42 Estrategia Financiera Nº 246 • Enero 2008

Los efectos de laley Sarbanes-Oxley.

Del COSO IC al COSO ERM (II)

Control de Gestión

Los efectos de la ley Sarbanes-Oxley.

Del COSO IC al COSO ERM (II)

42_48_Rev 246_Urrutia.qxd 21/12/07 05:25 Página 42

Nº 246 • Enero 2008 Estrategia Financiera 43

Hace diez años en medio de unas jornadas

de perspectivas de futuro de la auditoría y la

contabilidad, el Profesor Carlos Mallo ex-

puso la necesidad de dar un paso adelante en todo

lo que tenía que ver con los informes financieros y la

auditoría, en su reflexión añadía la necesidad de que

los auditores no sólo debían revisar las cuentas pre-

sentadas al exterior sino a su vez debían revisar si

existían relaciones entre el plan estratégico de la

compañía y sus informaciones financieras, porque de

lo contrario el avance en el proceso de la informa-

ción y toma de decisión no se iba a producir.

Que en Estados Unidos se estén dando estos

avances se debe fundamentalmente a las presiones

que están recibiendo las instituciones relacionadas

con los mercados de valores, porque la confianza

puede aumentar o disminuir en función de cómo

se pueda implantar el plan estratégico. En defini-

tiva, en un país donde los ahorros personales aca-

ban en la adquisición de porfolios de acciones de

empresas, se debe contemplar con muchísimo cui-

dado lo que se hace con ellos. Lo que vislumbraba

el profesor Mallo se ha hecho realidad en la econo-

mía más competitiva del mundo, se está en la si-

tuación de crear un modelo que no sólo se limite a

informar sobre la fiabilidad de los datos del control

interno, sino que permita controlar la estrategia de

la empresa.

El modelo COSO ERM ha sido diseñado con la

idea de mantener la estructura actual de COSO IC y a

su vez añadir más dimensiones, por este motivo hay

una serie de dimensiones del modelo COSO IC – (los

objetivos, los niveles del enfoque y los componentes

de control interno) ( Figura 1) y una serie de mejoras

significativas:

• La primera mejora del modelo ha sido la de ex-

pandir los objetivos del propio modelo, incorpo-

rando la estrategia, además de los que venían de

COSO IC, es decir los objetivos previos de las ope-

raciones, el reporting y el acatamiento.

• La segunda mejora fue ampliar los niveles del en-

foque, así se ha incluido a las actividades de la em-

presa las de las divisiones y las filiales.

• La tercera mejora fue incluir "la valoración del

riesgo", incluyendo en esta dimensión cuatro com-

ponentes: el marco de los objetivos, la identifica-

ción del evento, la valoración del riesgo y la reac-

ción ante el riesgo (Figura 1).

Por este motivo, y como conclusión a lo señalado

hasta ahora, el objetivo principal del modelo COSO

ERM es crear un sistema de control estratégico que

permita gestionar el riesgo empresarial. La filosofía

que soporta la utilidad del modelo para una organi-

zación se basa en la idea de que una organización

tiene un " riesgo implícito" al estar alineado o no con

su estrategia. Las sorpresas en las operaciones se

pueden reducir al identificar a priori aquellos eventos

potenciales que pueden plantear una amenaza para la

organización y por tanto establecer a tiempo las res-

puestas más convenientes. Estas respuestas incluyen

todas las fases de la toma de decisión racional. Final-

mente el modelo COSO ERM incorpora una visión del

portfolio de riesgos, en los que los riesgos no son vis-

tos aisladamente sino que son identificados y lleva-

dos a la estructura organizativa (i).

LA EVALUACIÓN DEL AMBIENTE INTERNO

El primer componente y posiblemente el más re-

volucionario de COSO ERM es la evaluación del am-

w

El riesgo de contar con una baja fiabilidad en los informes financieros puede poner enpeligro el sistema financiero. Sin embargo, para los inversores no sólo se trata de fiabilidadsino también de mejorar la comprensión del negocio. En este sentido COSO ERM permite

gestionar esa variable, hasta ahora desconocida

, Scott Eriksen , Ignacio UrrutiaProfesor de la Universidad de Colorado State (EEUU). Profesor de IESE Business School

Ficha Técnica

H

www.estrategiafinanciera.es[ ]

AUTORES: Eriksen, Scott; Urrutia de Hoyos, Ignacio

TÍTULO: Los efectos de la ley Sarbanes-Oxley. Del COSO IC al COSO ERM (II)

FUENTE: Estrategia Financiera, nº 246. Enero 2008

LOCALIZADOR: 04/ 2008

RESUMEN: El modelo COSO IC ha sido definido como el instrumento de audi-toria utilizado para evaluar los controles internos de las organizaciones. Es ci-tado por la SEC como el modelo más adecuado para la evaluación de la gestiónde los controles internos exigidos por la sección 404 de la ley Sarbanes- Oxley.Pero las necesidades de control han ido cambiando, los inversores no sólo pi-den un modelo que dé fiabilidad a los datos de los informes financieros, sinoque a su vez se pudiera auditar su modelo de control de gestión, no tantodesde la búsqueda del beneficio o la rentabilidad sino del riesgo inherente.Por este motivo COSO ha seguido innovando y lo que había sido un modelo decontrol interno ha pasado a ser un modelo de control estratégico, su nombre esCOSO Enterprise Risk Management (ERM), su característica básica es la de sercompatible con COSO IC, incorporando un componente estratégico, que es elde poder gestionar el riesgo empresarial, porque provee a los consejos de ad-ministración de una herramienta capaz de identificar y evaluar los riesgos denegocio y construir a su vez un programa efectivo para dar respuesta y capa-cidad de decisión a los riesgos identificados.

DESCRIPTORES: Control de gestión, riesgos, Ley Sarbanes & Oxley, COSO IC,Enterprise Risk Management, COSO ERM, ética empresarial, control interno,reporting financiero.(i) This paragraph was taken from COSO’s “Executive Summary of ERM”,

www.coso.org/Publications/ERM/COSO_ERM_ExecutiveSummary.pdf

42_48_Rev 246_Urrutia.qxd 21/12/07 05:25 Página 43

44 Estrategia Financiera Nº 246 • Enero 2008

Los efectos de la Ley Sarbanes-Oxley.Del COSO IC al COSO ERM (II)

biente interno de la organización. Esta evaluación

debe ser buen reflejo del enfoque de la teoría de los

sistemas, moviéndose desde una perspectiva macro

a una micro y siendo considerada como un parte

necesaria del sistema del control de gestión. Para

poder llevar a cabo la evaluación el ambiente interno

se debe incluir una serie de elementos: la filosofía

de la dirección, su estilo de dirección y el riesgo im-

plícito de la organización. Estos elementos deben es-

tar comprendidos desde el Consejo de Administra-

ción y la estructura organizativa, hasta los métodos

de asignación de la autoridad y responsabilidad, se

deben analizar los patrones que se siguen en la di-

rección de recursos humanos y sus influencias ex-

ternas. Todos estos elementos se refieren general-

mente a cómo el sistema de control de gestión

constituye la cultura empresarial, suele tener un

marcado impacto sobre el sentido de control de la

compañía.

La evaluación del ambiente interno es funda-

mental para poder valorar con cierta perspectiva

hacia dónde se dirige la organización, cuando en

las empresas mecanicistas, muy marcadas por las

leyes mercantiles, se producen corruptelas por parte

de la alta dirección sólo hay que esperar unos años

para comprobar que esa degradación se ha trans-

mitido a toda la estructura y por tanto a cada uno

de los componentes de la empresa, lo que provoca

que cada uno persiga su propio beneficio. Casi to-

dos los escándalos corporativos de los últimos años

desde Enron a Parmalat tenían un elemento en co-

mún, la falta de ética de los ejecutivos, que es jus-

tamente lo que se quiere valorar cuando se habla

de analizar el ambiente interno ético. El principal

argumento para demostrar que puede ser muy útil

este análisis nos lo dio Warren Buffet, cuando le

preguntaron qué guía de comportamiento estaba

dando a los directivos de las compañías que adqui-

ría, él respondió que ninguna. Dijo que “el tono de

los de la cima” hacía infinitamente más que todas

las guías éticas. El ejemplo es más importante que

la palabra escrita.

Esta argumentación está en la base de lo que

Galbraith decía que era uno de los grandes proble-

mas de las corporaciones americanas, para él el pro-

blema se encontraba por la separación entre el accio-

nista y la alta dirección: “esta última detenta el poder

en la gran corporación moderna y el rol de los accio-

nistas pasa a ser ceremonial, la alternativa a su poder

es la supervisión eficaz que debería partir del conoci-

miento de los agentes intervinientes en el marco em-

presarial de las multinacionales (1). ¿Puede el modelo

COSO ERM cubrir este hueco? ¿Con la evaluación del

ambiente interno de la compañía se puede llegar a la

conclusión de que la empresa está siendo dirigida con

criterios éticos? Puede alcanzarlo, ahora bien, todo

dependerá de cómo se defina si una organización ac-

túa de forma ética o no, siempre me ha resultado

muy comprensible la definición utilizada por José Ra-

món Ayllón:… “llamamos ética a la elección de la con-

ducta digna, al esfuerzo por obrar bien, a la ciencia y al

arte de conseguirlo”.

Qué complicado se lo ponen a las empresas ame-

ricanas, porque poder decir que estás eligiendo una

conducta digna no sólo es relevante para el devenir

futuro de la organización, sino que debe serlo para

mostrar el espejo en el que se envuelven muchos de

los directivos, porque al deber de elegir se necesita

explicitar las diferentes alternativas a elegir, alternati-

vas que sin el prisma de lo ético ni se habrían podido

contemplar, pero que al explicitar cuál es tu ambiente

interno se debería delimitar.

Poniendo los pies en la tierra cabría preguntarse:

¿es ético que tus productos te los fabriquen unos ni-

El primer componente de COSO ERMdebe reflejar los serios y gravesproblemas que tienen las grandescorporaciones para poder gestionarlasde manera ética

w

Control de Gestión

Figura 1. Valoración del riesgo

Fuente: COSO ERM Integrated Framework

AMBIENTE INTERNO

AJUSTE OBJETIVO

IDENTIFICACIÓN DEL ACONTECIMIENTO

EVALUACIÓN DE RIESGO

RESPUESTA DE RIESGO

ACTIVIDADES DE CONTROL

INFORMACIÓN Y COMUNICACIÓN

SUPERVISIÓN

NIV EL DE EN

TIDADDIVISIÓ

N

UNIDAD DE N

EGOCIO

FILIAL

ESTRA

TÉGICO

OPERACIO

NES

REPORTA

JE

CUMPLI

MIENTO

(1) Muñoz C, Urrutia Ignacio. Los paralelismos del caso Enron y el caso

Parmalat: del escándalo americano al escándalo europeo. Revista AECA.

42_48_Rev 246_Urrutia.qxd 21/12/07 05:25 Página 44

Nº 246 • Enero 2008 Estrategia Financiera 45

ños de doce años?, ¿es ético plantear una reducción

de costes a la compañía mientras el principal ejecu-

tivo vive en un entorno de lujo?, ¿es ético pedir a los

empleados de la empresa más de lo que se habría pe-

dido a otra persona en el pasado?...

Según parece, por el método con el que se está

diseñando COSO ERM, se persigue más la forma que

el fondo por lo que si COSO ERM consigue reducir

los casos de corrupción corporativa es sin duda para

darle una oportunidad, aunque se necesita un mo-

delo mucho más complejo de lo que a ciencia cierta

parece que pregona, porque si repasamos por ejem-

plo lo sucedido en el gobierno corporativo de Par-

malat, podemos observar que la forma la cumplía,

es decir tenía un código de conducta, aunque su có-

digo de conducta sólo se mantenía en la simple teo-

ría, sin embargo los procesos penales en los que está

imputado tienen una amplia relación de los incum-

plimientos de estos códigos. Podrán los auditores

comprobar estos detalles, porque lo que concluimos

en el caso de Enron y Parmalat fue que para enten-

der y analizar los casos de corrupción se deben en-

tender las relaciones que existen entre los actores

que intervienen en el marco de la alta dirección (Fi-

gura 2):

1. El país: su cultura, su legislación y cómo trata

los casos de corrupción dentro y fuera de sus

fronteras.

2. El sector: su madurez, su nivel de riesgo implí-

cito y el nivel de sus directivos.

3. Los paraísos fiscales: la libertad de movimien-

tos con que actúan las empresas.

4. Los mercados financieros: su legislación y fun-

cionamiento.

5. Los propietarios e inversores: con sus prefe-

rencias, intereses y niveles de aversión al riesgo.

Los efectos de la Ley Sarbanes-Oxley.Del COSO IC al COSO ERM (II)

Control de Gestión

Figura 2. Relaciones entre la alta dirección

PaísCultura

Corrupción Gobierno

Sector

Paraìsosfiscales

Culturaempresarial

Codicia

Estilo

honestidad

AprendizajePositivo/Negativo

DepartamentoRRHH

DepartamentoTI/SI

DepartamentoControl

RSC

Altadirección

Sistemasinformación

EstructuraOrganizativa

Procesoscontrol

ReguladorContable

ProfesiónContable

FormaciónContable

EvaluaciónCaptaciónMotivación

Madurez

Nivel Management

MercadosFinancieros

BancosInversión

AnalistasFinancieros

DivisiónConsultoría

MercadosAuditoría

Auditoría Internacional

Propietarios

Stock opc.Fondos

Inversión

Las amenazas externas incluyen elambiente económico, el entorno, la

política, la tecnología y lo social. Lasamenazas internas incluyen lainfraestructura, el personal, los

procesos, y la tecnología.

w

42_48_Rev 246_Urrutia.qxd 21/12/07 05:25 Página 45

46 Estrategia Financiera Nº 246 • Enero 2008

6. Los analistas financieros y las agencias de cla-

sificación de riesgo.

7. Los intereses de los fondos de inversión.

8. Los auditores: con su conocimiento, con su

forma de actuar, con el dimen-

sionamiento de sus despa-

chos a nivel interna-

cional.

9. El reguladorcontable. Deli-

mitando el nivel de

la formación y pro-

fesión contable.

10. El estilo de la alta direc-ción y la seriedad a la que se enfrentan con la

responsabilidad social corporativa.

11. Los controles internos de los sistemas de in-

formación. La participación de los sistemas de

control y departamentos de TI/SI.

12. La cultura empresarial y el aprendizaje orga-

nizativo.

13. La Evaluación de la dirección que practican

los departamentos de RRHH.

14. El funcionamiento de los Consejos de Admi-nistración. (Como parte de la alta dirección)

En este sentido el primer componente de COSOS

ERM debe reflejar los serios y graves problemas que

tienen las grandes corporaciones para poder gestio-

narlas de manera ética, si se audita y no se va a los

puntos clave, el modelo puede quedar muy debilitado.

De nuevo nos podríamos encontrar en el problema de

diferenciar entre lo que una empresa debería ser y lo

que realmente es.

EL MARCO DE LOS OBJETIVOS

El segundo componente

que debe ser evaluado es el

marco de los objetivos. En el

que se incluye desde los

objetivos estratégicos a

los operacionales y su

nivel de cumplimiento.

En el momento en que una

organización diseña y define sus

objetivos ha establecido también su

nivel de riesgo y so-

bre todo cuánto

risk manage-

ment es nece-

sario concebir

para conseguir

cumplir con los

objetivos estable-

cidos. No sólo es

valorar el riesgo por el

riesgo, sino asegurarse de la tolerancia al riesgo de

una organización y cómo debe estar alineado con

su riesgo implícito. Este segundo componente en el

argot de los sistemas de control tiene que ver con el

proceso de control (Figura 3).

LA IDENTIFICACIÓN Y EVALUACIÓN DEL

RIESGO

El tercer componente a ser evaluado es la identi-

ficación de los eventos y sus correspondientes ries-

gos. Los eventos representan las incertidumbres y los

eventos que pueden influir en los objetivos negativa-

mente son las amenazas. Estas amenazas una vez

identificadas, deben ser tasadas y gestionadas. Se de-

ben identificar las amenazas, tanto externas como in-

ternas. Las amenazas externas incluyen el ambiente

económico, el entorno, la política, la tecnología y lo

social. Las amenazas internas incluyen la infraestruc-

tura, el personal, los procesos, y la tecnología. En el

momento en que las amenazas externas e internas

son identificadas, se las valora en relación con su

riesgo inherente y residual junto con su impacto y

probabilidad. El riesgo inherente es el riesgo que

existe antes de que la dirección tome cualquier paso

para controlar su magnitud y la probabilidad de que

se produzca, el riesgo residual es el riesgo que queda

después de que la dirección implemente algún tipo

de respuesta a ese riesgo.

Pasos para la evolución y monitorización de los

eventos potenciales: la valoración de estos riesgos

permite a la entidad percibir cómo los eventos poten-

ciales podrían afectar a sus objetivos.

A. El primer paso para tasar el riesgo es determinar

la magnitud que se puede alcanzar en un evento

w

Los efectos de la Ley Sarbanes-Oxley.Del COSO IC al COSO ERM (II)

Control de Gestión

Figura 3. Proceso de control

Misión

Visión

DAFO

Selección Estrategia

Elaboración Plan Estratégico

Actuación

Planes acción

EstructuraOrganizativa

Desviaciones

Control de Planes acción

ObjetivosEstratégicos

Programas y presupuestos

42_48_Rev 246_Urrutia.qxd 21/12/07 05:25 Página 46

Nº 246 • Enero 2008 Estrategia Financiera 47

potencial, se valora con el objeto de poder priori-

zar, se busca contestar a la pregunta ¿cuál puede

ser el impacto económico de un evento poten-

cial?

B. Junto con esta valoración se considera la proba-

bilidad de que el evento potencial suceda o no.

Esta valoración del riesgo puede ser ilustrada con

siguiente ejemplo. Suponga que el almacén de su or-

ganización es identificado como un lugar donde se

puede producir un fuego, es decir se ha considerado

que el fuego es una amenaza para lograr los objeti-

vos de la entidad. Suponga que la pérdida aproxi-

mada del fuego (existencias, lucro cesante, estante-

rías,…) es de 2.000.000 de euros. Suponga que la

probabilidad anual (dato considerado por el perito

correspondiente) de que el fuego pueda ocurrir es

del 5%. Si se multiplica la pérdida aproximada por la

probabilidad que suceda se determina el riesgo bruto

esperado que en este caso es de 100.000 euros

(2.000.000 x.0,5 = 100.000 euros). Los riesgos pueden

ser priorizados sobre la base de su riesgo bruto espe-

rado. En cuanto las amenazas externas e internas son

tasadas, se debe crear un protocolo para cubrir el

riesgo de dichas amenazas, desarrollando este proto-

colo en función de las posibles respuestas que se

pueden producir.

Pasos para la toma de decisión, hay cuatro res-

puestas posibles para las amenazas que una organi-

zación puede tener y dependen de las dos variables

que hemos comentado anteriormente y que aparecen

más desarrolladas en la Figura 4 , la primera va-

riable es el impacto que tiene la amenaza sobre

los objetivos de la empresa y la segunda varia-

ble es la probabilidad que ocurra:

1. Primera respuesta: si nos posicionamos

en el primer cuadrante en el que valora-

mos la amenaza de manera que puede

tener un impacto alto y probabilidad

alta de que ocurra, la primera res-

puesta es mitigar y controlarla, se de-

ben implantar controles para redu-

cirla.

2. La segunda situación es la de una

amenaza con bajo impacto y alta

probabilidad de que sucede, por

sentido común se debe supervisar

para que el impacto siga siendo lo

que se había considerado.

3. La tercera situación es el com-

partimiento que implica hacer

pareja con alguien (compañía

de seguro) y asegurar y repartir

la amenaza, porque compensa

asegurar el riesgo al contar

con un impacto alto sobre los

objetivos de la organización.

4. La cuarta situación, como se puede observar en

la figura, es la que cuenta con una probabilidad

baja de que sucede y un bajo impacto, lo que pro-

voca que por la propia definición de coste/benefi-

cio se puede asumir y aceptar la amenaza como

respuesta con más sentido económico.

Continuando con el ejemplo anterior podemos

ilustrar un plan de recomendación que usa una or-

ganización cuando ha considerado el fuego como de

impacto alto y de probabilidad alta, como se puede

observar en la Figura 4 se le considera de riesgo alto,

por tanto se debe mitigar y controlar, hay tres tipos

de controles - preventivo, detectivo y correctivo, va-

mos a analizar con el ejemplo cada

uno de ellos.

Como hemos llegado a la

conclusión que es riesgo alto, de-

bemos en un primer momento

asegurar la amenaza - una póliza

de seguro de fuego y la instalación

de un sistema contra-incendio. La

póliza de seguro es un control co-

rrectivo mientras que el sistema con-

tra-incendio es un control preventivo.

Suponga que la compañía puede

comprar una póliza de seguro de

fuego de 40.000 euros cuyo coste

anual es de 2.000 euros. La prima de se-

guro anual es el coste del control co-

rrectivo y 40.000 euros es la exposición

al riesgo reducida debido al control pre-

ventivo. Mientras la pérdida esperada to-

davía es 2.000.000 de euros y el riesgo in-

herente es de 100.000 euros, si contrato

una póliza de seguro contra incendio el

riesgo esperado residual pasa a ser ahora

de 62.000 euros (–100.000 euros + 40.000

euros – 2.000 euros = – 62.000 euros).

Suponga que la instalación de un sis-

tema contra-incendio con una vida de cinco

años puede ser adquirido por un importe anuali-

zado de 20.000 euros, podemos considerar los

20.000 euros como el coste del control preven-

w

Los efectos de la Ley Sarbanes-Oxley.Del COSO IC al COSO ERM (II)

Control de Gestión

Figura 4. Impacto vs. Probabilidad

Alto

Impacto

Bajo

Riesgo alto

Mitigar & Controlar

Riesgo medio

Repartir

Riesgo bajo

Aceptar

Riesgo medio

Controlar

Probabilidad AltaB aja

42_48_Rev 246_Urrutia.qxd 21/12/07 05:25 Página 47

tivo. Si efectivamente este control preventivo fun-

ciona, se nos puede reducir la probabilidad de tener

un fuego que destruya toda la instalación de un 5%

al 2%. Suponga que la compañía de seguros está de

acuerdo con el aumento de su cobertura de 40.000

euros a 50.000 euros si el sistema contra-incendio es

al final instalado. Esto nos lleva a considerar que el

riesgo esperado residual pasa a ser de 12.000 euros

negativos, porque en este caso hemos conseguido ba-

jar el riesgo implícito de 100.000 a 40.000 euros

(2.000.000 x 0,2 = 40.000 euros), si añadimos a la co-

bertura de seguro de 50.000 euros restamos la prima

de seguro anual de 2.000 euros y el coste anual del

sistema de contra incendio de 20.000 euros, pasa a

ser – 12.000 euros, como se resuelve de la siguiente

fórmula (– 40.000 + 50.000 – 2.000 – 20.000 euros).

Como se puede ver, el riesgo esperado residual es

una función dependiente del riesgo bruto esperado

inherente inicial, menos la reducción del riesgo por

algún programa, más los gastos de la respuesta. La

Figura 5 ilustra la visión general del proceso de análi-

sis de riesgo, incluyendo la valoración de riesgo, la

prevención de siniestros, y la observación de riesgo.

LA INFORMACIÓN, LA COMUNICACIÓN Y LA

OBSERVACIÓN

Los tres componentes finales ( figura nº2) del

COSO ERM son las actividades de control típicas, es

decir, la información, la comunicación y la observa-

ción, que coinciden con las del modelo COSO IC. Estas

actividades de control son las políticas y procedimien-

tos que proporcionan la garantía razonable de que los

objetivos de control que la dirección ha definido están

cubiertos y que la respuesta al riesgo se lleva a cabo.

Estas actividades de control pueden dar en toda la or-

ganización, en todos niveles y en todas funciones. La

información y la comunicación se refieren a la identi-

ficación eficaz de los posibles eventos, a la captura y

comunicación de la información en forma y tiempo

que permita a las personas/directivos asumir sus res-

ponsabilidades y que a su vez puedan ser auditadas.

CONCLUSIÓN

La pregunta que cualquier economista se hace al

contemplar hacia dónde se dirigen las herramientas de

control formal es si merece la pena o no invertir en

ellas. Muchas de estas herramientas habían sido asu-

midas como parte de los sistemas de control de las

grandes compañías desde hacía tiempo, pero eran

siempre consideradas como herramientas internas.

Cuando se analiza con un poco de perspectiva histó-

rica los hechos que han sucedido en los últimos años, se

puede entender que el riesgo de contar con una baja

fiabilidad de los informes financieros puede poner en

peligro al sistema financiero, por tanto, el modelo COSO

IC tenía todo el sentido económico implantarlo y exi-

girlo, ahora bien, los inversores no sólo piden fiabilidad

a los datos sino mejorar en la comprensión del negocio,

puede ser interesante considerarlo, en este sentido

COSO ERM ayuda a entender mucho mejor el negocio,

porque permite gestionar la parte de la ecuación del

beneficio que casi nunca se tenía información, estamos

considerando la idea del riesgo. Luego el incluir un mo-

delo de control estratégico es muy beneficioso para la

organización, para las instituciones financieras, para los

auditores,… ¿se podrá implantar? En esta duda nos que-

damos, porque si ya se conocen los efectos que ha te-

nido la implantación de COSO IC, se puede tener una

idea de hacia dónde puede ir COSO ERM, desde luego

sería una temeridad hacer obligatorio para todo tipo de

empresa, aunque a medio plazo se puede entender que

favorecerá a las empresas rigurosas, que no sólo acier-

tan con los incrementos de cash flow o con los de las

ventas, sino también con los riesgos inherentes a ellos.

BIBLIOGRAFÍA

• Ayllón José Ramón. Ética Razonada. Ediciones Pa-

labra. Madrid.2005

• Muñoz C Urrutia I. Los paralelismos del caso Enron

y el caso Parmalat: del escándalo americano al es-

cándalo europeo. Revista AECA.En-Feb.2006 9

Los efectos de la Ley Sarbanes-Oxley.Del COSO IC al COSO ERM (II)

Control de Gestión

Figura 5. Análisis del riesgo

Análisis del riesgo

Identificación Control IT Nivel proceso

Medición Nivel actividadRepartir oTransferir IT

Priorizaciòn Nivel empresaDiversificar oEvitar IT

Valoracióndel riesgo

Prevención deSiniestros

Observacióndel riesgo

48 Estrategia Financiera Nº 246 • Enero 2008

w

42_48_Rev 246_Urrutia.qxd 21/12/07 05:25 Página 48