UNIVERSIDAD PERUANA LOS ANDES

FACULTAD DE CIENCIAS ADMINISTRATIVAS

Y CONTABLES
ESCUELA PROFESIONAL DE CONTABILIDAD Y FINANZAS

MONOGRAFÌA

DIFERENCIA ENTRE COSO I,

COSO II Y COSO III
ASIGNATURA:

CONTROL INTERNO

DOCENTE:

HUAMAN CAMAC, Alberto William

INTEGRANTES:

RONDON HILARIO, Ariana Keiko

SECCIÒN: R-1
CICLO: VII

HYO-2020- PERÙ
 Dedicatoria  

El presente trabajo de
investigación está dedicado
completamente a
nuestra maestra, quien nos
ha inspirado con su trabajo
para poder realizar con
éxito este proyecto.
  Agradecimientos

Esta monografía fue de

mucha información para nosotras por
eso agradecemos a la Universidad
Peruana los Andes, por ser el alma
mater de nuestra formación
académica y profesional, a nuestro
profesor por motivarnos a investigar
la realidad que estamos viviendo.  
Las Autoras.
 INTRODUCCION

Debido a la globalización de los mercados y a las nuevas estrategias competitivas y de

expansión, las expresas se vieron en la necesidad de cambiar sus estructuras
organizacionales, procesos, productos, consumidores e inversiones, hechos que
ocasionaron riesgos inherentes normales y otros nuevos que se han ido considerando
como parte del desarrollo y actualización de las empresas a los tiempos, tales como: los
riesgos generados en la integridad de sus activos ,el cumplimiento de leyes y
regulaciones, los sistemas de información, la administración financiera, el talento
humano y las operaciones.

Las empresas entendieron que la administración de riesgo no es solamente el

cumplimiento de los principios contables y legales, la diversidad de riesgo, viéndose la
necesidad de protegerse de irregularidades y fraudes con sistemas de control interno
adecuados a la metodología COSO II ERM, con el propósito de efectuar una adecuada
administración de riesgos que permitiera identificar, evaluar y responder adecuadamente
a los riesgos presentados, de modo que se estuviese preparado para enfrentar situaciones
que limiten el logro de los objetivos del negocio. Al respecto, se han realizado y
publicado importantes estudios e investigaciones relacionados a la implementación y
evaluación de un adecuado marco de control interno, así, Vega Sepúlveda, Edilberto
(2008) en su tesis denominada: “El sistema de control interno en la empresa moderna”,
manifestó que un adecuado sistema de control interno es el elemento clave para llevar a
cabo una adecuada gestión y que este no es el elemento perturbador de la gestión, sino
todo lo contrario, es el elemento facilitador de la gestión óptima de las empresas
modernas; asimismo, Ramón Ruffner, Jeri (2004) a través de su artículo “El control
interno en las empresas privadas”, indicó que el control interno de las empresas privadas
se ha convertido últimamente en uno de los pilares en las organizaciones empresariales,
pues nos permite observar con claridad la eficiencia y la eficacia de las operaciones y la
confiabilidad de los registros y, el cumplimiento de las leyes, normas y regulaciones
aplicables. Finalmente, Velezmoro La Torre, Oscar (2010) en su investigación titulada
“Modelo de gestión de riesgo operacional en una institución financiera peruana dentro
de un enfoque integrado de gestión de riesgos”, desarrolló un modelo de Gestión de
Riesgo Operacional bajo el enfoque de gestión integral de riesgos COSO ERM para
prevenir y reducir niveles de pérdida que ocurran por este riesgo. Basados en los aportes
ya mencionados, el presente trabajo respondió a la necesidad de determinar el nivel de
desarrollo de un Sistema de Control Interno aplicando la metodología COSO ERM, de
modo que constituya una herramienta por la cual se pueda conocer con exactitud la
situación actual de una entidad, en la medida que provee información a la gerencia y
directorio con respecto a los riesgos más significativos y a la forma como los mismos
están siendo administrados. El propósito principal fue identificar áreas de mayor riesgo
y establecer planes de acción para mitigar los riesgos existentes; así como, contribuir a
la consecución de objetivos establecidos por las principales áreas de cada empresa.
 COSO ERM

I.1. DEFINICION
El COSO II es un sistema de gestión de riesgo y control interno para
cualquier organización. Se basa en un marco cuyo objetivo es diagnosticar
problemas, generar los cambios necesarios para gestionarlos y evaluar la
efectividad de los mismos. Sus siglas se refieren al Committee of Sponsoring
Organizations of the Treadway Commission, una institución dedicada a
guiar a los ejecutivos y las entidades de gobierno en aspectos relevantes del
gobierno corporativo, ética empresarial, control interno, gestión de riesgos
empresariales, fraude e informes financieros.

Este proyecto inició en el 2001 con la implantación de los principios del

COSO I y en el 2004 se modificó para una versión mejorada: el COSO II o
COSO ERM (Enterprise Risk Management). Se trata de un proceso continuo
efectuado por el personal de una compañía (en todos los niveles) y diseñado
para identificar eventos potenciales y evaluarlos. Así, provee de seguridad a
todo tipo de organización para el cumplimiento de objetivos o proyectos sin
el impacto del riesgo

I.2. PALABRAS CLAVE

Administración de Riesgos: Proceso efectuado por el Directorio, Gerencia
y otros miembros del personal, aplicado en el establecimiento de la estrategia
y a lo largo de la organización, diseñados para identificar eventos potenciales
que puedan afectarla y administrar riesgos de acuerdo a su apetito de riesgos,
de modo de proveer seguridad razonable en cuanto al logro de los objetivos
de la organización.

Eventos y Riesgos: Se deben identificar eventos y riesgos potenciales que

afectan la implementación de las estrategias o el logro de los objetivos, con
impacto positivos, negativos o ambos.

Apetito de Riesgo: Es la cantidad de riesgo en un nivel amplio que una

empresa está dispuesta a aceptar para generar valor.
 Se considera en el establecimiento de la estrategia, permite el alineamiento
de la organización, las personas, procesos e infraestructura; Expresados en
términos cualitativos o cuantitativos.

Tolerancia al Riesgo: Es el nivel aceptable de desviación en relación con el

logro de los objetivos. Se alinea con el apetito de Riesgo.

Visión de portafolio de Riesgos

- ERM propone que el riesgo sea considerado desde una perspectiva de la

entidad en su conjunto o de portafolio de riesgos.
- Permite desarrollar una visión de portafolio de riesgos tanto a nivel de
unidades de negocio como a nivel de la entidad.
- Es necesario considerar como los riesgos individuales se
interrelacionan.
- Permite determinar si el perfil de riesgo residual de la entidad está
acorde con su apetito de riesgo global.

I.3. OBJETIVO
La implementación de COSO ERM se enfoca en la estrategia y
desempeño, de tal forma que las organizaciones se orienten desde dicho
marco en los riesgos empresariales y emergentes asociados a la estrategia
definida, y la cual tiene efectos en todas las áreas de la organización. Es así
como la puesta en marcha de la nueva herramienta de Auditool permitirá
comprender cómo se encuentra la organización dentro del marco estratégico;
así como también recomendará la implementación de nuevas y
diferentes herramientas que contribuyan a su aplicación y toma de
decisiones, para complementarse finalmente con COSO 2013 desde su
enfoque en el Control Interno.BENEFICIOS

- Proporciona una comprensión más amplia y clara de lo que significa la

gestión del nivel de riesgo y su papel clave en la implementación de
estrategias.
- Permite establecer objetivos de rendimiento basados en la alineación
entre el rendimiento y la gestión integral del riesgo empresarial para el
beneficio de la empresa.
 - da pautas relacionadas con la gobernanza y la supervisión aplicables
para cualquier empresa.
- Hace un reconocimiento del nuevo contexto planteado por la
globalización de la economía y la necesidad de adaptación a los
mismos.
- Presentan nuevas perspectivas para entender y analizar el riesgo como
la manera más efectiva de adaptarse a la complejidad del mundo de los
negocios
- Es una fuente suficiente y completa para responder a las expectativas de
los administradores y todos los interesados en ampliar su entendimiento
sobre la gestión de riesgos.
- Es compatible con la evolución y el uso de las TIC, así como su
aplicabilidad en el manejo de datos y en la toma de decisiones. Y
octavo, establece definiciones básicas y principios que deben tenerse en
cuenta en todos los niveles de gestión del riesgo y así poder establecer
estrategias más acertadas.

I.4. BENEFICIOS
 Contar con modelos sugeridos para la implementación y/o actualización
de los 20 principios 
 Tener herramientas integrales que apoyen la implementación del nuevo
marco
 Apoyar a la administración y demás grupos de interés en la puesta en
marcha de las operaciones dentro del nuevo marco.

1.5. COMPONENTES

a. Ambiente interno
Sirve como la base fundamental para los otros componentes del ERM,
dándole disciplina y estructura. Dentro de la empresa sirve para que los
empleados creen conciencia de los riesgos que se pueden presentar en la
empresa.
 b. Establecimientos de objetivos.
Es importante para que la empresa prevenga los riesgos, tenga una
identificación de los eventos, una evaluación del riesgo y una clara
respuesta a los riesgos en la empresa.
La empresa debe tener una meta clara que se alineen y sustenten con su
visión y misión, pero siempre teniendo en cuenta que cada decisión con
lleva un riesgo que debe ser previsto por la empresa.

c. Identificación de eventos
Se debe identificar los eventos que afectan los objetivos de la
organización, aunque estos sean positivos, negativos o ambos, para que
la empresa los pueda enfrentar y proveer de la mejor forma posible.

La empresa debe identificar los eventos y debe diagnosticarlos como

oportunidades o riesgos. Para que pueda hacer frente a los riesgos y
aprovechar las oportunidades.

IDENTIFICACIÓN DE EVENTOS

EVENTOS EXTERNOS

- La Economía
- El Comercio
- Catástrofes
- Medio Ambiente.
- Políticas de gobierno.
- Cambios de ámbitos sociales.
- Tecnología.

EVENTOS INTERNOS

- El personal
- Procesos tecnología
- Riesgo
- Oportunidades
d. Evaluación de riesgos
En la evaluación de riesgos se mezclan los potenciales eventos futuros
relacionados a la entidad y sus objetivos, lo que considera en el análisis
del tamaño de la estructura, la complejidad de los procesos, funciones y
el grado de regulación de sus actividades, entre otros

Evaluar los Riesgos desde 2 Perspectivas:

- Probabilidad.
- Impacto.

Metodología de evaluación de riesgos

- Cualitativas
- Cuantitativas

e. Respuesta al riesgo
Una vez evaluado el riesgo la gerencia identifica y evalúa posibles
repuestas al riesgo en relación a las necesidades de la empresa.

Las respuestas al riesgo pueden ser:

- Evitarlo: se discontinúan las actividades que generan riesgo.
- Reducirlo: se reduce el impacto o la probabilidad de ocurrencia o
ambas
- Compartirlo: se reduce el impacto o la probabilidad de ocurrencia
al transferir o compartir una porción del riesgo.
- Aceptarlo: no se toman acciones que afecten el impacto y
probabilidad de ocurrencia del riesgo.

f. Actividades de control
Son las políticas y procedimientos para asegurar que las respuestas al
riesgo se lleven de manera adecuada y oportuna.

Tipo de actividades de control:

- Preventiva, detectivas, manuales, computarizadas o controles
gerenciales
 g. Información y comunicación
La información es necesaria en todos los niveles de la organización para
hacer frente a los riesgos identificando, evaluando y dando respuesta a
los riesgos.
La comunicación se debe realizar en sentido amplio y fluir por toda la
organización en todos los sentidos.
Debe existir una buena comunicación con los clientes, proveedores,
reguladores y accionistas.

h. Monitoreo
Sirve para monitorear que el proceso de administración de los riesgos
sea efectivo a lo largo del tiempo y que todos los componentes del
marco ERM funcionen adecuadamente.
El monitoreo se puede medir a través de:
- Actividades de monitoreo continuo.
- Evaluaciones puntuales.
- Una combinación de ambas formas

Las regulaciones también pueden comunicar a la entidad disposiciones

u otras materias que afecten las funciones o los procesos de
administración de riesgos. Los auditores internos y externos
permanentemente proponen recomendaciones para fortalecer la
Administración de riesgos.

1.6. VENTAJAS Y DESVENTAJAS

1.7. RELACION ENTRE EL COSO I – II

1.8. DIFERENCIAS ENTRE COSO I – II (COMPONENTES)

 1.9. ANALISIS
COSO II “ERM” toma muchos aspectos importantes que el coso I no
considera, como, por ejemplo:

- El establecimiento de objetivos
- Identificación de riesgo
- Respuesta a los riesgos

Se puede decir que estos componentes son claves para definir las metas de
la empresa. Si los objetivos son claros se puede decidir qué riegos tomar
para hacer realidad las metas de la organización. Amplía el concepto de
control interno, proporcionando un foco más robusto y extenso sobre la
identificación, evaluación y gestión integral de riesgo. De esta manera se
puede hacer una clara identificación, evaluación, mitigación y respuesta
para los riesgos.

Cuanto mayor sea el nivel de desarrollo del sistema de control interno basado en la
metodología COSO ERM, este será más eficiente para identifica áreas de mayor riesgo
y contribuirá a la consecución de objetivos de la entidad”

En primer lugar, establecimos la probabilidad y el impacto de cada riesgo. Para lograr

este efecto, obtuvimos una respuesta consensuada entre los colaboradores de la empresa
evaluada a través de una” lluvia de ideas” y consistió en tomar la lista o portafolio de
riesgos identificados y distribuirla a todos los participantes acompañado de un
cuestionario de preguntas por cada riesgo, que permitió establecer probabilidad de
ocurrencia de un riesgo identificad y se basó en el número de veces que el riesgo podría
materializarse en el año. Del mismo modo, se evaluó el impacto que no es más que la
pérdida financiera estimada al hacerse efectivo el riesgo.

Al respecto, los participantes identificaron cuarenta riesgos en las áreas de créditos y

cobranzas y, estos fueron evaluados en términos de probabilidad e impacto, los
resultados de estos puntajes fueron transferidos a un mapa de riesgos que es una
representación gráfica que traza en sus ejes estimaciones cuantitativas y cualitativas de
la probabilidad e impacto de los riesgos identificados, luego, estos riesgos se
presentaron desde los más significativo (mayor probabilidad e impacto) hasta los menos
significativos (menor probabilidad e impacto); una vez identificados los riesgos ,estos
fueron clasificados en cuatro categorías: Bajo, medio, alto y crítico, para ello, el uso
eficaz del mapa de riesgos permitió identifica las áreas que necesitaban mayor análisis y
respuestas a riesgos específicos.

Una vez identificados y evaluados los riesgos, también evaluamos los controles que
presentaban cada riesgo y que fueron implementados para minimizar dicho riesgo.

Cálculo del Riesgo Residual

Finalmente, evaluamos el riesgo resultante después de aplicar los controles, este riesgo
se denomina riesgo residual. La fórmula para determinar el nivel de exposición del
riesgo es la división del nivel de riesgo entre el nivel de eficacia del control que se
encuentra asociado al riesgo.
La siguiente tabla muestra los hallazgos en torno a las áreas de créditos y cobranzas,
luego de aplicar la metodología COSO ERM.

VALIDACIÓN DE HIPÓTESIS

Habiéndose aplicado la matriz de riesgos a las áreas de créditos y cobranzas, se

determinaron 40 riesgos distribuidos en los subprocesos de estas áreas, estos riesgos se
enfocaron, principalmente en cuanto afectarían a la consecución de los objetivos
estratégicos y operativos de la empresa. Asimismo, se determinaron 34 controles
establecidos en cada actividad y 6 actividades que no cuentan con controles, lo que nos
indica que la aplicación de la metodología COSO ERM, nos permite obtener
información que nos ayude a formular mejor la evaluación del control interno de la
entidad, por cuanto al tenerse claramen teidentificados los procesos con mayores niveles
de riesgos, las acciones y actividades se dirigirán hacia estos, con lo que los recursos
humanos y materiales serán mejor administrados.
Asimismo, permitirá a la entidad establecer una adecuada gestión de riesgos en la que se
involucre a todo el personal como parte de la filosofía de la empresa la misma que
coadyuvará al logro de objetivos y mejoras en el trabajo de los colaboradores y los
objetivos de la entidad.

RESULTADOS

El análisis de los resultados se realizó en base a una reflexión sobre los resultados
obtenidos del trabajo de campo y en función del problema de investigación, los
objetivos del estudio, la hipótesis y el marco teórico. Para lograr nuestro objetivo, fue
necesario tomar como objeto de estudio las áreas de créditos y cobranzas de una entidad
dedicada a la colocación y recuperación de créditos de consumo; posteriormente, se
depuró los datos e información y se describió los resultados, se analizó la hipótesis en
relación con los resultados obtenidos para verificarl o rechazarla y se estudió cada uno
de los resultados, relacionándolos con el marco teórico. Los pasos a seguir fueron los
siguientes:

Paso 1- Planificación del proceso de evaluación del control interno.

Se reunió la información necesaria a fin de obtener un conocimiento amplio sobre los

diversos asuntos relacionados con el control interno de las diversas áreas de la entidad
evaluada. Para ello, se defini los objetivos y el alcance del trabajo, se estableció los
controles que deberían ser aprobados y

documentados; se describió los procedimientos a ser ejecutados en la evaluación de

controles; se organizaron el equipo y/o encargado responsable, el mismo que debió
reunir habilidades, conocimientos y experiencias necesarias para desarrollar las tareas
encomendadas.

Paso 2 - Identificación de controles internos.

La identificación del proceso de evaluación descansó en dos niveles:

Controles en el nivel de la entidad: Comprendieron las actividades que generalmente

operan en el nivel de la institución como sonlos controles relacionados con el ambiente
de control y centralización del proceso y de los controles.

Controles en el nivel de procesos: Relacionados con los procesos del negocio y están
diseñados para detectar y prevenir la ocurrencia de errores en la ejecución de dichos
procesos. Un buen camino para confirmar la comprensión en el diseño de los controles
fue realizar una prueba de recorrido apropiado sobre estos.

Paso 3 - Evaluación de la efectividad de contro les internos e identificación de

deficiencias.

Para evaluar la efectividad de los controles internos en la entidad, se diseñaron las

pruebas a ser usadas sobre los controles significativos; realizando las evaluaciones sobre
los aspectos de diseño y operación de controles en los aspectos aplicables; evaluando
los resultados obtenidos e identificando si fuera el caso, las deficiencias (debilidades
materiales y deficiencias significativas) en el control interno de la organización.

Paso 4 - Recomendación de mejoras en los controles internos e implementación.

Las recomendaciones de las mejoras que resultaron de la evaluación de control interno

se orientaron a corregir las debilidades materiales y deficiencias significativas
identificadas, por este motivo, dichas mejoras debieron ser preparadas en términos
concretos y ser factibles de implementar en corto tiempo. Para el diseño de las mejoras
en los controles internos, el equipo responsable debió considerar las circunstancias que
ayudaron a la entidad a lograr la implementación de los criterios considerados como
necesarios, teniendo en cuenta sus causas y consecuencias posibles, los beneficios de la
aplicación de la mejora del control interno, el costo de implementación de la mejora en
el control interno y las posibles consecuencias aplicables al control.

Paso 5 - Seguimiento de la implementación demejoras en los controles.

El seguimiento es la implementación de las recomendaciones para la mejora del control

interno. Por lo tanto, la tarea realizada por el equipo responsable de la evaluación del
control interno, no hubiera sido de utilidad si no se hubiesen logrado materializar las
mejoras diseñadas y orientadas a incrementar la efectividad en las operaciones, la
confiabilidad de la información financiera, la salvaguarda de activos y el cumplimiento
de leyes y regulaciones aplicables.
CONCLUSIONES

Tal como apreciamos, la aplicación de una adecuada metodología como el COSO ERM
en la evaluación del control interno nos permitió identificar y evaluar los riesgos en los
diferentes procesos y áreas de una entidad, y proporcionar una evaluación sobre el
desempeño de la misma, orientado a mejorar la eficacia y eficiencia en el uso de los
recursos y la consecución de los objetivos institucionales.

La aplicación de la metodología, permitió contar con bases de datos que ayudaron a

formular y mejorar los Planes de Control, por cuanto al tenerse claramente identificados
los procesos con mayores niveles de riesgos, las acciones y actividades se dirigieron
hacia estos, con lo que los recursos humanos y materiales fueron mejor administrados.
RECOMENDACIONES

Se recomienda que la metodología COSO ERM aplicada a lo largo de la investigación,

sea considerada como base para la evaluación del control interno en las distintas
entidades, debiendo tenerse en cuenta.

Es necesario que todos los colaboradores de la entidad deban cumplir con el rol de
aseguramientode éxito de la gestión de riesgo, ya que este no sería efectivo si su
implementación y administración es realizada por personas con poca o ninguna
comprensión de los factores de decisión que involucra la gestión de riesgos, por lo que
se debe considerar su mayor efectividad sí es conducido por personas que están cerca de
las situaciones de riesgo en el negocio y comprenden con facilidad los factores que los
rodean y sus consecuencias.