Componentes del COSO 2013:

Con esta breve introducción, estamos listos para continuar con el desarrollo de los
Componentes del COSO 2013:

El COSO 2013 se centra en 5 componentes: Ambiente de Control, Evaluación de Riesgos,

Actividades de Control, Información y Comunicación y Supervisión y Monitoreo, y con
17 principios distribuidos en cada componente.

A continuación, trataremos sobre cada uno de los Componentes del COSO 2013:

1. Ambiente de Control.
Es el conjunto de estándares, procesos y estructuras que proveen la base para ejecutar el
proceso de control interno a través de la organización.
Principios:
1. La Dirección demuestra compromiso por la integridad y los valores éticos.
2. El Consejo de Administración demuestra una independencia de la administración
y ejerce una supervisión del desarrollo y el rendimiento de los controles internos.
3. La Administración establece, con la aprobación del Consejo, las estructuras, líneas
de reporte y las autoridades y responsabilidades apropiadas en la búsqueda de
objetivos.
4. La organización demuestra un compromiso a atraer, desarrollar y retener
personas competentes en alineación con los objetivos.
5. La organización retiene individuos comprometidos con sus responsabilidades de
control interno en la búsqueda de objetivos.

Es importante mencionar que, en este componente, la Dirección juega un papel muy

importante, son los que establecen las pautas en la organización con respecto a la
importancia del Control Interno, y las normas de conductas que se esperan sean de mayor
orden y ejecución de todos.

2. Evaluación de Riesgo.

La evaluación de riesgos es un proceso dinámico e interactivo, las organizaciones en sus

diferentes niveles de envergadura enfrentan a riesgos externos e internos en sus diversos
procesos. El riesgo es definido como la posibilidad de que ocurra un evento que afecte de
forma considerable el cumplimiento de los objetivos.
Principios:
6. La organización identifica y evalúa cambios que pueden impactar
significativamente al sistema de control interno.
7. La organización especifica objetivos con suficiente claridad para permitir la
identificación y valoración de los riesgos relacionados a los objetivos.
8. La organización identifica los riesgos sobre el cumplimiento de los objetivos a
través de la entidad y analiza los riesgos para determinar cómo esos riesgos deben
de administrarse
9. La organización identifica y evalúa cambios que pueden impactar
significativamente al sistema de control interno.
3. Actividades de Control.
Son las actividades que se establecen a través de políticas y procedimientos para ayudar
a la alta gerencia a mitigar los riesgos que se pueden presentar para el cumplimiento de
los objetivos. La evaluación de riesgos es un proceso dinámico e interactivo, asimismo en
este componente se efectúa la documentación de matrices de riesgos y controles para las
dependencias tecnológicas con terceros.

Principios:
10. La organización elige y desarrolla actividades de control que contribuyen a la
mitigación de riesgos para el logro de objetivos a niveles aceptables
11. La organización elige y desarrolla actividades de control generales sobre la
tecnología para apoyar el cumplimiento de los objetivos
12. La organización despliega actividades de control a través de políticas que
establecen lo que se espera, y procedimientos que ponen dichas políticas en acción.

4. Información y Comunicación.
La información es necesaria para que la entidad pueda llevar a cabo sus
responsabilidades de control interno y soportar el cumplimiento de objetivos.
La comunicación es un proceso continuo e interactivo de proveer, compartir y obtener la
información necesaria.

Principios:
13. Se utiliza información relevante y de calidad para la adecuada función de Control
Interno.
14. Se comunica internamente información relevante, incluyendo objetivos
y responsabilidades para el control interno.
- Para ello es importante la existencia de canales de comunicación entre la Gerencia
y la Junta de Directores.
- La formalización de líneas de comunicación independientes, como por ejemplo
una línea de denuncias.
- La selección de los métodos de comunicación interna, producto de la evaluación
de la oportunidad, audiencia y naturaleza de la información.
15. Se comunica externamente la información relevante del sistema de control interno.
Como se logra:
 A través de la formalización de canales de comunicación externos con
los stakeholders (conformado por clientes, proveedores, accionistas, reguladores,
entidades financieras, etc)
 Existencia de canales abiertos de recepción de información de clientes,
consumidores, proveedores, reguladores, etc.
 La información recopilada debe ser transmitida a la Junta de Directores.
 La línea de denuncia debe estar disponible para los diversos stakeholders.
 Selección de los métodos de comunicación interna, producto de la evaluación de
la oportunidad, audiencia y naturaleza de la información recibida y/o generada para
los stakeholders.

5. Actividades de Monitoreo
Evaluaciones permanentes, evaluaciones independientes o una combinación de las dos
para realizar un aseguramiento de los cinco componentes de control interno, validando
que cada uno de los componentes existe y está funcionando efectivamente.
Principios:
16. Selecciona, desarrolla y ejecuta evaluaciones permanentes y periódicas de cada
componente del sistema de control interno.
17. Evalúa y comunica las deficiencias de control interno de manera oportuna a los
responsables de tomar acciones correctivas (gerencia o directorio).