Enterprise Risk Management Framework (comúnmente conocido como ERM o COSO II)

INTRODUCCION

Implantar un sistema de gestión de riesgo corporativo es una de las prioridades de las compañías, ya que les permite mejorar la rentabilidad o lograr la consecución de objetivos. Por eso, se ha puesto en marcha un proyecto, denominado COSO II, capaz de abordar los riesgos bajo una metodología integradora para lograr los objetivos perseguidos y crear valor en una compañía.

De esta manera, el Committee of Sponsoring Organizations of the Treadway Comission (COSO), ha desarrollado recientemente un proyecto para la elaboración de una metodología capaz de abordar la gestión de riesgos en las empresas con un enfoque integrador y que suponga una verdadera oportunidad de creación de valor para sus partes interesadas. Dicha metodología ha recibido el nombre de Enterprise Risk Management Framework (comúnmente conocido como ERM o COSO II).

Según COSO II, la gestión de riesgos corporativos se ocupa de los riesgos y oportunidades que afectan a la creación de valor o su preservación. La gestión de riesgos corporativos es un proceso efectuado por el consejo de administración de una entidad, su dirección y restante personal, aplicable a la definición de estrategias en toda la empresa y diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos.

Está diseñado para identificar acontecimientos potenciales que, de ocurrir, afectarían a la entidad y para gestionar los riesgos dentro del nivel de riesgo aceptado, es capaz de proporcionar una seguridad razonable al consejo de administración y a la dirección de una entidad.

Además, está orientada al logro de objetivos dentro de unas categorías diferenciadas, aunque susceptibles de solaparse.

¿QUE ES COSO?

El Informe COSO es un documento que contiene las principales directivas para la implantación, gestión y control de un sistema de control.

Publicado en 1992 por el grupo de trabajo que la Comisión Treadway formó con el objetivo fundamental de definir un nuevo marco conceptual de control interno capaz de integrar las diversas definiciones y conceptos utilizados hasta entonces.

El grupo de trabajo estaba constituido por representantes de la American Accounting Association (AAA), American Institute of Certified Public Accountants, Financial (AICPA), Financial Executive Institute (FAI), Institute of Internal Auditors (IIA) e Institute of Management Accountants (IMA), y sus siglas COSO corresponden al Committe of Sponsoring Organizations de la Treadway Commission.

Debido a la gran aceptación de la que ha gozado, el Informe COSO se ha convertido en el estándar de referencia.

Existen en la actualidad 2 versiones del Informe COSO. La versión del 1992 y la versión del 2004, que incorpora las exigencias de ley Sarbanes Oxley a su modelo.

Debido al mundo económico integrado que existe hoy en día se ha creado la necesidad de integrar metodologías y conceptos en todos los niveles de las diversas áreas administrativas y operativas con el fin de ser competitivos y responder a las nuevas exigencias empresariales, surge así un nuevo concepto de control interno donde se brinda una estructura común el cual es documentado en el denominado informe COSO.

OBJETIVOS

Dentro de este contexto, el modelo divide los objetivos de las compañías en cuatro categorías diferentes:

• Objetivos estratégicos. Se trata de los objetivos establecidos al más alto nivel, y relacionados con el establecimiento de la misión y visión de la compañía.

• Objetivos operativos. Se trata de aquellos relacionados directamente con la eficacia y eficiencia de las operaciones, incluyendo por supuesto objetivos relacionados con el desempeño y la rentabilidad.

• Objetivos relacionados con la información suministrada a terceros. Se trata de aquellos objetivos que afectan a la efectividad del reporting de la información suministrada (interna y externa), y va más allá de la información estrictamente financiera.

• Objetivos relacionados con el cumplimiento regulatorio. Se trata de aquellos objetivos relacionados con el cumplimiento por parte de la compañía con todas aquellas leyes y regulaciones que le son de aplicación.

ELEMENTOS

Por otro lado, el modelo interrelaciona cada uno de los cuatro objetivos anteriormente apuntados, con cada uno de los ocho elementos que se describen a continuación

- Ambiente interno. El ambiente interno de la compañía es la base sobre la que se sitúan el resto de elementos, e influye de manera significativa en el establecimiento de los objetivos y de la estrategia. En el entorno de ese ambiente interno, la dirección establece la filosofía que pretende establecer en materia de gestión de riesgos, en función de su cultura y su "apetito" de riesgo.

- Establecimiento de objetivos. Los objetivos deben establecerse con anterioridad a que la dirección identifique los posibles acontecimientos que impidan su consecución. Deben estar alineados con la estrategia de la compañía, dentro del contexto de la visión y misión establecidas.

- Identificación de acontecimientos. La incertidumbre existe y, por tanto, se deben considerar aspectos externos (económicos, políticos, sociales...) e internos (infraestructuras, personal, procesos, tecnología.) que afectan a la consecución de los objetivos del negocio. Resulta pues imprescindible dentro del modelo la identificación de dichos acontecimientos, que podrán ser negativos (que implican riesgos), o positivos (que implican oportunidades e incluso mitigación de riesgos).

- Evaluación de riesgos. Para poder establecer el efecto que determinados acontecimientos pueden tener en la consecución de los objetivos impuestos por la dirección, es necesario evaluarlos desde la doble perspectiva de su impacto económico y de la probabilidad de ocurrencia de los mismos. Para ello es necesaria una adecuada combinación de técnicas cuantitativas y cualitativas. La evaluación de riesgos se centrará inicialmente en el riesgo inherente (riesgo existente antes de establecer mecanismos para su mitigación), y posteriormente en el riesgo residual (riesgo existente tras el establecimiento de medidas de control).

- Respuesta al riesgo. La dirección debe evaluar la respuesta al riesgo de la compañía en función de cuatro categorías: evitar, reducir, compartir y aceptar. Una vez establecida la respuesta al riesgo más adecuada para cada situación, se deberá efectuar una reevaluación del riesgo residual.

- Actividades de control. Se trata de las políticas y procedimientos que son necesarios para asegurar que la respuesta al riesgo ha sido la adecuada. Las actividades de control deben estar establecidas en toda la organización, a todos los niveles y en todas sus funciones.

- Información y comunicación. La adecuada información es necesaria a todos los niveles de la organización, de cara a una adecuada identificación, evaluación y respuesta al riesgo que permita a la compañía la consecución de sus objetivos. Además para conseguir que ERM funcione de manera efectiva es necesario un adecuado tratamiento de los datos actuales e históricos, lo que implica la necesidad de unos sistemas de información adecuados. Por su parte, la información es la base de la comunicación que implica una adecuada filosofía de gestión integral de riesgos.

- Supervisión. La metodología ERM debe ser monitorizada, para asegurar su correcto funcionamiento y la calidad de sus resultados a lo largo del tiempo. El modo en que esta supervisión se lleve a cabo dependerá fundamentalmente de la complejidad y el tamaño de la organización.

COSO EN EL ÁREA DE ORGANIZACIÓN Y COSO EN EL

ÁREA DE AUDITORÍA INTERNA

El tamaño, complejidad, industria, cultura, estilo de administración y otros atributos de una entidad afectarán la efectividad y eficiencia de la implementación de los conceptos y principios de su estructura. Debido a la variedad de enfoques y elecciones disponibles, hasta organizaciones similares implementarán la gestión de riesgos corporativos de manera diferente, ya sea que apliquen los conceptos y principios por primera vez o que consideren si el proceso de gestión de riesgos corporativos es verdaderamente efectivo. Sin embargo, la experiencia demuestra que existen ciertos pasos comunes que han tomado las administraciones que han completado exitosamente la implementación de su gestión de riesgos corporativos:

 Preparación de un equipo central.

 Patrocinio ejecutivo.

 Desarrollo de un plan de implementación.

 Evaluación del estado actual.

 Visión de la gestión de riesgos corporativos.

 Desarrollo de capacidades.

 Plan de implementación.

 Desarrollo y ejercicio de gestión de cambios.

 Monitoreo.

Los 8 componentes del coso II están interrelacionados entre sí. Estos procesos deben ser efectuados por el director, la gerencia y los demás miembros del personal de la empresa a lo largo de su organización.

A continuación se desarrolla la aplicación de cada uno de los componentes clave de la gestión de riesgos corporativos.

Entorno Interno

El entorno interno abarca el tono de una organización, influenciando la conciencia del riesgo de su personal, y es la base para los demás componentes de gestión de riesgos corporativos, proporcionando disciplina y estructura.

...