UNIVERSIDAD DE SAN CARLOS DE GUATEMALA

FACULTAD DE CIENCIAS ECONÓMICAS

ESCUELA DE AUDITORIA

AUDITORIA IV

EDIFICIO S3 - SALON 110

LIC. LUDWING HERNANDEZ

“METODO COSO-ERM”
Integrantes: GRUPO 6

Carne No. Nombre

8211954 Leonel Estuardo Lima Merlos

8810530 Marco Tulio, Hernández

8911034 Werner Nilson, Rodas Calel

9518066 Carlos Eduardo, Sic

9716101 Ibis Kris, Garcia Perez

200013040 Mynor Alcides, López Botello

200116507 Julio Saúl, Mendoza Zacarías

200512650 Paolo Salvatore Molina Morales

200612656 Rolando Enrique, Garcia Barrio

200613111 Bryan Arturo, Cabrera Méndez

200711652 Lilian Carolina, Garcia Barrios

200711832 Chrystian Josue, Monterroso Borrayo

Guatemala, 06 de Agosto de 2010.

 Guatemala 06 de Agosto 2010.

INTRODUCCION

Este trabajo comprende todo lo referente al sistema C.O.S.O E.R.M. que en ingles dice committeé of
sponsoring of the Treadway ( Comité de Patrocionio de la Treadway ), Enterprise Risk Management
( Gestión Del Riesgo Empresarial), el cual incluye un marco integral para la Administración de Riesgos
Corporativos.-

El COSO ERM ayuda a la creación del valor permitiendo al Management

( Administrador ) manejarse eficazmente con eventos futuros potenciales que crean incertidumbre,
también ayuda responder con comportamientos que reduzcan la probabilidad de resultados
desventajosos e incrementen los beneficios.-

El Sistema COSO ERM proyecta mayores capacidades para alinear el apetito por el riesgo y la estrategia,
conectar crecimiento, riesgo y retorno, mejorar las decisiones en respuesta a los riesgos, minimizar
sorpre sas y perdidas operacionales, identificar y gestionar riesgos cruzados, proveer respuestas
integrales a riesgos múltiples, dimensionar oportunidades, racionalizar el capital, etc.

Como comprenderán el objeto de estudio de este tema COSO ERM es un instrumento de mucha
importancia para reducir los riesgos empresariales, asegurando y orientando a prevenir o dar respuesta a
todos los riesgos a los cuales esta expuesto el ente empresarial.-

2
 Guatemala 06 de Agosto 2010.

ANTECEDENTES

¿Qué es COSO?

Committee of Sponsoring Organizations of the Treadway Commission (COSO). Creado en 1985.

Es una organización del sector privado, dedicada a mejorar la calidad de los reportes financieros
mediante la ética de negocio, controles internos eficaces y gobierno corporativo.
Treadway Commission on Fraudulent Financial Reporting 1987.
Marco Integrado de Control Interno publicado en 1992 .

¿Por qué es Importante COSO?

COSO proporciona un marco integral del control interno y herramientas de evaluación para
sistemas de control.
Proporciona una terminología utilizada comúnmente y principios usados como guía para
desarrollar una arquitectura efectiva para la administración de riesgos.
Proporciona una visión integral del sistema de control institucional.

¿Cómo se Inició ERM?

ERM comenzó en las empresas de servicios financieros, seguros, servicios públicos, petróleo,
gas, e industrias manufactureras químicas.

¿Por qué ahí?

En estas industrias los riesgos están bien documentados y medidos; comúnmente se utilizan
sofisticados modelos estadísticos; existe entendimiento y supervisión sobre la sensibilidad del
mercado y riesgos.

3
 Guatemala 06 de Agosto 2010.

¿Cómo se Inició ERM?

Los Auditores Internos utilizan ERM porque la metodología tradicional de muestreo usualmente no
es suficiente para obtener los resultados deseados.

La metodología tradicional es a menudo ineficaz y costosa.

El enfoque cambió de auditoría basada en control. Se enfoca en el riesgo para determinar qué es
importante y seleccionar la muestra de control. La auditoría “basada en riesgo” es ahora la norma
del IIA.

Control Interno – Marco Integral. Efectividad y eficacia de las operaciones. Confiabilidad en los
reportes financieros. Cumplimiento con las leyes y reglamentos aplicables.

El nuevo marco COSO descansa en los primeros conceptos de control interno y refleja lo valioso
de ERM. Conceptos Clave sobre ERM. Todas las entidades existen para darles valor a sus
accionistas.

Todas las entidades enfrentan la incertidumbre, por lo tanto, ¿cuánta es aceptable? La

incertidumbre puede ser un riesgo o una oportunidad.

ERM no se refiere a controles, se refiere a desempeño.

C.O.S.O. (Committee of Sponsoring Organizations of the Treadway Commision) (Comité de

Organizaciones Patrocinadoras de la Comisión Treadway), organización del sector privado
voluntaria, dedicada a mejorar la calidad de los reportes financieros a través de éticas
comerciales, controles internos efectivos y gobierno corporativo. Lo anterior, con el objetivo de
lograr un Control Interno más eficaz en las instituciones.

HISTORIA
El C.O.S.O. se formó en 1985 en Estados Unidos, como patrocinador de la “National Commission
on Fraudulent Financial Reporting”, las instituciones participantes en la elaboración del informe de
Control Interno Corporativo, denominado C.O.S.O., son:
American Accounting Association (AAA)

4
 Guatemala 06 de Agosto 2010.

American Institute of Certified Public Accountants (AICPA)

Financial Executive Institute (FAI)
Institute of Internal Auditors (IIA)
Institute of Managment Accountants (IMA)
Se puede decir que el C.O.S.O., es el proceso ejecutado por el consejo directivo, la administración
y otro personal de una entidad, designado para proporcionar seguridad razonable referente al
logro de objetivos en las siguientes categorías:
Efectividad y eficacia de las operaciones.
Confiabilidad en los reportes financieros.
Cumplimiento con las leyes y reglamentos aplicables.

C.O.S.O II ó ERM (Enterprise Risk Management)

“Es un proceso efectuado por la Alta Dirección, la Administración y otro personal de una empresa,
aplicado para el establecimiento de estrategias a través de la organización, y diseñado para:
Identificar posibles eventos que puedan afectar a la entidad.
Administrar riesgos alineados con su apetito al riesgo.
Proporcionar seguridad razonable respecto al logro de los objetivos de la entidad.
La identificación de errores e irregularidades potenciales, es un requerimiento absoluto para
determinar qué procedimiento de control debe ser implementado.

Conceptos y Herramientas utilizadas por C.O.S.O. II ó ERM

El Ambiente de Control
Define el tono de la organización, influye en la conciencia de riesgo de las personas, y es la base
de los demás componentes del ERM.

Características de un ambiente que soporta la administración de riesgos:

Existencia de una estructura de gobierno de administración de riesgos explícita, por ejemplo,
Comité de Supervisión de Administración de Riesgos.
Existencia de una estructura organizacional para la administración de riesgos, con roles y
responsabilidades bien definidas.

5
 Guatemala 06 de Agosto 2010.

Una cultura de administración de riesgos clara, por ejemplo, que sea un tema regular dentro de las
reuniones de la Gerencia, etc.
Existencia de programas formales de entrenamiento y concientización en temas de riesgos.
La administración de riesgos es vista como un habilitador del negocio y no como un costo a ser
incurrido.

Definición de Objetivos
Los objetivos son establecidos a nivel estratégico, estableciendo una base para los objetivos
operacionales, de reporte y de cumplimiento.
El establecimiento de objetivos, es una condición previa para la identificación de eventos, la
evaluación de riesgos y la respuesta al riesgo efectiva (el contexto contra el cual evaluar eventos y
riesgos). Los objetivos son alineados con el apetito al riesgo de la entidad, el cual indica los
niveles de tolerancia al riesgo para la misma. La definición de los objetivos debe fluir (efecto
cascada) a través de la entidad. La definición de objetivos depende de:
El tipo de negocio, la Industria, preferencias, juicios, el estilo administrativo.
Un evento es definido como un incidente u ocurrencia emanada de fuentes internas o externas de
la entidad, que podrían afectar la implantación de la estrategia o el logro de los objetivos.

Apetito al Riesgo
Es una vista de alto nivel, de cuánto riesgo la Administración y la Junta Directiva, están dispuestas
a aceptar en el logro de sus metas.
Características de un ambiente, que soporta la administración de riesgos:
La Gerencia formula el apetito al riesgo a nivel de entidad. Las instituciones pueden expresar su
apetito al riesgo como el equilibrio aceptable del crecimiento, los riesgos y el retorno, o como una
medida de valor agregado a los accionistas, ajustada al riesgo. Entidades, tales como
organizaciones sin fines de lucro, expresan su apetito al riesgo, como el nivel de riesgo que ellos
aceptarían.

6
 Guatemala 06 de Agosto 2010.

Tolerancia al Riesgo
Es el nivel aceptable de variación, alrededor de los objetivos. La tolerancia al riesgo es medible,
preferiblemente en las mismas unidades de los objetos relacionados. Al establecer la tolerancia al
riesgo, la Gerencia considera, la importancia relativa de los objetivos relacionados.
La tolerancia al riesgo se alinea con el apetito al riesgo.

Respuesta al Riesgo
Identifica y evalúa, posibles respuestas al riesgo. Evalúa alternativas, con relación al apetito al
riesgo de la entidad, versus los costos y beneficios de las potenciales respuestas al riesgo, y el
grado en el cual una respuesta, reducirá el impacto de probabilidad del riesgo.
Selecciona e implanta las respuestas, basado en una evaluación y completa del portafolio de
riesgos y respuestas.

Componentes del C.O.S.O. II ó ERM

Ambiente Interno
Establece la cultura de riesgo de la entidad.
Considera cómo las acciones de la entidad, pueden afectar su cultura de riesgo.

Establecimiento de Objetivos
La Administración considera los riesgos estratégicos en el establecimiento de objetivos.
Define el apetito / tolerancia al riesgo de la entidad.
Identificación de Eventos
Se identifican los eventos internos y externos, que afectan la estrategia y el logro de los objetivos.
Diferencia entre riesgos y oportunidades.

Evaluación de Riesgos
Comprensión del grado (probabilidad e impacto), en que eventos potenciales pueden impactar en
el logro de los objetivos, requiere una combinación de métodos, cuantitativos y cualitativos.

7
 Guatemala 06 de Agosto 2010.

Actividades de Control
Políticas y procedimientos, que ayudan a asegurar, que las respuestas al riesgo son ejecutadas.
Incluye controles de tecnología.

Información y Comunicación
Se identifica, captura y comunica información relevante en forma oportuna, para permitir al
personal, ejecutar sus responsabilidades.

Monitoreo
Actividades de seguimiento continuo.
Evaluaciones separadas.
Una combinación de ambos.

Beneficios derivados del C.O.S.O. II ó ERM

-Mayor posibilidad de alcanzar los objetivos.
-Consolida reportes de riesgos distintos, a nivel de la Junta Directiva.
-Incrementa el entendimiento de riesgos clave, y sus más amplias implicaciones.
-Identifica y comparte riesgos, alrededor del negocio.
-Crea mayor enfoque de la gerencia, en asuntos que realmente importan.
-Menos sorpresas y crisis.
-Mayor enfoque interno, en hacer lo correcto en la forma correcta.
-Incrementa la posibilidad, de que cambios por iniciativas puedan ser logrados.
-Capacidad de tomar mayor riesgo, por mayores recompensas.
-Más información sobre riesgos tomados y decisiones realizadas.

Cambios importantes de C.O.S.O. a C.O.S.O. II ó ERM, desde el punto de vista de la

Auditoría Interna.

Área C.O.S.O. C.O.S.O. II

8
 Guatemala 06 de Agosto 2010.

-Auditoría Interna Orientada Controles internos Riesgos de negocio.

-Técnicas de Evaluación de Riesgos.
-Factores de riesgo Planificación de escenarios.
-Pruebas de Auditoria Controles importantes Riesgos importantes.
-Métodos de Auditoría Interna Énfasis en completar pruebas de control interno.
-Énfasis en cobertura de riesgo de negocio significativo.

Área C.O.S.O. C.O.S.O. II

-Recomendaciones de Auditoría Interna.
-Control Interno Manejo de riesgo.
-Reportes de Auditoría Interna
-Dirigido a funciones de control
-Dirigido a procesos de riesgos.
-Rol de Auditoría Interna Función independiente de evaluación Integrado con manejo de riesgo y
gobierno corporativo.

LEY SARBANES-OXLEY – Julio 30, 2002

FRENTE A LOS FRAUDES CONTABLES

La Ley Sarbanes-Oxley, conocida también como SarOx ó SOA (por sus siglas en inglés Sarbanes
Oxley Act), es la ley que regula las funciones financieras contables y de auditoria y penaliza en
una forma severa, el crimen corporativo y de cuello blanco. Debido a los múltiples fraudes, la
corrupción administrativa, los conflictos de interés, la negligencia y la mala práctica de algunos
profesionales y ejecutivos que conociendo los códigos de ética, sucumbieron ante el atractivo de
ganar dinero fácil y a través de empresas y corporaciones engañando a socios, empleados y
grupos de interés, entre ellos sus clientes y proveedores.

APLICACIÓN:
La Ley se aplica a todas las empresas norteamericanas y extranjeras que cotizan en la bolsa de
valores de Estados Unidos (empresas públicas). Esto incluye a: a:

9
 Guatemala 06 de Agosto 2010.

La Casa Matriz
Subsidiarias
Afiliadas

RESPONSABILIDADES CORPORATIVAS POR INFORMES FINANCIEROS

La administración debe implantar controles internos y procedimientos que aseguren que la

información financiera es procesada, registrada y revelada de acuerdo a la normativa de la
Comisión de Valores (SEC). Estos controles reciben el nombre de Controles y Procedimientos de
Revelación.

CEO y el CFO son responsables de:

Establecer y mantener los ““Controles y Procedimientos de Revelación para el emisor.
Diseñar dichos “Controles y Procedimientos de Revelación que asegure que la información
importante sea revelada, para el periodo en que emiten el informe.
Evaluar la eficacia de los ““Controles y Procedimientos de Revelación””
Presentar en su informe sus conclusiones respecto a la eficacia de los ““Controles y
Procedimientos de Revelación” basado en la evaluación de ellos.

EVALUACION GERENCIAL DE LOS CONTROLES INTERNOS

Los Auditores externos deben emitir una opinión sobre el control interno.
Este informe:
Señalará la responsabilidad de la administración de establecer y mantener una estructura y
procedimientos adecuados de control interno para informes financieros.
Incluirá una evaluación de la efectividad de la estructura y procedimientos de control interno del
emisor para los informes financieros

10
 Guatemala 06 de Agosto 2010.

Gobierno Corporativo
Adopción de un código de digo ética.
Eliminar préstamos personales a ejecutivos.
Se recomienda que sea el CEO quien firme la declaración anual de impuesto a la renta.
Información más oportuna.
La ley establece responsabilidad corporativa y criminal por fraude.

Gobierno Corporativo
Es el conjunto de mecanismos que aseguren a los proveedores de recursos financieros un justo
retorno de su inversión. Lo conforman el conjunto de normas que deben guiar el comportamiento
de los accionistas controladores, directores y administradores de las compañías, a fin de
maximizar el valor de esta y que definen las obligaciones y responsabilidades de estos.

Comité de auditoria
Establecimiento formal del comité de auditoria.
Todos los miembros deben ser independientes.
Debe tener al menos un miembro experto en finanzas.
Todos los servicios de auditorias permitidos deben ser pre-aprobados por el comité de auditoria.

Comité de auditoria
La esencia es valorar los procesos de la compañía relacionados con sus riesgos y a el ambiente
de control, supervisar la presentación de información financiera y evaluar los procesos tanto de
auditoria interna como de la auditoria independiente

Auditores externos
La SEC establece la PCAOB (Public Company Accounting Oversight Board) con las facultades de
““auditar a auditores””:
Prohibición de ciertos servicios por parte de las firmas auditoras externas. Rotación cada cinco
años de socio encargado de auditoria y socio recurrente.
El auditor externo debe reportar al comité de auditoria:

11
 Guatemala 06 de Agosto 2010.

Todas las políticas contables significativas, discusiones con la gerencia sobre aplicaciones de los
principios contables generalmente aceptados, comunicaciones importantes con la gerencia. Se
prohíbe auditar una empresa si el CEO, CFO, Contralor y/o Contador trabajaron en la firma
auditora y en la auditoria del último año.

ESTRUCTURA DE CONTROL INTERNO CON EL METODO COSO-ERM

Actualmente las empresas necesitan un sistema que verifique, controle, determine, la situación
administrativa y financiera para evitar fraudes, corregir errores y comprobar su veracidad.

El COSO es un método de control interno que se lleva en una empresa e institución, para detectar
algún tipo de fraude, se compone de tres objetivos y consta de cinco componentes
interrelacionados, ya que los componentes son la estructura de una organización conteniendo
normas, misión, visión y todo lo relacionado para que una compañía funcione bien.

ERM – ENTERPRISE RISK MANAGEMENT (GESTIÓN DE RIESGOS CORPORATIVOS)

Es un proceso efectuado por el consejo de administración de una entidad, su dirección y restante

personal, aplicable a la definición de estrategias en toda la empresa y diseñado para identificar
eventos potenciales que puedan afectar a la organización, gestionarlos dentro del riesgo aceptado
y proporcionar una seguridad razonable sobre la consecución de objetivos de la entidad.

ESTRUCTURA DEL CONTROL INTERNO:

La ERM, considera varios componentes, y los define de la siguiente manera:

a) Ambiente Interno

El ambiente interno abarca el talante de una organización, que influye en la conciencia de sus
empleados sobre el riesgo y forma la base de los otros componentes de la gestión de riesgos
corporativos, proporcionando disciplina y estructura. Los factores del ambiente interno incluyen la
filosofía de gestión de riesgos de una entidad, su riesgo aceptado, la supervisión ejercida por el

12
 Guatemala 06 de Agosto 2010.

consejo de administración, la integridad, valores éticos y competencia de su personal y la forma en

que la dirección asigna la autoridad y responsabilidad y organiza y desarrolla a sus empleados.

b) Establecimiento de Objetivos:

Se fijan a escala estratégica, estableciendo con ellos una base para los objetivos operativos, de
información y de cumplimiento. Cada entidad se enfrenta a una gama de riesgos procedentes de
fuentes externas e internas y una condición previa para la identificación eficaz de eventos, la
evaluación de sus riesgos y la respuesta a ellos es fijar los objetivos, que tienen que estar
alineados con el riesgo aceptado por la entidad, que orienta a su vez los niveles de tolerancia al
riesgo de la misma.

c) Identificación de eventos:

La dirección identifica los eventos potenciales que, de ocurrir, afectarán a la entidad y determina
si representan oportunidades o si pueden afectar negativamente a la capacidad de la empresa
para implantar la estrategia y lograr los objetivos con éxito. Los eventos con impacto negativo
representan riesgos, que exigen la evaluación y respuesta de la dirección. Los eventos con
impacto positivo representan oportunidades, que la dirección reconduce hacia la estrategia y el
proceso de fijación de objetivos. Cuando identifica los eventos, la dirección contempla una serie de
factores internos y externos que pueden dar lugar a riesgos y oportunidades, en el contexto del
ámbito global de la organización.

d) Evaluación de Riesgos

La evaluación de riesgos permite a una entidad considerar la amplitud con que los eventos
potenciales impactan en la consecución de objetivos. La dirección evalúa estos acontecimientos
desde una doble perspectiva -probabilidad e impacto- y normalmente usa una combinación de
métodos cualitativos y cuantitativos. Los impactos positivos y negativos de los eventos potenciales
deben examinarse, individualmente o por categoría, en toda la entidad. Los riesgos se evalúan
con un doble enfoque: riesgo inherente y riesgo residual.

13
 Guatemala 06 de Agosto 2010.

e) Respuesta a los riesgos

Una vez evaluados los riesgos relevantes, la dirección determina cómo responder a ellos. Las
respuestas pueden ser las de evitar, reducir, compartir y aceptar el riesgo. Al considerar su
respuesta, la dirección evalúa su efecto sobre la probabilidad e impacto del riesgo, así como los
costes y beneficios, y selecciona aquella que sitúe el riesgo residual dentro de las tolerancias al
riesgo establecidas. La dirección identifica cualquier oportunidad que pueda existir y asume una
perspectiva del riesgo globalmente para la entidad o bien una perspectiva de la cartera de riesgos,
determinando si el riesgo residual global concuerda con el riesgo aceptado por la entidad.”

f) Las actividades de control

Son las políticas y procedimientos que ayudan a asegurar que se lleven a cabo las respuestas de
la dirección a los riesgos. Las actividades de control tienen lugar a través de la organización, a
todos los niveles y en todas las funciones. Incluyen una gama de actividades tan diversas- como
aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones del funcionamiento
operativo, seguridad de los activos y segregación de funciones.

g) Información y Comunicación

La información pertinente se identifica, capta y comunica de una forma y en un marco de tiempo

que permiten a las personas llevar a cabo sus responsabilidades. Los sistemas de información
usan datos generados internamente y otras entradas de fuentes externas y sus salidas
informativas facilitan la gestión de riesgos y la toma de decisiones informadas relativas a los
objetivos. También existe una comunicación eficaz fluyendo en todas direcciones dentro de la
organización. Todo el personal recibe un mensaje claro desde la alta dirección de que deben
considerar seriamente las responsabilidades de gestión de los riesgos corporativos. Las personas
entienden su papel en dicha gestión y cómo las actividades individuales se relacionan con el
trabajo de los demás. Asimismo, deben tener unos medios para comunicar hacia arriba la
información significativa. También debe haber una comunicación eficaz con terceros, tales como
los clientes, proveedores, reguladores y accionistas.

14
 Guatemala 06 de Agosto 2010.

h) Supervisión

La gestión de riesgos corporativos se supervisa revisando la presencia y funcionamiento de sus

componentes a lo largo del tiempo, lo que se lleva a cabo mediante actividades permanentes de
supervisión, evaluaciones independientes o una combinación de ambas técnicas. Durante el
transcurso normal de las actividades de gestión, tiene lugar una supervisión permanente. El
alcance y frecuencia de las evaluaciones independientes dependerá fundamentalmente de la
evaluación de riesgos y de la eficacia de los procedimientos de supervisión permanente. Las
deficiencias en la gestión de riesgos corporativos se comunican de forma ascendente, trasladando
los temas más importantes a la alta dirección y al consejo de administración.

Relación del Método COSO-ERM y el proceso de Administración de Riesgos

Los riesgos se analizan considerando su probabilidad e impacto como base para determinar cómo
deben ser gestionados y se evalúan desde una doble perspectiva, inherente y residual.

Es por ello que se necesita lo siguiente:

1. Respuesta al riesgo

La dirección selecciona las posibles respuestas - evitar, aceptar, reducir o compartir los riesgos -
desarrollando una serie de acciones para alinearlos con el riesgo aceptado y las tolerancias al
riesgo de la entidad.

2. Actividades de control

Las políticas y procedimientos se establecen e implantan para ayudar a asegurar que las
respuestas a los riesgos se llevan a cabo eficazmente.

3. Información y comunicación

15
 Guatemala 06 de Agosto 2010.

La información relevante se identifica, capta y comunica en forma y plazo adecuado para permitir
al personal afrontar sus responsabilidades. Una comunicación eficaz debe producirse en un
sentido amplio, fluyendo en todas direcciones dentro de la entidad.

4. Supervisión

La totalidad de la gestión de riesgos corporativos se supervisa, realizando modificaciones

oportunas cuando se necesiten. Esta supervisión se lleva a cabo mediante actividades
permanentes de la dirección, evaluaciones independientes o ambas actuaciones a la vez.

La gestión de riesgos corporativos no constituye estrictamente un proceso en serie, donde cada

componente afecta sólo al siguiente, sino un proceso multidireccional e iterativo en que casi
cualquier componente puede influir en otro.

Existe una relación directa entre los objetivos que la entidad desea lograr y los componentes de la
gestión de riesgos corporativos, que representan lo que hace falta para lograr aquellos. La relación
se representa con una matriz tridimensional, en forma de cubo.

Las cuatro categorías de objetivos estrategia, operaciones, información y cumplimiento están

representadas por columnas verticales, los ocho componentes lo están por filas horizontales y las
unidades de la entidad, por la tercera dimensión del cubo. Este gráfico refleja la capacidad de
centrarse sobre la totalidad de la gestión de riesgos corporativos de una entidad o bien por
categoría de objetivos, componente, unidad o cualquier subconjunto deseado.

5. Eficacia

La afirmación de que la gestión de riesgos corporativos de una entidad es eficaz es un juicio

resultante de la evaluación de si los ocho componentes están presentes y funcionan de modo
eficaz. Así, estos componentes también son criterios para estimar la eficacia de dicha gestión.
Para que estén presentes y funcionen de forma adecuada, no puede existir ninguna debilidad
material y los riesgos necesitan estar dentro del nivel de riesgo aceptado por la entidad. Cuando
se determine que la gestión de riesgos es eficaz en cada una de las cuatro categorías de
objetivos, respectivamente, el consejo de administración y la dirección tendrán la seguridad
razonable de que conocen el grado de consecución de los objetivos estratégicos y operativos de la
entidad, que su información es fiable y que se cumplen las leyes y la normas aplicables.

16
 Guatemala 06 de Agosto 2010.

Los ocho componentes no funcionan de modo idéntico en todas las entidades. Su aplicación en
las pequeñas y medianas empresas, por ejemplo, puede ser menos formal y estructurada. Sin
embargo, estas entidades podrían poseer una gestión eficaz de riesgos corporativos, siempre que
cada componente esté presente y funcione adecuadamente.

6. Limitaciones

Aunque la gestión de riesgos corporativos proporciona ventajas importantes, también presenta

limitaciones. Además de los factores comentados anteriormente, las limitaciones se derivan de
hechos como que el juicio humano puede ser erróneo durante la toma de decisiones, que las
decisiones sobre la respuesta al riesgo y el establecimiento de controles necesitan tener en cuenta
los costes y beneficios relativos, que pueden darse fallos por error humano, que pueden eludirse
los controles mediante connivencia de dos o más personas y que la dirección puede hacer caso
omiso a las decisiones relacionadas con la gestión de riesgos corporativos. Estas limitaciones
impiden que el consejo o la dirección tengan seguridad absoluta de la consecución de los
objetivos de la entidad.

Relación del Método COSO-ERM en Auditoría Interna

La utilización de los métodos COSO-ERM, proporciona grandes beneficios para la Auditoría

Interna, ayuda a la creación de valor, permitiendo:

 Manejarse eficazmente con eventos futuros potenciales que crean incertidumbres.

 Responder con comportamientos que reduzcan la probabilidad de resultados desventajosos

e incrementen los beneficios.

El rol fundamental del auditor interno al momento de hacer uso del método es proveer
aseguramiento objetivo a la dirección y a la junta sobre la efectividad de la gestión de riesgo de la
siguiente manera:

 Asegurar que los riesgos claves del negocio están siendo gestionados apropiadamente y,

 Asegurar que el sistema de Control Interno está siendo operado efectivamente.

17
 Guatemala 06 de Agosto 2010.

Además de lo antes mencionado el Auditor Interno debe:

 Proveer Consejo

 Motivar y soportar las decisiones gerenciales sobre riesgos

 No decidir sobre riesgos

 Documentar responsabilidades del Auditor Interno en Estatutos de Auditoria Interna

aprobado por el Comité de Auditoría

Por otra parte existen los roles legítimos de Auditoria interna, los cuales son:

1. Consultoría:

 Apoyar a la gerencia en su trabajo, facilitando, identificando y evaluando los riesgos.

 Utilizar herramientas y técnicas usadas por el Auditor Interno para el análisis de riesgos y
controles.

 Defender el establecimiento del método COSO ERM, aportando su experiencia en gestión

de riesgos en la organización.

 Proporcionar entrenamiento a la gerencia sobre riesgos y controles, y respuesta a riesgos.

 Coordinar el monitoreo y reporte sobre riesgos.

2. Salvaguardas:

 Asegurar que la actividad no amenaza la Independencia y Objetividad del Auditor Interno y

que la gerencia mantenga la responsabilidad de gestión de riesgo.

 Confirmar que actividad podría mejorar los procesos de gestión de riesgos, control y
gobierno de la organización.

Los informes según el Método COSO-ERM y de la Ley SOX

18
 Guatemala 06 de Agosto 2010.

Todos los escándalos corporativos de ENRON, WORLDCOM, PHARMALAT, entre otros, dieron
lugar a la formación y puesta en vigor de la Ley Sarbanes-Oxley de 2002 – Ley SOX. Esta ley creó
el Board para chequear la contabilidad de las Compañías Públicas (Public Company Accounting
Oversight Board o PCAOB). En la ley se explican sus funciones, poderes, estructuras, y deja a la
nueva entidad la capacidad para establecer reglas para llevar a la práctica sus amplias
responsabilidades.

La ley Sarbanes-Oxley requiere que el PCAOB practique inspecciones anuales de las firmas
registradas que auditen al año más de 100 empresas públicas, así como una revisión, por lo
menos cada tres años, de las otras firmas que auditen o desempeñen un papel importante en las
auditorias de compañías públicas.

Al término de cada revisión, el PCAOB emite un informe con sus observaciones sobre la firma o
trabajo inspeccionado, así como críticas, desviaciones y fallas potenciales en los sistemas de
control de calidad de la firma.

Conviene destacar que el PCAOB no debe hacer pública ninguna información sobre las críticas y
defectos potenciales, a menos que la firma no las corrija dentro de los doce meses siguientes.

La Ley Sarbanes-Oxley otorga considerable libertad al PCAOB en cuanto al diseño y adopción de

estándares sobre auditoría y la conducta profesional de los auditores. Entre otras cosas, autoriza,
pero no requiere al PCAOB, la designación de un grupo profesional de Contadores que proponga
normas a este organismo.

Las disposiciones de la Ley Sarbanes-Oxley y del PCAOB requieren que las firmas de Contadores
Públicos registradas se adhieran a las reglas del PCAOB para fines de auditoría (incluido
atestiguar), control de calidad, ética e independencia. Por lo tanto, cualquier firma registrada que
no se sujete a los estándares aplicables, será objeto de medidas disciplinarias.

Desde su creación PCAOB ha emitido 4 normas de auditoría, todas aprobadas por SEC y que
están acompañadas a los reportes que emiten las firmas de auditoría, estas normas son:

19
 Guatemala 06 de Agosto 2010.

Norma de Auditoría No. 1

Referencia en los reportes de auditores de las normas de PCAOB aprobadas por SEC en mayo
14, 2003.

Esta norma requiere que las firmas de contabilidad de compañías públicas incluyan una
declaración de que el contrato o convenio fue llevado a cabo de acuerdo con las normas
establecidas por PCAOB. Esta declaración reemplaza a las anteriores “normas de auditoría
generalmente aceptadas”.

Norma de Auditoría No. 2

Una auditoría sobre el control Interno de los reportes financieros conjuntamente con la Auditoría
de los Estados Financieros (aprobada por el SEC en junio 17, 2004).

Esta norma establece requisitos y provee directrices que aplican cuando un auditor está
contratado para auditar los estados financieros de una compañía, así también la evaluación de la
gerencia en relación con la efectividad del control interno sobre reportes financieros, de acuerdo
con la sección 404 de la Ley Sarbanes-Oxley.

Norma de Auditoría No. 3

Documentación de Auditoría (aprobada por SEC en 6/18/2004).

Esta norma establece requerimientos generales sobre la documentación que los auditores deben
preparar y retener en relación con trabajos manejados de acuerdo con las normas de PCAOB.
Estos trabajos incluyen auditoría de estados financieros, auditoría del control interno sobre
reportes financieros y una revisión de información financiera interna.

Norma de Auditoría No. 4

20
 Guatemala 06 de Agosto 2010.

Reportar si una debilidad material previamente reportada todavía existe (aprobada por el SEC en
2/6/2006).

Esta norma describe los pasos a seguir por los auditores cuando una compañía voluntariamente
contrata a una firma de auditores para reportar si una debilidad material previamente identificada
en el reporte anual del control interno, ya no existe.

Adicionalmente, el PCAOB ha adoptado ciertas Reglas del “board" incluyendo “Reglas sobre Ética
e Independencia” concernientes a Independencia, Servicios de Impuestos y Honorarios
Eventuales.

La junta de PCAOB adoptó esas reglas en junio 26, 2005. El SEC las aprobó en abril 19, 2006 con
diferentes fechas para ser efectivas.

Y aunque la ley SOX es estadounidense, es aplicable a todas las empresas que están registradas
en la New York Stock Exchange (NYSE) y la National Association of Securities Dealers by
Automatic Quotation, conocida como NASDAQ, y bajo la supervisión de la Securities and
Exchange Commission (SEC).

Por lo tanto, también rige para todas las empresas extranjeras que cotizan en dichas bolsas de
valores, incluyendo a la casa matriz, las subsidiarias y afiliadas. Por lo tanto, quedan afectas a la
SOX las empresas que emitan títulos de deuda o capital en las bolsas mencionadas, o que sean
subsidiarias o filiales de empresas que cotizan en Estados Unidos.

OBJETIVOS:
 Mejorar la identificación de riegos y los procedimientos de análisis de riesgos
 Evaluar los riegos y darle respuesta.
 Considerar los Riegos en la formulación de la estrategia.
 Monitorear el comportamiento de la compañía
 La creación del valor, permitiendo al Management:
1. Manejarse eficazmente con eventos futuros potenciales que crean incertidumbre.
2. Responder con comportamientos que reduzcan la probabilidad de resultados
desventajosos e incrementen los beneficios.

21
 Guatemala 06 de Agosto 2010.

 Alinea el apetito por el riesgo y la estrategia

 Gestionar los riesgos considerando el nivel de apetito ó aversión al riesgo de la
Organización.
 Lograr una visión de portafolio de Riesgos a nivel de la Compañía.
 Conectar crecimiento, riego y retorno.
 Mejorar las respuestas a los riesgos.
 Minimizar sorpresas y pérdidas operacionales.
 Identificar y gestionar riesgos cruzados.
 Proveer respuestas integrales a riesgos múltiples.
 Dimensionar Oportunidades.
 Racionalizar el Capital.

EL PAPEL DE AUDITOR INTERNO

Es mantener la Objetividad e independencia requeridas por las Normas del IIA cuando provean
servicios de aseguramiento y consulta.

OBJETIVIDAD:
Actitud mental independiente:
Llevar a cabo el trabajo con honesta confianza en el producto de su labor y sin comprometer de
manera significativa su calidad.
No subordinar su juicio al de otros sobre temas de Auditoría Interna

ROL FUNDAMENTAL DEL AUDITOR INTERNO

 Proveer aseguramiento objetivo a la Dirección y a la Junta sobre la EFECTIVIDAD de la
Gestión de Riesgos:

1. ASEGURAR que los riesgos claves del negocio están siendo GESTIONADOS
apropiadamente y,
2. ASEGURAR que el Sistema de Control Interno esta siendo OPERADO efectivamente.

 Proveer Consejos
 Motivar y Soportar las Decisiones Gerenciales sobre Riesgos.
 No decidir sobre Riesgos.
 Documentar responsabilidades del AI en Estatus de Auditor Interno aprobados por Comité
de Auditoría.
 Apoyar a Gerencia en su trabajo: Facilitación, Identificación y Evaluación de Riesgos.

22
 Guatemala 06 de Agosto 2010.

 Herramientas y Técnicas usadas por AI para análisis de Riesgos y Controles.

 Defender el establecimiento, aportando su experiencia en Gestión De Riesgos
 Entrenar a la Gerencia, sobre Riesgos y Controles y Respuesta a Riesgos.
 Coordinar, monitorear y reportar riesgos.
 Desarrollo de Estrategias de Gestión de Riesgos para aprobación de La Junta.

ROLES QUE AUDITOR INTERNO NO DEBE REALIZAR:

 Imponer Procesos de Gestión de Riesgos.
 Manejar el aseguramiento sobre los Riesgos de los que es responsable.
 Tomar decisiones de Riesgo en respuesta a los Riesgos.
 Implementar respuestas a Riesgos a favor de la Administración.
 Tener Responsabilidad en la Gestión de Riesgos.

INFORME COSO ERM

El Informe COSO ERM es un documento que contiene las principales directivas para la
implantación, gestión y control de un sistema de Control Interno. Debido a la gran aceptación de la
que ha gozado, desde su publicación en 1992, el Informe COSO se ha convertido en el estándar
de referencia en todo lo que concierne al Control Interno. No puede por lo tanto faltar una sección
expresamente dedicada a este documento en toda web que pretenda dedicarse a la auditoria con
profesionalidad.
Recientemente, el interés de los profesionales de la auditoria y las finanzas por el informe COSO
se ha reavivado gracias también a las nuevas exigencias en lo que concierne al Control Interno
introducidas por el Sarbanes Oxley Act.

. EL METODO COSO-ERM Y EL PAPEL DEL AUDITOR INTERNO

En la implementación del método COSO-ERM es fundamental el papel que desempeña dentro del
mismo el auditor interno, debido a que realiza una actividad independiente y objetiva de
aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una
organización.

Cuando se menciona que el método COSO-ERM busca la detección de riesgos que puedan
afectar a la organización resulta primordial comprender que un riesgo representa una
incertidumbre de que ocurra un acontecimiento que pudiera afectar el logro de los objetivos. Se
mide en términos de consecuencias y probabilidad.

23
 Guatemala 06 de Agosto 2010.

Asimismo ayuda a una organización a cumplir con sus objetivos aportando un enfoque sistemático
y disciplinado para evaluar y mejorar los procesos de gestión de riesgos, control y gobierno.

Tomando en consideración los riesgos y el papel que debe desempeñar un Auditor dentro de una
empresa para la correcta aplicación del método COSO-ERM es importante acotar que debe
gestionar efectivamente la actividad de auditoría interna para asegurar que agregue valor a la
organización.

Asimismo este método le da las directrices al Auditor Interno para mantener su objetividad e
independencia requeridas, cuando provean servicios de aseguramiento y consulta.

Cuando se menciona objetividad se refiere a que el Auditor Interno debe llevar a cabo el trabajo
con honesta confianza en el producto de su labor y sin comprometer de manera significativa su
calidad.

La auditoría interna, en los roles de aseguramiento y consultoría, contribuye a la gestión de riesgo

de formas variadas.

Siendo la auditoría interna una actividad independiente, objetiva, su rol principal con respecto al
COSO-ERM es proveer aseguramiento objetivo a la junta sobre la efectividad de la gestión de
riesgo.

La auditoría interna con respecto al ERM tiene las siguientes funciones:

 Brindar aseguramiento sobre procesos de gestión de riesgo.

 Brindar aseguramiento de que los riesgos son correctamente evaluados.

 Evaluación de los procesos de gestión de riesgo.

 Evaluación de reporte de riesgos claves.

 Revisión del manejo de los riesgos claves.

24
 Guatemala 06 de Agosto 2010.

La auditoría interna también tiene roles legítimos realizados con salvaguarda y entre ellos
están:

 Facilitación, identificación y evaluación de riesgos.

 Entrenamiento a la gerencia sobre respuesta a riesgos.

 Coordinación de actividades de ERM.

 Consolidación de reportes sobre riesgos.

 Mantenimiento y desarrollo del marco ERM.

 Defender el establecimiento del ERM.

 Desarrollo de estrategias de gestión de riesgo para la aprobación de la junta.

10. EJEMPLO DE INFORMES, SEGÚN EL METODO COSO-ERM

El informe es un manual de control interno que publica el Instituto de Auditores Internos de

España en colaboración con la empresa de auditoría Coopers & Lybrand. En control interno lo
último que ha habido es el informe COSO (Sponsoring Organizations of the Treadway
Commission), -comenta- que es denominado así, porque se trata de un trabajo que encomendó el
Instituto Americano de Contadores Públicos, la Asociación Americana de Contabilidad, el Instituto
de Auditores Internos que agrupa a alrededor de cincuenta mil miembros y opera en
aproximadamente cincuenta países, el Instituto de Administración y Contabilidad, y el Instituto de
Ejecutivos Financieros. Ha sido hecho para uso de los consejos de administración de las
empresas privadas en España y en los países de habla hispana. Ahí se resume muy bien lo que
es control interno, los alcances, etc.

COSO es una institución creada en Estados Unidos por el sector privado voluntario, dedicado a
mejorar la calidad de los reportes financieros a través de negocios con ética profesional, efectivo
control interno y un gobierno corporativo.

25
 Guatemala 06 de Agosto 2010.

a. Informe de la administración de la Compañía:

El informe COSO define “control interno” como un proceso efectuado por el Consejo de
Administración, la alta dirección y en “cascada” por el resto del personal de una organización,
diseñado para proporcionar un grado de seguridad razonable en cuanto a la consecución de
objetivos dentro de las siguientes categorías:

 Eficacia y eficiencia de las operaciones

 Confiabilidad de la información financiera

 Cumplimiento de las leyes y normas que sean aplicables

b. Informe del Auditor independiente:

La integración propuesta a realizar del COSO en el proceso de auditoría interna requiere que se
clasifiquen los resultados de la auditoría según los términos del marco COSO y que esta
información se utilice en los informes de más alto nivel para la conducción de la entidad. El
enfoque se construye sobre algunos de estos conceptos incorporando los criterios COSO en cada
etapa del proceso de auditoría.

De acuerdo con COSO, los tres objetivos primarios que debe contener el informe del auditor
independiente son asegurar:
 Operaciones eficientes y eficaces
 Informes financieros exactos
 Cumplimiento con las leyes y la normativa aplicable.

El informe también destaca cinco componentes esenciales de un sistema de control interno eficaz:

EL AMBIENTE DE CONTROL
Que establece el fundamento para un sistema de control interno proporcionando la estructura y
disciplina fundamentales.

26
 Guatemala 06 de Agosto 2010.

EVALUACION DEL RIESGO

Que implica la identificación y análisis por parte de la conducción y no del auditor interno de los
riesgos relevantes para lograr los objetivos predeterminados.

ACTIVIDADES DE CONTROL
Las políticas, procedimientos y prácticas que aseguran el logro de los objetivos de la conducción y
que se cumple con las estrategias para mitigar los riesgos.

INFORMACION Y COMUNICACIÓN
Que sustenta todos los otros componentes del control comunicando las responsabilidades de
control a los empleados y brindándoles información en tiempo y forma que les permita cumplir con
sus funciones.

SUPERVISION
Que cubre los descuidos externos de los controles internos por parte de la conducción o terceros
externos al proceso, o la aplicación de metodologías independientes como procedimientos
personalizados o checklists estándar por parte de empleados que forman parte del proceso.

Se deben utilizar estos elementos para definir el objetivo de control a ser auditado, evaluar los
componentes del sistema de control de la entidad e informar los resultados a la conducción. La
integración del COSO de esta manera agrega estructura al proceso de auditoría, asegura que se
consideran los criterios adecuados en las fases claves de cada auditoría y proporciona una pista
para sustentar las conclusiones a las que se llegó.
INFORMACION FINANCIERA
En las auditorías en las que el objetivo es la información financiera, se asigna importancia a la
adecuación y eficacia de los controles administrativos que rigen la confiabilidad de la información
financiera utilizada para fines de comunicación externos. Una auditoría basada en dichos controles
debe brindar seguridad razonable de que no existen manifestaciones erróneas o incompletas en
los datos analizados. Rastrear los controles de auditoría y la información financiera hasta los

27
 Guatemala 06 de Agosto 2010.

estados contables es indicador de una auditoría con un objetivo relacionado con la información
financiera.

CUMPLIMIENTO
Las auditorías basadas en el cumplimiento apuntan a la adecuación y eficacia de los controles
administrativos que rigen el cumplimiento con las leyes y la normativa externa e interna. Tales
auditorías tratan principalmente con la correlación entre las leyes y los procedimientos de la
entidad y, la práctica real. Por lo general durante las auditorías de esta naturaleza se consulta al
asesor letrado perteneciente al plantel un indicador excelente de que una auditoría debería tener
al cumplimiento como objetivo.

INFORMES BASADOS EN COSO

Comunicar las evaluaciones de auditoría a la conducción utilizando un formulario de evaluación de

control basado en el COSO desarrollado. Este formulario brinda a la conducción un panorama de
cómo el área auditada se “defiende” contra los requerimientos de control del COSO. Se muestran
las clasificaciones para cada componente de control, así como una clasificación global lo que
determina si existe seguridad razonable de que se lograrán los objetivos de la conducción.
Asimismo, se registran los fundamentos para cualquier clasificación insatisfactoria.

El formulario de evaluación del control se completa con anterioridad a la reunión que da por
finalizada la auditoría y se revisa con otros auditores y con la conducción de la auditoría. Estas
revisiones internas determinan si existe base suficiente para la clasificación asignada.

Es conveniente que los auditores analicen las clasificaciones con el auditado ya sea en forma
directa, utilizando el formulario de evaluación o bien en forma indirecta durante la revisión y el
análisis de los hallazgos de la auditoría.

El formulario de evaluación del control se termina a medida que se prepara el informe de la

auditoría y se envía un formulario al titular de auditoría al finalizar cada proyecto. Las
clasificaciones de control se sintetizan a nivel grupal y a nivel de segmentos de la entidad,

28
 Guatemala 06 de Agosto 2010.

formando una base para el informe sobre el estado de los controles internos que se remite a la
conducción superior.

Se rastrea la información a fin de determinar tendencias de control desfavorables así como áreas
de riesgos de auditoría para tratar en la planificación de proyectos de auditoría futuros.

BENEFICIOS DE LAS AUDITORIAS BASADAS EN COSO

Eficacia
La prueba de los cinco componentes de control COSO proporciona un fundamento sólido para
determinar el grado de seguridad brindado por los controles.

Eficiencia
Enfocar un único objetivo COSO evita una costosa “dispersión en el alcance”.

Capacidad de ser comparado

Utilizar un marco común de auditoría y un sistema de clasificación permite que se pueda comparar
a los controles de diferentes áreas.

Comunicación
Integrar los criterios del COSO a las discusiones con los responsables mejora la comprensión de
los conceptos de control.

Comité de Auditoría
En aquellas entidades con Comité de Auditoría, Informar en términos del marco COSO ayuda a
representar las fortalezas y debilidades del sistema de control interno.

Ejemplo

Informe sobre control interno con el METODO COSO-ERM

INFORME DE DE AUDITORÍA INTERNA

29
 Guatemala 06 de Agosto 2010.

Fecha 31-07-2009.

TEMA: Archivo de AUDITORES INTERNOS

documentos ENCARGADO: JOEL PEREZ,
EMPLEADO ENCARGADO:
HORAS DE AUDITORÍA
OSCAR LOPEZ
APROXIMADAS: 30

NATURALEZA DE LA SOLICITUD: El Gerente del Departamento de Reclamos solicitó a Auditoría

Interna (AI) que investigue la facturación de la Empresa de Archivo de Documentos 1,2,3. Dicho
Departamento creía que se le estaba cobrando a LAGARAGA S.A. por el almacenaje de las cajas
después de su fecha planeada de destrucción.

RELEVAMIENTOS EFECTUADOS: A.I. solicitó a 1.2.3. que detallara todas las cajas de
LAGARRAGA,S.A. que estaban actualmente archivadas, utilizando su base de datos.

A partir de esta base de datos, AI realizó una primera revisión analítica para verificar que los datos
estuvieran completos. Luego, A.I. averiguó los datos de las cajas que habían pasado la fecha de
su destrucción. Adicionalmente, A.I. revisó el contrato con 1,2,3 a fin de determinar la
responsabilidad de cada una de las partes con respecto a las cajas una vez vencida la fecha
planificada para su destrucción.

TEMAS MÁS SIGNIFICATIVOS DE AUDITORÍA: Se observó que menos del 2% del total de los
documentos que se encontraban archivados en el Depósito de Documentos de LAGARRAGA,S.A.
habían excedido la fecha planificada para su destrucción. El contrato con 1,2,3 estipulaba que era
responsabilidad de LAGARRAGA,S.A. solicitar la destrucción de los documentos. 1,2,3 no es
responsable de la disposición automática de estos ítems.

APORTE DE AUDITORÍA INTERNA: A.I. ha distribuido a los departamentos individuales una lista
de las cajas que tenían vencida la fecha planificada para su destrucción. Cada departamento será
responsable de solicitar que se destruyan las cajas ó actualizar la fecha planificada para su
destrucción. A.I. ha solicitado que la Unidad Administradora de Contratos del Departamento
Administrativo (ACD) asuma la responsabilidad del monitoreo del contrato con 1,2,3.

30
 Guatemala 06 de Agosto 2010.

SEGUIMIENTO: En el 2º trimestre de 2009, AI hará el seguimiento con el ACD para determinar el

estado de esta iniciativa.

Auditores:
Empleados
BRIAN
Tema: Sistema de Suscripción Responsables: Horas:
CABRERA
Automatizada. Jorge López 125
WERNER
José Martínez
GONZALEZ

LINEAS PERSONALES

Alcance:

 Se revisó el procedimiento del sistema utilizando para el desarrollo e Implementación del

Sistema de Suscripción Automatizada (SSA).
 Se revisó el procedimiento de las transacciones efectuadas mediante el SSA sobre nuevos
negocios, renovaciones y endosos, incluyendo los procedimientos de suscripción para la
aceptación, modificación o rechazo de los riesgos suspendidos a un suscriptor por el SSA.
 Se revisaron las pruebas e implementación de los cambios de programación requeridos por
el SSA al sistema de Líneas Personales (IMPACT)
 Se revisaron las interfaces del sistema con IMPACT que afectarán al SSA (por ej.: pedidos
de VAP, MVR e informes CLUE).

Se revisaron los procedimientos de desarrollo, prueba, implementación y modificaciones de control

para las tablas que contienen las reglamentaciones estatales sobre suscripción.

Exposición al Riesgo ■Bajo Conclusión de□Ejemplar

□Medio Auditoría □Satisfactoria
(después de
□ Alto ■Satisfactoria. Necesita
considerar los
mejorar.
controles)
□ Insatisfactoria

Comentarios de Auditoría:

31
 Guatemala 06 de Agosto 2010.

 El Equipo de Implementación del SSA ha entregado el SSA con dos semanas de

anticipación y dentro del presupuesto.
 Durante el desarrollo del sistema se siguió de cerca el procedimiento de desarrollo del
sistema corporativo. La versión final del sistema SSA y todos los cambios de programación
de IMPACT se probaron exhaustivamente antes de ser trasladada a la producción.
 Los nuevos negocios, las transacciones de renovación y endoso se muestran a través del
SSA. El SSA suspende correctamente las transacciones a los suscriptores que infringen los
modelos de suscripción definidos. Los suscriptores cumplen procedimientos bien definidos
para aceptar, modificar o rechazar estos riesgos.

Las interfaces del sistema con IMPACT que afectan el SSA están funcionando correctamente.

Recomendaciones Las listas de suscripción deben ser trasladadas a un ambiente de

Importantes de producción seguro. Adicionalmente, la Gerencia de Suscripción de
Auditoría Líneas Personales debe definir quién es la autorizada que controla
los cambios en las listas. Para más detalles, ver el Plan de Acción
Correctiva (PAC) 95-11.
Respuesta de la Gerencia:
Fecha en la que se implementarán todas las
■Acepta
recomendaciones: 31/12/2006
□Está en desacuerdo.
Seguimiento planificado por la Dirección y Auditoría Interna: Auditoría Interna
verificará que las listas del SSA se trasladen a un ambiente de producción seguro y que
se definan los procedimientos del control de los cambios.

32
 Guatemala 06 de Agosto 2010.

CONCLUSION

 El método COSO-ERM siendo un método eminentemente bueno, ayuda a la creación de

valor, permitiendo a la empresa manejarse eficazmente con eventos futuros potenciales que
crean incertidumbre.

 Siendo una herramienta para mejorar la identificación de riesgos y los procedimientos de

Análisis de Riesgos, es de suma importancia poder adecuarlo a los intereses de la
organización y con ello poder darle valor a las actividades realizadas incrementando con
ello los niveles de control y de responsabilidad.

 El Método COSO-ERM debido a que ayuda una organización a proteger los derechos de
sus grupos de interés, requiere realizar las actividades de una forma consiente y objetiva y
realizar las mismas con ética y profesionalismo para brindar información transparente, clara

33
 Guatemala 06 de Agosto 2010.

e integral para la comprensión obteniendo con ello manejar los riesgos de la manera más
adecuada.

 El Método COSO-ERM logra la optimización de recursos mediante la detección y

prevención de riesgos y con ello tener las herramientas para tomar las mejores decisiones
que nos permitan llevar a la organización a niveles óptimos de seguridad y tener mejor
control sobre las operaciones de la misma.

RECOMENDACIONES

 Es importante su utilización e implementación para así responder con comportamientos que

reduzcan la probabilidad de resultados desventajosos e incrementen los beneficios.

 Se recomienda a toda organización con o sin fines de lucro, seguir los lineamientos que el
método COSO-ERM nos brinda para así obtener uno de los principios subyacentes que es
el de agregar valor a sus grupos de interés.

34
 Guatemala 06 de Agosto 2010.

 Realizar las actividades de manera ordenada y llevar a cabo una supervisión adecuada con
el objeto principal de lograr los objetivos y lograr la creación de valor para la consecución
de los objetivos de la organización.

 Es recomendable identificar los potenciales eventos que pueden impactar en los objetivos,
evaluar los riesgos y darle respuesta a las inquietudes que puedan surgir a raíz de cada
riesgo en particular, así como es fundamental considerar los riesgos en la formulación de la
estrategia a tomar para aplicar el COSO-ERM en toda la empresa y con ello monitorear el
comportamiento del Método.

BIBLIOGRAFIA

Dr. José Lago Rodríguez, Cía.

Ex Presidente de FLAI
Director At Large IIA Board of Directors
jlago@bna.com.ar

35
Guatemala 06 de Agosto 2010.

Controls for Sarbanes Oxley––ISACA

http://www.isaca.org/
www.celtaconsulting.com
Lic. Cesar Ganduglia

36