guía general para el tema erm
TRANSCRIPT
Guía general para el Tema ERM
Definición ERM
La Gestión de Riesgos Corporativos es un proceso efectuado por el Consejo de Administración de una entidad, su Dirección y restante personal, aplicable a la definición de estrategias en toda la empresa y diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionar sus riesgos dentro de su apetito de riesgo y proporcionar una seguridad razonable sobre el logro de los objetivos.
Conceptos relevantes
• Gestión de riesgos (Es un proceso, destinado a establecer estrategias, diseñado para identificar eventos potenciales que pudieran afectar a la entidad, y administrar los riesgos para que estén dentro de los límites)
• Eventos y riesgos (Los eventos = hechos relevantes posibles; Si los eventos tienen impacto negativo=Riesgos, Si son positivos = Oportunidades.)
• Apetito al riesgo (Es el nivel de riesgo máximo aceptable)
• Tolerancia al riesgo (Es el nivel de Desviación aceptable en relación con el logro de los objetivos)
• Portafolio de riesgos (Consideración amplia de las combinación de riesgos que permite una visión global)
Los componentes
Se incorporan 3 componentes respecto a los 5 que consideraba COSO I
1) Ambiente Interno
2) Establecimiento de Objetivos
Los objetivos se establecen a nivel estratégico. Elementos: Obj. Estratégicos, Apetito de Riesgo, Tolerancia al riesgo.
3) Identificación de Eventos
Implica la identificación de eventos determinando aquellos que representan Oportunidades y lo que son Riesgos
4) Evaluación de Riesgos
5) Respuesta al Riesgo
La Gerencia identifica y evalúa posibles respuestas Se definen distintas categorías de respuesta al riesgo: Evitarlo/Reducirlo/Compartirlo/Aceptarlo. Considerando visión de portafolios
6) Actividades de Control
7) Información y Comunicación
8) Monitoreo
Objetivos
A diferencia de COSO I en ERM define 4 tipos de objetivos:
• Estratégicos
• Eficacia y eficiencia de las operaciones,
• Confiabilidad de la elaboración de información contable
• Cumplimiento de leyes y regulaciones aplicables.
COSO
Significado de las siglas:
COSO (Committee of Sponsoring Organizations of the Treadway Commission) consiste en un comité creado en Estados Unidos en el año 1985, en donde se incluyen las participación de auditores internos, contadores, administradores y otros.
Dicho nombre fue adoptado debido a que se trata de un trabajo por más de cinco años, de varias instituciones ubicadas en aproximadamente cincuenta países. La comisión fue creada con el objetivo de tener un marco conceptual compuesto por diferentes puntos de vista acerca del control interno. Dichos modelos es utilizado en varios países por varias organizaciones tales como bancos, organizaciones comerciales, manufactureras, de servicios y otras.
Organizaciones Involucradas:
Dentro de las organizaciones que participaron en la elaboración de dicho modelo se encuentran:
1. American Accounting Association (AAA)
2. American Institute of Certified Public Accountants (AICPA)
3. Financial Executive Institute (FEI)
4. Institute of Internal Auditors (IIA)
5. Institute of Management Accountants (IMA)
El modelo COSO surge para el cumplimiento de los siguientes objetivos:
• Implementar una definición de control interno para que sea de conocimiento general y para satisfacer las necesidades de cada persona involucrada.
• Facilitar la evaluación del sistema de control mediante una estructura.
• Mejorar la identificación de Riesgos y los Procedimientos de Análisis de Riesgos.
COSO ERM
El documento COSO ERM contó con la colaboración de la firma PricewaterhouseCoopers, aspirando a ser considerado como modelo conceptual común para la Gestión de Riesgos Corporativos, el cual ha proporcionado directrices para la evaluación y mejora en la identificación, evaluación y respuesta de los riesgos; La autoridad y marco referente de COSO, fue validado por el documento de Control Interno – Marco Integrado- con la finalidad de estudiar los
factores que permitieron la emisión fraudulenta de reportes financieros; los escándalos financieros en los mercados mundiales como: ENRON, Parmalat, VIVENDI, WORDCOM, Global Crossing, entre otras.
El Marco de COSO ERM, se ha expandido y profundizado en relación a los componentes del Control Interno – Marco Integrado la ERM es hoy en día más amplia y el Control Interno está inmerso en el nuevo Marco, el cual, según los organizadores, es un documento ampliado y elaborado para formar una conceptualización sólida y centrada en los riesgos.
El marco define la Administración de Riesgos Corporativos como: “Un proceso efectuado por el consejo de administración de una entidad, su dirección y restante personal, aplicable a la definición de estrategias en toda la empresa y diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionarlos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre la consecución de objetivos de la entidad”.
El Marco define cuatro objetivos, ocho componentes esenciales y relacionados entre sí, que se aplican a toda la organización o para cualquiera de sus unidades individuales, además sugiere un lenguaje común, y provee una dirección y guías claras para la identificación evaluación y respuesta a los riesgos. Así, el Marco de ERM está orientado a proporcionar una seguridad razonable sobre la consecución
de los objetivos institucionales, los cuales pueden apreciarse.
El Marco considera actividades en todos los niveles de la organización: Nivel Empresarial, División o Subsidiaria, Unidades y Procesos de Negocio y Toda la Entidad. Según ERM, los cinco componentes de Los Nuevos Conceptos de Control Interno (Informe COSO), COOPERS & LYBRAND 1992, se elevan a ocho, en tanto que ya pasan a ser “componentes de la Gestión de los Riesgos Corporativos”; estos ocho componentes se interrelacionan y se derivan de la manera singular en que es dirigida cada organización.
El COSO ERM ayuda a la creación de Valor, permitiendo al Gerente manejarse eficazmente con eventos futuros potenciales que crean incertidumbre, respondes con comportamientos que reduzcan la probabilidad de resultados desventajosos e incrementen los beneficios.
Provee mayores capacidades para:
• Conectar crecimiento, riesgo y retorno
• Mejorar las decisiones en respuesta a los riegos.
• Minimizar sorpresas y pérdidas operacionales.
• Identificar y gestionar riesgos cruzados.
• Proveer respuestas integrales a riesgos múltiples
• Dimensionar Oportunidades.
• Racionalizar el Capital
Es un proceso que incluye:
• Identificar Potenciales eventos que pueden impactar en los objetivos.
• Evaluar los riesgos y darle respuesta
• Considerar los riesgos en la formulación de la estrategia
• Aplicar el ERM a través de toda la Empresa
• Gestionar los Riesgos considerando el nivel de adversión al riesgo de la organización.
• Lograr una visión del Portafolio de Riesgos a nivel de compañía.
• Monitorear el comportamiento del ERM.
Componentes esenciales:
1. Ambiente de Control:
“El ambiente interno abarca el talento de una organización, que influye en la conciencia de sus empleados sobre el riesgo y forma la base de los otros componentes de la gestión de riesgos corporativos, proporcionando disciplina y estructura. Los factores del ambiente interno incluyen la filosofía de gestión de riesgos de una entidad, su riesgo aceptado, la supervisión ejercida por el consejo de administración, la integridad, valores éticos y competencia de su personal y la forma en que la dirección asigna la autoridad y responsabilidad y organiza y desarrolla a sus empleados.”
Es un componente que generalmente se sobredimensiona por la importancia que conlleva en la ERM; este componente establece el tono gerencial, directrices, cultura, disciplina, relación de los riesgos con el pensamiento estratégico (misión y visión), la integridad y valores éticos, prácticas de la organización para extender en el conjunto de directivos y empleados la conciencia de la necesidad de la ERM, para el logro razonable de los objetivos institucionales. Principalmente, es considerado como la semilla para los demás componentes de la gestión de riesgos ya que provee de la filosofía pertinente sobre el riesgo, proporcionando a las organizaciones capacidades superiores para identificar, evaluar y responder a los riesgos.
2. Establecimiento de Objetivos:
“Los objetivos se fijan a escala estratégica, estableciendo con ellos una base para los objetivos operativos, de información y de cumplimiento. Cada entidad se enfrenta a una gama de riesgos procedentes de fuentes externas e internas y una condición previa para la identificación eficaz de eventos, la evaluación de sus riesgos y la respuesta a ellos es fijar los objetivos, que tienen que estar alineados con el riesgo aceptado por la entidad, que orienta a su vez los niveles de tolerancia al riesgo de la misma.”
Este componente establece que los objetivos deben fijarse antes que la institución pueda identificar potenciales eventos (riesgos u oportunidades) que afecten su concretización. La ERM, permite y asegura que la institución, al establecer un proceso sistémico para los objetivos estratégicos y los relacionados apoyan la misión y visión institucional y están alineados con ella.
3. Identificación de Eventos/Sucesos:
La dirección identifica los eventos potenciales que, de ocurrir, afectarán a la entidad y determina si representan oportunidades o si pueden afectar negativamente a la capacidad de la empresa para implantar la estrategia y lograr los objetivos con éxito. Los eventos con impacto negativo representan riesgos, que exigen la evaluación y respuesta de la dirección. Los eventos con impacto positivo representan oportunidades, que la dirección reconduce hacia la estrategia y el proceso de fijación de objetivos. Cuando identifica los eventos, la dirección contempla una serie de factores internos y externos que pueden dar lugar a riesgos y oportunidades, en el contexto del ámbito global
El Marco en este componente ayuda a identificar los eventos internos y externos potenciales, que si ocurren, impactan y afectan la consecución de los objetivos de la entidad; en su identificación, deben diferenciarse los eventos con impactos negativos (riesgos) y los eventos con impactos positivos (oportunidades), estos últimos son importantes porque ayudan a potenciar las estrategias de la dirección o los procesos para fijar los objetivos institucionales.
El Marco reconoce la importancia de identificar los eventos por medio de factores influyentes internos y externos, siendo los segundos de índole: económicos, medioambientales, políticos, sociales, y tecnológicos; en los factores internos considera: la infraestructura, personal, procesos y tecnología.
El componente de Identificación de eventos es la base para los componentes de Evaluación y Respuesta a los Riesgos.
• Distinguir Riesgos y Oportunidades:
✓ Riesgos: Sucesos que pueden tener un impacto negativo
✓ Oportunidades: Eventos que pueden tener un impacto positivo
• Identificar esos incidentes que pueden afectar la estrategia y el logro de los objetivos.
• Determinar cómo los factores internos y externos se combinan e interactúan para influenciar su perfil de riesgos.
4. Evaluación de Riesgos:
“La evaluación de riesgos permite a una entidad considerar la amplitud con que los eventos potenciales impactan en la consecución de objetivos. La dirección evalúa estos acontecimientos desde una doble perspectiva –probabilidad e impacto– y normalmente usa una combinación de métodos cualitativos y cuantitativos. Los impactos positivos y negativos de los eventos potenciales deben examinarse, individualmente o por categoría, en toda la entidad. Los riesgos se evalúan con un doble enfoque: riesgo inherente y riesgo residual.”
La Evaluación de Riesgos considera los eventos internos y externos del componente anterior, ya que al ocurrir o impactar pueden afectar la consecución de los objetivos institucionales, el Marco ayuda a evaluar el riesgo y cómo enfrentarse a él, mediante la determinación de los riesgos a partir de dos perspectivas, probabilidad e impacto, combinando su análisis con un doble enfoque: riesgos inherentes y residuales; el Marco proporciona además, técnicas de evaluación siendo éstas técnicas: cualitativas, semi-cuantitativas y técnicas cuantitativas.
5. Respuesta al Riesgo:
Una vez evaluados los riesgos relevantes, la dirección determina cómo responder a ellos. Las respuestas pueden ser las de evitar, reducir, compartir y aceptar el riesgo. Al considerar su respuesta, la dirección evalúa su efecto sobre la probabilidad e impacto del riesgo, así como los costes y beneficios, y selecciona aquella que sitúe el riesgo residual dentro de las tolerancias al riesgo establecidas. La dirección identifica cualquier oportunidad que pueda existir y asume una perspectiva del riesgo globalmente para la entidad o bien una perspectiva de la cartera de riesgos, determinando si el riesgo residual global concuerda con el riesgo aceptado por la entidad.”
Para los riesgos significativos, cualquier organización debe considerar típicamente las posibles respuestas dentro de una gama de opciones, para ello el Marco presenta ejemplos de respuestas al riesgo en las siguientes categorías: evitar, reducir, compartir y aceptar el riesgo, dichas respuestas deben ser evaluadas en función del riesgo residual alineado con la aceptación al riesgo, asimismo, al evaluar las opciones de respuestas las instituciones en su gestión, deben considerar el efecto sobre la probabilidad e impacto del riesgo, reconociendo que una respuesta puede afectar cualquiera de dichas perspectivas; un aspecto importante a considerar en este componente, consiste en una evaluación crítica de los costos versus los beneficios de las respuestas a los potenciales riesgos, desde un doble enfoque: los costos de diseñar e implantar una respuesta, así como los costos de conservar dicha respuesta al riesgo.
6. Actividades de Control:
Las actividades de control son las políticas y procedimientos que ayudan a asegurar que se lleven a cabo las respuestas de la dirección a los riesgos. Las actividades de control tienen lugar a través de la organización, a todos los niveles y en todas las funciones. Incluyen una gama de actividades –tan diversas- como aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones del funcionamiento operativo, seguridad de los activos y segregación de funciones.
Las políticas y procedimientos en las actividades de control apoyan las respuestas al riesgo y definen cómo pueden constituir una respuesta en sí mismas, por lo que, deben ser ejecutadas de forma apropiada y oportuna; las actividades de control (preventivos, detectivos o correctivos) deben estar presentes y documentados en todos los niveles y áreas operativas de cualquier institución, para lograr adecuada y razonablemente los objetivos. Una vez gestionados lo riesgos, el Marco establece que deben ser informados y comunicados.
7. Información y Comunicación:
La información pertinente se identifica, capta y comunica de una forma y en un marco de tiempo que permiten a las personas llevar a cabo sus responsabilidades. Los sistemas de información usan datos generados internamente y otras entradas de fuentes externas y sus salidas informativas facilitan la gestión de riesgos y la toma de decisiones informadas relativas a los objetivos.
También existe una comunicación eficaz fluyendo en todas direcciones dentro de la organización. Todo el personal recibe un mensaje claro desde la alta dirección de que deben considerar seriamente las responsabilidades de gestión de los riesgos corporativos. Las personas entienden su papel en dicha gestión y cómo las actividades individuales se relacionan con el trabajo de los demás. Asimismo, deben tener unos medios para comunicar hacia arriba la información significativa. También debe haber una comunicación eficaz con terceros, tales como los clientes, proveedores, reguladores y accionistas.”
El Marco en este componente da a conocer el estilo en que se obtiene y fluye la información, tanto interna como externa, en una organización para identificar, evaluar y responder a los riesgos y por otra parte, dirigir la entidad y conseguir razonablemente sus objetivos; por lo que la
información relevante debe ser establecida, retenida, filtrada y comunicada en oportunidad, profundidad y forma adecuada, todo con el propósito de apoyar la toma de decisiones en la ERM; el presente componente provee los siguientes aspectos: un lenguaje común de riesgo, la importancia y relevancia de la ERM en comunicar los objetivos institucionales, la tolerancia al riesgo, y sobre todo sirve de pauta a los roles y comportamientos de todos los integrantes en una organización en apoyo a la ERM. La información sea externa o interna, se recopila y se analiza con el propósito de establecer estrategias y objetivos, identificar eventos, analizar riesgos, determinar respuesta a ellos y, en general, llevar a cabo su gestión.
8. Monitoreo o Supervisión:
La gestión de riesgos corporativos se supervisa revisando la presencia y funcionamiento de sus componentes a lo largo del tiempo, lo que se lleva a cabo mediante actividades permanentes de supervisión, evaluaciones independientes o una combinación de ambas técnicas. Durante el transcurso normal de las actividades de gestión, tiene lugar una supervisión permanente. El alcance y frecuencia de las evaluaciones independientes dependerá fundamentalmente de la evaluación de riesgos y de la eficacia de los procedimientos de supervisión permanente.
Las deficiencias en la gestión de riesgos corporativos se comunican de forma ascendente, trasladando los temas más importantes a la alta dirección y al consejo de
administración.” La ERM debe ser monitoreada, considerando la presencia y funcionamiento de todos los componentes en todos los tiempos, ya que la eficacia de los otros componentes se logra con actividades permanentes de supervisión continua y considerando a la vez las evaluaciones separadas (auditoría interna, auditoría externa y entes reguladores), para una eficaz ERM las actividades de supervisión deben ser permanentes, con el seguimiento de evaluaciones independientes, considerando alcances, frecuencias, responsables de evaluar, procesos de evolución, metodologías y documentación sobre la ERM.
Relación con Control Interno:
1. Un Control Interno efectivo es necesario para un ERM efectivo.
2. El Marco de Trabajo del ERM amplía el componente de Evaluación de Riesgos del COSO separándolos en componentes.
El Rol del Auditor Interno en ERM:
Sugiere formas para que los Auditores Internos mantengan su Objetividad e Independencia requeridas por las Normas del IIA cuando provean servicios de aseguramiento y consulta.
Objetividad: Actitud mental independiente de llevar a cabo el trabajo con honesta confianza en el producto de su labor y sin comprometer de manera significativa su calidad. No subordinar su juicio al de otros sobre temas de Auditoria Interna.
El ERM es el proceso estructurado, consistente y continuo implementado a través de toda la organización para identificar, evaluar, medir y reportar amenazas y oportunidades que afectan el poder alcanzar el logro de sus objetivos.
Rol Fundamental:
Proveer aseguramiento objetivo a la dirección y a la Junta sobre la Efectividad de la Gestión de Riesgos:
• Asegurar que los riesgos claves del negocio están siendo gestionados apropiadamente.
• Asegurar que el Sistema de Control Interno está siendo operado efectivamente.
• Proveer consejo
• Motivar y soportar las decisiones gerenciales sobre riesgos
• No decidir sobre riesgos
• Documentar responsabilidades de Auditoria Interna en estatutos de Auditoria Interna aprobados por le Comité de Auditoria
Roles Fundamentales de Aseguramiento:
• Procesos de Gestión de Riesgos (Diseño y Operación)
• Riesgos Correctamente evaluados
• Evaluación de Procesos de Gestión de Riesgos
• Evaluación de Reporte de Riesgos Claves
• Revisión de Gestión de Riesgos Claves (incluye efectividad e controles y otras respuestas a éstos)
Roles Legítimos de Consultoría:
• Apoyar a Gerencia en su Trabajo: facilitación, identificación y evaluación de riesgos
• Herramientas y Técnicas usadas por Auditoría Interna para análisis de Riesgos y Controles
• Defender el establecimiento del ERM aportando su experiencia en Gestión de Riesgos y en la Organización
• Entrenamiento a la Gerencia sobre Riesgos y Controles y Respuesta a Riegos
• Coordinación, monitoreo y Reporte sobre Riesgos
• Mantenimiento y Desarrollo del Marco de ERM
• Desarrollo de Estrategias de Gestión de Riesgo para aprobación de la Junta
• Transferencia de Responsabilidades a la Gerencia
Roles Legítimos de Salvaguarda:
• Asegurar que la actividad no amenaza Independencia y Objetividad de Auditoría Interna, ya que la Gerencia mantiene responsabilidad de Gestión de Riesgos
• Confirmar que actividad podría mejorar los procesos de Gestión de Riesgos, Control y Gobierno de la Organización: Aplicar Normas de Consultoría
• Tener destrezas y valores: Pericia
Roles que el Auditor Interno NO debe realizar:
• Imponer procesos de Gestión de Riesgo
• Manejar el Aseguramiento sobre los riesgos de los que es responsable
• Tomar decisiones de Riesgo en Respuesta a los Riesgos
• Implementar respuestas a Riesgos a favor de la Administración y tener responsabilidad en la Gestión de Riesgos.
COSO para Pymes
PYMES
Las pequeñas y medianas empresas, además de las microempresas han existido desde siempre su dedicación ha sido el comercio, industria y servicios. La mayoría se ha iniciado con capitales mínimos y poco a poco han ido consolidándose en el mercado.
Requieren poca inversión por unidad de empleo generado. Se caracterizan por estar conformadas principalmente por grupos familiares donde las relaciones laborales no se rigen por acuerdos contractuales. Generalmente utilizan tecnología tradicional con pocos insumos importados. Los activos suelen ser de las personas naturales que la conforman y no de las empresas, gran parte de sus equipos se pueden constituir, por lo general, con materiales disponibles en la localidad.
Estas empresas requieren menos habilidad técnica, su sistema de distribución es simple porque sirven a mercados reducidos, etc. En su mayoría es informal.
Estas empresas deben reunir la siguiente característica concurrente:
a) El número total de trabajadores: En el caso de microempresa abarca de uno a diez trabajadores; la pequeña empresa abarca de 1 hasta cincuenta trabajadores; y la mediana empresa puede abarcar de 1 hasta 100 trabajadores;
Gestión efectiva de las pequeñas y medianas empresas
Para que las pequeñas y medianas empresas puedan alcanzar competitividad, formalización y desarrollo; incrementar el empleo sostenible, su productividad y rentabilidad, su contribución al Producto Interno Bruto, la ampliación del mercado interno y las exportaciones, y su contribución a la recaudación tributaria; tienen que disponer de una gestión empresarial efectiva, de lo contrario siempre estarán en un circulo vicioso que no les permite crecer ni desarrollarse.
La organización de la pequeña y mediana empresa típica se suele establecer en función de las circunstancias. El propietario es el motor principal. La mayoría de las cosas que hay que hacer o son hechas por el mismo o bajo su directo control. Esto es cierto en los primeros años de vida de la empresa. Es de esperar que una persona empeñada en esta tarea no tenga que aplicar probados principios de organización a su negocio, cuando sean necesarios debido a la expansión del mismo y, en este sentido se llega a un punto que exceda las posibilidades de cualquiera para dirigirlo.
En cualquier caso, en toda pequeña y mediana empresa, llega un momento en que propietario o gerente tiene que delegar la responsabilidad de las decisiones en alguna otra persona. Es en ese punto cuando empieza a poner en práctica lo que se llama organización
La gestión efectiva de las pequeñas y medianas empresas se realiza en el marco de la planeación, organización, integración de los recursos, dirección y control de las actividades.
• La planeación: Incluye la selección de objetivos, estrategias, políticas, programas y procedimientos. La planeación, es por tanto, toma de decisiones, porque incluye la elección de una entre varias alternativas.
• La organización: Incluye el establecimiento de una estructura organizacional y funcional, a través de la determinación de las actividades requeridas para alcanzar las metas de la empresa y de cada una de sus partes, el agrupamiento de estas actividades, la asignación de tales grupos de actividades a un jefe, la delegación de autoridad para llevarlas a cabo y la provisión de los medios para la coordinación horizontal y vertical de las relaciones de información y de autoridad dentro de la estructura de la organización. Algunas veces todos estos factores son incluidos en el término estructura organizacional, otras veces de les denomina relaciones de autoridad administrativa. En
cualquier, caso, la totalidad de tales actividades y las relaciones de autoridad son lo que constituyen la función de organización.
• La integración: Es la provisión de personal a los puestos proporcionados por la estructura organizacional. Por tanto requiere de la definición de la fuerza de trabajo que será necesaria para alcanzar los objetivos, e incluye el inventariar, evaluar y seleccionar a los candidatos adecuados para tales puestos; el compensar y el entrenar o de otra forma el desarrollar tanto a los candidatos como a las personas que ya ocupan sus puestos en la organización para que alcancen los objetivos y tareas de una forma efectiva.
Control efectivo de las pequeñas y medianas empresas
Así como es relevante la gestión efectiva para permanecer en el mercado y alcanzar competitividad, también lo es el control efectivo aplicado al uso racional de los recursos que utilizan las pequeñas y medianas empresas.
El Control es el proceso puntual y continuo que tiene por objeto comprobar si la programación y gestión de las pequeñas y medianas empresas, ejecutada por la gerencia se ha efectuado de conformidad a lo planificado y alcanzado los objetivos programados.
El control es puntual, cuando se aplica eventualmente a ciertas áreas, funciones, actividades o personas.
El control es continuo cuando se aplica permanentemente. Comprende al control previo, concurrente y posterior.
El control es efectivo, cuando no entorpece las funciones administrativas y operativas de la gerencia de las pequeñas y medianas empresas y además cuando se toman en cuenta las sugerencias y recomendaciones de los órganos responsables del mismo y cuando se aplican las medidas correctivas necesarias para optimizar la gestión empresarial. El control efectivo consiste en evaluar un conjunto de proposiciones financieras, económicas y sociales, con la finalidad de determinar si las metas, objetivos, políticas, estrategias, presupuestos, programas y proyectos de inversión emanados de la gestión se están cumpliendo de acuerdo a lo previsto.
De acuerdo con el COSO los sistemas de control interno funcionan a distintos niveles de efectividad. De la misma forma, un sistema determinado puede funcionar de manera diferente en momentos distintos. Cuando un sistema de control alcanza el estándar a continuación, puede considerarse un sistema efectivo.
El control puede considerarse efectivo si:
• Se están logrando los objetivos operacionales de la entidad;
• Disponen de información adecuada hasta el punto de lograr los objetivos operacionales de la entidad;
• Si se prepara de forma razonable la información financiera, económica y patrimonial de la entidad; y,
• Si se cumplen las leyes y normas aplicables.
Para el COSO, mientras que el control es un proceso, su eficacia es un estado o condición del proceso en un momento dado, el mismo que al superar los estándares establecidos facilita la efectividad de la gestión empresarial. La determinación de si un sistema de control es efectivo o no y su influencia en la efectividad de la gestión de las pequeñas y medianas empresas constituye una toma de postura subjetiva que resulta del análisis de si están presentes y funcionando eficazmente los cinco componentes: entorno de control, evaluación de riesgos, actividades de control, información y comunicación y supervisión. Su funcionamiento eficaz proporciona un grado de seguridad razonable de que una o más de las categorías de objetivos establecidos va a cumplirse.
Por consiguiente, estos componentes también son criterios para determinar si el control interno es eficaz.
"La gestión efectiva está relacionada al cumplimiento de las acciones, políticas, metas, objetivos, misión y visión de la empresa; tal como lo establece la gestión empresarial moderna"
"Gestión eficaz, es el conjunto de acciones que permiten obtener el máximo rendimiento de las actividades que desarrolla la empresa"
Estándares de control aplicables a las pequeñas y medianas empresas:
Las pequeñas y medianas empresas necesitan indicadores para saber si están gestionando o controlando adecuadamente sus actividades.
Son Estándares de control, los Manuales de:
• Políticas, Riesgos,
• Políticas de Organización y Funciones y Procedimientos;
• Reglamentos de: Control Interno, Auditoria Interna, Auditoria Externa, De Organización y Funciones; Plan Estratégico Institucional; Presupuesto; Programas de Inversiones, Programas de Financiamiento y otros documentos
Otros Estándares de control son los documentos fuente, libros principales y auxiliares, estados financieros y los estados presupuestarios, las Memorias de los Consejos Directivos, los Informes de Gerencia, etc.
Las políticas contables, como estándares del registro, formulación, presentación, análisis e interpretación de la información de las pequeñas y medianas empresas.
Las empresas que no aplican políticas contables no pueden disponer de información fidedigna para los distintos agentes, por tanto pueden perder la confianza de los mismos; por lo cual es necesario aplicar políticas contables que permitan obtener estados financieros que tiendan a otorgar credibilidad y confianza de los proveedores, clientes, acreedores, trabajadores, estado y otros sujetos de interés.
Optimización de las pequeñas y medianas empresas
Las pequeñas y medianas empresas necesitan disponer de economía, legalidad, transparencia, eficiencia y eficacia tanto en la gestión como en el control empresarial; cuando alcancen esto estamos hablando de optimización empresarial.
La optimización de las empresas llega cuando las pequeñas y medianas empresas obtienen ventajas competitivas. A pesar de los problemas, la pequeña y mediana empresa puede competir de manera satisfactoria en el mercado. Las razones que le permiten a estas empresas no solamente sobrevivir, sino también generar una adecuada ganancia para sus dueños de situaciones específicas que cada empresa próspera enfrenta.
Aplicaciones de los riesgos para las Pymes:
En las Pymes la evaluación de los riesgos resulta ser más informal y menos estructurada que en las grandes corporaciones.
Los objetivos de las Pymes son comunicados de manera más fácil, directa y eficazmente a toda la organización. La identificación y análisis de los riesgos que pueden afectar a la concreción de dichos objetivos a menudo se obtienen directamente de los empleados o terceros dado el grado de acercamiento que posee la alta dirección con respecto al resto de la empresa.
Evaluación
A continuación se mencionan algunos factores a tener en cuenta cuando se evalúan los objetivos, riesgos y gestión del cambio:
1. Objetivos globales
• Si los objetivos determinados, expresan clara y completamente lo que la empresa desea conseguir.
• Si resulta eficaz la forma en que se comunican los objetivos al personal.
• Existe vinculación y coherencia entre los objetivos y las estrategias de la empresa.
2. Objetivos asignados a cada actividad
• Conexión entre los objetivos de cada actividad y los globales.
• Idoneidad de los recursos en relación a los objetivos.
• Identificación de los objetivos por actividad que son importantes para alcanzar los objetivos generales.
3. Riesgos
• Idoneidad de los mecanismos aplicados para la identificación de los riesgos externos e internos.
• Integridad y relevancia del proceso de análisis de los riesgos (estimación, probabilidad y plan de acción acorde).
• Identificación de los riesgos importantes que puedan afectar los objetivos establecidos.
4. Gestión del cambio
• Existencia de mecanismos para la previsión, identificación y reacción ante los acontecimientos que influyen en la realización de los objetivos globales o específicos.
• Existencia de mecanismos para identificar y reaccionar ante los cambios en el entorno que pueden llegar a afectar a la organización.
En las Pymes los componentes del control interno suelen presentarse de manera distinta a las grandes empresas, pero no por ello quedan ajenas al proceso:
• Normalmente carecen de procedimientos escritos, pero ello no implica que no posean una cultura propia.
• La integridad y los valores éticos pueden transmitirse de manera directa en reuniones con el personal o en negociaciones con los proveedores y clientes.
• Es probable que las políticas de recursos humanos no estén plasmadas por escrito, pero el propietario participa en la selección del personal, teniendo en claro las condiciones pretendidas
• En lo referente a la evaluación de los riesgos suele ser menos formal y estructurado, pero debe estar presente independientemente de su tamaño. Dada la estructura, los objetivos suelen comunicarse a los niveles inferiores en forma directa continuada
• Los planes de acción pueden ser ideados rápidamente con un número limitado de personas
• El conocimiento del propietario de los niveles de ventas y los principales ratios de la empresa, pueden servir para reducir las actividades de control. Pero por otra parte, los controles de los sistemas informáticos suelen ser una gran debilidad de las Pymes debido a la manera informal de su implementación
• Los sistemas de información y comunicación suelen ser informales pero de todos modos pueden ser eficientes
• Las actividades de supervisión se manifiestan en el día a día del propietario en la gestión del negocio
Bibliografía
http://www.iaiecuador.org/downloads/ev_01/Coso%20ERM2.pdf
http://www.monografias.com/trabajos74/constitucion-organizacion-funcionamiento-pymes/constitucion-organizacion-funcionamiento-pymes2.shtml
http://www.monografias.com/trabajos74/constitucion-organizacion-funcionamiento-pymes/constitucion-organizacion-funcionamiento-pymes.shtml
http://www.docstoc.com/docs/25582308/Gesti%C3%B3n-de-Riesgos-Corporativos-(COSO-ERM)