¿Qué es coso?

Organización voluntaria del sector privado, establecida en los EEUU, dedicada a proporcionar
orientación a la gestión ejecutiva y las entidades de gobierno sobre los aspectos fundamentales
de organización de este, la ética empresarial, control interno, gestión del riesgo empresarial, el
fraude, y la presentación de informes financieros. COSO ha establecido un modelo común de
control interno contra el cual las empresas y organizaciones pueden evaluar sus sistemas de
control.

COSO I

El Control Interno se define entonces como un proceso integrado a los procesos, y no un conjunto de

pesados mecanismos burocráticos añadidos a los mismos, efectuado por el consejo de la administración,
la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar una garantía
razonable para el logro de objetivos.

El principal objetivo del Control Interno

Es garantizar que la empresa alcance sus objetivos. En este sentido, el Control Interno
puede actuar de 2 distintas maneras:

1. Evitar que se produzcan desviaciones con respecto a los objetivos establecidos;

2. Detectar, en un plazo mínimo, estas desviaciones.

En el primer caso, el Control Interno evita que estas desviaciones se produzcan. Un

ejemplo práctico podría ser el caso de una empresa que, establecidos unos objetivos en
términos de exposición de sus cuentas a cobrar, analiza cada cliente antes de
concederle crédito, evitando de esta forma que se produzcan situaciones de cuentas
impagadas.

En el segundo caso, por el contrario, el Control Interno no evita que se produzcan estas
desviaciones, pero por lo menos hace saltar la alarma, de tal forma que la dirección de la
empresa puede reaccionar rápidamente. Por ejemplo, una revisión trimestral de los ratios
de rotación de las existencias no evita que se produzcan situaciones de baja rotación o
de exceso de stock, pero permite a la empresa, en un plazo razonable detectar estas
posibles circunstancias, antes de que sea demasiado tarde. En estos casos, la
tempestividad es esencial: no es lo mismo detectar que nuestra rotación ha disminuido
después de 3 meses, que después de un año

En ambos casos, no hay que caer en el error de pensar que el Control Interno ofrezca
garantías absolutas de que se eviten o detecten estas desviaciones.

Es importante comprender que el objetivo de todo sistema de Control Interno es

ofreceruna seguridad razonable de que la empresa alcanzará sus objetivos.

El Informe COSO consta de 2 partes:

1. Un Resumen para la Dirección, que introduce los principales conceptos,

2. Y el Marco integrado de Referencia, donde se analizan en detalle los 5 pilares del

Control Interno: Entorno de Control, Evaluación de los Riesgos, Actividades de Control,
Información y Comunicación, Supervisión

Informe coso I
Es un proceso efectuado por el consejo de administración, la dirección y el resto del
personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad
razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías:
 Eficacia y eficiencia de las operaciones
 Fiabilidad de la información financiera
 Cumplimiento de la leyes y normas que sean aplicables

Es un proceso:
 No constituye un acontecimiento o tarea aislada.
 Se trata de un conjunto de acciones coordinadas para lograr un fin (no es un fin en sí
mismo).
 Esta serie de acciones se extiende por todos los niveles y actividades de una organización.
es parte de los procesos básicos de planificación, ejecución y supervisión
 No es un elemento añadido a las actividades del ente como algunos autores piensan.
 No se debe ver como una carga impuesta e inevitable, sino como un proceso entrelazado
con el resto de las actividades de la entidad.
Son más efectivos cuando se incorporan a la infraestructura de una entidad: Deben ser
incorporados, no añadidos. La incorporación de controles influye directamente en la capacidad de
conseguir los objetivos que persigue la entidad, además de apoyar las iniciativas de calidad. Los
controles permiten que las empresas sean más agiles y competitivas: repercuten en la contención
de costos y en los tiempos de repuesta.

Lo llevan a cabo personas:

 La implementación y seguimiento del CI es llevado a cabo por el Consejo de

Administración, la Dirección y demás miembros de la entidad.

 No es suficiente poseer manuales de políticas y normas.

 La responsabilidad de realizarlo está en todos los niveles de la organización.
 Las personas son quiénes establecen los objetivos de la organización e implementan los
mecanismos de control.
 Cumplimiento: acatamiento por parte de la entidad de las leyes y normas que le sean
aplicables. Esta clasificación permite centrarse en los diferentes aspectos , identificar qué
es lo que se espera de cada categoría.

Busca seguridad razonable: por muy bien diseñado e implementado que esté,
solamente puede aportar un grado de seguridad razonable a la dirección y al consejo de
administración acerca de la consecución de los objetivos de la entidad.

Existen limitaciones inherentes a todos los sistemas .

Problemas en el funcionamiento del sistema como consecuencia de fallos

humanos.
 Los controles pueden esquivarse si dos o más personas se lo
proponen.
 La dirección puede creer oportuno eludir el sistema .
 Las opiniones sobres las que se basan las decisiones.

Para alcanzar los objetivos

  Toda organización tiene una misión y visión, éstas determinan los objetivos
y las estrategias necesarias para alcanzarlos. Los objetivos se pueden establecer
para el conjunto de la organización o para determinadas actividades dentro de la
misma.
 Los objetivos en este informe pueden clasificarse en 3 categorías:
 Operacionales: utilización eficaz y eficiente de los recursos de la entidad.
Ej: rendimiento, rentabilidad, salvaguarda de activos, etc.
 Información Financiera: preparación y publicación de estados
financieros
Fiable.

Importancia de COSO I:
Marco Integrado de Control Interno
A nivel organizacional, Informe Coso I destaca la necesidad de que la alta dirección y el
resto de la organización comprendan la trascendencia del control interno, la incidencia del
mismo sobre los resultados de la gestión, el papel estratégico a conceder a la auditoría y
esencialmente la consideración del control como un proceso integrado a los procesos
operativos de la empresa y no como un conjunto de actividades adicionales, que daría
como resultado procesos burocráticos.
A nivel regulatorio o normativo, el Informe COSO pretende que cuando se plantee
cualquier discusión o problema de control interno, tanto a nivel práctico de las empresas,
como a nivel de auditoría interna o externa, o en los ámbitos académicos o legislativos, los
interlocutores tengan una referencia conceptual común, lo cual antes de la aplicación del
informe era complejo, dada la multiplicidad de definiciones y conceptos divergentes que
han existido sobre control interno.
Desde su elaboración, esta metodología se incorporó en las políticas, reglas y
regulaciones y ha sido utilizada por muchas empresas para mejorar sus actividades de
control hacia el logro de sus objetivos p l a n t e a d o s .
Dicho Informe intenta brindar un grado razonable de seguridad frente al riesgo que se
presenta. Este último se define como la probabilidad que ocurra un determinado evento
que puede tener efectos negativos para la organización.

Componentes de COSO I
 El Informe Coso I se vale de diversos componentes para explicar el desarrollo del control
interno en una organización, y estos son:
 Entorno de control.
 Evaluación de riesgos.
 Actividades de control.
 Información y comunicación.
 Supervision.
El control interno, consiste en un proceso multidireccional repetitivo y permanente, en
el cual más de un componente influye en los otros y conforman un sistema integrado
que reaccionan dinámicamente a las condiciones cambiantes.

Niveles de Efectividad

Los sistemas de control interno operan con distintos niveles de efectividad; puede ser
juzgado efectivo en cada uno de los tres grupos, respectivamente, si el consejo de
administración o junta y la gerencia tienen una razonable seguridad de que:

• Entienden el grado en que se alcanzan los objetivos de las operaciones de las

entidades.
• Los informes financieros sean preparados en forma confiable.
• Se observen las leyes y los reglamentos aplicables.

 El Entorno de Control o Ambiente de control

Es el establecimiento de un entorno que se estimule e influya las actividades del

personal con respecto al control de las actividades que realice.
Es la base en la que se apoyan los 4 restantes componentes del Control Interno. Al
proveer disciplina y estructura para el control , incide en la forma de:

 Se estructuran las actividades del negocio.

 Se asigna autoridad y responsabilidad.
 Se organiza y desarrolla la gente.
 Se comparten y comunican los valores y creencias.
 El personal toma conciencia de la importancia del control.

Los factores que intervienen en el entorno de control son:

 La integridad y los valores éticos.

 El compromiso a ser competente.
 Las actividades de la junta directiva y el comité de auditoría.
 La mentalidad y estilo de operación de la gerencia.
 La estructura de la organización.
 La asignación de autoridad y responsabilidades.
 Las políticas y prácticas de recursos humanos.

El entorno de control posee una gran influencia en la forma de como irán desarrollando
las operaciones, se establecen los objetivos y se minimizaran los riesgos, puesto que
tiene que ver con el comportamiento de los sistemas de información y con la
supervisión en general.
  La Evaluación de los Riesgos.
Los riesgos se definen como todos aquellos elementos o circunstancias
que podrían impedir que la empresa alcanzara sus objetivos. Visto que la
empresa desarrolla su actividad en un entorno cada vez más competitivo,
dinámico y cambiante, debe disponer de ciertos mecanismos que evalúen
constantemente el entorno circunstante y garanticen que la empresa se
va adecuando a este.

Es la identificación y análisis de riesgos relevantes para el logro de los objetivos y la

base para determinar la forma en que tales riesgos deben ser mejorados, se refiere a
los mecanismos necesarios para identificar y manejar riesgos específicos asociados
con los cambios, tanto los que influyen en el entorno de la organización como en su
interior.

En toda entidad, es indispensable el establecimiento de objetivos tanto globales de la

organización como de actividades relevantes, para así poder identificados y analizar
los factores de riesgo que amenazan su oportuno cumplimiento.

La evolución de riesgos debe ser una responsabilidad ineludible para todos los
niveles que están involucrados en el logro de los objetivos, se realizara esta
actividad de autoevaluación revisada por los auditores internos para que asegurar que
tanto el objetivo, enfoque, alcance y procedimiento han sido llevados a cabo. Puesto
que toda entidad enfrentara diversos riesgos que pueden surgir de fuentes externas e
internas por estas razón deben ser evaluados por la gerencia, quien a establecido los
objetivos generales, específicos y analizara los riesgos de dichos objetivos para que
afecten a la entidad.

Objetivos: Su importancia es evidente en cualquier organización, ya que representa la

orientación básica de todos los recursos y esfuerzos y proporciona una base sólida
para un control interno efectivo.

Las categorías de los objetivos son las siguientes:

• Objetivos de Cumplimiento. (leyes y reglamentos, políticas emitidas por la

administración.)
• Objetivos de Operación. (la efectividad y eficacia de las operaciones de la
organización.)
• Objetivos de la Información Financiera. (información financiera confiable.)

El logro de los objetivos antes mencionados está sujeto a los siguientes

eventos:

1. Los controles internos efectivos proporcionan una garantía razonable de que los
objetivos de información financiera y de cumplimiento serán logrados, está
dentro del alcance de la administración.
2. En relación a los objetivos de operación
Los riesgos de actividades también deben ser identificados, ayudando con ello a
administrar los riesgos en las áreas o funciones más importantes; las causas en este
nivel pertenecen a un rango amplio que va desde lo obvio hasta lo complejo y con
distintos grados de significación, deben incluir entre otros aspectos los siguientes:

• La estimación de la importancia del riesgo y sus efectos.

• La evaluación de la probabilidad de ocurrencia.
• El establecimiento de acciones y controles necesarios.
• La evaluación periódica del proceso anterior.

 Actividades de Control.
Las actividades de control son todas aquellas medidas, de la más
diversa naturaleza, que sirven para asegurar que el negocio de la
empresa, en todos sus aspectos, está bajo control. Estas actividades
estan expreasdas en las politicas, sistemas y procedimientos.

Las actividades de control tienen distintas características. Pueden ser manuales o

computarizadas, administrativas u operacionales, generales o específicas, preventivas
o detección. Las actividades de control son importantes no solo porque en sí mismas
implican la forma correcta de hacer las cosas, sino debido a que son el medio idóneo
de asegurar en mayor grado el logro de objetivos.

 Información y Comunicación.
La información es esencial para que la empresa pueda funcionar y para
que la dirección tome decisiones acertadas. Es importante no confundir
aquí el objetivo de fiabilidad de la información, con el este 4º elemento del
Control Interno. En este contexto la información que maneja la empresa,
y la correcta comunicación y flujo de la misma, de manera rápida y
tempestiva, desde y hacia todos los departamentos y niveles de la
empresa es esencial para el buen funcionamiento de un sistema de
Control Interno.
A través de:

 Controles Generales: aseguran una operación y continuidad adecuada, e

incluyen al control sobre el centro de procesamiento de datos y su seguridad
física, contratación y mantenimiento del hardware y software, También se
relacionan con las funciones de desarrollo y mantenimiento de sistemas,
soporte técnico y administración de base de datos.

 Controles de Aplicación: estos se encuentran dirigidos hacia el interior de

cada sistema y funcionan para lograr el procesamiento, integridad y
confiabilidad, mediante la autorización y validación correspondiente.

Los sistemas de información y tecnología son y serán sin duda un medio para
incrementar la productividad y competitividad. Ciertos hallazgos sugieren que la
integración de la estrategia, la estructura organizacional y la tecnología de información
es un concepto clave para el nuevo siglo.

Pretende evaluar la situación actual y predecir la situación futura sólo con base en la
información contable.

 Supervisión.

Como todo sistema, también el sistema de Control Interno necesita de

supervisión para funcionar correctamente. En este sentido, la supervisión
es un proceso que comprueba que el sistema de Control Interno funciona
correctamente. Esta supervisión la debe realizar la dirección de la
empresa, pero está claro que es aquí, en estas revisiones donde el
trabajo de los auditores internos se hace más importante. La evaluación
debe conducir a la identificación de los controles débiles, insuficientes o
innecesarios, para promover con el apoyo decidido de la gerencia, su
robustecimiento e implantación.

Esta evaluación puede llevarse a cabo de tres formas: durante la realización de las
actividades diarias en los distintos niveles de la organización; de manera separada por
personal que no es el responsable directo de la ejecución de las actividades mediante
la combinación de las dos formas anteriores. Para un adecuado monitoreo se deben
tener en cuenta las siguientes reglas:

 El personal debe obtener evidencia de que el control interno está funcionando.

 Sí las comunicaciones externas corroboran la información generada
internamente.
 Se deben efectuar comparaciones periódicas de las cantidades registradas en
el sistema de información contable con el físico de los activos.
 Revisar si se han implementado controles recomendados por los auditores
internos y externos; o por el contrario no se ha hecho nada o poco.
 Sí son adecuadas, efectivas y confiables las actividades del departamento de la
auditoría interna.

Informe de las deficiencias es el proceso de comunicar las debilidades y oportunidades

de mejoramiento de los sistemas de control, debe estar dirigido hacia quienes son los
propietarios y responsables de operarlos, con el fin de que implementen las acciones
necesarias.
Los 5 elementos del Control Interno interactúan entre sí, y forman un sistema. Este
sistema debe estar integrado (no solo simplemente superpuesto) a las actividades
operativas de la empresa. Cuanto más integrado esté el sistema de Control Interno con
las actividades de la empresa, tanto mayores serán las posibilidades de éxito del
mismo.
Estos componentes serán analizados a la luz del Informe Coso II, ya que éste último se
toma como base en esta investigación para la integración de los temas comprendidos
en cada Informe Coso.
 Coso II
En 2004, se publicó el estándar “Enterprise Risk Management - Integrated
Framework” (COSO II) Marco integrado de Gestión de Riesgos que amplía el
concepto de control interno a la gestión de riesgos implicando necesariamente
a todo el personal, incluidos los directores y administradores.
Estructura del coso II
Los 8 componentes del coso II están interrelacionados entre sí.
• Estos procesos deben ser efectuados por el director, la gerencia y los
demás miembros del personal de la empresa a lo largo de su organización
• Los 8 componentes están alineados con los 4 objetivos.
• Donde se consideran las actividades en todos los niveles de la organización

La administración de riesgos de la empresa (ERM) COSO describe en su

marco basado en principios tales como:
  La definición de administración de riesgos de la empresa
 Los principios críticos y componentes de un proceso de administración
de riesgo corporativo efectivo.
 Pautas para las empresa, para que ellas sean capaces de administrar
sus riesgos.
 Criterios para determinar si la administración de riesgo de la empresa es
efectiva

Descripción de Componente del COSO II.

1. Ambiente interno

 Sirve como la base fundamental para los otros componentes del ERM,
dandole disciplina y estructura.
 Dentro de la empresa sirve para que los empleados creen conciencia de
los riesgos que se pueden presentar en la empresa

2. Establecimientos de objetivos.

 Es importante para que la empresa prevenga los riesgo, tenga una

identificación de los eventos, una evaluación del riesgo y una clara
respuesta a los riesgos en la empresa.
 La empresa debe tener una meta clara que se alineen y sustenten con
su vision y mision, pero siempre teniendo en cuenta que cada decision
con lleva un riesgo que debe ser previsto por la empresa

3. Identificación de eventos

 Se debe identificar los eventos que afectan los objetivos de la

organización aunque estos sean positivos, negativos o ambos, para que
la empresa los pueda enfrentar y proveer de la mejor forma posible.
 La empresa debe identificar los eventos y debe diagnosticarlos como
oportunidades o riesgos. Para que pueda hacer frente a los riesgos y
aprovechar las oportunidades.

4. Evaluación de Riesgos:

 identificación y análisis de los riesgos relevantes para la consecución de

los objetivos.

5. Actividades de control

 Son las políticas y procedimientos para asegurar que las respuesta al

 riesgo se lleve de manera adecuada y oportuna.
 Tipo de actividades de control:
 Preventiva, detectivas, manuales, computarizadas o controles
gerenciales

6. Respuesta al riesgo

 Una vez evaluado el riesgo la gerencia identifica y evalúa posibles

repuestas al riesgo en relación al las necesidades de la empresa.
 Las respuestas al riesgo pueden ser:
 Evitarlo: se discontinúan las actividades que generan riesgo.
 Reducirlo: se reduce el impacto o la probabilidad de ocurrencia o ambas
 Compartirlo: se reduce el impacto o la probabilidad de ocurrencia al
transferir o compartir una porción del riesgo.
 Aceptarlo: no se toman acciones que afecten el impacto y probabilidad
de ocurrencia del riesgo.

7. Información y comunicación

 La información es necesaria en todos los niveles de la organización para

hacer frente a los riesgos identificando, evaluando y dando respuesta a
los riesgos.
 La comunicación se debe realizar en sentido amplio y fluir por toda la
organización en todo los sentidos.
 Debe existir una buena comunicación con los clientes, proveedores,
reguladores y accionistas.

8. Monitoreo o Supervision

 Sirve para monitorear que el proceso de administración de los riesgos

sea efectivo a lo largo del tiempo y que todos los componentes del
marco ERM funcionen adecuadamente.
 El monitoreo se puede medir a través de:
 Actividades de monitoreo continuo
 Evaluaciones puntuales
 Una combinación de ambas formas
Relación entre COSO I y COSO II.