NUEVO COSO ERM. LO QUE TODO AUDITOR DEBE CONOCER

Estándar

CONTROL INTERNO CREADO: 11 FEBRERO 2019

Los tiempos han cambiado desde 2004, cuando se difundió el primer Modelo de COSO. Hoy las empresas tienen otras necesidades y la administración de riesgos se ha convertido en un aspecto estratégico.

Nos remontamos al año 2003. Una empresa de servicios, que gestiona un considerable volumen de datos en línea de manera permanente para desarrollar sus operaciones, identifica la necesidad de tomar alguna medida frente a la posibilidad de pérdida de la información clave. Por tal motivo, decide adquirir un dispositivo electrónico para efectuar copias de seguridad de sus datos críticos y analiza las opciones a fin de almacenarlas en sitios remotos resguardados. Nos trasladamos ahora a 2016. La misma empresa posee una herramienta automatizada que detecta cualquier cambio en los datos gestionados por la compañía a través de sus sistemas y almacena la información en la nube, donde el espacio que posee para su política de back ups es casi ilimitado.

El caso anterior, hipotético, pero potencialmente real, nos muestra cómo un solo factor –la tecnología– ha modificado la manera en que las empresas gestionan solo uno de sus riesgos. Si extrapolamos esta situación a la realidad de las empresas en forma general, podemos afirmar que, sin lugar a dudas, los acontecimientos llevan a que los modelos y los paradigmas deban actualizarse. Así lo ha entendido la Comisión Treadway, encargada de desarrollar el Modelo COSO ERM (Committee of Sponsoring Organizations of the Treadway Commission, Enterprise Risk Management Framework): la realidad cambió, los riesgos ya no son los mismos, y por eso se hacía necesaria una revisión de lo que resultaba válido y pertinente hace unos años.

De la misma forma en que en 2013 publicó un marco integrado de control interno actualizado, la Comisión Treadway ha encarado la modernización de su modelo de gestión de riesgos empresariales conocido como COSO ERM. Dicho Modelo, publicado en 2004, es ampliamente utilizado por las organizaciones para que la gerencia cuente con una herramienta para administrar la incertidumbre y considerar cuál es el nivel de riesgo que está dispuesta a aceptar.

La junta directiva de la Comisión publicó el 15 de junio de 2016, para lo antes indicado, el documento Enterprise Risk Management, Aligning Risk with Strategy and Performance, con el fin de recopilar comentarios del público para luego emitir el Modelo actualizado definitivo.

La revisión y actualización del marco de gestión de riesgos contempla el hecho de que desde 2004, cuando el marco COSO ERM original fue difundido, la complejidad de los riesgos se ha incrementado, que han aparecido nuevos, antes no considerados y que los gerentes y directivos han modificado su percepción sobre la relevancia de la gestión de los riesgos. En particular, el nuevo Modelo destaca de manera más enfática el valor de la gestión de los riesgos para el establecimiento y la ejecución de las estrategias, incrementándose la necesidad de alinear el desempeño de las empresas con la administración de los riesgos, considerando asimismo la importancia que ha adquirido el concepto de gobierno corporativo en el sector público y privado.

¿POR QUÉ SE ACTUALIZA?

La versión para discusión emanada de la Comisión Treadway refleja un hecho tan real como insoslayable, al punto que obviarlo resultaba ilógico: que la administración de riesgos se ha convertido en un aspecto estratégico para la gestión organizacional. Por ello, este marco integrado actualizado se enfoca principalmente en los siguientes aspectos:

• Riesgo y estrategia no pueden separarse: los altos directivos ya saben que si no se identifican y valoran adecuadamente los riesgos, las probabilidades de alcanzar el éxito en la gestión disminuyen dramáticamente.
• Vinculación de los conceptos de riesgoy desempeño organizacional: a fin de evitar que el concepto de riesgo siga siendo abstracto para gran parte de los profesionales y de la comunidad de negocios, el marco COSO ERM se propone desarrollar un eje concreto entre las dimensiones del riesgo y el desempeño o rendimiento.

COSO hace énfasis en que no se pueden gestionar los riesgos si no están definidos los objetivos y estos no se pueden identificar sin una estrategia”.

• Consideración de la cultura organizacional: las entidades de cualquier sector o actividad tienen una cultura distintiva que las diferencia.
• Integración de la gestión de riesgos con el control interno: en este nuevo Modelo ERM, COSO se preocupa específicamente por dejar en claro que los marcos de control interno y gestión de riesgos son complementarios, pero no competitivos como se consideraba previamente.

PRINCIPALES CAMBIOS

Algunas de las actualizaciones más significativas que se propone, alineadas con los aspectos mencionados en los párrafos anteriores, se enuncian a continuación:

• Al igual que el Modelo COSO III publicado en 2013 en relación con el control interno, el nuevo marco COSO ERM adopta una estructura basada en componentes y principios.
• A fin de facilitar su comprensión e implementación, se simplifica la definición de la gestión de riesgos empresariales, para hacer que el ERM sea comprendido adecuadamente por la comunidad de negocios.
• Se enfatiza la relación y el vínculo entre el riesgo y la creación de valor para los accionistas.
• Se destaca la importancia del rol de la cultura organizacional en la gestión, promoviendo que se relacionen los conceptos de administración de riesgos con la efectividad del rendimiento de las diferentes entidades.
• Se explicita de manera más clara y contundente el vínculo entre la toma de decisiones de negocios y la gestión de los riesgos, dejando en evidencia que se trata de conceptos inseparables.
• Redefine el concepto de apetito de riesgo y la tolerancia al riesgo en cuanto a la consecución de los objetivos y el rendimiento necesario para lograrlos.

CONCLUSIONES

En 2004, cuando COSO publicó su primer Modelo de ERM, la gestión de riesgos era, conceptualmente, un aspecto marginal de la gestión o incluso desconocido por muchos altos directivos de las empresas. Hoy en día, esa situación ha cambiado: se reconoce la importancia de administrar los riesgos y se utilizan modelos de identificación, valoración y respuesta al riesgo de manera creciente. Adicionalmente, el concepto de riesgo ha cambiado radicalmente, puesto que no solo las metodologías han evolucionado, sino también las formas de encarar acciones para responder a los posibles eventos, así como las alternativas disponibles para mitigar, transferir, evitar y –por qué no– aceptar el riesgo.

Por lo antes indicado, se hacía necesaria una actualización del Modelo que recoja las modificaciones que han tenido lugar hasta el momento. Adicionalmente, COSO incorpora un concepto tan interesante como ambicioso: la importancia de vincular los ejes estrategia-desempeño riesgos de manera concreta, haciendo énfasis en el hecho de que no se pueden gestionar los riesgos si no están definidos los objetivos y estos no pueden ser adecuadamente identificados si no existe una estrategia que, precisamente, contemple los posibles riesgos. Asimismo, COSO incluye en esta nueva versión de ERM la consideración de la cultura organizacional como condicionante del abordaje de la gestión de riesgos.

En función de lo expuesto, más allá de la necesidad de actualizar el Modelo COSO ERM, se considera que los cambios propuestos resultan válidos, consistentes e interesantes desde un punto de vista meramente conceptual. Luego, claro está, el desafío que se plantea estará relacionado con la factibilidad de implementación de estas nuevas medidas en el marco de la gestión organizacional.

Dr. Julian Laski
Socio representante de la firma PKF Audisur, Argentina

Fuente: https://veritasonline.com.mx/

AUDITOOL