UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA

CAMPUS VILLANUEVA
FACULTAD DE CIENCIAS ECONOMICAS
ESCUELA DE CONTADURIA PUBLICA Y AUDITORIA

COSO III Y COSO IV

GUATEMALA, VILLA NUEVA

INDICE

1
INTRODUCCION.......................................................................................................3
COSO III....................................................................................................................4
Antecedentes COSO III........................................................................................4
Objetivos COSO III................................................................................................5
Ventajas COSO III.................................................................................................5
Componentes COSO III........................................................................................5
Entorno de control:...........................................................................................8
Evaluación de riesgos:.....................................................................................8
Actividades de Control.....................................................................................8
Información y Comunicación:.............................................................................8
COSO IV..................................................................................................................10
Gobierno y Cultura..........................................................................................11
Estrategia y establecimiento de objetivos...................................................11
Desempeño......................................................................................................11
Revisar y ajustar..............................................................................................11
Información, comunicación y reporte...........................................................11
Marco Integrado De Control Interno....................................................................12
Modelo Coso III y IV..........................................................................................12-15
Conclusión………………………………………………………………………………16
Bibliografía………………………………………………………………………………17

2
INTRODUCCION

El control interno constituye una de las herramientas mas importantes para el buen
funcionamiento de cualquier empresa, prueba de ello es que en cualquier área que
auditemos evaluemos el control interno para determinar el alcance y determinar
los procedimientos y técnicas adecuadas según lo requiera el resultado de la
evaluación.
De esta evaluación se deduce que a mayores deficiencias encontradas en el
control interno, mayores serán nuestras pruebas y muestras para determinar que
los datos encontrados en las áreas auditadas se expreses con razonabilidad y
establecer los controles que necesitan reforzarse o hacer cumplir.
Una empresa exitosa dependerá de que tan bien este estructurado su control
interno, es por ello que veremos más a fondo el Modelo de Control Interno COSO
III y los cambios actualizados en el COSO IV.

3
COSO III

Las empresas deben implementar un sistema de control interno eficiente que les
permita enfrentarse a los rápidos cambios del mundo de hoy. Es responsabilidad
de la administración y directivos desarrollar un sistema que garantice el
cumplimiento de los objetivos de la empresa y se convierta en una parte esencial
de la cultura organizacional. El Marco integrado de control interno propuesto por
COSO provee un enfoque integral y herramientas para la implementación de un
sistema de control interno efectivo y en pro de mejora continua. Un sistema de
control interno efectivo reduce a un nivel aceptable el riesgo de no alcanzar un
objetivo de la entidad.

El modelo de control interno COSO 2013 actualizado está compuesto por los cinco
componentes, establecidos en el Marco anterior y 17 principios que la
administración de toda organización debería implementar.

La ampliación del año 2014 permitió corregir aspectos del marco original, no
limitándose a la fiabilidad de la información financiera, sino que debía darse
cavidad a todo tipo de información. Se consideró oportuno señalar que los
objetivos fueran operativos, de reporte o de cumplimiento operativo.

El Informe Coso 3 establece tres categorías de objetivos, que permiten a las

organizaciones centrarse en diferentes aspectos del control interno:

 Objetivos operativos: Hacen referencia a la efectividad y eficiencia de las

operaciones de la entidad.

 Objetivos de información: Hacen referencia a la información financiera y no

financiera interna y externa y pueden abarcar aspectos de confiabilidad,
oportunidad, transparencia.

 Objetivos de cumplimiento: Hacen referencia al cumplimiento de las leyes y

regulaciones a las que está sujeta la entidad.

Antecedentes COSO III

 1992 COSO presenta la primera versión del marco integrado de Control

Interno
 Grandes cambios en la industria y avances tecnológicos.
 2015 COSO lanza una versión actualizada que permitirá que las empresas
desarrollen y mantengan efectiva y eficientemente sistemas de control
interno.
 Las entidades registradas en la Securities and Exchange Commision (SEC)
que hayan adoptado COSO como su marco de control interno en años

4
 anteriores, deberán llevar a cabo la transición al nuevo COSO 2013 durante
el año 2014
Factores
- Variación de los modelos de negocio como consecuencia de la
globalización.
- Mayor necesidad de información a nivel interno debido a los entornos
cambiantes.
- Incremento del número y complejidad de las normativas aplicables al
mundo empresarial a nivel internacional.
- Nuevas expectativas sobre la responsabilidad y competencias de los
gestores de las organizaciones.
- Incremento de las expectativas de los grupos de intereses (inversores,
reguladores) en la prevención y detección del fraude.
- Aumento del uso de las nuevas tecnologías y su desarrollo contante.
- Exigencias en la fiabilidad de la información reportada.

Objetivos COSO III

 Ampliar su aplicación al expandir los objetivos operativos y de emisión de

informes.
 Permitir una mayor cobertura de los riesgos a los que se enfrentan
actualmente las organizaciones.
 Actualizar el contexto de la aplicación del control interno a muchos cambios
en las empresas y ambientes operativos.
 Aclarar los requerimientos del control interno.
Ventajas COSO III

 Globalización de mercados y operaciones.


 Cambio continuo en mayor complejidad en los negocios.
 Mayor demanda y complejidad en leyes, reglas, regulaciones y estándares.
 Expectativas de competencias y responsabilidades.
 Uso y mayor nivel de confianza en tecnologías que evolucionan
rápidamente.
 Expectativas relacionadas con prevenir, desalentar y detectar el fraude.
Componentes COSO III

5
Los cinco componentes deben funcionar de manera integrada para reducir a un
nivel aceptable el riesgo de no alcanzar un objetivo. Los componentes son
interdependientes, existe una gran cantidad de interrelaciones y vínculos entre
ellos. Así mismo, dentro de cada componente el marco establece 17 principios que
representan los conceptos fundamentales y son aplicables a los objetivos
operativos, de información y de cumplimiento. Los principios permiten evaluar la
efectividad del sistema de control interno.
1- Entorno de Control
Es el ambiente donde se desarrollan todas las actividades organizacionales bajo la
gestión de la administración.
El entorno de control es influenciado por factores tanto internos como externos,
tales como la historia de la entidad, los valores, el mercado, y el ambiente
competitivo y regulatorio.
Comprende las normas, procesos y estructuras que constituyen la base para
desarrollar el control interno de la organización.
Este componente crea la disciplina que apoya la evaluación del riesgo para el
cumplimiento de los objetivos de la entidad, el rendimiento de las actividades de
control, uso de la información y sistemas de comunicación, y conducción de
actividades de supervisión.
Para lograr un entorno de control apropiado deben tenerse en cuenta aspectos
como la estructura organizacional, la división del trabajo y asignación de
responsabilidades, el estilo de gerencia y el compromiso .

2- Evaluación de Riesgos
Este componente identifica los posibles riesgos asociados con el logro de los
objetivos de la organización. Toda organización debe hacer frente a una serie de
riesgos de origen tanto interno como externo, que deben ser evaluados.
Estos riesgos afectan a las entidades en diferentes sentidos, como en su habilidad
para competir con éxito, mantener una posición financiera fuerte y una imagen
pública positiva. Por ende, se entiende por riesgo cualquier causa probable de que
no se cumplan los objetivos de la organización.
De esta manera, la organización debe prever, conocer y abordar los riesgos con
los que se enfrenta, para establecer mecanismos que los identifiquen, analicen y
disminuyan. Este es un proceso dinámico e iterativo que constituye la base para
determinar cómo se gestionaran los riesgos.

6
 3- Actividades de Control
En el diseño organizacional deben establecerse las políticas y procedimientos que
ayuden a que las normas de la organización se ejecuten con una seguridad
razonable para enfrentar de forma eficaz los riesgos.
Las actividades de control se definen como las acciones establecidas a través de
las políticas y procedimientos que contribuyen a garantizar que se lleven a cabo
las instrucciones de la dirección para mitigar los riesgos con impacto potencial en
los objetivos.
Las actividades de control se ejecutan en todos los niveles de la entidad, en las
diferentes etapas de los procesos de negocio y en el entorno tecnológico, y sirven
como mecanismos para asegurar el cumplimiento de los objetivos.
Según su naturaleza pueden ser preventivas o de detección y pueden abarcar una
amplia gama de actividades manuales y automatizadas. Las actividades de control
conforman una parte fundamental de los elementos de control interno.

4- Información y comunicación
El personal debe no solo captar una información sino también intercambiarla para
desarrollar, gestionar y controlar sus operaciones. Por lo tanto, este componente
hace referencia a la forma en que las áreas operativas, administrativas y
financieras de la organización identifican, capturan e intercambian información.
La información es necesaria para que la entidad lleve a cabo las
responsabilidades de control interno que apoyan el cumplimiento de los objetivos.
La gestión de la empresa y el progreso hacia los objetivos establecidos implican
que la información es necesaria en todos los niveles de la empresa. En este
sentido, la información financiera no se utiliza solo para los estados financieros,
sino también en la toma de decisiones.

5- Actividades de supervisión – Monitoreo

Todo el proceso ha de ser monitoreado con el fin de incorporar el concepto de
mejoramiento continuo; así mismo, el Sistema de Control Interno debe ser flexible
para reaccionar ágilmente y adaptarse a las circunstancias.
Las actividades de monitoreo y supervisión deben evaluar si los componentes y
principios están presentes y funcionando en la entidad.
Es importante determinar, supervisar y medir la calidad del desempeño de la
estructura de control interno, teniendo en cuenta:

7
 - Las actividades de monitoreo durante el curso ordinario de las operaciones
de la entidad.
- Evaluaciones separadas.
- Condiciones reportables.
- Papel asumido por cada miembro de la organización en los niveles de
control.
Es importante establecer procedimientos que aseguren que cualquier deficiencia
detectada que pueda afectar al Sistema de Control Interno sea informada
oportunamente para tomar las decisiones pertinentes. Los sistemas de control
interno cambian constantemente, debido a que los procedimientos que eran
eficaces en un momento dado, pueden perder su eficacia por diferentes motivos,
como la incorporación de nuevos empleados, restricciones de recursos, entre
otros.

Principios COSO III

A continuación, se verá la distribución de los 17 principios en el componente que le
corresponde.
Entorno de control:
1. Demuestra compromiso con la integridad y valores éticos
2. Ejerce responsabilidad de supervisión.
3. Establece estructura, autoridad y responsabilidad.
4. Demuestra compromiso para la competencia.
5. Hace cumplir con la responsabilidad.
Evaluación de riesgos:
6. Especifica objetivos relevantes.
7. Identifica y analiza los riesgos
8. Evalúa el riesgo de fraude.
9. Identifica y analiza cambios importantes.
Actividades de Control
10. Selecciona y desarrolla actividades de control.
11. Selecciona y desarrolla controles generales sobre tecnología.
12. Se implementa a través de políticas y procedimientos.
13. Usa información relevante.
Información y Comunicación:
14. Comunica internamente.
15. Comunica externamente.

8
Supervisión:
16. Conduce evaluaciones continuas y/o independientes.
17. Evalúa y comunica deficiencias.

¿Qué se puede Obtener a través de COSO?

 Proporciona un marco de referencia aplicable a cualquier organización.

 Para COSO, este proceso debe estar integrado con el negocio, de tal
manera que ayude a conseguir los resultados esperados en materia de
rentabilidad y rendimiento.
 Trasmitir el concepto de que el esfuerzo involucra a toda la organización:
Desde la Alta Dirección hasta el último empleado.
 El marco COSO IV -también conocido como Enterprise Risk Management-
Integrating with Strategy and Performance (ERM 2017)- es un sistema de
gestión de riesgo y control interno para cualquier organización. 
 Se basa en un marco cuyo objetivo es diagnosticar problemas, generar los
cambios necesarios para gestionarlos y evaluar la efectividad de los
mismos. Sus siglas se refieren al Committee of Sponsoring Organizations of
the Treadway Commission, una institución dedicada a guiar a los ejecutivos
y las entidades de gobierno en aspectos relevantes del gobierno
corporativo, ética empresarial, control interno, gestión de riesgos
empresariales, fraude e informes financieros.
 Este proyecto inició en el 2001 con la implantación de los principios del
COSO I. En el 2004 se modificó para una versión mejorada: el COSO II o
COSO ERM (Enterprise Risk Management). En el 2013 se lanzó el COSO
III con mejoras por componente y, finalmente, en el 2017, salió el COSO IV.
Esta es una versión actualizada y superior a sus predecesores. En él, se
9
 destaca la importancia de evaluar el riesgo tanto en las operaciones de la
empresa, como en el desempeño de la administración y el establecimiento
de estrategias. 

COSO IV

Es un organismo de reconocimiento internacional en el cual se establecen los

marcos regulatorios básicos de riesgo y cumplimiento de control interno para
cualquier organización. Por sus siglas se refieren al Committee of Sponsoring
Organizations of the Treadway Commission, una institución dedicada a guiar a los
ejecutivos y las entidades de gobierno en aspectos relevantes del gobierno
corporativo, ética empresarial, control interno, gestión de riesgos empresariales,
fraude e informes financieros.
Tambien conocido como Enterprise Risk Management-Integrating with Strategy
and Performance (ERM 2017). Ha tenido cambios fundamentales a su última
publicación, publicada en el 20013 el “COSO III“ con mejoras por componente y,
finalmente, en el 2017, salió el COSO IV. Esta es una versión actualizada y
superior a sus predecesores. En él, se destaca la importancia de evaluar el riesgo
tanto en las operaciones de la empresa, como en el desempeño de la
administración y el establecimiento de estrategias.
Basada en un marco cuyo objetivo es mitigar riesgos, generar los cambios
necesarios para gestionarlos y evaluar la efectividad de los mismos. Esta última
versión mantiene el mismo enfoque financiero; sin embargo, presenta cambios en
su estructura que permite que sea implementado en cualquier tipo de actividad. El
COSO 4 se divide en 5 pilares.

El Informe COSO es un documento que contiene las principales directivas para la

implantación, gestión y control de un sistema de control. Debido a la gran
aceptación de la que ha gozado, desde su publicación en el año 1992, el Informe
COSO se ha convertido en el estándar de referencia.

Existen en la actualidad dos versiones del Informe COSO. La versión del 1992 y la
versión del 2004, que incorpora las exigencias de ley Sarbanes Oxley a su
modelo.

Está diseñado para identificar los eventos que potencialmente puedan afectar a la
entidad y para administrar los riesgos, proveer seguridad razonable para la
administración y para la junta directiva de la organización orientada al logro de los
objetivos del negocio.

El COSO IV, brinda una serie de beneficios, entre los cuales se pueden destacar:

10
  Identifica y gestiona el riesgo en toda la empresa. 
 Incrementa los resultados positivos y reduce los imprevistos negativos. 
 Amplía el panorama de oportunidades para la organización. 
 Mejora la inserción de recursos y potencia la resiliencia empresarial. 
 Disminuye la variabilidad en el desempeño.
Esta última versión mantiene el mismo enfoque financiero; sin embargo, presenta
cambios en su estructura que permite que sea implementado en cualquier tipo de
actividad. El COSO IV se divide en 5 puntos:

Gobierno y Cultura

El Gobierno es quien debe establecer las responsabilidades y los objetivos que se

esperan alcanzar con la supervisión, y fortalecer el compromiso de la fuerza
laboral con el proceso. En cuanto a la cultura, se refiere a las conductas
deseadas, los valores éticos y el conocimiento del riesgo en la organización.

Estrategia y establecimiento de objetivos 

Se busca definir el apetito al riesgo para luego alinearlo con la estrategia. Por su
parte, los objetivos de negocio serán los encargados de ejecutar las estrategias y
servirán como sustento para identificar, analizar y responder al riesgo.

Desempeño 

Los riesgos que puedan poner en peligro los objetivos del negocio son
identificados y evaluados, para luego ser priorizados según su gravedad. Posterior
a ello, la empresa registra y calcula los peligros que ha enfrentado y -con esta
información- decide qué hará para afrontarlos.  

Revisar y ajustar 

Al monitorear el desempeño, se puede evaluar el rendimiento de los componentes

del COSO IV en la organización. Con la información obtenida es posible identificar
qué ajustes o actualizaciones se deben realizar en el proceso para obtener
mejores resultados

Información, comunicación y reporte. 

Es importante considerar que los tipos de riesgo varían según las compañías en
las que aparezcan y el tipo de actividad que realicen. Es por ello que se necesita

11
un control bajo un marco global que permita administrarlos. Solo así se asegurará
el éxito de una organización en todo nivel.
COSO IV es una nueva herramienta para la evaluación y gestión de riesgo que
permite guiar a las empresas en la organización y el cumplimiento de objetivos,
metas y estrategias corporativas por medio de la identificación de riesgos y
controles utilizando elementos y procedimientos que logran que la compañía utilice
de manera óptima sus recursos.
Se realizó un análisis a través de observación directa que permitió conocer la
situación actual de la compañía, la identificación de los riesgos internos, externos
y las amenazas a las que se enfrenta la organización; a partir de esta evaluación
se diseña el manual de control interno que contiene el planteamiento de la cultura
organizacional, un mapa de procesos, manuales de funciones y mapas de
procesos con la descripción de actividades; se proporcionan métodos para la
evaluación y el seguimiento de control interno y herramientas que ayudan a la
mitigación o prevención de riesgos que permiten realizar un control oportuno.

MARCO INTEGRADO DE CONTROL INTERNO

MODELO COSO III Y IV

12
El Comité de organizaciones patrocinadoras de la Comisión Treadway (COSO, por
sus siglas en inglés) presentó en 1992 la primera versión del Marco Integrado de
Control Interno, que ha sido aceptado alrededor del mundo y se ha convertido en
un marco líder en diseño, implementación y conducción de control interno y
evaluación de su efectividad.

El Comité tenía como principal objetivo definir un nuevo marco conceptual capaz
de integrar las diversas definiciones y conceptos utilizados en el campo del control
interno.

El Marco Integrado de Control Interno abarca cada una de las áreas de la

empresa, y engloba cinco componentes relacionados entre sí:

 El entorno de control.
 La evaluación del riesgo.
 El sistema de información y comunicación.
 Las actividades de control.
 Y la supervisión del sistema de control.

De la misma manera, el marco apoya la administración, la dirección, los

accionistas y demás partes que interactúan con la entidad, ofreciendo un
entendimiento de lo que constituye un sistema de control interno efectivo.

Un sistema de control interno debe verse como un proceso integrado y dinámico y

se caracteriza por las siguientes propiedades:
 Permite aplicar el control interno a cualquier tipo de entidad y de acuerdo
con sus necesidades.
 Presenta un enfoque basado en principios que proporcionan flexibilidad y
se pueden aplicar a nivel de entidad, a nivel operativo y a nivel funcional.
 Establece los requisitos para un sistema de control interno efectivo,
considerando los componentes y principios existentes, cómo funcionan y
cómo interactúan.
 Proporciona un método para identificar y analizar los riesgos, así como para
desarrollar y gestionar respuestas adecuadas a dichos riesgos dentro de
unos niveles aceptables y con un mayor enfoque sobre las medidas
antifraude.
 Constituye una oportunidad para ampliar el alcance de control interno más
allá de la información financiera, a otras formas de presentación de la
información, operaciones y objetivos de cumplimiento.
 Es una oportunidad para eliminar controles ineficientes, redundantes o
inefectivos que proporcionan un valor mínimo en la reducción de riesgos
para la consecución de los objetivos de la entidad.

13
 Brinda una mayor confianza en la supervisión efectuada por el consejo
sobre los sistemas de control interno.
 Ofrece mayor confianza con respecto al cumplimiento de los objetivos de la
entidad.
 Genera mayor confianza en la capacidad de la entidad para identificar,
analizar y responder a los riesgos y a los cambios que se produzcan en el
entorno operativo y de negocios.
 Permite lograr una mayor comprensión de la necesidad de un sistema de
control interno efectivo.
Facilita el entendimiento de que mediante la aplicación de un criterio
profesional oportuno la dirección puede eliminar controles no efectivos,
redundantes o ineficientes.

14
 DIFERENCIAS ENTRE COSO III Y IV

COSO III

Presentado en el 2013 como una integración Existieron mejoras por componente

de los conceptos del control interno,
complementario al COSO I y COSO II, para Entorno de Control
gestionar inicialmente estas tareas

 Asignación de responsabilidad
 Importancia de las policitas de
Adaptación de cambios
recursos humanos.
 Necesidad de estructuras
Cumplimiento de objetivos
organizacional.

Mitigar los riesgos a un nivel aceptable

Evaluación de Riesgos
Mitigar los riesgos a un nivel aceptable

Apoyar la nota de decisiones  Objetivos de reporte en

todos los informes no solo
los financieros.
Nace por:  Se mide la velocidad de la
llegada de los riesgos y la
tolerancia que la empresa
Variación de los modelos de negocio puede tener ente ellos.
 Riesgo que pueda tener las
Mayor nivel de información empresas al fusionarse con
otras empresas.
 Riesgo que pueden sufrir
Mayores legalizaciones a las empresas
las empresas al fraude en
sus operaciones.
Incremento de las expectativas de las
inversiones en fondos
Actividades de Control
Fiabilidad de la información
 Evaluación dada las nuevas
tecnologías en el siglo XXI.

Sistema de información

 Calidad de la información que

pueden gestionar
internamente las empresas.
 Comunicación que puede
tener la entidad con terceros.
 Protección de la información
interna

Supervisión

 Evaluación continuas e
independientes.

15
 COSO IV

Entra en vigor a partir del 2017 para remplazar el marco

normativo establecido anteriormente en el COSO II, por lo
que actualmente todo lo relacionado a control de riesgo se
evalúa a través del COSO III y COSO IV.

Según este marco, la gestión de riesgo:

Aumenta los resultados positivos y reduce los

imprevistos negativos.

Identifica y gestiona el riesgo en toda la entidad.

Mejora la implantación de recursos.

Reduce la variabilidad del desempeño.

Por ende

Establece que al integrar las técnicas de gestión de

riesgo empresaria en todos los niveles, se obtienen

Creación y preservación del valor

 Se crea cuando los beneficios derivados de los

recursos empleados superar el coste de esos
recursos.
 Se preserva el valor cuando el valor de los
recursos empleados en las operaciones del día
a día, manteniendo los beneficios creados.
 Se erosiona valores cuando la dirección
implanta una extrofia que no genera los
resultados esperados o no se ejecutan las
tareas diarias.
 Se materializa el valor cuando las partes
interesadas (Stakeholder) perciben los
beneficios generados por la entidad.

Mejoras en el desempeño

Mejoras en la toma de decisiones

16
CONCLUSION
El control interno es una herramienta indispensable en todas las empresas ya que
permite tener una seguridad razonable sobre factores que pueden influir en el
desempeño de la empresa.
Los controles internos pueden ser preventivos o correctivos, el uso de cada uno de
ellos dependerá de la situación en que se encuentre la empresa. El hecho de tener
implementado un sistema de control interno no aseguran en su totalidad que una
empresa sobreviva o tenga éxito en los negocios.
El control interno COSO, tiene una amplia visión sobre los aspectos que es
necesario evaluar en una empresa, ya que este se enfoca en la mayoría de la
estructura de la organización. COSO ERM es el documento actualizado,
destacando el proceso de estrategias para el desempeño de la administración es
por esto que será de mayor importancia aplicarlo para su objetividad eficiente.

17
BIBLIOGRAFIA

http://hdl.handle.net/20.500.12558/3235
https://www.auditool.org/inicio/control-interno/guias-y-modelos/1327-guia-coso-
erm-componente-v-informacion-comunicacion-y-reporte
https://www.slideserve.com/miriam-nolan/erm-57-review
https://www.ofstlaxcala.gob.mx/doc/material/27.pdf

18