INFORMES COSO.

Aspectos relevantes para la

Administracin de Riesgos y Controles

2007
JSR/COSO.ppt

INFORME COSO
Committee of Sponsoring Organizations
(Treadway Commission)
COSO 1: 1992
Informe dividido en cuatro Secciones:
Informe para la Administracin
Marco General de Referencia
Informacin a Terceros
Herramientas de Evaluacin

Definicin de Control Interno (1992)

Es un proceso, efectuado por el Directorio, la Gerencia
y el resto del personal de una entidad , diseado con el
objeto de proporcionar un grado de seguridad
razonable en cuanto a la consecucin de objetivos
especficos, los cuales se clasifican en las siguientes
tres categoras:
Eficacia y eficiencia de las operaciones
Fiabilidad de la informacin financiera
Cumplimiento de leyes y normativa aplicable

Componentes del CI

El Entorno de Control
La Evaluacin de Riesgos
Las Actividades de Control
La Informacin y Comunicacin
La Supervisin
Estos cinco componentes cruzan a los tres
objetivos de control previamente sealados.
(ver despliegue anexo)

Informe Coso 2 ERM Integrated

Framework -Sep 2004
Es una mejora complementaria al COSO 1
ERM: Enterprise Risk Management
Es un proceso, efectuado por una entidad, su directorio,
gerentes y personal, que es aplicado en forma estratgica y
a travs de toda la empresa, y que est diseado para
identificar los eventos potenciales que pudiesen afectar a la
entidad, y manejar riesgos considerados relevantes, para
proveer seguridad razonable en relacin con el logro de los
objetivos de la entidad.
Fuente: COSO Enterprise Risk Management Integrated
Framework. September 29, 2004. COSO.

Marco Integrado de Control

Este nuevo modelo COSO-ERM define

los componentes esenciales, sugiere un
lenguaje comn, y provee una gua y
direccin clara para la administracin de
los riesgos de negocio.

Ambiente interno
Integridad y valores ticos
Competencia
Comit de auditoria
Filosofa administrativa y
estilo de direccin
Estructura organizacional
Asignacin de autoridad y
responsabilidad
Poltica de recursos
humanos

Establecimiento de objetivos

Los objetivos de una entidad los

podemos agrupar en cuatro
categoras:
Estratgicos - Operacionales
Informacin - Cumplimiento

Los objetivos deben existir antes

de que la direccin pueda
identificar potenciales eventos
que afecten a su consecucin.
La gestin de riesgos corporativos
asegura que la direccin
ha establecido un proceso para fijar
objetivos y que los objetivos
seleccionados apoyan la
misin de la entidad y estn en
lnea con ella, adems de ser
consecuentes con el riesgo
aceptado

Identificacin de eventos
Los acontecimientos internos y
externos que afectan a los
objetivos de la entidad deben
ser identificados, diferenciando
entre riesgos y oportunidades.
Estas ltimas revierten
hacia la estrategia de la direccin o
los procesos para fijar objetivos.

Evaluacin de Riesgos
Objetivos institucionales
Objetivos especficos
Operativos
Informacin financiera
Cumplimiento
Anlisis de riesgos
Organizacin (externos /
internos)
Actividad
Anlisis (trascendencia /
probabilidad / control)
Manejo de cambios
(reorganizaciones / polticas /
sistemas y procedimientos)

Respuesta a los riesgos

La direccin selecciona las
posibles respuestas - evitar,
aceptar, reducir o compartir
los
riesgos - desarrollando una
serie de acciones para
alinearlos con el riesgo
aceptado y las
tolerancias al riesgo de la
entidad.

Actividades de Control
Actividades de control sobre:
Las operaciones
La informacin financiera
El cumplimiento
Tipos de control:
Preventivos / correctivos
Manuales / automatizados
Gerenciales

Informacin y Comunicacin
Sistemas de informacin:
Apoyo actividades
estratgicas
Integracin con las
operaciones
Calidad
Comunicacin :
Interna / externa
Medios

Supervisin y Seguimiento
Supervisin concurrente
Evaluaciones independientes
Alcance y frecuencia
Quines evalan
Proceso de evaluacin
Metodologa /
documentacin
Plan de accin
Reportes de deficiencias

Un ejemplo de riesgos y controles

Ambiente
De Control

Evaluacin de
riesgos

Riesgos

mbito de las

definiciones

Comerciales
Financieros
De imagen
Organizaciona
les
RRHH

Valores y Polticas
Institucionales
Orientaciones
estratgicas (Planes
y presupuestos)
Polticas de
Personal

Riesgos Identificados
Responsabilidades y
atribuciones
Limites y criterios de
administracin de las
exposiciones sujetas a
Riesgo

mbito de la

ejecucin

Personal competente
en puestos claves
Gerenciamiento:
Disposicin al
control
Promover
conductas
Desarrollo de
mandos

Actos Decisorios
Acciones asociadas a la
administracin de los
riesgos y sus variables,
encuadradas dentro de
las orientaciones y
definiciones
institucionales

Operacional
De Seguridad

Actividades de
Control

Informacin y
sistemas de
Control

Monitoreo

Polticas de Control
(segregacin de
funciones, password)
Procedimientos de
Control (Recepcin
de valores, apertura
de bvedas,
resguardo de valores,
etc)

Polticas de
Informacin
(informacin sujeta
a reserva. Acceso a
los sistemas)
Vas de
Comunicacin
(entre los centros de
accin y los centros
de decisin)

Comit de
Auditora

Procedimientos
Mecanismos de
control incorporados
al flujo de las
operaciones de modo
tal que aseguren la
calidad de la
informacin que por
ellos cicula

Informacin
Las exposiciones a
riesgo y sus
variables asociadas;
objetivos, metas,
planes,
presupuestos)

Supervisin de
las actividades

Comit de
Riesgo
La funcin de
Auditora
Interna

Coso es un modelo
no es una metodologa de control

COSO al ser un marco amplio no

define como evaluar, ni cuantificar
los riesgos.

Hitos en la evolucin del Control y Riesgos

desde COSO
2006: COBIT4
2004: COSO 2 -ERM
2001: Basilea 2
2001: Turnbull: UK
1996 Cobit 1 : USA
King: S.Africa
COCO : Canada
Cadbury: UK
COSO: 1992

ISOs

+ISOs

Sarbanes -Oxley
2002
Corporate Governance

1996 Risk Management - ERMs

Autoevaluacin (CSA)

Modelos de Auditoria
SW y packs

Factores que afectan al Entorno del Control

Integridad y valores ticos

Incentivos y tentaciones
Compromiso de Competencia Profesional
Consejo de Administracin
Comit de Auditoria
Filosofa y Estilo de Gestin
Estructura organizacional, asignaciones de
responsabilidad y autoridad.
Polticas y Prcticas de RR.HH

Evaluacin de Riesgos (COSO)

La evaluacin del riesgo consiste en la
identificacin y anlisis de los factores que
podran afectar la consecucin de los objetivos,
y, en base a dicho anlisis, determinar la forma
en que los riesgos deben ser gestionados.
De acuerdo a COSO, existiran tres grandes
objetivos de control, ya mencionados.

COSO: Riesgos...
La identificacin y el anlisis de los riesgos es
un proceso interactivo, continuo y constituye
un componente fundamental de un eficaz
sistema de control interno. La Direccin debe
examinar detalladamente los riesgos existentes
a todos los niveles de la empresa y adoptar las
medidas oportunas para administrarlos.

que podemos hacer con los

riesgos?

Evitarlos
Traspasarlos
Mitigarlos
Administrarlos
Nada

Tendremos dos Grandes Niveles de

Riesgo en nuestras organizaciones:
A nivel empresa /organizacin
factores externos
factores internos

A nivel de Actividad/Funcin
COSO es una de las bases del Risk Management

Limitaciones al Control Interno

No importa cuan bien diseado y manejado est el CI, slo puede
brindar una seguridad razonable a la Direccin y al Directorio
con respecto al logro de los objetivos de la entidad.
Tiene limitaciones inherentes
El control interno no puede proveer seguridad absoluta con respecto
a ninguna de las tres categoras de objetivos de control del COSO
ya que:
a. Ciertos eventos o condiciones estn simplemente fuera del control de la
Direccin.
b. Ningn sistema har siempre aquello que se ha intentado hacer.

En otras palabras, an el sistema de control interno ms eficaz

puede experimentar una falla: Razonable Seguridad no es Absoluta
Seguridad.

Porqu el mejor CI no es infalible

Existen decisiones tomadas utilizando el juicio humano,
El personal puede entender incorrectamente las instrucciones
y puede elaborar juicios errneos. O bien puede cometer
errores por falta de cuidado, distraccin o fatiga.
Violacin de la Direccin": un gerente podra violentar el
control interno.
Colusin: Dos o ms individuos actuando en forma colectiva
para cometer y encubrir una accin, a menudo pueden alterar
datos contables u otra informacin gerencial, de una forma
que no pueda ser puesta de manifiesto por el sistema de
control.
Costo beneficio de los controles. Puede no justificarse
instalar ciertos controles que luego son necesarios.

Anexo: Despliegue del COSO 1

(1992)

AM
BIE

EVA
L
DE UACI
O
RIE
SGO N
S

ACION
COMUNIC
CION
INFORMA

IN
FO
RM
AC
IO
N

AC
TS.
D
CO E
NT
RO
L

S.
T
AC DE OL
TR
N
CO

NT
ED
EC
ON
TRO
L

U
M
O
C

N
IO
SUP
S
ER VI
TO
Y
N
SEG
IE
UI
M

N
IO
C
A
C
I
N

Marco Integrado de Control

ON
I
S
AC GO
U
AL IES
OL
V
R
E ER
NT
D
O
C
DE
TE
N
E
BI
AM

Ambiente de Control
Integridad y valores ticos
Competencia
Comit de auditora
Filosofa administrativa y
estilo de direccin
Estructura organizacional

AM
B IE
NT
E

DE
CO
NT
RO
L

B
AM

TE
N
IE

DE

N
CO

OL
R
T

Asignacin de autoridad y
responsabilidad
Poltica de recursos
humanos

Evaluacin de Riesgos

EVA
L
DE UACI
RIE
SGO N
S

N
I
S
AC GO
U
AL IES
V
E ER
D

Objetivos institucionales
Objetivos especficos
Operativos
Informacin financiera
Cumplimiento
Anlisis de riesgos
Organizacin (externos /
internos)
Actividad
Anlisis (trascendencia /
probabilidad / control)
Manejo de cambios
(reorganizaciones / polticas /
sistemas y procedimientos)

Actividades de Control
Actividades de control sobre:
Las operaciones
La informacin
financiera
El cumplimiento
AC
TS.
D
CO E
NT
RO
L

S.
T
AC DE OL
TR
N
CO

Tipos de control:
Preventivos /
correctivos
Manuales /
automatizados
Gerenciales

Informacin y Comunicacin

Sistemas de informacin:
Apoyo actividades
estratgicas

U
M
O
C

N
IO
C
A
C
I
N

ACION
COMUNIC
CION
INFORMA

IN
FO
RM
AC
IO
N

Integracin con las

operaciones
Calidad
Comunicacin :
Interna / externa
Medios