Conoce COSO, una visión 360° para gestionar el riesgo
Introducción
El Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) fue diseñado para identificar, evaluar y administrar los riesgos; para dar una visión general de las amenazas a las que está expuesta una compañía; ampliar el concepto de control interno, y tener una dirección clara del negocio.
Este marco de trabajo fue pensado para tratar los riesgos de forma inteligente con el fin de conservar la rentabilidad y rendimiento de la empresa y para comprender la importancia tanto del cumplimiento con las normas gubernamentales como las internas de la compañía.
En el año 1992 se publicó la primera versión COSO y, desde entonces el documento se convirtió en referente para gestores de riesgos, juntas directivas y gerentes de las organizaciones alrededor del mundo. Al brindar una visión 360° de los riesgos que podrían afectar la compañía, este marco permite dar una línea para accionar planes y así hacer una correcta gestión de riesgos.
Además, posibilita priorizar y alinear los objetivos, tomar decisiones acertadas, tener planificación estratégica y un control interno de todas las áreas de la compañía. En ese orden de ideas, implementar COSO mejora el desempeño y la supervisión, también ayuda a reducir fraudes en las organizaciones, tomar mejores decisiones y cumplir las metas.
El Comité de Organizaciones Patrocinadoras de la Comisión Treadway dice que COSO está dedicado a proporcionar un liderazgo reflexivo a través del desarrollo de marcos integrales y orientación sobre el control interno, la gestión del riesgo institucional y la disuasión del fraude, con el fin de mejorar la eficacia de la organización.
En este ebook usted podrá comprender este marco de control interno, encontrará claves para implementarlo y conocerá su importancia.
¿Qué es COSO?
El Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) es un marco de control interno que fue constituido hace más de dos décadas para proporcionar liderazgo organizacional en tres frentes: gestión del riesgo empresarial (ERM), control interno, y disuasión del fraude. Precisamente, este marco fue diseñado por representantes de cinco organizaciones del sector privado de los Estados Unidos, tras una crisis de fraude internacional para evitar malas prácticas empresariales.
De acuerdo con la tesis Métodos de Administración y Evaluación de Riesgos de la Universidad de Chile, COSO favorece los negocios y sirve para que una compañía refuerce sus sistemas de control interno, por ello, se está incorporando dentro de las políticas, reglas, y regulaciones de muchas empresas para un mejor control. “La necesidad de un marco de riesgo operacional en la empresa, que entregará claves y conceptos fundamentales, un lenguaje común, dirección y una guía clara, hizo que cada vez fuera más imprescindible este marco de trabajo”, agrega la investigación.
De acuerdo con el modelo del Comité de Organizaciones Patrocinadoras de la Comisión Treadway, el Control Interno es un proceso que se gestiona por la dirección y el resto del personal de una organización, diseñado con el objeto de proporcionar seguridad en la eficacia y eficiencia de las operaciones, confiabilidad de la información financiera y cumplimiento de la normativa para garantizar el logro de objetivos.
Este marco aborda temas trascendentales en una correcta gestión de riesgos como apetito y tolerancia de riesgos, así como una visión de riesgos desde todas sus perspectivas, impactos y probabilidades.
Los 5 componentes de COSO
- Ambiente de Control
- Evaluación de Riesgos
- Actividades de Control
- Información y Comunicación
- Monitoreo
1. Ambiente de control:
Define parámetros para gestionar el control interno de la compañía que tiene que ver con la estructura organizacional, las políticas administrativas, ética institucional y las relaciones de jerarquía, la autoridad y responsabilidad; así como la integridad, los valores de la compañía y la filosofía administrativa. El ambiente de control es la base sobre la que se posicionan al resto de elementos e influye fundamentalmente en los objetivos y en la estrategia de la empresa.
El documento COSO II, actualizado en 2013, señala que el ambiente de control es el conjunto de normas, procesos y estructuras que proveen las bases para llevar a cabo el Control Interno a través de la organización. “El directorio y la alta gerencia establecen el ejemplo en relación con la importancia del Control Interno y las normas de conducta esperada”.
Los elementos de un ambiente de control se priorizan así:
2. Evaluación de Riesgos
Durante la evaluación, los riesgos se identifican y se analizan, de acuerdo a la probabilidad de impacto y frecuencia, para conocer sus posibles consecuencias en caso de que se presenten. En este proceso, se analiza cada riesgo y se clasifica como alto (es muy factible que se presente), medio (factible) o bajo (muy poco factible).
Se analiza si cada impacto puede ser interno o externo y si es alto, medio o bajo para priorizarlos en ese orden. Esta evaluación sirve para empezar a trabajar en los riesgos más urgentes y plantear estrategias para mitigarlos o evitarlos.
Para evaluar los riesgos, se recomienda elaborar un mapa de calor, donde se clasifique el impacto y la probabilidad. Cada uno se identifica con un color diferente: Riesgo Alto ( Rojo)- Riesgo Medio - Alto (Naranja) - Riesgo Medio (Amarillo) - Riesgo Bajo (Verde).
El documento COSO II dice que la evaluación de riesgos involucra un proceso dinámico e interactivo para identificar y analizar riesgos que afectan el logro de objetivos de la entidad, dando la base para determinar cómo los riesgos deben ser administrados. “La gerencia considera posibles cambios en el contexto y en el propio modelo de negocio que impidan su posibilidad de alcanzar sus objetivos”.
Actividades de control
Se refiere a las políticas y procedimientos que trazan las acciones adecuadas para gestionar los riesgos, tomar decisiones que favorezcan la operación y el logro de los objetivos. Todas las áreas de la compañía, sin excepción, son las responsables de ejecutar las actividades de control, que lleven a una correcta toma de decisiones y cumplimiento de los objetivos.
Estas actividades de control, según COSO, pueden ser preventivas o de detección y pueden abarcar una amplia gama de actividades manuales y automatizadas. Estas actividades deben minimizar los riesgos que dificultan el logro de los objetivos de la organización.
Información y comunicación
Las empresas deben gestionar la información desde todas sus áreas y unificarla para tener convergencia y hablar un mismo idioma. La información es uno de los activos más importantes de la organización, por lo que debe protegerse y debe estar disponible para todas las áreas de la empresa, así se disminuyen errores a la hora de identificar, clasificar, evaluar y gestionar los riesgos.
Por ello, los líderes de cada área deben velar por recoger información que permita analizar los riesgos e intercambiarla para tener una mirada general de la empresa. En la medida que se cumpla esto, habrá mejor control interno y se removerán obstáculos que amenacen el cumplimiento de los objetivos.
En este sentido la información no se utiliza solo para los estados financieros, sino también en la toma de decisiones. Por esta razón, los líderes deben ser rigurosos a la hora de recoger la información, verificarlos y confirmarlos para que sean verídicos y acertados. Entre tanto, la comunicación es el proceso para proporcionar, compartir y obtener la información necesaria, relevante y de calidad.
De acuerdo con COSO, la Información es necesaria en la entidad para ejercer las responsabilidades de Control Interno en soporte del logro de objetivos. “La Comunicación ocurre tanto interna como externa y provee a la organización con la información necesaria para la realización de los controles diariamente. La Comunicación permite al personal comprender las responsabilidades del Control Interno y su importancia para el logro de los objetivos”. (COSO II, 2013).
Monitoreo
Un continuo monitoreo de la gestión de riesgos de la organización ayuda a que las estrategias para mitigarlos sean efectivas y se disminuyen errores que puedan afectar las metas. Además, sirve para comprobar la efectividad del control interno. Una adecuada gestión de riesgos se logra con supervisión y monitoreo continuo, así como con evaluaciones frecuentes.
El monitoreo es: “Evaluaciones concurrentes o separadas, o una combinación de ambas. Es utilizado para determinar si cada uno de los componentes del Control Interno, incluidos los controles para efectivizar los principios dentro de cada componente, está presente y funcionando. Los hallazgos son evaluados y las deficiencias son comunicadas oportunamente, las significativas son comunicadas a la alta gerencia y al directorio” (COSO II, 2013).
Con el software de Pirani Riskment Suite podrás registrar los controles que consideres necesarios para prevenir, detectar o corregir riesgos a los que se ven expuestos tu compañía, podrás calificarlos a través del diseño, ejecución y solidez y por último, podrás asociar riesgos y responsables de supervisar estos controles.
Control interno, según el documento COSO*
El documento COSO II (2013) define el control interno como un proceso llevado a cabo por el Consejo de Administración, la Gerencia y otro personal de la Organización, diseñado para proporcionar una garantía razonable sobre el logro de objetivos relacionados con operaciones, reporte y cumplimiento.
Objetivos de Control interno
Objetivos de operaciones
- Relacionados con la misión y visión de la entidad.
- Varían en función de las decisiones de la conducción relacionadas con el modelo de operaciones, consideraciones de la industria y rendimiento.
- Se abren en sub-objetivos para los distintos componentes de la estructura de la entidad.
- Incluyen el resguardo de activos.
OBJETIVOS DE REPORTE
- Reportes financieros externos
o Estados Contables
o Cuenta de Inversión
- Reportes no financieros externos
o Reportes de sustentabilidad
o Información al público
- Reportes internos financieros y no financieros
o Ejecución presupuestaria
o Informes sobre nivel de actividad
Objetivos de cumplimiento
- Objetivos relacionados con el cumplimiento de leyes y regulaciones.
- El cumplimiento de políticas y procedimientos de la entidad, a los efectos del marco, corresponde a objetivos de operaciones
Limitaciones del Control Interno
- Establecimiento de adecuados objetivos, como precondición para el control interno.
- El juicio humano en la toma de decisiones puede ser equivocado o sujeto a parcialidades.
- Errores productos del error humano.
- Posibilidad de anulación de controles por la gerencia.
- Posibilidad de burlar controles por la colusión entre distintos actores
- Factores externos más allá del control de la entidad
*Tomado de COSO (2013)
La evolución de este marco de control interno
COSO I
Con el propósito de direccionar a las compañías para mejorar el control interno, en 1992, el Comité de Organizaciones Patrocinadoras de la Comisión Treadway publicó COSO I, en el que se definió que el control interno es una responsabilidad de la dirección para tener los objetivos alineados con el control de la información financiera, cumplimiento de normativa y seguridad en las operaciones.
Este COSO exigía demostrar compromiso con la integridad y valores éticos, establecer estructuras de autoridad y exigir rendición de cuentas; evalúa el riesgo y analiza los cambios.
COSO II
En 2004 se publicó el estándar “Enterprise Risk Management - Integrated Framework” (COSO II) Marco integrado de Gestión de Riesgos, que amplió la importancia del control interno y la gestión de riesgos en todas las áreas de la organización, incluyendo tanto a directores y administradores como los demás empleados.
El documento COSO II señala que la gestión de riesgo corporativo se ocupa de los riesgos y oportunidades que afectan la creación de valor o la permanencia de la empresa. Además, los riesgos se gestionan para identificar eventos potenciales que puedan afectar la organización y proporcionar una seguridad razonable en el logro de los objetivos.
Este nuevo marco en vez de establecer estructuras con autoridad y exigir rendición de cuentas, recomienda responsabilidad en la supervisión y en vez de solo evaluar riesgos, los identifica y analiza.
COSO II ERM
La versión de COSO II ERM, se publicó en 2013 y es la evolución del editado en 2004. Este nuevo marco resalta la importancia de la agilidad de los sistemas de gestión de riesgos para adaptarse a los entornos; la confianza en la eliminación de riesgos y el cumplimiento de objetivos; así como mayor claridad en la información y comunicación.
El nuevo Marco de Gestión de Riesgos Empresariales “describe cómo los ejecutivos pueden tener mayor confianza para hacer frente a muchos de los retos críticos de los negocios del siglo XXI a medida que navegan por los mercados en evolución, la rápida innovación y un mayor enfoque regulatorio”, según explica la tesis Métodos de Administración y Evaluación de Riesgos de la Universidad de Chile.
“El Marco está diseñado para convertir un monólogo de riesgos preventivo y basado en procesos en una conversación proactiva y centrada en las oportunidades para descubrir cómo la gestión de riesgos puede crear, preservar y hacer realidad la calidad y el valor”, agrega el análisis de Métodos de Administración y Evaluación de Riesgo
*Imagen tomada del documento COSO II Internal Control Integrated Framework, versión 2013La tesis de la Universidad de Chile también explica que entre los desafíos más críticos para las gerencias está el determinar cuán preparada está la entidad para aceptar los riesgos mientras procura crear valor.
Entre tanto, Dennis Chesley, líder de Consultoría de Riesgos Global, referente del tema, explica que COSO se actualiza porque la complejidad de hacer negocios está cambiando, y siguen surgiendo nuevos riesgos a un ritmo más rápido que en el pasado, además, el experto analiza que los cambios en el comportamiento de los clientes están ejerciendo una influencia considerable en un panorama económico mundial impredecible.
“Mientras tanto, la evolución de la tecnología y una mayor exigencia de transparencia están poniendo a prueba los procesos de planificación estratégica y las capacidades operativas. Para hacer frente a estos desafíos es necesario que las organizaciones adopten un nuevo enfoque de la gestión del riesgo: un enfoque que ayude a crear, preservar y hacer realidad el valor ahora y en el futuro”, resalta Chesley.
En definitiva, este marco de control interno da una mayor orientación sobre la forma correcta de gestionar los riesgos y de articular esa gestión con las estrategias y los objetivos trazados para tener una mejor toma de decisiones. También le da a los gestores una mirada de los riesgos, desde todos los ángulos tanto generales como en cada área, proyectos y procesos.