FACULTAD DE CIENCIAS ADMINISTRATIVAS Y

ECONÓMICAS CARRERA DE CONTABILIDAD Y AUDITORÍA

NOMBRE: Johanna Marisol Farinango Sandoval

DOCENTE: Pablo Báez

MATERIA: Auditoria Financiera II

TEMA: IDENTIFICACIÓN DE CONTROL DE COSO II

FECHA ENTREGA: 13/10/2023

 METODO COSO II

Antecedentes

En enero de 2001, debido al aumento de preocupación por evaluar y mejorar el proceso

de administración de riesgo, el Committee of Sponsoring Organizations of the Treadway
Commission, inició un proyecto con el objeto de desarrollar un marco reconocido de
administración integral de riesgos: identificación, evaluación y gestión integral de riesgo.
Hacia fines de septiembre de 2004, como respuesta a una serie de escándalos e
irregularidades (como el caso Enron y Parmalat) que provocaron pérdidas importantes a
inversionistas, empleados y otros grupos de interés, el proyecto culminó con la
publicación, por parte del Committee, del Enterprise Risk Management - Integrated
Framework (COSO II) y sus Aplicaciones Técnicas asociadas.

El denominado Informe de COSO sobre el control interno, publicado en EE.UU. En 1992

surgio como una respuesta a las inquietudes que planteaban la diversidad de conceptos,
definiciones, e interpretaciones existentes en torno a la temática referida.

En grupo estaba constituido por representantes de las siguientes organizaciones:

 American Accounting Association (AAA)

 American Institute of Certified Public Accountants (AICPA)
 Financial Executive Institute (FEI)
 Institute of Internal Auditors (IIA)
 Institute of Managemet Accountants (IMA)

El informe COSO II nace en el 2004 y es una ampliación de informe COSO I que tiene
como finalidad proporcionar al control interno un mayor enfoque a la gestión de riesgos
ya que la mayoría de las organizaciones necesitan mejorar sus capacidades de aprovechar
oportunidades, evitar riesgos y manejar la incertidumbre, permite los empleados creen
conciencia de los riesgos que se puede presentar.
Definición

La gestión o administración de riesgo empresarial ERM es un proceso estructurado,

consistente y continuo a traves de toda la organización para identificar, evaluar, medir y
reportar amenazas y oportunidades que afectan el poder alcanzar el logro de sus objetivos.

Según lo expuesto en Gestión de Riesgos Corporativos-Marco Integrado (Informe COSO

II), la Gestión de Riesgos en las organizaciones es un proceso efectuado por el Consejo
de Administración de una entidad, su Dirección y restante personal, aplicable a la
definición de estrategias en toda la empresa y diseñado para identificar eventos
potenciales que puedan afectar a la organización, gestionar sus riesgos dentro de lo
aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos.

Objetivos

Un objetivo clave es ayudar a las direcciones de empresas y otras entidades a enfrentarse

mejor en al riesgo en su intento para alcanzar sus objetivos.

Importancia

Proporciona un foco más profundo y extenso sobre la identificación, evaluación y gestión

integral de riesgo. Prioriza la visión del evento por sobre la del riesgo. Este nuevo enfoque
no sustituye el marco de control interno, sino que lo incorpora como parte de él,
permitiendo a las compañías mejorar sus prácticas de control interno o decidir
encaminarse hacia un proceso más completo de gestión de riesgo.

Además, amplía la visión del riesgo a eventos negativos o positivos, o sea, a amenazas u
oportunidades; a la localización de un nivel de tolerancia al riesgo; así como al manejo
de estos eventos y a la gestión de riesgos.

Aspectos claves a tener en cuenta en el análisis de Coso II:

 Administración del riesgo en la determinación de la estrategia

 Eventos y riesgo
 Apetito de riesgo
 Tolerancia al riesgo
 Visión de portafolio de riesgo
 PRINCIPIOS DEL COSO II

Son indicadores importantes que sirven de base para el desarrollo de la estructura y

procedimientos de control interno en cada área de funcionamiento de las empresas.

EL ERM de COSO describe un marco basado en principios a continuación describimos

los más sobresalientes:

 La definición de administración de riesgos corporativos

 Los principios críticos y componentes de un proceso de administración de riesgos
corporativos efectivos.
 Pautas para las organizaciones sobre cómo mejorar su administración de riesgos
 Criterios para determinar si la administración de riesgos es eficaz y si no lo es que
necesita para que los sea

Este marco integra la mayoría des perspectivas posibles y proporcionan un punto de

partida para la evaluación y mejora de la administración de riesgos corporativos de cada
entidad y para futuras iniciativas de las entidades reguladoras y para la educación.

El modelo COSO II es una herramienta idónea para asegurar un control interno que
reduzca sustancialmente el fraude corporativo y asegure una buena gestión
Dentro del contexto de misión y visión establecida en una entidad, su dirección establece
los objetivos estratégicos, selecciona la estrategia y fija objetivos alineados que fluyen en
cascada en toda entidad. Se pueden clasificar en cuatro categorías:

1. Estratégicos: Objetivos a alto nivel, alineados con la misión de la entidad y

dándole apoyo.
2. Operativos: Objetivos vinculados al uso efectivo y eficiente de recursos.
3. Reporte: Confiabilidad de los reportes.
4. Cumplimiento: Objetivos relativos al cumplimiento de leyes y regulaciones
aplicables.

COMPONENTES

Teniendo presente los componentes expuestos anteriormente en Coso I, en este caso los
contemplados por Coso II son:

 Ambiente interno
 Establecimiento de objetivos
 Identificación de eventos
 Evaluación de riesgos
 Respuesta a los riesgos
 Actividades de control
 Información comunicación
 Supervisión

IDENTIFICACIÓN DE CONTROLES

Ambiente de control

Al ambiente o entorno de control como “el conjunto de circunstancias y conductas que

enmarcan el accionar de una entidad desde la perspectiva del control interno. Es
fundamentalmente la consecuencia de la actitud asumida por la alta dirección y por el
resto de las servidoras y servidores, con relación a la importancia del control interno y su
incidencia sobre las actividades y resultados.
Importancia

Es la base de todos sistema de

control interno y gestión del riesgo
como asi tambien del resto de los
componentes del ERM

Determina las pautas de

comportamineto en la organización
proporcionando disciplina y
estructura

Influye en el nivel concientización

del personal respecto al control

Tiene un impacto significativo en el

modo en que las estrategias y
objetivos son establecidos.

Factores que los constituyen

Gestión de riesgos

Representa las creencias compartidas y las actitudes que caracterizan cómo la entidad
considera el riesgo en todas las actividades. Refleja los valores de la entidad,
influenciando su cultura y estilo de operar. La Dirección debe reforzar la filosofía no sólo
con palabras sino con acciones de todos los días. Afecta el modo en que los componentes
del ERM son aplicados, por ejemplo, en la identificación de eventos, los tipos de riesgos
aceptados, y cómo estos son administrados

Estructura organizativa

Constituye un marco formal de autoridad y responsabilidad, en la cual las actividades que

se realizan en cumplimiento de los objetivos del organismo, son planeadas, efectuadas y
controladas. La Dirección desarrolla una estructura organizativa para el cumplimiento de
su misión y objetivos, que plasma en una herramienta de tipo gráfica (organigrama). El
ambiente de control se fortalece en la medida que los miembros del organismo conocen
claramente sus deberes y responsabilidades. Ello impulsa a tener la iniciativa para
enfrentar y solucionar los problemas, actuando siempre dentro de los límites de su
autoridad.

Establecimientos de objetivos

Conforme a lo expresado por distintos autores los objetivos son metas medibles e indican
hacia dónde una entidad puede desarrollar sus actividades. El establecimiento de los
mismos requiere de un considerable trabajo en la etapa de planeamiento. Estos se fijan a
escala estratégica, estableciendo luego con ellos una base para los objetivos operativos,
de información y de cumplimiento.

Importancia

Permite identificar aquellos

acontecimientos que impactan en
la organización impidiendo alcanzar
los objetivos

Integra la gestión de riesgos en los

procesos de planificación
estratégica en el control interno y
en la operativa diaria de la misma

Relaciona los objetivos con los

componentes de gestión del riesgo
Factores que los constituyen

Objetivos estratégicos
 Son metas de alto nivel que se alinean y sustentan la misión/visión. Es
decir, son los resultados que la empresa espera alcanzar a largo plazo,
realizando acciones que le permitan cumplir con su misión, inspirados en
la visión.
 Reflejan las elecciones estratégicas de la Gerencia sobre cómo la
organización busca crear valor para sus grupos de interés. Se deben
redactar de una manera clara y responder dos preguntas esenciales: ¿qué
se quiere lograr? y ¿para qué? Si se tiene muy claro cómo responder estas
dos preguntas entonces pueden definirse los objetivos estratégicos.

Objetivos Seleccionados
 Son los objetivos vinculados a la misión de una entidad, cuya selección es
condición previa para la identificación de eventos, evaluación de riesgos
y respuesta al riesgo.
Objetivos Relacionados
Son los objetivos seleccionados, que deben estar alineados con la
estrategia escogida y con el apetito de riesgo deseado (riesgo aceptado).
Se categorizan en forma amplia en:
 Operativos: referidos a la eficiencia y eficacia de la actividad de la
organización, incluyendo los objetivos de rentabilidad y desempeño.
 De información: referidos a la fiabilidad de la información suministrada
por la organización, que incluye datos externos e internos, así como
información financiera y no financiera.
 De cumplimiento: referidos al cumplimiento de leyes y normas y leyes
aplicables.
Algunas organizaciones expresan el riesgo aceptado en términos de un
“mapa de riesgos”.

Ejemplo:
Se presenta un ejemplo como muestra de la importancia de sustentar la visión, con
los objetivos y las decisiones de cada día, en las cuales se consideran los riegos
que deben ser previstos por la organización:
Identificación de eventos

En referencia a la bibliografía Gestión de Riesgos Corporativos – Marco Integrado

(Informe COSO II), la identificación de eventos es un proceso integrado a la
planificación. A través del mismo, la dirección identifica los eventos potenciales que de
ocurrir, afectarán a la entidad y además, determina si representan oportunidades o si
pueden afectar negativamente a la capacidad de la empresa para implementar la estrategia
y alcanzar los objetivos con éxito.
Importancia

Los eventos afectan a los

objetivos de la organización

La dirección contempla una serie

de factores internos y externos
que puedan dar lugar a riesgos y
oportunidades

permite enfrentarlos de la mejor

manera posible

Los eventos alcanzan a la

organización en forma global

Factores que los constituyen

Técnicas de identificación

La metodología de identificación de eventos comprende una combinación de técnicas y

herramientas de apoyo que se basan tanto en el pasado como en el futuro. La dirección
utiliza diversos medios para identificar posibles acontecimientos que afecten al logro de
los objetivos, distinguiendo así, riesgos y oportunidades. Y a su vez, considera factores
internos y externos. Algunas de las técnicas más comunes pueden ser:

a) Inventarios de eventos
Son registros documentales de aquellos eventos que puedan afectar al
ente positiva o negativamente (riesgos).
Se utilizan listados de eventos posibles comunes a un sector o área
funcional específica. Son elaborados por el personal de la entidad o
bien son listas externas genéricas. En este último caso, deben ser
revisadas y sometidas a mejoras a fin de adaptar su contenido a las
circunstancias propias de la organización.
Se utilizan, por ejemplo, con relación a un proyecto, proceso o
actividad determinada
b) Talleres de trabajo
Son grupos de trabajo dirigidos para identificar eventos, que reúnen
habitualmente a personal de muy diversas funciones o niveles, con el
propósito de aprovechar el conocimiento colectivo del grupo y
desarrollar una lista de acontecimientos relacionados. La participación
de la alta dirección es de suma importancia, con el fin de identificar
situaciones que puedan afectar el logro de objetivos estratégicos.
c) Entrevistas
Una entrevista se describe como la “vista, concurrencia y conferencia
de dos o más personas en un lugar determinado, para tratar o resolver
un asunto”. Ésta se desarrolla habitualmente entre uno o más
entrevistadores y un entrevistado. Su propósito es averiguar los puntos
de vista y conocimientos del entrevistado en relación con los
acontecimientos pasados y los futuros.
 d) Cuestionarios y encuestas
Estas técnicas abordan una amplia gama de circunstancias,
centrándose principalmente, en los factores internos y externos que
han dado, o pueden dar lugar, a eventos. Las preguntas pueden ser
abiertas o cerradas, según sea el objetivo perseguido y ser dirigidas a
un individuo o a varios.
e) Análisis del flujo del proceso:
Es la representación esquemática de un proceso, con el objetivo de
comprender las interrelaciones entre las entradas, tareas, salidas y
responsabilidades de sus componentes. Una vez realizado este
esquema, los acontecimientos pueden ser identificados y considerados
frente a los objetivos del proceso. Esta técnica puede realizarse tanto a
nivel global como detalladamente.

Ejemplo:

Existen consultoras que ayudan a sus clientes en la formalización y optimización de sus

procesos de identificación oportuna, así como en la priorización según las áreas clave de
los riesgos potenciales y de las oportunidades que surgen en su organización. Esta firma
expone en su página web, dentro de su presentación, que el valor principal de su servicio
consiste en brindar a sus clientes un conocimiento anticipado de los riesgos a través de
alertas que ayudan a la gerencia a tomar decisiones que minimicen su impacto.
Análisis del flujo de procesos

Una empresa representa gráficamente su proceso de cobros como base para identificar
riesgos relacionados, con el objetivo de depositar y registrar todos los cobros de un modo
preciso y oportuno.

Evaluación de Riesgos

La evaluación de riesgos de una entidad es considerar el grado en el cual los eventos

potenciales podrían impactar en el logro de sus objetivos. La Dirección analiza los
acontecimientos que representan riesgo desde una doble perspectiva: probabilidad de
ocurrencia e impacto. Los impactos positivos y negativos deben examinarse,
individualmente o por categoría, utilizando una combinación de métodos cuantitativos y
cualitativos. La evaluación se realiza tanto para riesgos inherentes como residuales.

Influye en la consecución de objetivos

Sirve de sustento a la dirección para

decidir sobre las acciones necesarias
para alcanzar los propósitos
perseguidos

Permite categorizar los eventos de

impacto negativo

Factores que los constituyen

Metodología y técnicas de evaluación

La metodología de evaluación consiste en una combinación de técnicas cualitativas y

cuantitativas a fin de analizar los riesgos.
La metodología y las técnicas cualitativas y cuantitativas comprenden: Escalas de
medición

 Medición nominal
 Medición ordinal
 Medición de intervalo
 Medición por ratios

Utilización:

 Para estimar intervalos de variación extremos y poco frecuentes, la Dirección

selecciona tanto la confianza deseada como el horizonte temporal a lo largo del
cual se evalúa el riesgo, basándose en parte, en la tolerancia al riesgo establecida.
 Para racionalizar el capital requerido por las unidades de negocio mediante la
estimación, con un alto grado de confianza y a lo largo de un horizonte temporal
especificado, del capital necesario para cubrir posibles pérdidas.
 Una aplicación del valor en riesgo es el valor de mercado en riesgo, utilizado por
las instituciones mercantiles para medir el índice de riesgo de variaciones de
precio que afectan a instrumentos financieros, así como por otras instituciones no
mercantiles.

Ejemplo:

Una empresa evalúa los riesgos que afectan a su objetivo de mantener una plantilla de
empleados de calidad. La probabilidad se considera en términos de porcentaje de rotación
a lo largo de un determinado período. El impacto se considera en términos de los costos
que ocasiona la ineficacia operativa, la sustitución, formación y el desarrollo de
empleados. El color rojo implica mayor probabilidad de materialización del riesgo y
mayor probabilidad de causar un efecto significativo sobre los objetivos. El color amarillo
implica riesgo y efecto moderado y el color verde implica un riesgo reducido e impacto
leve.

.MAPA DE CALOR QUE PRESENTA NIVELES DE RIESGO (PROBABILIDAD E

IMPACTO) CON UN CÓDIGO DE COLOR
Respuesta al riesgo

Es el proceso de identificación y evaluación, por parte de la Dirección, de las posibles

acciones a implementar a fin de que el riesgo sea:

 Evitado
 Reducido
 compartido y/o aceptado.

La Dirección obtiene una visión de los riesgos y respuestas individuales una vez que han
sido completadas las acciones decididas y teniendo en cuenta las tolerancias asociadas.
Tanto el riesgo inherente como el residual pueden ser valorados cualitativa y
cuantitativamente, en general, se utilizan las mismas mediciones. Para determinados
riesgos, la Dirección puede confiar en técnicas diversas a fin de reducir el riesgo residual
hasta situarlo en un nivel aceptable.

Perspectiva de cartera de riesgo residual

 La Dirección crea una perspectiva de cartera con la finalidad de determinar si el

perfil que tiene la organización se encuentra alineado con el riesgo aceptado en
relación con sus objetivos y su enfoque de gestión.
 Modo en que la empresa evalúa el riesgo en toda su organización.
 Desarrollo de una visión de portafolio, tanto a nivel de unidades de negocio como
a nivel de la organización.
 Determinación si el perfil de riesgo residual de la entidad está acorde con su
apetito de riesgo global.
 Consideración de cómo los riesgos individuales se interrelacionan.
 Modo en que los directivos establecen objetivos, tolerancias al riesgo y
mediciones de rendimiento que sean relevantes para sus operaciones.
Ejemplo

Supervisión

Esta tarea implica la evaluación de las actividades de control de los sistemas de la

organización. Le incumbe a la Dirección la existencia de una estructura de control interno
idónea y eficiente, así como la revisión y actualización periódica para mantenerla en un
nivel adecuado.
Factores a considerar en la supervisión

La tarea de supervisión tiene por objeto revisar que el proceso de Gestión de Riesgos
mantenga su efectividad a lo largo del tiempo y que todos los componentes del marco
ERM funcionen adecuadamente. Ésta se lleva a cabo a través de:

 Actividades permanentes de supervisión, que se desarrollan durante el curso

normal de las operaciones.
 Evaluaciones independientes o puntuales, realizadas por personal no responsable
directo de la ejecución de las actividades. Su alcance y frecuencia depende de los
resultados de la evaluación de riesgos y de la efectividad de las actividades de
supervisión continuas.
 Una combinación de ambas técnicas. La comunicación de deficiencias en la
administración de riesgos se realiza de forma ascendente, trasladando los temas
más importantes a la Alta Dirección y a la Gerencia.

Ejemplo

DE ACTIVIDADES DE SUPERVISIÓN PERMANENTE

La Dirección revisa informes de indicadores claves de actividad del negocio, tales como
datos resumidos de nuevas ventas o sobre la posición de liquidez e información sobre la
cartera de pedidos atrasados, márgenes brutos y otras estadísticas claves financieras y
operativas.

La Dirección operativa compara la producción, inventario, medidas de calidad, ventas y

otra información obtenida en el curso de las actividades diarias con información generada
en el sistema, así como en el presupuesto y en la planificación.
La Dirección revisa el rendimiento, comparándolo con los límites establecidos para los
índices de riesgos, como es el caso de tasas de error aceptables, artículos en tránsito,
partidas de conciliación.

La Dirección revisa transacciones comunicadas a través de indicadores de alerta.

La Dirección revisa indicadores clave de rendimiento, como por ejemplo las tendencias
de las variaciones en los resultados reales respecto de los presupuestados o respecto a
períodos anteriores.
Bibliografía

https://dspace.ups.edu.ec/bitstream/123456789/7763/1/UPS-CT004619.pdf

file:///C:/Users/JOHANNA/Downloads/686-Texto%20del%20art%C3%ADculo-
2721-1-10-20170915%20(4).pdf

https://bdigital.uncu.edu.ar/objetos_digitales/6694/bertanipolesellosancheztroila-
tesisfce.pdf