Falta de supervisión

· Omisión de los controles por la dirección

· Colusión del personal

CONCLUSIONES

· El MICIL está basado en los valores y los principios éticos del personal de las organizaciones.

· Es una herramienta importante para aquellos administradores o gerentes de pequeñas,

medianas o grandes empresas porque sirve como apoyo o referencia a sus necesidades sobre el
sistema de control interno.

· Su principal fortaleza es que contribuye para que las empresas cumplan sus objetivos,
fortalezca el control interno y se eviten riesgos en las operaciones.