Qué significa COSO en ERM
En el artículo de hoy voy a hablar sobre el modelo COSO, sus beneficios, sus versiones, y sus elementos.
¿Qué es COSO?
Bueno, realmente COSO son las siglas de The Committee of Sponsoring Organizations of the Treadway Commission, la cual es una iniciativa conjunta de cinco organizaciones del sector privado (American Accounting Association, AICPA, FEI, IMA, y por último IIA).
Básicamente, COSO es un marco (framework) que nos proporciona orientación sobre como debemos de gestionar el riesgo empresarial, sobre como mejorar el control dentro de la organización y mitigar el fraude empresarial con la finalidad de volver más eficiente una organización.
¿Cuántas versiones del marco COSO hay?
Hasta el momento hay tres versiones del informe COSO, las cuales son:
- Marco COSO de 1992.
- El marco COSO II de 2004
- El marco COSO III de 2013
COSO II
Lo que se hace en la segunda versión de COSO es ampliar el concepto de control interno a la gestión de riesgos. Lo que se hace es llamar a la acción (implicar) a todo el personal, incluyendo claro a los directores y administradores.
COSO III
Las novedades que introduce este Marco son:
- «Mejora de la agilidad de los sistemas de gestión de riesgos para adaptarse a los entornos»
- «Mayor confianza en la eliminación de riesgos y consecución de objetivos»
- «Mayor claridad en cuanto a la información y comunicación»
Beneficios de utilizar el marco COSO
Mejores controles internos
El marco actualizado nos ofrece controles internos más eficaces, que permitirán a las organizaciones mitigar mejor los riesgos y disponer de los datos necesarios para apoyar la adopción de decisiones acertadas.
Por consiguiente, podrás aprovechar el marco del 2013 para evaluar cómo mejorar la eficacia de los controles internos, así como la eficiencia general de tu empresa.
Mejora de la seguridad informática
En el mundo de hoy en día, creo que podemos estar de acuerdo con que las empresas tienen que tomar medidas contra los ataques cibernéticos, ¿cierto?
Bueno, este nuevo marco ayuda a poner a las organizaciones en el camino correcto para enfrentar y manejar el espantoso número de ciberataques.
Ahorro en costos
Según el COSO, si las organizaciones aplican correctamente el marco de 2013, les permitirá racionalizar los procesos, establecer controles internos más eficaces y gestionar los costos.
¿Cuál es el objetivo del marco COSO?
Su objetivo es proporcionarnos una guía por medio de marcos y directrices sobre la gestión del riesgo empresarial, el control interno y al mismo tiempo, como dije antes, nos permite mitigar el fraude empresarial.
Por consiguiente, ya que sabes que puede ser visto como un marco que nos permite mitigar los riesgos de una organización, puedo empezar a decir que tiene 6 principales elementos para desarrollarlo.
Elementos del marco COSO
Apetito por el riesgo (Risk appetite)
Según Rittenberg y Martens, una organización tiene que considerar antes que nada que tanto apetito o tolerancia al riesgo está dispuesta a aceptar. En base a eso va a establecer qué objetivos o metas desea alcanzar, así como qué estrategias y tácticas va a emplear para conseguir lo que desea.
Por consiguiente, el apetito por el riesgo es básicamente el nivel de riesgo que una organización está dispuesta a tener, tomando en cuenta lo que desea alcanzar.
Por lo cual, definir el «risk appetite» es esencial, ya que como dije antes, nos permitirá enlazar todas las estrategias y tácticas en cada nivel jerárquico de la organización, es decir, la toma de decisiones tiene que estar enlazada al apetito por el riesgo.
En conclusión, el apetito por el riesgo define qué tan arriesgada o conservadora va a ser una organización en la toma de decisiones para alcanzar sus objetivos.
Por ejemplo, una organización con un bajo nivel de apetito por el riesgo va a tomar decisiones poco arriesgadas aunque tenga la oportunidad de obtener mayores beneficios tomando ciertas decisiones (oportunidades). Prefieren ir a lo seguro.
Entorno de control
Este es un elemento que en mi opinión es crucial, inclusive si no estás tratando de mitigar el riesgo (lo cual deberías). El entorno de control es la estructura o los cimientos de una organización debido a que incluye en factores como:
- El código de conducta del talento humano.
- La forma en que se maneja el funcionamiento de la organización.
- La cultura de gestión.
- La integridad que organizan y desarrollan a las personas dentro de una organización.
- La forma en que llevan a cabo la dirección de la organización los propietarios de la organización (así como la alta dirección).
Evaluación de la gestión de riesgos
Este es el elemento que se puede considerar como el corazón del modelo coso debido a que es la parte en la que tienes que identificar todos los posibles riesgos que pueden llegar a dañar la organización.
Aquí tienes que empezar a pensar en el equilibrio entre riesgos y beneficios, con el fin de reforzar el plan estratégico de la organización.
Control de actividades
Básicamente lo que tienes que hacer es establecer políticas, procesos y procedimientos que te permitan asegurar que se cumplan las directrices de gestión de riesgos.
Información y comunicación
Información y comunicación busca que toda la información y los datos de una organización deben «distinguirse, capturarse y comunicarse en un marco temporal y en un formato».
Esto nos permite que las personas en la organización puedan llevar a cabo todas sus actividades.
Seguimiento
Lo que se busca es detectar todo lo que se encuentra fuera del nivel de riesgo aceptable, comunicarlo a la alta dirección para que se lleve a cabo un plan correctivo,para que los niveles de riesgo se mantengan dentro de los niveles establecidos.