COSO Metodología de Gestión de Riesgo

Estándares Internacionales del control interno

La estructura del control interno cuenta con diferentes referencias internacionales aceptadas internacionalmente, las cuales han surgido a través de crisis a niveles empresariales, de sectores y de economías; en sectores regulados estas referencias se han incorporado al marco normativo haciéndolas un punto de partida sólido.

Estándares internacionales de Control Interno

Ley Sarbanes Oxley Act of 2002

La Ley Sarbanes-Oxley, conocida también como SarOx ó SOA (por sus siglas en inglés Sarbanes Oxley Act), es la ley que regula las funciones financieras contables y de auditoria y penaliza en una forma severa, el crimen corporativo y de cuello blanco.

Debido a los múltiples fraudes, la corrupción administrativa, los conflictos de interés, la negligencia y la mala práctica de algunos profesionales y ejecutivos que, conociendo los códigos de ética, sucumbieron ante el atractivo de ganar dinero fácil y a través de empresas y corporaciones engañando a socios, empleados y grupos de interés, entre ellos sus clientes y proveedores.

Origen

Es una ley de transparencia y control, emitida por el Gobierno de los EE.UU. en el año 2002, como resultado de una serie de escándalos corporativos que afectaron a muchas empresas de ese país a finales del 2001, producto de quiebras, fraudes y otros manejos no apropiados.

Objetivos Principales

  • Combatir los llamados “fraudes financieros”.
  • Incorpora una serie de regulaciones y medidas contra las malas prácticas de negocios.
  • Hacer responsable a la administración de toda la información que es presentada al SEC (Securities and Exchange Commission)
  • Restaurar la confianza del sistema económico.

Alcance

Aplica a todas las empresas de EE.UU. y extranjeras que cotizan y emiten bonos en la bolsa de valores de Estados Unidos. Esto incluye a: La Casa Matriz, sus subsidiarias y sus afiliadas

Alcance de Ley Sarbanes Oxley

La ley SOX afecta a CASA y Filiales por estar registrados ante la SEC, por lo tanto, debe implementar un Sistema de Control Interno

Sistema de Control Interno Ley SOX

La Ley SOX aplica a todas las empresas Norteamericanas o Extranjeras (Casa Matriz, Subsidiarias, Filiales):

  • Que tengan capital abierto o acciones registradas en la SEC (Securities and Exchange Commision).
  • Que tengan interacción con el mercado Norteamericano a través de la SEC. Ya sea por medio de ADR (American Depositary Receipts), certificados de acciones emitidos por bancos estadounidenses.

Las penalidades por el incumplimiento de la ley SOX, tanto por la integridad y validez de los Estados Financieros, así como también respecto de la certificación; ascienden a multa de hasta 1 millón de dólares y/o la reclusión de hasta 10 años.

Cuando el incumplimiento de la ley es intencional (fines fraudulentos), la multa podría aumentar hasta 5 millones de dólares, la reclusión podría llegar hasta los 20 años.

Evolución del Control Interno

El desarrollo industrial y económico de los negocios, ha derivado en una mayor complejidad en las empresas y su administración, generando la necesidad de establecer mecanismos, normas y procedimientos de control que den soluciones a los retos del entorno.

1° Generación

  • Esta etapa de control interno se basó en acciones empíricas, a partir de procedimientos de ensayo y error.
  • Dicha etapa estuvo fuertemente relacionada con los controles contables y administrativos.

2° Generación

  • Esta etapa se encuentra marcada por el sesgo legal. Se logran imponer estructuras y prácticas de control interno, especialmente en el sector público, pero desafortunadamente dio una conciencia distorsionada de éste, al hacerlo operar muy cerca de la línea de cumplimiento (formal) y lejos de los niveles de calidad (técnicos).
  • Se da como centro de atención la evaluación del control interno como el medio para definir el alcance de las pruebas de auditoría.
  • El plan de organización y el conjunto de métodos y procedimientos que aseguren que:
    • Los activos están debidamente protegidos.
    • Los registros contables son fidedignos.
    • Las actividades de la entidad se desarrollan eficazmente según las directrices señaladas por la administración.

3° Generación

  • Centra esfuerzos en la calidad derivada del posicionamiento en los más altos niveles estratégicos y directivos, como requisito que garantiza la eficiencia del control interno.
  • Los controles internos han tomado una orientación dirigida de manera prioritaria a fomentar la eficiencia, reduciendo el riesgo:
  • La consecución de los objetivos.
  • Ayudan a asegurar la confiabilidad de la información financiera y la de gestión.
  • Proteger los recursos, y
  • El cumplimiento de las leyes, reglamentos y cláusulas contractuales aplicables.

COSO Framework

The Committee of Sponsoring Organizations of the Treadway Commission (COSO) comisionado por los cinco organismos profesionales financieros más importantes de los Estados Unidos (la cual es una iniciativa conjunta de cinco organizaciones del sector privado, American Accounting Association, AICPA, FEI, IMA, y por último IIA)), fue definido en 1992, tras cinco años de estudio y discusión, de modo que surgió un nuevo marco conceptual del control interno (framework) con el objetivo fundamental de integrar las diversas definiciones y conceptos vigentes en ese momento.

Dentro de una organizacional, se define la necesidad de que la alta dirección y el resto de la organización entiendan:

  • El significado del control interno
  • Su influencia sobre los resultados de la gestión de este
  • El trabajo estratégico de la auditoría y,
  • Especialmente, la atención del control como un proceso comprendido de las operaciones de la organización y no solo un conjunto de reglas (que puede verse como burocracia).

Actualmente, existen los siguientes modelos del COSO: COSO I, COSO II, COSO II y COSO IV. En la siguiente tabla se observan los componentes de cada uno, de cómo han evolucionado con el transcurso del tiempo.

Evolución del modelo COSO- COSO I, COSO II, COSO II y COSO IV.

En el año de 1992 la comisión publicó el primer informe “Internal Control – Integrated Framework” llamado COSO I, teniendo como objeto principal en ayudar a las organizaciones a evaluar y mejorar los sistemas de control interno, proporcionando un modelo con una definición común y así poder evaluar sus sistemas de control interno.

En el año 2004 se modificó COSO I, en una versión mejorada llamada COSO II o COSO ERM (Enterprise Risk Management).

Esta versión muestra al control interno como un proceso continuo, el cual debe ser gestionado por personal de una organización (en todos sus niveles) y cuál debe ser diseñado para identificar eventos potenciales y evaluarlos.

Esta gestión apoya en generar seguridad a cualquier tipo de la entidad para el logro de objetivos. El COSO II proporciona una variedad de beneficios:

  • Orienta la gestión de riesgos con la estrategia.
  • Mejora las decisiones importantes de respuesta ante los riesgos o crisis.
  • Aminora el número de eventos sorpresivos y, por lo tanto, disminuye la posibilidad de pérdidas operacionales.
  • Identifica, agrupa y gestiona toda la variedad de eventos perjudiciales para la entidad.
  • Aumenta la inversión y el presupuesto de la organización, disminuyendo los impactos negativos.
Evolución del modelo COSO I a COSO II

COSO III (2013)

La comisión tomo el COSO I y lo actualiza tomando los mismos 5 componentes y los 17 principios, mejorando este marco para que la gestión de riesgos no solo considere como objetivo el adecuado Reporte Financiero, sino que enfatice también o considere también todos los aspectos que estén relacionado con el Reporte NO Financiero, así como una adecuada gestión de los Riesgos de Fraude.

Modelo COSO III de 2013

COSO IV (2017)

La comisión tomo COSO II y lo actualiza, transformándolo en un documento más sencillo y claro (marco teórico), adecuando, transformando y enfatizando en 5 componentes, de los cuales se desprenden 20 Principios.

Este marco proporciona un nuevo enfoque en la administración de riesgos, ya que las organizaciones tendrán la capacidad de adoptar el camino más adecuado para definir su estrategia en un entorno de cambios constante.

El cambio fundamental de este marco se apoya en el cambio de cultura de administración de riesgo, hacia al apetito al riesgo desde la parte de la operación y no desde la parte de decisión de los altos mandos.

El apetito al riesgo se establece y se alinea con la estrategia; mientras que los objetivos de negocio ponen en práctica la estrategia y sirven como base para identificar, evaluar y responder al riesgo.

Las personas que están en la operación diaria de las organizaciones son la primera línea de defensa en la administración de riesgos.

Al estar inmerso en los procesos, controles internos y actividades cotidianas, debe poseer mayor influencia y capacitación sobre el riesgo para identificarlo y prevenir afectaciones en el negocio.

Los riesgos que pueden impactar los objetivos de negocio deben ser identificados y evaluados. Asimismo, serán priorizados por su gravedad y en el contexto del apetito al riesgo. Posteriormente, la organización registra la cantidad de riesgos que ha asumido y decide cómo responderá ante estos.

Interpreta la evolución de la tecnología y la proliferación del análisis de datos que soporta la toma de decisiones.

Mejora del valor del modelo COSO

COSO 2019

La comisión Toma el COSO IV y lo mejora. El Marco de Riesgos Estratégicos (MRE) provee un enfoque para evaluar el riesgo que el valor presente y futuro tiene, basados en la estrategia escogida.

Liderar un programa ERM provee una visión adicional en los riesgos estratégicos y emergentes (creación de valor) mientras le permite al negocio una mejor gestión de los riesgos operacionales, técnicos, regulatorios y financieros (preservando valor).

Modelo COSO 2019

“La actualización de COSO ERM 2017 no significa que desplace COSO 2013”.

  1. El documento COSO-ERM 2017 no reemplaza el Marco Integrado de Control Interno COSO 2013.
  2. Los dos marcos son distintos y complementarios.
  3. Ambos utilizan una estructura de componentes y principios.
  4. COSO 2013 – Posee 5 componentes y 17 principios fundamentales.
  5. COSO ERM 2017 – Posee 5 componentes y 20 principios.
  6. Los aspectos del control interno comunes a la gestión de riesgos empresariales no se repiten en el Marco COSO ERM 2017.
  7. Algunos aspectos sobre la gestión de riesgos y el control interno se desarrollan más profundamente en el Marco COSO ERM 2017.

Gestión de Riesgos

Es un proceso continuo de identificar y analizar las situaciones o eventos y su probabilidad de ocurrencia, que puedan afectar potencialmente el logro de los objetivos de una empresa y determinar acciones preventivas que permitan mitigarlos.

Gestión del riesgo en modelo COSO

Clasificación de Riesgos

Clasificación de Riesgos en modelo COSO

Gestión de Riesgos

Se entiende como riesgo el evento que dificulta o impide la realización de objetivos:

Riesgos en modelo COSO

Las acciones que se pueden tomar ante un riesgo:

  • Aceptar
  • Mitigar
  • Evitar
  • Compartir
  • Ignorar
Acciones ante el riesgo en Modelo COSO

¿Qué podría pasar si no mantenemos el Modelo de Control Interno?

  • Presentación de información errada o inconsistente al Directorio, reguladores externos y/o sociedad en general (Stakeholders).
  • Potenciales multas por incumplimiento a regulaciones.
  • Pérdida de confiabilidad en nuestros procesos, productos y servicios.
  • Incapacidad de tomar decisiones adecuadas, por información errada o inconsistente.
  • Riesgo de sostenibilidad de nuestras operaciones.

Roles y Responsabilidades

El equipo de Control Interno dentro de una empresa se identifica con la 2ª Línea de Defensa. Como segunda línea de defensa, la gerencia establece diversas funciones de gestión de riesgos y cumplimiento para soportar y supervisar la primera línea de defensa, y de esta manera determinar si está diseñada, implementada y operando adecuadamente.

La composición de la línea depende de las características de la organización, como su tamaño e industria en la que opera.

Líneas de defensa del modelo COSO

Conclusión

El control interno dentro de una organización debe verse y practicarse como el proceso que ayuda en salvaguardar los recursos de la organización y cumplir con los objetivos de eficacia y eficiencia, en el cumplimiento de obligaciones.

Las herramientas de aplicación de los diferentes modelos del COSO permiten proporcionar cuentas de su gestión a los administradores, ya que pueden mostrar el uso adecuado de los recursos disponibles, la reducción del desperdicio o la restricción del uso inadecuado o ilícito de recursos.

El control interno apoya al entendimiento del entorno cambiante de la organización, desde un conocimiento interno para reconocer las fortalezas y oportunidades, así como el entorno externo para identificar las amenazas y debilidades.

Este conocimiento apoya a lograr una estrategia sólida que permita administrar el riesgo y aprovechar oportunidades de crecimiento para la organización.

El modelo COSO, propone una nueva cultura en la gestión de riesgos y que puede aplicarse a cualquier tipo de organización y a nivel internacional.

Bibliografía

COSO Org. (s.f.). Obtenido de https://www.coso.org/Pages/erm-integratedframework.aspx

Deloitte. (24 de Octubre de 2017). Obtenido de https://www2.deloitte.com/content/dam/Deloitte/co/Documents/risk/Presentaci%C3%B3n%20COSO%20ERM%202017%20(Oct%2024).pdf

UAM. (Noviembre de 2019). Obtenido de http://gestionyestrategia.azc.uam.mx/index.php/rge/article/view/172
Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *