Ley Sarbanes Oxley (30 Julio del 2002) nace con el fin de monitorear a las empresas que cotizan en la

bolsa de valores de Nueva york y sus filiales, para evitar fraudes y riesgo de bancarrota, protegiendo
al inversor. Así mismo regula las funciones financieras contables y de auditoría, y penaliza el crimen
corporativo. Este monitoreo y control se realiza a través del incremento de los controles internos de
las empresas, y la implementación de medidas preventivas que garanticen la integridad y precisión
de sus informes financieros.

Le permite a las empresas identificar los riesgos claves de la información financiera y valorar su
impacto sobre las diferentes áreas de la organización. Además, establece una nueva ética de
responsabilidades corporativas y normas estrictas para prevenir y sancionar el fraude corporativo y
actos de corrupción.

Modelo COCO
El informe COCO fue publicado por el Instituto Canadiense de Contadores Autorizados en 1995, con
el objetivo de simplificar los conceptos y lenguaje para hacer posible una discusión del alcance total
del control en cualquier nivel de la organización.

El modelo COCO es producto de una profunda revisión al modelo coso por parte del Comité de
Criterios de Control de Canadá, con el propósito de hacer un planteamiento de un modelo más
sencillo y comprensible ante las dificultades que enfrentaron inicialmente algunas organizaciones en
la aplicación del informe coso.

El modelo COCO define el control interno de una forma idéntica al modelo coso, la diferencia se
encuentra en que el modelo COCO proporciona un marco de referencia a través de 20 criterios
agrupados en 4 componentes, que el personal en toda la organización puede usar para diseñar,
desarrollar, modificar o evaluar el control.

Estos 20 criterios conforman un ciclo lógico de acciones a ejecutar para asegurar el cumplimiento de
los objetivos de una organización, también conocido como ciclo de entendimiento básico del control.

El modelo COCO busca proporcionar un entendimiento del control y dar respuesta a las siguientes
tendencias:

En el impacto de la tecnología y el recorte a las estructuras organizacionales, debido a la implantación

de medios informales, como la visión empresarial compartida, comunión de valores y una
comunicación más abierta.
En el énfasis de las autoridades para establecer controles, como una forma de proteger los intereses
del accionista.
En la creciente demanda de informar públicamente acerca de la efectividad del control.
 Modelo COSO es un documento que contiene las principales directivas para la implantación, gestión y control de
un sistema de control. Debido a la gran aceptación de la que ha gozado, desde su publicación en el año 1992, el
Informe COSO se ha convertido en el estándar de referencia.

Existen en la actualidad 2 versiones del Informe COSO. La versión del 1992 y la versión del 2004, que incorpora las
exigencias de ley Sarbanes Oxley a su modelo.

Está diseñado para identificar los eventos que potencialmente puedan afectar a la entidad y para administrar los
riesgos, proveer seguridad razonable para la administración y para la junta directiva de la organización orientada al
logro de los objetivos del negocio.

COSO II

Hacia fines de Septiembre de 2004, como respuesta a una serie de escándalos, e irregularidades que provocaron
pérdidas importante a inversionistas, empleados y otros grupos de interés.

Nuevamente el Committee of Sponsoring Organizations of the Treadway Commission, publicó el Enterprise Risk
Management – Integrated Framework y sus aplicaciones técnicas asociadas.

Amplía el concepto de control interno, proporcionando un foco más robusto y extenso sobre la identificación,
evaluación y gestión integral de riesgo.

En septiembre de 2004 se publica el estudio ERM ( Enterprice Risk Management) como una ampliación de Coso 1,
de acuerdo a las conclusiones de los servicios de Pricewaterhouse a la comisión.

¿Qué se puede Obtener a través de COSO?

 Proporciona un marco de referencia aplicable a cualquier organización.

 Para COSO, este proceso debe estar integrado con el negocio, de tal manera que ayude a conseguir los resultados
esperados en materia de rentabilidad y rendimiento.
 Trasmitir el concepto de que el esfuerzo involucra a toda la organización: Desde la Alta Dirección hasta el último
empleado.

Ventajas de Coso

 Permite a la dirección de la empresa poseer una visión global del riesgo y accionar los planes para su correcta
gestión.
 Posibilita la priorización de los objetivos, riesgos clave del negocio, y de los controles implantados, lo que permite
su adecuada gestión. toma de decisiones más segura, facilitando la asignación del capital.
 Alinea los objetivos del grupo con los objetivos de las diferentes unidades de negocio, así como los riesgos asumidos
y los controles puestos en acción.
 Permite dar soporte a las actividades de planificación estratégica y control interno.
 Permite cumplir con los nuevos marcos regulatorios y demanda de nuevas prácticas de gobierno corporativo.
 Fomenta que la gestión de riesgos pase a formar parte de la cultura del grupo.
Tipos de riesgo. (Medición del riesgo)* ·
Alto. Se considera un riesgo alto cuando la amenaza representa gran impacto dentro de la institución u
organización. ·
Medio. Se establece cuando la amenaza impacta de forma parcial a las actividades de la organización o
institución. ·
Bajo. Cuando una amenaza no representa un ataque importante en los procesos de una organización o
institución.

Matriz de riesgo.
Constituye una herramienta de control y de gestión normalmente utilizada para identificar las actividades
(procesos y productos) más importantes de una empresa, así como el tipo y nivel de riesgos inherentes a estas,
permite evaluar la efectividad de una adecuada gestión y administración de los riesgos financieros que
pudieran impactar los resultados y por ende al logro de los objetivos de una organización. La matriz debe ser
una herramienta flexible que documente los procesos y evalúe de manera integral el riesgo de una institución,
a partir de los cuales se realiza un diagnóstico objetivo de la situación global de riesgo de una entidad.

Componentes del riesgo

Riesgo de auditoría: riesgo de que el auditor exprese una opinión de auditoría inadecuada cuando los estados
financieros contienen incorrecciones materiales. El riesgo de auditoría es una función del riesgo de
incorrección material y del riesgo de detección.

Riesgo de incorrección material: riesgo de que los estados financieros contengan incorrecciones materiales
antes de la realización de la auditoría. El riesgo comprende dos componentes, descritos del siguiente modo,
en las afirmaciones:

(i) Riesgo inherente: susceptibilidad de una afirmación sobre un tipo de transacción, saldo contable u
otra revelación de información a una incorrección que pudiera ser material, ya sea individualmente
o de forma agregada con otras incorrecciones, antes de tener en cuenta los posibles controles
correspondientes.
(ii) Riesgo de control: riesgo de que una incorrección que pudiera existir en una afirmación sobre un
tipo de transacción, saldo contable u otra revelación de información, y que pudiera ser material, ya
sea individualmente o de forma agregada con otras incorrecciones, no sea prevenida, o detectada
y corregida oportunamente, por el sistema de control interno de la entidad.

Riesgo de detección: riesgo de que los procedimientos aplicados por el auditor para reducir el riesgo de
auditoría a un nivel aceptablemente bajo no detecten la existencia de una incorrección que podría ser
material, considerada individualmente o de forma agregada con otras incorrecciones.