GRUPO EXPOSITOR DE AUDITORIA # 1

EXPOSITORAS:

Lic. Jaqueline Alonso Selva .

Lic. Yelba Cuarezma Rodríguez.

12/12/2014
COSO I Y COSO II.
 Contenidos:

1 ¿Qué es el COSO?

2 Informe COSO

3 Objetivos Informe COSO

4 Componentes del Control Interno.

 Contenidos.

5 Definición de Riesgo

6 Estructura COSO I

7 Explicación Estructura COSO I

8 Estructura COSO II
 Contenidos.

9 Explicación Estructura COSO II

10 Relación COSO I y COSO II

11 COSO en la Organización

12 COSO y Auditoria Interna.

¿Qué es C.O.S.O?

Committee of Sponsoring Organizatión of the Treadway Commission

C O S O
 ¿Qué es COSO?


Organización voluntaria del sector privado,
establecida en los EEUU formada el año 1985 ,
dedicada a proporcionar orientación a la gestión
ejecutiva y las entidades de gobierno sobre los
aspectos fundamentales de organización de este, la
ética empresarial, control interno, gestión del
riesgo empresarial, el fraude, y la presentación de
informes financieros. COSO ha establecido un
modelo común de control interno contra el cual las
empresas y organizaciones pueden evaluar sus
sistemas de control.

 En esta presentación se expondrá exclusivamente lo relativo al

Control Interno.
 Informe COSO.

 Hace más de una década el Committee of

Sponsoring Organizations of the Treadway
Commission, conocido como COSO, publicó
el Internal Control - Integrated Framework
(COSO I) para facilitar a las empresas a
evaluar y mejorar sus sistemas de control
interno. Desde entonces ésta metodología se
incorporó en las políticas, reglas y
regulaciones y ha sido utilizada por muchas
compañías para mejorar sus actividades de
control hacia el logro de sus objetivos.
 ACERCA DE COSO

Integrada por las siguientes instituciones dedicadas a guiar a las

administración ejecutiva y a los participantes del Gobierno de la
empresa para lograr el establecimiento de operaciones de
negocios más efectivas, eficientes y éticas . Promueve y difunde
estructuras ( frameworks ) y guías basados en profundas
investigaciones, análisis y mejores prácticas:

American Accounting Association ( AAA)

American Institute of CPAs ( AICPA )

Financial Executives International (FEI)

The Association of Accountants and Financial Professional in Business ( IMA )

The Institute of Internal Auditors ( IIA )
 Informe COSO.
 Hacia fines de Septiembre de 2004, como
respuesta a una serie de escándalos, e
irregularidades que provocaron pérdidas
importante a inversionistas, empleados y otros
grupos de interés, nuevamente el Committee of
Sponsoring Organizations of the Treadway
Commission, publicó el Enterprise Risk
Management - Integrated Framework (COSO II)
y sus Aplicaciones técnicas asociadas, el cual
amplía el concepto de control interno,
proporcionando un foco más robusto y extenso
sobre la identificación, evaluación y gestión
integral de riesgo.
 Informe COSO.

 Este nuevo enfoque no sustituye el

marco de control interno, sino que lo
incorpora como parte de él,
permitiendo a las compañías mejorar
sus prácticas de control interno o
decidir encaminarse hacia un proceso
más completo de gestión de riesgo.
 Informe COSO.
 A nivel organizacional, este
documento destaca la 
necesidad de que la alta A nivel regulatorio o normativo,
el Informe COSO
dirección y el resto de la ha pretendido que cuando
organización comprendan se plantee cualquier
cabalmente la trascendencia discusión o problema de
del control interno, la control interno, tanto a nivel
incidencia del mismo sobre práctico de las empresas,
los resultados de la gestión, como a nivel de auditoría
el papel estratégico a interna o externa, o en los
conceder a la auditoría y ámbitos académicos o
esencialmente la legislativos, los
consideración del control interlocutores tengan una
como un proceso integrado referencia conceptual
a los procesos operativos de común, lo cual hasta ahora
la empresa y no como un resultaba complejo, dada la
conjunto pesado, multiplicidad de definiciones
compuesto por mecanismos y conceptos divergentes que
burocráticos. han existido sobre control
interno.
Informe COSO.

COSO I COSO II
(MICI) (ERM)

Enterprise
Internal Risk
Control -
Management
Integrated
- Integrated
Framework
Framework
 Informe COSO.

Objetivos

Facilitar un
modelo en base al
Establecer una cual las empresas
definición común
de control interno y otras entidades,
que responda a las cualquiera sea su
necesidades de las tamaño y
distintas partes. naturaleza, puedan
evaluar sus
sistemas de
control interno
 Control Interno.

Proceso realizado por el consejo de directores,
administradores y otro personal de una entidad,
diseñado para proporcionar
seguridad razonable mirando el
cumplimiento de los objetivos en las
siguientes categorías:

Efectividad y eficiencia de las operaciones.

Confiabilidad de la información financiera.

Cumplimiento de las leyes y regulaciones
aplicables.
 Control Interno.

El Control Interno puede juzgarse efectivo en cada una
de las categorías anteriores respectivamente, si quienes
lo llevan a cabo tienen seguridad razonable sobre que:


Comprenden la extensión en la cual se están obteniendo
los objetivos de las operaciones de la entidad.


Los EEFF publicados se están preparando confiablemente.


Se está cumpliendo con las leyes y regulaciones aplicables.
 Control Interno.

Efectuado por personas de la

organización: No solamente son políticas,
manuales y formatos realizados, son
personas que interactúan y se comunican
a lo largo de toda la estructura
organizacional de una empresa o entidad.
ESTRUCTURA DE COSO I

COSO I

AMBIENTE DE CONTROL

EVALUACION DE RIESGO

ACTIVIDAD DE CONTROL

INFORMACION y COMUNICACION

MONITOREO
ESTRUCTURA DEL COSO I
COSO ofrece un marco
de trabajo integrado
que define el control
interno en cinco
elementos
interrelacionados:

Ambiente de
Control.

Evaluación del
Riesgo.

Actividades de
Control.

Información &
Comunicación.

Monitoreo.
 1. AMBIENTE DE CONTROL

Establece el tono de una organización , influyendo en la

conciencia que los empleados tienen sobre el control.
Es el fundamento de todos los demás componentes del
control interno, proporcionando disciplina y estructura.
Se considera lo siguiente:
 Integridad y valores Éticos.
 Compromisos para la competencia.
 Consejos de directores o comité de Auditoria.
 Filosofía de la Administración y Estilo de operación.
 Estructura Organizativa.
 Asignación de Autoridad y Responsabilidad.
 Políticas de Recursos Humanos.
 2. EVALUACION DEL RIESGO


Identificación y análisis de los riesgos relevantes
para la consecución de los objetivos,
constituyendo una base para determinar cómo se
deben administrar los riesgos.
Diversos tipos de Riesgos se pueden resumir
en los siguientes:
 Contabilidad errónea e inapropiada.
 Costos excesivos/ingresos deficientes.
 Sanciones legales.
 Fraude o robo.

Decisiones Erróneas de la Gerencia.

Interrupción del negocio.

Deficiencia en el logro de objetivos.

Desventaja ante la competencia-
desprestigio de imagen.
 3. Actividades de Control.

Políticas y procedimientos que ayudan a asegurar que las
directivas administrativas se lleven a cabo.

Tipos de Actividades de Control:


Revisiones de alto nivel.

Funciones directas o actividades administrativas.

Procesamiento de la información.

Controles físicos.

Indicadores de desempeños.

Segregación de responsabilidades.

Políticas y procesamiento.
Diversos tipos de Riesgos se
pueden resumir en los siguientes:
 Cambio en el entorno de operación.
 Personal nuevo.

Sistemas de Información nuevos o
modernizados.

Modelo del negocio, productos o
actividades nuevas.

Nuevos pronunciamientos de contabilidad.
 4. INFORMACION Y COMUNICACION

Identificación, obtención y comunicación de
información pertinente en una forma y en
un tiempo que le permita a los
empleados cumplir con sus
responsabilidades.

Debe de existir una comunicación efectiva
en un sentido amplio, que fluya hacia
abajo, a lo largo y hacia arriba de la
organización.
 5. Monitoreo: Supervisión.


Proceso que valora el desempeño de sistema en
el tiempo.


El monitoreo asegura que el control interno
continua operando efectivamente. Este
proceso implica la valoración por parte del
personal apropiado, del diseño y operación de
los controles en una adecuada base de tiempo
y realizando las acciones apropiadas.
Cualquiera que sea el área de
observación indicada (Monitoreo), cada
una de ellas debe contener lo siguiente:
1. Descripción de la deficiencia encontrada.
2. Causa del problema.
3. Consecuencia de la debilidad
encontrada, y de ser posible
su cuantificación.
4. Correctivos adecuados según
la circunstancia.
5. Cualquier otro punto.
 Gestión de Riesgo.


Todas las organizaciones
independientemente de su tamaño,
naturaleza o estructura, enfrentan riesgos.


LOS OBJETIVOS DE LA GESTION DE RIESGO
SON IDENTIFICAR, CONTROLAR Y ELIMINAR
LAS FUENTES DE RIESGOS.
 Definición de Riesgo


Es la probabilidad que ocurra un determinado
evento que puede tener efectos negativos
para la institución.

 Riesgos es uno de los cinco componentes del

Marco de Control Interno COSO.
 COSO II

“Administración
de riesgo de la
empresa” ERM
Estructura del COSO II.

Los 8 componentes del
coso II están
interrelacionados entre si.
Estos procesos debe ser
efectuados por el director,
la gerencia y los demás
miembros del personal de
la empresa a lo largo de su
organización

Los 8 componentes están
alineados con los 4
objetivos.

Donde se consideran las
actividades en todos los
niveles de la organización
La administración de riesgos de la empresa (ERM) COSO
describe en su marco basado en principios tales como:


La definición de administración de riesgos de la
empresa

Los principios críticos y componentes de un
proceso de administración de riesgo corporativo
efectivo.

Pautas para las empresa, para que ellas sean
capaces de administrar sus riesgos.

Criterios para determinar si la administración de riesgo
de la empresa es efectiva.
Conceptos claves de el COSO II


Administración del riesgo en la
determinación de la estrategia.

Eventos y riesgo.

Apetito de riesgo.

Tolerancia al riesgo.

Visión de portafolio de riesgo.

Administración de Riesgos: Proceso efectuado por el
Directorio, Gerencia y otros miembros del personal ,
aplicado en el establecimiento de la estrategia y a lo largo
de la organización , diseñados para identificar eventos
potenciales que puedan afectarla y administrar riesgos de
acuerdo a su apetito de riesgos , de modo de proveer
seguridad razonable en cuanto al logro de los objetivos
de la organización.

Eventos y Riesgos : Se deben identificar eventos y
riesgos potenciales que afectan la implementación de las
estrategias o el logro de los objetivos , con impacto
positivos, negativos o ambos.

Apetito de Riesgo: Es la cantidad de riesgo en un
nivel amplio que una empresa esta dispuesta a
aceptar para generar valor.

Se considera en el establecimiento de la estrategia ,
permite el alineamiento de la organización, las
personas , procesos e infraestructura; Expresados
en términos cualitativos o cuantitativos.

 Tolerancia al Riesgo: Es el nivel aceptable de

desviación en relación con el logro de los objetivos.
Se alinea con el apetito de Riesgo.
 Visión de portafolio de Riesgos.

ERM propone que el riesgo sea considerado desde
una perspectiva de la entidad en su conjunto o de
portafolio de riesgos.

Permiteƒ desarrollar una visión de portafolio de
riesgos tanto a nivel de unidades de negocio como
a nivel de la entidad.

ƒ Es necesario considerar como los riesgos
individuales se interrelacionan.

ƒPermite determinar si el perfil de riesgo residual
de la entidad esta acorde con su apetito de riesgo
global.
Descripción de Componente del COSO II.
 1. Ambiente interno


Sirve como la base fundamental para los
otros componentes del ERM, dándole
disciplina y estructura.

Dentro de la empresa sirve para que los
empleados creen conciencia de los
riesgos que se pueden presentar en la
empresa
 2. Establecimientos de objetivos.

Es importante para que la empresa prevenga los
riesgo, tenga una identificación de los eventos,
una evaluación del riesgo y una clara respuesta a
los riesgos en la empresa.


La empresa debe tener una meta clara que se
alineen y sustenten con su visión y misión, pero
siempre teniendo en cuenta que cada decisión
con lleva un riesgo que debe ser previsto por la
empresa .
 3. Identificación de eventos

Se debe identificar los eventos que afectan los
objetivos de la organización aunque estos sean
positivos, negativos o ambos, para que la
empresa los pueda enfrentar y proveer de la
mejor forma posible.

La empresa debe identificar los eventos y debe
diagnosticarlos como oportunidades o riesgos.
Para que pueda hacer frente a los riesgos y
aprovechar las oportunidades.
IDENTIFICACIÓN DE EVENTOS
EVENTOS EXTERNOS
- La Economía.
- El Comercio.
- Catástrofes.
- Medio Ambiente.
- Políticas de gobierno.
- Cambios de ámbitos sociales.
- Tecnología.
 IDENTIFICACIÓN DE EVENTOS

EVENTOS INTERNOS

- La Infraestructura.

- El Personal.

- Procesos.

- Tecnología.
 IDENTIFICACIÓN DE EVENTOS

- RIESGOS.

- OPORTUNIDADES
 4. EVALUACIÓN DE RIESGOS

En la evaluación de riesgos se mezclan

los potenciales eventos futuros
relacionados a la entidad y sus objetivos,
lo que considera en el análisis del
tamaño de la estructura, la complejidad
de los procesos, funciones y el grado de
regulación de sus actividades, entre
otros.
 EVALUACIÓN DE RIESGOS

Evaluar los Riesgos desde 2

Perspectivas:

- Probabilidad.

- Impacto.
 EVALUACIÓN DE RIESGOS

Metodología de Evaluación de Riesgos:

- Cualitativas.

- Cuantitativas.
 5. Respuesta al riesgo

Una vez evaluado el riesgo la gerencia identifica y evalúa
posibles repuestas al riesgo en relación al las

necesidades de la empresa.
Las respuestas al riesgo pueden ser:

Evitarlo: se discontinúan las actividades que generan riesgo.

Reducirlo: se reduce el impacto o la probabilidad de ocurrencia
o ambas

Compartirlo: se reduce el impacto o la probabilidad de
ocurrencia al transferir o compartir una porción del riesgo.

Aceptarlo: no se toman acciones que afecten el impacto y
probabilidad de ocurrencia del riesgo.
 6. Actividades de control

Son las políticas y procedimientos para
asegurar que las respuesta al riesgo se
lleve de manera adecuada y oportuna.

Tipo de actividades de control:

Preventiva, detectivas, manuales,
computarizadas o controles gerenciales
 7. Información y comunicación

La información es necesaria en todos los niveles
de la organización para hacer frente a los riesgos
identificando, evaluando y dando respuesta a los
riesgos.

La comunicación se debe realizar en sentido
amplio y fluir por toda la organización en todo los
sentidos.

Debe existir una buena comunicación con los
clientes, proveedores, reguladores y accionistas.
 8. Monitoreo.

Sirve para monitorear que el proceso de
administración de los riesgos sea efectivo
a lo largo del tiempo y que todos los
componentes del marco ERM funcionen
adecuadamente.

El monitoreo se puede medir a través de:

Actividades de monitoreo continuo.

Evaluaciones puntuales.

Una combinación de ambas formas
 Monitoreo.

Las regulaciones también pueden comunicar a

la entidad disposiciones u otras materias que
afecten las funciones o los procesos de
administración de riesgos.

Los auditores internos y externos

permanentemente proponen recomendaciones
para fortalecer la Administración de riesgos.
 Monitoreo.

ROLES Y RESPONSABILIDADES

Todo el personal en una entidad tiene algún

tipo de responsabilidad en la
Administración de Riesgos:
- Directores.
- Gerentes.
- Oficiales de Riesgos.
- Auditor Interno.
- Otros miembros de la Organización.
 Monitoreo.

El personal debe ser consultado

periódicamente sobre si conocen,
cumplen los códigos de conducta de
su entidad.
Relación entre COSO I y COSO II.
MODELOS DE COSO I Y COSO II
 Diferencia Entre COSO Y COSO ERM
En cuanto a sus componentes

Como se puede observar desde el COSO I, el componente

que tiene una profundización mayor, es la Evaluación de
Riesgos, la cual pasa a transformarse en el centro del análisis
de un control interno moderno
 Análisis

COSO II “ERM” toma muchos aspectos importantes que el coso I
no considera, como por ejemplo:

El establecimiento de objetivos

Identificación de riesgo

Respuesta a los riesgos

Se puede decir que estos componentes son claves para definir
las metas de la empresa .

Si los objetivos son claros se puede decidir que riegos tomar para
hacer realidad las metas de la organización.

Amplía el concepto de control interno, proporcionando un
foco más robusto y extenso sobre la identificación,
evaluación y gestión integral de riesgo.

De esta manera se puede hacer una clara identificación,
evaluación, mitigación y respuesta para los riesgos.
 1. AMBIENTE DE CONTROL
Común en IC Y ERM Introducido en IC y Incremental para
Expandido en ERM ERM
Demuestra Ejercicios Establece la
compromiso con la responsabilidad de filosofía de
integridad y valores supervisión gestión de
éticos riesgos
Establece estructuras, - Establece la
autoridad, y la cultura de riesgo
responsabilidad

Demuestra - Establece el
compromiso con la apetito de riesgo
competencia
Hace cumplir la - -
rendición de cuentas
 2. Evaluación de riesgos
Común en IC Y ERM Introducido en IC y Incremental para ERM
Expandido en ERM

Evalúa el riesgo de fraude Identifica y analiza Distingue los riesgos y

los riesgos / eventos oportunidades

Identifica y analiza Desarrolla vista de

cambios significativos cartera a nivel de
entidad (evaluación
compuesta de riesgo
de las unidades
individuales.)
 3. Actividades de control
Común en IC Y ERM Introducido en IC y Incremental para
Expandido en ERM
ERM
Selecciona y desarrolla - -
el control actividades

Selecciona y desarrolla - -
en general controles
sobre la tecnología

Se implementa a través - -
de políticas y
procedimientos
 4. Información y comunicación
Común en IC Y ERM Introducido en IC y Incremental
Expandido en ERM para ERM

Se comunica Utiliza la información -

internamente relevante

Se comunica - -
externamente

- -
 5. Actividades de Monitoreo
Común en IC Y ERM Introducido en IC y Incremental
Expandido en ERM para ERM

Lleva a cabo - -
evaluaciones en curso y
/ o separadas

Evalúa y comunica - -
deficiencias
COSO en la Organización.

GOBIERNOS CORPORATIVOS

ACCIONISTAS DIRECTORIO ADM. SUPERIOR

GESTION DE RIESGOS

ENTORNO
 COSO en la Organización.

 Gobiernos Corporativos: Es el conjunto de

relaciones, de mejores prácticas, que debe
establecer una empresa entre su Junta de
Accionistas , su Directorio y su Administración
Superior para acrecentar el valor para sus
accionistas y responder a los objetivos de todos
sus stakeholder.
NORMAS FUNDAMENTALES DE
CONTROL

INTERNO
PERSONAL

COMPETENTE Y CONFIABLE.
Capacitación

Supervisión

Rotación

Vacaciones

Fianzas
Respaldo de la Alta Dirección

 Documentos y Registros
 Segregación adecuada de funciones
 Niveles de autorización y responsabilidad
 Auditorías Internas y Externas
 AUDITORIA INTERNA

 La función de auditoría interna ha

cambiado notablemente en los últimos
años, pasando de una auditoria tradicional
orientada a la protección de la empresa
(activos) hacia una auditoria enfocada al
control de los riesgos, a fin de aumentar el
valor de la organización para los
accionistas.
 COSO y Auditoria Interna.

La auditoria interna se considerará entonces como
una parte del sistema de control.


Informe COSO es una herramienta utilizada por
la Auditoria interna para realizar el control interno
de la empresa.

La responsabilidad de los Auditores Internos en
este proceso es la de revisar el Control
implementado.
GRACIAS POR SU ATENCION!