COSO 4

¿QUÉ ES COSO?

Es una comisión que fue formada por cinco organizaciones de contadores y

auditores del sector privado de los Estados Unidos, que se llamó Committee of
Sponsoring Organizations of the Treadway

siendo estas organizaciones:

• La Asociación Americana de Contabilidad (AAA)
• El Instituto Americano de Contadores Públicos Certificados (AICPA)
• El Instituto de Auditores Internos (IIA)
• El Instituto de Contadores Gestión (IMA).
• Instituto de Ejecutivos Financieros (FEI)
 ANTECEDENTE
• En agosto de 2017 la organización COSO, a actualizado el Marco de Gestión de
Riesgo Empresarial (COSO II) al “Marco de Gestión de Riesgos Empresariales –
Integración con la Estrategia y el Rendimiento” (COSO IV)
El “COSO IV” considera algunos cambios como ser:
• - Consideración de la cultura dentro de la gestión de riegos.
• - Contempla la misión, visión y los valores de las organizaciones
• - Considera a la planeación estratégica y la exposición al riesgo desde la planeación,
procesos de implementación y ejecución.
• - Alineación de la estrategia y los objetivos del negocio con la gestión de riegos.
• - Se evalúa el perfil de riesgo según el apetito por el riesgo y capacidad del riesgo.
 DEFINICION COSO IV: GESTION DE RIESGOS EMPRESARIALES –
INTEGRACION CON ESTRATEGIA Y DESEMPEÑO
primero, proporciona una comprensión más amplia y clara de lo que significa la gestión del
riesgo
Segundo, permite establecer objetivos de rendimiento basados en la alineación entre el
rendimiento y la gestión del riesgo
COSO (2017) Tercero, da pautas relacionadas con la gobernanza y la supervisión aplicables para cualquier
establece que la empresa.
nueva actualización, a
diferencia de la Cuarto, hace un reconocimiento del nuevo contexto planteado por la globalización de la
versión pasada (2004), economía y la necesidad
presenta las siguientes Quinto, se presentan nuevas perspectivas para entender y analizar el riesgo como la manera
fortalezas: más efectiva de adaptarse
Sexto, es una fuente suficiente y completa para responder a las expectativas de los
administradores y todos los interesados
Séptimo, es compatible con la evolución y el uso de las TIC, así como su aplicabilidad en el
manejo de datos y en la toma de decisiones.
octavo, establece definiciones básicas y principios que deben tenerse en cuenta en todos los
niveles de gestión del riesgo
INFORME COSO
El Informe COSO es un documento que
contiene las principales directivas para la
implantación, gestión y control de un sistema
de Control Interno. Se ha encargado de
publicar el Marco Integrado para la
Administración de Riesgos Empresariales
(ERM) COSO ERM 2017 como una
actualización de su programa anterior (2004),
con la intención de brindar a las empresas un
sistema centrado en la Auditoría Interna, que
permite identificar, evaluar y manejar los
riesgos de la actividad empresarial.
OBJETIVOS DEL INFORME COSO
• El Informe COSO tiene 2 objetivos
fundamentales: encontrar una definición
clara del Control Interno, que pueda ser
utilizada por todos los interesados en el
tema, y proponer un modelo ideal o de
referencia del Control Interno para que las
empresas y las demás organizaciones
puedan evaluar la calidad de sus propios
sistemas de Control Interno.
• tiene un objetivo en común de definir un
nuevo marco conceptual de Control Interno
capaz de integrar las diversas definiciones y
conceptos que se utilizan sobre este tema.
• EL objetivo general es continuar
fomentando una cultura.
DEFINICIÓN DE ERM
Gestión del riesgo empresarial se define
como:
El marco ERM permite darle un manejo
adecuado al riesgo, de tal manera que
la empresa pueda tomar las decisiones
más acertadas para su desarrollo y el
cumplimiento de sus metas y objetivos.
La cultura, capacidades y prácticas,
integradas con el establecimiento de la
estrategia y su ejecución, en las que, las
organizaciones confían para manejar el
riesgo en la creación, preservación y
obtención de valor
COMPONENTES DEL ERM
El E.R.M. consta de ocho componentes
interrelacionados. Estos, se derivan de
manera cómo la administración opera
un riesgo empresarial y están
integrados dentro el proceso
administrativo. Esos componentes son:
- Ambiente interno
- Establecimiento de objetivos.
- Identificación de eventos
- Valoración del riesgo
- Respuesta al Riesgo
- Actividades de control
- Información y comunicación
- Monitoreo
 El documento actualizado (COSO ERM 2017)
destaca la importancia de considerar el riesgo tanto
en el proceso de establecimiento de estrategias
como en el desempeño de la administración.

La primera parte de la publicación actualizada ofrece una perspectiva sobre

conceptos y aplicaciones actuales y en evolución de la gestión de riesgos
corporativos.
La segunda parte, el Marco, se organiza en cinco componentes que
acomodan diferentes puntos de vista y estructuras operativas, y mejoran las
estrategias y la toma de decisiones.
Mayor comprensión del Interpreta la evolución de la
tecnología y la proliferación
valor de la gestión de Mayor transparencia
del análisis de datos que
riesgo para definir y hacia los Stakeholders soporta la toma de
ejecutar la estrategia decisiones.

Presenta nuevos caminos Establece definiciones

Alineación entre para ver el riesgo, para claves, componentes y
desempeño y gestión de alcanzar los objetivos en un principios para todos los
riesgos contexto de negocios de alta niveles de la gestión de
complejidad riesgos

Acondiciona de mejor Reconoce la globalización de los

manera las expectativas mercados y las operaciones, así
como el incremento de la
de gobierno y volatilidad, complejidad y
supervisión ambigüedad de los negocios
  Aspectos a considerar:

1. Definir la estrategia de acuerdo

a los riesgos identificados, no
revisar el posible impacto de los
riesgos en la estrategia ya
definida.

2. Posibilidad de que la
3. Implicaciones de la estrategia no esté
alineada con la misión,
estrategia visión y valores
seleccionada. fundamentales de la
organización.
Una más profunda mirada a la definición de la gestión de riesgos empresarial hace hincapié en su enfoque de la
gestión de riesgos a través de:
 El reconocimiento de la cultura y capacidades.
 La integración con del establecimiento de la estrategia y su ejecución.
 La gestión del riesgo estratégicos y los objetivos de negocios.
 La vinculación a la creación, preservación y obtención de valor.
 Focalizado en cinco componentes
 PROCESOS A SEGUIR

Como primer paso, recomendamos que la organización seleccione un equipo

conformado por representantes de diferentes áreas y líneas de negocio, con
perspectivas diversas acerca de las operaciones de la organización, los
riesgos de fraude que enfrenta y los controles antifraude existentes. Este
equipo debe

• Revisar la Guía Antifraude como un documento de referencia.

1
• Revisar los resultados de las evaluaciones de riesgo de fraude recientes
para determinar si ofrecen una representación clara y una base sólida
2 para la toma de decisiones de gestión para la asignación de recursos.
 • Realizar preguntas directas para evaluar el nivel de preparación,
3 por ejemplo:
Reporte fraudulento de información financiera.
• ¿Qué declaraciones falsas se podrían estar haciendo a la Gerencia?

Reporte fraudulento de información no financiera.

• ¿Cuáles de nuestros reportes son considerados críticos por nuestros
reguladores, clientes o la Gerencia?

Malversación de activos.
• ¿Qué activos, datos personales y propiedad intelectual debe proteger la
organización?
Evaluación.
•¿La organización está explotando su información para identificar y evaluar los
riesgos de fraude?
 Prevención.
•¿Quién podría engañar a la organización? ¿Por qué y cómo?
Detección.
•¿La organización está invirtiendo en controles detectivos adecuados?

• Revisar el Programa y la estructura de gobierno a cargo de la

4 gestión de los tipos de fraude que la Guía describe, por ejemplo:

• Estructura de la contraloría financiera en la organización

• Programa Anticorrupción

• Programa de Seguridad Informática (Cyber Security), entre otros

En resumen, COSO ERM 2017:

• Proporciona una mayor comprensión del valor de la gestión del riesgo

• Viabiliza la alineación entre el rendimiento (desempeño) y la gestión de riesgos

corporativos para mejorar el rendimiento y comprender el impacto del riesgo.

• Cumple con las expectativas de gobernanza (gobierno corporativo) y supervisión

(auditorias).

• Presenta nuevas formas de ver el riesgo para el establecimiento y logro de objetivos en el

contexto de una mayor complejidad empresarial.