Carrera De Ingeniería En Sistemas De La Facultad De La

Energía Las Industrias Y Los Recursos Naturales No

Renovables.

MATERIA:
Auditoria informática

METODOLOGIA COSO II

ALUMNOS:
Bladimir Stanislao Minga Medina
Jhonny Fernando Carrión Ramirez
Pablo Danilo Medina Diaz
Edhisson Alexis Sanmartín Freire

PROFESOR:
Ing. Cristian Narváez

Universidad Nacional de Loja

Loja, mayo del 2019
1. Titulo:

Metodología COSO II
 2. Índice:

1. Titulo: ...................................................................................................................................2
2. Índice: ..................................................................................................................................3
3. Introducción:........................................................................................................................4
4. Objetivos:.............................................................................................................................5
5. Desarrollo: ...........................................................................................................................6
COSO ERM ................................................................................................................................6
COSO ERM - Objetivos ..............................................................................................................6
COSO ERM - Componentes.......................................................................................................6
COSO ERM - Relación entre objetivos y componentes .............................................................8
RIESGOS Y OPORTUNIDADES ....................................................................................................8
GESTIÓN DE RIESGOS EMPRESARIALES (ERM) .........................................................................9
ERM - Beneficios ....................................................................................................................10
ERM - Eficacia .........................................................................................................................11
EL PAPEL DEL RIESGO EN LA SELECCIÓN DE ESTRATEGIAS .....................................................12
EL AMBIENTE INTERNO ..........................................................................................................13
ROLES Y RESPONSABILIDADES ................................................................................................15
COSO ERM – Actualización 2017 ............................................................................................17
RIEGOS DE CONTROL INTERNO ..............................................................................................20
Evaluación de riesgos .............................................................................................................23
Probabilidad de Ocurrencia ....................................................................................................25
Magnitud de Impacto .............................................................................................................26
RIESGOS DE AUDITORÍA .........................................................................................................26
MATRIZ DE EVALUACIÓN DE RIESGOS ....................................................................................28
MATRIZ DE GESTIÓN DE RIESGOS...........................................................................................28
POSIBLES RIESGOS INFORMÁTICOS Y SUS PREVENCIONES ....................................................30
6. Conclusiones: .....................................................................................................................32
7. Recomendaciones:.............................................................................................................34
7. Bibliografía:........................................................................................................................34
8. Anexos ...............................................................................................................................34
3. Introducción:

En respuesta a los cambios constantes que atraviesan las empresas, se desarrollaron

métodos que permiten tener una visión global y estratégica de las organizaciones y de
su entorno. Estos esfuerzos generaron diversos enfoques de control que impulsaron
una nueva cultura administrativa en todo tipo de organizaciones y sirvió de plataforma
para diversos modelos de control a nivel internacional como: Cobit, Candbury,
COCO, y COSO.

En 1993 el Committee of Sponsoring Organizations of the Treadway Commission

(COSO) publicó el marco integrado de control interno, este marco ha obtenido una
gran aceptación y es ampliamente utilizado en todo el mundo a su vez es reconocido
como el marco líder para diseñar, implementar y desarrollar control interno y evalúa
su efectividad.

Hacia fines de Septiembre de 2004, como respuesta a una serie de escándalos, e

irregularidades que provocaron pérdidas importante a inversionistas, empleados y
otros grupos de interés, nuevamente el Committee of Sponsoring Organizations of the
Treadway Commission, se publicó el estándar “Enterprise Risk Management -
Integrated Framework” (COSO II) Marco integrado de Gestión de Riesgos que amplía
el concepto de control interno a la gestión de riesgos implicando necesariamente a
todo el personal, incluidos los directores y administradores, proporcionando un
lineamientos de identificación, evaluación y gestión integral de riesgo.

COSO II proporciona al control interno un mayor enfoque a la gestión de riesgos, ya

que la mayoría de las organizaciones necesitan mejorar su capacidad de aprovechar
oportunidades, evitar riesgos y manejar la incertidumbre, permite que los empleados
creen conciencia de los riegos que se pueden presentar.

Por todo lo expuesto, es necesario integrar estos conocimientos en un único

documento que sirva, tanto como para consolidar los mismos en la cátedra de
referencia, como para su consecuente ampliación en el devenir de la carrera de
Ingeniería en Sistemas y para su posterior perfeccionamiento en el campo profesional.

Esta investigación toma como base informes y libros relacionadas a COSO II, donde
se analizará la metodología, sus objetivos, componentes, la relación que existe entre
ellos, la gestión de riesgos empresariales, el ambiente interno y una variedad de temas
relacionados a nuestra investigación que creemos que son de fundamentales dentro de
nuestro estudio como futuros ingenieros.
4. Objetivos:

Objetivo General:

• Investigar sobre la metodología COSO II y exponer cómo llevar a cabo

una adecuada gestión de riesgos empresariales ERM.

Objetivos Específicos:

• Identificar los mecanismos de la metodología COSO II ERM para

eliminar riesgos de las empresas.
• Analizar riesgos potenciales y cómo enfrentarse a ellos.
• Verificar los procesos dentro de la metodología COSO II ERM y si son
viables para el uso ante una posible situación riesgosa.
• Estudiar la metodología y establecer un criterio general si es viable
aplicarla dentro de los estándares actuales en una empresa en la vida
real.
 5. Desarrollo:
COSO ERM
COSO II o COSO ERM es un proceso continuo realizado por el personal de todos
los niveles de la organización que está diseñado para identificar eventos potenciales que
puedan afectar a la organización, gestionar sus riesgos dentro del límite aceptado y
proporcionar una seguridad razonable sobre la consecución de objetivos.

COSO ERM es un facilitador del proceso de la gestión de riesgos que permite a los
administradores de las empresas operar más eficazmente en un ámbito pleno de riesgo,
aumentando la capacidad para:

• Alinear el nivel de riesgo aceptado con la estrategia.

• Unir crecimiento, riesgo y rendimiento.
• Mejorar las decisiones de respuesta al riesgo.
• Minimizar sorpresas y pérdidas operativas.
• Identificar y administrar riesgos a nivel de la entidad.
• Racionalizar el uso de recursos.

COSO ERM - Objetivos

El modelo divide los objetivos de las compañías en cuatro categorías diferentes:

• Objetivos estratégicos: Se trata de los objetivos establecidos al más alto nivel, y

relacionados con el establecimiento de la misión y visión de la compañía.
• Objetivos Operativos: Son aquellos relacionados con la eficacia y eficiencia de
las operaciones, incluyendo los objetivos relacionados con el desempeño y la
rentabilidad.
• Objetivos relacionados con la Información suministrada a terceros: Son
aquellos objetivos que afectan la efectividad del reporte de la información
suministrada (interna y externa) y que va más allá de la información financiera.
• Objetivos relacionados con el Cumplimiento Regulatorio: Son aquellos
objetivos relacionados con el cumplimiento, por parte de la entidad, con todas
las leyes y regulaciones que le son aplicables.

COSO ERM - Componentes

En el informe COSO ERM, la gestión de riesgos empresariales está conformada por
ocho componentes relacionados entre sí:
• Ambiente interno: Abarca el talante de una organización y establece la base de
cómo el personal de la entidad percibe y trata los riesgos, incluyendo la filosofía
para su gestión, el riesgo aceptado, la integridad y valores éticos y el entorno en
que se actúa.
• Establecimiento de objetivos: Los objetivos deben existir antes de que la
dirección pueda identificar potenciales eventos que afecten a su consecución. La
gestión de riesgos empresariales asegura que la dirección ha establecido un
proceso para fijar objetivos y que los objetivos seleccionados apoyan la misión
de la entidad y están en línea con ella.
• Identificación de eventos: Los acontecimientos internos y externos que afectan
a los objetivos de la entidad deben ser identificados, diferenciando entre riesgos
y oportunidades.
• Evaluación de riesgos: Los riesgos deben ser analizados considerando su
probabilidad e impacto como base para determinar cómo deben ser gestionados
y se evalúan desde una doble perspectiva, inherente y residual. Para ello se
deben considerar realizar autoevaluaciones, elaborar mapas de riesgo y
distribuciones de severidad y probabilidad.
• Respuesta al riesgo: Una vez identificados los riesgos y establecido el nivel de
significancia, la dirección selecciona las posibles respuestas: evitar, aceptar,
reducir o compartir los riesgos, desarrollando una serie de acciones para
alinearlos con el riesgo aceptado y las tolerancias al riesgo de la entidad.
• Actividades de control: Se trata de las políticas y procedimientos que son
necesarios para asegurar que la respuesta al riesgo ha sido la adecuada. Las
actividades de control deben estar establecidas en toda organización, a todos los
niveles y todas sus funciones.
• Información y comunicación: La información relevante se identifica, capta y
comunica en forma y plazo adecuado para permitir al personal afrontar sus
responsabilidades. Una comunicación eficaz debe producirse en un sentido
amplio, fluyendo en todas las direcciones dentro de la entidad.
• Supervisión: La totalidad de la gestión de riesgos se supervisa, realizando
modificaciones oportunas cuando se necesiten. Esta supervisión se lleva a cabo
mediante actividades permanentes de la dirección, evaluaciones independientes
o ambas actuaciones a la vez.
 Cabe aclarar que los componentes mencionados no se llevan a cabo en serie como si
fueran las etapas de un proceso lineal; por el contrario, se trata de un proceso
multidireccional e iterativo, en donde cada una de los componentes genera información
que influye en los restantes.

COSO ERM - Relación entre objetivos y componentes

Categoría de los objetivos
Componentes

ILUSTRACIÓN 1 MATRIZ TRIDIMENSIONAL DE GESTIÓN DE RIESGOS (ERM)

La relación entre los diferentes conceptos enunciados puede graficarse como un

cubo, tal como se muestra en la Ilustración 1, en donde las cuatro categorías de
objetivos están representadas por las columnas verticales, los ocho componentes de la
gestión de riesgos empresariales por las filas horizontales y los diferentes niveles
organizacionales por la tercera dimensión del cubo.

Esta matriz tridimensional refleja la capacidad de centrarse sobre la totalidad de

la administración de riesgos de una entidad o bien por categoría de objetivos, por
componente, por unidad de negocio o por cualquier subconjunto de ellos.

RIESGOS Y OPORTUNIDADES
Las entidades operan en ambientes donde factores como la globalización, la
tecnología, las regulaciones de los organismos de control, los mercados cambiantes y la
competencia, crean incertidumbre. La mencionada incertidumbre está representada por
eventos, que a su vez implican riesgos u oportunidades para la entidad. Un evento con
impacto negativo será un riesgo que la dirección deberá acotar para permitir la
generación de valor. Por el contrario, un evento con impacto positivo, puede compensar
los impactos negativos y/o generar oportunidades que ayuden a crear valor.

En este sentido, la gestión de riesgos empresariales le permitirá a la dirección tratar

a la incertidumbre de una manera eficaz, y administrar los riesgos y oportunidades
asociados, con la finalidad de generar o maximizar el valor.
Alto
Medio
Impacto

Bajo

ILUSTRACIÓN 2 INCERTIDUMBRE

GESTIÓN DE RIESGOS EMPRESARIALES (ERM)

El Informe COSO define a la gestión de riesgos empresariales de la siguiente
manera: “La gestión de riesgos es un proceso efectuado por el consejo de
administración de una entidad, su dirección y restante personal, aplicable a la
definición de estrategias en toda la empresa y diseñado para identificar eventos
potenciales que puedan afectar a la organización, gestionar sus riesgos dentro del
riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los
objetivos”.

Características de la gestión de riesgos empresariales:

• Es un proceso continuo y de ninguna manera una tarea que se realiza en un

único momento determinado o con una periodicidad preestablecida.
• Es realizado por el personal de todos los niveles de la organización, y no
únicamente por un departamento de riesgos o área similar.
 • Está directamente relacionado con el establecimiento y el seguimiento de la
estrategia corporativa.
• Se aplica en toda la entidad, y de alguna manera incluye adoptar una perspectiva
del riesgo a nivel conjunto de la entidad, dejando de lado estrategias parciales.
• Está diseñado para identificar eventos potenciales que, de ocurrir, afectarían a la
entidad y para gestionar los riesgos dentro del nivel de riesgo aceptado.
• Su fin último es proporcionar una seguridad razonable al consejo de
administración y a la dirección de una entidad.
• Está orientada al logro de objetivos de la organización dentro de unas categorías
diferenciadas, aunque susceptibles de solaparse.

ERM - Beneficios
Todas las organizaciones deben establecer una estrategia y ajustarla periódicamente,
siendo conscientes siempre de las oportunidades en constante cambio para crear valor y
de los desafíos que se presentarán en la búsqueda de ese valor. Para ello, necesitan el
mejor marco posible para optimizar la estrategia y el desempeño. Y es ahí donde entra
en juego la gestión del riesgo empresarial.

• Aumentar la gama de oportunidades disponibles

Al tener en cuenta todas las posibilidades tanto los aspectos positivos como
negativos del riesgo la dirección puede identificar nuevas oportunidades y
desafíos únicos asociados con las oportunidades actuales.
• Identificar y gestionar el riesgo en toda la entidad
Cada entidad se enfrenta a innumerables riesgos que pueden afectar a muchas
partes de la organización. A veces, un riesgo puede originarse en una parte de la
entidad, pero puede afectar a otra parte diferente. En consecuencia, la dirección
identifica y gestiona estos riesgos a nivel de toda la entidad para sostener y
mejorar el desempeño.
• Aumentar los resultados positivos y las ventajas a la vez que se reducen las
sorpresas negativas
La gestión del riesgo empresarial permite a las entidades mejorar su capacidad
para identificar riesgos y establecer respuestas adecuadas, reduciendo las
sorpresas y costes o pérdidas relacionados, al tiempo que se benefician de los
nuevos desarrollos.
 • Reducir la variabilidad del desempeño
Para algunas organizaciones, el verdadero desafío no tiene tanto que ver con las
sorpresas y las pérdidas, sino más bien con la variabilidad del desempeño. Unos
resultados que superen las expectativas o se adelanten a los calendarios previstos
pueden causar tanta preocupación como unos resultados inferiores a las
expectativas o retrasos en los calendarios. La gestión del riesgo empresarial
permite que las organizaciones se anticipen a los riesgos que afectarían al
desempeño e implanten las medidas necesarias para minimizar los trastornos y
maximizar las oportunidades.
• Mejorar el despliegue de recursos
Todo riesgo puede considerarse una petición de recursos. Dado que los recursos
son finitos, si se dispone de una información sólida sobre riesgos, la dirección
puede evaluar las necesidades generales de recursos, establecer prioridades en su
despliegue y mejorar su asignación.
• Mejorar la resiliencia de las empresas
La viabilidad a medio y largo plazo de una entidad depende de su capacidad para
anticiparse y responder al cambio, no sólo para sobrevivir sino también para
evolucionar y prosperar. Esto es posible, en parte, gracias a una gestión eficaz
del riesgo empresarial. Es cada vez más importante a medida que se acelera el
ritmo de cambio y aumenta la complejidad en el entorno empresarial.

Estos beneficios ponen de relieve el hecho de que el riesgo no debe considerarse

únicamente como una limitación o un reto potencial a la hora de establecer y llevar a
cabo una estrategia. Por el contrario, el cambio que subyace al riesgo y las respuestas de
la organización ante el riesgo dan lugar a oportunidades estratégicas y a capacidades
diferenciadoras clave.

ERM - Eficacia
La gestión de riesgos empresariales en una entidad es eficaz cuando los ocho
componentes están presentes y funcionan correctamente, en otras palabras, cuando no
existe ninguna debilidad significativa relacionada con los mismos y cuando los riesgos
se encuentran dentro de los niveles aceptados por la organización.
 Cuando se determina que la gestión de riesgos empresariales es eficaz para cada una
de las cuatro categorías de objetivos, se intenta decir que:

• La dirección tiene la seguridad razonable de que conoce el grado de consecución

de los objetivos estratégicos.
• La dirección también conoce el nivel de logro de los objetivos operativos, siempre
con un grado de seguridad razonable.
• La información generada por la entidad es fiable.
• Se cumple con las leyes y las normas aplicables.

Es importante destacar que siempre hablamos de un grado de “seguridad

razonable” debido a que la gestión de riesgos empresariales, si bien proporciona
grandes ventajas, también posee algunas limitaciones, como el juicio humano, la
connivencia, o la posibilidad de fallas por error humano. Estas limitaciones son las que
impiden que la dirección tenga un grado de seguridad absoluta.

EL PAPEL DEL RIESGO EN LA SELECCIÓN DE ESTRATEGIAS

La selección de la estrategia consiste en tomar decisiones y aceptar los pros y los
contras. Por tanto, tiene sentido aplicar la gestión del riesgo empresarial a la estrategia,
ya que se trata del mejor enfoque para diferenciar entre el componente de “arte” y de
“ciencia” que intervienen en la toma de decisiones bien informadas.

La gestión del riesgo empresarial tiene que ver tanto con comprender las
consecuencias resultantes de la estrategia y la posibilidad de que la estrategia esté
desalineada como con gestionar los riesgos para establecer los objetivos. La siguiente
figura muestra estas consideraciones en el contexto de la misión, la visión, los valores
clave, y como motor de la dirección y el desempeño general de una entidad.
 ILUSTRACIÓN 3 GESTIÓN DE RIESGO (PWC, 2017)

La gestión del riesgo empresarial mejora la selección de estrategias. Elegir una

estrategia requiere una toma de decisiones estructurada que analice el riesgo y alinee los
recursos con la misión y visión de la organización.

EL AMBIENTE INTERNO
Es la base de los demás componentes de ERM, puesto que provee disciplina y
estructura. Por involucra gran cantidad de elementos, desde los valores éticos de la
organización hasta la filosofía dominante en la gerencia para administrar los riesgos,
pasando por los mecanismos en que la entidad asigna autoridad y responsabilidad.

La filosofía de gestión de riesgos

Es el conjunto de valores y actitudes compartidas relacionadas con la forma en

que la entidad considera el riesgo en cada cosa que hace, desde la definición de la
estrategia hasta las actividades del día a día. Esta filosofía se refleja en políticas,
comunicaciones orales y escritas, y en el proceso de toma de decisiones.

El apetito al riesgo

El apetito al riesgo es la “cantidad” de riesgo que la entidad está dispuesta a

aceptar en su búsqueda de valor. De alguna manera, este apetito es el reflejo la filosofía
de gestión de riesgos e influencia la forma en que la entidad opera. Cabe destacar que
las entidades comienzan considerando el apetito al riesgo de una forma “cualitativa”, o
sea utilizando categorías como “riesgo alto”, “riesgo medio” y “riesgo bajo”. Solamente
cuando alcanzan un grado de madurez mayor, las organizaciones suelen cambiar este
enfoque cualitativo por uno “cuantitativo”.
El Consejo de Dirección

Las características fundamentales de este cuerpo colegiado son su independencia

de la gerencia, la experiencia de sus miembros, su grado de involucramiento, y la
corrección de sus acciones. Otro punto fundamente que debe destacarse en que el
comité debe tener un adecuado grado de interacción con las auditorías externa e interna.

La integridad y los valores éticos

La integridad de la gerencia y su compromiso con los valores éticos influencian

estas preferencias y juicios de valor, los cuales se traducen en estándares o
comportamientos. Como la buena reputación de una entidad es un activo muy valioso,
estos estándares deben ir mucho más allá que el mero cumplimiento de la ley.

El compromiso con la capacidad

La gerencia debe decidir cuán bien deben cumplirse las tareas asignadas,
teniendo en cuenta la estrategia y los objetivos definidos oportunamente. Para lograr
esto, la gerencia debe especificar qué tipo de capacidades deben tener los individuos, es
decir qué niveles de conocimientos y habilidades son requeridas para cada puesto en
particular, los cuales están relacionados con el talento, el entrenamiento y la experiencia
de cada uno de los individuos.

La estructura organizacional

La estructura organizacional provee el marco para planear, ejecutar, controlar y

monitorear sus actividades. Una estructura bien definida debe incluir áreas clave de
autoridad y responsabilidad, así como establecer adecuadas líneas de reporte.

La asignación de autoridad y responsabilidad

La asignación de autoridad y responsabilidad involucra el grado de iniciativa y

criterio que se les permite aplicar a los individuos en una organización, así como los
límites para sus decisiones. El mayor desafío en este punto, es delegar tareas sólo hasta
el punto requerido para poder cumplir los objetivos organizacionales; es decir estar
absolutamente seguros que cada decisión está soportada por adecuadas prácticas de
evaluación de riesgos, con el objeto de no enfrentar a la entidad con riesgos innecesarios
o directamente con pérdidas potenciales.
Los estándares de recursos humanos

Las políticas de recursos humanos relacionadas con contratación, orientación,

entrenamiento, promociones y compensaciones, envían mensajes a los empleados
acerca de los niveles esperados de integridad, valores éticos y capacidades requeridas.

ROLES Y RESPONSABILIDADES
Consejo de Dirección

Responsable de proveer una supervisión de alto nivel de la gestión de riesgos

corporativos. Su función principal es revisar el riesgo asumido y compararlo con el
apetito al riesgo definido oportunamente.

• Es el responsable de seleccionar la gerencia.

• A su vez, se reserva la autoridad en ciertas decisiones clave.
• Sus miembros deben ser capaces, objetivos e inquisidores.
• Deben utilizar la totalidad de los recursos con el objeto de conducir
investigaciones especiales.

Alta gerencia

La gerencia superior es directamente responsable por todas las actividades de la

entidad, incluyendo la gestión de riesgos corporativos.

El CEO en el máximo responsable y debe asumir la “propiedad” del tema.

• Sus responsabilidades incluyen verificar que todos los componentes de la

gestión de riesgos corporativos funcionan adecuadamente, objetivo que cumple
proporcionando liderazgo y dirección al resto de la alta gerencia.
• Con toda esta información, el CEO está en condiciones de monitorear las
actividades en relación al apetito al riesgo definido.
• Existen gerentes con responsabilidades específicas de gestión de riesgos. Los
mismos juegan un rol más activo en el tema, y son los responsables de ejecutar
ciertos procedimientos de evaluación de riesgos y de establecer respuestas.

Oficial de riesgos

• Suele tener responsabilidad en el monitoreo de la gestión de riesgos.

 • Algunas compañías le han asignado este rol a un miembro de la alta gerencia
con otras funciones como el CFO o el Gerente de Auditoría, mientras que otras
entidades han considerado que la función es en sí tan relevante que requiere una
persona con dedicación full-time.
• Sus responsabilidades son establecer las políticas de riesgos; ser facilitadores en
lo que a mecanismos de gestión de riesgos se refiere; establecer un lenguaje
común que incluya medidas comunes para el impacto y la probabilidad de
ocurrencia, así como categorías de riesgos estándares; y desarrollar herramientas
de reporte y de cuantificación de riesgos.

Gerente de Finanzas

• Las áreas de “Finanzas” y “Control” son de una particular importancia debido a

que sus actividades tienen puntos de contacto con todas las unidades operativas
y de negocio.
• Estos ejecutivos generalmente son responsables de establecer planes y
presupuestos, y suelen ser claves en relación a la forma en que la organización
ejerce la gestión de riesgos.
• El CFO juega un rol crítico en el establecimiento de los objetivos, durante la
selección de la estrategia, y en el análisis de riesgos.

Auditores internos

• Lo auditores internos asisten al Comité de Dirección y a la alta gerencia,

examinando, evaluando, reportando y recomendando mejoras en relación con la
efectividad de la gestión de riesgos corporativos de la entidad.

Auditores externos

• Proveen al Comité de Dirección y a la alta gerencia de una visión objetiva e

independiente, que puede contribuir al logro de los objetivos de la entidad.
• El auditor externo puede generar hallazgos de auditoría, información analítica y
recomendaciones relacionadas con la consecución de objetivos.

Otro personal de la entidad

• Todo el personal es responsable de mantener los flujos de información y

comunicación inherentes al proceso de gestión de riesgos.
Entes reguladores

• En el primero de los casos, una regulación puede proveer el impulso para que
una organización comience a asegurarse que la gestión de riesgos cumple con
los requisitos mínimos establecidos.
• Adicionalmente, la revisión en una entidad en particular por parte del regulador,
puede proveer información útil acerca del nivel de eficiencia en la gestión de
riesgos, e incluso a veces puede hasta generar recomendaciones para la solución
de las deficiencias detectadas.

Otros terceros

• Clientes, proveedores, socios de negocio y otros terceros que interactúan con la

entidad suelen ser una importante fuente de información utilizada en la gestión
de riesgos.

COSO ERM – Actualización 2017

La Gestión del Riesgo Empresarial Integrando Estrategia y Desempeño destaca
la importancia de la gestión del riesgo en la planificación estratégica y su integración en
todos los niveles de la organización, ya que el riesgo influye y alinea la estrategia y el
desempeño en todos los departamentos y funciones.

ILUSTRACIÓN 4 COMPONENTES COSO ERM 2017 (PWC, 2017)

En el nuevo Marco se encuentra un conjunto de principios organizados en cinco

componentes interrelacionados:
1. Gobierno y cultura

El Gobierno marca el tono en la entidad, reforzando la importancia de la gestión

del riesgo empresarial y estableciendo responsabilidades de supervisión al respecto.
La cultura hace referencia a los valores éticos, a los comportamientos deseados y a
la comprensión del riesgo en la entidad.

2. Estrategia y establecimiento de objetivos

La gestión del riesgo empresarial, la estrategia y el establecimiento de objetivos

funcionan juntos en el proceso de planificación estratégica. Se establece un apetito
al riesgo y se alinea con la estrategia; los objetivos del negocio ponen en práctica la
estrategia al tiempo que sirven de base para identificar, evaluar y responder ante el
riesgo.

3. Desempeño

Es necesario identificar y evaluar aquellos riesgos que puedan afectar a la

consecución de los objetivos estratégicos y de negocio. Los riesgos se priorizan en
función de su gravedad en el contexto del apetito al riesgo. Posteriormente, la
organización selecciona las respuestas ante el riesgo y adopta una visión a nivel de
cartera con respecto al nivel de riesgo que ha asumido. Los resultados de este
proceso se comunican a las principales partes interesadas en el riesgo.

4. Revisión y monitorización

Al examinar el desempeño de la entidad, una organización puede determinar

cómo funcionan los componentes de gestión del riesgo empresarial con el paso del
tiempo en un entorno de cambios sustanciales, y qué aspectos son susceptibles de
revisar y modificar.

5. Información, comunicación y reporte

La gestión del riesgo empresarial requiere un proceso continuo de obtención e

intercambio de la información necesaria, tanto de fuentes internas como externas,
que fluya hacia arriba, hacia abajo y a lo largo de todos los niveles de la
organización.
 Los cinco componentes, en el marco actualizado, están respaldados por un conjunto
de principios que cubren todos los aspectos, desde el gobierno hasta la monitorización.
Son manejables en tamaño, y describen las prácticas aplicables de diferentes formas y
para distintos tipos de organizaciones, independientemente de su tamaño, tipo o sector.

La adhesión a estos principios puede proporcionar, a la dirección y el consejo, una

expectativa razonable de que la organización entiende y se esfuerza por gestionar los
riesgos asociados con su estrategia y los objetivos de la empresa.

ILUSTRACIÓN 5 COMPONENTES COSO ERM 2017 (PWC, 2017)

ILUSTRACIÓN 6 COMPONENTES COSO ERM 2017 (PWC, 2017)

RIEGOS DE CONTROL INTERNO
Es importante que la identificación de riesgos sea comprensiva, debe considerar
todas las interacciones significativas de bienes, servicios e información entre una entidad
y las partes externas relevantes. Esas partes externas incluyen proveedores, inversionistas,
acreedores, accionistas, empleados, clientes, compradores, intermediarios y
competidores, tanto potenciales como actuales.

Origen de los riesgos

ILUSTRACIÓN 7 CONSIDERACIONES QUE AFECTAN LA PROPENSIÓN AL RIESGO

Existen riesgos controlables, es decir que su ocurrencia se puede evitar o a su vez

corregir de manera oportuna, sin que estos puedan llegar a causar grandes daños a una
entidad; por otra parte, existen riesgos que se tornan en una situación de peligro
inevitablemente como lo son los riesgos que se producen por factores naturales, como
tornados, huracanes, terremotos, plagas o cualquier evento fortuito a causa de la
naturaleza. Sin embargo, para todo tipo de riesgo se puede crear un plan de contingencia,
para si bien es cierto que algunos no se pueden evitar, con su debido plan de acción se
puede disminuir el impacto que ocasione o en su efecto se pueden canalizar los daños que
surjan.

Factores Internos

La institución haciendo un análisis de sus fortalezas y debilidades, visualizan el

diseño de su infraestructura, si el manejo de los recursos es el adecuado, como están
conformados sus sistemas de información, si aquellos son automatizados y si el personal
está cumpliendo con sus funciones.

• Fallos en los Sistemas Informáticos consolidados: Los fallos que surgen en los
sistemas informáticos cuando la información que se genera en ellos se consolida
al tener aplicaciones, funciones entrelazadas, originan una situación de riesgo
cuando por esta causa se paralizan total o parcialmente las operaciones de una
empresa, se pierde tiempo valioso, información valiosa, esto puede llegar a
ocurrir si no se tiene su debido plan de contingencia frente a esta situación
eminente de riesgo, causando daños operativos y también financieros como en el
caso de las entidades bancarias.
• Deficiencias en el Control Interno: La presencia de deficiencias en el control
interno es la principal causa de la existencia de los riesgos, por lo que
desemboca en una serie de situaciones que pueden ser desfavorables para una
compañía. Por ejemplo, que exista fallas en el diseño de un sistema de control
interno deja una brecha abierta para el cometimiento de errores no intencionales
y también de fraudes organizados al no funcionar cierta aplicación debidamente
permitiendo modificaciones, desvíos que causen perjuicios a la entidad, así
mismo la ausencia de limitantes de accesos, de segregación de funciones en los
servidores y demás acciones de control interno pueden contribuir a la emisión de
información errónea, o irreal ocasionando severos daños a corto o largo plazo.
• Fallos en la Administración y Organización de una compañía: La falta de
organización, criterio al dirigir las acciones de una compañía también son causal
de la aparición de riesgos en la misma. Una mala toma de decisiones en
determinada situación puede convertirse en un escenario peligroso, aunque se
tenga un debido plan de acción si este no es implementado correctamente.
Debido a la causa de mala administración y organización, surge el mayor miedo
de toda empresa y la principal situación de riesgo que es la del negocio en
 marcha, pues puede desembocar en daños irreversibles que conlleve a la
disolución de una compañía.

Factores Externos:

Las empresas deben identificar las amenazas que este mundo globalizado les
presenta como: La economía. el sistema político es estable, Si están al día con los
nuevos avances tecnológicos y, si la competencia es igual o más avanzada.

• Especulación: La especulación también es un causal de riesgo al poder ser

manipulada la verdad acerca de un determinado tema, sembrando la duda,
generando inestabilidad; un ejemplo de ello es la especulación de precios del
mercado, esto afecta seriamente a una empresa, puesto que sus ventas pueden
decaer debido a las acciones que emprenda en mercado frente a situaciones
irreales.
• Factores Políticos: La inestabilidad política o cambios en la gobernación de un
territorio se tornan en una situación potencial que inicia la aparición de riesgos,
las actividades normales de una compañía, pueden surgir paros, cierres, escasez,
y desorden en un país que como medida cautelar de una empresa sería la
paralización temporal de actividades, lo que genera pérdidas inevitables.
• Cambio de leyes: El cambio de leyes gubernamentales restringe o dificulta en
ciertas ocasiones determinadas actividades de una compañía, la adición o
desaparición de determinada ley frena operaciones en algunos casos
primordiales para determinado sector donde afecte la normativa, por ejemplo
fijación gubernamental de precios, cambios en leyes de exportación e
importación, y demás restricciones.
• Ámbitos Fiscales: Así como el cambio de leyes generales afecta a una compañía
y genera riesgos, de la misma manera la implementación o cambios en materia
fiscal es causa de la presencia de riesgos en una empresa, por lo que podría
generar desembolsos adicionales que perjudiquen el flujo de dicha empresa, o
bien las sanciones implicadas por el incumplimiento de estas leyes causan daños
financieros y operativos relacionados.
• Deficiencias Económicas globales: La crisis mundial, la fluctuación de tasas de
interés del mercado, la inflación, la deuda externa que pueda mantener un país,
entre otros, son causa de riesgos para una compañía, sobre todo de riesgos
 financieros que pueden ser el resultado de grandes perjuicios y amenazas al
normal desarrollo de actividades, e incluso de la subsistencia de una empresa.
• Fenómenos Naturales
Los fenómenos naturales son un factor inevitable, causan grandes destrucciones,
pérdidas monetarias e incluso humanas si no se tiene preparado un debido plan
de contingencia para un accionar oportuno en caso de su presentación. Este tipo
de riesgo es inevitable, se puede disminuir su impacto; como se mencionaba
anteriormente canalizar los daños y evitar su severidad con la finalidad de evitar
la interrupción de actividades o en su efecto la prolongación de la misma.

La presentación de riesgos en una compañía es impredecible y la aparición de algunos

de ellos no depende de la entidad, en otros casos este surgimiento se debe a errores
humanos plenamente controlables que generalmente son comunes y que pueden evitarse
mediante la identificación oportuna, la evaluación previa, la aplicación de los planes de
contingencia previamente desarrollados, por ello resulta sumamente necesarios
protegernos de ellos para evitar perjuicios, tanto económicos, operativos o de
continuidad de una compañía.

Evaluación de riesgos
En toda entidad sin perjuicio de su tamaño, condición, finalidad o tipo de
negocio, existe la posibilidad de enfrentarse ante riesgos, los mismos que son
acontecimientos impredecibles que pueden convertirse en circunstancias de peligro; por
otra parte, en algunas ocasiones dichos riesgos no son significativos y no llegan a
desembocar en situaciones adversas. ¿Pero cómo saber cuándo un riesgo puede
convertirse en una potencial situación de peligro? Para ello es de suma importancia
hacer una evaluación de estos riesgos, la que se realiza después de haber efectuado la
identificación de los mismos.

Como parte del control interno tenemos como aspecto relevante la elaboración
de un plan de acción frente a los riesgos que presenten en una empresa, la misma que
consiste en la identificación de los riesgos, la evaluación de los mismos y la aplicación
de los planes de contingencias que se tengan a disposición para enfrentarse a estos,
cuya finalidad es lograr mitigarlos o disminuir el impacto que puedan causar, de esta
manera se logra que los riesgos se reduzcan a un nivel bajo que sea aceptable. Para
realizar la evaluación de Riesgos como parte de un sistema de control interno integral,
se debe tener presente la estimación de la importancia de estos riesgos para la compañía,
así como también la probabilidad de que este evento negativo ocurra y el impacto que
cause en varios aspectos. La conducción de los riesgos, bajo un esquema de escenarios
es parte de los planes de contingencias que se desarrollan después de la identificación,
evaluación de los mismos que consiste en dar opciones de respuesta ante riesgos, bajo
diferentes escenarios lo mismo que abre camino a diversas posibles soluciones para
poder escoger el accionar adecuado frente a cada evento y así poder lograr una
magnitud de impacto relativamente baja para cada situación.

En cuanto a la estimación de la importancia de los riesgos podemos señalar dos

clases, estas son: riesgos significativos, riesgos no significativos, los mismos que
definen la relevancia de las acciones que deban tomarse para actuar frente a ellos en los
diversos campos y secciones en los que se presenten.

Riesgo Significativo

Se define a un riesgo como significativo cuando los resultados que se deriven de

su presencia sean considerables, produzcan daños a la compañía o interfieran en la
continuidad de las operaciones normales de una entidad, ya sean estas afecciones
contables, operacionales, financieras u objetivas.

Para todo tipo de riesgo existe un debido plan de contingencias, pero en estos
casos cuando la presencia de un riesgo es expresamente significativa, las medidas que se
deberán tomar como precaución deben ser precisas, concretas, es decir, el mencionado
plan de acción debe ser más estricto y lograr la mitigación del mismo o en su efecto que
el impacto sea leve.

Para juzgar los riesgos que son significativos, el auditor considerará, al menos,
lo siguiente:

a) Si se trata de un riesgo de fraude.

b) Si el riesgo está relacionado con acontecimientos económicos.
c) La complejidad de las transacciones.
d) Si el riesgo afecta a transacciones significativas con partes vinculadas.
e) El grado de subjetividad de la medición de la información financiera relacionada
con el riesgo, en especial las mediciones que conllevan incertidumbre.
 f) Si el riesgo afecta a transacciones significativas ajenas al curso normal de los
negocios de la entidad, o que, por otras razones, parecen inusuales.

Riesgo no Significativo

Un riesgo es considerado como no significativo cuando su presencia no incide

negativamente en las operaciones de una organización, o a su vez que este represente
desventajas mínimas que pueden ser controlables, no requieren una consideración
especial debido a la baja probabilidad de ocurrencia y la leve magnitud de impacto.

En la etapa de evaluación de riesgos también se identifica la probabilidad de

ocurrencia de los eventos qué se consideran como riesgos, esta posibilidad de que se
presenten dichos sucesos se mide en tres niveles: Alta, Media y Baja, las cuales
identificarán qué tan probable o posible sea que los riesgos previamente identificados se
conviertan en una realidad y pongan en riesgo a la compañía.

Probabilidad de Ocurrencia

Nivel Alto

El nivel de probabilidad de ocurrencia alto, es calificado como una eminente

situación de conflicto, o muy probable de materializarse pudiendo traer consigo
perjuicio, desequilibrio, por ello es considerado de suma importancia, que requiere
constante monitoreo y una debida planificación previa, como respuesta a este nivel de
riesgo que es considerado como catastrófico.

Nivel Medio

El nivel medio es aquel en que el riesgo es posible de ocurrir, no es tan seguro

que aparezca y cause daños, no obstante, se debe tener cautela en su tratamiento, estar
en alerta provisoria, puesto que un nivel medio significa que existen algunos riesgos de
importancia.

Nivel Bajo

Un nivel de probabilidad de ocurrencia bajo significa que existen riesgos que se

los considera como improbables, su supuesta aparición se catalogaría como un caso
fortuito, sin embargo, se encuentran reflejados en la matriz de riesgos y podrían
convertirse en una posible amenaza futura si estos no tienen una evaluación previa y un
ocasional monitoreo.

Dentro de la evaluación de los riesgos se encuentra identificada la magnitud de

impacto que ocasionan dichos riesgos que no es otra cosa que las consecuencias que
genere la ocurrencia de los mismos, el nivel de daño que se refleje en diferentes
aspectos como lo operativo, contable, financiero, legal, entre otros. La magnitud del
impacto de los riesgos se identifica en tres niveles, estos son: alta, media y baja, las
mismas que medirán la magnitud.

Magnitud de Impacto

Nivel Alto

El nivel alto en la magnitud de impacto es considerado de peligro por sus

consecuencias que podrían ser catastróficas, de no tener un colchón de protección contra
la consecución de estos riesgos pudiendo causar daños económicos, físicos, y hasta
posible estado de pérdidas totales.

Nivel Medio

El nivel medio de impacto es aquel en que sus derivaciones causan daños

considerables pero que los mismos se pueden remediar o que la entidad se puede
reponer de ellos, no obstante causa pérdidas que con la elaboración de un debido plan de
acción pueden ser evitados.

Nivel Bajo

El nivel de impacto bajo es el que su ocurrencia no ocasiona daños considerables

el mismo que puede ser asumido. Pero, sin embargo, debe tenerse en consideración para
que no se convierta en un riesgo recurrente y que posteriormente llegue a causar daños o
pérdidas medianas.

RIESGOS DE AUDITORÍA
Riesgo de auditoria es la posibilidad de llegar a emitir el llamado informe de auditoría
de manera incorrecta por no haber detectado errores en las operaciones o irregularidades
significativas, así como también por fallos registrados en los procedimientos de
auditoría y en todas las transacciones, es por ello que como parte del control interno es
de suma importancia detectar dichos riesgos para tener un monitoreo constante.

Riesgo Inherente

Es el que se encuentra implícito, este se puede encontrar en cada una de las

cuentas contables por la naturaleza de cada cuenta o por la posibilidad de que exista
algún un error de carácter significativo, esto puede ocurrir por la ausencia de controles
internos relacionados entre sí.

El riesgo inherente no puede ser controlado por el auditor por su naturaleza, pero puede
ser manejado o monitoreado cuando existe una previa evaluación y una clara
identificación de los mismos.

Riesgo de control

El riesgo de control es aquel que se presenta cuando los controles internos no

son lo suficientemente eficaces para detectar fallos, que puede influir en los resultados
de las operaciones de una compañía, o en su efecto cuando dichos controles internos
dejan brechas que pueden permitir la ocurrencia de hechos que pueden convertirse en
acciones negativas para la organización.

El riesgo de control es el peligro de no poder controlar como su palabra lo indica, las

actividades propias de la compañía y las situaciones que se deriven de un mal
funcionamiento de estos controles.

Riesgo de Detección

En auditoría el riesgo de detección es el peligro o riesgo de que un auditor no

pueda detectar cierta acción errónea, o a su vez que no puedan descubrir los fallos en
sus procedimientos de auditoría.

Es muy importante poder contrarrestar este riesgo, ya que al no ser percibido causaría
problemas de irrealidad de las operaciones, estados financieros y demás componentes de
una compañía, puesto que se estaría aseverando algo que es ficticio o irreal al no
detectar fallos en presentación de información.
MATRIZ DE EVALUACIÓN DE RIESGOS

ILUSTRACIÓN 8 MATRIZ DE EVALUACIÓN DE RIESGOS

MATRIZ DE GESTIÓN DE RIESGOS

ILUSTRACIÓN 9 MATRIZ DE GESTIÓN DE RIESGOS

MIRANDO HACIA EL FUTURO

La gestión del riesgo empresarial será una pieza clave del enfoque que las
organizaciones adopten para gestionar estas circunstancias y prosperar en el tiempo.
Con independencia del tipo y tamaño de una entidad, las estrategias deben mantenerse
fieles a su misión.

De cara al futuro, vemos varias tendencias que influirán en la gestión del riesgo
empresarial. Las tendencias más destacadas son las siguientes:

• Abordar la proliferación de datos

A medida que se disponga de más y más datos y aumente la velocidad a la que estos
se puedan analizar, será necesario adaptar la gestión del riesgo empresarial. Los
datos provendrán tanto de dentro como de fuera de la entidad y se estructurarán de
nuevas formas. Las herramientas avanzadas de análisis y de visualización de datos
evolucionarán y serán muy útiles para comprender el riesgo y su impacto.

• Aprovechar la inteligencia artificial y la automatización

Es importante que las prácticas de gestión del riesgo empresarial tengan en cuenta el
impacto de estas y otras futuras tecnologías, y aprovechen sus capacidades. Se
pueden identificar relaciones, tendencias y patrones previamente irreconocibles, los
cuales pueden proporcionar una rica fuente de información crítica para la gestión del
riesgo.

• Gestionar el coste de la gestión de riesgos

Una preocupación frecuente expresada por muchos directivos es el coste de la

gestión de riesgos, de los procesos de cumplimiento y de las actividades de control
en comparación con el valor que generan. A medida que evolucionen las prácticas
de gestión del riesgo empresarial, será importante que las actividades que abarquen
el riesgo, el cumplimiento, el control e incluso la gobernanza se coordinen de
manera eficiente para proporcionar el máximo beneficio a la organización. Esta
puede ser una de las mejores oportunidades para que la gestión del riesgo
empresarial redefina su importancia para la organización.
 • Construir organizaciones más fuertes

A medida que las organizaciones vayan integrando mejor la gestión del riesgo
empresarial con la estrategia y el desempeño, se presentará una oportunidad para
fortalecer la resiliencia. Al conocer los riesgos que tendrán un mayor impacto en la
entidad, las organizaciones pueden utilizar la gestión del riesgo empresarial para
ayudar a poner en marcha capacidades que les permitan actuar con prontitud.

En resumen, la gestión del riesgo empresarial tendrá que cambiar y adaptarse al futuro
para proporcionar sistemáticamente los beneficios señalados en el Marco. Con el
enfoque adecuado, los beneficios derivados de la gestión del riesgo empresarial
superarán con creces las inversiones y proporcionarán a las organizaciones confianza en
su capacidad para gestionar el futuro.

POSIBLES RIESGOS INFORMÁTICOS Y SUS PREVENCIONES

Errores y omisiones humanas

Que los empleados cometan un error humano en la utilización de los sistemas
informáticos puede dar lugar a varios problemas, desde pequeñas incidencias, hasta
problemas de mayor calibre: aparición de vulnerabilidades, riesgo de violación de la
privacidad, pérdida de la integridad de los datos, etc. Errores de programación y
administración por parte de personal con baja formación en informática puede
perjudicar entonces a la organización.

Accidentes, robos y desastres naturales

Los accidentes pueden ser variados y nunca vienen con previo aviso. Hablamos
desde la ruptura o robo de un dispositivo de almacenamiento USB con documentación
relevante, hasta incendios o terremotos, o cualquier otra circunstancia que pueda dañar
el hardware. En ese sentido, se pone de manifiesto la importancia de no depender
exclusivamente de los dispositivos físicos situados en la sede la empresa.

Es necesario realizar copias de seguridad online y trabajar en la redundancia de

datos, de modo que se dispongan de alternativas actualizadas en caso de cualquier
accidente.
 La nube ha solucionado gran parte de los problemas, en el sentido de que gracias
a un programa de gestión en la nube para empresas, se pueden digitalizar los datos de
facturación, presupuestos, albaranes, indicadores de ventas, estadísticas, TPV y toda una
serie de información clave que quedaría respaldada en servidores de la aplicación con
las medidas de seguridad convenientes.

Intrusiones
La integridad de los datos y la privacidad puede quedar en peligro ante la
actividad de los piratas informáticos, que buscan vulnerabilidades en las aplicaciones
para poder robar contraseñas y acceder a ordenadores y servidores de forma remota.

Para prevenir las intrusiones, es necesario estar al día en seguridad informática y

disponer de las herramientas necesarias para prevenir los ataques informáticos y
conexiones no deseadas, así como proteger los archivos del disco duro y realizar
conexiones seguras siempre que se trabaje con servidores externos.

Programas maliciosos
Hablamos de software ideado para instalarse en el ordenador del usuario y
causarle perjuicios, en beneficio de su creador: virus, gusanos, troyanos y todo tipo de
programas espía que puedan afectar a la privacidad del usuario son un riesgo que la
empresa debe prevenir, utilizando las mejores herramientas en seguridad informática
más recomendadas para las características de su negocio.
6. Conclusiones:
• La gestión del riesgo empresarial no es una función ni un departamento. Es la
cultura, las capacidades y las prácticas que las organizaciones integran con el
proceso de definición de la estrategia y aplican cuando la llevan a la práctica con
el propósito.
• Para algunas organizaciones, el verdadero desafío no tiene tanto que ver con las
sorpresas y las pérdidas, sino más bien con la variabilidad del desempeño. Unos
resultados que superen las expectativas o se adelanten a los calendarios previstos
pueden causar tanta preocupación como unos resultados inferiores a las
expectativas o retrasos en los calendarios. La gestión del riesgo empresarial
permite que las organizaciones se anticipen a los riesgos que afectarían al
desempeño e implanten las medidas necesarias para minimizar los trastornos y
maximizar las oportunidades. de gestionar el riesgo a la hora de crear,
preservar, materializar el valor.
• La viabilidad a medio y largo plazo de una entidad depende de su capacidad para
anticiparse y responder al cambio, no sólo para sobrevivir sino también para
evolucionar y prosperar. Esto es posible, en parte, gracias a una gestión eficaz del
riesgo empresarial. Es cada vez más importante a medida que se acelera el ritmo
de cambio y aumenta la complejidad en el entorno empresarial
• La gestión del riesgo empresarial tendrá que cambiar y adaptarse al futuro para
proporcionar sistemáticamente los beneficios señalados en el presente trabajo.
Con el enfoque adecuado, los beneficios derivados de la gestión del riesgo
empresarial superarán con creces las inversiones y proporcionarán a las
organizaciones confianza en su capacidad para gestionar el futuro.
• La implementación de esta metodología avanzada de control trae beneficios a toda
aquella organización que la aplique en su totalidad y de manera integral. A lo largo
del desarrollo del presente trabajo observamos la importancia de la presencia de
los controles internos en una compañía; la etapa de evaluación de riesgos es la que
arroja ventajas sobre una organización en materia de prevención, mediante el
análisis y apreciación de riesgos para un oportuno manejo de ellos.
7. Recomendaciones
• La utilización de una metodología como COSO es esencial para el correcto
funcionamiento del control interno en las organizaciones, independientemente
de su tamaño o finalidad, debido a que este sirve de apoyo y supervisión de cada
una de las actividades de control que existan en el sistema de una compañía.
• Como parte del proceso de control interno de toda entidad se debe realizar
planificaciones y programas de auditoria de gestión que permitan evaluar los
procedimientos de cada departamento, áreas y unidades, con la finalidad de
establecer estrategias y mejoras en la calidad.
• Correcta capacitación sobre la teoría, el proceso, y, muy bien definidos los
criterios de evaluación, la suma de todos estos factores y la permanencia y
maduración del sistema generará cada vez mejores resultados, los cuales, se
revertirán en un apoyo fundamental en la consecución de los objetivos de la
empresa.
• Se debe desarrollar auditorias de gestión continuas que permitan validar y
evaluar la calidad de los procesos y los servicios.
 8. Bibliografía:

ERM, c. (s.f.). coso.org. Obtenido de 2017: https://www.coso.org/Documents/COSO-ERM-

Executive-Summary-
Spanish.pdf?fbclid=IwAR1bP9N40C7ODLT7NM9svMIGTxDodkyvpiIG1D1OlghsDQFMKc
s_jtnpg0s

PwC. (junio de 2017). auditores Internos. Obtenido de

https://auditoresinternos.es/uploads/media_items/coso-2018-
esp.original.pdf?fbclid=IwAR00mlP1MCfC8xh7Xwv8TZL_TeyOP-
AsARcgpdDXXgEz6qLwmhXPwxV3BVQ

9. Anexos

“Análisis del COSO ERM y la gestión integral de riesgo en el sector cooperativista del
sistema financiero CACPECO - CCCA - 29 de Octubre periodo 2014”

https://drive.google.com/open?id=1kMaViE8e_X8-A_VSBwvbp5uw8JmkBh8b