Auditoria Basada en Modelo COSO

10/11/2021
MODELO COSO
En 1992 fue emitido el informe COSO denominado
“Marco Integrado de Control Interno”.
En mayo de 2013 se publicó la versión actualizada del

“Marco Integrado de Control Interno”
La denominación COSO es un acrónimo del “Committee of Sponsoring Organizations of

the Treadway Commission” (Comité de Organizaciones Patrocinadoras de la Comisión
Treadway).
Una iniciativa del sector privado patrocinada por las cinco mayores asociaciones
profesionales financieras de los Estados Unidos de América:
• Instituto Americano de Contadores Públicos

• Instituto de Auditores Internos
• Asociación Americana de Contabilidad
• Instituto de Contadores Gerenciales
• Instituto de Ejecutivos Financieros.
1
10/11/2021
MODELO COSO
Existe una relación directa entre los objetivos de la institución, los componentes de
control interno y la estructura organizacional:
Componentes de Control Estructura Organizacional

Objetivos
Interno
• Son los fines que debe alcanzar •Son los requisitos necesarios •Abarca a todas las unidades
la institución, con base en su que debe cumplir una institución administrativas, los procesos,
propósito, mandato y para alcanzar sus objetivos atribuciones, funciones y todas las
disposiciones jurídicas aplicables. institucionales. estructuras que la institución
establece para alcanzar sus
objetivos.
MODELO COSO
El Modelo COSO representa la relación entre los objetivos de la institución, los 5
componentes de control interno (con sus principios y puntos de interés) y la estructura
organizacional, en la forma de un cubo:
Las tres categorías en las que se

pueden clasificar los objetivos de la
institución son representadas por
las columnas en la parte superior del
cubo.
Los cinco componentes de control
interno son representados por las
filas.
La estructura organizacional es
representada por la tercera
dimensión del cubo.
2
10/11/2021
DEFINICIÓN DE OBJETIVOS
Los objetivos se pueden agrupar en una o más de las tres categorías siguientes:
 Operación. Se relacionan con las actividades que permiten

alcanzar el mandato legal, la misión y visión institucional. Es decir, la
eficacia y eficiencia en el logro de los objetivos institucionales.
 Cumplimiento. Este tipo de
objetivos hacen referencia al apego a
las disposiciones jurídicas y normativas
 Información. Se refiere a la confiabilidad de los informes aplicables, lo que incluye la
internos y externos. salvaguarda de la legalidad, honradez,
lealtad, imparcialidad, eficiencia y
Estos se pueden agrupar en tres subcategorías: prevención de la corrupción en el
desempeño institucional.
• Informes Financieros Externos
• Informes No Financieros Externos
• Informes Internos Financieros y No Financieros.
¿QUÉ SE NECESITA PARA ESTABLECER EL CONTROL INTERNO?
 Cada institución debe formular los objetivos de control

interno, a nivel institución, unidad, función y actividades
específicas, para asegurar, de manera razonable, que sus
objetivos institucionales, serán alcanzados de manera eficaz,
eficiente y económica.
Para ello, la institución debe implementar un sistema de control

interno basado en los Componentes de Control Interno.
3
10/11/2021
MODELO COSO
COMPONENTES LOS 17 PRINCIPIOS
1.1 Mostrar Actitud de Respaldo y Compromiso
1.2 Ejercer la Responsabilidad de Vigilancia
Ambiente de Control 1.3 Establecer la Estructura, Responsabilidad y Autoridad
1.4 Demostrar Compromiso con la Competencia Profesional
1.5 Establecer la Estructura para el Reforzamiento de la Rendición de Cuentas
2.1 Definir Objetivos y Tolerancias al Riesgo

Administración de 2.2 Identificar, Analizar y Responder a los Riesgos
Riesgos 2.3 Considerar el Riesgo de Corrupción
2.4 Identificar, Analizar y Responder al Cambio
3.1 Diseñar Actividades de Control

Actividades de Control 3.2 Diseñar Actividades para los Sistemas de Información
3.3 Implementar Actividades de Control
Información y 4.1 Usar Información de Calidad

4.2 Comunicar Internamente
Comunicación
4.3 Comunicar Externamente
5.1 Realizar Actividades de Supervisión

Supervisión 5.2 Evaluar los Problemas y Corregir las Diferencias
METODOLOGIA PARA LA EVALUACIÓN DE RIESGOS
1
PRIMER COMPONENTE
AMBIENTE DE CONTROL
Programa de Capacitación dirigido a Servidores Públicos

Estatales y Municipales PROFIS 2016
4
10/11/2021
AMBIENTE DE CONTROL
Es la base del control interno. Proporciona la disciplina y estructura que impactan a la

calidad de todo el control interno.
Influye en la definición de los objetivos y la constitución de las actividades de control.
Este Componente de Control Interno está asociado con 5 Principios.

AMBIENTE DE CONTROL
01.- Mostrar Actitud de Respaldo y Compromiso
• Actitud de Respaldo del Titular y la Administración.

• Normas de Conducta.
• Apego a las Normas de Conducta.
• Programa de Promoción de la Integridad y Prevención de la Corrupción.
• Apego, supervisión y actualización continua del Programa de Promoción de la Integridad y Prevención de
la Corrupción.
El Órgano de Gobierno, el Titular y la Administración deben mostrar una

actitud de respaldo y compromiso con la integridad; los valores éticos; las
normas de conducta, y la prevención de irregularidades administrativas y la
corrupción.

10
5
10/11/2021
AMBIENTE DE CONTROL
02.- Ejercer la Responsabilidad de Vigilancia.
• Estructura de Vigilancia.
• Vigilancia General del Control Interno.
• Corrección de Deficiencias.
El Órgano de Gobierno es responsable de vigilar el funcionamiento del control interno, a

través de la Administración y las instancias que establezca para tal efecto.

11
AMBIENTE DE CONTROL
03.- Establecer la Estructura, Responsabilidad y Autoridad.
• Estructura Organizacional.
• Asignación de Responsabilidad y Delegación de Autoridad.
• Documentación y Formalización del Control Interno.
El Titular debe autorizar la estructura organizacional, asignar responsabilidades

y delegar autoridad para alcanzar los objetivos institucionales, preservar la
integridad, prevenir la corrupción y rendir cuentas de los resultados
alcanzados.

12
6
10/11/2021
AMBIENTE DE CONTROL
04.- Demostrar Compromiso con la Competencia Profesional.
• Expectativas de Competencia Profesional.

• Atracción, Desarrollo y Retención de Profesionales.
• Planes y Preparativos para la Sucesión y Contingencias.
La Administración es responsable de establecer los medios necesarios para contratar,

capacitar y retener profesionales competentes.

13
AMBIENTE DE CONTROL
05.- Establecer la Estructura para el Reforzamiento de la Rendición de Cuentas.
• Establecimiento de una Estructura para Responsabilizar al Personal por sus Obligaciones de

Control Interno.
• Consideración de las Presiones por las Responsabilidades Asignadas al Personal.
La Administración debe evaluar el desempeño del control

interno en la institución y hacer responsables a todos los
servidores públicos por sus obligaciones específicas en la
materia.

14
7
10/11/2021
SEGUNDO COMPONENTE
ADMINISTRACIÓN DE RIESGOS

15
La Administración debe evaluar los riesgos que enfrenta la institución para el

logro de sus objetivos.
Asimismo, debe evaluar los Esta evaluación proporciona las bases

riesgos que enfrenta la para el desarrollo de respuestas al
institución tanto de fuentes riesgo apropiadas.
internas como externas.
Este componente consta de 4 Principios

16
8
10/11/2021
01.- Definir Objetivos y Tolerancias al Riesgo.
• Definición de Objetivos.
• Tolerancia al Riesgo.
El Titular debe definir claramente los objetivos institucionales y formular un plan estratégico
que de manera coherente y ordenada, se asocie a éstos y a su mandato legal, asegurando
además que dicha planeación estratégica contemple la alineación institucional a los planes
nacionales, regionales, sectoriales y todos los demás instrumentos y normativas vinculatorias
que correspondan.

17
02.- Identificar, Analizar y Responder a los Riesgos.
• Identificación de Riesgos.
• Análisis de Riesgos.
• Respuesta a los Riesgos.
La Administración debe considerar la posibilidad de ocurrencia de actos de corrupción,

fraudes, abuso, desperdicio y otras irregularidades relacionadas con la adecuada salvaguarda
de los recursos públicos al identificar, analizar y responder a los riesgos, en los diversos
procesos que realiza la institución.

18
9
10/11/2021
03.- Considerar el Riesgo de Corrupción.

• Tipos de Corrupción.
• Factores de Riesgo de Corrupción.
• Respuesta a los Riesgos de Corrupción.
La Administración debe identificar, analizar y

responder a los riesgos asociados al cumplimiento de
los objetivos institucionales, así como a los procesos
por los que se obtienen los ingresos y se ejerce el
gasto, entre otros.

19
04.- Identificar, Analizar y Responder al Cambio.
• Identificación del Cambio.

• Análisis y Respuesta al Cambio
La Administración debe identificar, analizar y

responder a los cambios significativos que
puedan impactar al control interno.

20
10
10/11/2021
TERCER COMPONENTE
ACTIVIDADES DE CONTROL

21
Son las acciones que establece la Administración mediante políticas y

procedimientos para alcanzar los objetivos y responder a los riesgos en el
control interno, lo cual incluye los sistemas de información institucional.
Este Componente de Control Interno está asociado

con 3 Principios.

22
11
10/11/2021
01.- Diseñar Actividades de Control.
• Respuesta a los Objetivos y Riesgos.

• Diseño de las Actividades de Control Apropiadas.
• Diseño de Actividades de Control en Varios Niveles.
• Segregación de Funciones.
La Administración debe diseñar, actualizar y garantizar la suficiencia e idoneidad de las actividades de

control establecidas para lograr los objetivos institucionales y responder a los riesgos. En este sentido, es
responsable de que existan controles apropiados para hacer frente a los riesgos que se encuentran
presentes en cada uno de los procesos que realizan, incluyendo los riesgos de corrupción.

23
02.- Diseñar Actividades para los Sistemas de Información.
• Desarrollo de los Sistemas de Información.

• Diseño de los Tipos de Actividades de Control Apropiadas.
• Diseño de la Infraestructura de las TIC.
• Diseño de la Administración de la Seguridad.
• Diseño de la Adquisición, Desarrollo y Mantenimiento de las
TIC.
La Administración debe diseñar los sistemas de información institucional y las actividades

de control asociadas, a fin de alcanzar los objetivos y responder a los riesgos.

24
12
10/11/2021
03.- Implementar Actividades de Control.
• Documentación y Formalización de Responsabilidades a través de Políticas.

• Revisiones Periódicas a las Actividades de Control.
La Administración debe implementar las actividades

de control a través de políticas, procedimientos y
otros medios de similar naturaleza, las cuales deben
estar documentadas y formalmente establecidas.

25
CUARTO COMPONENTE
INFORMACIÓN
Y
COMUNICACIÓN

26
13
10/11/2021
INFORMACIÓN Y COMUNICACIÓN
La información y comunicación eficaces son vitales para la

consecución de los objetivos institucionales.
Los Principios relacionados con este Componente son 3

27
01.- Usar Información de Calidad.
• Identificación de los Requerimientos de Información.

• Datos Relevantes de Fuentes Confiables.
• Datos Procesados en Información de Calidad.
La Administración debe implementar los medios que permitan

a las unidades administrativas generar y utilizar información
pertinente y de calidad para la consecución de los objetivos
institucionales.

28
14
10/11/2021
02.- Comunicar Internamente.
• Comunicación en Toda la Institución.

• Métodos Apropiados de Comunicación.
La Administración es responsable de que las unidades administrativas comuniquen

internamente, por los canales apropiados y de conformidad con las disposiciones
aplicables, la información de calidad necesaria para contribuir a la consecución de los
objetivos institucionales.

29
03.- Comunicar Externamente.
• Comunicación con Partes Externas.

• Métodos Apropiados de Comunicación.
La Administración es responsable de que las unidades administrativas comuniquen

externamente, por los canales apropiados y de conformidad con las disposiciones
aplicables, la información de calidad necesaria para contribuir a la consecución de los
objetivos institucionales.

30
15
10/11/2021
QUINTO COMPONENTE
SUPERVISIÓN

31
SUPERVISIÓN
La supervisión del control interno permite evaluar la calidad del desempeño en el

tiempo y asegura que los resultados de las auditorías y de otras revisiones se
atiendan con prontitud.
Este Componente de Control Interno está asociado con 2 Principios

32
16
10/11/2021
SUPERVISIÓN
01.- Realizar Actividades de Supervisión.
• Establecimiento de Bases de Referencia.

• Supervisión del Control Interno.
• Evaluación de Resultados.
La Administración debe establecer actividades para la adecuada supervisión del control

interno y la evaluación de sus resultados.

33
SUPERVISIÓN
02.- Evaluar los Problemas y Corregir las Deficiencias
• Informe sobre Problemas.

• Evaluación de Problemas.
• Acciones Correctivas.
La Administración es responsable de corregir oportunamente las

deficiencias de control interno detectadas.

34
17
10/11/2021
METODOLOGÍA PARA LA
EVALUACIÓN DE RIESGOS

35
Evaluación de Riesgos
Un sistema de control interno, de acuerdo con el Modelo COSO 2013, se encuentra
conformado por cinco componentes
1. Ambiente de Control
2. Administración de Riesgos
3. Actividades de Control
4. Información y Comunicación
5. Supervisión
Este componente consiste en el proceso para identificar los riesgos a los que están
expuestas las instituciones en el desarrollo de sus actividades y analizar los distintos
factores, internos y externos, que pueden provocarlos.
Con la finalidad de definir las estrategias que permitan administrarlos y, por lo

tanto, contribuir razonablemente al logro de los objetivos, metas y programas.

36
18
10/11/2021
IDENTIFICACIÓN DE
RIESGOS
Es una de las actividades clave dentro del proceso de administración

de riesgos, debido a que dicha actividad debe partir por identificar los
procesos y subprocesos que puedan afectar el cumplimiento de los
objetivos.

37
TÉCNICAS DE IDENTIFICACIÓN DE RIESGOS
1. Talleres de
9. Registros de Autoevaluación
riesgos de riesgos
materializados 2. Mapeo de
procesos
3. Análisis de
8. Análisis entorno
comparativo Técnicas para identificación interno y
de riesgos externo
7. Cuestionarios 4. Lluvia
dirigidos a 5. Análisis de de ideas
personal de indicadores de
mandos 6. gestión,
superiores o Entrevistas desempeño y
medios riesgos

38
19
10/11/2021
TIPOLOGIA DE RIESGOS
Existen diferentes tipos de riesgos, los cuales se clasifican de acuerdo con su naturaleza
Discrecionales No discrecionales
Resultan de la toma de una posición Resultan de la operación de la institución
de riesgo
• Presupuestal • Estratégico o sustantivo
• Financiero • Reputacional o de imagen
• Crédito • Integridad
• Liquidez • Operativo
• Tecnológico
• Legal
• Administrativo
• Servicios
• Seguridad
• Obra pública
• Recursos Humanos

39
CLASIFICACIÓN DE RIESGOS
El proceso de identificación incluye la clasificación de los
riesgos considerando por lo menos las siguientes categorías:
RIESGO ESTRATÉGICO
RIESGO FINANCIERO
RIESGO OPERATIVO
RIESGOS DE CUMPLIMIENTO LEGAL
RIESGO TECNOLÓGICO
RIESGO A LA INTEGRIDAD
RIESGO REPUTACIONAL O DE IMAGEN

40
20
10/11/2021
RIESGO ESTRATÉGICO
Se refiere a la ocurrencia de acontecimientos que afecten

directamente la misión y visión institucional.

41
RIESGO FINANCIERO
Representan la posibilidad de obtener pérdidas económicas.

42
21
10/11/2021
RIESGO OPERATIVO
Consiste en posibles alteraciones en la gestión, relacionadas con el

manejo inadecuado o fallido de aspectos organizacionales.

43
RIESGOS DE CUMPLIMIENTO LEGAL
Se refieren a la posibilidad de que una institución se vea

afectada por cumplir u omitir ciertas leyes, regulaciones o
políticas internas.

44
22
10/11/2021
RIESGO TECNOLÓGICO
Consiste en la posibilidad de que alguna herramienta

tecnológica falle o sea utilizada inadecuadamente en
detrimento de los fines institucionales.

45
RIESGO A LA INTEGRIDAD
Está relacionado con la posibilidad de que un servidor público

actúe de modo voluntario para obtener un beneficio propio en
detrimento de la ciudadanía.

46
23
10/11/2021
RIESGO REPUTACIONAL O DE IMAGEN
Se refiere al desprestigio de la institución por la ocurrencia de actos de

corrupción que trae como consecuencia la pérdida de credibilidad y
confianza de la sociedad.

47
MAPA DE RIESGOS Y SU PRIORIZACIÓN

MAPA DE RIESGOS
El mapa permite ubicar qué riesgos se encuentran con mayor
IMPACTO
valoración de probabilidad e impacto; a partir de esto se deberá

decidir qué respuesta a los riesgos ubicados con niveles altos deben
de administrarse.
PRIORIZACIÓN DE RIESGOS PROBABILIDAD

Zona de riesgo tolerable
Una vez realizada la evaluación de riesgos con base en los criterios RIESGO BAJO Se debe determinar si estos
de probabilidad e impacto, es necesario priorizar los riesgos ya 1-6 riesgos se aceptan, previenen o
mitigan.
evaluados, esto permite determinar cuáles requieren de un
Zona de riesgo moderado
tratamiento inmediato, de acuerdo con el siguiente mapa de calor y RIESGO Se debe determinar si estos
los valores establecidos, que permitirá ubicar cada riesgo MODERADO riesgos se comparten o
8-12 transfieren para mitigarlos de
identificado en el cuadrante que le corresponda de acuerdo con su manera adecuada.
evaluación; de esta forma la entidad puede establecer su nivel de Zona de riesgos significativo
tolerancia a riesgos. RIESGO ALTO Se deben tomar las medidas
15-25 necesarias para mitigar estos
riesgos.

48
24
10/11/2021
ESTRATEGIAS PARA LA MITIGACIÓN DE RIESGOS
EVALUACIÓN DE CONTROLES
Una vez que se han identificado, evaluado y priorizado los riesgos; es necesario identificar las actividades de
control que existen para mitigar dichos riesgos, asimismo, es importante evaluar qué tan efectivos son los
controles que se encuentran establecidos tanto en su funcionamiento, así como en su diseño; esta actividad es
clave, ya que la existencia de controles inadecuados manifiestan una gestión de riesgos deficiente.
RESPUESTA AL RIESGO Vigilar Asumir
La entidad deberá establecer las Evitar Transferir

políticas de administración de riesgos
considerando las siguientes
Compartir Mitigar
estrategias

49
NIVEL DE TOLERANCIA AL RIESGO
1.Apetito 2.Tolerancia al
de riesgo
riesgo
1. Es una aprobación de alto nivel de aceptación de un riesgo en el logro de

los objetivos.
2. Es el nivel aceptable de diferencia respecto al logro de los objetivos.

50
25
10/11/2021
INFORME AL TITULAR DE LA ENTIDAD SOBRE LOS RIESGOS QUE SE DETECTARON
Una vez que los riesgos han sido ubicados en la matriz se procederá a informar al titular de la
entidad como a continuación se describe:
• Los resultados obtenidos se comentarán en reunión con el titular de la entidad.

• Se debe informar al titular los resultados de la matriz de identificación de riesgos con
el objetivo de determinar las acciones correspondientes para la administración de
riesgos.

51
GRACIAS
52
26

Auditoria Basada en Modelo COSO

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoria Basada en Modelo COSO

Cargado por

Copyright:

Formatos disponibles

10/11/2021

En mayo de 2013 se publicó la versión actualizada del

La denominación COSO es un acrónimo del “Committee of Sponsoring Organizations of

• Instituto Americano de Contadores Públicos

Componentes de Control Estructura Organizacional

Las tres categorías en las que se

 Operación. Se relacionan con las actividades que permiten

¿QUÉ SE NECESITA PARA ESTABLECER EL CONTROL INTERNO?

 Cada institución debe formular los objetivos de control

Para ello, la institución debe implementar un sistema de control

2.1 Definir Objetivos y Tolerancias al Riesgo

3.1 Diseñar Actividades de Control

Información y 4.1 Usar Información de Calidad

5.1 Realizar Actividades de Supervisión

METODOLOGIA PARA LA EVALUACIÓN DE RIESGOS

Programa de Capacitación dirigido a Servidores Públicos

METODOLOGIA PARA LA EVALUACIÓN DE RIESGOS

Es la base del control interno. Proporciona la disciplina y estructura que impactan a la

Influye en la definición de los objetivos y la constitución de las actividades de control.

Este Componente de Control Interno está asociado con 5 Principios.

Programa de Capacitación dirigido a Servidores Públicos

METODOLOGIA PARA LA EVALUACIÓN DE RIESGOS

01.- Mostrar Actitud de Respaldo y Compromiso

• Actitud de Respaldo del Titular y la Administración.

El Órgano de Gobierno, el Titular y la Administración deben mostrar una

Programa de Capacitación dirigido a Servidores Públicos

METODOLOGIA PARA LA EVALUACIÓN DE RIESGOS

02.- Ejercer la Responsabilidad de Vigilancia.

El Órgano de Gobierno es responsable de vigilar el funcionamiento del control interno, a

Programa de Capacitación dirigido a Servidores Públicos

METODOLOGIA PARA LA EVALUACIÓN DE RIESGOS

03.- Establecer la Estructura, Responsabilidad y Autoridad.

El Titular debe autorizar la estructura organizacional, asignar responsabilidades

Programa de Capacitación dirigido a Servidores Públicos

METODOLOGIA PARA LA EVALUACIÓN DE RIESGOS

04.- Demostrar Compromiso con la Competencia Profesional.

• Expectativas de Competencia Profesional.

La Administración es responsable de establecer los medios necesarios para contratar,

Programa de Capacitación dirigido a Servidores Públicos

METODOLOGIA PARA LA EVALUACIÓN DE RIESGOS

05.- Establecer la Estructura para el Reforzamiento de la Rendición de Cuentas.

• Establecimiento de una Estructura para Responsabilizar al Personal por sus Obligaciones de

La Administración debe evaluar el desempeño del control

Programa de Capacitación dirigido a Servidores Públicos

METODOLOGIA PARA LA EVALUACIÓN DE RIESGOS

Programa de Capacitación dirigido a Servidores Públicos

METODOLOGIA PARA LA EVALUACIÓN DE RIESGOS

La Administración debe evaluar los riesgos que enfrenta la institución para el

Asimismo, debe evaluar los Esta evaluación proporciona las bases

Este componente consta de 4 Principios

Programa de Capacitación dirigido a Servidores Públicos

METODOLOGIA PARA LA EVALUACIÓN DE RIESGOS

01.- Definir Objetivos y Tolerancias al Riesgo.

Programa de Capacitación dirigido a Servidores Públicos

METODOLOGIA PARA LA EVALUACIÓN DE RIESGOS

02.- Identificar, Analizar y Responder a los Riesgos.

La Administración debe considerar la posibilidad de ocurrencia de actos de corrupción,

Programa de Capacitación dirigido a Servidores Públicos

METODOLOGIA PARA LA EVALUACIÓN DE RIESGOS

03.- Considerar el Riesgo de Corrupción.

La Administración debe identificar, analizar y

Programa de Capacitación dirigido a Servidores Públicos

METODOLOGIA PARA LA EVALUACIÓN DE RIESGOS