INFORME COSO

Que es el C.O.S.O.?
Committee of Sponsoring Organizatión of the Treadway Commission
Comité de Organizaciones Patrocinadoras de la Comisión Treadway
Qué es COSO?
El Comité de organizaciones patrocinadoras de la Comisión Treadway fue
conformado en 1985 con la finalidad de identificar los factores que
originaban la presentación de información financiera falsa o fraudulenta y
emitir las recomendaciones que garantizaran la máxima transparencia
informativa en ese sentido. COSO se dedica a desarrollar marcos y
orientaciones generales sobre el control interno, la gestión del riesgo
empresarial y la disuasión del fraude, diseñados para mejorar el
desempeño organizacional y la supervisión y reducir el grado de fraude en
las organizaciones.

Asimismo el Comité sustenta que una buena gestión del riesgo y un

sistema de control interno son necesarios para el éxito a largo plazo de las
organizaciones. El presidente original de la Comisión Treadway era James
C. Treadway, Jr., Vicepresidente Ejecutivo y Asesor General, Paine
Webber y ex comisionado de la Comisión de Valores de Estados
Unidos. Por lo tanto, el nombre popular "Comisión Treadway". Robert B.
Hirth, Jr. se convirtió en el último Presidente de la junta directiva de
COSO el 1 de junio de 2013.

¿Por qué se crea el informe COSO?

El modelo de control coso surgió como una respuesta de la profesión
contable al escándalo del BCCI que demostró que una entidad con un
buen sistema de control interno podía estar conscientemente dedicada
a cometer fraudes y defraudaciones
Debido al mundo económico integrado que existe hoy en día se ha creado
la necesidad de integrar metodologías y conceptos en todos los niveles de
las diversas áreas administrativas y operativas con el fin de ser competitivos
y responder a las nuevas exigencias empresariales. Surge así una nueva
perspectiva sobre el control interno donde se brinda una estructura común
que es documentada en el denominado “Informe C.O.S.O.”.

¿Empresas patrocinadoras que se juntaron y crearon el informe coso?

El Comité estaba conformado por cinco instituciones representativas en
Estados Unidos en el campo de contabilidad, finanzas y auditoria interna:
  American Accounting Association – AAA – Asociación de Contadores
Públicos Norteamericanos
 American Institute of Certified Public Accountants – AICPA –
Instituto Norteamericano de Contadores Publicos Certificados:
Contadores CPA que forman parte de empresas de contabilidad que
hacen auditorías externas de estados financieros.
 Financial Executive Institute – FEI – Asociación internacional de
Ejecutivos de Finanzas:
 Institute of Internal Auditors – IIA – Instituto de Auditores Internos:
Auditores encargados de la evaluación de los sistemas de control
interno en el interior de las organizaciones.
 Institute of Management Accountants – IMA – Instituto de
Contadores Empresariales: Contadores que trabajan en empresas.

Objetivos Del Informe COSO

 Establecer una definición común de control interno que responda a
las necesidades de las distintas partes.
 Facilitar un modelo en base al cual las empresas y otras entidades,
cualquiera sea su tamaño y naturaleza, puedan evaluar sus sistemas
de control interno
 Lograr que el control interno forme parte de la operatoria habitual
de la organización y que no sea concebido como un mero
formalismo o cuestión burocrática. Esta finalidad se refiere al
aspecto organizacional.
 Disponer de una referencia conceptual común para los distintos
interlocutores que participan en el control interno que sirva de
referencia tanto para auditores como para auditados. Sin este
marco de referencia resultaba ser una tarea compleja, dada la
multiplicidad de definiciones y conceptos divergentes. Esta finalidad
se refiere al aspecto regulatorio o normativo.

 A nivel organizacional, este documento destaca la necesidad de

que la alta dirección y el resto de la organización comprendan
cabalmente la trascendencia del control interno, la incidencia del
mismo sobre los resultados de la gestión, el papel estratégico a
conceder a la auditoría y esencialmente la consideración del control
como un proceso integrado a los procesos operativos de la empresa
 y no como un conjunto pesado, compuesto por mecanismos
burocráticos.
 A nivel regulatorio o normativo, el Informe COSO ha pretendido
que cuando se plantee cualquier discusión o problema de control
interno, tanto a nivel práctico de las empresas, como a nivel de
auditoría interna o externa, o en los ámbitos académicos o
legislativos, los interlocutores tengan una referencia conceptual
común, lo cual hasta ahora resultaba complejo, dada la
multiplicidad de definiciones y conceptos divergentes que han
existido sobre control interno.

CONTROL INTERNO
El Informe C.O.S.O. define al control interno como el proceso de evaluar
las operaciones de la organización que llevan a cabo el consejo de
administración, directivo y personal en general para asegurar y mantener:
 Efectividad y eficiencia en las operaciones: Que permiten lograr
los objetivos empresariales básicos de la organización
(rendimiento, rentabilidad y protección de los activos).
 Confiabilidad de la información financiera: control de la
elaboración y publicación de estados contables confiables,
incluyendo estados intermedios y abreviados, así como la
información financiera extraída de estos estados.
 Cumplimiento de políticas, leyes y normas
El control interno no es un fin en sí mismo, sino un medio para lograr
ciertos objetivos.
Los controles internos no deben ser añadidos como una carga inevitable
sino embeberlos en la infraestructura de una organización de manera que
no la entorpezcan sino que favorezcan el logro de sus objetivos.
Para llevar a cabo el control interno, no es suficiente poseer manuales de
políticas. Son las personas de cada nivel de la organización las que tienen
la responsabilidad de realizarlo.

COMPONENTES DEL INFORME COSO

 Ambiente de Control.
 El ambiente o entorno de control es la base de
la pirámide de Control Interno, aportando disciplina a la estructura.
En él se apoyarán los restantes componentes, por lo que será
fundamental para concretar los cimientos de un eficaz y eficiente
sistema de Control Interno.
La organización demuestra compromiso con la integridad y valores
éticos:
 Se da el ejemplo: El directorio y la administración, a todos los
niveles de la entidad demuestran a través de sus directivas,
acciones y comportamiento la importancia de la integridad y
valores éticos para soportar el funcionamiento de sistema de
control interno.
 Se establecen estándar de conducta: Las expectativas del
directorio y la administración sobre la integridad y los valores
éticos están definidas en las normas de conducta de la
entidad y son entendidos a todos los niveles de la
organización y por los proveedores de servicios externos y
socios de negocio.
 Se evalúa la adhesión a los estándares de conducta: Hay
procesos establecidos para evaluar el desempeño de
individuos y grupos de trabajo en función de los estándares
de conducta esperados de la organización.
 Se tratan los desvíos a los estándares en forma oportuna: Las
desviaciones de los estándares de conducta esperada de la
organización son identificadas y remediadas en tiempo y
forma.

 Evaluación de Riesgos.
La Evaluación de Riesgos consiste en: La identificación y el análisis
de los riesgos relevantes para la consecución de los objetivos, y
sirve de base para determinar cómo deben ser gestionados. A su
vez, dados los cambios permanentes del entorno, será necesario
que la Unidad disponga de mecanismos para identificar y afrontar
los riesgos asociados al cambio.
En la evaluación se deberá analizar que los Objetivos de Área hayan
sido apropiadamente definidos, que los mismos sean consistentes
con los objetivos institucionales, que fueran oportunamente
comunicados, que fueran detectados y analizados adecuadamente
 los riesgos y, que se los haya clasificado de acuerdo a la relevancia y
probabilidad de ocurrencia.
 Actividades de Control.
Las actividades de control son: Las políticas, procedimientos,
técnicas, prácticas y mecanismos que permiten a la Dirección
administrar (mitigar) los riesgos identificados durante el proceso de
Evaluación de Riesgos y asegurar que se llevan a cabo los
lineamientos establecidos por ella.
Las Actividades de Control se ejecutan en todos los niveles de la
Unidad y en cada una de las etapas de la gestión, partiendo de la
elaboración de un Mapa de Riesgos, de acuerdo a lo señalado en el
punto anterior.
 Información y Comunicación.
Se debe identificar, recopilar y propagar la información pertinente
en tiempo y forma que permitan cumplir a cada funcionario con sus
responsabilidades a cargo. Debe existir una comunicación eficaz -en
un sentido amplio- que fluya en todas direcciones a través de todos
los ámbitos de la Unidad, de forma descendente como ascendente.
 Monitoreo.
Los Sistemas de Control Interno requieren -principalmente- de
Supervisión, es decir, un proceso que verifique la vigencia del Sistema
de Control a lo largo del tiempo. Ésto se logra mediante actividades
de supervisión continuada, evaluaciones periódicas o una
combinación de ambas.
RESPONSABLES DEL CONTROL INTERNO
Entre los principales responsables del control interno destacamos la alta
gerencia, los auditores y el personal, estando sobre todos estos el Consejo
de Administración, el que fija las pautas y la visión global de la
organización.

 La Alta Gerencia es la responsable última del correcto

funcionamiento del sistema de control.

 La integridad y la ética deben ser elementos que aporten ejemplo a

los demás empleados. Debe dirigir a los gerentes que a su vez son
 los responsables en sus respectivas áreas.

 La Auditoría Interna debe desempeñar un papel de supervisión

sobre la eficiencia y permanencia de los sistemas de control. Para
ello debe contar con una ubicación jerárquica adecuada (contar con
permisos de acceso, autoridad para solicitar y obtener información,
etc.).

 Los empleados tienen la responsabilidad de participar en el esfuerzo

de aplicar el control interno, cuyos detalles deben ser incorporados
a la descripción de los puestos de trabajo. Ellos deben comunicar al
nivel superior los desvíos que detecten con respecto a los códigos
de conducta, a las políticas establecidas o a la legalidad de las
acciones realizadas.

 El Consejo de Administración fija las pautas y la visión global del

negocio. Debe asegurarse de contar con vías de comunicación
efectivas con la Alta Dirección y las áreas financieras, legales y de
auditoría interna para garantizar que dichos sectores comprendan
los lineamientos.

COSO II Administración de riesgo de la empresa” ERM

Estructura del COSO II.
  Los 8 componentes del
coso II están
interrelacionados entre
si. Estos procesos debe
ser efectuados por el
director, la gerencia y
los demás miembros del
personal de la empresa
a lo largo de su
organización
 Los 8 componentes
están alineados con los
4 objetivos.
 Donde se consideran las
actividades en todos los
niveles de la
organización

La administración de riesgos de la empresa (ERM) COSO 2 describe en su

marco basado en principios tales como:
 La definición de administración de riesgos de la empresa
 Los principios críticos y componentes de un proceso de
administración de riesgo corporativo efectivo.
 Pautas para las empresas, para que ellas sean capaces de
administrar sus riesgos.
 Criterios para determinar si la administración de riesgo de la
empresa es efectiva
Conceptos claves del COSO II
 Administración del riesgo en la determinación de la estrategia
 Eventos y riesgo
 Apetito de riesgo
 Tolerancia al riesgo
 Visión de portafolio de riesgo
Descripción de Componente del COSO II.
Ambiente interno
 Filosofía de la gestión de riesgos – Cultura de riesgo – Consejo de
administración/Dirección – Integridad y valores éticos –
Compromiso de competencia –Estructura organizativa – Asignación
de autoridad y responsabilidad – Políticas y prácticas en materia de
recursos humanos
 Sirve como la base fundamental para los otros componentes del
ERM, dandole disciplina y estructura.
 Dentro de la empresa sirve para que los empleados creen
conciencia de los riesgos que se pueden presentar en la empresa
Establecimientos de objetivos.
 Objetivos estratégicos – Objetivos relacionados – Objetivos
seleccionados –Riesgo aceptado – Tolerancia al riesgo
 Es importante para que la empresa prevenga los riesgos, tenga una
identificación de los eventos, una evaluación del riesgo y una clara
respuesta a los riesgos en la empresa.
 La empresa debe tener una meta clara que se alineen y sustenten
con su visión y misión, pero siempre teniendo en cuenta que cada
decisión con lleva un riesgo que debe ser previsto por la empresa
Identificación de eventos
 Acontecimientos – Factores de influencia estratégica y de objetivos
–Metodologías y técnicas – Acontecimientos interdependendientes
– Categorías de acontecimientos – Riesgos y oportunidades
 Se debe identificar los eventos que afectan los objetivos de la
organización aunque estos sean positivos, negativos o ambos, para
que la empresa los pueda enfrentar y proveer de la mejor forma
posible.
 La empresa debe identificar los eventos y debe diagnosticarlos
como oportunidades o riesgos. Para que pueda hacer frente a los
riesgos y aprovechar las oportunidades.
Evaluación de Riesgos
 La evaluación de riesgos permite a una entidad considerar la
amplitud con que los eventos potenciales impactan en la
consecución de objetivos. La dirección evalúa estos acontecimientos
desde una doble perspectiva –probabilidad e impacto– y
normalmente usa una combinación de métodos cualitativos y
cuantitativos. Los impactos positivos y negativos de los eventos
potenciales deben examinarse, individualmente o por categoría, en
toda la entidad. Los riesgos se evalúan con un doble enfoque: riesgo
inherente y riesgo residual.
 Riesgo inherente y residual: El riesgo inherente es aquél al que se
enfrenta una entidad en ausencia de acciones de la dirección para
modificar su probabilidad o impacto.El riesgo residual es aquél que
permanece después de que la dirección desarrolle sus respuestas a
los riesgos

Respuesta al riesgo
 Una vez evaluado el riesgo la gerencia identifica y evalúa posibles
repuestas al riesgo en relación al las necesidades de la empresa.
 Las respuestas al riesgo pueden ser:
 Evitarlo: se discontinúan las actividades que generan riesgo.
 Reducirlo: se reduce el impacto o la probabilidad de ocurrencia
o ambas
 Compartirlo: se reduce el impacto o la probabilidad de
ocurrencia al transferir o compartir una porción del riesgo.
 Aceptarlo: no se toman acciones que afecten el impacto y
probabilidad de ocurrencia del riesgo.
Actividades de control
 Son las políticas y procedimientos para asegurar que la respuesta al
riesgo se lleve de manera adecuada y oportuna.
 Tipo de actividades de control:
  Preventiva, detectivas, manuales, computarizadas o controles
gerenciales
Información y comunicación
 La información es necesaria en todos los niveles de la organización
para hacer frente a los riesgos identificando, evaluando y dando
respuesta a los riesgos.
 La comunicación se debe realizar en sentido amplio y fluir por toda
la organización en todos los sentidos.
 Debe existir una buena comunicación con los clientes, proveedores,
reguladores y accionistas.
Monitoreo.
 Sirve para monitorear que el proceso de administración de los
riesgos sea efectivo a lo largo del tiempo y que todos los
componentes del marco ERM funcionen adecuadamente.
 El monitoreo se puede medir a través de:
 Actividades de monitoreo continuo
 Evaluaciones puntuales
 Una combinación de ambas formas

Relación entre COSO I y COSO II.

Análisis
COSO II “ERM” toma muchos aspectos importantes que el coso I no
considera, como por ejemplo
 El establecimiento de objetivos
 Identificación de riesgo
 Respuesta a los riesgos
 Se puede decir que estos componentes son claves para definir las
metas de la empresa
 Si los objetivos son claros se puede decidir que riegos tomar para
hacer realidad las metas de la organización.
 De esta manera se puede hacer una clara identificación, evaluación,
mitigación y respuesta para los riesgos.
CONCLUSIONES
En la actualidad, la Información es uno de los recursos más preciados en
cualquier organización. El contar con información íntegra, accesible,
consistente, confiable y oportuna, es fundamental para que dicha
organización pueda subsistir, desarrollarse y tomar decisiones correctas
en el dinámico mundo actual.
Por todo esto, es que las organizaciones buscaron diversas formas de
formalizar procesos de elaboración y control de la información. Cada una
de ellas fue implementando metodologías de control ad-hoc, ergo,
coexistían múltiples maneras de controlar lo mismo.
A razón de esto surge el Informe COSO, el cual es un compendio de
definiciones, reglas y buenas prácticas acerca del control interno en una
organización. Si bien todas las organizaciones necesitan llevar a cabo
prácticas de control, este informe está especialmente orientado a aquellas
en las que por su envergadura, requieren y están en condiciones de aplicar
mecanismos formales y preestablecidos de control para evitar o reducir
los fraudes, riesgos y conductas inadecuadas que puedan surgir, tanto por
parte del personal, como de clientes y proveedores.
Al implementar la práctica sugeridas en el Informe C.O.S.O., las
organizaciones consiguen controlar más eficiente, eficaz y
transparentemente su operatoria. Una de las grandes ventajas de C.O.S.O.
reside en que al para metrizar y formalizar las técnicas de medición, el
control resulta simple y efectivo. Otra ventaja importante es su dinamismo
para ser revisado y actualizado según los cambios que va experimentando
la organización.
En síntesis, las prácticas C.O.S.O. son una herramienta altamente
recomendable en materia de control interno para grandes
organizaciones.