“AÑO DE LA LUCHA CONTRA LA CORRUPCION E

IMPUNIDAD”

UNIVERSIDAD NACIONAL DE SAN MARTÍN

FACULTAD : Ciencias Económicas

ESCUELA PROFESIONAL : Contabilidad

ASIGNATURA : Auditoria Financiera

DOCENTE : CPCC. Oscar Antonio Pineda Morales

GRUPO : N° 05

INTEGRANTES

 Angulo Saavedra Abraham Lincoln

 García Rosales Karen
 Rodríguez Gutiérrez Lesly
 Rios Arirama Mariella
 Sánchez de Paz Jeissy Katherine
 Sánchez Rivera Yury Iris

TEMA :Auditoría Financiera

CICLO : VII

MORALES –PERÚ

2019 – II

1
 INDICE
INTRODUCCION ........................................................................................................................ 5
CAPITULO 1: COSO Committee of Sponsoring Organizations of The Treadway Commission 6
1. HISTORIA Y EVOLUCIÓN ................................................................................................ 6
1.1. EL INFORME COSO TIENE DOS OBJETIVOS FUNDAMENTALES:................... 7
1.2. ¿POR QUÉ ELEGIR EL SISTEMA COSO DE CONTROL INTERNO PARA UNA
ENTIDAD? ............................................................................................................................... 7
1.3. MODELOS DEL SISTEMA COSO: ............................................................................ 7
1.4. BENEFICIOS DE UN SISTEMA DE CONTROL INTERNO ............................. 10
1.5. EJEMPLOS DE LA IMPLEMENTACIÓN DEL MARCO COSO............................ 10
CAPITULO II: COSO I .............................................................................................................. 11
2. HISTORIA DEL COSO I ................................................................................................... 11
2.1. DEFINICIÓN .............................................................................................................. 11
2.2. IMPORTANCIA ......................................................................................................... 11
2.3. OBJETIVOS ............................................................................................................... 12
2.4. COMPONENTES DE COSO I: .................................................................................. 12
2.4.1. AMBIENTE O ENTORNO DE CONTROL ...................................................... 12
2.4.2. EVALUACIÓN DE RIESGOS ........................................................................... 13
2.4.3. ACTIVIDADES DE CONTROL ........................................................................ 16
2.4.4. INFORMACIÓN Y COMUNICACIÓN ............................................................ 16
2.4.5. SUPERVISIÓN O MONITOREO ...................................................................... 19
CAPITULO III: COSO II ............................................................................................................ 21
3. EVOLUCION DEL COSO II ............................................................................................. 21
3.1. COMPONENTES CLAVES DEL COSO II ............................................................... 21
3.1.1. AMBIENTE INTERNO ...................................................................................... 21
3.1.2. ESTABLECIMIENTO DE OBJETIVOS ........................................................... 21
3.1.3. IDENTIFICACIÓN DE EVENTOS ................................................................... 22
3.1.4. EVALUACION DE RIESGOS ........................................................................... 22
3.1.5. RESPUESTA AL RIESGO ................................................................................. 22
3.1.6. ACTIVIDADES DE CONTROL ........................................................................ 22
3.1.7. INFORMACIÓN Y COMUNICACIÓN ............................................................ 22
3.1.8. SUPERVISION O MONITOREO ...................................................................... 23
3.2. DE COSO ERM .......................................................................................................... 23
3.3. RELACON ENTRE EL COSO I Y COSO II ............................................................. 23

2
CAPITULO IV: COSO 2013 ...................................................................................................... 24
4. EVOLUCION DEL COSO 2013 ........................................................................................ 24
4.1. MISIÓN....................................................................................................................... 24
4.2. PRINCIPALES CAMBIOS ........................................................................................ 24
4.3. CONCEPTOS ............................................................................................................. 25
4.4. OBJETIVOS, COMPONENTES Y PRINCIPIOS ..................................................... 26
4.4.1. OBJETIVOS........................................................................................................ 26
4.4.2. COMPONENTES Y PRINCIPIOS ..................................................................... 27
CAPITULO V: COSO 2017 ....................................................................................................... 31
5. EVOLUCION DEL COSO 2017 ........................................................................................ 31
5.1. PRINCIPALES CAMBIOS ........................................................................................ 32
5.2. CARACTERÍSTICAS Y VENTAJAS PRINCIPALES COSO ERM 2017 ............... 33
5.3. DEFINICIÓN DE ERM .............................................................................................. 34
5.4. LA GESTIÓN DE RIESGOS Y LA CREACIÓN DE VALOR ................................. 34
5.5. EVOLUCIÓN DE LA GESTIÓN DE RIESGOS ....................................................... 35
5.6. VISIÓN INTEGRAL DE RIESGOS .......................................................................... 35
5.7. ERM Y LA ESTRATEGIA ........................................................................................ 36
5.8. OBSERVACIONES SOBRE ERM TRADICIONAL ................................................ 36
5.9. LOS TÍPICOS PROGRAMAS DE ERM NO ESTÁN ENFOCADOS EN LOS
RIESGOS CORRECTOS........................................................................................................ 37
5.10. CARACTERÍSTICAS CLAVES DE UN PROGRAMA DE ERM ESTRATÉGICO
37
5.11. UN MARCO PARA UN PROGRAMA ERM MÁS ENFOCADO EN LA
ESTRATEGIA ........................................................................................................................ 38
5.12. UN SÓLIDO GOBIERNO DE RIESGOS PERMITE UNA GESTIÓN DE
RIESGOS PROACTIVA ........................................................................................................ 39
5.13. LOS PROGRAMAS LIDERES INCREMENTAN EL ENFOQUE EN RIESGOS
ESTRATÉGICOS Y EMERGENTES .................................................................................... 39
5.14. EL MARCO DE RIESGOS ESTRATÉGICOS (MRE) PROVEE UN ENFOQUE
PARA EVALUAR EL RIESGO QUE EL VALOR PRESENTE Y FUTURO TIENE,
BASADOS EN LA ESTRATEGIA ESCOGIDA ................................................................... 41
5.15. CULTURA DE RIESGOS ...................................................................................... 42
5.16. NUESTRO MODELO DE MADUREZ DE ERM ................................................. 42
5.17. COSO 2017: ............................................................................................................ 43
5.17.1. ¿QUÉ SE PRETENDE CON LA ACTUALIZACIÓN? ..................................... 43

3
 5.17.2. EL ROL DEL RIESGO EN LA SELECCIÓN DE LA ESTRATEGIA
ASPECTOS A CONSIDERAR: ......................................................................................... 44
5.17.3. GESTIÓN DE RIESGOS EMPRESARIALES INTEGRADO CON
ESTRATEGIA Y DESEMPEÑO ....................................................................................... 44
5.17.4. COMPONENTES ............................................................................................... 45
5.17.5. PRINCIPIOS ....................................................................................................... 45
5.18. SIGUIENTES PASOS PARA FORTALECER EL ERM DE LA
ORGANIZACIÓN UTILIZANDO COSO ERM 2017........................................................... 46
CAPITULO VI: DIFERENCIA DEL INFORME COSO I, COSO II, COSO 2013 Y COSO
2017 ............................................................................................................................................. 47
6. DIFERENCIAS ................................................................................................................. 47
6.1. COSO I ........................................................................................................................ 47
6.2. COSO II ...................................................................................................................... 47
6.3. COSO 2013 ................................................................................................................. 48
6.4. COSO 2017 ................................................................................................................. 48
CONCLUSION ........................................................................................................................... 50
BIBLIOGRAFIA......................................................................................................................... 51

4
 INTRODUCCION
Dentro del ambiente empresarial es muy difícil mantener estándares de calidad para los
procesos y procedimientos internos. Existe siempre de una u otra manera, maneras de
proceder que en muchas ocasiones provocan acciones que traen consigo consecuencias
nada favorables para la organización y sé que pueden resumir en errores de proceso,
pérdida de información, pérdida de capital, desfalcos, inconsistencias, entre otros. Para
esta serie de incertidumbres existe la auditoría, la cual puede ser interna o externa y que
de una forma muy precisa ayuda a la organización a conocer el comportamiento de sus
procesos y también hace recomendaciones para la mejora de éstos.

El control interno constituye una de las herramientas más importantes para el buen
funcionamiento de cualquier empresa, prueba de ello es que en cualquier área que
auditemos evaluamos el control interno para determinar el alcance y determinar los
procedimientos y técnicas adecuadas según lo requiera el resultado de la evaluación.

De esta evaluación se deduce que a mayor deficiencia en control interno encontradas

mayores serán nuestras pruebas y muestras para determinar que los datos encontrados
en las áreas auditadas se expresen con razonabilidad y establecer los controles que
necesitan reforzarse o hacer cumplir.

Una empresa exitosa dependerá de que tan bien este estructurado su Control Interno por
ello analizaremos la Aplicación del Método COSO como una guía de Control dedicado
a las compañías pequeñas.

Los Informes COSO I y COSO II, COSO 2013 Y COSO 2017 son herramientas de
gestión que en la actualidad han tomado relevancia dadas las exigencias del mundo
globalizado en el que las organizaciones se desenvuelven, permitiendo que un marco
integrado de gestión de las actividades alcance significativos niveles de inversión y
crecimiento.

La investigación toma como base para la integración de los conceptos de los Informes
COSO, los fundamentos de competitividad que presenta el informe COSO I, COSO II,
COSO 2013 Y COSO 2017 al respecto.

5
 CAPITULO 1: COSO Committee of Sponsoring Organizations of The Treadway
Commission

1. HISTORIA Y EVOLUCIÓN
COSO es un sistema que permite implementar el control interno en cualquier tipo de
entidad u organización. Sus siglas se refieren al Committee of Sponsoring
Organizations of The Treadway Commission (COSO), quienes evaluaron y llegaron
a la conclusión que la ausencia de orden en los procesos de una entidad, representa una
diversidad de riesgos, por lo tanto, es necesario evaluarlos y darles una respuesta
inmediata para evitar los posibles fraudes o errores que pudieren surgir. (Rodriguez)

En 1985 se formó la Comisión Nacional para Emisión de Informes Fraudulentos,

conocida como la Treadway Commission, a fin de identificar las causas de la
proliferación actual de emisión de informes fraudulentos.

En 1987 la Treadway Commission solicitó realizar un estudio para desarrollar una

definición común del control interno y marco conceptual.

En 1988, el Comité de Organizaciones Patrocinantes de la Comisión Treadway

Commission, conocido como COSO, seleccionó a Coopers & Lybrand para estudiar el
control interno.

Mas de cinco años por el grupo de trabajo que la Treadway Commission, National
Commission on Fraudulent Financial Reporting creó en Estados Unidos en 1985 bajo la
sigla COSO (Committee of Sponsoring Organizations). El grupo estaba constituido por
representantes de las siguientes organizaciones:

American Accounting Association (AAA).

American Institute of Certified Public Accountants (AICPA).
Financial Executive Institute (FEI).
Institute of Internal Auditors (IIA).
Institute of Management Accountants (IMA).

Committee of Sponsoring Organizations, creó COSO, para facilitar a las empresas a

evaluar y mejorar sus sistemas de control interno. Desde entonces ésta metodología se
incorporó en las políticas, reglas y regulaciones y ha sido utilizada por muchas
compañías para mejorar sus actividades de control hacia el logro de sus objetivos.

6
1.1.EL INFORME COSO TIENE DOS OBJETIVOS FUNDAMENTALES:
 Encontrar una definición clara del Control Interno: Para que pueda ser
utilizada por todos los interesados en el tema.
 Proponer un modelo ideal o de referencia del Control Interno: Para que
las empresas y las demás organizaciones puedan evaluar la calidad de sus
propios sistemas de Control Interno.

Todo esto es aplicado al Control Interno de una organización: El control interno

comprende el plan de organización, el conjunto de métodos y procedimientos
que aseguren que los activos estén debidamente protegidos, que los registros
contables son fidedignos y que la actividad de la empresa se desarrolla
eficazmente, según las directrices marcadas por la administración.

1.2.¿POR QUÉ ELEGIR EL SISTEMA COSO DE CONTROL INTERNO

PARA UNA ENTIDAD?
La implementación del Sistema COSO, genera beneficios, evita riesgos, detecta
fraudes y aporta la eficiencia en los controles en una entidad. La elección
adecuada del Sistema COSO debe ser acorde al grado de desarrollo que posea la
entidad.

1.3.MODELOS DEL SISTEMA COSO:

Los modelos del Sistema COSO buscan la eficiencia y eficacia de los recursos,
la fiabilidad de la información interna y externa, financiera y no financiera, la
alineación de los elementos a la misión de la entidad, la verificación del
cumplimiento de las leyes y normas vigentes. Este sistema debe ser aplicado por
la dirección, la administración y el resto del personal de una entidad.

 COSO I: Contiene los siguientes 5 elementos potenciales:

 Ambiente o entorno de control;
 Evaluación del riesgo;
 Actividades de control;
 Información y comunicación y
 Supervisión o Monitoreo

7
 COSO II Marco Integral de Riesgos (COSO II ERM): En este modelo se
buscó la mejora en los elementos potenciales, como resultado de ello se integra a
8 elementos potenciales:
 Ambiente interno;
 Establecimiento de objetivos;
 Identificación de eventos;
 Evaluación de riesgos;
 Respuesta a los riesgos;
 Actividades de control;
 Información y comunicación y
 Supervisión o Monitoreo
 COSO 2013 PARA PEQUEÑAS Y MEDIANAS EMPRESAS: En este
modelo se simplificó a los 5 primeros elementos potenciales del COSO I y 17
principios que la administración de toda organización debería implementar.
 Ambiente o Entorno de control
 Principio 1: Demuestra compromiso con la integridad y los
valores éticos
 Principio 2: Ejerce responsabilidad de supervisión
 Principio 3: Establece estructura, autoridad, y responsabilidad
 Principio 4: Demuestra compromiso para la competencia
 Principio 5: Hace cumplir con la responsabilidad
 Evaluación de riesgos
 Principio 6: Especifica objetivos relevantes
 Principio 7: Identifica y analiza los riesgos
 Principio 8: Evalúa el riesgo de fraude
 Principio 9: Identifica y analiza cambios importantes
 Actividades de control
 Principio 10: Selecciona y desarrolla actividades de control
 Principio 11: Selecciona y desarrolla controles generales sobre
tecnología
 Principio 12: Se implementa a través de políticas y
procedimientos
 Principio 13: Usa información Relevante

8
  Información y comunicación
 Principio 14: Comunica internamente
 Principio 15: Comunica externamente
 Supervisión o Monitoreo
 Principio 16: Conduce evaluaciones continuas y/o independientes
 Principio 17: Evalúa y comunica deficiencias
 COSO 2017: Se publico como una actualización de su programa anterior (2004)
la cual esta basada en 5 componenetes y 20 principios
 Gobierno y Cultura
 Ejerce la función de supervisar los riesgos del consejo
 Establece estructuras operativas
 Define la cultura deseada
 Demuestra compromiso con los valores básicos
 Atrae, desarrolla y retiene al personal capacitado
 Estrategia y definición de objetivos
 Analiza el contexto de negocios
 Determina el apetito de riesgo
 Evalúa estrategias alternativas
 Formula objetivos de negocios
 Desempeño
 Identifica riesgos
 Evalúa la severidad de los riesgos
 Prioriza los riesgos
 Implementa las respuestas ante los riesgos
 Desarrolla la visión de la cartera
 Análisis y Revisión
 Evalúa cambios importantes
 Revisa los riesgos y el desempeño
 Busca mejorar la administración de riesgos empresariales
 Información, comunicación y presentación de informes
 Aprovecha la información y la tecnología
 Comunica información sobre los riesgos
 Elabora reportes de riesgos, cultura y desempeño

9
1.4.BENEFICIOS DE UN SISTEMA DE CONTROL INTERNO
 Define las normas de conducta y actuación, funcionando como conductor
del establecimiento del Sistema de Control Interno.
 Ayuda a reducir sorpresas aportando confianza en el cumplimiento de los
objetivos, provee feedback del funcionamiento del negocio.
 Establece las formas de actuación en todos los niveles de la
organización, través de la fijación de objetivos claros y medibles, y de
actividades de control.
 Otorga una seguridad razonable sobre la adecuada administración de los
riesgos del negocio.
 Y el establecimiento de mecanismos de monitoreo formales para la
resolución de desviaciones al funcionamiento del sistema de control
interno.

1.5.EJEMPLOS DE LA IMPLEMENTACIÓN DEL MARCO COSO

 En temas de Ambiente de Control, el definir e implementar el Código de
Ética, apoyados de un Buzón de Denuncia ayuda a identificar los
esquemas de fraude que se materializan en la empresa.
 Mejora de los procesos de la Compañía a través del establecimiento de
controles, a nivel de automatización, alineación con los riesgos del
negocio, y con el cumplimiento de objetivos.
 Cambios en la Función de Auditoría Interna alineada a los riesgos de
negocio críticos, asegurando el cumplimiento y apego de políticas, así
como las actividades de control claves definidos en cada componente.

10
 CAPITULO II: COSO I

2. HISTORIA DEL COSO I

La rápida evolución del entorno económico y competitivo, así como las exigencias y
prioridades cambiantes de los mercados, hacen que el desenvolvimiento de las empresas
se encuentre sometido a un gran dinamismo. Dicha situación crea la necesidad de
desarrollar mecanismos de adaptación en forma permanente.

En la búsqueda del crecimiento y adaptación a los cambios, los controles internos

fomentan la eficiencia, reducen el riesgo de pérdida de valor de los activos y ayudan a
garantizar la fiabilidad de los estados financieros y el cumplimiento de las leyes y
normas vigentes. Estos atributos son considerados cada vez más como una solución a
numerosos problemas potenciales.

Por ello despues que el Committee of Sponsoring Organizations, creó COSO, para
facilitar a las empresas a evaluar y mejorar sus sistemas de control interno.La evolución
a lo largo de la historia de la estructura del Sistema COSO ha sido efectiva a partir del
año 1992, en cuyo año se denominó Marco del Control Interno llamado como COSO I.

2.1.DEFINICIÓN
Comprende el plan de organización, los métodos y las medidas tomadas por la dirección
de una empresa para apoyar y medir la eficiencia y exactitud en las operaciones y el
cumplimiento de los objetivos de la entidad. El control interno es un proceso llevado a
cabo por las personas de una organización, diseñado con el fin de proporcionar un grado
de seguridad "razonable" para la consecución de sus objetivos. Conceptos
fundamentales del control interno: El control interno es un proceso, es un medio para
alcanzar un fin. Al control interno lo realizan las personas, no son sólo políticas y
procedimientos. El control interno sólo brinda un grado de seguridad razonable, no es la
seguridad total. El control interno tiene como fin facilitar el alcance de los objetivos de
una organización. (Noe Cely, 2011 )

2.2.IMPORTANCIA
Señala la importancia de que el control interno opere a diferentes niveles de efectividad
en tres categorías, que lo llevan a definir los objetivos que cita su definición,
justificando así su segmentación” (Lara, 2012, pág. 115).

11
2.3.OBJETIVOS
 Expresan los propósitos de la Organización, mostrando hacia dónde va la
misma.
 Establecer una definición común de control interno que responda a las
necesidades de las distintas partes.
 Mejorar la calidad de la información financiera concentrándose en el
manejo corporativo, las normas y el control interno.
 Facilitar un modelo en base al cual las empresas y otras entidades puedan
evaluar sus Sistemas de control interno.
 Unificar criterios ante la existencia de una importante variedad de
interpretaciones y conceptos sobre el Control Interno.
 Definir un nuevo marco conceptual del Control Interno. (Alejandra,
2012).

2.4.COMPONENTES DE COSO I:

2.4.1. AMBIENTE O ENTORNO DE CONTROL

El entorno de control aporta el ambiente en el que las personas desarrollan
sus actividades y cumplen con sus responsabilidades de control, marca la
pauta del funcionamiento de una organización e influye en la percepción de
sus empleados respecto al control. Es la base de todos los demás
componentes del Control Interno, aportando disciplina y estructura. Los
factores del ambiente de control incluyen la integridad, los valores éticos y
la capacidad de los empleados de la entidad, la filosofía de dirección y el
estilo de dirección, la manera en que la dirección asigna la autoridad y las
responsabilidades y organiza y desarrolla profesionalmente a sus empleados
así como la atención y orientación que proporciona el Consejo de
Administración. El ambiente de control tiene una incidencia generalizada en
la estructuración de las actividades empresariales, en el establecimiento de
objetivos y en la evaluación de riesgos.

La organización debe establecer un entorno que permita el estímulo y

produzca influencia en la actividad del recurso humano respecto al control
de sus actividades. Para que este ambiente de control se genere se requiere
de otros elementos asociados al mismo los cuales son:

12
  INTEGRIDAD Y VALORES ÉTICOS: Se deben establecer los valores
éticos y de conducta que se esperan del recurso humano al servicio del
Ente, durante el desempeño de sus actividades propias. Los altos
ejecutivos deben comunicar y fortalecer los valores éticos y conductuales
con su ejemplo.
 COMPETENCIA: Se refiere al conocimiento y habilidad que debe
poseer toda persona que pertenezca a la organización, para desempeñar
satisfactoriamente su actividad.

 EXPERIENCIA Y DEDICACIÓN DE LA ALTA

ADMINISTRACIÓN: Es vital que quienes determinan los criterios de
control posean gran experiencia, dedicación y se comprometan en la
toma de las medidas adecuadas para mantener el ambiente de control.
 FILOSOFÍA ADMINISTRATIVA Y ESTILO DE OPERACIÓN: Es
sumamente importante que se muestre una adecuada actitud hacia los
productos de los sistemas de información que conforman la
organización. Aquí tienen gran influencia la estructura organizativa,
delegación de autoridad y responsabilidades y políticas y prácticas del
recurso humano. Es vital la determinación actividades para el
cumplimiento de la misión de la empresa, la delegación autoridad en la
estructura jerárquica, la determinación de las responsabilidades a los
funcionarios en forma coordinada para el logro de los objetivos.

El ambiente de control que significa la actitud global, conciencia y acciones de

directores y administración respecto del sistema de control interno y su importancia en
la entidad. El ambiente de control tiene un efecto sobre la efectividad de los
procedimientos de control específicos. Un ambiente de control fuerte, por ejemplo, uno
con controles presupuestales estrictos y una función de auditoría interna efectiva,
pueden complementar en forma muy importante los procedimientos específicos de
control. Sin embargo, un ambiente fuerte no asegura, por sí mismo, la efectividad del
sistema de control interno.

2.4.2. EVALUACIÓN DE RIESGOS

Los factores que pueden incidir interfiriendo el cumplimiento de los objetivos
propuestos por el sistema organización, se denominan riesgos. Estos pueden provenir

13
del medio ambiente ó de la organización misma. Se debe entonces establecer un
proceso amplio que identifique y analice las interrelaciones relevantes de todas las áreas
de la organización y de estas con el medio circundante, para así determinar los riesgos
posibles.

Toda organización se encuentra sumergida en un medio ambiente cambiante y

turbulento muchas veces hostil, por lo tanto es de vital de importancia la identificación
y análisis de los riesgos de importancia para la misma, de tal manera que los mismos
puedan ser manejados. La organización al establecer su misión y sus objetivos debe
identificar y analizar los factores de riesgo que puedan amenazar el cumplimiento de los
mismos.

La evaluación de riesgos presenta los siguientes aspectos sobresalientes:

 OBJETIVOS: Todos los recursos y los esfuerzos de la organización están

orientados por los objetivos que persigue la misma. Al determinarse los
objetivos es crucial la identificación de los factores que pueden evitar su logro.
La administración debe establecer criterios de medición de estos riesgos para
prevenir su ocurrencia futuro y así asegurar el cumplimiento de los objetivos
previstos.
Las categorías de los objetivos se relacionan directamente con los objetivos del
control interno planteados anteriormente:
 Objetivos de Información Financiera: Son aquellos relacionados con la
obtención de información financiera suficiente y confiable.
 Objetivos de Operación: Son los que pretenden lograr efectividad y
eficiencia de las operaciones.
 Objetivos de Cumplimiento: Son los que se orientan a la adhesión a las
leyes, reglamentos y políticas emitidas por la administración.
 ANÁLISIS DE RIESGOS Y SU PROCESO: Los aspectos importantes a incluir
son entre otros:
 Estimación de la importancia del riesgo y sus efectos
 Evaluación de la probabilidad de ocurrencia
 Establecimiento de acciones y controles necesarios
 Evaluación periódica del proceso anterior

14
  MANEJO DE CAMBIOS: Tiene relación con la identificación de los cambios
que puedan tener influencia en la efectividad de los controles internos ya
establecidos. Todo control diseñado para una situación específica puede ser
inoperante cuando las circunstancias se modifican. Este elemento tiene estrecha
relación con el proceso de análisis de riesgos, pues el cambio en sí implica un
factor que puede incidir en el éxito de los objetivos. Además de los factores que
puedan impedir el cumplimiento de los objetivos del sistema organizacional, se
debe tener en cuenta el riesgo de auditoría, que consiste en que el auditor no
detecte un error de importancia relativa que pueda existir en el sistema
examinado. El riesgo de auditoría puede consistir en riesgo inherente, riesgo de
control, y el riesgo de detección.

Riesgo de auditoría significa el riesgo de que el auditor de una opinión de auditoría

inapropiada cuando los estados financieros están elaborados en forma errónea de una
manera importante.

El riesgo de auditoría tiene tres componentes: riesgo inherente, riesgo de control y

riesgo de detección.

1. "RIESGO INHERENTE": Es la susceptibilidad del saldo de una cuenta o

clase de transacciones a una representación errónea que pudiera ser de
importancia relativa, individualmente o cuando se agrega con representaciones
erróneas en otras cuentas o clases, asumiendo que no hubo controles internos
relacionados.
2. "RIESGO DE CONTROL": Es el riesgo de que una representación errónea que
pudiera ocurrir en el saldo de cuenta o clase de transacciones y que pudiera ser
de importancia relativa individualmente o cuando se agrega con
representaciones erróneas en otros saldos o clases, no sea prevenido o detectado
y corregido con oportunidad por los sistemas de contabilidad y de control
interno.
3. "RIESGO DE DETECCIÓN": Es el riesgo de que los procedimientos
sustantivos de un auditor o detecten una representación errónea que existe en un
saldo de una cuenta o clase de transacciones que podría ser se importancia
relativa, individualmente o cuando se agrega con representaciones erróneas en
otros saldos o clases.

15
 2.4.3. ACTIVIDADES DE CONTROL
Las actividades de una organización se manifiestan en las políticas, sistemas y
procedimientos, siendo realizadas por el recurso humano que integra la entidad. Todas
aquellas actividades que se orienten hacia la identificación y análisis de los riesgos
reales o potenciales que amenacen la misión y los objetivos y en beneficio de la
protección de los recursos propios o de los terceros en poder de la organización, son
actividades de control. Estas pueden ser aprobación, autorización, verificación,
inspección, revisión de indicadores de gestión, salvaguarda de recursos, segregación de

Existen muchas descripciones de tipos de actividades de control, que incluyen desde

controles preventivos a controles detectivos y correctivos, controles manuales, controles
informáticos y controles de dirección. Algunos ejemplos:

 ANÁLISIS EFECTUADOS POR LA DIRECCIÓN: Los resultados obtenidos

se analizan comparándolos con los presupuestos, las previsiones, los resultados
de ejercicios anteriores y de los competidores, con el fin de evaluar en que
medida se están alcanzando los objetivos.
 GESTIÓN DIRECTA DE FUNCIONES POR ACTIVIDADES: Los
responsables de las diversas funciones o actividades revisan los informes sobre
resultados alcanzados.
 PROCESO DE INFORMACIÓN: Se aplican una serie de controles para
comprobar la exactitud, totalidad y autorización de las transacciones. Se controla
el desarrollo de nuevos sistemas y la modificación de los existentes, al igual que
el acceso a los datos, archivos y programas informáticos.
 CONTROLES FÍSICOS: Los equipos de fabricación, las inversiones
financieras, la tesorería y otros activos son objeto de protección y
periódicamente se someten a recuentos físicos cuyos resultados se comparan con
las cifras que figuran en los registros de control.

2.4.4. INFORMACIÓN Y COMUNICACIÓN

Hay que identificar, recopilar y comunicar información pertinente en tiempo y forma
que permitan cumplir a cada empleado con sus responsabilidades.

Los sistemas de información generan informes, que contienen información operativa,

financiera y la correspondiente al cumplimiento, que posibilitan la dirección y el control
del negocio. Dichos informes contemplan, no sólo, los datos generados internamente,

16
sino también información sobre incidencias, actividades y condiciones externas,
necesaria para la toma de decisiones y para formular informes financieros. Debe haber
una comunicación eficaz en un sentido amplio, que fluya en todas las direcciones a
través de todos los ámbitos de la organización, de arriba hacia abajo y a la inversa. Las
responsabilidades de control han de tomarse en serio. Los empleados tienen que
comprender cuál es su papel en el sistema de Control Interno y cómo las actividades
individuales están relacionadas con el trabajo de los demás. Asimismo, tiene que haber
una comunicación eficaz con terceros, como clientes, proveedores, organismos de
control y accionistas.

 COMO EVALUAR LA INFORMACIÓN Y COMUNICACIÓN

Se deberá considerar la adecuación de los sistemas de información y la comunicación a

las necesidades de la entidad, a continuación se relacionan algunos aspectos posibles a
considerar:

INFORMACIÓN:
 El suministro de información a las personas adecuadas, con el
suficiente detalle y oportunidad.
 El desarrollo o revisión de los sistemas de información, basado en
un plan estratégico para los sistemas de información.
 El apoyo de la dirección al desarrollo de los sistemas de
información necesarios.
COMUNICACIÓN:
 La comunicación eficaz al personal, de sus funciones y
responsabilidades de control.
 El establecimiento de líneas de comunicación para la denuncia de
posibles actos indebidos.
 La sensibilidad de la dirección a las propuestas del personal
respecto de formas de mejorar la productividad, la calidad, etc.
 La adecuación de la comunicación horizontal.
 El nivel de apertura y eficacia de las líneas de comunicación con
clientes, proveedores y terceros.
 El nivel de comunicación a terceros de las normas éticas de la
entidad.

17
  La realización oportuna y adecuada del seguimiento por parte de
la dirección de las informaciones obtenidas de terceros, clientes,
organismos de control, etc.

Tipo de comunicaccion:

 COMUNICACIÓN INTERNA: Además, de recibir la información necesaria

para llevar a cabo sus actividades, todo el personal, especialmente los empleados
con responsabilidades importantes deben tomar en serio sus funciones
comprometidas al Control Interno.
Cada función concreta ha de especificarse con claridad, cada persona tiene que
entender los aspectos relevantes del sistema de Control Interno, como funcionan
los mismos, saber cuál es su papel y responsabilidad en el sistema. Al llevar a
cabo sus funciones, el personal de la empresa debe saber que cuando se
produzca una incidencia conviene prestar atención no sólo al propio
acontecimiento, sino también a su causa. De esta forma, se podrán identificar la
deficiencia potencial en el sistema tomando las medidas necesarias para evitar
que se repita. Asimismo, el personal tiene que saber cómo sus actividades están
relacionadas con el trabajo de los demás, esto es necesario para conocer los
problemas y determinar sus causas y la medida correctiva adecuada, El personal
debe saber los comportamientos esperados, aceptables y no aceptables. Los
empleados también necesitan disponer de un mecanismo para comunicar
información relevante a los niveles superiores de la organización, los empleados
de primera línea, que manejan aspectos claves de las actividades todos los días,
generalmente son los mas capacitados para reconocer los problemas en el
momento que se presentan. Deben haber líneas directas de comunicación para
que esta información llegue a niveles superiores, y por otra parte debe haber
disposición de los directivos para escuchar.
 COMUNICACIÓN EXTERNA: Además de una comunicación interna, ha de
existir una eficaz comunicación externa. Los clientes y proveedores podrán
aportar información de gran valor sobre el diseño y la calidad de los productos o
servicios de la empresa, permitiendo que la empresa responda a los cambios y
preferencias de los clientes. Por otra parte toda persona deberá entender que no
se tolerarán actos indebidos, tales como sobornos o pagos indebidos.

18
 2.4.5. SUPERVISIÓN O MONITOREO
Los Sistemas de Control Interno requieren supervisión, es decir, un proceso que
compruebe que se mantiene el adecuado funcionamiento del sistema a lo largo del
tiempo. Esto se consigue mediante actividades de supervisión continua, evaluaciones
periódicas o una combinación de ambas cosas. La supervisión continua se da en el
transcurso de las operaciones, incluye tanto las actividades normales de dirección y
supervisión, como otras actividades llevadas a cabo por el personal en la realización de
sus funciones.

El alcance y frecuencia de las evaluaciones dependerá de la evaluación de riesgos y de

la eficiencia de los procesos de supervisión. Los Sistemas de Control Interno y en
ocasiones, la forma en que los controles se aplican, evolucionan con el tiempo, por lo
que procedimientos que eran eficaces en un momento dado, pueden perder su eficacia o
dejar de aplicarse. Las causas pueden ser la incorporación de nuevos empleados,
defectos en la formación y supervisión, restricciones de tiempo y recursos y presiones
adicionales. Asimismo, las circunstancias en base a las cuales se configuró el Sistema
de Control Interno en un principio también pueden cambiar, reduciendo su capacidad de
advertir de los riesgos originados por las nuevas circunstancias. En consecuencia, la
dirección tendrá que determinar si el Sistema de Control Interno es en todo momento
adecuado y su capacidad de asimilar los nuevos riesgos.

 COMO EVALUAR LA SUPERVISIÓN

Para llegar a una conclusión sobre la eficacia de la supervisión del Control Interno,
conviene considerar tanto las actividades de supervisión continua como las evaluaciones
puntuales del Sistema de Control Interno, o de partes del mismo. A continuación se
detallan algunos aspectos, sirviendo esta relación únicamente de punto de referencia.

 SUPERVISIÓN CONTINUA: Existe una gran variedad de actividades

que permiten efectuar un seguimiento de la eficacia del Control Interno,
como comparaciones, conciliaciones, actividades corrientes de gestión y
supervisión así como otras actividades rutinarias.
 Hasta que punto el personal al realizar sus actividades normales
obtiene evidencia de que el Sistema de Control Interno está
funcionando adecuadamente.

19
  En que medida las comunicaciones procedentes de terceros
corroboran la información generada internamente o indican
problemas.
 Comparaciones periódicas entre los importes registrados por el
sistema contable con los activos físicos.
 Receptividad ante las recomendaciones del auditor interno y
externo respecto de la forma de mejorar los controles internos.
 En que medida las reuniones facilitan información a la dirección
sobre si los controles operan eficazmente.
 Si se hacen encuestas periódicas al personal para que manifieste
si entiende y cumple el código de conducta de la entidad y si se
realizan normalmente las tareas de control críticas.
 ALCANCE Y FRECUENCIA: El alcance y la frecuencia de la evaluación
del Control Interno variarán según la magnitud de los riesgos objeto de
control y la importancia de los controles para la reducción de aquellos.
Así los controles actuarán sobre los riesgos de mayor prioridad y los más
críticos para la reducción de un determinado riesgo serán objeto de
evaluación más frecuente. La evaluación del Control Interno forma parte
de las funciones normales de auditoría interna y también resulta de
peticiones especiales por parte del Consejo de Administración, la
dirección general y los directores de filial o de división.

20
 CAPITULO III: COSO II

3. EVOLUCION DEL COSO II

Este proyecto inició en el 1992 con la implantación de los principios del COSO I y en el
2004 se modificó para una versión mejorada: el COSO II o COSO ERM (Enterprise
Risk Management). Se trata de un proceso continuo efectuado por el personal de una
compañía (en todos los niveles) y diseñado para identificar eventos potenciales y
evaluarlos. Así, provee de seguridad a todo tipo de organización para el cumplimiento
de objetivos o proyectos sin el impacto de los riesgos. Como resultado, el COSO II
brinda una serie de beneficios, entre los cuales están:

 Alinea la gestión de riesgos con la estrategia para analizarlos.

 Mejora las decisiones importantes de respuesta ante los riesgos o crisis.
 Reduce el número de eventos sorpresivos y, en consecuencia, de pérdidas
operacionales.
 Identifica, agrupa y gestiona toda la diversidad de eventos perjudiciales para la
empresa.
 Mejora la inversión y el presupuesto de una compañía, disminuyendo los
impactos negativos.

3.1.COMPONENTES CLAVES DEL COSO II

Se basan en los siguientes ocho elementos. El correcto manejo de estos aspectos
brindará una operación efectiva de este sistema.

3.1.1. AMBIENTE INTERNO

El ambiente interno abarca el tono de una organización y establece la base de
cómo el personal de la entidad percibe y trata los riesgos, incluyendo la filosofía
de administración de riesgo y el riesgo aceptado, la integridad, valores éticos y el
ambiente en el cual ellos operan.

3.1.2. ESTABLECIMIENTO DE OBJETIVOS

Que la empresa debe tener una meta clara que se alineen y sustenten con su
visión y misión, pero siempre teniendo en cuenta que cada decisión con lleva un
riesgo que debe ser previsto por la empresa. Es importante para que la empresa
prevenga los riesgos, tenga una identificación de los eventos, una evaluación del
riesgo y una clara respuesta a los riesgos en la empresa

21
3.1.3. IDENTIFICACIÓN DE EVENTOS
Que se debe identificar los eventos que afectan los objetivos de la organización
aunque estos sean positivos, negativos o ambos, para que la empresa los pueda
enfrentar y proveer de la mejor forma posible.

3.1.4. EVALUACION DE RIESGOS

Los riesgos se analizan considerando su probabilidad e impacto como base para
determinar cómo deben ser administrados. Los riesgos son evaluados sobre una
base inherente y residual bajo las perspectivas de probabilidad (posibilidad de
que ocurra un evento) e impacto (su efecto debido a su ocurrencia)

3.1.5. RESPUESTA AL RIESGO

Una vez evaluado el riesgo la gerencia identifica y evalúa posibles repuestas al
riesgo en relación a las necesidades de la empresa.

Las respuestas al riesgo pueden ser:

 EVITARLO: Se toman acciones de discontinuar las actividades que

generan el riesgo
 REDUCIRLO: Se reduce el impacto o la probabilidad de ocurrencia o
ambas
 COMPARTIRLO: Se reduce el impacto o la probabilidad de ocurrencia
al transferir o compartir una porción del riesgo.
 ACEPTARLO: No se toman acciones que afecten el impacto y
probabilidad de ocurrencia del riesgo.

3.1.6. ACTIVIDADES DE CONTROL

Son las políticas y los procedimientos que ayudan a asegurar que se lleven a
cabo las instrucciones de la dirección de la empresa. Ayudan a asegurar que se
tomen las medidas necesarias para controlar los riesgos relacionados con la
consecución de los objetivos de la empresa.

3.1.7. INFORMACIÓN Y COMUNICACIÓN

La información es necesaria en todos los niveles de la organización para hacer
frente a los riesgos identificando, evaluando y dando respuesta a los riesgos. La
comunicación se debe realizar en sentido amplio y fluir por toda la organización

22
 en todos los sentidos. Debe existir una buena comunicación con los clientes,
proveedores, reguladores y accionistas.

3.1.8. SUPERVISION O MONITOREO

Sirve para monitorear que el proceso de administración de los riesgos sea
efectivo a lo largo del tiempo y que todos los componentes del marco ERM
funcionen adecuadamente Esto se consigue mediante actividades de supervisión
continuada, evaluaciones periódicas o una combinación de ambas cosas

3.2. DE COSO ERM

 Relaciona crecimiento, riesgo y retorno de la inversión
 Amplía las decisiones de respuesta al riesgo.
 Minimiza sorpresas y pérdidas operacionales.
 Identifica y administra riesgos a lo largo de toda la empresa.
 Proporciona respuestas integradas a los múltiples riesgos.
 Toma ventaja de las oportunidades.
 Mejora la asignación de capital.

3.3.RELACON ENTRE EL COSO I Y COSO II

23
 CAPITULO IV: COSO 2013

4. EVOLUCION DEL COSO 2013

El Comité de organizaciones patrocinadoras de la Comisión Treadway (COSO, por sus
siglas en inglés) presentó en 1992 la primera versión del Marco Integrado de Control
Interno. De aceptación general en todo el mundo, se convirtió en un marco líder en
diseño, implementación y conducción del control interno y evaluación de su efectividad.
En diciembre de 2014, el marco original se sustituirá oficialmente por el Marco COSO
2013, versión que fue lanzada oficialmente en mayo de 2013, y que busca que las
empresas desarrollen y mantengan efectiva y eficientemente sistemas de control interno
que ayuden en el proceso de adaptación a los cambios, cumplimiento de los objetivos de
la empresa, mitigación de los riesgos a un nivel aceptable, y apoyo a la toma de
decisiones y al gobierno.

El Marco COSO 2013, provee un enfoque integral y herramientas para la

implementación de un sistema de control interno efectivo y en pro de la mejora
continua. Está diseñado para controlar los riesgos que puedan afectar el cumplimiento
de los objetivos, reduciendo dichos riesgos a un nivel aceptable, afirmando que el
control interno proporciona razonables garantías para que las empresas puedan lograr
sus objetivos, y mantener y mejorar su rendimiento. Sin embargo, cabe tener cuenta que
cada organización debe tener su propio sistema de control interno, considerando sus
características como por ejemplo, industria, leyes y regulaciones pertinentes, tamaño y
naturaleza.

4.1.MISIÓN
Proporcionar liderazgo intelectual a través del desarrollo de marcos generales y
orientaciones sobre la Gestión del Riesgo, Control Interno y Disuasión del Fraude,
diseñado para mejorar el desempeño organizacional y reducir el alcance del fraude en
las organizaciones.

4.2.PRINCIPALES CAMBIOS
El Marco de COSO 2013 mantiene la definición de Control Interno y los cinco
componentes de control interno, pero al mismo tiempo incluye mejoras y aclaraciones
con el objetivo de facilitar el uso y su aplicación en las Entidades. A través de esta
actualización, COSO propone desarrollar el marco original, empleando "principios" y

24
"puntos de interés" con el objetivo de ampliar y actualizar los conceptos de control
interno previamente planteado sin dejar de reconocer los cambios en el entorno
empresarial y operativo.

A través de esta actualización, COSO propone desarrollar el marco original mediante:

 Inclusión de diecisiete principios de control que representan el elemento

fundamental asociados a cada componente del control y que estos deben de estar
operando en forma conjunta.
 Proporciona "puntos de enfoque", o características importantes de los principios;
al tiempo que reconoce que el diseño y la implementación de controles
relevantes para cada principio y componente, requiere de juicio y serán
diferentes de acuerdo a la organización.
 Responsabiliza a la administración quien deberá asegurar que cada uno de los
componentes y principios relevantes del control interno deben estar presente y
en funcionamiento con el fin de contar con un sistema eficaz de control interno.
 Concluyendo que una deficiencia importante en un componente o principio de
control no se puede mitigar con eficacia por la función de otros componentes y
principios de control.

4.3.CONCEPTOS
El Marco COSO 2013, mantiene el concepto de control interno, sus cinco componentes
y tres objetivos de control. Sin embargo, amplía y aclara una serie de conceptos, entre
otros, los siguientes:

 Presenta un enfoque basado en principios que proporciona flexibilidad

 Proporciona un método para identificar y analizar los riesgos, así como para
desarrollar y gestionar respuestas adecuadas a dichos riesgos dentro de niveles
aceptables
 Facilita el entendimiento de que mediante la aplicación de un criterio profesional
oportuno la dirección puede eliminar controles no efectivos, redundantes o
ineficientes
 Aclaración de la necesidad de establecer objetivos de negocio como condición
previa a los objetivos de control interno

25
 Extensión de los objetivos de reporte más allá de los informes financieros
externos, a los de carácter interno y a los no financieros tanto externos como
internos
 Inclusión de una guía orientadora para facilitar la supervisión del control interno
sobre las operaciones, el cumplimiento y los objetivos de reporte.

4.4.OBJETIVOS, COMPONENTES Y PRINCIPIOS

4.4.1. OBJETIVOS
El Marco establece tres categorías de objetivos, que permiten a las
organizaciones centrarse en diferentes aspectos del control interno:

 OBJETIVOS OPERATIVOS: Hacen referencias a la efectividad y

eficiencia de las operaciones de la entidad, incluidos sus objetivos de
rendimiento financiero y operacional, y la protección de sus activos
frente a posibles pérdidas.
 OBJETIVOS DE INFORMACIÓN: Hacen referencia a la información
financiera y no financiera interna y externa y pueden abarcar aspectos de
confiabilidad, oportunidad, transparencia, u otros conceptos establecidos
por los reguladores, organismos reconocidos o políticas de la propia
entidad.
 OBJETIVOS DE CUMPLIMIENTO: Referidos al cumplimiento de las
leyes y regulaciones a las que está sujeta la entidad.

Existe una relación directa entre los objetivos, que es lo que una entidad se
esfuerza por alcanzar, los componentes, que representa lo que se necesita para
lograr los objetivos y la estructura organizacional de la entidad.

26
4.4.2. COMPONENTES Y PRINCIPIOS
Soportando los esfuerzos de las organizaciones sobre el cumplimiento de
objetivos existen cinco Componentes del Control Interno: Es importante
considerar que el Control Interno es un proceso dinámico, iterativo e integral.
Por lo tanto, el Control Interno no es un proceso lineal en el que uno de los
componentes afecta sólo al siguiente.

Más bien es un proceso integrado en el que los componentes pueden y van a

impactar en cualquier otro.

De los cinco componentes de Control Interno que establece COSO, se deberán

considerar los 17 principios que representan los conceptos fundamentales
relacionados con los componentes para el establecimiento de un efectivo
Sistema de Control Interno.

4.4.2.1.AMBIENTE DE CONTROL
Es el conjunto de normas, procesos y estructuras que constituyen la base
sobre la que se desarrollará el control interno de la organización. El consejo y
la alta dirección son quienes marcan el “Tone at the Top” con respecto a la
importancia del control interno y los estándares de conducta esperados dentro
de la entidad.

1) La organización demuestra compromiso por la integridad y valores

éticos.

27
 2) El Consejo de Administración demuestra una independencia de la
administración y ejerce una supervisión del desarrollo y el rendimiento
de los controles internos.
3) La Administración establece, con la aprobación del Consejo, las
estructuras, líneas de reporte y las autoridades y responsabilidades
apropiadas en la búsqueda de objetivos.
4) La organización demuestra un compromiso a atraer, desarrollar y retener
personas competentes en alineación con los objetivos.
5) La organización retiene individuos comprometidos con sus
responsabilidades de control interno en la búsqueda de objetivos.

4.4.2.2.EVALUACIÓN DE RIESGOS
Implica un proceso dinámico e iterativo para identificar y evaluar los riesgos de
cara a la consecución de los objetivos. Dichos riesgos deben evaluarse en
relación a unos niveles preestablecidos de tolerancia. De este modo, la
evaluación de riesgos constituye la base para determinar como se gestionarán.

6) La organización especifica objetivos con suficiente claridad para permitir

la identificación y valoración de los riesgos relacionados a los objetivos.
7) La organización identifica los riesgos sobre el cumplimiento de los
objetivos a través de la entidad y analiza los riesgos para determinar
cómo esos riesgos deben de administrarse.
8) La organización considera la posibilidad de fraude en la evaluación de
riesgos para el logro de los objetivos.
9) La organización identifica y evalúa cambios que pueden impactar
significativamente al sistema de control interno.

4.4.2.3.ACTIVIDADES DE CONTROL
Son las acciones establecidas a través de políticas y procedimientos que
contribuyen a garantizar que se lleven a cabo las instrucciones de la dirección
para mitigar los riesgos con impacto potencial en los objetivos.

10) La organización elige y desarrolla actividades de control que

contribuyen a la mitigación de riesgos para el logro de objetivos a
niveles aceptables.

28
 11) La organización elige y desarrolla actividades de control generales sobre
la tecnología para apoyar el cumplimiento de los objetivos.
12) La organización despliega actividades de control a través de políticas
que establecen lo que se espera y procedimientos que ponen dichas
políticas en acción.

4.4.2.4.INFORMACIÓN Y COMUNICACIÓN
La información es necesaria para que la entidad pueda llevar a cabo sus
responsabilidades de control interno y soportar el logro de sus objetivos. La
comunicación es el proceso continuo e iterativo de proporcionar, compartir y
obtener la información necesaria.

13) La organización obtiene o genera y usa información relevante y de

calidad para apoyar el funcionamiento del control interno.
14) La organización comunica información internamente, incluyendo
objetivos y responsabilidades sobre el control interno, necesarios para
apoyar funcionamiento del control interno.
15) La organización se comunica con grupos externos con respecto a
situaciones que afectan el funcionamiento del control interno.

4.4.2.5.ACTIVIDADES DE MONITOREO
Las evaluaciones continuas, las evaluaciones independientes o una
combinación de ambas se utilizan para determinar si cada uno de los cinco
componentes del control interno, incluidos los controles para cumplir los
principios de cada componente, están presentes y funcionan adecuadamente.

16) La organización selecciona, desarrolla, y realiza evaluaciones continuas

y/o separadas para comprobar cuando los componentes de control interno
están presentes y funcionando.
17) La organización evalúa y comunica deficiencias de control interno de
manera adecuada a aquellos grupos responsables de tomar la acción
correctiva, incluyendo la Alta Dirección y el Consejo de Administración,
según sea apropiado.

29
30
 CAPITULO V: COSO 2017

5. EVOLUCION DEL COSO 2017

COSO ERM 2017 - Gestión de Riesgos Corporativos: Integración con la Estrategia y el

Rendimiento o COSO Enterprise Risk Management - Integrating with Strategy and
Performance, por parte del Committee of Sponsoring Organizations of the Treadway
Commission.

COSO ERM 2017 es una versión superior de COSO ERM 2004 (Marco Integrado de
Gestión de Riesgos Corporativos). COSO ERM 2004 es una versión que ha sido
valorada ampliamente por su aporte técnico para la administración de riesgos en los
últimos trece años transcurridos. Los especialistas en gestión de riesgos aprovechamos
significativamente las excelentes definiciones de COSO ERM 2004.

Pero hoy por hoy, la administración de riesgos se ha vuelto un campo que exige más
especialización y mejoradas visiones técnicas y metodológicas, pues los riesgos
existentes se han redefinido, han surgido nuevos tipos de riesgos, nuevas formas de
hacer negocios, nueva legislación, mayor automatización, nueva tecnología, y se han

31
definido nuevas clasificaciones de los riesgos. En las empresas, cada vez más directores,
ejecutivos y funcionarios aplican administración estructurada sobre los riesgos. La
gestión de riesgos se está consolidando como una condición fundamental que además de
prevenir las amenazas y su tratamiento oportuno debe producir un valor superior.

El documento actualizado (COSO ERM 2017) destaca la importancia de considerar el

riesgo tanto en el proceso de establecimiento de estrategias como en el desempeño de la
administración.

La primera parte de la publicación actualizada ofrece una perspectiva sobre conceptos y

aplicaciones actuales -y en evolución- de la gestión de riesgos corporativos. La segunda
parte, el Marco, se organiza en cinco componentes que acomodan diferentes puntos de
vista y estructuras operativas, y mejoran las estrategias y la toma de decisiones.

5.1.PRINCIPALES CAMBIOS

 Proporciona una mayor comprensión del valor de la gestión del riesgo

corporativo cuando la empresa establece y ejecuta sus estrategias. Para entregar
valor, no es suficiente que la gestión de riesgos se realice exclusivamente sobre
las operaciones.
 Viabiliza la alineación entre el rendimiento (desempeño) y la gestión de riesgos
corporativos para mejorar el establecimiento de metas de rendimiento y
comprender el impacto del riesgo en el desempeño. La gestión del desempeño
ahora debe considerar entre sus variables a la gestión de riesgos, como un
elemento que agrega valor.
 Cumple con las expectativas de gobernanza (gobierno corporativo) y supervisión
(auditorias). La gestión de riesgos debe ser adoptada en forma estructurada a
nivel de gobierno corporativo para agregar mayor valor.
 Reconoce la globalización de los mercados y las operaciones y la necesidad de
aplicar un enfoque común, aunque adaptado, a través de las geografías. Piensa
globalmente, actúa localmente. Solo determinadas definiciones pueden
constituirse en estándares globales, otras definiciones necesitan flexibilidad
local.
 Presenta nuevas formas de ver el riesgo para el establecimiento y logro de
objetivos en el contexto de una mayor complejidad empresarial. Una visión

32
 renovada de la administración de los riesgos, con mayor énfasis en la entrega de
valor más allá de las definiciones originales.
 Amplía la información para responder a las expectativas de una mayor
transparencia ante las partes interesadas. Informes más eficientes sobre la
gestión de riesgos y el desempeño, considerando los reales intereses de
información por parte de las partes interesadas y los involucrados claves.
 Acondiciona las tecnologías en evolución y la proliferación de datos y análisis
para apoyar a la toma de decisiones. Aprovechamiento de visiones y
herramientas modernas (por ejemplo Business Intelligence, Business Analytics,
Data Analysis).

5.2.CARACTERÍSTICAS Y VENTAJAS PRINCIPALES COSO ERM 2017

Marco estructurado, fácil de comprender, con 5 componentes interrelacionados

divididos en 20 principios. Los cinco componentes son:

1. Gobierno y Cultura,
2. Estrategia y Establecimiento de Objetivos,
3. Desempeño,
4. Revisión y Evaluación,
5. Información, Comunicación y Reporte.

 Los principios son manejables en tamaño y describen prácticas que pueden

aplicarse de diferentes maneras para diferentes organizaciones,
independientemente de su tamaño, tipo o sector. La adhesión a estos principios
puede proporcionar a la alta gerencia y directores una expectativa razonable de
que la organización entiende y se esfuerza por administrar los riesgos asociados
con su estrategia y sus objetivos corporativos.
 La gestión de riesgos ya no es más un proceso aislado, sino que se interrelaciona
con el modelo de negocio de la empresa.

El Marco está centrado en el futuro y analiza varias tendencias que probablemente las
entidades enfrentarán y que tendrán un efecto en la gestión del riesgo empresarial, tales
como:

 Tratamiento de la proliferación de datos.

33
  Aprovechamiento de la inteligencia artificial y la automatización.
 Administración del costo de la gestión de riesgos.
 Fortalecimiento a las organizaciones con riesgos mejor administrados.

5.3.DEFINICIÓN DE ERM
Gestión del riesgo empresarial se define como: La cultura, capacidades y prácticas,
integradas con el establecimiento de la estrategia y su ejecución, en las que, las
organizaciones confían para manejar el riesgo en la creación, preservación y obtención
de valor

5.4. LA GESTIÓN DE RIESGOS Y LA CREACIÓN DE VALOR

 MAPA DE VALOR: El Mapa de Valor es el marco de gestión que
muestra la relación entre el valor para los accionistas y las operaciones
de negocio.
Ayuda organizar, discutir y priorizar oportunidades de mejora que
brindan el máximo valor en términos de crecimiento de ingresos, margen
de operación, eficiencia de activos y expectativas de mercado de
crecimiento futuro.

34
5.5.EVOLUCIÓN DE LA GESTIÓN DE RIESGOS

5.6.VISIÓN INTEGRAL DE RIESGOS

35
Los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan
de manera ineficaz. Las organizaciones deben dedicar recursos tanto para la toma de
riesgos como para su gestión

5.7.ERM Y LA ESTRATEGIA
 ¿QUÉ ES RIESGO ESTRATÉGICO?
 Asunciones incorrectas acerca de los factores externos y/o
internos, planes de negocio inapropiados (p. e. muy agresivos,
mal enfocados), ejecución inefectiva de la estrategia del negocio,
ó
 Falla para responder de manera oportuna a cambios en la
regulación, entorno macroeconómico o competencia, tales como
ciclos del negocio, acciones de los competidores, preferencias
cambiantes de los clientes, obsolescencia del producto / servicio
y desarrollos tecnológicos.

5.8.OBSERVACIONES SOBRE ERM TRADICIONAL

En años recientes, muchas compañías han buscado mejorar sus programas de ERM
debido a:

36
 5.9.LOS TÍPICOS PROGRAMAS DE ERM NO ESTÁN ENFOCADOS EN
LOS RIESGOS CORRECTOS
Las funciones de riesgo y cumplimiento tradicionalmente están enfocadas en otras
categorías de riesgo, aun cuando los riesgos estratégicos han demostrado ser los # 1
“destructores de valor”

Muchos factores contribuyen con los desafíos de las compañías, pero tres se destacan:

 Fallas en el perfil de riesgos cuando se formulan las estrategias

 Insuficiente monitoreo y gestión de los riesgos asumidos
 Fallas para reevaluar las estrategias a la luz de cambios externos

5.10. CARACTERÍSTICAS CLAVES DE UN PROGRAMA DE ERM

ESTRATÉGICO
Ayuda a gestionar los riesgos más importantes para la estrategia, el negocio y la
reputación

37
 5.11. UN MARCO PARA UN PROGRAMA ERM MÁS ENFOCADO EN
LA ESTRATEGIA
Liderar un programa ERM provee una visión adicional en los riesgos estratégicos y
emergentes (creación de valor) mientras le permite al negocio una mejor gestión de los
riesgos operacionales, técnicos, regulatorios y financieros (preservando valor)

38
 5.12. UN SÓLIDO GOBIERNO DE RIESGOS PERMITE UNA
GESTIÓN DE RIESGOS PROACTIVA
Impulsa la alineación de riesgos de arriba hacia abajo y viceversa, la gestión de riesgos
y la ubicación de recursos

5.13. LOS PROGRAMAS LIDERES INCREMENTAN EL ENFOQUE

EN RIESGOS ESTRATÉGICOS Y EMERGENTES
Programas de ERM Estratégico permiten a las compañías ser más resistentes ante
potenciales eventos disruptivos y amenazas a largo plazo, para establecer herramientas y
mecanismos que ayuden a identificar y gestionar esos riesgos, implementando de
manera integrada en la estrategia existente, planeación de negocios y desempeño de los
procesos.

39
Las Compañías actualmente enfrentan un número creciente de fuerzas disruptivas, las
cuales pueden generar riesgos estratégicos que pueden estar sin reconocer y administrar.

Las Fuerzas Disruptivas son tendencias y fuerzas que muy probablemente impactarán –
e inclusive transformarán — una industria abriendo nuevas y diferentes oportunidades
de valor, al igual que nuevos frentes de riesgo Las Fuerzas Disruptivas incluyen las
siguientes tendencias y fuerzas, las cuales impactan la forma en que las industrias y
compañías definen la estrategia y la ejecutan:

Los líderes de la Organización deben navegar en medio de la incertidumbre y

administrar los riesgos estratégicos, pero muchos aún no han evolucionado su proceso
de planeación estratégica para reconocer y adaptarse a las fuerzas disruptivas.

40
Esas Compañías que pueden anticipar dichas fuerzas e identificar riesgos para y de la
Estrategia pueden posicionarse permaneciendo líderes en la industria.

5.14. EL MARCO DE RIESGOS ESTRATÉGICOS (MRE) PROVEE UN

ENFOQUE PARA EVALUAR EL RIESGO QUE EL VALOR PRESENTE
Y FUTURO TIENE, BASADOS EN LA ESTRATEGIA ESCOGIDA

41
 5.15. CULTURA DE RIESGOS
Hoja de ruta para la mejora continua de la cultura

5.16. NUESTRO MODELO DE MADUREZ DE ERM

Las organizaciones pueden mejorar sus programas de ERM menos maduros en
programas ERM más estratégicos con capacidades que están integradas con los
negocios.

42
5.17. COSO 2017:
 GESTIÓN DE RIESGOS EMPRESARIALES INTEGRADO CON ESTRATEGIA
Y DESEMPEÑO GESTIÓN DE RIESGOS EMPRESARIALES (COSO ERM
2017)

5.17.1. ¿QUÉ SE PRETENDE CON LA ACTUALIZACIÓN?

 Mayor comprensión del valor de la gestión de riesgo para definir y
ejecutar la estrategia
 Alineación entre desempeño y gestión de riesgos
 Acondiciona de mejor manera las expectativas de gobierno y supervisión
 Reconoce la globalización de los mercados y las operaciones, así como
el incremento de la volatilidad, complejidad y ambigüedad de los
negocios
 Presenta nuevos caminos para ver el riesgo, para alcanzar los objetivos
en un contexto de negocios de alta complejidad
 Mayor transparencia hacia los Stakeholders
 Interpreta la evolución de la tecnología y la proliferación del análisis de
datos que soporta la toma de decisiones.
 Establece definiciones claves, componentes y principios para todos los
niveles de la gestión de riesgos

43
 5.17.2. EL ROL DEL RIESGO EN LA SELECCIÓN DE LA ESTRATEGIA
ASPECTOS A CONSIDERAR:
 Definir la estrategia de acuerdo a los riesgos identificados, no revisar el
posible impacto de los riesgos en la estrategia ya definida.
 Posibilidad de que la estrategia no esté alineada con la misión, visión y
valores fundamentales de la organización.
 Implicaciones de la estrategia seleccionada.

5.17.3. GESTIÓN DE RIESGOS EMPRESARIALES INTEGRADO CON

ESTRATEGIA Y DESEMPEÑO
El Marco de Gestión de Riesgos Empresariales – integrado con estrategia y desempeño
(COSO 2017) aclara la importancia de la gestión de riesgos empresariales en la
planeación estratégica y la incorpora a toda la organización, ya que el riesgo influye y
están alineados a la estrategia y el desempeño en todas las áreas, departamentos y
funciones.

44
5.17.4. COMPONENTES

5.17.5. PRINCIPIOS

45
 5.18. SIGUIENTES PASOS PARA FORTALECER EL ERM DE LA
ORGANIZACIÓN UTILIZANDO COSO ERM 2017
Para fortalecer el ERM y aprovechar las ventajas del marco COSO ERM 2017 deberán:

46
CAPITULO VI: DIFERENCIA DEL INFORME COSO I, COSO II, COSO 2013
Y COSO 2017

6. DIFERENCIAS

6.1.COSO I
Fue creada para facilitar a las empresas a evaluar y mejorar sus sistemas de
control interno. Desde entonces ésta metodología se incorporó en las políticas,
reglas y regulaciones y ha sido utilizada por muchas compañías para mejorar sus
actividades de control hacia el logro de sus objetivos y en ello se establecio los 5
componentes.

6.2.COSO II

Sus Aplicaciones técnicas asociadas, el cual amplía el concepto de control

interno, proporcionando un foco más robusto y extenso sobre la identificación,
evaluación y gestión integral de riesgo.
No sustituye el marco de control interno, sino que lo incorpora como parte de él,
permitiendo a las compañías mejorar sus prácticas de control interno o decidir
encaminarse hacia un proceso más completo de gestión de riesgo. En este caso el
COSO I tiene 5 componentes, en diferencia al COSO II que aumentó al
transcurrir el tiempo que son 8 componentes establecidos.

47
 6.3.COSO 2013
Define al sistema de control interno como un proceso realizado por la dirección, la
gerencia y el personal de una entidad diseñado para proporcionar una seguridad
razonable con respecto al cumplimiento de los objetivos de la organización, en otras
palabras asegurar la confiabilidad de la información financiera.
El COSO 2013 es diferente a los demás COSOS porque de los 5 componentes que son
en el COSO I, también están establecidos en el COSO 2013 pero con la adopción de 17
principios.

6.4.COSO 2017
El COSO ERM 2017 ayuda a las organizaciones a tener beneficios tangibles en su
administración de riesgos. Este nuevo marco que se encuentra compuesto por los 5
componentes y 20 principios, ofrece los beneficios a los usuarios, que son:Primero, se
conoce cuál es la metodología que van a utilizar para controlar los riesgos.Segundo,
saber documentar los riesgos desde la estrategia para que puedan ser medidos.Tercero,
establecer un medidor de desempeño para saber hacía donde van los riesgos y cuál es el
impacto que genera en el negocio.

48
49
 CONCLUSION
Debemos analizar y reflexionar detenidamente sobre el cambio que vivimos, para poder
evaluar sus tendencias y prever sus efectos, a fin de determinar lo que a partir de hoy
debemos realizar para ayudar a nuestras organizaciones a definir nuevos horizontes que
maximicen oportunidades.

Es nuestro propósito actuar como agentes del cambio y, por tanto, es nuestra
responsabilidad estar a la vanguardia del cambio. El tratar de convertirnos en asesores o
consultores internos confiables, eliminando en lo posible todos los trabajos que nos
aportan un valor agregado a nuestros productos o servicios, como por ejemplo tienden a
convertirnos en evaluadores críticos de los sistemas de información y realizando
auditorias sobre las operaciones conforme se van gastando y no sobre acontecimientos
pasados que no tienen solución.

La aplicación de una adecuada metodología como el COSO ERM en la evaluación del

control interno nos permitió identificar y evaluar los riesgos en los diferentes procesos y
áreas de una entidad, y proporcionar una evaluación sobre el desempeño de la misma,
orientado a mejorar la eficacia y eficiencia en el uso de los recursos y la consecución de
los ob La transición al marco de 2013 implica mucho más trabajo que simplemente
cambiar el “1992” a “2013”. Este cambio conlleva una cantidad razonable de
documentación que debe estar alineada con los cinco componentes y los 17 principios
del marco de 2013. Los documentos deben trascender el enfoque de “lista de
verificación” que simplemente afirma que la empresa cumplió con cada uno de los 17
principios; ya que debe mostrar ejemplos y evidenciar una intención sincera por parte de
la compañía de cumplir con los componentes y principios. Los auditores externos se
enfrentan a un mayor escrutinio por parte del PCAOB con respecto al rigor y a la
evidencia que presentan para cumplir con las normas cuando dan sus conceptos sobre
ICFR. jetivos institucionales.

Se tiene que la mejor manera de asumir los marcos ERM es analizar cada uno de sus
enfoques, pues la información que se reúne en cada versión permanece vigente y
mantiene una conexión con las nuevas versiones. Así, lo importante va a hacer
establecer una conexión basada en el enriquecimiento de conocimientos que sirvan para
abordar los desafíos que va presentando el contexto empresarial.

50
 BIBLIOGRAFIA

 http://iaiperu.org : Instituto de Auditores Internos del Perú

 https://www2.deloitte.com/content/dam/Deloitte/mx/Documents/risk/COSO-
Sesion1.pdf
 https://www.auditool.org/blog/control-interno/2735-17-principios-de-control-
interno-segun-coso-iii
 http://www.auditoriainternadegobierno.gob.cl/wp-
content/upLoads/2014/12/COSO-2013.pdf
 https://www.auditool.org/blog/control-interno/4731-que-implica-implementar-
coso-iii-en-una-organizacion
 https://www.linkedin.com/pulse/coso-erm-2017-establece-un-antes-y-
despu%C3%A9s-en-la-de-olaya-t-phd
 https://www2.deloitte.com/content/dam/Deloitte/co/Documents/risk/Presentaci
%C3%B3n%20COSO%20ERM%202017%20(Oct%2024).pdf
 Committee of Sponsoring Organizations of the Treadway Comission (COSO):
https://www.coso.org
 https://www.pwc.com/mx/es/redes/pdf/pwc-mx-principios-del-marco-coso-erm-
2017-infografia.pdf
 COSP. (s.f.). inegi.org. Obtenido de LOS NUEVOS CONCEPTOS DEL
CONTROL INTERNO:
http://www.ci.inegi.org.mx/docs/Informe%20COSO%20Resumen.pdf
 Guerrero, M. A. (2014). bdigital. Obtenido de COSO I Y COSO II:
http://bdigital.uncu.edu.ar/objetos_digitales/6694/bertanipolesellosancheztroila-
tesisfce.pdf

51