Los 5 Componentes del Marco COSO para la Gestión de Riesgos y sus 17

Principios

El Marco COSO (Comité de Organizaciones Patrocinadoras de la Comisión

Treadway) es un modelo ampliamente reconocido para la gestión de riesgos
empresariales. Este marco, actualizado en 2013, define cinco componentes
clave del control interno y 17 principios que ayudan a las organizaciones a
identificar, evaluar, gestionar y controlar los riesgos que enfrentan.

Este documento profundiza en los cinco componentes del COSO, detallando su

definición, importancia y ejemplos, y luego explora los 17 principios que los
sustentan.

Los Cinco Componentes del COSO

1. Entorno de Control: Este componente establece la base para el control

interno y se refiere a la cultura de la organización, la ética, la integridad y
el compromiso de la alta dirección con el control interno.
2. Evaluación de Riesgos: Consiste en identificar, analizar y gestionar los
riesgos que pueden afectar el logro de los objetivos de la organización.
Se trata de determinar la probabilidad de que ocurra un riesgo y el
impacto potencial que tendría en la empresa.
3. Actividades de Control: Son las acciones que se toman para mitigar
los riesgos identificados. Estas actividades pueden incluir políticas,
procedimientos, controles internos y medidas preventivas.
4. Información y Comunicación: Se refiere a la recopilación, análisis y
comunicación de información relevante para la gestión de riesgos. Esto
incluye la comunicación interna y externa, la transparencia y la
disponibilidad de información confiable.
5. Monitoreo de Controles: Es el proceso de evaluar la eficacia del
control interno y realizar ajustes necesarios. Se trata de verificar que los
controles implementados están funcionando correctamente y que se
están adaptando a los cambios en el entorno de la organización.

Los 17 Principios del COSO: Detalle y Ejemplos

Los 17 principios del COSO se agrupan en los cinco componentes

mencionados anteriormente, proporcionando una guía detallada para la gestión
de riesgos.

1. Entorno de Control:

 1.1. Valores éticos y conducta: La cultura de la organización debe

promover la ética, la integridad y la conducta responsable. Esto implica
establecer un código de ética claro y comunicar los valores de la
empresa a todos los empleados. Ejemplo: Una empresa que
 implementa un código de ética que prohíbe el soborno y la corrupción, y
que ofrece capacitación regular sobre ética a sus empleados.
 1.2. Compromiso de la alta dirección: La alta dirección debe
demostrar su compromiso con el control interno y la gestión de riesgos.
Esto implica establecer un tono desde arriba y comunicar claramente la
importancia del control interno a todos los niveles de la
organización. Ejemplo: Un CEO que participa activamente en las
reuniones de gestión de riesgos y que se asegura de que los controles
internos sean una prioridad para la empresa.
 1.3. Estructura organizativa: La estructura de la organización debe ser
clara y eficiente, con responsabilidades y autoridades bien definidas.
Esto permite una mejor gestión de los riesgos y una mayor eficacia en la
aplicación de los controles internos. Ejemplo: Una empresa con una
estructura organizativa que define claramente las responsabilidades de
cada departamento y que establece un sistema de comunicación eficaz
entre las diferentes áreas.
 1.4. Competencia de los empleados: La organización debe contar con
empleados competentes y capacitados para desempeñar sus funciones
de manera efectiva. Esto implica invertir en la formación y desarrollo de
los empleados, y asegurarse de que cuentan con las habilidades y
conocimientos necesarios para cumplir con sus
responsabilidades. Ejemplo: Una empresa que ofrece programas de
capacitación a sus empleados en temas relacionados con la gestión de
riesgos y el control interno.
 1.5. Responsabilidad por el control interno: La responsabilidad por el
control interno debe estar claramente definida y asignada a los
diferentes niveles de la organización. Esto implica que cada individuo es
responsable de sus acciones y de la aplicación de los controles internos
en su área de trabajo. Ejemplo: Un departamento de finanzas que es
responsable de la gestión de los riesgos financieros de la empresa y que
cuenta con un sistema de control interno para asegurar la integridad de
los datos financieros.

2. Evaluación de Riesgos:

 2.1. Identificación de riesgos: La organización debe identificar los

riesgos que pueden afectar el logro de sus objetivos. Esto implica un
análisis exhaustivo de los riesgos internos y externos, así como de los
riesgos emergentes. Ejemplo: Una empresa que identifica el riesgo de
una caída en la demanda de sus productos debido a la competencia y
que desarrolla estrategias para mitigar este riesgo.
 2.2. Análisis de riesgos: Una vez identificados los riesgos, la
organización debe analizar su probabilidad de ocurrencia y su impacto
potencial. Esto permite priorizar los riesgos y enfocar los esfuerzos de
gestión en los más críticos. Ejemplo: Una empresa que analiza el riesgo
de un ciberataque a su sistema informático y que determina la
probabilidad de que ocurra y el impacto potencial que tendría en su
negocio.
  2.3. Evaluación de riesgos: La organización debe evaluar los riesgos
en función de su apetito por el riesgo y su tolerancia. Esto implica
determinar el nivel de riesgo que la organización está dispuesta a asumir
y establecer límites para los riesgos aceptables. Ejemplo: Una empresa
que establece un límite para el riesgo de crédito que está dispuesta a
asumir y que rechaza clientes con un perfil de riesgo demasiado alto.

3. Actividades de Control:

 3.1. Controles sobre las operaciones: Estos controles se enfocan en

la eficiencia y eficacia de las operaciones de la organización. Se trata de
asegurar que las operaciones se llevan a cabo de acuerdo con las
políticas y procedimientos establecidos, y que se minimizan los errores y
fraudes. Ejemplo: Una empresa que implementa controles para
asegurar la precisión de los datos de inventario y que reduce el riesgo
de errores en los procesos de producción.
 3.2. Controles sobre la información financiera: Estos controles se
enfocan en la integridad y confiabilidad de la información financiera. Se
trata de asegurar que la información financiera es precisa, completa y
confiable, y que se protege de errores y fraudes. Ejemplo: Una empresa
que implementa controles para asegurar la precisión de los estados
financieros y que reduce el riesgo de errores en los procesos de
contabilidad.
 3.3. Controles sobre el cumplimiento: Estos controles se enfocan en
el cumplimiento de las leyes, regulaciones y políticas internas. Se trata
de asegurar que la organización opera de acuerdo con las normas
aplicables y que se minimizan los riesgos legales. Ejemplo: Una
empresa que implementa controles para asegurar el cumplimiento de las
leyes de protección de datos y que reduce el riesgo de multas o
sanciones legales.

4. Información y Comunicación:

 4.1. Recopilación de información: La organización debe recopilar

información relevante para la gestión de riesgos. Esto implica establecer
un sistema de recopilación de datos eficaz y asegurarse de que la
información es precisa, completa y confiable. Ejemplo: Una empresa
que utiliza un sistema de gestión de riesgos para recopilar información
sobre los riesgos que enfrenta y que establece un proceso para verificar
la precisión de los datos.
 4.2. Comunicación interna: La organización debe comunicar la
información relevante a los empleados de manera oportuna y efectiva.
Esto implica establecer canales de comunicación claros y asegurarse de
que los empleados comprenden los riesgos que enfrentan y las medidas
que se están tomando para gestionarlos. Ejemplo: Una empresa que
utiliza reuniones, boletines informativos y correos electrónicos para
comunicar información sobre la gestión de riesgos a sus empleados.
  4.3. Comunicación externa: La organización debe comunicar la
información relevante a las partes interesadas externas. Esto implica ser
transparente sobre los riesgos que enfrenta la empresa y las medidas
que se están tomando para gestionarlos. Ejemplo: Una empresa que
publica un informe anual de sostenibilidad que incluye información sobre
los riesgos que enfrenta y las estrategias de gestión de riesgos.

5. Monitoreo de Controles:

 5.1. Evaluación de la eficacia del control interno: La organización

debe evaluar la eficacia del control interno de manera regular. Esto
implica realizar pruebas de controles, análisis de riesgos y evaluaciones
de cumplimiento para asegurar que los controles están funcionando
correctamente. Ejemplo: Una empresa que realiza auditorías internas
periódicas para evaluar la eficacia de sus controles internos y que
identifica áreas de mejora.
 5.2. Comunicación de deficiencias: La organización debe comunicar
las deficiencias en el control interno a la alta dirección. Esto implica
informar sobre cualquier debilidad en los controles internos y proponer
medidas correctivas. Ejemplo: Un auditor interno que identifica una
deficiencia en el control interno de la empresa y que la comunica a la
alta dirección para que se tomen medidas para corregirla.
 5.3. Seguimiento de las medidas correctivas: La organización debe
dar seguimiento a las medidas correctivas que se implementen para
corregir las deficiencias en el control interno. Esto implica verificar que
las medidas correctivas se están implementando de manera efectiva y
que se están logrando los resultados esperados. Ejemplo: Una empresa
que implementa un nuevo control interno para corregir una deficiencia
identificada y que realiza un seguimiento para verificar que el nuevo
control está funcionando correctamente.