Jesús Aisa Díez
Desde
mi perspectiva, si bien COSO I dedicaba toda su atención a la forma de
entender, y atender, el control interno de las organizaciones, con el documento
del año 2004, es decir con el ERM, se seguía manteniendo la preocupación por el
control interno, pero se incidía y ampliaba un aspecto básico para conseguirlo,
en concreto, la descripción del proceso
de gestión de los riesgos, por lo que se
detallaban, como nuevos elementos: (I) el establecimiento de los objetivos
empresariales, (ii) la identificación de eventos que pudiesen afectarles y
(iii) las respuestas a los riesgos. Aparte de considerar que los objetivos
deben ser consecuentes con la estrategia fijada por la Organización.
Con
esta ampliación, creo, que los que tuvimos oportunidad de apoyarnos en estos
protocolos, entendimos que la administración de riesgos era uno de los
elementos fundamentales del Sistema de Control Interno con el que lograr la
eficacia y eficiencia de las operaciones, la confiabilidad de los reportes y el
cumplimiento de leyes, normas y reglamentos, ya que dichos sistemas de gestión
de riesgos no son independientes del Sistema de Control Interno, sino que
forman parte integral del mismo. En sentido inverso la afirmación contraria
también es cierta, ya que no puede existir una adecuada gestión de los riesgos,
si en la empresa no impera un buen control interno. Por ello la versión de COSO
relativa a la Gestión de Riesgos Empresariales, ERM por sus siglas en inglés,
la entendimos que era COSO I, ampliado con un sistema de gestión de riesgos. Es
decir, que mejorándolo, lo anulaba y sustituía, a todos los efectos.
Por
todo ello, esta ampliación del año 2004 permitió “corregir” algunos de los
aspectos del Marco original que necesitaban mejorarse, por ejemplo: que los
objetivos del control interno no debían limitarse a la “fiabilidad de la
información financiera”, sino que debía darse cabida a todo tipo de
información, no solo la financiera. También que el orden de los elementos,
fuesen 5 u 8, debían partir del “entorno de control”, situándolo en el
nivel más alto del cubo que gráficamente lo representaba, reconociendo así la
validez del criterio “Tone at the top”, que nos indicaba que un buen
tono en la parte superior se consideraba como un requisito previo para
conseguir un adecuado y sólido gobierno corporativo.
Adicionalmente se consideró oportuno señalar que los objetivos, fuesen estos
operacionales, de reporting o de cumplimiento normativo, debían fijarse
de forma coherente con los objetivos estratégicos previamente definidos, los
cuales derivaban de la estrategia de la Organización, que era lo primero que
había que conocer.
Hasta
aquí, al menos, lo que yo entendí, pero debía estar equivocado, puesto que 9
años después de publicarse ERM, se difunde una nueva versión de COSO I,
actualizada y mejorada. En ella se admiten todos los cambios/mejoras ya
introducidas por COSO II, salvo que los elementos vuelven a quedar reducidos a
5, no haciendo referencia explícita al: Establecimiento de objetivos,
Identificación de eventos y Respuesta a los riesgos; aunque el correspondiente
a “evaluación de riesgos” sí admite de manera inequívoca que la evaluación de riesgos
debe incluir la identificación de los riesgos, su análisis y la respuesta que
sea precisa. Adicionalmente
se da entrada a los conceptos de la tolerancia al riesgo en la evaluación de los niveles aceptables de
riesgo, e incluyendo como novedad, ahora sí, los conceptos de: velocidad y
persistencia de los riesgos como criterios para evaluar la criticidad de
los mismos.
Además
cuando se citan las mejoras que acompañan al nuevo Marco actualizado, se
comenta que este ahora viene acompañado de dos nuevos y novedosos documentos:
el correspondiente al Control Interno
sobre la información financiera externa (ICEFR) y las herramientas de evaluación a emplear
para valorar la eficacia del control interno; olvidándose, al parecer, que
en el año 2006 el propio COSO publicó el documento “Control Interno para la
información financiera para Pequeñas empresas cotizadas”, y en el 2009,
la Guía para la Supervisión de Sistemas de Control Interno”.
Adicionalmente
se expone que se habilita un proceso de transición para la entrada en vigor del
nuevo Marco de 18 meses, fijándose esta en el 15 de Diciembre del 2014,
siendo efectiva hasta ese momento COSO
I.
Algo,
o su totalidad, no he debido interpretar adecuadamente, pues: (i) si los
cambios son necesarios, por qué el periodo de transición de 18 meses, (ii)
desde cuando COSO es de obligado cumplimiento en la gestión del Control
Interno/ Sistemas de gestión de Riesgos para que haya que informar si hemos
actuado según COSO I o COSO III, (iii) es realmente útil y, sobre todo
factible, empezar a emplear mapas de riesgos multidimensionales.
Por
último, no sé si los cambios de COSO III
conducirán a que pronto aparecerá un nuevo COSO IV, que sería el COSO II con
los cambios que se deriven de la nueva versión del Marco Integrado de Control Interno, o que ERM
desaparece por haber sido subsumido en COSO III.
Si
alguien me lo puede explicar, por favor, le ruego que me lo aclare. Hasta
entonces, o al menos hasta el 15 de Diciembre de 2014, seguiré evaluando los
riesgos según el método clásico midiendo “solo” su impacto y probabilidad.
Un saludo.
Artículo Publicado en el Blog:
Auditoría Interna del Siglo XXI
http://auditoriainternasiglo21.blogspot.com.es/
Jesús Aisa Díez Ex-Subdirector
General Corporativo de Auditoría Interna de Telefónica SA. Director Proyectos
de Evaluaciones de Calidad del IAI España. Director Técnico de FSH Consulting.
¿Te ha
gustado el post? ¡Compártelo con otro auditor interno!
EXCELENTE , SI ME PUEDEN ENVIAR MAT DE COSO III LES AGRADEZCO. ACTUALMENTE CURSO DIPLOMADO EN AUDITORIA INTERNA.GRACIAS AL roygher@gmail.com
ResponderEliminar