Desde mi experiencia en funciones de segunda línea, tanto en Control Interno como la más reciente en Gestión de Riesgos Empresariales, he aplicado los lineamientos y mejores prácticas de COSO Control Interno 2013 y COSO ERM 2017.
Con respecto a ambos Marcos, en algún momento me surgió la interrogante sobre cuál de ellos es más robusto o se puede implementar para la gestión de riesgos.
¿Por qué COSO ERM? ¿Por qué COSO 2013?
O bien ¿se puede crear una metodología híbrida que incluya ambos?
Por consiguiente, efectué un breve análisis comparativo entre ambos, el cual comparto con ustedes.
Iniciemos por ¿Qué es COSO?
COSO (Committee of Sponsoring Organizations of the Tradeway Commission) es una organización establecida en Estados Unidos, dedicada a proporcionar un modelo común (denominado modelo o marco integrado COSO) que orienta a las organizaciones sobre aspectos, entre los que se pueden mencionar:
- Gestión de gobierno
- Ética empresarial
- Control interno
- Gestión del riesgo empresarial
¿Cómo ha evolucionado COSO con los años?
- 1985: Se fundó la Comisión Treadway en respuesta a deficiencias de controles internos y a los riesgos que surgieron de casos de fraude bastante críticos durante esa época.
- 1992: publicación del Internal Control – Integrated Framework (Informe COSO o COSO I), como un marco integrado para ayudar a las empresas a evaluar y mejorar sus sistemas de control interno.
- 2004: se publica el Modelo COSO ERM (Enterprise Risk Management – Integrated Framework) o COSO II, permitiendo a las compañías mejorar su gestión de control interno mediante un proceso más completo de gestión del riesgo.
- 2013: publicación del modelo COSO III, permite una mayor cobertura de los riesgos a los que se enfrentan las organizaciones.
- 2017: se publica un nuevo enfoque en la administración de riesgos, en el que se orienta a las organizaciones para redefinir su estrategia en un entorno de cambios constantes. Este marco está orientado hacia la integración y la adaptación a cambios.
¿Cuáles son las principales variaciones o similitudes en los modelos más recientes de COSO: 2013 y 2017?
COSO 2013 COSO ERM 2017
Los dos marcos son complementarios y no excluyentes.
- COSO 2013 refuerza el control interno y uno de sus componentes: “Actividades de Control” no se repite en COSO 2017.
- COSO 2017 refuerza la gestión de riesgos como una integración de la medición del desempeño, la estrategia y consecución de objetivos. Persigue la adaptación al cambio en busca de la mejora continua.
Análisis de similitudes y/o diferencias por cada uno de sus componentes
COSO 2013 | COSO ERM 2017 | ||
Componente | Principio | Componente | Principio |
Entorno de Control | 1- Demuestra compromiso con la integridad y valores éticos | Gobierno y Cultura | 1- Ejerce la Supervisión de Riesgos a través del Consejo de Administración |
2- Ejerce Responsabilidad de supervisión | 2- Establece Estructuras Operativas | ||
3- Establece estructura, autoridad y responsabilidad | 3- Define la Cultura Deseada | ||
4- Demuestra compromiso con la competencia | 4- Demuestra Compromiso con los Valores Clave | ||
5- Hace cumplir con la responsabilidad | 5- Atrae, Desarrolla y Retiene a Profesionales Capacitados |
COSO 2013, Componente Entorno de control
Es el conjunto de normas, procesos y estructuras que constituyen la base sobre la que se desarrolla el sistema de control interno de la organización. El consejo y la alta dirección son quienes establecen el “Tone at the top” sobre la importancia del control interno.
COSO ERM 2017, Componente Gobierno y Cultura
El gobierno y la cultura forman una base para todos los demás componentes de la gestión del riesgo. El gobierno marca el “tono en la entidad”, reforzando la importancia de la gestión del riesgo empresarial y estableciendo responsabilidades de supervisión al respecto.
COSO ERM resalta el concepto de “Cultura” como un principio (Define la cultura deseada) y explícitamente como un componente. En ERM el establecimiento de la cultura es la clave para la gestión del riesgo empresarial. Este concepto: (1) Cultura de Riesgo podría mencionarse como uno de los aportes de COSO 2017.
COSO 2013 | COSO ERM 2017 | ||
Componente | Principio | Componente | Principio |
Evaluación de Riesgos | Estrategia y Establecimiento de Objetivos | 6- Analiza el Contexto Empresarial | |
7- Define el Apetito al Riesgo | |||
8- Evalúa Estrategias Alternativas | |||
6- Especifica objetivos confiables | 9- Establece Objetivos de Negocio | ||
7- Identifica y analiza el riesgo | Desempeño | 10- Identifica el Riesgo | |
8- Valora el riesgo de fraude | 11- Evalúa la Gravedad del Riesgo | ||
9- Identifica y analiza el cambio importante | 12- Prioriza Riesgos | ||
13- Implementa Respuestas ante los Riesgos | |||
14- Desarrolla una Visión a Nivel de Cartera |
COSO 2013, Componente Evaluación de Riesgos
En este componente se hace referencia a la definición de objetivos, identificación de los riesgos relacionados a la consecución de estos objetivos para decidir cómo deben gestionarse (incluye el riesgo de fraude), análisis de los cambios que pueden afectar el sistema de control interno.
COSO ERM 2017: Componentes Estrategia y establecimiento de objetivos, Desempeño
En estos dos componentes pueden notarse factores diferenciadores, siendo en ERM el punto de partida, (2) la Estrategia. A diferencia de COSO 2013 donde la gestión de riesgos se enfoca en los objetivos de negocio (operacionales, de información y cumplimiento).
En ERM la organización evalúa el contexto para el desarrollo de su estrategia y sus objetivos, para que estos apoyen su misión, visión y valores claves. El desarrollo de la estrategia y el apetito de riesgo se puede desarrollar en paralelo porque al final ambos deben alinearse. Por tanto, la evaluación de riesgos es un factor clave para la definición de la estrategia bajo el modelo COSO ERM.
La elaboración de un perfil de riesgos juega un rol muy importante para ERM, principalmente porque ayuda a seleccionar la mejor estrategia. La creación de un (3) Perfil de riesgos es otro de los aspectos relevantes de COSO 2017.
Otro aporte innovador es (4) la integración de la gestión del riesgo empresarial con las actividades y procesos del negocio como una forma para reforzar la toma de decisiones y conducir a un mejor desempeño.
Por su parte, el componente de Desempeño se caracteriza por el enfoque de seguimiento para considerar los posibles cambios, razón por la cual en éste se desarrolla (5) una visión de cartera. A través de la visión de cartera, la organización identifica los riesgos de mayor gravedad y su afectación en los objetivos del negocio.
Por medio de estos dos componentes podemos responder a las siguientes interrogantes:
¿Es la selección de la mejor estrategia uno de los principales objetivos de COSO ERM 2017?
¿Perseguimos la mejor estrategia y objetivos de negocio a través de la gestión de riesgos, alineados con la medición de desempeño, gestión del cambio e integración?
COSO 2013 | COSO ERM 2017 | ||
Componente | Principio | Componente | Principio |
Actividades de Control | 10- Selecciona y Desarrolla Actividades de Control | ||
11- Selecciona y Desarrolla los controles Generales sobre la Tecnología | No contenido en el Marco | ||
12- Despliega mediante políticas y procedimientos |
COSO 2013, Componente Actividades de Control
Las actividades de control son las acciones establecidas a través de políticas y procedimientos, que contribuyen a garantizar que se llevan a cabo las instrucciones de la dirección para mitigar los riesgos que afectan al cumplimiento de los objetivos.
Estas no aparecen como un componente dentro del marco COSO ERM 2017, pero están inmersas porque en sí constituyen las respuestas al riesgo (Principio 13, Componente Desempeño).
COSO 2013 | COSO ERM 2017 | ||
Componente | Principio | Componente | Principio |
Información y Comunicación | 13- Usa información relevante | Información, Comunicación y Reporte | 15- Aprovecha la Información y la Tecnología |
14- Comunica internamente | 16- Comunica Información sobre Riesgos | ||
15- Comunica externamente | 17- Informa sobre el Riesgo, la Cultura y el Desempeño |
COSO 2013, Información y Comunicación
Este componente se centra en informar y comunicar la información sobre el funcionalmente del control interno a las partes interesadas, tanto internas como externas. Asimismo, se aborda el procesamiento de datos a través de sistemas de información.
COSO ERM 2017: Información, Comunicación y Reporte
La organización aprovecha los sistemas de información para capturar, procesar y gestionar datos e información. Al utilizar información que se aplica a todos los componentes, la organización informa sobre el riesgo, la cultura y el desempeño. En este componente se hace mayor énfasis en el (6) aprovechamiento de la tecnología de la información.
COSO 2013 | COSO ERM 2017 | ||
Componente | Principio | Componente | Principio |
Actividades de Monitoreo | 16- Dirige evaluaciones continuas y/o separadas | Revisión y Monitorización | 18- Evalúa los Cambios Significativos |
17- Evalúa y comunica diferencias | 19- Revisa el Riesgo y el Desempeño | ||
20- Persigue la Mejora de la Gestión del Riesgo Empresarial |
COSO 2013, Actividades de Monitoreo
La organización selecciona, desarrolla y realiza evaluaciones continuas y/o puntuales para comprobar si los componentes del sistema de control interno están presentes y en funcionamiento.
La organización evalúa y comunica las deficiencias de control interno en el momento oportuno a los responsables de aplicar las medidas correctivas, incluyendo la alta dirección y el consejo, según corresponda.
COSO 2017, Revisión y Monitorización
Hace referencia a la comunicación como el proceso continuo e iterativo de obtener y compartir información en toda la entidad. La dirección utiliza información pertinente de fuentes internas y externas para facilitar la gestión del riesgo empresarial. La organización aprovecha los sistemas de información para capturar, procesar y gestionar datos e información.
A nivel general, considero que hay seis aspectos principales que se abordan en COSO 2017 y que lo diferencian de COSO 2013:
(1) Cultura de Riesgo
(2) la definición de la Estrategia
(3) Perfil de riesgos
(4) La integración de la gestión del riesgo empresarial
(5) Una visión de cartera
(6) Aprovechamiento de la tecnología de la información.
Particularmente destaco la función de COSO ERM 2017 por hacer énfasis en la integración, en crear una visión estratégica del riesgo e incorporar el tema de la cultura como uno de los factores clave en su adecuada gestión.
COSO 2013 por su parte resalta la labor del control interno, aplicado en todas las áreas y procesos de la Compañía para brindar las respuestas en la gestión del riesgo, como bien lo indica el marco: con el propósito de reforzar la eficiencia y eficacia de las operaciones y la confiabilidad de los registros en todos los niveles de la entidad.
Bajo tu experiencia:
¿Cuál consideras que es el marco de referencia más adecuado para la gestión de riesgos empresariales?
¿Cómo lo puedes adaptar a tu Compañía?
Si ya tienes implementado COSO 2013, ¿Migrarías a COSO 2017 y por qué?
Desde mi punto de vista, la creación de un híbrido entre ambos Marcos refuerza las funciones de segunda línea, especialmente porque puede surgir un trabajo colaborativo entre el control interno y la gestión de riesgos; siendo, en términos generales, el primero quien se encargue de la comprobación e inspección de las respuestas al riesgo y el segundo de evaluar el riesgo desde una visión estratégica para su análisis, apreciación, identificación y priorización, en busca de las mejores propuestas de valor.
Estimada:
Muy buenas publicaciones en el blog
Estaría interesada en dar alguna conferencia para una Universidad de Argentina ?
cordialmente
Mg Diana Albanese
Hola Diana.
Sí claro, con mucho gusto. Puede contactarme a [email protected], para brindarme más información.
Saludos.
Quisiera saber si es primera vez que vamos a implementar un control interno en la entidad, es necesario desarrollar el ambos marcos o puedo optar solo por el cosas ERM 2017.
Excelente publicación, muy concreta y ejecutiva; muchas gracias por tan valioso análisis, porque nos ayuda a tener claro como fortalecer la labor de la segunda linea; me interesa mucho saber como podría realizar ese enfoque hibrido de ambos coso 2013 y ERM 2017, me podrías compartir que ruta seguir para ello?
Interesante análisis comparativo, mis sinceras felicitaciones; sin embargo, debo decir que COSO 2013 y COSO 2017 cada uno fue desarrollado para abordar específicamente el tema al que se refieren, «Control interno» y «Gestión de riesgos» respectivamente, entonces esto responde automáticamente la primera pregunta, creería que no hay mucho que analizar para tomar la decisión cual utilizar. Saludos