Coso I Y II

I. Introducción

Debido al mundo económico integrado que existe hoy en día se ha creado la necesidad de incluir metodología y conceptos en todos los niveles de las diversas áreas administrativas y operativas, con el fin de ser competitivos y responder a las nuevas exigencias empresariales, surge así un nuevo concepto de control interno donde se brinda una estructura común el cual es documentado en el denominado

“Informe Coso”.

Hace más de una década el Committee of Sponsoring Organizations of the Treadway Commission, conocido como COSO, publicó el Internal Control - Integrated Framework (COSO I) para facilitar a las empresas a evaluar y mejorar sus sistemas de control interno. Desde entonces ésta metodología se incorporó en las políticas, reglas y regulaciones y ha sido utilizada por muchas compañías para mejorar sus actividades de control hacia el logro de sus objetivos.

Hacia fines de Septiembre de 2004, como respuesta a una serie de escándalos, e irregularidades que provocaron pérdidas importante a inversionistas, empleados y otros grupos de interés, nuevamente el Committee of Sponsoring Organizations of the Treadway Commission, publicó el Enterprise Risk Management - Integrated Framework (COSO II) y sus Aplicaciones técnicas asociadas, el cual amplía el concepto de control interno, proporcionando un foco más robusto y extenso sobre la identificación, evaluación y gestión integral de riesgo.

En el siguiente informe analizaremos el COSO I y COSO II más detalladamente, indicando su correspondiente definición, características, objetivos.

II. ¿Qué es COSO?

Es una Organización voluntaria del sector privado, establecida en los EEUU, dedicada a proporcionar orientación a la gestión ejecutiva y las entidades de gobierno sobre los aspectos fundamentales de organización de este, la ética empresarial, control interno, gestión del riesgo empresarial, el fraude, y la presentación de informes financieros.

El Control Interno se define entonces como un proceso integrado a los procesos, y no un conjunto de pesados mecanismos burocráticos añadidos a los mismos, efectuado por el consejo de la administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar una garantía razonable para el logro de objetivos.

La seguridad a la que aspira solo es la razonable, en tanto siempre existirá el limitante del costo en que se incurre por el control, que debe estar en concordancia con el beneficio que aporta; y, además, siempre se corre el riesgo de que las personas se asocien para cometer fraudes.

Se modifican, también, las categorías de los objetivos a los que está orientado este proceso.

De una orientación contable, el Control Interno pretende garantizar:

• Efectividad y eficiencia de las operaciones.

• Confiabilidad de la información financiera.

• Cumplimiento de las leyes y normas que sean aplicables.

• Salvaguardia de los recursos.

III. Componentes del COSO I:

- Ambiente de control

- Evaluación de riesgo

- Actividades de control

- Información comunicacional

- Monitoreo

1. AMBIENTE DE CONTROL: es el fundamento de todos los demás componentes del control interno, proporcionando disciplina y estructura.

2. EVALUACIÓN DE RIESGO: identificación y análisis de los riesgos relevantes para la consecución de los objetivos, constituyendo una base para determinar cómo se deben administrar los riesgos.

3. ACTIVIDAD DE CONTROL: políticas y procedimientos que ayudan asegurar que las directivas administrativas se llevan a cabo.

4. INFORMACIÓN COMUNICACIONAL: identificación, obtención, y comunicación de información pertinente en una forma y en un tiempo que le permita a los empleados cumplir con sus responsabilidades.

5. MONITOREO: proceso que valora el desempeño de sistema de tiempo.

IV. Componentes del COSO II:

- Ambiente interno

- Establecimiento de objetivos

- Identificación de eventos

- Evaluación de riesgos

- Respuesta al riesgo

- Actividades de control

- Información y comunicación

- Monitoreo

1. Ambiente interno: Sirve como la base fundamental para los otros componentes del ERM, dándole disciplina y estructura. Dentro de la empresa sirve para que los empleados creen conciencia de los riesgos que se pueden presentar en la empresa.

2. Establecimientos de objetivos: Es importante para que la empresa prevenga los riesgos, tenga una identificación de los eventos, una evaluación del riesgo y una clara respuesta a los riesgos en la empresa.

La empresa debe tener una meta clara que se alineen y sustenten con su visión y misión, pero siempre teniendo en cuenta que cada decisión con lleva un riesgo que debe ser previsto por la empresa.

3. Identificación de eventos: Se debe identificar los eventos que afectan los objetivos de la organización aunque estos sean positivos, negativos o ambos, para que la empresa los pueda enfrentar y proveer de la mejor forma posible.

La empresa debe identificar los eventos y debe diagnosticarlos como oportunidades o riesgos. Para que pueda hacer frente a los riesgos y aprovechar las oportunidades.

4. Respuesta al riesgo: Una vez evaluado el riesgo la gerencia identifica y evalúa posibles repuestas al riesgo en relación a las necesidades de la empresa.

Las respuestas al riesgo pueden ser:

- Evitarlo: se discontinúan las actividades que generan riesgo.

- Reducirlo: se reduce el impacto o la probabilidad de ocurrencia o ambas

- Compartirlo: se reduce el impacto o la probabilidad de ocurrencia al transferir o compartir una porción del riesgo.

- Aceptarlo: no se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo.

5. Actividad de control: Son las políticas y procedimientos para asegurar que la respuesta al riesgo se lleve de manera adecuada y oportuna.

Tipo de actividades de control: Preventiva, manuales, computarizadas o controles gerenciales

6. Respuesta al riesgo: Una vez evaluado el riesgo la gerencia identifica y evalúa posibles repuestas al riesgo en relación a las necesidades de la empresa.

Las respuestas al riesgo pueden ser:

- Evitarlo: se discontinúan las actividades que generan riesgo.

- Reducirlo: se reduce el impacto o la probabilidad de ocurrencia o ambas

- Compartirlo: se reduce el impacto o la probabilidad de ocurrencia al transferir o compartir una porción del riesgo.

- Aceptarlo: no se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo.

7. Información y comunicación: La información es necesaria en todos los niveles de la organización para hacer frente a los riesgos identificando, evaluando y dando respuesta a los riesgos.

La comunicación se debe realizar en sentido amplio y fluir por toda la organización en todos los sentidos. Debe existir una buena comunicación con los clientes, proveedores, reguladores y accionistas.

8. Monitoreo: Sirve para monitorear que el proceso de administración de los riesgos sea efectivo a lo largo del tiempo y que todos los componentes del marco ERM funcionen adecuadamente.

El monitoreo se puede medir a través de:

- Actividades de monitoreo continuo

- Evaluaciones puntuales

- Una combinación de ambas formas

...