Por Jesús Aisa Díez
Recientemente he tenido la oportunidad de asistir a la 17ª Jornadas de Auditoría Interna promovidas por el Instituto de Auditores Internos de España, celebradas los pasados días 21 y 22 de Noviembre en Madrid, en las que tuve ocasión de escuchar diversas ponencias relacionadas con el ejercicio de nuestra profesión, todas ellas muy interesantes y con enfoques fundamentalmente orientados a la mejora de la eficiencia de la actividad. De ellas, quizás la que más me impactó fue la desarrollada por PWC, titulada “COSO 3. Principales novedades en el Marco de Control Interno actualizado”. A través de la cual se expusieron los cambios que se pretenden introducir en este protocolo, cuya nueva edición se espera aparezca en el primer trimestre del próximo año. Los cuales se identificaron con:
Recientemente he tenido la oportunidad de asistir a la 17ª Jornadas de Auditoría Interna promovidas por el Instituto de Auditores Internos de España, celebradas los pasados días 21 y 22 de Noviembre en Madrid, en las que tuve ocasión de escuchar diversas ponencias relacionadas con el ejercicio de nuestra profesión, todas ellas muy interesantes y con enfoques fundamentalmente orientados a la mejora de la eficiencia de la actividad. De ellas, quizás la que más me impactó fue la desarrollada por PWC, titulada “COSO 3. Principales novedades en el Marco de Control Interno actualizado”. A través de la cual se expusieron los cambios que se pretenden introducir en este protocolo, cuya nueva edición se espera aparezca en el primer trimestre del próximo año. Los cuales se identificaron con:
1º)
Establecer los objetivos del negocio como condición previa a fijación de los
objetivos de Control Interno.
2º)
Ampliación del objetivo de reporting,
que ya no se limitará exclusivamente a los financieros.
3º)
El nuevo Marco actualizado introducirá 17 principios a los que se asocian determinados
puntos de enfoque, con los que se producirán cambios en sus 5 componentes, a
saber: (i) ambiente de control, (ii) evaluación de riesgos, (iii) actividades
de control, (iv) información y comunicaciones y (v) monitorización, que se
mantienen cuantitativamente como en la primera versión, aunque anecdóticamente modificándose
el cubo que representa el modelo COSO I, ya que el ambiente de control se
encuentra ahora situado en el nivel más alto del paralelepípedo que lo
representa.
Por
todo ello lo primero que se puede observar, desde mi perspectiva, es que hay
una evidente retroalimentación de ERM, también llamado COSO II, hacia el
conocido como COSO I. Lo cual no es de extrañar, ya que esto estaba en el propio
ADN de ambos protocolos, dado que ERM se entendía que no anulaba al COSO I,
sino que lo ampliaba y perfeccionaba.
Por
todo ello, si ahora procede modificar COSO I, denominándolo por los ponentes de
PWC que nos lo describieron, como
COSO 3, sería de esperar que los cambios que en él se produzcan den pié a una
nueva versión del ERM, ¿Podríamos llamarla COSO IV?.
Pero
veamos qué cambios se incluyen en COSO 3 que no sean consecuencia de COSO II, y
que, por consiguiente, podrían inducir a una próxima versión del protocolo ERM/COSO
II, el que anteriormente me he permitido la licencia de aventurar su calificación
como COSO IV. De ellos los que podrían ser más significativos son los que
afectan a la Evaluación de riesgos
recogidos en el principio nº 7, el cual señala que, en lo sucesivo debe tenerse
en consideración, aparte de los atributos del impacto y probabilidad, los de la
velocidad de expansión de las amenazas, así como su persistencia, ya que estas
nuevas características de los riesgos permitirán una mejor evaluación de los
mismos, dado que, por ejemplo, no debería ser evaluado de la misma forma el riesgo
de incendio de un almacén a través exclusivamente de sus atributos de impacto y
probabilidad, dado que si estamos frente a la posibilidad de que se produzca el
incendio en un almacén de productos terminados de índole agrícola, o si este se
produce en un almacén de productos inflamables, dado que la capacidad de reacción
es diferente en ambos casos, aunque coincidan las consecuencias estimadas y la
probabilidad de ocurrencia. Por ello, si lo que se modifica en este sentido en
COSO I, debiera trasladase a ERM, es de
esperar que en breve este protocolo tenga la necesidad de actualizarse recogiendo
los cambios conceptuales que se hayan incorporado en el Marco sobre el Control
Interno. En este sentido es de esperar que los mapas de riesgo no deberían
tener solo dos dimensiones (impacto y probabilidad), sino que habría que pasar al
menos a tres: Impacto, probabilidad y velocidad de ocurrencia. Con lo que se
habrá introducido una enorme complejidad en la elaboración e interpretación de
los mapas de riesgos, que pasarían a ser tridimensiones, lo cual no resultará sencillo
de representar, ni de interpretar.
Hasta
donde me ha sido posible conocer, esta previsible interrelación y
retroalimentación bidireccional entre los protocolos COSO´s relativos a control
interno (COSO I) y el correspondiente a la Gestión de Riesgos Empresariales
(ERM-COSO II), ya se ha visto materializada en un nuevo documento del Committee of Sponsoring Organizations of the
Treadway Commission, de fecha Octubre 2012, denominado “Risk assessment in
practice”, en el que, con la participación ahora de Deloitte & Touche, se
concluye que en el desarrollo de los criterios de evaluación de los riesgos
deben considerarse también otras características como por ejemplo: la vulnerabilidad
ante las amenazas y la velocidad de inicio de las mismas.
Por
todo ello, dicho estudio concluye entre otras interesantes recomendaciones, como
nos temíamos, que la evaluación de los riesgos no es solo dependiente del
impacto y la probabilidad, sino que intervienen otras cuestiones, como, por
ejemplo: la vulnerabilidad y la velocidad de aparición, así como todas otras variables
que determinen el rango de los riesgos
Según
el citado documento se entiende por vulnerabilidad la susceptibilidad de la entidad ante un evento de riesgo en términos
relacionados con la preparación de la misma ante la amenaza, su agilidad y adaptabilidad.
Cuanto más vulnerable sea la entidad al riesgo, mayor será el impacto si
el evento ocurre. Si las respuestas al riesgo, incluyendo los controles no
están en su lugar y no resultan operativos según lo diseñado, entonces la
probabilidad de ocurrencia de los eventos estará en aumento. La evaluación de
la vulnerabilidad permite a las entidades medir qué tan bien se están
controlando los riesgos. Aspecto este último que me gustaría subrayar ya que
entiendo es básico para la conclusión final de mis reflexiones.
Incluyéndose como recomendable el levantamiento del
mapa de riesgos según el esquema que seguidamente se reproduce de manera
literal:
Sugiriendo que la velocidad de aparición se represente en
los mapas dando una adecuada dimensión a los puntos que reflejan los riesgos en
una representación de dos dimensiones, de forma que su mayor superficie sea entendida
como una mayor correlación con la velocidad de aparición estimada. Sin embargo
no se ofrece alternativa aplicable a la vulnerabilidad estimada, que se nos
ocurre se podría asociar a la forma asignada al símbolo que represente al
riesgo (cuadrada, rectangular, elipsoidal, hexagonal, etc) según el convenio previamente
establecido, y así sucesivamente de hacer participar en la evaluación de los
riesgos otras características.
Admitiendo la incidencia que estas nuevas variables
tienen en una adecuada gestión de los riesgos, modestamente opinamos que estas
no deberían ser contempladas en la etapa de Evaluación
de los riesgos, puesto que, si volvemos la vista a atrás, y recordamos los
cambios en los elementos que componen COSO I
y COSO II, hemos de observar que en COSO II la Evaluación de riesgos se complementa incluyendo el correspondiente
a Identificación de eventos y Respuestas al riesgo, siendo en este
último elemento (Respuesta a los riesgos) en dónde debería tenerse en
consideración las nuevas variables citadas (Vulnerabilidad y velocidad de
aparición), ya que serán las que validen como apropiadas las medidas de control
que se habiliten.
Por lo tanto, estimamos como un gran avance que la
gestión/administración de los riesgos contemplen las otras características que
los definen, de forma que estas puedan ser tenidas en consideración en la
determinación de los controles que se consideren pertinentes u oportunos en
base a las características de todo tipo que definirán los riesgos, pero sin que
las mismas se hagan intervenir de forma directa en la confección o priorización
de los riesgos, puesto que, como no recuerdo quién lo dijo: lo mejor enemigo de lo bueno, y las mejoras que podríamos obtener
con este cambio de metodología en la forma de levantar los mapas de riesgos,
vendría amortiguada por la dificultad de su confección y su posterior
interpretación.
Resumiendo, un sí rotundo a que en la determinación de
los controles a implementar se consideren las distintas variables que permitan
calificar de forma adecuada a las amenazas que se prevea puedan afectar a los
objetivos empresariales, pero que ello no modifique la forma de valorarlas, que
sugerimos seguir haciéndolo en base a su impacto y probabilidad, aunque se
puedan posteriormente tipificar adecuadamente con las demás características que
los definen. Esta posición no es nueva, ya que es evidente que cuando
actualmente nos decantamos por un tipo de control, previamente habremos
considerado, por ejemplo, cual es el medio en el que tengamos que
desenvolvernos, pues no será lo mismo atender a un riesgo en un medio terrestre
que otro marítimo. Siendo en ambos casos diferentes las medidas de control que
en cada caso adoptemos.
¿Te
ha gustado el post? ¡Compártelo con otro auditor interno!
Es la primera vez que visito este blog y ya lo tengo en la lista de mis favoritos. Felicitaciones por este gran trabajo.
ResponderEliminar