Professional Documents
Culture Documents
COSO (ERM)
COSO 2013
ISO 31000
Ambiente de
control
Ambiente interno
Establecimiento de
objetivos
Ambiente de
control
Establecer el
contexto
Evaluacin de
riesgo
Evaluacin de
riesgo
Identificacin de
riesgos
Evaluacin de riesgos
Respuesta a los riesgos
Identificaacin
del riesgo
Analisis del
riesgo
Evaluacin del
riesgo
Tratamiento del
riesgo
Actividad de
control
Actividad de control
Control de
activos
Informacin y
comunicacin
Informacin y
comunicacin
Informacin y
comunicacin
Comunicacin y
consulta
Monitoreo de
actividades
Monitoreo de
actividades
Monitoreo de
actividades
Monitoreo y
revisin
COSO 2013
ambientedecontrol:
elentornodecontrolbrindainformacingeneralsobrelaconcienciadelaorganizacinconrespectoaloscontrolesysobresusintencionesdeevitar
riesgos.
cosoidentificindicadoresclavequesirvencomoreferenciaparadeterminarlaculturade"riesgo"corporativaycmoinfluyesobrelaarquitecturadecontrol.
sontentacionesparaquelosempleadossecomprometanenactoscontrariosalasprcticasaceptables,lossiguientes:
controlesinexistentesoineficaces:escasasegregacindefuncionesenreassensibles,queofrecententacionesderobaruocultarunpobredesempeo.
altadesentralizacinquedejaalaaltadireccinenlaignoranciadelasaccionestomadasanivelesjerrquicosinferiores,quereducelasposibilidadesde
descubrirlas.
unafuncionesdeauditorainternadbilquenotienelahabilidaddedetectaryreportaractosincorrectos.
unconsejoodirectorioineficazquenoproveeunavigilanciadelaaltadireccin.penalizacionesdecomportamientoincorrecto,insignificantesono
publicitadasypierdensuvalordedisuasin.
principios:
1.
2.
3.
4.
5.
laorganizacindebedemostrarsucompromisoconlaintegridadlosvaloresticos.
elconsejodeadministracindebedemostrarindependenciaenlagestinyejercerlasupervisindeldesarrolloyejecucindelsci.
laaltadireccindebeestablecer,conlasupervisindelconsejodeadministracin:laestructura,lneasdereporting,autoridadyresponsabilidaden
ellogrodesusobjetivos.
enarmonaconlosobjetivos,laorganizacindebedemostrarsucompromisoparaatraer,desarrollar,yretenerpersonascompetentes.
enlaconsecucindelosobjetivos,laorganizacindebedisponerdepersonasresponsablesparaatendersusresponsabilidadesdeci.
evaluacinderiesgos:
unriesgodenegocioesunhecho,unaaccinounaomisinquepodraafectaradversamentelacapacidaddeunaorganizacindelograrsusobjetivosde
negociosyejecutarsusestrategiasconxito.enalgunascircunstanciaspodraresultarserunaoportunidad.
riesgo="qupuedefallar?"
elriesgotiene2componentes:probabilidadeimpacto
elriesgonodesaparecepormsqueexistauncontrol.elcontrolsloreduceelimpactooprobabilidaddeocurrenciadelriesgo.
laausenciadeuncontrolnoesunriesgo.
principios:
laorganizacinhadeespecificarlosobjetivosconsuficienteclaridadparapermitirlaidentificacinyevaluacindelosriesgosrelacionados.7.la
organizacindebeidentificaryevaluarsusriesgos.8.laorganizacingestionarelriesgodefraude.9.laorganizacindebeidentificaryevaluarloscambios
importantesquepodranimpactarenelsci
losriesgospuedenprovenirdediversasfuentesyafectarlosobjetivosdenegociosdedistintosnivelesdelaorganizacin.origendelaamenazaefectoenla
organizacinriesgosexternosriesgosinternosriesgosinherenteseficienciayeficaciadelasoperacionesintegridaddelainformacinfinancieracumplimientode
leyesyreglamentacionesriesgosdelaentidadriesgosdeprocesosriesgosdeactividades.
actividaddecontrol:
sedefinecontrolcomotodamedidatomadaparamitigarogestionarelriesgo,yparaquelaprobabilidaddequeunnegocio/procesologresusmetasy
objetivosseamayor.loscontrolessonactividadesincorporadasalprocesoqueayudanaprevenirodetectarlaocurrenciadeuneventoderiesgo,afindecumplir
losobjetivosgeneralesdelnegocioydelproceso:
tiposdecontrolsegnlaoportunidadenqueseejecutaelcontrol.preventivo:actividadqueayudaaevitarqueocurraunriesgodetectivo:actividadquepermite
identificarerroresluegodeocurridoelriesgo.segnelgradodeautomatizacinnaturalactividadquedependedelahabilidaddelapersonaparapreveniro
detectarloserroresocurridos.semiautomtico:actividadquedependedelahabilidaddelapersonaparaprevenirodetectarloserroresocurridosutilizando
informacinprovenientedeunsistema.automtico:actividadqueesrealizadainternamenteporelsistema.
principios:
laorganizacinhadeseleccionarydesarrollaractividadesdecontrolquecontribuyanalamitigacindelosriesgosparaellogrodesus
objetivos.11.laorganizacinseleccionarydesarrollarcontrolesgeneralessobretilaorganizacinimplementasusactividadesdecontrolatravsde
polticasyprocedimientosadecuados.
informacinycomunicacin:
laeficaciadelcontrolinternodependedelacomunicacinoportunadeexpectativasyresultados.lasestrategiasdecomunicacinsonesencialespara
adaptarelentornoanuevascondicionesoactuarfrenteadeficienciascrticas.
revisarsisehandefinidolascaractersticasdelainformacin,ascomolaresponsabilidadsobreella.11.11.21.31.41.5informacinclaveplazosdeentrega
internosniveldeexactitudyprecisinnivelesdedetalleyrigormecanismosderecuperacindedatosrevisarsihayunaintegracindelossistemasde
informacinconlasoperacionesclave.revisarsihayunaculturadeflexibilidadalcambio.revisarsielarchivocentralcuentaconlascondicionesdeseguridad
necesariosparalacustodiadelainformacin.revisarsisehandefinidoeimplementadopolticasdecomunicacininternayexterna,entre:5.1gerencia5.2
compaa5.3personal
principios:
laorganizacinhadegenerarlainformacinrelevantepararespaldarelfuncionamientodelosotroscomponentesdeci.14.laorganizacin
compartirinternamentelainformacin,incluyendolosobjetivosyresponsabilidadesparaelci,necesariapararespaldarelfuncionamientodelosotros
componentesdeci.15.laorganizacincomunicarexternamentelasmateriasqueafectenalfuncionamientodelosotroscomponentesdeci.
monitoreo:
incluyetresaspectos:prevencinymonitoreoseguimientoderesultadoscompromisosdemejoramientolaprevencinymonitoreosedebeefectuar
sobrelosdiferentesdocumentosqueregulenysustenteneldesarrollodelasactividadesdelaorganizacin,seanstosdegestin,operativosodecontrol.ello
conlafinalidaddetenerunaseguridadrazonabledequesevanacumplirconlosobjetivosascomoaquellosrelacionadosconelcontrolinterno.implica:
reportarlasdeficiencias,puesproveeinformacinnecesariaparalamejoracontinuadelosprocesosdelaorganizacin.paraelloserequiereregistrarycomunicar
lasdeficienciasdemaneraoportuna,atravsdereportes,conlafinalidadquesetomenaccionescorrectivas.implementarydarseguimientoalasmedidas
correctivastomadas.sonlasaccionesnecesariasparacorregirlasdesviacionesencontradasenelsistemadecontrolinternoyengestindeoperaciones,al
efectuarselaautoevaluacinylaevaluacinindependiente.
Revisarsisehandefinidoeimplementadoactividadesdeprevencinymonitoreo.
1.1prevencinymonitoreo
1.2monitoreooportunodelcontrolinternorevisarsisehandefinidoeimplementadoactividadesdeseguimientoderesultados.
2.1reportededeficiencias.
2.2implantacinyseguimientodemedidascorrectivas.revisarsihayevidenciadecompromisosdemejora.
3.1autoevaluacin
3.2evaluacionesindependientes
principios:
laorganizacinllevaracaboevaluacionescontinuaseindividuales,conelfindecomprobarsiloscomponentesdelciestnpresentesyestn
funcionando.17.laorganizacinevalaycomunicalasdeficienciasdeci.
COSO(ERM):
Ambienteinterno:
Unafilosofadegestinintegralderiesgo
Nivelderiesgoquelaaltagerenciaasume(Apetitoderiesgo)
Rolsupervisoriodelajuntadirectivaenlagestinintegralderiesgo
Laintegridadylosvaloresticos
Unaestructuradegestinintegralderiesgos:Sistemasdedelegacindeautoridad,rolesyresponsabilidadesylneasdereporte
Estndaresderecursoshumanos:habilidadycompetenciadelosemplead
CulturadeRiesgoyControl
Laculturaderiesgofluyedesdelafilosofayelapetitoderiesgodelaentidad
Unagestinintegralderiesgoesexitosayeficiente,cuandolaorganizacinmantieneunaculturaderiesgopositiva;estoesquetodalaentidad
tengaconcienciadelosriesgosycumplaconlosocho(8)componentesCOSOERM
IntegridadyValoresticos
Visin,misinyobjetivos
ManifiestodelaPresidenciaEjecutivaexhortandoalcumplimientodelCdigo
Declaracindelosvaloresticosdelaorganizacin
Lasresponsabilidadesindividualesyorganizacionales
Lineamientosticosymedidasdisciplinarias
Guaocanalespararesolverlascuestionesticas
Glosariodetrminos
Laefectividaddelagestinintegralderiesgo,nuncasuperarlaintegridadylosvaloresticosdelaspersonasquecrean,administranymonitoreanlas
actividadesdelaentidad
Estructuraorganizacional
Estdiseadadeacuerdoaltamaoynaturalezadelasactividadesdelaentidad
Definereasclavederesponsabilidad
Establecelneasdereporte
Normasderecursoshumanos,habilidadesycompetencias
Establecenlasnormasdeorientacin,adiestramiento,evaluacin,promocin,compensacin,yaccionesderemediacin,manejoesperadode
nivelesdeintegridad,comportamientoticoycompetencia
Envanmensajesdeaccionesdisciplinariasanteviolacionesdecomportamientoesperadoquenopuedensertoleradas
Lacapacidaddelpersonaldelaorganizacinreflejaelconocimientoylashabilidadesnecesitadospararealizarlastareasasignadas
Permitealagerenciaalinearloscostosbeneficios
Establecimientodeobjetivos:
Lagestinintegralderiesgoseaseguraquelagerenciacuenteconunprocesoparadefinirobjetivosqueestnalineadosconlamisinyvisin,conel
apetitoderiesgoynivelesdetolerancia
Losobjetivosseclasificanencuatrocategoras:
Estratgicos
Operacionales
Reporteopresentacinderesultados
Cumplimiento
Identificacinderiesgos:
Seidentificaneventospotencialesquesiocurrenpuedenafectaralaentidad.Baseparaloscomponentes:evaluacinderiesgosyrespuestaalriesgo
Enestecomponenteseidentificanloseventosconimpactonegativo(riesgos)yconimpactopositivo(oportunidades)
Lagerenciaidentificaloseventospotencialesqueafectanlapuestaenprcticadelaestrategiaoellogrodelosobjetivos,pudiendotenerimpactos
positivosonegativos
Inclusoloseventosconbajaposibilidaddeocurrenciaseconsideransielimpactoenunobjetivoesalto
Loseventosseidentificanentodoslosnivelesdelaorganizacin
Evaluacinderiesgos:
Riesgoinherenteyresidual
Probabilidadeimpacto
o Impacto:necesidaddebasededatosdeprdidashistoricas
o Probabilidad:metodos
Tcnicasdeevaluacin
Correlacinentreaconteciminetos
Respuestaalosriesgos:
Evaluacindelasposiblesrespuestas
Seleccinderespuestas
Perspectivadecartera
Actividaddecontrol:
Integracindelarespuesatalriesgo
Tiposdeactividadesdecontrol
Polticasyprocedimientos
Controlesdelossistemasdeinformacin
Controlesespecficosdelaentidad
Informacinycomunicacin:
Informacin
Comunicacin
Monitores:
Actividadespermanentesdesupervivin
Evaluacionesindependientes
Comunicacindedeficiencias
COMPARACINENTRECOSOYCOSOERM
:
ElCOSOERMtomaaspectosqueelCOSOnoconsideracomporejemplo:Ampliaelconceptodecontrolinternoproporcionandounfocomsrobustoy
extensosobrelaidentificacin,evaluacinygestinintegraldelriesgo.
COSOERMagregaunelementoqueeslasrespuestasalosriesgos.Estosignificaqueformuladoslosriesgosprimarios,convieneseparareneventosderiesgosy
determinarloqueseaceptayloquenoseaceptaydeloqueseacepta,qusesiguecomoriesgoensyloquesemitiga.Deloquesemitiga,paracadaevento
deriesgodebehaberunoomscontroles,verificandosuexistenciayfuncionamiento.