Este documento describe los marcos COSO I, COSO II y COSO III para el control interno y la gestión de riesgos. Explica los cinco componentes del control interno (ambiente de control, evaluación de riesgos, actividades de control, información y comunicación, y actividades de monitoreo) y cómo COSO III amplía estos conceptos con principios y puntos focales. También compara COSO I y COSO II, destacando las diferencias entre los marcos de control interno y gestión de riesgos.
1. Control Interno
Unidad: Componentes, Principios y Puntos de
Enfoque Establecidos por Coso I, Coso II y Coso III
Docente: Miriam Liliana Cruz Umeres
2. Logro Toda organización se enfrenta a diversos riesgos que
pueden afectar sus distintas áreas, por ello un
adecuado funcionamiento de Control Interno facilita
dar respuestas eficaces e integradas a los impactos de
dichos riesgos.
Importancia
Al finalizar la unidad, el
estudiante comprende la
metodología COSO en la
evaluación e implementación de
los sistemas de control interno de
la empresa.
Unidad
Componentes, Principios y
Puntos de Enfoque Establecidos
por Coso I y Coso III
3. • COSO I y COSO II – Marco integrado de control
interno
• COSO III – Marco de gestión de riesgo corporativo
– Componente ambiente de control
– Componente evaluaciónde riesgos
– Componente actividadde control
– Componente informacióny comunicación
– Componente actividades de monitoreo
• Relación entre COSO I-III y COSO II
Contenido General
Logro
Al finalizar la unidad, el
estudiante comprende la
metodología COSO en la
evaluación e implementación de
los sistemas de control interno de
la empresa.
Unidad
Componentes, Principios y
Puntos de Enfoque Establecidos
por Coso I y Coso III
4. Tema: COSO I y COSO II – Marco integrado
de control interno
5. COSO I y COSO II – Marco integrado de control interno
El Informe COSO sobre control interno,
publicado en EE.UU. en 1992, surgió como
una respuesta a las inquietudes que
planteaban la diversidad de conceptos,
definiciones e interpretaciones existentes.
En septiembre de 2004, se publica
el informe denominado Enterprise
Risk Management – Integrated
Framework, el cual incluye el
marco global para la
administración integral de riesgos.
6. Finalidad del COSO I
El COSO I fue creado para facilitar a las
empresas los procesos de evaluación y
mejoramiento continuo de sus sistemas de
control interno. Asimismo, ha sido incluido
en las políticas, reglas y regulaciones, para
que las empresas mejoren sus actividades
de control hacia el logro de sus objetivos.
5
Componentes
7. Finalidad del COSO II
Proceso efectuado por el consejo de
administración, dirección y todo el
personal de la empresa, diseñado para
identificar eventos potenciales que
puedan afectar a la organización.
Gestionar sus riesgos dentro del riesgo
aceptado y proporcionar seguridad
razonable sobre el logro de los objetivos.
8. COSO II – Marco integrado de control interno
El modelo de Gestión de
Riesgos (COSO II + ERM),
esta orientado a alcanzar
los objetivos de la
organización. Se clasifican
en 4 categorías:
• Cumplimiento
• Información
• Operativos
• Estrátegicos
Referidos a Metas
de alto nivel,
alineadas a la
visión y misión de
la organización.
Eficiencia y
Eficacia de las
actividades de una
Organización, así
como sus
objetivos de
rentabilidad y
desempeño.
Cumplimiento de
Normas y Leyes
aplicables.
Información fiable
de la organización,
como la
información
financiera y no
financiera.
9. Mapa de riesgos: matriz de calificación, evaluación y
respuesta a los riesgos
Probabilidad Valor
Alta 3
15
Zona de riesgo moderado
Evita el riesgo
30
Zona de riesgo importante
Reducir el riesgo
Evitar el riesgo
Compartir o trasferir
60
Zona de riesgo inaceptable
Evitar el riesgo
Reducir el riesgo
Compartir o transferir
Media 2
10
Zona de riesgo tolerable
Asumir el riesgo
Reducir el riesgo
20
Zona de riesgo moderado
Reducir el riesgo
Evitar el riesgo
Compartir o transferir
40
Zona de riesgo importante
Reducir el riesgo
Evitar el riesgo
Compartir o transferir
Baja 1
5
Zona de riesgo aceptable
Asumir el riesgo
10
Zona de riesgo tolerable
Reducir el riesgo
Compartir o transferir
20
Zona de riesgo moderado
Reducir el riesgo
Compartir o transferir
Impacto Leve Moderado Catastrófico
10. Secuencia para la elaboración del mapa de riesgos
•Se analiza la
estrategia
•La normativa
•Procesos que
controlan el
riesgo
Entendimiento de la situación
•Se identifican
los principales
riesgos y
•Los controles
existentes
Elaboración de perfil de riesgos
•Se identifican
Riesgos y se
Valoran en
base a su
impactoy
probabilidad
Entrevista Comité de Dirección
•Se valida los
datos
obtenidos de
Riesgos y
Controles
Validación de la información
•Se elabora el
Mapa de
Riesgos
Mapa de riesgos
•Para cada uno
de los objetivos
del COSO
•El nivel de
riesgo aceptado
Acciones a tomar con el CEO,
sobre tolerancia al riesgo
11. Gobernance
Enterprise
Risk Management
Compliance
Definición de objetivos y estrategias, políticas, apetito al
riesgo y responsabilidades. Monitoreo del desempeño.
Identificación y evaluación de riesgos que pueden afectar la
capacidad de lograr los objetivos y determinar las
estrategias de respuesta al riesgo ya actividades de control.
Relación con el gobierno corporativo
Operación de acuerdo con los objetivos y asegurando
adherencia con las leyes y regulaciones, políticas internas,
procedimientos y los compromisos de los stakeholders.
Extended Enterprise & Value Chan
13. Marco COSO 2013
El marco de COSO 2013 mantiene la
definición de control interno y sus
cinco componentes, pero al mismo
tiempo incluye mejoras y
aclaraciones con el objetivo de
facilitar el uso y su aplicación en las
entidades.
14. Marco COSO 2013
A través de esta actualización, COSO
propone desarrollar el marco original,
empleando "principios" y "puntos de
interés“, con el objetivo de ampliar y
actualizar los conceptos de control interno
previamente planteado sin dejar de
reconocer los cambios en el entorno
empresarial y operativo.
15. Marco COSO 2013
Transiciónal COSO
2013
Paralas entidades
registrantes en
SEC, cuyo marco de
control internosea
COSO, latransición
es obligatoriaen
2014
Si bien es cierto que COSO no es un organismo
emisor de normas ni un regulador, sus miembros
exhortan a los usuarios a la transición a COSO
2013 tan pronto como sea posible.
“El COSO 1992 se mantendrá disponible hasta el
15 de diciembre de 2014, fecha en que se
considerará sustituido porel nuevo COSO 2013”.
En consecuencia, al 31 de diciembre de 2014 el
COSO 1992 ya no es un marco reconocido
aplicable, pues estará derogado.
Fuente: https://www2.deloitte.com/content/dam/Deloitte/mx/Documents/risk/COSO-Sesion1.pdf
En el Perú, las grandes corporaciones que
cotizan en bolsa, deberán evaluar su nivel
actual de cumplimiento y desarrollar planes
de transición para hacer frente a las brechas.
16. Cambios con el COSO 2013
Se formalizan 17 principios relevantes
que ya estaban implícitos en un
sistema con control interno efectivo.
El COSO 2013, se basa sobre el COSO 1992
y enfatiza que los cinco componentes de
COSO deben estar presentes (diseñados) y
funcionando (ser efectivos)
conjuntamente de manera integrada.
Actividad
1
Actividad
2
Unidad
B
Unidad
A
Monitorización
Información y Comunicación
Actividad de Control
Evaluación de Riesgos
Entorno de Control
¿Qué varía tras la actualización?
Unidad
operativa
Función
División
Nivel
de
entidad
CUBO COSO ORIGINAL CUBO COSO ACTUALIZADO
Entorno de Control
Evolución de Riesgos
Actividades de Control
Información y Comunicación
Actividades de Monitorización
17. Principales cambios
Orientación sobre
el rol de la
tecnología en los
procesos y los
sistemas de
reportes
Mayor precisión
sobre los conceptos
de Gobierno
Mayor atención en
la globalización y
los cambios en los
modelos
Ampliación a los
reportes tanto
internos como
externos
financieros y no
financieros
Mayor énfasis en
evaluar y
responder al riesgo
de fraude así como
su relación con el
control interno
18. Beneficios de la implementación del COSO 2013
Mejora el Gobierno
Corporativo
Expande la categoríade reporte
financieroy abarca las otras
formas de informaciónque utiliza
la compañía para sus operaciones
y cumplimiento(por ejemplo, los
reportes de sostenibilidad)
Mejora en la evaluación de
riesgos y prácticas antifraude
Mejora la adaptación al
cambio de los modelos de
negocio
19. Es el conjunto de estándares, procesos y
estructuras que proveen la base para
ejecutar el proceso de control interno a
través de la organización.
Componente del ambiente de control
1. Demuestra compromiso con la integridad y los
valores éticos.
2. Ejerce responsabilidad de supervisión.
3. Establece estructura, autoridad y
responsabilidad.
4. Demuestra compromiso para la competencia.
5. Fortalece la medición de resultados.
Principios
Fuente: http://www.coso.org
Ambiente de control
Evaluación de riesgo
Actividades de control
Información y comunicación
Actividades de monitoreo
20. Principios del componente ambiente de control
Fuente: https://www2.deloitte.com/content/dam/Deloitte/mx/Documents/risk/COSO-Sesion1.pdf
El Consejo de Administración
demuestra una independencia de
la administración y ejerce una
supervisión del desarrollo y el
rendimiento de los controles
internos.
La Administración establece, con
la aprobación del Consejo, las
estructuras, líneas de reporte y las
autoridades y responsabilidades
apropiadas en la búsqueda de
objetivos.
La organización demuestraun
compromiso a atraer, desarrollar y
retener personas competentesen
alineación con los objetivos.
La organización retiene individuos
comprometidos con sus
responsabilidades de control
interno en la búsqueda de
objetivos.
La organización demuestra
compromiso por la integridad y
valores éticos.
21. Una entidad enfrenta riesgos externos e
internos. El riesgo es definido como la
posibilidad de que ocurra un evento que
afecte adversamente el cumplimiento de
los objetivos. La evaluación de riesgos es
un proceso dinámico e interactivo.
Componente de evaluación de riesgo
Principios
6. Especifica objetivos adecuados.
7. Identifica y analiza los riesgos.
8. Evalúa el riesgo de fraude.
9. Identifica y analiza cambios significativos.
Fuente: http://www.coso.org
Ambiente de control
Evaluación de riesgo
Actividades de control
Información y comunicación
Actividades de monitoreo
22. Principios de evaluación de riesgo
Fuente: http://www.coso.org
La organización identifica y evalúa cambios que
pueden impactar significativamente al sistema de
control interno.
La organización identifica los riesgos sobre el
cumplimiento de los objetivos a través de la
entidad y analiza los riesgos para determinar
cómo esos riesgos deben de administrarse.
La organización identifica y evalúa cambios que
pueden impactar significativamente al sistema de
control interno.
La organización especifica objetivos con
suficiente claridad para permitir la identificación
y valoración de los riesgos relacionados a los
objetivos.
23. Son las actividades que se establecen a
través de políticas y procedimientos para
ayudar a la alta gerencia a mitigar los
riesgos que se pueden presentar para el
cumplimiento de los objetivos. La
evaluación de riesgos es un proceso
dinámico e interactivo.
Componente de actividades de control
Principios
10. Selecciona y desarrolla actividades de
control.
11. Selecciona y desarrolla controles generales
de tecnología.
12. Implementa a través de políticas y
procedimientos.
Fuente: http://www.coso.org
Ambiente de control
Evaluación de riesgo
Actividades de control
Información y comunicación
Actividades de monitoreo
24. Principios del componente actividades de control
Fuente:http://www.coso.org
La organización elige y
desarrolla actividades de
control que contribuyen a la
mitigación de riesgos para el
logro de objetivos a niveles
aceptables
La organización elige y
desarrolla actividades de
control generales sobre la
tecnología para apoyar el
cumplimiento de los objetivos
La organización despliega
actividades de control a
través de políticas que
establecen lo que se espera y
procedimientos que ponen
dichas políticas en acción.
25. La información es necesaria para que la
entidad pueda llevar a cabo sus
responsabilidades de control interno y
soportar el cumplimientos de objetivos.
La comunicación es un proceso continuo e
iterativo de proveer, compartir y obtener
la información necesaria.
Componente información y comunicación
Principios
13. Utiliza información relevante.
14. Comunica internamente.
15. Comunica externamente.
Fuente: http://www.coso.org
Ambiente de control
Evaluación de riesgo
Actividades de control
Información y
comunicación
Actividades de monitoreo
26. Evaluaciones permanentes, evaluaciones
independientes o una combinación de las
dos para realizar un aseguramiento de los
cinco componentes de control interno,
validando que cada uno de los
componentes existe y está funcionando
efectivamente.
Componente de actividades de monitoreo
Principios
16. Lleva a cabo evaluaciones permanentes y/o
separadas.
17. Evalúa y comunica las deficiencias de control
interno.
Fuente: http://www.coso.org
Ambiente de control
Evaluación de riesgo
Actividades de control
Información y comunicación
Actividades de
monitoreo
28. El COSO III
Proporciona "puntos de enfoque", o
características importantes de los
principios.
Asimismo, reconoce que el diseño y la
implementación de controles relevantes
para cada principio y componente,
requiere de juicio y serán diferentes de
acuerdo a la organización.
31. Conclusiones
1) Las organizaciones establecen las formas de actuación
en todos sus niveles, a través de objetivos claros y
medibles.
2) Es importante que la mejora del Sistema de Control
Interno se efectúa independientemente de su nivel de
madurez.
3) La implementación de un correcto Sistema de Control
Interno basado en Riesgos permite conseguir una
seguridad razonable sobre la adecuada administración
de los riesgos del negocio.
4) La implementación del Marco COSO 2013 brinda una
excelente oportunidad para crear valor en las
organizaciones.
• COSO I y COSO II – Marco integrado
de controlinterno
• COSO III – Marco de gestión de
riesgo corporativo
• Relación entre COSO I-III y COSO II
Temas
Unidad
Importancia del Control Interno
Basado en Riesgos en las
Organizaciones