El documento describe los componentes del informe COSO y COSO ERM. El informe COSO original de 1992 definió cinco componentes del control interno, mientras que el COSO ERM de 2004 amplió esto a ocho componentes para enfocarse específicamente en la administración de riesgos de una organización. Estos componentes incluyen el establecimiento de objetivos, identificación de eventos, evaluación de riesgos, respuestas al riesgo, actividades de control, información y comunicación, y supervisión.

2. El informe COSO se define como un proceso efectuado por el
consejo de administración, la dirección y el resto del personal de
una organización, diseñado con el objetivo de proporcionar un grado
de seguridad razonable en cuanto a la persecución de los objetivos.
El informe C.O.S.O. de 1992, definió cinco componentes
interrelacionados entre sí, los cuales eran: El ambiente de Control,
Evaluación de Riesgos, Actividades de Control, Información y
Comunicación; y Supervisión.

3. En esa misma época, en todas partes del mundo se emitieron
con diferencias de meses o años, más o menos, diferentes
informes que hablaban de control interno. Se puede citar el
Informe Caldbury y turnbull en Inglaterra, el King en
Sudáfrica, el COCO en Cánada, el Peters en Holanda, el
Olivencia en España, el Veniot en Francia , y otros
Acontecimientos tan importantes como la caída de grandes
empresas Americanas en insolvencias, no obstante que tenían
auditorías y sistemas de control interno, llevó nuevamente a
reunir la comisión COSO para reestudiar el documento anterior a
la luz de los acontecimientos de estos años en el mundo
empresarial y de la auditoría. Es así como en julio de 2003 se le
solicitó a la empresa PricewaterhouseCoopers emitiera un nuevo
documento denominado COSO ERM o COSO II

4. El COSO II, incluye una guía actualizada de herramientas para ayudar
a las empresas en la administración de sus riesgos, ampliando de 5 a
8 los componentes. Con ello, se entrega una respuesta a las
necesidades que viven las empresas en la actualidad, las cuales
operan en ambientes donde factores como la globalización, la
tecnología, reestructuraciones, regulaciones, mercados cambiantes y
competencias, entre otros, crean la incertidumbre.
La Comisión Treadway plantea en su segundo informe, que la
administración de riesgos, se aplica desde la puesta en marcha de
las estrategias y objetivos operacionales hasta el resultado final y en
la retroalimentación pertinente de todos los procesos.

5. Diferencia Entre COSO Y COSO ERM
En cuanto a sus componentes
Como se puede observar desde el COSO I, el componente que tiene
una profundización mayor, es la Evaluación de Riesgos, la cual pasa
a transformarse en el centro del análisis de un control interno
moderno

6. Identificación
de Eventos
Evaluación
de Riesgos
Actividades
de ControlEstrategias
Frente a Riesgo
SupervisiónInformación y
Comunicación
Ambiente de
Control Interno
Establecimientos
de Objetivos
COMPONENTES DEL COSO ERM

7. El ambiente interno en una entidad, que comienza en la
gerencia, es la base para el resto de los componentes
de la administración de riesgos, proporcionando
estructura y disciplina. Influye en el establecimiento de
estrategias y objetivos, estructuración de actividades, en
la información como en los sistemas de comunicación y
en la supervisión de los procesos. influenciado por
factores como la historia de la organización, su cultura y
subculturas, su estilo de dirección, competencia y
desarrollo del personal, asignación de autoridad y
responsabilidad, sus valores éticos.
Ambiente de Control

8. Factores del Ambiente de Control
•Filosofía de Administración de Riesgos.
•Cantidad de riesgo.
•Cultura de riesgo.
•Reconociendo la realidad del riesgo.
•Consejo de administración y comité de auditoria
•Integridad y valores éticos.
•Consejo de Administración
•Compromiso de competencia del personal.
•Filosofía de Dirección y el Estilo de Gestión.
•Estructura orgánica.
•Asignación de autoridad y responsabilidad.
•Políticas y Prácticas de Recursos Humanos.

9. Filosofía de Administración de Riesgos
Esta se refiere a la capacidad de entendimiento que poseen los integrantes
de una entidad, si su dirección y empleados se les facilita o poseen
habilidades para reconocer los riesgos en forma eficaz.
Cantidad de riesgo
Es la cantidad de riesgo que la organización esta dispuesta a aceptar con el
fin de alcanzar sus objetivos.
Cultura de riesgo
·Es un conjunto de actividades, valores y practicas que caracterizan como
una entidad considera un riesgo en sus actividades diarias
Reconociendo la realidad del riesgo
·Aquí la administración debe tener presente que muchas variables en los
ambientes internos y externos pueden camíbar rápidamente y volver a una
entidad completamente vulnerable en sus aspectos mas solidas y afectarla
gravemente.

10. Consejo de Administración y Comité de Auditoria
El consejo y el comité debe estar preparados para cuestionar y supervisar
las actividades de la gerencia, presentar opiniones alternativas y tener
disposición para actuar cuando se originan situaciones no deseadas.
Integridad y valores éticos
Los objetivos y estrategias de una organización y la forma como ellos son
implementados y alcanzados están basados en preferencias, valores de
juicio y estilos de gestión todo esto define la integridad, el compromiso ético
y las normas de comportamiento para la administración.
Compromiso de competencia del personal
La competencia refleja el conocimiento y las habilidades necesarias para
realizar las tareas asignadas. La Dirección determina el grado de perfección
con la cual debe desarrollarse cada tarea, teniendo en cuenta los objetivos
de la organización.

11. Estructura Orgánica
Define el marco en el cual se planifica, ejecuta, manda, comunican y
supervisan las actividades de una entidad.
Asignación de autoridad y responsabilidad
Se refiere a la medida en que se autoriza a los equipos o a las personas en
forma individual a utilizar iniciativas al memento de enfrentar problemas.
Políticas y practicas de Recursos Humanos
Estas practicas tienen que ver con contratación, orientación, entrenamiento,
evaluación, asesoramiento, promoción, remuneraciones, como también el
indicarla a los empleados los niveles de integridad, ética y competencia que
de ellos se espera.

12. Establecimiento de Objetivos
El establecimiento de los objetivos es una condición
previa al desarrollo propiamente tal las actividades
de la entidad, ya que deben haber objetivos antes
quela Dirección pueda identificar, evaluar y manejar
los riesgos para su obtención.
Es así, como enfocados en los objetivos estratégicos
y en la estrategia misma, una entidad se posiciona
para desarrollar los objetivos operacionales.

13. Los Objetivos pueden ser:
Objetivos Estratégicos
Estos tienen directa relación con la planificación de largo plazo, y
son el fundamento de las restantes categorías de objetivos.
Objetivos Operacionales
Estos se relacionan directamente con la eficacia y eficiencia de las
operaciones de la entidad, incluye el desarrollo y alcance de los
objetivos, como la salvaguarda de los recursos contra las
pérdidas.

14. Objetivos de Información Financiera
Estos se refieren a la confiabilidad y razonabilidad de la
información financiera o no financiera, acorde con principios
contables y de auditoría, la cual (información) también puede ser
interna o externa.
Objetivos de cumplimiento
Estos objetivos establecen la adhesión de la entidad en cuanto al
cumplimiento de leyes, normas y regulaciones que pueden afectar
positiva o negativamente la reputación organizacional.

15. IDENTIFICACIÓN DE EVENTOS
La gerencia define rangos de
ocurrencia de eventos potenciales
de origen interno o externo y si el
impacto va a ser positivo o
negativo.

16. IDENTIFICACIÓN DE EVENTOS
- RIESGOS.
- OPORTUNIDADES

17. IDENTIFICACIÓN DE EVENTOS
EVENTOS EXTERNOS
- La Economía.
- El Comercio.
- Catástrofes.
- Medio Ambiente.
- Políticas de gobierno.
- Cambios de ámbitos sociales.
- Tecnología.

18. IDENTIFICACIÓN DE EVENTOS
EVENTOS INTERNOS
- La Infraestructura.
- El Personal.
- Procesos.
- Tecnología.

19. EVALUACIÓN DE RIESGOS
En la evaluación de riesgos se mezclan los
potenciales eventos futuros relacionados a
la entidad y sus objetivos, lo que considera
en el análisis del tamaño de la estructura,
la complejidad de los procesos, funciones
y el grado de regulación de sus
actividades, entre otros.

20. EVALUACIÓN DE RIESGOS
Evaluar los Riesgos desde 2 Perspectivas:
- Probabilidad.
- Impacto.

21. EVALUACIÓN DE RIESGOS
Metodología de Evaluación de Riesgos:
- Cualitativas.
- Cuantitativas.

22. RESPUESTAS O ESTRATEGIAS
FRENTE AL RIESGO
- Evitar el Riesgo.
- Reducir el Riesgo.
- Compartir el Riesgo.
- Aceptar el Riesgo.

23. ACTIVIDADES DE CONTROL
Son las políticas y procedimientos
que ayudan asegurar que la
respuesta al riesgo, así como otras
directivas de la entidad, son
aplicadas.

24. ACTIVIDADES DE CONTROL
Existen a través de toda la
organización, a todos los niveles y en
todas las funciones.

25. INFORMACIÓN Y COMUNICACIÓN
La información es necesario en todos
los niveles de una entidad para
identificar, evaluar, y responder al
riesgo.

26. INFORMACIÓN Y COMUNICACIÓN
El gerente identifica, captura y
comunica la información pertinente
en un tiempo y una forma que
permita a la gente cumplir con sus
responsabilidades.

27. INFORMACIÓN Y COMUNICACIÓN
La comunicación ocurre en un
sentido amplio, fluyendo hacia abajo,
hacia arriba y a través de la
organización.

28. INFORMACIÓN Y COMUNICACIÓN
La comunicación ocurre en un
sentido amplio, fluyendo hacia abajo,
hacia arriba y a través de la
organización.

29. SUPERVISIÓN Y MONITOREO
Utilización de modelos de evaluación de riesgos,
para estimar el impacto potencial de los
movimientos del mercado en la posición financiera
de una organización.
La comunicación de los agentes externos debe
ser confirmada con la información internamente
generada ó señalar problemas.

30. SUPERVISIÓN Y MONITOREO
Las regulaciones también pueden comunicar a la
entidad disposiciones u otras materias que
afecten las funciones o los procesos de
administración de riesgos.
Los auditores internos y externos
permanentemente proponen recomendaciones
para fortalecer la Administración de riesgos.

31. SUPERVISIÓN Y MONITOREO
El personal debe ser consultado
periódicamente sobre si conocen, cumplen
los códigos de conducta de su entidad.

32. ROLES Y RESPONSABILIDADES
- Directores.
- Gerentes.
- Oficiales de Riesgos.
- Auditor Interno.
- Otros miembros de la Organización.