COSO ERM(Enterprise Risk Magnagement) (Gestión de Riesgo Administratavo)

El informe COSO se define como un proceso efectuado por el consejo de administración, la dirección y el resto del personal de una organización, diseñado con el objetivo de proporcionar un grado de seguridad razonable en cuanto a la persecución de los objetivos.

El informe C.O.S.O. de 1992, definió cinco componentes interrelacionados entre sí, los cuales eran: El ambiente de Control, Evaluación de Riesgos, Actividades de Control, Información y Comunicación; y Supervisión.

En esa misma época, en todas partes del mundo se emitieron con diferencias de meses o años, más o menos, diferentes informes que hablaban de control interno. Se puede citar el Informe Caldbury y turnbull en Inglaterra, el King en Sudáfrica, el COCO en Cánada, el Peters en Holanda, el Olivencia en España, el Veniot en Francia ,  y otros

Acontecimientos tan importantes como la caída de grandes empresas Americanas en insolvencias, no obstante que tenían auditorías y sistemas de control interno, llevó nuevamente a reunir la comisión COSO para reestudiar el documento anterior a la luz de los acontecimientos de estos años en el mundo empresarial y de la auditoría. Es así como en julio de 2003 se le solicitó a la empresa PricewaterhouseCoopers emitiera un nuevo documento denominado COSO ERM o COSO II

El COSO II, incluye una guía actualizada de herramientas para ayudar a las empresas en la administración de sus riesgos, ampliando de 5 a 8 los componentes. Con ello, se entrega una respuesta a las necesidades que viven las empresas en la actualidad, las cuales operan en ambientes  donde factores como la globalización, la tecnología, reestructuraciones, regulaciones, mercados cambiantes y competencias, entre otros, crean la incertidumbre.

La Comisión Treadway plantea en su segundo informe, que la administración de riesgos, se aplica desde la puesta en marcha de las estrategias y objetivos operacionales hasta el resultado final y en la retroalimentación pertinente de todos los procesos.

Diferencia Entre COSO Y COSO ERMEn cuanto a sus componentes

Componentes COSO I - 1992 Componentes COSO II - 20041. Ambiente de Control 1. Ambiente de Control Interno2. Evaluación de Riesgos 2. Establecimiento de Objetivos3. Identificación de Eventos4. Evaluación de Riesgos5. Estrategias frente al Riesgo3. Actividades de Control 6. Actividades de Control4. Información y Comunicación 7. Información y Comunicación5. Supervisión 8. SupervisiónComo se puede observar desde el COSO I, el componente que tiene unaprofundización mayor, es la Evaluación de Riesgos, la cual pasa a transformarse en elcentro del análisis de un control interno moderno, es más como leerán en las páginassiguientes, se comienza a desarrollar la definición global de Administración de RiesgosEmpresariales (ERM en inglés). ADMINISTRACION DE RIESGOS La Comisión Treadway define a la Administración de Riesgos como“unproceso, efectuado por el Directorio, Administradores y otras personas de laentidad, aplicados a la estrategia establecida en la empresa, diseñado paraidentificar potenciales eventos que puedan afectarla,  y administrar los riesgosque están dentro de su cantidad y capacidades, para proveer una seguridad razonable con respecto al logro de los objetivos”.La nueva definición anterior, entrega cierta terminología fundamental para laadministración de riesgos, la cual al igual que el primer informe comienza a establecer una estructura básica e integrada de conceptos entre el control interno y laadministración de riesgos, los cuales son:Un proceso; esto se refiere a que la administración de riesgos no es un sucesoaislado, sino que representa una serie de acciones que se extienden por toda laempresa a través de sus actividades propias, siendo estas últimas inherentes a lagestión de la dirección.Las personas; La administración de riesgos es efectuada por personas que sedesempeñan en el Consejo de Administración, la dirección y los demás miembros dela organización, a través de acciones y palabras.  Estas personas son las queestablecen la visión, misión, estrategia y objetivos de la entidad, e implantan losmecanismos de administración de riesgos.

                                                                                                      

Como se puede observar desde el COSO I, el componente que tiene una profundización mayor, es la Evaluación de Riesgos, la cual pasa a transformarse en el centro del análisis de un control interno moderno

Identificación de Eventos

Evaluación de Riesgos

Actividades de ControlEstrategias

Frente a Riesgo

SupervisiónInformación y Comunicación

Ambiente de Control Interno

Establecimientos de Objetivos

COMPONENTES DEL COSO ERM

El ambiente interno en una entidad, que comienza en la gerencia, es la base para el resto de los componentes de la administración de riesgos, proporcionando estructura y disciplina.  Influye en el establecimiento de estrategias y objetivos, estructuración de actividades, en la información como en los sistemas de comunicación y en la supervisión de los procesos. influenciado por factores como la historia de la organización, su cultura y subculturas, su estilo de dirección, competencia y desarrollo del personal, asignación de autoridad y responsabilidad, sus valores éticos.

Ambiente de Control

Factores del Ambiente de Control•Filosofía de Administración de Riesgos.•Cantidad de riesgo.•Cultura de riesgo.•Reconociendo la realidad del riesgo.•Consejo de administración y comité de auditoria•Integridad y valores éticos.•Consejo de Administración  •Compromiso de competencia del personal.•Filosofía de Dirección y el Estilo de Gestión.•Estructura orgánica.•Asignación de autoridad y responsabilidad.•Políticas y Prácticas de Recursos Humanos.

Filosofía de Administración de RiesgosEsta se refiere a la capacidad de entendimiento que poseen los integrantes de una entidad, si su dirección y empleados se les facilita o poseen habilidades para reconocer los riesgos en forma eficaz.Cantidad de riesgoEs la cantidad de riesgo que la organización esta dispuesta a aceptar con el fin de alcanzar sus objetivos.

Cultura de riesgo·Es un conjunto de actividades, valores y practicas que caracterizan como una entidad considera un riesgo en sus actividades diarias

Reconociendo la realidad del riesgo·Aquí la administración debe tener presente que muchas variables en los ambientes internos y externos pueden camíbar rápidamente y volver a una entidad completamente vulnerable en sus aspectos mas solidas y afectarla gravemente.

Consejo de Administración y Comité de AuditoriaEl consejo y el comité debe estar preparados para cuestionar y supervisar las actividades de la gerencia, presentar opiniones alternativas y tener disposición para actuar cuando se originan situaciones no deseadas.

Integridad y valores éticosLos objetivos y estrategias de una organización y la forma como ellos son implementados y alcanzados están basados en preferencias, valores de juicio y estilos de gestión todo esto define la integridad, el compromiso ético y las normas de comportamiento para la administración.

Compromiso de competencia del personalLa competencia refleja el conocimiento y las habilidades necesarias para realizar las tareas asignadas. La Dirección determina el grado de perfección con la cual debe desarrollarse cada tarea, teniendo en cuenta los objetivos de la organización.

Estructura OrgánicaDefine el marco en el cual se planifica, ejecuta, manda, comunican y supervisan las actividades de una entidad.

Asignación de autoridad y responsabilidadSe refiere a la medida en que se autoriza a los equipos o a las personas en forma individual a utilizar iniciativas al memento de enfrentar problemas.

Políticas y practicas de Recursos HumanosEstas practicas tienen que ver con contratación, orientación, entrenamiento, evaluación, asesoramiento, promoción, remuneraciones, como también el indicarla a los empleados los niveles de integridad, ética y competencia que de ellos se espera.

Establecimiento de Objetivos

El establecimiento de los objetivos es una condición previa al desarrollo propiamente tal las actividades de la entidad, ya que deben haber objetivos antes quela Dirección pueda identificar, evaluar y manejar los riesgos para su obtención.

Es así, como enfocados en los objetivos estratégicos y en la estrategia misma, una entidad se posiciona para desarrollar los objetivos operacionales.

Los Objetivos pueden ser:

Objetivos EstratégicosEstos tienen directa relación con la planificación de largo plazo,  y son el fundamento de las restantes categorías de objetivos.

Objetivos OperacionalesEstos se relacionan directamente con la eficacia y eficiencia de las operaciones de la entidad, incluye el desarrollo y alcance de los objetivos, como la salvaguarda de los recursos contra las pérdidas.  

Objetivos de Información FinancieraEstos se refieren a la confiabilidad y razonabilidad de la información financiera o no financiera, acorde con principios contables y de auditoría, la cual (información) también puede ser interna o externa.

Objetivos de cumplimientoEstos objetivos establecen  la adhesión de la entidad en cuanto al cumplimiento de leyes, normas y regulaciones que pueden afectar positiva  o negativamente la reputación organizacional.

IDENTIFICACIÓN DE EVENTOS

La gerencia define rangos de ocurrencia de eventos potenciales de origen interno o externo y si el impacto va a ser positivo o negativo.

IDENTIFICACIÓN DE EVENTOS

- RIESGOS.

- OPORTUNIDADES

IDENTIFICACIÓN DE EVENTOSEVENTOS EXTERNOS- La Economía.- El Comercio.- Catástrofes.- Medio Ambiente.- Políticas de gobierno.- Cambios de ámbitos sociales.- Tecnología.

IDENTIFICACIÓN DE EVENTOS

EVENTOS INTERNOS

- La Infraestructura.

- El Personal.

- Procesos.

- Tecnología.

EVALUACIÓN DE RIESGOS

En la evaluación de riesgos se mezclan los potenciales eventos futuros relacionados a la entidad y sus objetivos, lo que considera en el análisis del tamaño de la estructura, la complejidad de los procesos, funciones y el grado de regulación de sus actividades, entre otros.

EVALUACIÓN DE RIESGOS

Evaluar los Riesgos desde 2 Perspectivas:

- Probabilidad.

- Impacto.

EVALUACIÓN DE RIESGOS

Metodología de Evaluación de Riesgos:

- Cualitativas.

- Cuantitativas.

RESPUESTAS O ESTRATEGIAS FRENTE AL RIESGO

- Evitar el Riesgo.

- Reducir el Riesgo.

- Compartir el Riesgo.

- Aceptar el Riesgo.

ACTIVIDADES DE CONTROL

Son las políticas y procedimientos que ayudan asegurar que la respuesta al riesgo, así como otras directivas de la entidad, son aplicadas.

ACTIVIDADES DE CONTROL

Existen a través de toda la organización, a todos los niveles y en todas las funciones.

INFORMACIÓN Y COMUNICACIÓN

La información es necesario en todos los niveles de una entidad para identificar, evaluar, y responder al riesgo.

INFORMACIÓN Y COMUNICACIÓN

El gerente identifica, captura y comunica la información pertinente en un tiempo y una forma que permita a la gente cumplir con sus responsabilidades.

INFORMACIÓN Y COMUNICACIÓN

La comunicación ocurre en un sentido amplio, fluyendo hacia abajo, hacia arriba y a través de la organización.

INFORMACIÓN Y COMUNICACIÓN

La comunicación ocurre en un sentido amplio, fluyendo hacia abajo, hacia arriba y a través de la organización.

SUPERVISIÓN Y MONITOREO

Utilización de modelos de evaluación de riesgos, para estimar el impacto potencial de los movimientos del mercado en la posición financiera de una organización.

La comunicación de los agentes externos debe ser confirmada con la información internamente generada ó señalar problemas.

SUPERVISIÓN Y MONITOREO

Las regulaciones también pueden comunicar a la entidad disposiciones u otras materias que afecten las funciones o los procesos de administración de riesgos.

Los auditores internos y externos permanentemente proponen recomendaciones para  fortalecer la Administración de riesgos.

SUPERVISIÓN Y MONITOREO

El personal debe ser consultado periódicamente sobre si conocen, cumplen los códigos de conducta de su entidad.

ROLES Y RESPONSABILIDADES

- Directores.- Gerentes.- Oficiales de Riesgos.- Auditor Interno.- Otros miembros de la Organización.