• Author / Uploaded
• Carlos Segura Javier

Citation preview

COSO ERM Componentes y Principios

www.auditool.org

1

COSO ERM: PRINCIPIOS Y COMPONENTES Entre los cambios del nuevo Marco está el de su representación gráfica, que ya no será el conocido cubo empleado tanto en el COSO correspondiente al Control Interno, como en el ERM, pasando ahora a un par de esquemas de dos dimensiones. En COSO ERM 2004, los objetivos empresariales incluían los estratégicos, es decir, los asociados con la estrategia elegida, debiéndose identificar y administrar los riesgos que la pudieran afectar. Adicionalmente, la estrategia elegida debe constatarse previamente que esté alineada con la Misión, la Visión y los Valores asumidos por la entidad, pues si no fuese así se podrían tener buenos resultados operativos, pero se habría incumplido con la finalidad de lo que se pretendía conseguir. Una vez respetada la misión, la visión y los valores, con los cuales establecer la estrategia a implementar, esta debe ser desarrollada de forma que permita conseguir el desempeño de la organización esperado, o incluso mejorarlo. Siendo este el objetivo prioritario del nuevo Marco, pero obviamente condicionado a la aplicación de un adecuado Control Interno. El nuevo esquema identifica 5 Componentes y 20 Principios, los cuales serán -a continuación- objeto de su correspondiente descripción. Los 5 nuevos componentes: • Gobierno y Cultura • Estrategia y establecimiento de objetivos • Desempeño • Evaluación y Revisión • Información, Comunicación y Reporte

Los cuales son entendidos de la siguiente manera: •

Gobierno y cultura: El gobierno corporativo (gobernanza) y la cultura forman la base para todos los demás componentes de la gestión del riesgo empresarial. La gobernanza establece el tono de la entidad, reforzando la importancia de la gestión del riesgo empresarial y estableciendo responsabilidades de supervisión para ella. La cultura se refiere a los valores éticos, comportamientos deseados y comprensión del riesgo en la entidad.

www.auditool.org

2

•

Estrategia y establecimiento de objetivos: La gestión de riesgos empresariales se integra en el plan estratégico de la entidad a través del proceso de establecer la estrategia y los objetivos de negocio. Con una comprensión del contexto empresarial, la organización puede obtener una visión de los factores internos y externos, y su efecto sobre el riesgo. Una organización fijará su apetito de riesgo en conjunto con el establecimiento de estrategias. Los objetivos empresariales permiten poner en práctica la estrategia y dar forma a las operaciones y prioridades diarias de la entidad.

•

Desempeño: La organización identifica y evalúa los riesgos que pueden afectar la capacidad de la entidad para alcanzar su estrategia y los objetivos empresariales. Como parte de esa búsqueda, la organización debe identificar y evaluar los riesgos que pueden afectar el logro de su estrategia y los objetivos de negocio, priorizando los riesgos según su gravedad y considerando el apetito al riesgo de la entidad. Luego, la organización selecciona las respuestas de riesgo y monitorea el desempeño para el cambio.

•

Evaluación y revisión: Al revisar las capacidades y prácticas de gestión de los riesgos empresariales, así como el desempeño de la entidad en relación con sus objetivos, la organización puede considerar hasta qué punto las capacidades y prácticas de gestión de riesgos empresariales han incrementado el valor con el tiempo y si seguirán impulsando el valor a la luz de cambios sustanciales acometidos.

•

Información, Comunicación y Reporte: La comunicación es el proceso continuo e iterativo de obtener información y compartirla en toda la entidad. La administración utiliza información relevante de fuentes internas y externas para apoyar la gestión de riesgos empresariales. La organización aprovecha los sistemas de información para capturar, procesar y administrar datos e información. Mediante el uso de información que se aplica a todos los componentes, la organización informa sobre el riesgo, la cultura y el rendimiento.

En estos 5 componentes, de una forma distinta a la recogida en el viejo esquema representado por el conocido cubo, se contemplan actividades que se recomendaban efectuar en la implantación del ERM del 2004, haciendo falta, no obstante, el que entre los objetivos empresariales no se citen los correspondientes a: (i) Fiabilidad de información, (ii) Eficiencia y eficacia de las operaciones y (iii) el Cumplimiento normativo, los cuales sí se ubican en el Marco sobre Control Interno, COSO I, por lo que siguen siendo viables y adecuados para diseñar, implementar, conducir y evaluar el control interno de la organización y para la notificación consiguiente. www.auditool.org

3

Motivo que justifica lo señalado respecto a que el nuevo Marco ERM y el correspondiente al Control Interno, son dos publicaciones que proporcionan enfoques diferentes pero complementarios. Complementariedad que no podría afirmarse entre el viejo ERM y el relativo al Control Interno, ya que se ha entendido que este se integraba totalmente en el ERM, por lo que, en nuestra opinión, como más adelante comentaremos, el nuevo Marco ERM no sustituye y reemplaza al ERM 2004, sino que lo complementa, mejorando y especificando la forma de elegir y gestionar la estrategia, pero manteniéndose válida la forma descrita para gestionar adecuadamente los riesgos.

ASPECTOS CONCEPTUALES MÁS SIGNIFICATIVOS EN LOS QUE SE APOYA EL NUEVO COSO ERM También se ha modificado la definición de la Gestión de Riesgos Empresarial, pues antes se hacía énfasis para conceptuarlo como un proceso, en el que debía participar toda la organización, con la finalidad de poder obtener una seguridad razonable respecto al logro de los 4 objetivos: Estratégicos, Operaciones, Reportaje y Cumplimiento. Mientras que ahora se corresponde con la cultura, las capacidades y operativas desarrolladas por las empresas con la finalidad de incrementar su valor o desempeño. Definición acertada, pero siempre que se respeten los objetivos reflejados en la versión del 2004, referentes a: fiabilidad de la información y al cumplimiento de leyes y normas, pues, de no ser así, podríamos encontrarnos con estar dando validez, si el objetivo empresarial fuese solo mejorar los resultados económicos a actuaciones indebidas como lo es el fraude fiscal, del que se derivarían mejoras en la cuenta de resultados. Por lo que insistimos en la complementariedad entre el COSO ERM 2004 y el nuevo Marco COSO 2017. Pero nos puede surgir una duda cuando señalamos como finalidad incrementar el valor o el desempeño, ¿a qué nos estamos refiriendo exactamente? Pues en el primer caso, al conjunto de elementos materiales, inmateriales y humanos que integran o constituyen la empresa. Se trata de la cuantía o montante del conjunto de la empresa como organización, que incluye no solo el valor en el presente de los diferentes bienes, derechos y obligaciones integrantes de su patrimonio, sino también las expectativas acerca de los beneficios que se espera que la empresa genere en el futuro. La creación de valor depende del tipo de entidad. Las entidades con fines de lucro crean valor implementando decisiones estratégicas que equilibren las oportunidades de mercado frente a los riesgos de esas oportunidades.

www.auditool.org

4

Las entidades sin fines de lucro y gubernamentales pueden crear valor mediante la entrega de bienes o servicios que equilibren sus oportunidades de servir a la comunidad en general contra cualquier riesgo. Independientemente del tipo de entidad, la aplicación de prácticas de gestión de riesgos empresariales crea confianza e inculca confianza con las partes interesadas. Una estrategia bien definida impulsa la asignación eficiente de recursos y la toma de decisiones eficaces. También proporciona una hoja de ruta para establecer los objetivos de negocio. En tanto que, si nos referimos al desempeño, este es el resultado acumulado de todas las actividades de la empresa.

ESTRUCTURA DEL MARCO COSO ERM. INTEGRACIÓN CON LA ESTRATEGIA Y LOS RIESGOS A los cinco componentes ya enumerados hay que vincularlos con 20 Principios, distribuidos de la siguiente forma:

Componente I: Gobierno y Cultura

Señala que la gobernanza establece el tono de la organización, reforzando su importancia y estableciendo las responsabilidades de supervisión en la gestión del riesgo empresarial. En tanto que la cultura se refiere a los valores éticos, conductas deseadas y comprensión del riesgo en la organización.

A este componente le corresponden los siguientes 5 Principios:

1°. Ejercicios de supervisión del riesgo por el Consejo/Junta. La Junta debe supervisar la estrategia y llevar a cabo las responsabilidades de gobierno de los riesgos para apoyar la gestión de la Administración en la consecución de la estrategia establecida y los objetivos del negocio. 2°. Establecer estructuras operativas. La organización ha de establecer el gobierno y las estructuras operativas en el logro de la estrategia y objetivos del negocio. 3°. Definir la cultura deseada. La organización define los comportamientos deseados que caracterizan los valores fundamentales y actitudes hacia el riesgo.

www.auditool.org

5

4°. Demostrar compromiso con los valores fundamentales. La organización debe demostrar un compromiso con la integridad y los valores éticos. 5°. Atraer, desarrollar y retener a las personas capaces. La organización debe comprometerse en la construcción del capital humano en alineación con los objetivos de la estrategia y de los negocios.

Como vemos, todos ellos se corresponden con las responsabilidades del primer nivel de la organización, los cuales se adscriben al Directorio, Junta o Consejo de Administración, según sea la terminología que apliquemos.

Componente II: Estrategia y establecimiento de objetivos

La gestión del riesgo empresarial, la estrategia y la determinación de los objetivos, es un trabajo conjunto en el proceso de planificación estratégica. El apetito al riesgo se establece y debe alinearse con la estrategia; los objetivos del negocio implementan la estrategia, a la vez que sirven de base para identificar, evaluar y responder al riesgo.

Los principios asociados a este componente se refieren a las siguientes materias:

6°. Analizar el contexto empresarial. La organización ha de considerar los efectos potenciales del negocio en el contexto del perfil de riesgo. 7°. Definir el apetito al riesgo. La organización define el apetito al riesgo en el contexto de la creación, la preservación y la realización de valor. 8°. Evaluar las estrategias alternativas y su impacto en el perfil de riesgo. 9º. Formular los objetivos del negocio. La organización considera el riesgo en el establecimiento de los objetivos de negocio en los distintos niveles que alinean y apoyan la estrategia de la empresa. Pudiendo observar por sus descripciones la visible inter-relación entre los riesgos, la estrategia y los objetivos, que hemos querido reflejar en la figura que acompaña la pantalla.

www.auditool.org

6

Componente III: Desempeño

La creación, la preservación, la realización y la minimización de la erosión del valor de una entidad se posibilitan identificando, evaluando y respondiendo a los riesgos que puedan afectar a la implantación de la estrategia y a la consecución de los objetivos del negocio. Necesitan ser identificados y evaluados.

Los principios asociados a este componente se refieren a las siguientes materias:

10°. Identificar el Riesgo.

La organización identificará el riesgo que afecta el

desempeño de la estrategia y los objetivos de negocio. 11°. Evaluar la severidad del riesgo. La organización ha de evaluar la gravedad del riesgo. 12°. Priorizar los riesgos. La organización prioriza los riesgos como base para la selección de las respuestas a los mismos. 13°. Implementar respuestas a los riesgos. La organización identifica y selecciona las respuestas al riesgo. 14°. Desarrollar un portafolio de riesgo. La organización desarrolla y evalúa su portafolio de riesgos.

Componente IV: Evaluación y Revisión

La estrategia, los objetivos empresariales, las prácticas y capacidades de gestión de los riesgos empresariales de una entidad pueden cambiar con el tiempo a medida que la entidad se adapta al contexto empresarial variable. Además, el contexto empresarial en el que opera la entidad también puede cambiar, resultando prácticas o procesos que ya no se aplican o son insuficientes para apoyar el logro de los objetivos del negocio actuales o actualizados. Cuando sea necesario, la organización debe revisar sus prácticas o las complementa.

Los principios asociados a este componente se refieren a las siguientes materias:

15°. Evaluar cambios sustanciales. La organización identificará y evaluará los cambios que pueden afectar sustancialmente la estrategia y los objetivos empresariales.

www.auditool.org

7

16°. Revisar riesgos y el desempeño. La organización ha de revisar el desempeño de la entidad y considera el riesgo. 17. Perseguir el mejoramiento de la gestión de riesgos. La organización debe perseguir la mejora de la gestión de riesgos empresariales.

Las empresas pueden verse afectadas por los entornos en los que desarrollan su actividad, ya que no se debe actuar de la misma manera si nuestros clientes desean atender sus necesidades alimentarias de forma rápida o de forma saludable.

Componente V: Información, Comunicación y Reporte

Es importante que las organizaciones proporcionen la información que sea fiable, en la forma correcta, al nivel adecuado de detalle, a las personas adecuadas, y al tiempo justo. Para ello deberá aprovechar los sistemas de información y la tecnología. Los principios de este componente son:

18°. Aprovechar la información y tecnología. La organización aprovechará los sistemas de información y la tecnología de la entidad para apoyar la gestión de riesgos empresariales. 19°. Comunicar información del riesgo. La organización utilizará canales de comunicación para apoyar la gestión de riesgos empresariales. 20°. Informar sobre los riesgos, cultura y desempeño. La organización debe informar sobre el riesgo, la cultura y el rendimiento en múltiples niveles y en toda la entidad. Por lo que hemos leído y comentando, aparte del cambio en la definición del concepto de Gestión de Riesgo Empresarial empleado por el nuevo Marco, existe una modificación cuantitativa, pero también cualitativa, de los componentes, ya que, si comparamos los 5 actuales con los 8 del COSO II, podríamos señalar que: ▪ Gobierno y cultura. Se asemeja al correspondiente, al denominado “Ambiente de Control”, identificando como máximo responsable de su adecuada implementación al Directorio/Junta y la alta dirección.

www.auditool.org

8

▪ Estrategia y establecimiento de objetivos. Este nuevo componente se enfoca a la interrelación que existe, y que debe gestionarse adecuadamente, entre la estrategia a aplicar, los riesgos que pueden afectarla o que ella pudiera generar, y los objetivos que se pretenden alcanzar. Por lo que las actuaciones que sean precisas desarrollar se encontrarán condicionadas por la estrategia que hayamos seleccionado. ▪ Desempeño. Su amplio alcance podría considerarse que integra a los componentes de COSO ERM relativos a: Establecimiento de objetivos, Identificación de eventos, Evaluación de Riesgos, Respuestas al Riesgo y Actividades de control, referentes al cumplimiento de la estrategia y de los objetivos de la organización. Hace falta algo muy significativo en este componente, los condicionantes a cumplir por dichos objetivos empresariales, que entendemos deberían enumerarse, como hacía COSO II, los cuales estaban circunscritos a cumplir, entre otros, con el cumplimiento de leyes y normas, evitando así que entre la forma de actuar, por ejemplo, se pueda dar por válido el fraude fiscal o la adulteración de los estados financieros. Amenazas que existen, y que deben ser objeto de supervisión y denuncia por parte de un adecuado Sistema de Gestión de Riesgos. Aspecto que hace necesario, en nuestra opinión, considerar al nuevo Marco COSO II como complemento del ERM 2004, no sustituyéndolo, pues este último sigue siendo totalmente necesario, cubriendo los aspectos relativos al cumplimiento de las leyes y normas, y fiabilidad de la información. ▪ Información de riesgos, comunicación y reporte. Equivalente a los componentes Monitoreo e Información y Comunicación anterior.

www.auditool.org

9