“UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS”

FACULTAD DE CIENCIAS CONTABLES

TEMA: COSO III Y COSO ERM

AULA: 312
CURSO: AUDITORÍA DE SISTEMAS DE INFORMACION
PROFESOR:WALTER WILFREDO POMA TORRES
GRUPO:2
 INTEGRANTES:
CICLO: X -CASTILLO CAURACURI, GERSON
-CONTRERAS CALDERON, CLAUDIA
-SANDOVAL ESPINOZA ,DIEGO
-MENDEZ RETUERTO, ANA
-TASAYCO ARROYO, PIERO
01
COSO III Y
COSO ERM
COSO III Y COSO ERM
Antes de desarrollar este tema se explicara si es que el COSO III Y
COSO ERM son diferentes o se complementan:
La actualización de COSO ERM 2017 no significa que desplace COSO
2013”.
El documento COSO-ERM 2017 no reemplaza el Marco Integrado de
Control Interno COSO 2013.
Los dos marcos son distintos y complementarios.
Ambos utilizan una estructura de componentes y principios.
COSO 2013 – Posee 5 componentes y 17 principios fundamentales.
COSO ERM 2017 – Posee 5 componentes y 20 principios.
Los aspectos del control interno comunes a la gestión de riesgos
empresariales no se repiten en el Marco COSO ERM 2017.
Algunos aspectos sobre la gestión de riesgos y el control interno se
desarrollan más profundamente en el Marco COSO ERM 2017.
PROPOSITO DEL CONTROL INTERNO DEL COSO
Confiabilidad
en la
información
financiera

Eficacia y Mejora el
eficiencia en control
las interno de la
operaciones organización

Cumplimiento
Mejora la de las leyes,
comunicació reglamentos y
n en la normas que
organización sean
aplicables
Ayuda a la
integración de
los sistemas
de gestión de
riesgos con
otros
sistemas de la
organización
 COMPONENTES DEL COSO III
Dicho Marco Integrado COSO III, proporciona mayor cobertura de riesgos en las
entidades. Las modificaciones más significativas son las que cuenta, desde COSO II
son, estructuradas por componentes:

01 02
05
Entorno de control Evaluación de
riesgos.

03 04 Actividades de
monitoreo y supervisión.

Actividades de Información y
control. comunicación.
Entorno de control
Nos encontramos con cinco principios que detallan: la importancia de la
integridad y valores éticos, la importancia del modo de operar de la
administración y su filosofía, la relevancia de contar con una estructura
organizativa, una adecuada asignación de responsabilidades y el valor de
las políticas de recursos humanos.

Se aclaran las relaciones entre los elementos que componen el control

interno para subrayar la relevancia del entorno de control.

Se incrementa la información sobre el gobierno corporativo de una

entidad, apreciando diferencias en estructuras, requisitos, sectores y tipos
de entidades.

Se refuerza la supervisión del riesgo, así como la relación entre el riesgo y

su respuesta.
Evaluación de riesgos.
Se amplía la categoría de objetivos de reporte.
Se señala que la evaluación de riesgos incluye: identificación, análisis y respuesta a los
riesgos.
Se incluyen conceptos como velocidad y persistencia de riesgos, como criterios de
evaluación.
Se tiene en cuenta la tolerancia al riesgo en la evaluación de niveles aceptables de riesgo.
Se considera el tipo de riesgo conectado a las fusiones, adquisiciones y externalizaciones.
Se amplía la consideración de riesgo al fraude.

Actividades de control.

Se señala que las actividades de control vienen determinadas por procedimientos y políticas.
Se tiene en cuenta el rápido cambio y la evolución de la tecnología.
Se acentúa la diferenciación entre controles automáticos y controles generales de tecnología.
Información y comunicación.
Se puntualiza la importancia de la calidad de la información
dentro del sistema de control interno.
Se penetra en la necesidad de información y comunicación entre la
entidad y terceras partes.
Se exalta el impacto de los requisitos legales sobre seguridad y
protección de la información.
Se muestra el impacto de la tecnología y otros medios de
comunicación en la rapidez y calidad del flujo de información

Actividades de monitoreo y supervisión.

Se hace más clara la terminología, a través de la definición de dos
categorías de actividades de monitoreo: evaluaciones
independientes y evaluaciones continuas.
Se ahonda en la relevancia del uso de proveedores de servicios
externos y la tecnología.
OBJETIVOS DEL COSO

● El Marco integrado de control interno COSO establece tres categorías de

objetivos que permiten a las organizaciones centrarse en diferentes aspectos
del control interno.

Objetivos Objetivos de Objetivos de

operativos información cumplimiento
 Objetivos operativos Objetivos de información

Se relacionan con el cumplimiento de la Se refieren a la preparación de reportes

misión y visión de la entidad. Hacen para uso de la organización y los accionistas,
referencia a la efectividad y eficiencia de teniendo en cuenta la veracidad,
las operaciones, incluidos sus objetivos de oportunidad y transparencia; estos,
rendimiento financiero y operacional, y la relacionan la información financiera y no
protección de sus activos frente a posibles financiera, interna y externa. La
pérdidas. Estos objetivos constituyen la presentación a nivel externo da respuesta a
base para la evaluación del riesgo en las regulaciones y normativas establecidas y
relación a la protección de los activos de la a las solicitudes de los grupos de interés; y
entidad, la selección y desarrollo de los los informes a nivel interno atienden a las
controles necesarios para mitigar dichos necesidades de la organización tales como la
riesgos. estrategia de la entidad y plan operativo
Objetivos de cumplimiento:

Están relacionado con el cumplimiento de las leyes y

regulaciones a las que está sujeta la entidad. La entidad
debe desarrollar sus actividades en función de las leyes y

normas específicas.
 RESPONSABILIDADES DEL SISTEMA

Encargados de analizar el Sistema de Control CONSEJO DE ADMINISTRACION DEL

Interno de la entidad y efectuar su supervisión,
junto con la Alta Dirección rinde cuentas por el
control interno al Consejo de Administración
Revisan los planes de auditoría y evaluar los
cambios en el Marco para considerar las
posibles consecuencias en los planes de
auditoría, en las evaluaciones y cualquier
información generada sobre el Sistema de
Control Interno
Aquellos que cumplen un papel importante en
el diseño e implementación del Marco
Integrado de Control Interno. El Control Interno
es desarrollado por la Dirección, el Consejo de
Administración y el resto del personal de la
entidad.
SISTEMA
Se encarga de evaluar el Sistema de Control
ALTA DIRECCION Interno en relación con el Marco Integrado de
Control Interno, centrándose en la manera
como la entidad aplica los diecisiete principios
para respaldar los componentes del control
interno.
AUDITORES INTERNOS
Son contratados para evaluar el Sistema de
Control Interno de la entidad, puede evaluar el
AUDITORES EXTERNOS sistema en relación con el Marco Integrado de
Control Interno, centrándose en la manera
como la entidad ha desarrollado los controles
que inciden en los principios
PARTES INTERESADAS
FORMULARIOS
El Marco Integrado de Control Interno presenta un apartado titulado Herramientas ilustrativas para evaluar la
eficacia del Sistema de Control Interno, el cual es una ayuda muy útil para evaluar la efectividad del Sistema
de control Interno de una organización sobre la base de los requisitos establecidos en el Marco.
Estos formularios pueden ser:

Formulario de
Formulario por Formulario de resumen de
cada evaluación de deficiencias de
componente los principios Control
Interno
CONTROLES GENERALES
Los controles generales son las políticas y procedimientos que se aplican a la totalidad o gran parte de
los sistemas de información de una entidad, incluyendo la infraestructura y plataformas TI de la
organización auditada y ayudan a asegurar su correcto funcionamiento.

Niveles
Nivel de procesos/aplicaciones
Nivel de la entidad Nivel de los sistemas TI de gestión

• Los controles a este nivel se • Los servicios de tecnología • Consisten en las políticas y
reflejan en la forma de de la información procedimientos establecidos
funcionar de una constituyen la base de las para controlar determinados
organización, e incluyen operaciones y son prestados aspectos relacionados con la
políticas, procedimientos a través de toda la gestión de la seguridad,
que marcan las pautas de la organización. controles de acceso, gestión
organización. de la configuración y
segregación de tareas.
CONTROLES DE APLICACIÓN

Los controles de aplicación se ocupan de determinados riesgos en los procesos de negocios y en las transacciones
particulares. Estos controles de aplicación dependen de áreas de la empresa diferentes de la Dirección y del
Gobierno corporativo.

Controles
Los controles de aplicación se establecen Controles en
para proporcionar una seguridad razonable centralizados de
servicios
de que los objetivos que la gerencia ordenadores
establece sobre las aplicaciones, se informáticos
alcanzan. Estos objetivos se articulan personales
típicamente a través de funciones
específicas para la solución, la definición de
las reglas de negocio para el procesamiento Controles
de la información y la definición de conexiones con
procedimientos manuales de soporte. host y redes de
área local
 COBIT
Se diseñó inicialmente como un conjunto de objetivos de control de TI para ayudar a la
comunidad de auditoría financiera a navegar mejor en el crecimiento de los entornos de TI.
En 1998, ISACA lanzó la versión 2, que amplió el marco para aplicar fuera de la comunidad
de auditoría. Más tarde, en la década de 2000, ISACA desarrolló la versión 3, que trajo las
técnicas de administración de TI y gobernanza de la información que se encuentran en el
marco actual.
 ● Es un marco de trabajo que permite comprender el gobierno y la
gestión de las tecnologías de información (TI) de una
• COBIT 4 se lanzó en 2005, seguido por
organización, así como evaluar el estado en que se encuentran
COBIT 4.1 en 2007. Estas actualizaciones
las TI en la empresa. También se puede definir como un
incluyeron más información sobre la
conjunto de herramientas de soporte empleadas para reducir la
gobernanza en torno a la tecnología de
brecha entre los requerimientos de control, los temas técnicos y
información y comunicación. En 2012, se
los riesgos del negocio.
lanzó COBIT 5 y en 2013, ISACA lanzó un
‘add-on’ para COBIT 5, que incluía más ● COBIT 5 se basa en cinco principios claves para el gobierno
y la gestión de las TI empresariales
información para las empresas en relación
con la gestión de riesgos y la gobernanza de
la información.
 Principio 1
Satisfacer las Necesidades
de las Partes Interesadas

Principio 5 Principio 2
Separar el Gobierno de la Cubrir la Empresa
Gestión Extremo-a-Extremo

Principio 4 Principio 3
Hacer Posible un Enfoque Aplicar un Marco de
Holístico Referencia único integrado
INFOGRAFÍA
 Políticas contables:
CASO PRÁCTICO
- El restaurante lleva el sistema de control contable en
forma computarizada, homologado con SUNAT.
- La contabilidad se lleva en Soles (S/)
- El efectivo está representado por el dinero en efectivo
En este punto, se encuentra el Diseño de un y en bancos.
- Las cuentas por cobrar son reconocidas y registradas al
Sistema de Control Interno basado en COSO III
(PYMES), para un restaurante de comida rápida, importe de los respectivos documentos.
luego de realizar una evaluación de la estructura
del control interno existente, sus deficiencias y
con el propósito de fortalecer el control interno,
se formulan principios y atributos aplicables,
relacionados con los cinco componentes de COSO
III, los cuales deben implementarse para
fortalecer y afianzar la cultura de Gestión de
Riesgos y Control Interno en el restaurante
Carnívoro La Hamburguesería.
Alcances y objetivos:
Determinar las deficiencias de Control Interno
en toda la empresa, con el propósito de emitir
un informe de las debilidades encontradas y
presentar las recomendaciones
correspondientes.
Aplicación de los atributos correspondientes
del Control Interno basado en COSO III
(PYMES), tratando los procesos de la empresa.
Proceso de Auditoría:
- Propuesta aprobada de servicios profesionales
- Narrativa de la Organización Administrativa
- Evaluación del Control Interno existente
- Elaboración de mapa de riesgos
- Informe de deficiencias y recomendaciones encontradas
- Diseño del Sistema de Control Interno basado en COSO III
(PYMES)
- Organigrama sugerido