CUESTIONARIO COSO - GESTIÓN DE RIESGO EMPRESARIAL - ERM

Nombre del Cliente o Entidad: ZIP SAN JOSÉ, SAN PEDRO SULA 16 DE JUNIO DEL 20123
Código del Proyecto:

El objetivo primordial de la Gestión de Riesgo Empresarial (Enterprise Risk Management – ERM) es identificar y
coordinar el manejo de los múltiples riesgos que afectan a la empresa, proporcionando a la alta dirección toda la
información necesaria para conocer las alternativas de respuesta al riesgo. Este cuestionario puede ser utilizado
cuando se estén evaluando las estrategias de gerencia de riesgo empresarial de una organización. Esta evaluación
se enfoca en los componentes del sistema de Control Interno –COSO: El Ambiente Interno, Establecimiento de
Objetivos, Identificación de Eventos, Evaluación de Riesgo, Respuesta al Riesgo, Actividades de Control e
Información y Comunicación.
Las preguntas las debe contestar el Consulto Senior, con base en el conocimiento del entorno, en la información
recibida previamente y en las demás evidencias a disposición. Coordinar con los responsables de los procesos
para que respondan aquellas preguntas sobre las que no tengamos evidencias o información previa y para
validar cualquier pregunta sobre la que haya dudas.
La información de respaldo relevante debe adjuntarse, de ser necesario.
Una respuesta negativa indica generalmente una situación susceptible de mejora y debe ser sustentada y
documentada para respaldar adecuadamente la respectiva recomendación.

IDENTIFICACIÓN DE EVENTOS REF

POTENCIALES SI NO N/A P/T COMENTARIOS
I. AMBIENTE DE CONTROL
1. ¿Cuál es el apetito de riesgo global de la
organización?
2. ¿Qué tan comprometida está la Junta Directiva
para establecer una filosofía de gerencia de
riesgo?
3. Describir la integridad global y los valores éticos
y el compromiso con la capacidad de la
organización?
4. ¿Está bien manejada la asignación de autoridad y
responsabilidad sobre los riesgos? Quién
gerencia este proceso?
5. ¿Cuál es la estructura organizacional de la
compañía y su departamento?
6. ¿Qué normas de recursos humanos relacionadas
con la gerencia de riesgo se encuentran
preparadas actualmente?

II. ESTABLECIMIENTO DE OBJETIVOS

Cuestionario Coso - Gestión De Riesgo Empresarial - ERM 1/5

 7. ¿Qué tan bien definidos están los objetivos

IDENTIFICACIÓN DE EVENTOS REF

POTENCIALES SI NO N/A P/T COMENTARIOS
relacionados y los estratégicos?

8. ¿Cómo se monitorea el logro de estos objetivos?

9. ¿Qué actividades están incluidas en su hoja de
objetivos de gerencia de riesgo para este año?
10. ¿Qué tiene que hacer bien la compañía durante
los próximos años para poder tener éxito y
alcanzar sus objetivos? ¿Qué factores considera
usted que son críticos para el éxito de su
compañía en el próximo año?
11. ¿Cuáles áreas le gustaría a usted que fueran
movidas hacia el siguiente nivel de desempeño?
12. ¿Qué podría impedir que usted logre sus metas
(por ejemplo, personas, procesos, financiamiento,
etc.)?
III. IDENTIFICACIÓN DE EVENTOS
13. ¿Cómo impactan las fuerzas internas y externas el
perfil de riesgo?
14. ¿Qué otras técnicas de identificación de eventos
tienen preparadas (por ejemplo, auto evaluación,
SOX, revisión de reportes, línea de acceso directo
de fraude, etc.)?
15. ¿De qué manera son capturadas y reportadas las
deficiencias?
16. ¿De qué manera distingue la organización entre
riesgos y oportunidades?
IV. EVALUACIÓN DE RIESGO
17. ¿Cuáles percibe usted como los mayores riesgos
para la compañía, en términos de impacto y
probabilidad?
18. ¿Son comunicados a los empleados los elementos
clave del plan estratégico de la Gerencia RRHH y
de las Unidades, de manera que haya un
entendimiento claro de la estrategia general?
19. ¿Qué percibe usted como los mayores riesgos
dentro de su área de control? Favor suministrar
ejemplos.
20. Pensando en otras áreas dentro de la compañía,

Cuestionario Coso - Gestión De Riesgo Empresarial - ERM 2/5

 ¿qué tan bien recibe usted información de los
grupos de servicios compartidos (por ejemplo,
TI, Finanzas, Recursos Humanos)?
21. ¿A qué información adicional le gustaría tener
acceso para que lo ayuden a desempeñar de
mejor manera sus responsabilidades gerenciales?
22. En su opinión, ¿cuáles áreas o procesos son más
susceptibles de fraude?

IDENTIFICACIÓN DE EVENTOS REF

POTENCIALES SI NO N/A P/T COMENTARIOS
23. ¿Tiene usted conocimiento de alguna instancia de
fraude dentro de su compañía?
Cuál/cómo/quién?
V. RESPUESTA AL RIESGO
24. ¿Cómo son monitoreados y reportados los riesgos
dentro de su organización?
25. ¿Con qué efectividad está usted manejando los
riesgos identificados?
26. ¿Qué está usted haciendo específicamente para
manejar los riesgos identificados? (por ejemplo,
reporte de variantes en estados financieros,
reporte de tendencias, reporte de crédito,
políticas de seguros, legal, participación de la
junta directiva y reporte?
VI. ACTIVIDADES DE CONTROL
27. ¿Cuál es su evaluación de la efectividad de los
controles globales para prevenir riesgos y llevar a
cabo actividades de riesgo dentro de su
organización?
28. ¿Cómo se comprueban las actividades de control?

29. ¿Qué tipo de proceso de revisión tiene lugar para

las políticas y procedimientos?
30. ¿Qué tipo de proceso de revisión tiene lugar para
los controles de aplicación de TI y para el
ambiente general de control de TI?
31. ¿Qué hace la compañía para tratar los controles
específicos de la entidad?
VII. INFORMACIÓN Y COMUNICACIÓN
32. ¿De qué manera la organización/su
departamento captura información y comunica
los riesgos relacionados?

Cuestionario Coso - Gestión De Riesgo Empresarial - ERM 3/5

 33. ¿Cuáles barreras comunicacionales están
presentes dentro de la organización?
34. ¿Cuáles actividades de monitoreo en marcha se
tienen preparadas’ (por ejemplo, monitoreo de
cumplimiento, IA, grupo de manejo de riesgo,
monitoreo de la junta directiva, etc.)?
35. ¿De qué manera son comunicados los resultados
de la evaluación de control?

VIII. MONITOREO
36. ¿Todo el manejo de riesgos empresariales es
controlado?

IDENTIFICACIÓN DE EVENTOS REF

POTENCIALES SI NO N/A P/T COMENTARIOS
37. ¿Se toman acciones adecuadas y oportunas para
corregir deficiencias detectadas y se hacen las
modificaciones necesarias?
38. ¿El control se realiza mediante actividades
administrativas continuas,
evaluaciones separadas, o ambas?
39. ¿Responde oportunamente la Gerencia a las
observaciones de los auditores internos y de los
auditores independientes y a sus
recomendaciones para mitigar los riesgos?
40. ¿Utiliza la Gerencia de ERM a la función de
Auditoría Interna para que la asista y apoye en
sus actividades de monitoreo del sistema de
control interno?
41. ¿Es adecuado el nivel del personal, el
adiestramiento que reciben y las habilidades que
poseen, en relación con el entorno de Riesgos, de
manera que sus actividades contribuyan al
reforzamiento y mejoramiento de los sistemas de
control?
42.¿Se utiliza la TI para el monitoreo en línea de las
operaciones y actividades de ERM?
CONCLUSIÓN

Cuestionario Coso - Gestión De Riesgo Empresarial - ERM 4/5

Consultor Senior (encargado) Firma y fecha:

Gerente Firma y fecha: 16 DE JUNIO 2023 (FIRMA Y SELLO VER ÚLTIMA PÁGINA)

Director Auditoría Firma y fecha:

Socio Encargado Firma y fecha:

Cuestionario Coso - Gestión De Riesgo Empresarial - ERM 5/5