INTRODUCCION

Debido a la globalización de los mercados y a las nuevas estrategias competitivas y de

expansión, las empresas se vieron en la necesidad de cambiar sus estructuras
organizacionales, procesos, productos, consumidores e inversiones, hechos que
ocasionaron riesgos inherentes normales y otros nuevos que se han ido considerando
como parte del desarrollo y actualización de las empresas a los nuevos tiempos, tales
como: los riesgos generados en la integridad de sus activos, el cumplimiento de leyes y
regulaciones, los sistemas de información, la administración financiera, el talento
humano y las operaciones. Por ello, algunas empresas entendieron que la
administración de riesgos no es solamente el cumplimiento de los principios contables
y legales, la diversidad de riesgos que aparecen todos los días requería que las
empresas tuvieran un seguimiento más estricto en el manejo de los riesgos, viéndose
en la necesidad de protegerse de irregularidades y fraudes con sistemas de control
interno adecuados a la metodología COSO II ERM, con el propósito de efectuar una
adecuada administración de riesgos que permitiera identificar, evaluar y responder
adecuadamente a los riesgos presentados, de modo que se estuviese preparado para
enfrentar situaciones que limiten el logro de los objetivos del negocio.

El “Committee of Sponsoring Organizations” (COSO) es una organización voluntaria del

sector privado cuya misión es mejorar la calidad de la información financiera mediante
la ética en los negocios, los controles internos efectivos y el gobierno corporativo

El COSO es un sistema que permite implementar el control interno en cualquier tipo de

entidad u organización. Sus siglas se refieren al Committee of Sponsoring Organizations
of The Treadway Commission, quienes evaluaron y llegaron a la conclusión que la
ausencia de orden en los procesos de una entidad, representa una diversidad de
riesgos, por lo tanto, es necesario evaluarlos y darles una respuesta inmediata para
evitar los posibles fraudes o errores que pudieren surgir.
 COSO “COMMITTEE OF SPONSORING ORGANIZATIONS”

Corresponde a las siglas en inglés del comité de Organizadores y Patrocinadores de la

Comisión Treadway, organismos que en conjunto emitieron el informe con
recomendaciones referentes al Control Interno que lleva su nombre.

Organización voluntaria del sector privado, establecida en los EEUU, dedicada a

proporcionar orientación a la gestión ejecutiva y las entidades de gobierno sobre los
aspectos fundamentales de organización de este, la ética empresarial, control interno,
gestión del riesgo empresarial, el fraude, y la presentación de informes financieros.
COSO ha establecido un modelo común de control interno contra el cual las empresas
y organizaciones pueden evaluar sus sistemas de control.

El COSO es un sistema que permite implementar el control interno en cualquier tipo de

entidad u organización. Sus siglas se refieren al Committee of Sponsoring Organizations
of The Treadway Commission, quienes evaluaron y llegaron a la conclusión que la
ausencia de orden en los procesos de una entidad, representa una diversidad de
riesgos, por lo tanto, es necesario evaluarlos y darles una respuesta inmediata para
evitar los posibles fraudes o errores que pudieren surgir.

Origen: Estados Unidos, 1985, se forma una comisión patrocinada diversas

instituciones, con el objetivo de identificar las causas de la presentación de información
financiera en forma fraudulenta o falsificada.

En 1987 emite un informe que contenía una serie de recomendaciones en relación al

control interno de cualquier empresa u organización.

La comisión Treadway, debatió durante más de cinco años y finalmente en 1992, se

emite el informe COSO, el cual tuvo gran aceptación y difusión en gran parte debido a
la diversidad y autoridad que posee el grupo que se hizo cargo de la elaboración del
Informe

I. MODELOS DE CONTROL INTERNO

Como respuesta a los cambios constantes que atraviesan las empresas

motivados por factores internos como externos, se desarrollaron métodos que
permiten tener una visión global y estratégica de las organizaciones y de su
entorno. Estos esfuerzos generaron diversos enfoques de control que
impulsaron una nueva cultura administrativa en todo tipo de organizaciones y
 sirvió de plataforma para diversas definiciones y modelos de control a nivel
internacional tales como: Cobit, Candbury, COCO, COSO I y COSO II, siendo
este último lanzado el 29 de septiembre de 2004 como marco de control
denominado COSO II, constituyéndose como un marco enfocado a la gestión de
los riesgos mediante técnicas como la administración de un portafolio de riesgos.
Diversas iniciativas han tratado de estandarizar los conceptos, siendo una de las
más importantes el Informe COSO5 (Committee of Sponsoring Organizations of
the Treadway) el que hoy en día es considerado como un punto de referencia
obligado cuando se trata materias de Control Interno, tanto en la práctica de las
empresas, el gobierno, así como en los centros de estudios e investigación.
La tabla que sigue muestra los principales modelos de Control Interno que
existen en la actualidad:

II. COSO EN LA ORGANIZACIÓN

  Gobiernos Corporativos:

Es el conjunto de relaciones, de mejores prácticas, que debe establecer

una empresa entre su Junta de Accionistas , su Directorio y su
Administración Superior para acrecentar el valor para sus accionistas y
responder a los objetivos de todos sus stakeholder.

III. COSO Y AUDITORIA INTERNA.

La auditoría interna se considerará entonces como una parte del sistema

de control.
Informe COSO es una herramienta utilizada por la Auditoria interna para
realizar el control interno de la empresa.
La responsabilidad de los Auditores Internos en este proceso es la de
revisar el Control implementado.

IV. ¿QUÉ SE PUEDE OBTENER A TRAVÉS DE COSO?

Proporciona un marco de referencia aplicable a cualquier organización. Para

COSO, este proceso debe estar integrado con el negocio, de tal manera que
ayude a conseguir los resultados esperados en materia de rentabilidad y
rendimiento.

Trasmitir el concepto de que el esfuerzo involucra a toda la organización: Desde

la Alta Dirección hasta el último empleado.
 V. VENTAJAS DE COSO

Permite a la dirección de la empresa poseer una visión global del riesgo y

accionar los planes para su correcta gestión.
Posibilita la priorización de los objetivos, riesgos clave del negocio, y de
los controles implantados, lo que permite su adecuada gestión. toma de
decisiones más segura, facilitando la asignación del capital.
Alinea los objetivos del grupo con los objetivos de las diferentes
unidades de negocio, así como los riesgos asumidos y los controles
puestos en acción.
Permite dar soporte a las actividades de planificación estratégica y
control interno.
Permite cumplir con los nuevos marcos regulatorios y demanda de nuevas
prácticas de gobierno corporativo.
Fomenta que la gestión de riesgos pase a formar parte de la cultura del
grupo.

DESARROLLO DE COSO II
1. CONTROL INTERNO COSO II

2.1 DEFINCION

La gestión o administración de riesgo empresarial ERM es un proceso

estructurado, consistente y continuo a través de toda la organización para
identificar, evaluar, medir y reportar amenazas y oportunidades que afectan
el poder alcanzar el logro de sus objetivos, cuya definición formulada por el
COSO II es:
“Es un proceso, efectuado por la Junta Directiva o El Consejo de
Administración, la Alta Gerencia u otro personal de un ente económico,
mediante la determinación de una estrategia diseñada para identificar los
eventos potenciales que la pueden afectar y para administrar los riesgos que
se encuentran dentro de la cantidad de riesgo que un ente económico esté
dispuesto a aceptar en la búsqueda de valor, para así proveer seguridad
razonable en relación con el logro de sus objetivos.
Enterprise Risk Management “La administración de riesgos corporativos es
un proceso efectuado por el directorio, administración y las personas de la
organización y administrar los riesgos dentro de su apetito, a objeto de
proveer una seguridad razonable respecto del logro de los objetivos de la
organización.”

Es un proceso continuo realizado por el personal de todos los niveles de la

organización y no únicamente, por un departamento de riesgos o área similar
no es la mera conjunción de políticas, encuestas y formularios, sino que
involucra gente de los distintos niveles de la organización y está diseñado
para identificar eventos potenciales que puedan afectar a la organización,
gestionar sus riesgos dentro del riesgo aceptado y proporcionar una
seguridad razonable sobre la consecución de objetivos.

El COSO II, incluye una guía actualizada de herramientas para ayudar a las
empresas en la administración de sus riesgos, ampliando de 5 a 8 los
componentes. Con ello, se entrega una respuesta a las necesidades que
viven las empresas en la actualidad, las cuales operan en ambientes donde
factores como la globalización, la tecnología, reestructuraciones,
regulaciones, mercados cambiantes y competencias, entre otros, crean la
incertidumbre.
Asimismo, el COSO ERM es un facilitador del proceso de la gestión de
riesgos, este permite a los administradores de las empresas operar más
eficazmente en un ámbito pleno de riesgo, aumentando la capacidad para:

 Alinear el nivel de riesgo aceptado con la estrategia.

 Unir crecimiento, riesgo y rendimiento.
 Mejorar las decisiones de respuesta al riesgo.
 Minimizar sorpresas y pérdidas operativas.
  Identificar y administrar riesgos a nivel de la entidad.
 Racionalizar el uso de recursos.

El marco para la gestión integrada de riesgos COSO ERM, busca ayudar

en la creación de valor para los accionistas a través de una estructura
adecuada e interrelacionada enfocada en gestionar los riesgos de la
organización de forma integral. El valor se maximiza en la medida en que
se cuente con objetivos y estrategias establecidas para lograr un
adecuado balance entre crecimiento, metas, rentabilidad, riesgos, y el
uso efectivo y eficiente de los recursos de la organización. Esta
estructura, fluye a través de los distintos niveles de la organización, con
roles y responsabilidades establecidos enfocados en la gestión de
riesgos.

Lo que se busca es contar con un único marco o metodología estándar

de gestión de riesgos para ayudar a la gerencia a lograr el desempeño y
rentabilidad deseados previniendo la pérdida innecesaria de recursos, o
en su defecto, mantener las pérdidas en los niveles de apetito y tolerancia
al riesgo.

Hacia fines de Septiembre de 2004, como respuesta a una serie de

escándalos, e irregularidades que provocaron pérdidas importante a
inversionistas, empleados y otros grupos de interés.

Nuevamente el Committee of Sponsoring Organizations of the Treadway

Commission, publicó el Enterprise Risk Management – Integrated
Framework y sus aplicaciones técnicas asociadas.

Amplía el concepto de control interno, proporcionando un foco más

robusto y extenso sobre la identificación, evaluación y gestión integral de
riesgo.

En septiembre de 2004 se publica el estudio ERM ( Enterprice Risk

Management) como una ampliación de Coso 1, de acuerdo a las
conclusiones de los servicios de Pricewaterhouse a la comision.

Enterprise Risk Management - Integrated Framework incluye el control

interno, por lo que en ningún caso reemplaza a Internal Control -
Integrated Framework.

2.2 OBJETIVOS DEL COSO II

 Son indicadores importantes que sirven de base para el desarrollo de la
estructura y procedimientos de control interno en cada área de
funcionamientos de las empresas
El ERM de COSO describe un Marco Basado en Principios, a continuación
lo más sobresalientes:
 La definición de administración de riesgos corporativos
 Los principios críticos y componentes de un procesos de
administración de riesgos corporativos efectivo
 Pautas para las organizaciones sobre cómo mejorar su
administración de riesgos
 Criterios para determinar si la administración de riesgos es efectiva,
y si no lo es que se necesita para que los sea.

Este marco integra la mayoría de perspectivas posibles y proporcionan

un punto de partida para la evaluación y mejor de la administración de
riesgos corporativos de cada entidad y para futuras iniciativas de las
entidades reguladoras y para la educación.

El modelo COSO II-ERM es una herramienta idónea para asegurar el

control interna que reduzca sustancialmente el fraude corporativo y
asegure una buena gestión .

2.3 EL ESTÁNDAR COSO II – ERM, DELINEA LOS PRINCIPIOS DE

ADMINISTRACIÓN DE RIESGO

El marco conceptual proporciona:

Una definición de Enterprise Risk Management

Los principios y componentes críticos de un efectivo proceso de
Enterprise risk management
Dirección para que las organizaciones lo utilicen en la determinación de
cómo mejorar su administración de riesgo
Criterio para determinar si su administración de riesgo es efectiva, y si
no, que necesita.

También proporciona aplicaciones técnicas:

 Ilustraciones de como los principios críticos pueden ser observados
en una organización.
Una perspectiva de un proceso de implementación.
Ilustraciones que consideran una variedad de organizaciones, en
cuanto a tamaño, Estrategia, Industria y Complejidad.

En último lugar es necesario nombrar los beneficios que aporta la aplicación de

este modelo, cabe destacar:

Ayuda a las exigencias normativas en la gestión y control de riesgos.

Permite una respuesta más rápida y mejor a los cambios del entorno,
a los mercados y a las partes interesadas.
Permite obtener un conocimiento íntegro de los riesgos de la
organización.
Mejora la reputación de la organización.
Aumenta la probabilidad de éxito en la implantación de la estrategia.
Proporciona un notable aumento de la credibilidad y confianza entre
los mercados y grupos de interés.
Hace de la toma de decisiones un proceso más seguro.
Asigna mejor y más eficientemente los recursos para la gestión de
riesgos y oportunidades.
Ofrece una gestión eficaz del control sobre los riesgos.
Identificación proactiva y aprovechamiento de oportunidades.
Permite prever mejor los impactos de los riesgos que afectan a una
organización
 o EVOLUCION DEL METODO

COSO II “ERM” toma muchos aspectos importantes que el coso I no considera,

como por ejemplo:

 El establecimiento de objetivos

 Identificación de riesgo

 Respuesta a los riesgos

Se puede decir que estos componentes son claves para definir las metas de la
empresa.

Si los objetivos son claros se puede decidir que riegos tomar para hacer realidad
las metas de la organización.

Amplía el concepto de control interno, proporcionando un foco más robusto y

extenso sobre la identificación, evaluación y gestión integral de riesgo.

De esta manera se puede hacer una clara identificación, evaluación, mitigación

y respuesta para los riesgos.
2.1 ELACIÓN ENTRE COSO I Y COSO II
2.4 ESTRUCTURA DEL COSO II

COSO ERM incluye cuatro categorías de objetivos y ocho componentes,

indicando que el control interno es parte de la gestión integral de riesgos. Los
8 componentes del coso II están interrelacionados entre sí. Estos procesos
deben ser efectuados por el director, la gerencia y los demás miembros del
personal de la empresa a lo largo de su organización. A continuación se
muestra el esquema general de la relación entre los objetivos y los
componentes en una matriz tridimensional, llamado “cubo COSO ERM”
CATEGORIAS:
Las cuatro categorías de objetivos son los siguientes:

1. Estratégicos
Metas de alto nivel, alineados con la visión y misión de la organización.
Reflejan la elección de la alta dirección en cuanto a cómo la entidad
procurará crear valor para sus grupos de interés.
2. Operativos
Relacionados con la eficacia y eficiencia de las operaciones de la
entidad, incluyendo los objetivos de rendimiento y rentabilidad y de
salvaguarda de recursos frente a pérdidas.
3. Reporte
Relacionados con la confiabilidad de la información reportada (sea
interna o externa, de carácter financiero y no financiero). •
 4. Cumplimiento
Relacionados al cumplimiento de las leyes y regulaciones aplicables.

COMPONENTES:
Los ocho componentes se describen a continuación:

a) Ambiente interno

El ambiente interno abarca el entorno de una organización y establece la

base de cómo el personal de la entidad percibe y trata los riesgos,
incluyendo la filosofía de administración de riesgo y el riesgo aceptado,
la integridad, valores éticos y el ambiente en el cual ellos operan.

Influye en el establecimiento de estrategias y objetivos, estructuración de

actividades, en la información como en los sistemas de comunicación y
en la supervisión de los procesos. Influenciado por factores como la
historia de la organización, su cultura y subculturas, su estilo de dirección,
competencia y desarrollo del personal, asignación de autoridad y
responsabilidad, sus valores éticos.

Factores del ambiente interno

 Filosofía de Administración de Riesgos.: Esta se refiere a la

capacidad de entendimiento que poseen los integrantes de una
entidad, si su dirección y empleados se les facilita o poseen
habilidades para reconocer los riesgos en forma eficaz.

 Cantidad de riesgo: Es la cantidad de riesgo que la organización

está dispuesta a aceptar con el fin de alcanzar sus objetivos.
 Cultura de riesgo.: Es un conjunto de actividades, valores y
prácticas que caracterizan como una entidad considera un
riesgo en sus actividades diarias
 Reconociendo la realidad del riesgo.: Aquí la administración
debe tener presente que muchas variables en los ambientes
internos y externos pueden camíbar rápidamente y volver a una
entidad completamente vulnerable en sus aspectos más sólidas
y afectarla gravemente
 Consejo de administración y comité de auditoría: El consejo y
el comité debe estar preparados para cuestionar y supervisar las
 actividades de la gerencia, presentar opiniones alternativas y
tener disposición para actuar cuando se originan situaciones no
deseadas.
 Integridad y valores éticos.: Los objetivos y estrategias de una
organización y la forma como ellos son implementados y
alcanzados están basados en preferencias, valores de juicio y
estilos de gestión todo esto define la integridad, el compromiso
ético y las normas de comportamiento para la administración.
 Compromiso de competencia del personal.: La competencia
refleja el conocimiento y las habilidades necesarias para realizar
las tareas asignadas. La Dirección determina el grado de
perfección con la cual debe desarrollarse cada tarea, teniendo en
cuenta los objetivos de la organización.
 Estructura orgánica: Define el marco en el cual se planifica,
ejecuta, manda, comunican y supervisan las actividades de una
entidad.
 Asignación de autoridad y responsabilidad: Se refiere a la
medida en que se autoriza a los equipos o a las personas en
forma individual a utilizar iniciativas al memento de enfrentar
problemas.
 Políticas y Prácticas de Recursos Humanos: Estas prácticas
tienen que ver con contratación, orientación, entrenamiento,
evaluación, asesoramiento, promoción, remuneraciones, como
también el indicarla a los empleados los niveles de integridad,
ética y competencia que de ellos se espera.

b) Establecimiento de objetivos

El establecimiento de los objetivos es una condición previa al desarrollo

propiamente tal las actividades de la entidad, ya que deben haber
objetivos antes que la Dirección pueda identificar, evaluar y manejar los
riesgos para su obtención.

Es así, como enfocados en los objetivos estratégicos y en la estrategia

misma, una entidad se posiciona para desarrollar los objetivos
operacionales.
 Que la empresa debe tener una meta clara que se alineen y sustenten
con su visión y misión, pero siempre teniendo en cuenta que cada
decisión con lleva un riesgo que debe ser previsto por la empresa. Es
importante para que la empresa prevenga los riesgos, tenga una
identificación de los eventos, una evaluación del riesgo y una clara
respuesta a los riesgos en la empresa.

Los objetivos pueden ser:

 Objetivos estratégicos
Estos tienen directa relación con la planificación de largo plazo, y
son el fundamento de las restantes categorías de objetivos.
 Objetivos operacionales
Estos se relacionan directamente con la eficacia y eficiencia de
las operaciones de la entidad, incluye el desarrollo y alcance de
los objetivos, como la salvaguarda de los recursos contra las
pérdidas.
 Objetivos de información financiera:
Estos se refieren a la confiabilidad y razonabilidad de la
información financiera o no financiera, acorde con principios
contables y de auditoría, la cual (información) también puede ser
interna o externa.
 Objetivos de cumplimiento:
Estos objetivos establecen la adhesión de la entidad en cuanto al
cumplimiento de leyes, normas y regulaciones que pueden afectar
positiva o negativamente la reputación organizacional.

Apetito por el riesgo: El monto total de riesgo que una compañía u otra
entidad desea aceptar para la obtención de su misión / visión o
Tolerancia al riesgo: La variación relativa aceptable para el logro de un
objetivo

c) Identificación de eventos

Que se debe identificar los eventos que afectan los objetivos de la

organización aunque estos sean positivos, negativos o ambos, para que
la empresa los pueda enfrentar y proveer de la mejor forma posible.
 La gerencia define rangos de ocurrencia de eventos potenciales de origen
interno o externo y si el impacto va a ser positivo o negativo.

Los eventos son sucesos que ocurren por casualidad o causalidad, que
pueden originarse de fuentes internas o externas de la empresa, y que
pueden afectar el desarrollo de las estrategias o el logro de los objetivos.

La metodología de la identificación de eventos puede comprender una

variada combinación de técnicas, pero la más utilizadas son aquellas que
consideran el pasado histórico y los potenciales eventos futuros, como
también los eventos potenciales comunes a la industria en particular

 Eventos externos

o La Economía.
o El Comercio.
o Catástrofes.
o Medio Ambiente.
o Políticas de gobierno.
o Cambios de ámbitos sociales.
o Tecnología.

 Eventos internos

o La Infraestructura.
o El Personal.
o Procesos.
o Tecnología.

d) Evaluación de riesgos

Los riesgos se analizan considerando su probabilidad e impacto como

base para determinar cómo deben ser administrados. Los riesgos son
evaluados sobre una base inherente y residual bajo las perspectivas de
probabilidad (posibilidad de que ocurra un evento) e impacto (su efecto
debido a su ocurrencia)

En la evaluación de riesgos se mezclan los potenciales eventos futuros

relacionados a la entidad y sus objetivos, lo que considera en el análisis
 del tamaño de la estructura, la complejidad de los procesos, funciones y
el grado de regulación de sus actividades, entre otros.

Este componente de la administración de riesgos, permite a una entidad

considerar a los factores internos y externos que puedan ocurrir, y hasta
qué punto los eventos afectarán el logro de los objetivos de una
organización.

Aunque algunos factores son comunes a industrias de un mismo tipo,

muchos son únicos a una entidad en particular, debido a sus objetivos
establecidos y a sus acciones pasadas.

Evaluación de riesgos desde dos perspectivas:

 Probabilidad: La probabilidad representa la posibilidad que un

evento dado ocurra.

 Impacto: Mientras el impacto representa su efecto.

Metodología de evaluación de riesgos:

 Cualitativas: se utilizan cuando no es factible medir los riesgos o

los datos no son suficientes, son poco creíbles o irreales. Esta
técnica se ve potenciada a través de entrevistas, talleres,
documentación, etc.
 Cuantitativas: traen más precisión y se utilizan en actividades
más complejas y sofisticadas, complementando a las técnicas
cualitativas. Las técnicas de evaluación cuantitativas
normalmente requieren un grado más alto de esfuerzo.

e) Respuesta al riesgo

Una vez evaluado el riesgo la gerencia identifica y evalúa posibles

repuestas al riesgo en relación a las necesidades de la empresa.

Las respuestas al riesgo pueden ser:

Evitarlo: Se toman acciones de discontinuar las actividades que

generan el riesgo. Las acciones son dirigidas a eliminar o evitar
 las actividades que originan riesgo, como eliminar una línea de
productos o no operar con un sector de clientes.

Reducirlo: Se reduce el impacto o la probabilidad de ocurrencia

o ambas; compartiendo una parte del riesgo con otros, como
sucede con el caso de los seguros.
Compartirlo: Se reduce el impacto o la probabilidad de
ocurrencia al transferir o compartir una porción del riesgo.

Aceptarlo: No se toman acciones que afecten el impacto y

probabilidad de ocurrencia del riesgo. . Para muchas entidades,
las opciones de respuesta apropiadas para algunos tipos de
riesgos son obvias y bien aceptadas, en cambio para otras las
opciones disponibles de respuesta no están muy claras en el
breve plazo y se requiere actividades de identificación más
extensas, como análisis y estudio de mercado. Por lo tanto, la
Administración de riesgos de una organización debe considerar
las respuestas potenciales dentro de una categoría de riesgo
(criticidad), lo que entrega una profundidad suficiente para la
selección de la respuesta y cambios de los niveles. desarrollando
una serie de acciones para alinearlos con:

o el riesgo aceptado y,
o las tolerancias al riesgo de la entidad.

f) Actividades de control

Son las políticas y los procedimientos que ayudan a asegurar que se

lleven a cabo las instrucciones de la dirección de la empresa. Ayudan a
asegurar que se tomen las medidas necesarias para controlar los riesgos
relacionados con la consecución de los objetivos de la empresa.

Estas actividades son aplicadas con respecto a cada uno de las

categorías de objetivos: estratégicos, operativos, información y
cumplimiento, y que en su conjunto son partes del proceso que permiten
a una organización alcanzar sus metas comerciales. Existen a través de
toda la organización, a todos los niveles y en todas las funciones.
 Ocurren a lo largo de toda la organización, a todo nivel y función y logran
cumplir con los objetivos de la entidad en todas sus categorías. Incluye lo
siguiente:

 Integración con la respuesta al riesgo

 Tipos de actividades de control:
Preventivas vs. Detectivas
Manuales vs. Automatizadas
 Controles en sistemas de información:
Controles generales
Controles específicos

g) Información y comunicación

La información es necesaria en todos los niveles de la organización para

hacer frente a los riesgos identificando, evaluando y dando respuesta a
los riesgos. La comunicación se debe realizar en sentido amplio y fluir por
toda la organización en todos los sentidos. Debe existir una buena
comunicación con los clientes, proveedores, reguladores y accionistas.

La información pertinente es identificada, capturada y comunicada

oportunamente, permitiendo que el personal lleve a cabo sus
responsabilidades. Comprende lo siguiente:

 Información: fuentes internas y externas, cuantitativa y cualitativa,

financiera y no financiera
 Sistemas estratégicos e integrados
 Nivel de detalle y oportunidad de la información
 Calidad de la información
 Comunicación (interna y externa, vertical y horizontal)

h) Monitoreo

Sirve para monitorear que el proceso de administración de los riesgos

sea efectivo a lo largo del tiempo y que todos los componentes del marco
ERM funcionen adecuadamente esto se consigue mediante actividades
de supervisión continuada, evaluaciones periódicas o una combinación
de ambas cosas.
 Utilización de modelos de evaluación de riesgos, para estimar el impacto
potencial de los movimientos del mercado en la posición financiera de
una organización.

La comunicación de los agentes externos debe ser confirmada con la

información internamente generada ó señalar problemas.

Las regulaciones también pueden comunicar a la entidad disposiciones u

otras materias que afecten las funciones o los procesos de administración
de riesgos.

Los auditores internos y externos permanentemente proponen

recomendaciones para fortalecer la Administración de riesgos.

El personal debe ser consultado periódicamente sobre si conocen,

cumplen los códigos de conducta de su entidad

2.5 ROLES Y RESPONSABILIDADES:

 Todas las personas en una entidad tienen alguna responsabilidad en

la administración del riesgo.
 El CEO es responsable en general y debe asumir su función.
 El resto de los gerentes o altos ejecutivos deben soportar la filosofía
de riesgos, promover el cumplimiento dentro del apetito al riesgo y
administrar el efectivo funcionamiento de los componentes de la
administración del riesgo dentro de su esfera de responsabilidad
consistentemente con la cultura de riesgos.
 El personal es responsable por ejecutar sus actividades de acuerdo
con las directivas y protocolos previstos de riesgo.
 La Junta Directiva provee un significativo seguimiento de la
administración del riesgo.
 Externos proveen información para la administración del riesgo.
 Las partes externas no son responsables por la efectividad de la
administración del riesgo.
2.6 BENEFICIOS DE ERM

Alinear el apetito al riesgo con la estrategia.

Relacionar crecimiento, riesgo y retorno.
Mejorar las decisiones de respuesta al riesgo.
 Reducir sorpresas y pérdidas operacionales.
Identificar y gestionar la diversidad de riesgos por compañía y grupo
agregado.
Aprovechar las oportunidades.
Mejorar la asignación de capital.

2.7 ANÁLISIS

 COSO II “ERM” toma muchos aspectos importantes que el coso I no

considera, como por ejemplo

 El establecimiento de objetivos

 Identificación de riesgo

 Respuesta a los riesgos

 Se puede decir que estos componentes son claves para definir las metas
de la empresa.

 Si los objetivos son claros se puede decidir que riegos tomar para hacer
realidad las metas de la organización.

 De esta manera se puede hacer una clara identificación, evaluación,

mitigación y respuesta para los riesgos.

2.8 CASO PRACTICO –DISTRIBUIDORA Y COMERCIALIZADORA DE

PINTURA FER & MILA S.A.C.

¿Qué vamos hacer?

Diseñar los procedimientos, guías y documentos.
¿Cómo lo vamos a hacer?
Trabajar en cada paso para implementar el modelo COSO II ERM, elaborar
documentos o formatos de procedimientos de actividad a desarrollar.

 EVALUAR EL AMBIENTE INTERNO

Se puede realizar por medio de

 Lista de chequeo: se diseña una serie de actividades de revisión
que realiza el auditor.
Cuestionarios: Preguntas a los empleados sobre la competencia
profesional, integridad, valores éticos, responsabilidades, filosofía de
la administración.

5.

 IDENTIFICAR LOS OBJETIVOS POR DEPARTAMENTO

Todos deben tener el pleno conocimiento de los objetivos que la
empresa persigue ¿Cómo se puede lograr? Realizar informes,
diapositivas, folletos y capacitar al personal.

 IDENTIFICACION DE LOS RIESGOS POR OBJETIVOS

Los empleados de la empresa deben identificar los eventos hechos o
sucesos que afecten la obtención de las metas establecidas en los
objetivos ¿cómo se hace? Por medio de cuestionarios, reuniones,
análisis, etc.
 EVALUACION DE LOS RIESGOS

Se pueden evaluar por medio de una matriz de riesgos de acuerdo a

su grado de importancia.

 RESPUESTA A LOS RIESGOS

 ACTIVIDADES DE CONTROL

 INFORMACION Y COMUNICACIÓN
La divulgación en todo momento al personal de la institución de las
políticas y estrategias de mercado para el logro de los objetivos
¿Cómo hacerlo?
Por medio de capacitaciones, reuniones, presentaciones con
diapositivas, manuales. Ejemplo:

Política de objetivos de cumplimiento:

  Cumplir fielmente en forma presencial el tiempo estipulado en
sus contratos de trabajo.
 Todo personal que se convoque debe asistir a las reuniones
de trabajo.

 MONITOREO
Se puede realizar un plan de monitoreo por medio de una matriz o
cronograma de actividades que lleven a la realización del trabajo.
CONCLUSIONES

 La aplicación de una adecuada metodología como el COSO ERM en la

evaluación del control interno nos permitirá identificar y evaluar los riesgos en
los diferentes procesos y áreas de una entidad, y proporcionar una evaluación
sobre el desempeño de la misma, orientado a mejorar la eficacia y eficiencia en
el uso de los recursos y la consecución de los objetivos institucionales.

 ERM, es un proceso formal diseñado para identificar, evaluar, responder,

comunicar y monitorear los riesgos a lo largo de toda la organización.

 La aplicación de este método nos ayuda en la coordinación entre las funciones

de riesgo para aumentar la cobertura de riesgos y disminuir los costos; nos
permite un rápido entendimiento de los riesgos de las iniciativas de negocios y
el alineamiento de las estrategias, objetivos y procesos para la toma de
decisiones.

 Es una herramienta de gestión de riesgo a alto nivel; se enfoca en los riesgos

de alta probabilidad de impactar en el valor de los accionistas.

 Tal como apreciamos, la aplicación de una adecuada metodología como el

COSO ERM en la evaluación del control interno nos permitió identificar y
evaluar los riesgos en los diferentes procesos y áreas de una entidad, y
proporcionar una evaluación sobre el desempeño de la misma, orientado a
mejorar la eficacia y eficiencia en el uso de los recursos y la consecución de los
objetivos institucionales.
WEB GRAFÍA

 http://coso2.blogspot.pe/
 http://ayhconsultores.com/img/COSO.pdf
 http://auditor2006.comunidadcoomeva.com/blog/uploads/1-
PresentacinRafaelRuano-PriceWaterHouseCoopers-COSOII-
ERMyelRoldelAuditorInterno.pdf
 http://www.econ.unicen.edu.ar/attachments/2009_MaterialERM.pdf
 http://www.theiia.org/chapters/pubdocs/263/ERM.pdf
 https://www.isotools.org/2015/01/12/iso-90012015-coso-como-
metodologia-gestion-riesgo/
 http://es.slideshare.net/scry01/coso-y-coso-erm
 http://www.ccee.edu.uy/ensenian/catcoint/material/2da%20clase%20riesg
os-ERM-08.pdf
 https://www.auditool.org/blog/control-interno/290-el-informe-coso-i-y-ii
 http://www.taringa.net/post/economia-negocios/5884893/Informe-COSO---
Control-Interno-en-Organizaciones.html
 http://www. Armando+Villacorta_Peru_Implementación+de+COSO-
ERM.pdf
 http:/VELEZMORO_LATORRE_OSCAR_MODELO_GESTION.pdf
 http://auditor2006.comunidadcoomeva.com/blog/uploads/1-
PresentacinRafaelRuano-PriceWaterHouseCoopers-COSOII-
ERMyelRoldelAuditorInterno.pdf
 http://dspace.ups.edu.ec/bitstream/123456789/7763/1/UPS-CT004619.pdf
 https://prezi.com/m1piur9vambq/grupo-8-coso-ii-erm-salon211/