COSO

COSO (ERM)

COSO 2013

ISO 31000

Ambiente de
control

Ambiente interno
Establecimiento de
objetivos

Ambiente de
control

Establecer el
contexto

Evaluacin de
riesgo

Evaluacin de
riesgo

Identificacin de
riesgos
Evaluacin de riesgos
Respuesta a los riesgos

Identificaacin
del riesgo
Analisis del
riesgo
Evaluacin del
riesgo
Tratamiento del
riesgo

Actividad de
control

Actividad de control

Control de
activos

Informacin y
comunicacin

Informacin y
comunicacin

Informacin y
comunicacin

Comunicacin y
consulta

Monitoreo de
actividades

Monitoreo de
actividades

Monitoreo de
actividades

Monitoreo y
revisin

COSO 2013
ambientedecontrol:
elentornodecontrolbrindainformacingeneralsobrelaconcienciadelaorganizacinconrespectoaloscontrolesysobresusintencionesdeevitar
riesgos.
cosoidentificindicadoresclavequesirvencomoreferenciaparadeterminarlaculturade"riesgo"corporativaycmoinfluyesobrelaarquitecturadecontrol.
sontentacionesparaquelosempleadossecomprometanenactoscontrariosalasprcticasaceptables,lossiguientes:
controlesinexistentesoineficaces:escasasegregacindefuncionesenreassensibles,queofrecententacionesderobaruocultarunpobredesempeo.
altadesentralizacinquedejaalaaltadireccinenlaignoranciadelasaccionestomadasanivelesjerrquicosinferiores,quereducelasposibilidadesde
descubrirlas.

 unafuncionesdeauditorainternadbilquenotienelahabilidaddedetectaryreportaractosincorrectos.
unconsejoodirectorioineficazquenoproveeunavigilanciadelaaltadireccin.penalizacionesdecomportamientoincorrecto,insignificantesono
publicitadasypierdensuvalordedisuasin.
principios:
1.
2.
3.
4.
5.

laorganizacindebedemostrarsucompromisoconlaintegridadlosvaloresticos.
elconsejodeadministracindebedemostrarindependenciaenlagestinyejercerlasupervisindeldesarrolloyejecucindelsci.
laaltadireccindebeestablecer,conlasupervisindelconsejodeadministracin:laestructura,lneasdereporting,autoridadyresponsabilidaden
ellogrodesusobjetivos.
enarmonaconlosobjetivos,laorganizacindebedemostrarsucompromisoparaatraer,desarrollar,yretenerpersonascompetentes.
enlaconsecucindelosobjetivos,laorganizacindebedisponerdepersonasresponsablesparaatendersusresponsabilidadesdeci.

evaluacinderiesgos:
unriesgodenegocioesunhecho,unaaccinounaomisinquepodraafectaradversamentelacapacidaddeunaorganizacindelograrsusobjetivosde
negociosyejecutarsusestrategiasconxito.enalgunascircunstanciaspodraresultarserunaoportunidad.
riesgo="qupuedefallar?"
elriesgotiene2componentes:probabilidadeimpacto
elriesgonodesaparecepormsqueexistauncontrol.elcontrolsloreduceelimpactooprobabilidaddeocurrenciadelriesgo.
laausenciadeuncontrolnoesunriesgo.
principios:
laorganizacinhadeespecificarlosobjetivosconsuficienteclaridadparapermitirlaidentificacinyevaluacindelosriesgosrelacionados.7.la
organizacindebeidentificaryevaluarsusriesgos.8.laorganizacingestionarelriesgodefraude.9.laorganizacindebeidentificaryevaluarloscambios
importantesquepodranimpactarenelsci
losriesgospuedenprovenirdediversasfuentesyafectarlosobjetivosdenegociosdedistintosnivelesdelaorganizacin.origendelaamenazaefectoenla
organizacinriesgosexternosriesgosinternosriesgosinherenteseficienciayeficaciadelasoperacionesintegridaddelainformacinfinancieracumplimientode
leyesyreglamentacionesriesgosdelaentidadriesgosdeprocesosriesgosdeactividades.
actividaddecontrol:
sedefinecontrolcomotodamedidatomadaparamitigarogestionarelriesgo,yparaquelaprobabilidaddequeunnegocio/procesologresusmetasy
objetivosseamayor.loscontrolessonactividadesincorporadasalprocesoqueayudanaprevenirodetectarlaocurrenciadeuneventoderiesgo,afindecumplir
losobjetivosgeneralesdelnegocioydelproceso:
tiposdecontrolsegnlaoportunidadenqueseejecutaelcontrol.preventivo:actividadqueayudaaevitarqueocurraunriesgodetectivo:actividadquepermite
identificarerroresluegodeocurridoelriesgo.segnelgradodeautomatizacinnaturalactividadquedependedelahabilidaddelapersonaparapreveniro

detectarloserroresocurridos.semiautomtico:actividadquedependedelahabilidaddelapersonaparaprevenirodetectarloserroresocurridosutilizando
informacinprovenientedeunsistema.automtico:actividadqueesrealizadainternamenteporelsistema.
principios:
laorganizacinhadeseleccionarydesarrollaractividadesdecontrolquecontribuyanalamitigacindelosriesgosparaellogrodesus
objetivos.11.laorganizacinseleccionarydesarrollarcontrolesgeneralessobretilaorganizacinimplementasusactividadesdecontrolatravsde
polticasyprocedimientosadecuados.

informacinycomunicacin:
laeficaciadelcontrolinternodependedelacomunicacinoportunadeexpectativasyresultados.lasestrategiasdecomunicacinsonesencialespara
adaptarelentornoanuevascondicionesoactuarfrenteadeficienciascrticas.
revisarsisehandefinidolascaractersticasdelainformacin,ascomolaresponsabilidadsobreella.11.11.21.31.41.5informacinclaveplazosdeentrega
internosniveldeexactitudyprecisinnivelesdedetalleyrigormecanismosderecuperacindedatosrevisarsihayunaintegracindelossistemasde
informacinconlasoperacionesclave.revisarsihayunaculturadeflexibilidadalcambio.revisarsielarchivocentralcuentaconlascondicionesdeseguridad
necesariosparalacustodiadelainformacin.revisarsisehandefinidoeimplementadopolticasdecomunicacininternayexterna,entre:5.1gerencia5.2
compaa5.3personal

principios:
laorganizacinhadegenerarlainformacinrelevantepararespaldarelfuncionamientodelosotroscomponentesdeci.14.laorganizacin
compartirinternamentelainformacin,incluyendolosobjetivosyresponsabilidadesparaelci,necesariapararespaldarelfuncionamientodelosotros
componentesdeci.15.laorganizacincomunicarexternamentelasmateriasqueafectenalfuncionamientodelosotroscomponentesdeci.
monitoreo:
incluyetresaspectos:prevencinymonitoreoseguimientoderesultadoscompromisosdemejoramientolaprevencinymonitoreosedebeefectuar
sobrelosdiferentesdocumentosqueregulenysustenteneldesarrollodelasactividadesdelaorganizacin,seanstosdegestin,operativosodecontrol.ello
conlafinalidaddetenerunaseguridadrazonabledequesevanacumplirconlosobjetivosascomoaquellosrelacionadosconelcontrolinterno.implica:
reportarlasdeficiencias,puesproveeinformacinnecesariaparalamejoracontinuadelosprocesosdelaorganizacin.paraelloserequiereregistrarycomunicar
lasdeficienciasdemaneraoportuna,atravsdereportes,conlafinalidadquesetomenaccionescorrectivas.implementarydarseguimientoalasmedidas
correctivastomadas.sonlasaccionesnecesariasparacorregirlasdesviacionesencontradasenelsistemadecontrolinternoyengestindeoperaciones,al
efectuarselaautoevaluacinylaevaluacinindependiente.
Revisarsisehandefinidoeimplementadoactividadesdeprevencinymonitoreo.
1.1prevencinymonitoreo

1.2monitoreooportunodelcontrolinternorevisarsisehandefinidoeimplementadoactividadesdeseguimientoderesultados.
2.1reportededeficiencias.
2.2implantacinyseguimientodemedidascorrectivas.revisarsihayevidenciadecompromisosdemejora.
3.1autoevaluacin
3.2evaluacionesindependientes

principios:
laorganizacinllevaracaboevaluacionescontinuaseindividuales,conelfindecomprobarsiloscomponentesdelciestnpresentesyestn
funcionando.17.laorganizacinevalaycomunicalasdeficienciasdeci.

COSO(ERM):
Ambienteinterno:
Unafilosofadegestinintegralderiesgo
Nivelderiesgoquelaaltagerenciaasume(Apetitoderiesgo)
Rolsupervisoriodelajuntadirectivaenlagestinintegralderiesgo
Laintegridadylosvaloresticos
Unaestructuradegestinintegralderiesgos:Sistemasdedelegacindeautoridad,rolesyresponsabilidadesylneasdereporte
Estndaresderecursoshumanos:habilidadycompetenciadelosemplead
CulturadeRiesgoyControl
Laculturaderiesgofluyedesdelafilosofayelapetitoderiesgodelaentidad
Unagestinintegralderiesgoesexitosayeficiente,cuandolaorganizacinmantieneunaculturaderiesgopositiva;estoesquetodalaentidad
tengaconcienciadelosriesgosycumplaconlosocho(8)componentesCOSOERM
IntegridadyValoresticos
Visin,misinyobjetivos
ManifiestodelaPresidenciaEjecutivaexhortandoalcumplimientodelCdigo
Declaracindelosvaloresticosdelaorganizacin
Lasresponsabilidadesindividualesyorganizacionales
Lineamientosticosymedidasdisciplinarias
Guaocanalespararesolverlascuestionesticas
Glosariodetrminos
Laefectividaddelagestinintegralderiesgo,nuncasuperarlaintegridadylosvaloresticosdelaspersonasquecrean,administranymonitoreanlas
actividadesdelaentidad
Estructuraorganizacional
Estdiseadadeacuerdoaltamaoynaturalezadelasactividadesdelaentidad
Definereasclavederesponsabilidad
Establecelneasdereporte
Normasderecursoshumanos,habilidadesycompetencias
Establecenlasnormasdeorientacin,adiestramiento,evaluacin,promocin,compensacin,yaccionesderemediacin,manejoesperadode
nivelesdeintegridad,comportamientoticoycompetencia

Envanmensajesdeaccionesdisciplinariasanteviolacionesdecomportamientoesperadoquenopuedensertoleradas
Lacapacidaddelpersonaldelaorganizacinreflejaelconocimientoylashabilidadesnecesitadospararealizarlastareasasignadas
Permitealagerenciaalinearloscostosbeneficios

Establecimientodeobjetivos:
Lagestinintegralderiesgoseaseguraquelagerenciacuenteconunprocesoparadefinirobjetivosqueestnalineadosconlamisinyvisin,conel
apetitoderiesgoynivelesdetolerancia
Losobjetivosseclasificanencuatrocategoras:
Estratgicos
Operacionales
Reporteopresentacinderesultados
Cumplimiento
Identificacinderiesgos:
Seidentificaneventospotencialesquesiocurrenpuedenafectaralaentidad.Baseparaloscomponentes:evaluacinderiesgosyrespuestaalriesgo
Enestecomponenteseidentificanloseventosconimpactonegativo(riesgos)yconimpactopositivo(oportunidades)
Lagerenciaidentificaloseventospotencialesqueafectanlapuestaenprcticadelaestrategiaoellogrodelosobjetivos,pudiendotenerimpactos
positivosonegativos
Inclusoloseventosconbajaposibilidaddeocurrenciaseconsideransielimpactoenunobjetivoesalto
Loseventosseidentificanentodoslosnivelesdelaorganizacin
Evaluacinderiesgos:
Riesgoinherenteyresidual
Probabilidadeimpacto
o Impacto:necesidaddebasededatosdeprdidashistoricas
o Probabilidad:metodos
Tcnicasdeevaluacin
Correlacinentreaconteciminetos
Respuestaalosriesgos:
Evaluacindelasposiblesrespuestas
Seleccinderespuestas
Perspectivadecartera

Actividaddecontrol:
Integracindelarespuesatalriesgo
Tiposdeactividadesdecontrol
Polticasyprocedimientos
Controlesdelossistemasdeinformacin
Controlesespecficosdelaentidad
Informacinycomunicacin:
Informacin
Comunicacin
Monitores:

Actividadespermanentesdesupervivin
Evaluacionesindependientes
Comunicacindedeficiencias

COMPARACINENTRECOSOYCOSOERM

:
ElCOSOERMtomaaspectosqueelCOSOnoconsideracomporejemplo:Ampliaelconceptodecontrolinternoproporcionandounfocomsrobustoy
extensosobrelaidentificacin,evaluacinygestinintegraldelriesgo.
COSOERMagregaunelementoqueeslasrespuestasalosriesgos.Estosignificaqueformuladoslosriesgosprimarios,convieneseparareneventosderiesgosy
determinarloqueseaceptayloquenoseaceptaydeloqueseacepta,qusesiguecomoriesgoensyloquesemitiga.Deloquesemitiga,paracadaevento
deriesgodebehaberunoomscontroles,verificandosuexistenciayfuncionamiento.