¿Qué es COSO?

El Informe COSO es un documento que contiene las principales directivas para la

implantación, gestión y control de un sistema de control.

Está diseñado para identificar los eventos que potencialmente puedan afectar a la entidad y

para administrar los riesgos, proveer seguridad razonable para la administración y para la

junta directiva de la organización orientada al logro de los objetivos del negocio.

Es una comisión que fue formada por cinco organizaciones de contadores y auditores de los

Estados Unidos, que se llamó Committee of Sponsoring Organizations of the Treadway

(Comité de Organizaciones Patrocinadoras de la Comisión Treadway), siendo estas

organizaciones:

 La Asociación Americana de Contabilidad (AAA)

 El Instituto Americano de Contadores Públicos Certificados (AICPA)

 El Instituto de Auditores Internos (IIA)

 El Instituto de Contadores Gestión (IMA).

 Instituto de Ejecutivos Financieros (FEI)

Un poco de historia del informe COSO

El impulsor de su formación fueron los acontecimientos de 1985 en Estados Unidos, que

debido a las malas prácticas por parte de las empresas generaron una crisis en el sistema

financiero de esa época. La Comisión Treadway realizó estudios de qué factores llevaron a

las empresas a la presentación de información financiera fraudulenta, elaborando un

informe con recomendaciones y destinado a todo tipo de organizaciones, principalmente a

las que son reguladas por la SEC (Securities and Exchange Commission - Comisión de

Mercados y Valores de Estados Unidos).

Los aportes que ha realizado la organización COSO son:

 Ayuda en la implementación del control interno

 Sirve de ayuda en la optimización de recursos y los hace más rentables.

 Ayuda en la implementación de una adecuada gestión de riesgos en todos los

niveles de la organización.

 Sirve de herramienta en la integración de sistemas de gestión de riesgos que se

tengan implementados la organización.

 Es de mucha utilidad para la comunicación dentro de la organización.

Informe COSO

Es conocido por todos como COSO I, en 1992 la Comisión Treadway publicó el primer

informe Internal Control - Integrated Framework, destinado para que las organizaciones

evalúen y mejoren los sistemas de Control Interno, generando una definición en común.

Definición del Control Interno

El control interno antes de 1992 no tenía el mismo significado para todos,

existiendo diversas definiciones que generaba muchas interpretaciones a nivel personal y

entendimiento.

La organización COSO publicó el informe COSO I, integrando los diversos conceptos en

una sola definición: “Es un proceso efectuado por el consejo de administración, la dirección

y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de

seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes

categorías:

 Eficacia y eficiencia de las operaciones

 Fiabilidad de la información financiera

 Cumplimiento de la leyes y normas que sean aplicables”

Que se puede Obtener a través de COSO?

Proporciona un marco de referencia aplicable a cualquier organización.

Para COSO, este proceso debe estar integrado con el negocio, de tal manera que ayude a

conseguir los resultados esperados en materia de rentabilidad y rendimiento.

Trasmitir el concepto de que el esfuerzo involucra a toda la organización: Desde la Alta

Dirección hasta el último empleado.

Ventajas de Coso

 Permite a la dirección de la empresa poseer una visión global del riesgo y accionar

los planes para su correcta gestión.

 Posibilita la priorización de los objetivos, riesgos clave del negocio, y de los

controles implantados, lo que permite su adecuada gestión. toma de decisiones más

segura, facilitando la asignación del capital.

 Alinea los objetivos del grupo con los objetivos de las diferentes unidades de

negocio, así como los riesgos asumidos y los controles puestos en acción.

 Permite dar soporte a las actividades de planificación estratégica y control interno.

 Permite cumplir con los nuevos marcos regulatorios y demanda de nuevas prácticas

de gobierno corporativo.Fomenta que la gestión de riesgos pase a formar parte de la

cultura del grupo

COSO I

Organización voluntaria del sector privado, establecida en los EEUU, dedicada a

proporcionar orientación a la gestión ejecutiva y las entidades de gobierno sobre los

aspectos fundamentales de organización de este, la ética empresarial, control interno,

gestión del riesgo empresarial, el fraude, y la presentación de informes financieros. COSO

ha establecido un modelo común de control interno contra el cual las empresas y

organizaciones pueden evaluar sus sistemas de control.

INFORME DEL COSO 1

Hace más de una década el Committee of Sponsoring Organizations of the Treadway

Commission, conocido como COSO, publicó el Internal Control - Integrated Framework

(COSO I) para facilitar a las empresas a evaluar y mejorar sus sistemas de control interno.

Desde entonces ésta metodología se incorporó en las políticas, reglas y regulaciones y ha

sido utilizada por muchas compañías para mejorar sus actividades de control hacia el logro

de sus objetivos.

Hacia fines de Septiembre de 2004, como respuesta a una serie de escándalos, e

irregularidades que provocaron pérdidas importante a inversionistas, empleados y otros

grupos de interés, nuevamente el Committee of Sponsoring Organizations of the Treadway

Commission, publicó el Enterprise Risk Management - Integrated Framework (COSO II) y

sus Aplicaciones técnicas asociadas, el cual amplía el concepto de control interno,

proporcionando un foco más robusto y extenso sobre la identificación, evaluación y gestión

integral de riesgo.

Este nuevo enfoque no sustituye el marco de control interno, sino que lo incorpora como

parte de él, permitiendo a las compañías mejorar sus prácticas de control interno o decidir

encaminarse hacia un proceso más completo de gestión de riesgo.

CONTROL INTERNO

Proceso realizado por el consejo de directores, administradores y otro personal de una

entidad, diseñado para proporcionar seguridad razonable mirando el cumplimiento de los

objetivos en las suiguientes categorías:

 Efectividad y eficiencia de las operaciones.

 Confiabilidad de la información financiera.

 Cumplimiento de las leyes y regualciones aplicables.

Proceso realizado por el consejo de directores, administradores y otro personal de una

entidad, diseñado para proporcionar seguridad razonable mirando el cumplimiento de los

objetivos en las siguientes categorías:

 Efectividad y eficiencia de las operaciones.

 Confiabilidad de la información financiera.

 Cumplimiento de las leyes y regulaciones aplicables.

El Control Interno puede juzgarse efectivo en cada una de las categorías anteriores

respectivamente, si quienes lo llevan a cabo tienen seguridad razonable sobre que:

 Comprenden la extensión en la cual se están obteniendo los objetivos de las

operaciones de la entidad.

 Los EEFF publicados se están preparando confiablemente.

 Se está cumpliendo con las leyes y regulaciones aplicables.

 Ya que el Control Interno es un proceso, su efectividad es un estado o condición del

mismo en uno o más puntos a través del tiempo.

La estructura del modelo COSO está conformada por cinco componentes:

1. Ambiente de Control

2. Evaluación de Riesgos

3. Actividades de Control

4. Información y Comunicación

5. Supervisión.

1) Ambientes de Control

Es el fundamento de todos los demás componentes del control interno, proporcionando

disciplina y estructura.

2) Valoración de Riesgos

Identificación y análisis de los riesgos relevantes para la consecución de los objetivos,

constituyendo una base para determinar cómo se deben administrar los riesgos.

3) Actividades de Control

Políticas y procedimientos que ayudan a segurar que las directivas administrativas se lleven

a cabo.

4) Información y Comunicación

Identificación, obtención y comunicación de información pertinente en una forma y en un

tiempo que le permita a los empleados cumplir con sus responsabilidades.

5) Monitoreo

 Proceso que valora el desempeño de sistema en el tiempo.

 Es la probabilidad que ocurra un determinado evento que puede tener efectos

negativos para la institución

 Riesgos es uno de los cinco componentes del Marco de Control Interno COSO.

GESTIÓN DE RIESGO

Todas las organizaciones independientemente de su tamaño, naturaleza o estructura,

enfrentan riesgos

LOS OBJETIVOS DE LA GESTION DE RIESGO SON IDENTIFICAR, CONTROLAR Y

ELIMINAR LAS FUENTES DE RIESGOS.

COSO II

Para el año 2004 la organización COSO mostró más relevancia posterior a los

acontecimientos sucedidos por Enron, WorldCom y otras empresas en los Estados Unidos,

a partir de los años 2001 y 2002, se publicó el Enterprise Risk Management - Integrated

Framework (Marco integrado de Gestión de Riesgos) o conocido como COSO II o

COSO-ERM, vino a dar un nuevo enfoque a las prácticas del concepto de Control Interno

e introduciendo la importancia de una gestión de riesgos adecuada, haciendo que todos los

niveles de la organización se involucre.

El COSO II es un sistema de gestión de riesgo y control interno para cualquier

organización. Se basa en un marco cuyo objetivo es diagnosticar problemas, generar los

cambios necesarios para gestionarlos y evaluar la efectividad de los mismos. Sus siglas se

refieren al Committee of Sponsoring Organizations of the Treadway Commission, una

institución dedicada a guiar a los ejecutivos y las entidades de gobierno en aspectos

relevantes del gobierno corporativo, ética empresarial, control interno, gestión de riesgos

empresariales, fraude e informes financieros.

Este proyecto inició en el 2001 con la implantación de los principios del COSO I y en el

2004 se modificó para una versión mejorada: el COSO II o COSO ERM (Enterprise Risk

Management). Se trata de un proceso continuo efectuado por el personal de una compañía

(en todos los niveles) y diseñado para identificar eventos potenciales y evaluarlos. Así,

provee de seguridad a todo tipo de organización para el cumplimiento de objetivos o

proyectos sin el impacto de los riesgos.

Como resultado, el COSO II brinda una serie de beneficios, entre los cuales están:

 Alinea la gestión de riesgos con la estrategia para analizarlos.

 Mejora las decisiones importantes de respuesta ante los riesgos o crisis.

 Reduce el número de eventos sorpresivos y, en consecuencia, de pérdidas

operacionales.

 Identifica, agrupa y gestiona toda la diversidad de eventos perjudiciales para la

empresa.

 Mejora la inversión y el presupuesto de una compañía, disminuyendo los impactos

negativos.

COSO II ERM

Coso ERM (Enterprise Risk Managemennt) Administración de Riegos de la Empresa

COSO II “ERM” toma muchos aspectos importantes que el coso I no considera, como por

ejemplo:

 El establecimiento de objetivos

 Identificación de riesgo

 Respuesta a los riesgos

ESTRUCTURA DEL COSO II

Los componentes claves del COSO II se basan en los

siguiente ocho elementos están alineados con los 4

objetivos. El correcto manejo de estos aspectos brindará

una operación efectiva de este sistema.

1. AMBIENTE INTERNO

El ambiente interno abarca el tono de una organización y establece la base de cómo el

personal de la entidad percibe y trata los riesgos, incluyendo la filosofía de administración

de riesgo y el riesgo aceptado, la integridad, valores éticos y el ambiente en el cual ellos

operan.

2. ESTABLECIMIENTO DE OBJETIVOS

Que la empresa debe tener una meta clara que se alineen y sustenten con su visión y misión,

pero siempre teniendo en cuenta que cada decisión con lleva un riesgo que debe ser

previsto por la empresa. Es importante para que la empresa prevenga los riesgos, tenga una

identificación de los eventos, una evaluación del riesgo y una clara respuesta a los riesgos

en la empresa.

3. IDENTIFICACIÓN DE EVENTOS

Que se debe identificar los eventos que afectan los objetivos de la organización aunque

estos sean positivos, negativos o ambos, para que la empresa los pueda enfrentar y proveer

de la mejor forma posible.

 4. EVALUACION DE RIESGOS

Los riesgos se analizan considerando su probabilidad e impacto como base para determinar

cómo deben ser administrados. Los riesgos son evaluados sobre una base inherente y

residual bajo las perspectivas de probabilidad (posibilidad de que ocurra un evento) e

impacto (su efecto debido a su ocurrencia)

5. RESPUESTA AL RIESGO

Una vez evaluado el riesgo la gerencia identifica y evalúa posibles repuestas al riesgo en

relación a las necesidades de la empresa.

Las respuestas al riesgo pueden ser:

 Evitarlo: Se toman acciones de discontinuar las actividades que generan el riesgo

 Reducirlo: Se reduce el impacto o la probabilidad de ocurrencia o ambas

 Compartirlo: Se reduce el impacto o la probabilidad de ocurrencia al transferir o

compartir una porción del riesgo.

 Aceptarlo: No se toman acciones que afecten el impacto y probabilidad de

ocurrencia del riesgo.

6. ACTIVIDADES DE CONTROL

Son las políticas y los procedimientos que ayudan a asegurar que se lleven a cabo las

instrucciones de la dirección de la empresa. Ayudan a asegurar que se tomen las medidas

necesarias para controlar los riesgos relacionados con la consecución de los objetivos de la

empresa.
 7. INFORMACIÓN Y COMUNICACIÓN

La información es necesaria en todos los niveles de la organización para hacer frente a los

riesgos identificando, evaluando y dando respuesta a los riesgos. La comunicación se debe

realizar en sentido amplio y fluir por toda la organización en todos los sentidos. Debe

existir una buena comunicación con los clientes, proveedores, reguladores y accionistas.

8. MONITOREO

Sirve para monitorear que el proceso de administración de los riesgos sea efectivo a lo

largo del tiempo y que todos los componentes del marco ERM funcionen

adecuadamente Esto se consigue mediante actividades de supervisión continuada,

evaluaciones periódicas o una combinación de ambas cosas

COSO III

Para mayo del 2013, la organización COSO publicó la tercera versión Internal Control —

Integrated Framework (Marco de Control Interno Integrado) conocido como COSO 2013,

en el presente modelo se formó por los cinco componentes, como en el COSO I.

Las empresas deben implementar un sistema de control interno eficiente que les permita

enfrentarse a los rápidos cambios del mundo de hoy.

Es responsabilidad de la administración y de los directivos desarrollar un sistema que

garantice el cumplimiento de los objetivos de la empresa y se convierta en una parte

esencial de la cultura organizacional.

El control interno es definido como un proceso integrado y dinámico llevado a cabo por la

administración, la dirección y demás personal de una entidad, diseñado con el propósito de

proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos

relacionados con las operaciones, la información y el cumplimiento.

De esta manera, el control interno se convierte en una función inherente a la

administración, integrada al funcionamiento organizacional y a la dirección institucional y

deja, así, de ser una función que se asigne a un área específica de una empresa.

En este sentido, el sistema de control interno debe orientarse a promover todas las

condiciones necesarias para que el equipo de trabajo dé su mayor esfuerzo con el finde

lograr los resultados deseados, debido a que promueve el buen funcionamiento de la

organización.

El concepto de responsabilidad toma gran importancia y se convierte en un factor clave

para el gobierno de las organizaciones, teniendo en cuenta que el principal propósito del

sistema de control interno es detectar oportunamente cualquier desviación significativa en

el cumplimiento de las metas y objetivos establecidos.

La implementación de un sistema de control interno eficiente debe proporcionar:

 Consecución de objetivos de rentabilidad y rendimiento para prevenir la pérdida de

recursos.

 Operaciones eficaces y eficientes.

 Desarrollo de tareas y actividades continuas, establecidas como un medio para

llegar a un fin.

 Control interno efectuado por las personas de la entidad y las acciones que estas

aplican en cada nivel de la entidad.

 Producción de informes financieros confiables para la toma de decisiones.

 Seguridad razonable, no absoluta, al consejo y la alta dirección de la entidad.

 Cumplimiento de las leyes y regulaciones pertinentes.

  Adaptación a la estructura de la entidad.

 Promoción, evaluación y preocupación por la seguridad, calidad y mejora continua

de todos los procesos de la entidad.

El modelo de control interno COSO2013 (COSO III) está compuesto por los cinco

componentes

establecidos en el marco anterior, y 17 principios y puntos de enfoque que presentan las

características fundamentales de cada componente.

Se caracteriza por tener en cuenta los siguientes aspectos y generar diferentes beneficios:

 Mayores expectativas del gobierno corporativo.

 Globalización de mercados y operaciones.

 Cambio continuo en mayor complejidad en los negocios.

 Mayor demanda y complejidad en leyes, reglas, regulaciones y estándares.

 Expectativas de competencias y responsabilidades.

 Uso y mayor nivel de confianza en tecnologías que evolucionan rápidamente.

 Expectativas relacionadas con prevenir, desalentar y detectar el fraude.

La efectividad del sistema de control interno depende de las características de claridad,

agilidad, y confianza, y de esta manera se puede obtener una certeza razonable sobre el

logro de los objetivos de la entidad.

Un sistema de control interno efectivo reduce a un nivel aceptable el riesgo de no alcanzar

un objetivo de la entidad. Para esto es indispensable que los componentes y principios

estén presentes y en funcionamiento.

Esto quiere decir que los componentes y principios relevantes existen en el diseño e

implementación del sistema de control interno para alcanzar los objetivos especificados.
Además, los componentes y principios deben ser aplicados en el sistema de control interno

y funcionar de manera integrada.

Sin embargo, es importante aclarar que un eficaz sistema de control interno no garantiza el

éxito de una entidad. Éste puede ayudar a la consecución de los objetivos y suministrar

información sobre el progreso de la entidad, pero el desempeño de la administración y

directivas, así como factores externos, como condiciones económicas, tienen gran

influencia en el éxito de la entidad.

El control interno no puede evitar que se aplique un deficiente criterio profesional o se

adopten malas decisiones. Además, el sistema de control interno puede garantizar sólo una

seguridad razonable en relación con el cumplimiento de los objetivos de la organización.

Las limitaciones siempre están presentes e impiden que el Consejo de Administración y la

Dirección tengan una seguridad absoluta. Sin embargo, estas limitaciones tienen que ser

tomadas en cuenta al momento de seleccionar, desarrollar y desplegar los controles, para

que minimicen en lo posible dichas limitaciones.

Las limitaciones pueden originarse por los siguientes factores:

 La falta de adecuación de los objetivos establecidos como condición previa para el

control interno.

 El criterio profesional de las personas en la toma de decisiones puede ser erróneo y

estar sujeto a sesgos.

 Fallas humanas conscientes e inconscientes.

 La capacidad de la dirección de anular el control interno.

 La capacidad de la dirección y demás miembros del personal para eludir los

controles mediante confabulación entre ellos.

 Acontecimientos externos que escapan al control de la organización.

  Conspiraciones o complots.

Por esta razón, el Marco Integrado de Control Interno requiere de un criterio profesional en

el diseño, implementación, y conducción del control interno y la evaluación de su

efectividad.

El uso del criterio profesional ayuda a la administración a tomar mejores decisiones con

respecto al sistema de control interno, teniendo en cuenta que esto no garantiza resultados

perfectos.

La administración hace uso del criterio profesional en diferentes momentos:

 Aplicación de los componentes de control interno en relación con las categorías de

los objetivos.

 Aplicación de los componentes y principios de control interno dentro de la

estructura de la entidad.

 Especificación de objetivos generales y específicos apropiados y evaluación de

riesgos para su cumplimiento.

 Selección, desarrollo y despliegue de los controles necesarios para llevar acabo los

principios.

 Evaluar si los componentes y principios están presentes, funcionando y operando de

manera integrada en la entidad.

 Evaluación de la severidad de una o más deficiencias de control interno de acuerdo

con las leyes, reglas, regulaciones y estándares externos pertinentes.

Lo que diferencia el Coso 2013 con Coso 1992, son los 17 principios que están

relacionados con componentes y que sirve para el establecimiento de un sistema de control

interno efectivo que debe implementarse en toda la organización:

Entorno de control

Principio 1: Demuestra compromiso con la integridad y los valores éticos

Principio 2: Ejerce responsabilidad de supervisión

Principio 3: Establece estructura, autoridad, y responsabilidad

Principio 4: Demuestra compromiso para la competencia

Principio 5: Hace cumplir con la responsabilidad

Evaluación de riesgos

Principio 6: Especifica objetivos relevantes

Principio 7: Identifica y analiza los riesgos

Principio 8: Evalúa el riesgo de fraude

Principio 9: Identifica y analiza cambios importantes

Actividades de control

Principio 10: Selecciona y desarrolla actividades de control

Principio 11: Selecciona y desarrolla controles generales sobre tecnología

Principio 12: Se implementa a través de políticas y procedimientos

Principio 13: Usa información Relevante

Sistemas de información

Principio 14: Comunica internamente

 Principio 15: Comunica externamente

Supervisión del sistema de control - Monitoreo

Principio 16: Conduce evaluaciones continuas y/o independientes

(González, 2017) (Quimi, 2016) (mManzuri, 2017)Principio 17: Evalúa y comunica

deficiencias