¿Qué es COSO?

Es una comisión que fue formada por cinco organizaciones de contadores y auditores de
los Estados Unidos, que se llamó Committee of Sponsoring Organizations of the
Treadway (Comité de Organizaciones Patrocinadoras de la Comisión Treadway).
Se dedicada a proporcionar un modelo común de orientación a las entidades sobre
aspectos fundamentales de:
 gestión ejecutiva y de gobierno,
 ética empresarial,
 control interno,
 gestión del riesgo empresarial,
 control del fraude, y
 presentación de informes financieros.

CONTROL INTERNO COSO I

En el año 1992, el Committee of Sponsoring Organizations of the Treadway

Commission, conocido como COSO, publicó el Internal Control - Integrated
Framework (COSO I). Así se integraron diversos conceptos en un “Marco”, el que
establece una definición común e identifica los componentes de control. Este marco fue
el punto de partida para la evaluación de los sistemas de Control Interno en los distintos
tipos de organizaciones.

Definición de “Control Interno”

Es un proceso efectuado por el consejo de administración, la dirección y el resto del

personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad
razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías:

• Eficacia y eficiencia de las operaciones.

• Fiabilidad de la información financiera.
• Cumplimiento de las leyes y normas que sean aplicables.

El Control Interno se define entonces como un proceso integrado a los procesos, y no un

conjunto de pesados mecanismos burocráticos añadidos a los mismos, efectuado por el
consejo de la administración, la dirección y el resto del personal de una entidad,
diseñado con el objeto de proporcionar una garantía razonable para el logro de
objetivos.
Componentes del COSO I

El Informe Coso I se vale de diversos componentes para explicar el desarrollo del

control interno en una organización, y estos son:
1. Ambiente de Control: El entorno del control marca la pauta del funcionamiento de
una empresa e influye en la concienciación de sus empleados respecto al control.

Factores:
 Integridad y los valores éticos de la entidad.
 Compromiso de competencia profesional.
 Directorio o Comité de Auditoría.
 Filosofía y estilo operativo de la dirección.
 Estructura Organizacional.
 Asignación de Autoridad y Responsabilidad.
 Políticas y prácticas con respecto a Recursos Humanos.

2. Evaluación de Riesgos: Identificación y análisis de  los riesgos relevantes para la

consecución de los objetivos, constituyendo una base para determinar cómo se deben
administrar los riesgos. La fijación de objetivos es el camino adecuado para identificar
factores críticos de éxito.

Las categorías de los objetivos son las siguientes:

• Objetivos de Cumplimiento: Están dirigidos a la adherencia a leyes y reglamentos,

así como también a las políticas emitidas por la administración.

• Objetivos de Operación: Son aquellos relacionados con la efectividad y eficacia de

las operaciones de la organización.

• Objetivos de la Información Financiera: Se refieren a la obtención de información

financiera confiable.

Factores:
 Contexto de la Evaluación de Riesgos.
 Estimación de Probabilidad e Impacto.
 Fuentes De Datos.
 Técnicas De Evaluación.
3. Actividades de Control: Políticas y procedimientos que ayudan asegurar que las
directivas administrativas se lleven a cabo. Acciones, Normas y Procedimientos que
tiende a asegurar que se cumplan las directrices y políticas de la Dirección para afrontar
los riesgos identificados.
Factores:
 Controles Preventivos.
 Controles de Detección.
 Controles Correctivos.
 Controles Manuales o de Usuario.
 Controles Informáticos.
 Controles de la Dirección.
 Controles Físicos.
 Control de Segregación de Funciones.
 Controles Generales.
 Controles de Aplicación.
 Controles Específicos.

4. Información y Comunicación: Identificación, obtención y comunicación de

información pertinente en una forma y en un tiempo que les permita a los empleados
cumplir con sus responsabilidades.

Información:

 Obtener información externa e interna y proveer a la dirección con los informes

necesarios sobre el desempeño de la entidad con respecto a los objetivos
establecidos.
 Proveer información a la gente adecuada en detalle suficiente y en tiempo para
permitirles cumplir con sus responsabilidades eficiente y eficazmente.
 Desarrollo o revisión de sistemas de información basados en un plan estratégico
para sistemas de información - ligada con la estrategia global de la entidad - y
sensible al logro de los objetivos de la entidad en su totalidad y a nivel de actividad.
 El apoyo de la dirección para el desarrollo de los sistemas de información necesarios
es demostrado comprometiendo los recursos apropiados - humanos y financieros.

Comunicación:
 La eficacia con que los deberes de los empleados y sus responsabilidades de control
son comunicados.
 Establecimiento de canales de comunicación para que la gente informe las
sospechas de actuaciones inapropiadas.
 Receptividad de la dirección a las sugerencias de los empleados con respecto a la
forma de elevar la productividad, la calidad u otras mejoras similares.
 Adecuación de la comunicación a través de la organización (por ejemplo, entre
actividades de abastecimiento y producción) y la integridad y oportunidad de la
información y su suficiencia para permitir a la gente a descargar eficazmente sus
responsabilidades.
 Apertura y eficacia de los canales con clientes, proveedores y otras partes externas
para comunicar información sobre necesidades cambiantes de clientes.
 Medida en que las partes externas han sido puestas al tanto de los estándares éticos
de la entidad.
 Oportuna y apropiada acción de seguimiento realizada por la dirección derivada de
comunicaciones recibidas de los clientes, vendedores, reguladores u otras partes
externas.
5. Actividades de Supervisión: El alcance y la frecuencia de las actividades de
supervisión dependen especialmente de una evaluación de los riesgos y de la eficacia de
los procesos de supervisión continuada, debido a que esta se da en el transcurso de las
operaciones incluyendo en actividades normales de dirección y supervisión.
Factores:
 Monitoreo continuo.
 Evaluaciones independientes.
 Elaboración de información sobre deficiencias.

GESTIÓN DE RIESGOS COSO II

Hacia fines de septiembre de 2004, como respuesta a una serie de escándalos e
irregularidades (como el caso Enron y Parmalat) que provocaron pérdidas importantes a
inversionistas, empleados y otros grupos de interés, el proyecto culminó con la
publicación, por parte del Committee, del Enterprise Risk Management - Integrated
Framework (COSO II) y sus Aplicaciones Técnicas asociadas.
El COSO es un sistema que permite implementar el control interno en cualquier tipo de
entidad u organización. Sus siglas se refieren al Committee of Sponsoring
Organizations of The Treadway Commission, quienes evaluaron y llegaron a la
conclusión que la ausencia de orden en los procesos de una entidad, representa una
diversidad de riesgos, por lo tanto, es necesario evaluarlos y darles una respuesta
inmediata para evitar los posibles fraudes o errores que pudieren surgir.
Definición de “Gestión de Riesgos”
Según lo expuesto en Gestión de Riesgos Corporativos-Marco Integrado (Informe
COSO II), la Gestión de Riesgos en las organizaciones es un proceso, efectuado por una
entidad delegada por el Consejo de Administración, la Dirección y personal en general,
aplicado en el establecimiento de la estrategia y a lo largo de la organización, diseñado
para identificar eventos potenciales que puedan afectar a la entidad, y gestionar el riesgo
de acuerdo a su tolerancia de riesgo, para proporcionar una seguridad razonable en
relación con el logro de los objetivos organizacionales.”
Componentes del COSO II
El Enterprise Risk Management está conformado por ocho componentes
interrelacionados entre sí. Estos se derivan de la forma en que la administración maneja
una organización y están integrados al proceso administrativo.
Estos componentes son:

1. Ambiente Interno: Abarca la cultura de una organización, las bases de cómo se

considera y por donde se encamina el riesgo según el personal, entre ellas la filosofía de
gestión de riesgos y el apetito al riesgo, la integridad y los valores éticos, y el ambiente
en el que se desenvuelven.
Factores:
 Filosofía de la administración de riesgos.
 Integridad y valores éticos.
 Visión del Directorio.
 Compromiso de competencia profesional.
 Estructura organizativa.
 Asignación de autoridad y responsabilidad.
 Políticas y prácticas de recursos humanos.

2. Establecimiento de Objetivos: Los objetivos deben existir antes de que la dirección

pueda identificar eventos potenciales que afectan su cumplimiento. El ERM debe
asegurarse de que la dirección ha puesto en marcha un proceso para fijar objetivos y que
los objetivos elegidos apoyen y armonicen con la misión de la entidad y que sean
compatibles con su riesgo.
Factores:
 Objetivos Estratégicos.
 Objetivos Operacionales.
 Objetivos de Información.
 Objetivos de Cumplimiento.
 Riesgo Aceptado.
 Tolerancia al riesgo.

3. Identificación de Eventos: Es necesario identificar todos los eventos internos y

externos que afecten el logro de objetivos de una entidad, distinguiendo entre riesgos y
oportunidades. Los eventos pueden tener un impacto negativo, un impacto positivo, o
ambos. Eventos con un impacto negativo representan riesgos, lo que puede impedir la
creación de valor o erosionar el valor actual del negocio. Eventos con repercusiones
positivas pueden compensar los impactos negativos y representan oportunidades. Las
oportunidades son la posibilidad de que un evento ocurra y afecte positivamente la
consecución de objetivos, la creación de valor o el mantenimiento del mismo.
Factores:
 Eventos.
 Factores de Influencia Estratégica y de Objetivos.
 Metodologías y Técnicas de Identificación de Eventos.
 Eventos Interdependientes.
 Categorías de Eventos.
 Riesgos y Oportunidades.

4. Evaluación de Riesgos: Los riesgos se deben analizar teniendo en cuenta la

probabilidad e impacto, como base para determinar la forma en que deben gestionarse.
Los riesgos deben ser evaluados de forma inherente y residual.
Factores:
 Contexto de la Evaluación de Riesgos.
 Estimación de Probabilidad e Impacto.
 Fuentes De Datos.
 Técnicas De Evaluación.
5. Respuesta al riesgo: La dirección deberá seleccionar entre - evitar, aceptar, reducir,
o compartir los riesgos – con el desarrollo de un conjunto de medidas para adaptar los
riesgos a la tolerancia y apetito al riesgo de la organización.

Las respuestas a los riesgos se incluyen en las siguientes categorías:

Evitar: supone salir de las actividades que generan riesgos. Evitar el riesgo puede
implicar el cese de una línea de producto, frenar la expansión hacia un nuevo mercado
geográfico o la venta de una división.
Reducir: implica llevar a cabo acciones para reducir la probabilidad o el impacto de
riesgo o ambos conceptos a la vez. Esto implica típicamente a algunas de las miles de
decisiones empresariales cotidianas
Compartir: la probabilidad o el impacto del riesgo se reducen trasladando o, de otro
modo, compartiendo una parte del riesgo. Las técnicas comunes incluyen la
contratación de seguros, la realización de operaciones de cobertura o la tercerización de
una actividad.
Aceptar: no se emprende ninguna acción que afecte la probabilidad o el impacto del
riesgo.

Factores:
 Identificación de las respuestas.
 Evaluación de posibles respuestas.
 Selección de respuestas.
 Visión de portafolio de Riesgos.

6. Actividades de Control: Se debe establecer y aplicar políticas y procedimientos para

asegurar que las alternativas tomadas frente al riesgo se lleven realmente a cabo de la
manera esperada.

Factores:
 Integración de la Respuesta al Riesgo.
 Tipos de Actividades de Control.
 Controles Generales.
 Controles de Aplicación.
 Controles Específicos.

7. Información y Comunicación: La información pertinente debe ser identificada,

capturada y difundida en la forma y plazos que permitan al personal llevar a cabo las
asignaciones bajo su responsabilidad. La comunicación será más eficaz sí se produce en
un sentido más amplio, que fluya hacia abajo, en lateral, y hacia arriba.
Factores:

 Información: La información es necesaria para que la entidad lleve a cabo las

responsabilidades de control interno que apoyan el cumplimiento de los objetivos.
La gestión de la empresa y el progreso hacia los objetivos establecidos implican que
la información es necesaria en todos los niveles de la empresa. En este sentido, la
información financiera no se utiliza solo para los estados financieros, sino también
en la toma de decisiones.
Es por esto que la información debe ser de calidad y tener en cuenta los siguientes
aspectos:
• Contenido: ¿presenta toda la información necesaria?
• Oportunidad: ¿se facilita en el tiempo adecuado?
• Actualidad: ¿está disponible la información más reciente?
• Exactitud: ¿los datos son correctos y fiables?
• Accesibilidad: ¿la información puede ser obtenida fácilmente por las personas
adecuadas?

Interna y Externa
Se necesita información a todos los niveles de una organización para manejar el
negocio y moverse hacia el logro de los objetivos de la entidad en todas las categorías,
operaciones, elaboración de información contable y cumplimiento.
La información contable se usa no solo para preparar estados contables para su
distribución externa. También se usa para decisiones operativas, tales como
monitorear desempeños y asignar recursos. Informar a la dirección sobre
mediciones monetarias y relacionadas, posibilita el monitoreo, por ejemplo, de
rentabilidad por marca, comportamiento de deudores por tipo de cliente, participación
en el mercado, tendencias de reclamaciones de clientes y estadísticas de accidentes.
Las mediciones contables internas confiables también son esenciales para planear,
presupuestar, asignar precios, evaluar el desempeño de los vendedores y evaluar
"joint ventures" y otras alianzas. Similarmente, la información sobre operaciones es
esencial para elaborar los estados contables. Esta incluye la rutina, compras, ventas y
otras transacciones, así como también información sobre lanzamientos de productos de
los competidores o condiciones económicas que puedan afectar la valuación de
bienes de cambio y créditos. La información sobre operaciones, tal como los
desechos arrojados al aire o datos del personal, pueden necesitarse para lograr tanto
objetivos de cumplimiento como de elaboración de información contable.
Como tal, la información desarrollada proveniente de fuentes externas e internas,
tanto contables cono no contables, es relevante para todas las categorías de objetivos.

 Comunicación: La comunicación es el proceso continuo e iterativo de

proporcionar, compartir y obtener la información necesaria, relevante y de calidad,
tanto interna como externamente.
Interna
La comunicación interna es el medio por el cual la información se difunde a través de
toda la organización, que fluye en sentido ascendente, descendente y a todos los niveles
de la entidad. Esto hace posible que el personal pueda recibir de la Alta Dirección un
mensaje claro de las responsabilidades de control. Tanto la claridad del mensaje como la
eficacia con que se lo comunica son importantes.
Externa
La comunicación externa tiene dos finalidades: comunicar de afuera hacia el interior de
la organización información externa relevante, y proporcionar información interna
relevante de adentro hacia afuera, en respuesta a las necesidades y expectativas de
grupos de interés externos. No sólo se necesita una comunicación apropiada dentro
de la entidad, sino también hacia afuera. Las comunicaciones de partes externas
generalmente proveen información importante sobre el funcionamiento del sistema de
control interno.
8. Monitoreo: Debe conducir a la identificación de los controles débiles, insuficientes e
innecesarios, para promover con el apoyo decidido de la gerencia, su robustecimiento e
implantación. Este monitoreo puede llevarse a cabo de tres formas: durante la
realización de las actividades diarias en los distintos niveles de la organización; de
manera separada por personal que no es el responsable directo de la ejecución de las
actividades y mediante la combinación de las dos formas anteriores.
Factores:
 Actividades de Supervisión Permanente.
 Evaluaciones Independientes.
 Informe de Deficiencias.
CONTROL INTERNO-MARCO INTEGRADO III

COSO presenta la versión actualizada de Control interno-Marco integrado (en

adelante, Marco). COSO considera que este Marco permitirá a las organizaciones
desarrollar y mantener, de una manera eficiente y efectiva, sistemas de control interno
que puedan aumentar la probabilidad de cumplimiento de los objetivos de la entidad y
adaptarse a los cambios de su entorno operativo y de negocio.

Definición del Control Interno

El Control interno-Marco integrado (el Marco) de COSO permite a las organizaciones

desarrollar, de manera eficiente y efectiva, sistemas de control interno que se adapten a
los cambios del entorno operativo y de negocio, mitigando riesgos hasta niveles
aceptables y apoyando en la toma de decisiones y el gobierno corporativo de la
organización.

Componentes y Principios del Control Interno

El modelo de control interno COSO 2013 actualizado está compuesto por los cinco
componentes, establecidos en el Marco anterior y 17 principios que la administración de
toda organización debería implementar.

A continuación se enumeran los principios que soportan los componentes del

control interno:
Ambiente de Control.
1. La organización demuestra compromiso con la integridad y los valores éticos.
2. El consejo de administración demuestra independencia de la dirección y ejerce la
supervisión del desempeño del sistema de control interno.
3. La dirección establece, con la supervisión del consejo, las estructuras, las líneas de
reporte y los niveles de autoridad y responsabilidad apropiados para la consecución de
los objetivos.
4. La organización demuestra compromiso para atraer, desarrollar y retener a
profesionales competentes, en alineación con los objetivos de la organización
5. La organización define las responsabilidades de las personas a nivel de control in-
terno para la consecución de los objetivos.

Evaluación de Riesgos.
6. La organización define los objetivos con suficiente claridad para permitir la
identificación y evaluación de los riesgos relacionados.
7. La organización identifica los riesgos para la consecución de sus objetivos en todos
los niveles de la entidad y los analiza como base sobre la cual determinar cómo se deben
gestionar.
8. La organización considera la probabilidad de fraude al evaluar los riesgos para la
consecución de los objetivos.
9. La organización identifica y evalúa los cambios que podrían afectar significativa-
mente al sistema de control interno.

Actividades de Control.
10. La organización define y desarrolla actividades de control que contribuyen a la
mitigación de los riesgos hasta niveles aceptables para la consecución de los objetivos.
11. La organización define y desarrolla actividades de control a nivel de entidad sobre la
tecnología para apoyar la consecución de los objetivos.
12. La organización despliega las actividades de control a través de políticas que
establecen las líneas generales del control interno y procedimientos que llevan dichas
políticas a la práctica.

Información y Comunicación.
13. La organización obtiene o genera y utiliza información relevante y de calidad para
apoyar el funcionamiento del control interno.
14. La organización comunica la información internamente, incluidos los objetivos y
responsabilidades que son necesarios para apoyar el funcionamiento del sistema de
control interno.
15. La organización se comunica con los grupos de interés externos sobre los aspectos
clave que afectan al funcionamiento del control interno.

Actividades de Monitoreo.
16. La organización selecciona, desarrolla y realiza evaluaciones continuas y/o
independientes para determinar si los componentes del sistema de control interno están
presentes y en funcionamiento.
17. La organización evalúa y comunica las deficiencias de control interno de forma
oportuna a las partes responsables de aplicar medidas correctivas, incluyendo la alta
dirección y el consejo, según corresponda.
 GESTIÓN DEL RIESGO EMPRESARIAL INTEGRANDO ESTRATEGIA Y
DESEMPEÑO COSO IV

Gestión del Riesgo Empresarial—Integrando Estrategia y Desempeño destaca la

importancia de la gestión del riesgo empresarial en la planificación estratégica y su
integración en todos los niveles de la organización, ya que el riesgo influye y alinea la
estrategia y el desempeño en todos los departamentos y funciones.

Definición de Gestión del Riesgo Empresarial Integrando Estrategia y Desempeño

Gestión del Riesgo Empresarial-Integrando Estrategia y Desempeño constituye un

marco de trabajo para consejos de administración y equipos de dirección de entidades
de cualquier tamaño. Este Marco profundiza en el nivel actual de gestión de riesgos que
existe en el curso ordinario de las actividades de negocio. Asimismo, demuestra cómo la
integración de las prácticas de gestión del riesgo empresarial en toda la entidad
contribuye a acelerar el crecimiento y a mejorar el desempeño. Además, contiene
principios que pueden aplicarse en la práctica, desde la toma de decisiones estratégicas
hasta la consecución de resultados.

El papel del riesgo en la selección de estrategias

El riesgo es un aspecto clave de muchos procesos de definición de estrategias. Sin

embargo, a menudo evaluamos el riesgo principalmente en relación con su efecto
potencial sobre una estrategia determinada. En otras palabras, las conversaciones se
centran en los riesgos con respecto una estrategia existente: Tenemos una estrategia en
marcha, ¿qué podría afectar a la relevancia y viabilidad de nuestra estrategia?

La estrategia elegida debe apoyar la misión y la visión de la organización. Una

estrategia que no esté alineada aumenta la posibilidad de que la organización no cumpla
su misión y visión, o pueda comprometer sus valores, aun cuando la estrategia se lleve a
cabo con éxito.

El consejo de administración y la dirección deben determinar si la estrategia encaja con

el apetito al riesgo de la organización y cómo ayudará a la organización a establecer
objetivos y, en última instancia, a asignar los recursos de manera eficiente. Por tanto, la
clave es que: La gestión del riesgo empresarial tiene que ver tanto con comprender las
consecuencias resultantes de la estrategia y la posibilidad de que la estrategia esté
desalineada como congestionar los riesgos para establecer los objetivos.

La figura siguiente muestra estas consideraciones en el contexto de la misión, la visión,

los valores clave, y como motor de la dirección y el desempeño general de una entidad.
La gestión del riesgo empresarial, tal y como se ha venido practicando, ha ayudado a
muchas organizaciones a identificar, evaluar y gestionar los riesgos de la estrategia.
Pero las causas más significativas de destrucción de valor están arraigadas en la
posibilidad de que la estrategia no respalde la misión y visión de la entidad, y las
consecuencias resultantes de la estrategia. La gestión del riesgo empresarial mejora la
selección de estrategias. Elegir una estrategia requiere una toma de decisiones
estructurada que analice el riesgo y alinee los recursos con la misión y visión de la
organización.
Componentes y Principios

Los cinco componentes, en el marco actualizado, están respaldados por un conjunto de

principios. Estos principios cubren todo los aspectos, desde el gobierno hasta la
monitorización. Son manejables en tamaño, y describen las prácticas aplicables de
diferentes formas y para distintos tipos de organizaciones, independientemente de su
tamaño, tipo o sector. La adhesión a estos principios puede proporcionar, a la dirección
y el consejo, una expectativa razonable de que la organización entiende y se esfuerza

por gestionar los riesgos asociados con su estrategia y los objetivos de la empresa.

1. Gobierno y cultura: El Gobierno marca el tono en la entidad, reforzando la

importancia de la gestión del riesgo empresarial y estableciendo responsabilidades de
supervisión al respecto. La cultura hace referencia a los valores éticos, a los
comportamientos deseados y a la comprensión del riesgo en la entidad.
1. Ejerce la supervisión de riesgos a través del consejo de administración: El
consejo de administración supervisa la estrategia y lleva a cabo las responsabilidades de
gobierno para apoyar a la dirección en la consecución de los objetivos estratégicos y de
negocio.
2. Establece estructuras operativas: La organización establece estructuras operativas
con el fi n de alcanzar los objetivos estratégicos y de negocio.
3. Define la cultura deseada: La organización define los comportamientos deseados
que caracterizan la cultura a la que aspira la entidad.
4. Demuestra compromiso con los valores clave: La organización demuestra su
compromiso con los valores clave de la entidad.
5. Atrae, desarrolla y retiene a profesionales capacitados: La organización está
comprometida con contar un capital humano alineado con los objetivos estratégicos y de
negocio.

2. Estrategia y establecimiento de objetivos: La gestión del riesgo empresarial, la

estrategia y el establecimiento de objetivos funcionan juntos en el proceso de
planificación estratégica. Se establece un apetito al riesgo y se alinea con la estrategia;
los objetivos del negocio ponen en práctica la estrategia al tiempo que sirven de base
para identificar, evaluar y responder ante el riesgo.
6. Analiza el contexto empresarial: La organización considera los efectos potenciales
del contexto empresarial sobre el perfil de riesgo.
7. Define el apetito al riesgo: La organización define el apetito al riesgo en el contexto
de la creación, preservación y materialización del valor.
8. Evalúa estrategias alternativas: La organización evalúa las estrategias alternativas
y el impacto potencial en el perfil de riesgos.
9. Formula objetivos de negocio: La organización considera el riesgo al tiempo que
establece los objetivos de negocio en los distintos niveles, alineados y apoyados en la
estrategia.

3. Desempeño: Es necesario identificar y evaluar aquellos riesgos que puedan afectar a

la consecución de los objetivos estratégicos y de negocio. Los riesgos se priorizan en
función de su gravedad en el contexto del apetito al riesgo. Posteriormente, la
organización selecciona las respuestas ante el riesgo y adopta una visión a nivel de
cartera con respecto al nivel de riesgo que ha asumido. Los resultados de este proceso se
comunican a las principales partes interesadas en el riesgo.
10. Identifica el riesgo: La organización identifica el riesgo que impacta en la
consecución de los objetivos estratégicos y de negocio.
11. Evalúa la gravedad del riesgo: Evalúa la Gravedad del Riesgo.
12. Prioriza riesgos: La organización prioriza los riesgos como base para la selección
de respuestas a adoptar ante los riesgos.
13. Implementa respuestas ante los riesgos: La organización identifica y selecciona
las respuestas ante los riesgos.
14. Desarrolla una visión a nivel de cartera: La organización desarrolla y evalúa una
visión del riesgo a nivel de cartera.

4. Revisión y monitorización: Al examinar el desempeño de la entidad, una

organización puede determinar cómo funcionan los componentes de gestión del riesgo
empresarial con el paso del tiempo en un entorno de cambios sustanciales, y qué
aspectos son susceptibles de revisar y modificar.
15. Evalúa los cambios significativos: La organización identifica y evalúa los cambios
que pueden afectar sustancialmente a los objetivos estratégicos y de negocio.
16. Revisa el riesgo y el desempeño: La organización revisa el desempeño de la
entidad y tiene en consideración el riesgo.
17. Persigue la mejora de la gestión del riesgo empresarial: La organización persigue
mejorar la gestión del riesgo empresarial.

5. Información, comunicación y reporte: La gestión del riesgo empresarial requiere

un proceso continuo de obtención e intercambio de la información necesaria, tanto de
fuentes internas como externas, que fluya hacia arriba, hacia abajo y a lo largo de todos
los niveles de la organización.
18. Aprovecha los sistemas de información y la tecnología: La organización utiliza
los sistemas de información y tecnología de la entidad para lograr la gestión del riesgo
empresarial.
19. Comunica información sobre riesgos: La organización utiliza canales de
comunicación como soporte a la gestión del riesgo empresarial.
20. Informa sobre el riesgo, la cultura y el desempeño: La organización informa
sobre el riesgo, la cultura y el desempeño a múltiples niveles y a través de toda la
entidad.