COSO I, COSO II y

COSO III
 Ramírez Vásquez, Mery Esthefany
 Urquiza Falcón, Daniel Emill
 (Comité de Organizaciones Patrocinadas de la Comisión Treadway)

Organización voluntaria del sector privado, establecida en los EEUU,

dedicada a proporcionar orientación a la gestión ejecutiva y las
entidades de gobierno sobre los aspectos fundamentales de
organización de este:
 La ética empresarial
 Control Interno
 Gestión del Riesgo Empresarial
 El Fraude
 La presentación de informes financieros

COSO ha establecido un modelo común de control interno contra el

cual las empresas y organizaciones pueden evaluar sus sistemas de
control.
Informe COSO.

COSO I COSO II COSO III

Informe COSO.
Objetivos

Facilitar un modelo
Establecer una
en base al cual las
definición común
de control interno empresas y otras
que responda a las entidades,
necesidades de las cualquiera sea su
distintas partes. tamaño y
naturaleza, puedan
evaluar sus
sistemas de
control interno
Control Interno.
• Proceso realizado por el consejo de
directores, administradores y otro personal
de una entidad, diseñado para proporcionar
seguridad razonable mirando el cumplimiento
de los objetivos en las siguientes categorías:

• Efectividad y eficiencia de las operaciones.

• Confiabilidad de la información financiera.
• Cumplimiento de las leyes y regulaciones
aplicables.
 Ambiente 1. Demuestra compromiso con la integridad y los valores éticos
Interno
2. Ejerce responsabilidad de supervisión
Ambiente de
Control 3. Establece estructura, autoridad, y responsabilidad
Establecimiento 4. Demuestra compromiso para la competencia
de Objetivos 5. Hace cumplir con la responsabilidad

Identificación
de Riesgos

6. Especifica objetivos relevantes

Evaluación de Evaluación de 7. Identifica y analiza los riesgos
Riesgos Riesgos
8. Evalúa el riesgo de fraude
9. Identifica y analiza cambios importantes
Respuesta a los
Riesgos

Actividades de Actividades de
10. Selecciona y desarrolla actividades de control
Control Control 11. Selecciona y desarrolla controles generales sobre tecnología
12. Se implementa a través de políticas y procedimientos

Información y Información y
13. Usa información Relevante
Comunicación Comunicación 14. Comunica internamente
15. Comunica externamente

Supervisión y 16. Conduce evaluaciones continuas y/o independientes

Monitoreo
Monitoreo 17. Evalúa y comunica deficiencia

COSO I COSO II COSO III

 Ambiente de Control
Es el comportamiento y políticas que se mantienen dentro de la organización.

Como aspectos puede abarcar:

 La integridad y valores éticos de los recursos humanos
 La confianza mutua
 La filosofía y estilo de la Dirección
 La estructura y plan organizacional
 Reglamentos y manuales de procedimientos
 • Sirve como la base fundamental para los otros componentes del
ERM, dándole disciplina y estructura.
• Dentro de la empresa sirve para que los empleados creen
Ambiente interno conciencia de los riesgos que se pueden presentar en la empresa

• Es importante para que la empresa prevenga los riesgo, tenga

una identificación de los eventos, una evaluación del riesgo y una
clara respuesta a los riesgos en la empresa.
• La empresa debe tener una meta clara que se alineen y sustenten
Establecimientos con su vision y mision, pero siempre teniendo en cuenta que cada
de objetivos decision con lleva un riesgo que debe ser previsto por la empresa

1. Demuestra compromiso con la integridad y los valores éticos

2. Ejerce responsabilidad de supervisión
3. Establece estructura, autoridad, y responsabilidad
4. Demuestra compromiso para la competencia
5. Hace cumplir con la responsabilidad
 Evaluación de Riesgos

Los riesgos son hechos o acontecimientos cuya

probabilidad de ocurrencia es incierta pero no nula. La
importancia de cada riesgo en el control interno se basa
en su probabilidad de manifestación y en el impacto que
puede causar en la organización.
 • Se debe identificar los eventos que afectan los objetivos de la organización aunque estos sean positivos, negativos o
ambos, para que la empresa los pueda enfrentar y proveer de la mejor forma posible.
• La empresa debe identificar los eventos y debe diagnosticarlos como oportunidades o riesgos. Para que pueda hacer
Identificación frente a los riesgos y aprovechar las oportunidades.
de Riesgos

• Se evalúa que tipo de riesgo se está dando.

• Se debe estimar la frecuencia con la cual se presentan los riesgos identificados, así como las pérdidas que puedan
ocasionar.
Evaluación de • Se cuantifica el riesgo según el impacto que vaya a tener en la empresa.
Riesgos

• Una vez evaluado el riesgo la gerencia identifica y evalúa posibles repuestas al riesgo en relación al las necesidades
de la empresa.
• Las respuestas al riesgo pueden ser:
Evitarlo: se discontinúan las actividades que generan riesgo.
Reducirlo: se reduce el impacto o la probabilidad de ocurrencia o ambas
Respuesta a Compartirlo: se reduce el impacto o la probabilidad de ocurrencia al transferir o compartir una porción del riesgo.
los Riesgos Aceptarlo: no se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo.

6. Especifica objetivos relevantes

7. Identifica y analiza los riesgos
8. Evalúa el riesgo de fraude
9. Identifica y analiza cambios importantes
 Actividades de Control

Las actividades de control son las normas o reglas y

procedimientos de control que se realizan en el entorno de
las organizaciones con el fin de asegurar que se cumplan
todas las operaciones y tareas que establece el Directorio,
dispuestas de tal forma que tiendan a la prevención y
neutralización de los riesgos.
 • Son las políticas y
procedimientos para asegurar
que las respuesta al riesgo se
lleve de manera adecuada y
oportuna.

Actividades • Tipo de actividades de control:

Preventiva, detectivas,
de Control manuales, computarizadas o
controles gerenciales

10. Selecciona y desarrolla actividades de control

11. Selecciona y desarrolla controles generales sobre tecnología
12. Se implementa a través de políticas y procedimientos
 Información y Comunicación
Las organizaciones tienen acceso a un gran volumen de datos;
herramientas llamadas sistemas de información.

Dentro de estos, existen algunos que son relevantes para la

consecución de los objetivos propuestos por la organización. Por lo
cual deben ser claros, obtenidos oportunamente y en forma
adecuada.
 • La información es necesaria en todos
los niveles de la organización para
hacer frente a los riesgos
identificando, evaluando y dando
respuesta a los riesgos.
• La comunicación se debe realizar en
sentido amplio y fluir por toda la
Información y organización en todo los sentidos.
• Debe existir una buena comunicación
comunicación con los clientes, proveedores,
reguladores y accionistas.

13. Usa información Relevante

14. Comunica internamente
15. Comunica externamente
 Supervisión y Monitoreo
La supervisión es un proceso en el que se comprueba que se mantiene el adecuado
funcionamiento del sistema a lo largo del tiempo.

Debido a la evolución los sistemas de control interno los procedimientos que eran
eficaces en un momento dado, pueden perder su eficacia o dejar de aplicarse.

Por lo cual, la Dirección tendrá que determinar si el Sistema de Control Interno es en

todo momento adecuado y si se mantiene la capacidad de asimilar nuevos riesgos.
 • Sirve para monitorear que el proceso
de administración de los riesgos sea
efectivo a lo largo del tiempo y que
todos los componentes del marco
ERM funcionen adecuadamente.
• El monitoreo se puede medir a través
de:

Monitoreo Actividades de monitoreo continuo

Evaluaciones puntuales
Una combinación de ambas formas

16. Conduce evaluaciones continuas y/o independientes

17. Evalúa y comunica deficiencia