CONTROL INTERNO COSO II
El COSO es un sistema que permite
implementar el control interno en cualquier tipo de entidad u organización. Sus
siglas se refieren al Committee of Sponsoring Organizations of The Treadway
Commission, quienes evaluaron y llegaron a la conclusión que la ausencia de
orden en los procesos de una entidad, representa una diversidad de riesgos, por
lo tanto, es necesario evaluarlos y darles una respuesta inmediata para evitar
los posibles fraudes o errores que pudieren surgir
COSO II ERM
Coso ERM (Enterprise Risk Managemennt) Administración de Riegos de la Empresa
COSO
II “ERM” toma muchos aspectos importantes que el coso I no considera, como por
ejemplo
- El establecimiento de objetivos
- Identificación de riesgo
- Respuesta a los riesgos
ESTRUCTURA DEL COSO II
Los
8 componentes del coso II están interrelacionados entre sí. Estos procesos deben
ser efectuados por el director, la gerencia y los demás miembros del personal
de la empresa a lo largo de su organización
Los
8 componentes están alineados con los 4 objetivos. Donde se consideran las
actividades en todos los niveles de la organización
AMBIENTE INTERNO
El ambiente
interno abarca el tono de una organización y establece la base de cómo el
personal de la entidad percibe y trata los riesgos, incluyendo la filosofía de
administración de riesgo y el riesgo aceptado, la integridad, valores éticos y
el ambiente en el cual ellos operan.
ESTABLECIMIENTO DE OBJETIVOS
Que la empresa
debe tener una meta clara que se alineen y sustenten con su visión y misión,
pero siempre teniendo en cuenta que cada decisión con lleva un riesgo que debe
ser previsto por la empresa. Es importante para que la empresa prevenga los
riesgos, tenga una identificación de los eventos, una evaluación del riesgo y
una clara respuesta a los riesgos en la empresa.
IDENTIFICACIÓN DE EVENTOS
Que
se debe identificar los eventos que afectan los objetivos de la organización
aunque estos sean positivos, negativos o ambos, para que la empresa los pueda
enfrentar y proveer de la mejor forma posible.
EVALUACION DE RIESGOS
Los riesgos se
analizan considerando su probabilidad e impacto como base para determinar cómo
deben ser administrados. Los riesgos son evaluados sobre una base inherente y
residual bajo las perspectivas de probabilidad (posibilidad de que ocurra un evento)
e impacto (su efecto debido a su ocurrencia)
RESPUESTA AL RIESGO
Una
vez evaluado el riesgo la gerencia identifica y evalúa posibles repuestas al riesgo
en relación a las necesidades de la empresa.
Las
respuestas al riesgo pueden ser:
- Evitarlo: Se toman acciones de discontinuar las actividades que generan el riesgo
- Reducirlo: Se reduce el impacto o la probabilidad de ocurrencia o ambas
- Compartirlo: Se reduce el impacto o la probabilidad de ocurrencia al transferir o compartir una porción del riesgo.
- Aceptarlo: No se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo.
ACTIVIDADES DE CONTROL
Son las políticas y los procedimientos
que ayudan a asegurar que se lleven a cabo las instrucciones de la dirección de
la empresa. Ayudan a asegurar que se tomen las medidas necesarias para
controlar los riesgos relacionados con la consecución de los objetivos de la
empresa.
INFORMACIÓN Y
COMUNICACIÓN
La información es necesaria en todos los niveles
de la organización para hacer frente a los riesgos identificando, evaluando y
dando respuesta a los riesgos. La comunicación se debe realizar en sentido
amplio y fluir por toda la organización en todos los sentidos. Debe
existir una buena comunicación con los clientes, proveedores, reguladores y
accionistas.
MONITOREO
Sirve para
monitorear que el proceso de administración de los riesgos sea efectivo a lo
largo del tiempo y que todos los componentes del marco ERM funcionen
adecuadamente
Esto se consigue mediante actividades de supervisión continuada, evaluaciones
periódicas o una combinación de ambas cosas