UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA

FACULTAD DE CIENCIAS ECONOMICAS

CENTRO UNIVERSITARIO CUILAPA SANTA ROSA

LICENCIATURA: Contaduría Pública y Auditoria

CURSO: Normas Internacionales de Auditoria

CATEDRÁTICO: Luis Antonio Reyes Aguilar

TAREA: COSO ERM

ALUMNA:

Mayerli Maribel Morataya Batres

CARNE:
3313-21-1003

CICLO
2023
 COSO ERM
COSO (Committee of Sponsoring Organizations of the Tradeway Commission) es una organización
compuesta por organismos privados, establecida en los EEUU, dedicada a proporcionar un modelo
común de orientación a las entidades sobre aspectos fundamentales de:
 Gestión ejecutiva y de gobierno,
 Ética empresarial,
 Control interno,
 Gestión del riesgo empresarial,
 Control del fraude, y
 Presentación de informes financieros.

Objetivo:
La implementación de COSO ERM se enfoca en la estrategia y desempeño, de tal forma que las
organizaciones se orienten desde dicho marco en los riesgos empresariales y emergentes asociados
a la estrategia definida, y la cual tiene efectos en todas las áreas de la organización. (AUDITOL, s.f.)

Evolución del Modelo COSO:

1992: publicación del Internal Control – Integrated Framework (Informe COSO o COSO I), como un
marco integrado para ayudar a las empresas a evaluar y mejorar sus sistemas de control interno.

2004: se publica el Modelo COSO ERM (Enterprise Risk Management – Integrated Framework) o
COSO II, permitiendo a las compañías mejorar su gestión de control interno mediante un proceso
más completo de gestión del riesgo.

2013: publicación del modelo COSO III, actualizado en el modelo COSO ERM 2017, que mejora el
Marco Integrado para permitir una mayor cobertura de los riesgos a los que se enfrentan las
organizaciones.

Representación del Modelo COSO ERM 2017

El COSO ERM es un organismo de reconocimiento internacional donde se establecen los

marcos reguladores básicos de riesgo y cumplimiento en temas de control interno. Hace algunos
meses se realizaron algunos cambios fundamentales que se han publicado en el 2017.

Los cambios se centran en la cultura, la cultura de administración de riesgos, que ya se venían

utilizando según los puntos fundamentales de riesgo, pero se fortalece mucho la cultura sobre el
riego. El cambio es muy importante y se deberá desarrollar en cada una de las organizaciones.

Todos los cambios importantes se ven desde una forma integral para ofrecer al cliente como realizar
una adecuada administración de riesgo como base de un documento claro y moderno, que se
encuentra enfocado desde la estrategia hasta la ejecución. Podemos tener reglas más claras,
ayudando a los clientes a tener un mejor marco teórico.

¿Cómo se desarrolló la estructura?

El marco COSO ERM 2017 está estructurado a partir de cinco componentes y 20 principios, para
que el usuario pueda tener un panorama desde la estrategia hasta la ejecución.

El documento COSO ERM 2017 ha revolucionado lo que es la situación de cómo era el antes y el
después. Además queremos hablar sobre cómo ha variado la estructura y ha mejorado la flexibilidad,
por lo que el principal objetivo es que se lleve a cabo.
Se encuentra estructurado para que el usuario pueda verlo desde la estrategia hasta la ejecución.
Este nuevo documento le permite dividir en 5 componentes que se encuentran en cómo incorporar
los riesgos en el gobierno corporativo, como pasan por los diferentes procesos, como se identifican
los indicadores clave y como se realiza un monitoreo. Cuentan con 20 principios que ayudan a contar
con un marco sobre cómo se deben administrar, documentar y mitigar los riesgos.

También trate de cómo se manejan los riesgos desde la operación, recordando que los riesgos no
solo forman parte de la segunda línea de defensa si no que debe considerarse como la primera línea
de defensa.

Del mismo modo, habla de la Incorporación de la tecnología en la administración de riesgos, por lo

que se debe monitorizar los KPI para que se conozcan los beneficios obtenidos de llevar a cabo el
COSO ERM 2017. (ISOTOOLS, s.f.)

Componentes del Modelo COSO RIESGOS de control interno:

 Gobierno y Cultura:
La organización debe reforzar la importancia y comprensión de su gestión del riesgo, establecer las
responsabilidades de supervisión necesarias para llevarla a cabo y definir sus valores éticos a
seguir.

Las acciones principales a desarrollar son los siguientes:

 Aprobar una política a seguir por el Consejo de administración para supervisar el riesgo de la
Entidad.
 Establecer la estructura operativa.
 Definir la cultura y valores deseados.

La alta dirección debe demostrar el compromiso con los valores fundamentales mediante, por
ejemplo, la formación de comités y órganos colegiados para el control de su cumplimiento.
Atraer, desarrollar y retener al personal capacitado.

 Estrategias y establecimiento de Objetivos:

Proceso de planificación estratégica mediante la definición de la gestión de riesgos empresariales,
estrategias y objetivos de trabajo y el establecimiento de un apetito de riesgo alineado con ellos.

Para llevar a cabo este bloque, la organización debe:

 Analizar el contexto del negocio.
 Definir el apetito de riesgo.
 Evaluar estrategias a seguir.
 Formular los objetivos de negocio.

 Desempeño:
Supone identificar y evaluar los riesgos que pueden afectar al logro de los objetivos empresariales.
Los riesgos se priorizan por gravedad según el apetito de riesgo definido. A continuación, la
organización selecciona las respuestas al riesgo y comprueba la cantidad de riesgo que ha asumido.

Llevar a cabo este desempeño incluye:

 Identificar los riesgos.
 Evaluar la severidad de cada riesgo identificado.
 Identificar, seleccionar e implementar las respuestas al riesgo.
  Revisión y Monitorización:
En la revisión del desempeño, la organización comprueba el funcionamiento de la gestión de los
riesgos corporativos a lo largo del tiempo, y a la vista de los cambios sustanciales que se produzcan,
decide qué revisiones o cambios son necesarios.

Los puntos incluidos en la revisión son los siguientes:

 Evaluar los cambios relevantes que se hayan producido.
 Revisar los riesgos y el desempeño producido durante su gestión.
 Buscar la mejora en la gestión de los riesgos.

 Información, Comunicación y Reporte:

La gestión de riesgos empresariales requiere un proceso continuo de obtener y compartir la
información necesaria, tanto de fuentes internas como externas. La comunicación debe fluir hacia
arriba y hacia abajo, en toda la organización.

Este apartado exige:

 Apoyar la gestión de riesgos con sistemas y tecnología.
 Utilizar canales de comunicación adecuados.
 Informar sobre riesgos, cultura y desempeño a todas las partes interesadas.

Beneficios para las organizaciones:

 Ayuda a comprender mejor cómo realizar la gestión de riesgos y su papel en la

implementación de las mejores estrategias a seguir.
 Permite establecer objetivos que relacionen rendimiento y gestión integral del riesgo
empresarial para aumentar el beneficio de la empresa.
 Da pautas universales respecto al gobierno y la supervisión empresariales.
 Ayuda a reconocer el nuevo contexto que ha supuesto la globalización de la economía y la
necesidad de adaptarse a los cambios y la complejidad del mundo de los negocios que ha
traído consigo.
 Es una base para ampliar el conocimiento respecto a la gestión de riesgos y dar respuesta a
las expectativas de administradores y el resto de partes interesadas.
 Es compatible con la evolución y el uso de las nuevas tecnologías de la información y las
comunicaciones (TIC), y su aplicación en el manejo de datos y en la toma de decisiones.
(ISOTOOLS, s.f.)

 Contar con modelos sugeridos para la implementación y/o actualización de los 20 principios
 Tener herramientas integrales que apoyen la implementación del nuevo marco
 Apoyar a la administración y demás grupos de interés en la puesta en marcha de las
operaciones dentro del nuevo marco

Implicaciones de COSO en las organizaciones

Cada organización tiene riesgos específicos y complejos lo que conlleva la determinación del origen
de los riesgos antes de que sucedan. Es necesario establecer un compromiso y adoptar de forma
correcta el COSO ERM.

La digitalización ha llegado a la gran mayoría de sectores, por lo que se contempla la tecnología

como la adopción indispensable para cumplir con COSO ERM
Implicaciones de COSO en ciberseguridad y privacidad
Uno de los cinco principios de COSO ERM se enfoca en el establecimiento de forma clara, de las
responsabilidades para la estrategia de gestión de riesgos, incluyendo las amenazas de
ciberseguridad.

Cambios e implicaciones de COSO en ciberseguridad

Todas las estrategias de TI y de seguridad de la información se deberán alinear a la estrategia de la
empresa. Esta es una tendencia actual en las organizaciones que facilita a las diferentes áreas de
negocio un mayor nivel de madurez con respecto a la gestión de los riesgos y el cumplimiento.

Software para la gestión de riesgo

Gracias a las nuevas tecnologías y el desarrollo de software especialmente diseñado
para realizar la gestión de riesgos, organizaciones y equipos de todos los tamaños cuentan con una
opción alternativa a la hora de buscar la excelencia.(GLOBAL SUITE, s.f.)

¿Qué es la metodología ERM de Gestión de Riesgos Empresariales?

La gestión de riesgos empresariales (ERM – Enterprise Risk Management, por sus siglas en inglés)
es una estrategia empresarial basada en planes que tiene como objetivo identificar, evaluar y
prepararse para cualquier riesgo o evento que pueda afectar, tanto positiva como negativamente, a
las operaciones y los objetivos de una organización.

El objetivo del ERM es evaluar los riesgos relevantes para la compañía (financieros, estratégicos y
operativos), priorizar esos riesgos y tomar decisiones informadas sobre cómo manejarlos. Los planes
de gestión de riesgos que crean estiman el impacto de varias amenazas y describen las posibles
respuestas si uno de estas amenazas se materializa.

Un proceso de ERM eficaz debería ser una herramienta estratégica importante para los líderes del
negocio. Los conocimientos sobre los riesgos que surgen del proceso de ERM deben ser un insumo
importante para el plan estratégico de la organización.

Debido a que los riesgos surgen y evolucionan constantemente, es importante comprender que ERM
es un proceso que debe estar activo y vivo, con actualizaciones y mejoras continuas.
La estructura del marco de gestión de riesgos corporativos se aplica independientemente del tamaño
de la institución o cómo una institución desea categorizar sus riesgos, y es diseñado para ayudar a la
gerencia y a las juntas directivas a gestionar adecuadamente los siguientes aspectos principales:
Identificación de todos los riesgos que puedan afectar a la estrategia y las operaciones comerciales,
y la interrelación entre ellos.

Nivel de riesgo asumible.

 Cómo gestionar los riesgos (cultura, gobierno y políticas).
 Cómo obtener la información necesaria para gestionar los riesgos.
 Cómo controlar los riesgos.
 Cómo medir y evaluar los distintos riesgos.
 Qué respuesta dar ante los riesgos.
 Qué pruebas de respuesta ante escenarios perjudiciales son las más adecuadas.

Uno de los principales modelos desarrollados para una gestión eficaz de riesgos empresariales
(ERM) es actualmente el Modelo COSO ERM 2017.
COSO ERM dentro una empresa permite:
Identificar aquellos acontecimientos que puedan impactar en la organización impidiéndole
alcanzar sus objetivos.
Realizar una valoración de los riesgos de la compañía y gestionar su tratamiento en función
del riesgo aceptado en la misma.
Integrar la gestión de riesgos en los procesos de planificación estratégica de la compañía, en
el control interno y en la operativa diaria de la misma.
Disponer del portafolio de riesgos a nivel global de la compañía y para cada una de sus
divisiones y/o funciones (PIRANIRISK, s.f.)

¿Cuántas versiones del marco COSO hay?

Hasta el momento hay tres versiones del informe COSO, las cuales son:
 Marco COSO de 1992.
 El marco COSO II de 2004
 El marco COSO III de 2013

COSO II
Lo que se hace en la segunda versión de COSO es ampliar el concepto de control interno a la
gestión de riesgos. Lo que se hace es llamar a la acción (implicar) a todo el personal, incluyendo
claro a los directores y administradores.

COSO III
Las novedades que introduce este Marco son:
«Mejora de la agilidad de los sistemas de gestión de riesgos para adaptarse a los entornos»
«Mayor confianza en la eliminación de riesgos y consecución de objetivos»
«Mayor claridad en cuanto a la información y comunicación»

Beneficios de utilizar el marco COSO

 Mejores controles Internos

El marco actualizado nos ofrece controles internos más eficaces, que permitirán a las organizaciones
mitigar mejor los riesgos y disponer de los datos necesarios para apoyar la adopción de decisiones
acertadas.

Por consiguiente, podrás aprovechar el marco del 2013 para evaluar cómo mejorar la eficacia de los
controles internos, así como la eficiencia general de tu empresa.

 Mejora de la seguridad informática

En el mundo de hoy en día, creo que podemos estar de acuerdo con que las empresas tienen que
tomar medidas contra los ataques cibernéticos, ¿cierto?
Bueno, este nuevo marco ayuda a poner a las organizaciones en el camino correcto para enfrentar y
manejar el espantoso número de ciberataques.

 Ahorra costos
Según el COSO, si las organizaciones aplican correctamente el marco de 2013, les permitirá
racionalizar los procesos, establecer controles internos más eficaces y gestionar los costos.

 Apetito por el riesgo

Según Rittenberg y Martens, una organización tiene que considerar antes que nada que tanto apetito
o tolerancia al riesgo está dispuesta a aceptar. En base a eso va a establecer qué objetivos o metas
desea alcanzar, así como qué estrategias y tácticas va a emplear para conseguir lo que desea.
Por consiguiente, el apetito por el riesgo es básicamente el nivel de riesgo que una organización está
dispuesta a tener, tomando en cuenta lo que desea alcanzar.

Por lo cual, definir el «risk appetite» es esencial, ya que como dije antes, nos permitirá enlazar todas
las estrategias y tácticas en cada nivel jerárquico de la organización, es decir, la toma de decisiones
tiene que estar enlazada al apetito por el riesgo.

En conclusión, el apetito por el riesgo define qué tan arriesgada o conservadora va a ser una
organización en la toma de decisiones para alcanzar sus objetivos.
Por ejemplo, una organización con un bajo nivel de apetito por el riesgo va a tomar decisiones poco
arriesgadas aunque tenga la oportunidad de obtener mayores beneficios tomando ciertas decisiones
(oportunidades). Prefieren ir a lo seguro.

 Entorno de Control
Este es un elemento que en mi opinión es crucial, inclusive si no estás tratando de mitigar el riesgo
(lo cual deberías). El entorno de control es la estructura o los cimientos de una organización debido a
que incluye en factores como:
- El código de conducta del talento humano.
- La forma en que se maneja el funcionamiento de la organización.
- La cultura de gestión.
- La integridad que organizan y desarrollan a las personas dentro de una organización.
- La forma en que llevan a cabo la dirección de la organización los propietarios de la
organización (así como la alta dirección).

 Evaluación de la gestión de riesgos

Este es el elemento que se puede considerar como el corazón del modelo coso debido a que es la
parte en la que tienes que identificar todos los posibles riesgos que pueden llegar a dañar la
organización.

Aquí tienes que empezar a pensar en el equilibrio entre riesgos y beneficios, con el fin de reforzar el
plan estratégico de la organización.

 Evaluación del control de actividades

Básicamente lo que tienes que hacer es establecer políticas, procesos y procedimientos que te
permitan asegurar que se cumplan las directrices de gestión de riesgos.

 Información y comunicación
Información y comunicación busca que toda la información y los datos de una organización deben
«distinguirse, capturarse y comunicarse en un marco temporal y en un formato».
Esto nos permite que las personas en la organización puedan llevar a cabo todas sus actividades.

 Seguimiento
Lo que se busca es detectar todo lo que se encuentra fuera del nivel de riesgo aceptable,
comunicarlo a la alta dirección para que se lleve a cabo un plan correctivo,para que los niveles de
riesgo se mantengan dentro de los niveles establecidos. (EMPRENDEDOR INTELIGENTE, s.f.)
 EGRAFIA

AUDITOL. (s.f.). Obtenido de auditool.org/herramientas/coso-erm

EMPRENDEDOR INTELIGENTE. (s.f.). Obtenido de https://www.emprendedorinteligente.com/que-significa-coso-en-erm/

GLOBAL SUITE. (s.f.). Obtenido de https://www.globalsuitesolutions.com/es/que-es-modelo-coso/

ISOTOOLS. (s.f.). Obtenido de https://www.isotools.org/2018/02/07/ha-cambiado-nuevo-coso-erm-

2017/#:~:text=El%20COSO%20ERM%20es%20un,han%20publicado%20en%20el%202017.

PIRANIRISK. (s.f.). Obtenido de https://www.piranirisk.com/es/soluciones/reglamentaciones/coso-erm