1. 34 Estrategia Financiera Nº 245 • Diciembre 2007
A pesar de ser COSO un modelo obligatorio, y por tanto un coste necesario, se ha
comprobado que su uso añade valor a las organizaciones incrementando la confianza de los
inversores y proporcionando más fiabilidad a los datos de los informes financieros. Pero este
incremento de valor contrastado ha provocado nuevos fenómenos en el mercado bursátil
,Scott Eriksen ,Ignacio Urrutia de Hoyos
Profesor de la Universidad de Colorado State (EEUU) Profesor de IESE Business School
Los efectos de la
ley Sarbanes-Oxley.
Del COSO IC al COSO ERM (I)
Riesgos
2. Nº 245 • Diciembre 2007 Estrategia Financiera 35
n nuestros anteriores artículos estuvimos
discutiendo tanto las características de la
Ley Sarbanes-Oxley (SOA)(1), como el mo-
delo COSO de Control interno (COSO IC )(2), en el
primero de ellos hicimos mención de lo que se ci-
taba en la sección 404 de la SOA, debido a que la
ley demandaba a la dirección de las empresas que
debían evaluar los controles internos utilizando el
modelo denominado COSO Control Interno (COSO
IC ), además exhortaba a los auditores externos que
certificasen dicha evaluación. Este modelo fue in-
troducido y discutido en nuestro segundo artículo.
Desde la introducción de la ley, ha habido un
riguroso y extenso debate en lo que se refiere a su
eficiente utilización. Las compañías de todos los
tamaños, pero particularmente las pequeñas, se
han quejado por el coste de cumplimiento de la
sección 404, debido a la necesidad de añadir más
costes administrativos de los que tenía anterior-
mente, así ha necesitado más personas en la com-
pañía, comprar el software necesario y acometer
inversiones como asesores externos, auditoría,….
Indudablemente nadie podía discutir que se
iban a incurrir en unos costes elevados, lo sorpren-
dente es comprobar las cifras que se han alcan-
zado, ahora que las cantidades ya no son hipotéti-
w
Ficha Técnica
E AUTORES: Eriksen, Scott; Urrutia de Hoyos, Ignacio
TÍTULO: Los efectos de la ley Sarbanes- Oxley. Del COSO IC al COSO ERM (I)
FUENTE: Estrategia Financiera, nº 245. Diciembre 2007
LOCALIZADOR: 96/2007
RESUMEN: El modelo COSO IC es fundamentalmente una herramienta de au-
ditoría que permite evaluar los controles internos de las organizaciones. Su
importancia se debe a su uso como modelo para la evaluación de la gestión de
los controles internos, según la SEC. Este aspecto resulta vital porque los con-
troles internos son definidos en los requerimientos de la sección 404 de la Ley
Sarbanes-Oxley. Aunque la sección 404 solamente exhorta la exigencia de
contar con una herramienta de evaluación de los controles internos relativos a
las reportes financieros, COSO IC no ha servido exclusivamente como modelo
que cumple con las exigencias que el legislador ha pedido para los reportes fi-
nancieros, sino que además tiene la capacidad de evaluar los controles internos
necesarios para las operaciones.
Bajo la hipótesis aceptada por todos de que el reconocimiento del gobierno
corporativo efectivo es capaz de realzar el valor del negocio, se va a emplear
como excusa para poder desarrollar la otra parte del modelo de COSO, el cual
no se presenta como un modelo exclusivo de control interno sino como modelo
integrado de gestión del riesgo empresarial. Este modelo denominado COSO
ERM, compatible con el COSO IC, incorpora un componente estratégico hasta
ahora poco formalizado, que es el de poder gestionar el riesgo empresarial,
porque provee a los consejos de administración de una herramienta capaz de
identificar y evaluar los riesgos de negocio y construir a su vez un programa
efectivo para dar respuesta y capacidad de decisión a los riesgos identificados.
DESCRIPTORES: Riesgos, Ley Sarbanes-Oxley, control interno, reporting fi-
nanciero, Enterprise Risk Management, COSO ERM, COSO IC.(1) Estrategia Financiera (Nº218 , Junio 2005)
(2) Estrategia Financiera (Nº225 Febrero 2006)
www.estrategiafinanciera.es[ ]
3. 36 Estrategia Financiera Nº 245 • Diciembre 2007
Los efectos de la ley Sarbanes-Oxley.
Del COSO IC al COSO ERM (I)
Riesgos
cas sino que son reales, se puede decir que el coste
del primer año de implantación de la sección 404
de acuerdo con la información dada por las gran-
des compañías americanas en promedio ha exce-
dido de 4.6 millones de dólares. El coste promedio
correspondiente a una compañía cotizada con in-
gresos por debajo de un billón de dólares alcanzó
un 1.6 millones de dólares, lo que quiere decir el
130% de incremento en sus gastos, desde que la
ley comenzó a aplicarse (3).
Otro de los efectos que ha tenido la SOA ha sido
el de disminuir las nuevas empresas cotizadas
(IPO´s) en los Estados Unidos. En el año 2005, 23 de
las 25 IPO más grandes del mundo no cotizaban en
los Estados Unidos. Junto a este dato es de destacar
que en el año 2005 las empresas americanas repre-
sentaban el 20% de las IPO mundiales, por debajo
del 35% que tenían en 2001, los mercados que se
han visto favorecidos por la introducción de la ley
han sido Londres y Hong Kong, que cuentan en la
actualidad con un claro liderazgo. Durante el año
2005, 29 países eran sede de las IPO de un billón
de dólares o más. Adicionalmente hubo un signifi-
cativo incremento de grandes corporaciones ameri-
canas, entre las que se incluyen a HCA (grandes
operadores hospitalarios de Estados Unidos), Hertz,
Toys “R” Us, Zinder Morgan, Albertson´s y Univision,
que salieron del mercado bursátil americano debido
a su alto coste administrativo, como lo confirma las
palabras de Thomas Frist, el fundador de HCA, el
cual declaró que el coste de cumplir con la ley SOA
fue la razón que les llevó a tener que salirse de la
bolsa de New York (Figura 1).
Otro aspecto bastante significativo ha sido lo
que se ha estudiado en las últimas investigaciones
de este campo de conocimiento, el cual ha suge-
rido que los inversores han reducido la prima de
valor que ellos pagan por las compañías extranje-
ras que trabajaban en EEUU desde el año 2002,
particularmente para aquellas compañías cuyos
países contaban con muy buenos estándares de
gobiernos corporativos. ( Figura nº2).
Los inversores tradicionalmente habían valo-
rado mejor a las compañías que cotizaban en los
Estados Unidos y en su país de origen que a las
compañías que sólo estaban cotizando en su país
de origen, tal como lo analizó el profesor de finan-
zas de la Universidad de Chicago Luigi Zinglaes,
aunque esta ventaja se vio eliminada al comprobar
que la ventaja que obtenían en la valoración de
una compañía extranjera cotizando en un mercado
w
Figura 2. The Cost of SOX?
Figura 1. Se van a otro lugar
Valor en bolsa de las acciones de las nuevas empresas cotizadas (IPO) , en billones
La prima (medido por el valor del mercado en relación al valor contable) que los inversores pagan por las
acciones extranjeras que cotizan en su mercado local y en EEUU vs. aquellas que cotizan solamente en su
mercado local.
Antes Sarbanes Oxey
Después Sarbanes-Oxley
Países con el gobierno
corporativo débil
AIM es el Mercado de Londres que se dedica a compañías pequeñas y en crecimiento.
Nota: Las compañías incluidas en más de un mercado, el valor de la transacción
está contabilizado en cada uno.
Fuente: Dealogic
Fuente: Luige Zingales, University of Chicago
(3) Fuente: “El segundo aniversario: El impacto de la ley Sarbanes-Oxley,”
Services, www.issproxy.com).
75
50
25
0
2000 ‘01 ‘02 ‘03 ‘04 ‘05 ‘06
to date
$100
Nasdaq/WYSE
London/AIM*
Hong Kong
Italia
Austria
Brasil
Turquía
0 20 40 60 80
Puntos porcentuales
Países con el gobierno
corporativo fuerte
Canadá
Hong Kong
Japón
U.K.
0 20 40 60 80
Puntos porcentuales
Después del 2002, los
inversionistas están valorando
peor la colocación en un mercado
EE.UU en comparación con un
mercado extranjero.
4. norteamericano había descendido desde el año
2002. Esta conclusión fue el resultado del trabajo
de investigación del profesor Zinglaes, el profesor
Zinglaes tomó la diferencia entre el valor de mer-
cado y el valor en libros de las compañías y estimó
el Premium de valoración que se obtenía al compa-
rar los dos tipos de empresas. Comparó el fenó-
meno en un ejemplo, así cogió a una compañía que
cotizaba en los dos mercados que se encontraba al
150% de su valor en libros y una compañía similar
que sólo cotizaba en un mercado, la cual lo hacía
sólo al 120% del valor de libros, la prima de valo-
ración por estar en los dos mercados era del 30%.
Lo que descubrió el profesor Zingales que esta
prima de valoración descendió de 51 puntos por-
centuales que tenía en el periodo 1997–2001 a 31
puntos porcentuales en el periodo 2002-2005. El
profesor Zinglaes concluyó que esta caída fue más
fuerte en aquellas empresas que contaban en su
país de origen con excelentes estándares de go-
bierno corporativo. Sin duda confirmando que la
utilización del mercado bursátil americano no era
más que un gasto innecesario, que no generaba
tanto valor como en los años precedentes.
Pero el mercado de valores U.S no se agota, pa-
rece que otros fenómenos interesantes relaciona-
dos con los U.S. IPOs parecen estar empezando. Los
índices del mercado de valores han alcanzado re-
cientemente nuevas máximas de cotización, que
históricamente habrían incitado a las compañías
más jóvenes a salir a la venta pública. Estas IPOs
han estado principalmente aglutinadas en el sector
de alta tecnología, en la que la estrategia inicial era
elevar el valor de la empresa fuera del mercado, so-
bre todo en periodos flojos de cotización, para pos-
teriormente entrar en el mercado bursátil y lograr
precios fabulosos. Esta fue la estrategia seguida
durante el boom de las “dot.com”, en las que du-
rante el periodo 1999-2000 más de 450 compañías
jóvenes salieron a la venta pública; si
lo comparamos con el dato que,
desde el principio hasta el fin de los
años 90, era de un promedio anual de
160 compañías saltaron al mercado
bursátil, sin embargo hasta el ter-
cer cuarto de 2006, solamente
37 compañías han ofrecido
una IPO, un nivel semejante
al de 2001, el año de la
caída de las “dot.com”.
Al mismo tiempo que
los fondos de ca-
pital de riesgo
han invertido
cerca de 20
billones
e n
start-ups en 2006, claramente un periodo muy
bueno de creación de nuevas compañías.
RAZONES DE LA DESCONEXIÓN
Lo que ha cambiado es que ahora las compa-
ñías noveles tratan de ser adquiridas por una com-
pañía establecida más que salir a la venta pública,
esto indudablemente es una consecuencia del
nuevo ambiente regulador, que incluye la SOA y
toda la regulación creada desde el año 2000 por la
SEC. SOA tuvo la resistencia inicial de las grandes
compañías, pero posteriormente fue aceptada y
avalada como el camino más eficaz de mejora de
los controles internos empresariales. El coste me-
dio de implementar SOA se estimó en alrededor de
3.5 millones de dólares; esto es una cantidad casi
insignificante para una empresa grande cotizada,
pero es una cantidad enorme para una nueva em-
presa cotizada que justamente ahora comenzaba
sus operaciones. El precio de adquisición(1.65 billo-
nes de dólares) de YouTube por parte de Google es
muy ilustrativo para explicar este cambio radical.
Como consecuencia de estos efectos, la queja
ha sido generalizada en todas las
empresas, tanto grandes como
pequeñas, nacionales como ex-
tranjeras, lo que revela que el ca-
mino de la sección 404 debe ser
redefinido, así parece que lo
han entendido el Presidente
Bush, el vicepresidente
Cheney, el secretario del
tesoro Henry Paulson,
los cuales han apos-
tado por hacer un
esfuerzo para re-
conducir las
normas. El
comité que
r e g u l a
l o s
mer-
Los efectos de la ley Sarbanes-Oxley.
Del COSO IC al COSO ERM (I)
Riesgos
SOA tuvo la resistencia inicial de las
grandes compañías, pero posteriormente
fue aceptada y avalada como el camino
más eficaz de mejora de los controles
internos empresariales
Nº 245 • Diciembre 2007 Estrategia Financiera 37
w
5. 38 Estrategia Financiera Nº 245 • Diciembre 2007
cados de capitales hizo un informe ejecutivo en
noviembre 2006 y ofreció las siguientes recomen-
daciones:
1. Revisar la sección 404 para subir la barrera de
lo que constituye una debilidad material en los
controles internos. La SEC ha respondido que
llegará hasta donde sea necesario.
2. Dejar exentas a las pequeñas compañías de una
parte de la sección 404, si las acciones de la
SEC no llegan hasta donde es necesario. Chris-
toher Cox , director de la SEC, quiere que la
sección 404 sea escalable para las compañías
pequeñas, pero que no lo consideren como de
exención total.
3. No aplicar la sección 404 a las compañías ex-
tranjeras que cuentan con estándares compa-
rables en sus países.
Por otra parte, los defensores del gobierno cor-
porativo son quienes han argumentado que la ley
SOA ha puesto especial empeño en hacer más efi-
caz los requisitos que debían cumplir las empresas
que cotizan en bolsa, requisitos por otra parte que
estaban incluidos en la Ley de 1977 de prácticas de
corrupción en el extranjero. Ellos consideraban a
SOA como una pieza fundamental del crecimiento
del valor de la empresa, debido a que ayudaba a
desarrollar controles internos sostenibles; en otras
palabras consideraban que SOA ha ido más allá de
su papel legislador, porque no solamente es un
modelo de control, debido a que añade valor a la
empresa porque asegura el cumplimiento de los
objetivos del control interno, protege las posesio-
nes, asegura la integridad de los datos, suministra
información exacta y precisa y promueve la efi-
ciencia y eficacia de las operaciones.
El argumento de que SOA añade valor a la em-
presa es demostrado por el hecho que más del 60%
de 153 directores encuestados dijeron que la apli-
cación de la Sarbanes-Oxley había resultado posi-
tiva para sus compañías. Casi el 70% de los direc-
tores dijeron que las recientes reformas de go-
bierno corporativo habían mejorado el gobierno de
los consejos de administración, más en concreto
“Mucho” (28%) o “Moderadamente” (41%). Además
aproximadamente el 64% de los CFO y directores
gerentes en los EE.UU(4) vieron a la Sarbanes-Oxley
como una pieza clave del gran proyecto de mejora
del gobierno corporativo.
En otra encuesta(5), los CFO dijeron que la pre-
sión más fuerte que habían sentido de la SOA había
sido la de cumplir con sus exigentes plazos de aca-
tamiento, a su vez la encuesta mandaba mensajes
muy positivos, por ejemplo un tercio de los CFO
sentían que hubo más colaboración entre los de-
partamentos de contabilidad e IT, a su vez se había
generado un ambiente más ético, mientras que
aproximadamente una quinta parte sintió avanzar
en mejorar las oportunidades de su negocio. (Fi-
gura 3)
El antiguo Secretario de Comercio de U.S. Donald
Evans, ahora CEO del Forum de Servicios Financieros,
un grupo de los veinte CEOs de las compañías de ser-
vicios financieros más grandes de U.S., dijo en su de-
claración ante el comité de Servicios Financieros del
mercado de valores, el 26 de Abril de 2006, que la
causa de que el promedio del Nasdaq, el índice S&P
500, y el del Dow Jones Industrial fueran las mejores
de los últimos cinco años se debía a la mejora de la
confianza del inversor, que podría ser parcialmente
Los efectos de la ley Sarbanes-Oxley.
Del COSO IC al COSO ERM (I)
Riesgos
El coste de primer año de
implantación de la sección ha
excedido de media los 4.6 millones
de dólares desde que la ley comenzó
a aplicarse
w
Figura 3. El factor SOX
Los CFO dijeron que la presión más fuerte que habían sentido de la SOA había sido
Source: Dealogic
(4) (Fuente: “Second Anniversary: The Impact of Sarbanes-Oxley,”
Institutional Shareholder Services, www.issproxy.com)
(5) (Encuesta de 1400 CFOS, Robert Half International, Menlo Park, Calif.,
www.rhi.com, 2005)
6. Nº 245 • Diciembre 2007 Estrategia Financiera 39
Los efectos de la ley Sarbanes-Oxley.
Del COSO IC al COSO ERM (I)
Riesgos
Figura 4. Evaluación y certificación del proyecto
Fuente: IT Governance Institute (ITGI) “IT Control Objectives for Sarbanes Oxley Discussion Document
resultado de la SOA. El expresidente de la SEC William
H. Donaldson dijo en un discurso al Club de Prensa
Nacional, “que si las empresas vieran en la nueva ley
como una gran oportunidad ( oportunidad de mejorar
los procesos internos, de mejorar el rendimiento del
consejo de administración y de mejorar los reporting
públicos), se podrían constituir como las mejores en la
carrera por la competitividad, las más transparentes y
por lo tanto en su defecto las más atractivas para los
inversores”.
Siguiendo con este argumento, los defensores
de la ley han justificado que el valor de la empresa
aumenta en función de cómo se acaten los com-
promisos que figuran en la sección 404, los efectos
del acatamiento por parte de las empresas de SOA
es ilustrada en la Figura 4, en la que se muestra
cómo es el camino de cumplimiento de la ley y su
relación con el valor del negocio. Como se puede
observar, la idea teórica es que en la medida que
una empresa pase punto por punto, el valor de la
empresa aumentará, aunque deberá ir invirtiendo
en desarrollar herramientas que a su vez el comité
de auditoria pueda utilizar para impulsar la mejora
en la toma de decisión y en el proceso de control.
Figura 5. Algunos procesos de control tienen objetivos
múltiples
COSO incluye el control sobre las operaciones, mientras que la sección 404 SOA sólo
requiere que la dirección evalúe el control interno sobre sobre el reporte financiero.
Sin embargo hay zonas donde se sobreponen como indica la siguiente figura.
Reporting
Financiero
Cumplimiento
Del regulador
Operaciones
1. Plan &
alcance
• Proceso de
informe
financiero
• Sistemas
de soporte
2. Llevar a
cabo la
valoración
de riesgo
• Probabilidad e
impacto para la
empresa
• Tamaño /
complejidad
3. Identifique
controles
importantes
• Controles de apli-
cación iniciar,
grabar, procesar
e informar
• Controles gene-
rales de IT
5. Valorar el
diseño de
control
• Mitigar el riesgo
de control para
un nivel acepta-
ble, comprendido
por los usuarios.
7. Determine las
debilidades
materiales
• La debilidad sigificativa
• La remediación
8. Los resultados
del documento
• La coordinación con
los auditores
• El signo interno (302,404)
• El signo independiente
404).
9. Desarrolle la
sostenibilidad
• La evaluación interna
• La evaluación externa
6. Valore la
eficacia operacional
• La auditoría interna
• La prueba técnica
• La valoración de la
identidad
• La pregunta a todas las ubi-
caciones y controles (anual).
4. Controles de documentos
• Manuales de política
• Procedimientos
• Relatos
• Los diagramas de flujo
• Las configuraciones
• Los cuestionarios de valoración
BusinessValue
7. 40 Estrategia Financiera Nº 245 • Diciembre 2007
DEL COSO IC AL COSO ERM
En los años que han pasado desde la aprobación
de SOX ha crecido el interés de incluir el riesgo em-
presarial como otra variable fundamental del modelo,
visto el camino que han debido pasar las organiza-
ciones desde una perspectiva histórica, en la pri-
mera fase se centraron en el cumpli-
miento de la sección 404, que se
focalizaba en los reporting fi-
nancieros y en los programas
antifraudes, la siguiente
fase se centró en asegurar
la sostenibilidad de los
controles internos, lo
que implicaba ir más
allá del acatamiento de
la sección 404 y diri-
girse a abordar la efi-
ciencia y eficacia de las
operaciones, esta fase no
ha resultado complicada
debido a que como se
puede observar en la Figura 5
algunos procesos de control in-
terno abordaban objetivos múlti-
ples, que favorecían la extensión de la
base de la sección 404.
La base del modelo COSO IC, que superaba por
definición las exigencias de la sección 404, fue ini-
cialmente introducida en 1992; como se puede ob-
servar en la Figura 6, se puede ilustrar como un
cubo tridimensional (Figura 6) , en el que una de
las dimensiones representa los objetivos a alcan-
zar, otra dimensión representa el área de atención
y la última se refiere a los componentes del control
interno. La primera dimensión que representa a los
objetivos se divide a su vez en: la confianza de los
estados financieros, la eficiencia y eficacia en las
operaciones y la conformidad con las leyes y sus
regulaciones. La segunda dimensión del cubo
hace referencia a lo que se debe eva-
luar, específicamente una evalua-
ción de los controles internos
debe referirse al nivel de la
entidad y al nivel de la ac-
tividad. La tercera dimen-
sión identifica cinco
componentes del con-
trol interno que deben
de ser evaluadas: con-
trol del entorno, aseso-
ramiento de riesgo,
control de las activida-
des, la información y la
comunicación y la moni-
torización.
Superadas las tres fases
que tenían que ver con la sec-
ción 404, la siguiente fase inclui-
ría la incorporación tanto de los objeti-
vos estratégicos como la dirección eficaz del
riesgo de la organización. La filosofía que hay de-
trás de ella es que una empresa debe perseguir
crear valor a través de la identificación y ejecución
de la estrategia apropiada para el entorno en el
que opera. Parte de la consecución de la estrategia
es monitorizar y diagnosticar el riesgo de la orga-
nización, que faciliten el diseño y desarrollo de un
programa eficaz que pueda dar respuesta al riesgo
identificado.
Por tanto, aunque los comienzos del modelo
COSO IC están esencialmente relacionados con la
auditoria, la necesidad de desarrollar una herra-
mienta de dirección que permita gestionar y redu-
cir el riesgo empresarial, deja de ser una herra-
mienta de auditoría para convertirse en una herra-
mienta de control estratégico, este desarrollo del
modelo COSO IC es el denominado como COSO En-
terprise Risk Management (ERM).
El modelo COSO ERM ha sido diseñado mante-
niendo las mismas dimensiones que el modelo
COSO IC – (los objetivos, los niveles del enfoque y
los componentes de control internos). La primera
mejora del modelo fue expandir los objetivos al in-
corporar la estrategia, junto con los objetivos pre-
vios de las operaciones, el reporting y el acata-
miento. La siguiente mejora fue ampliar los niveles
del enfoque sobre las actividades de la empresa
para incluir las divisiones o hasta el nivel de filiales.
La mejora final fue ampliar la última dimensión
con la idea de la “La valoración de riesgo” en los
siguientes cuatro componentes: el marco de obje-
tivos, la identificación del evento, la valoración del
riesgo y la reacción ante el riesgo.
w
Los efectos de la ley Sarbanes-Oxley.
Del COSO IC al COSO ERM (I)
Riesgos
Figura 6. Las tres dimensiones del modelo COSO integrado
Source: COSO internal Controls – Integrated Framework
CONTROL
INFORMACIÓN Y
COMUNICACIÓN
CONTROL DE AC TIVIDADES
CONTROL AMBIENTAL
UNIDADA
UNIDADB
ACTIVIDAD1
ACTIVIDAD2
ACTIVIDAD3
EVALUACIÓN DE RIESGOS
OPERACIONES
CONFORM
IDAD
INFORM
E
FINANCIERO
8. Nº 245 • Diciembre 2007 Estrategia Financiera 41
Por este motivo y como conclusión a lo seña-
lado hasta ahora, el objetivo principal del modelo
COSO ERM es gestionar el riesgo empresarial. La fi-
losofía que soporta la utilidad del modelo para una
organización se basa en la idea de que una organi-
zación tiene un “ riesgo implícito” al estar alineado
o no con su estrategia. Las sorpresas en las opera-
ciones se pueden reducir al identificar a priori
aquellos eventos potenciales que pueden plantear
una amenaza a la organización y establecer a
tiempo las respuestas más convenientes. Estas res-
puestas incluyen todas las fases de la toma de de-
cisión racional. Finalmente el modelo COSO ERM
incorpora una visión del portfolio de riesgos, en los
que los riesgos no son vistos aisladamente sino que
son identificados y llevados a la estructura organi-
zativa(5).
CONCLUSIÓN
El modelo COSO IC es esencialmente una he-
rramienta de auditoría utilizada para evaluar los
controles internos de las organizaciones. Se ha po-
dido comprobar que los recursos invertidos en dar
fiabilidad al sistema han sido muy elevados, lo que
ha llevado a la Administración a replantearse la
sección 404, aún así la conclusión generalizada es
que está ayudando a dar credibilidad, el desarrollo
más reciente de COSO ha sido el abordaje de COSO
ERM, el cual persigue considerar estratégicamente
los efectos interactivos de los diferentes aconteci-
mientos arriesgados de la empresa, con el objetivo
de equilibrar el portafolio de riesgos de la entidad y
su nivel de tolerancia , aunque comenzó a desarro-
llarse a finales de los años 90. COSO ERM ha sur-
gido como el modelo mínimo estándar de control
de gestión, el cual puede ser considerado como la
clave para la supervivencia de muchas compañías.
La primera noticia de este modelo se produjo
cuando fue introducido como una propuesta de
borrador en 2002 y como parte del documento fi-
nal en 2004. La fecha puede haber sido desafortu-
nada para numerosas compañías debido a que mu-
chas estaban terminando todavía de cumplir sus
obligaciones con la sección 404 de SOA y se co-
menzaban a familiarizar con el modelo COSO IC.
En conclusión, la cuestión que se avecina es
qué amplitud tendrá el modelo COSO ERM, en
tanto que el modelo COSO IC es el modelo de con-
trol interno elegido por la SEC como modelo a se-
guir para cumplir con la sección 404 de SOA, este
rol no está tan claro para el COSO ERM. La duda se
debe a que el hecho que COSO ERM esté basado
en el modelo COSO IC, se entiende como algo po-
sitivo porque se construye bajo la base de un mo-
delo conocido, como así lo ha argumentado Mari-
lee Byers, la directora del grupo de Microsoft, que
utiliza el Modelo COSO ERM, en su opinión: “es un
tipo de ampliación natural a lo que estamos ahora
haciendo”. Por otra parte algunas críticas argu-
mentan que mientras el modelo COSO IC fue
desarrollado desde 1992, y se ha ido evolucio-
nando desde entonces, sería mejor desarrollar un
modelo desde cero. El modelo COSO ERM tiene que
competir contra otros modelos, como por ejemplo
El Australia/New Zealand Risk Management Stan-
dard 4360:2004, o el Risk Management Standard
Británico, o la iniciativa del estado de Carolina del
Norte denominada Enterprise Risk Management
Initiative, y de otros modelos que están siendo
desarrollados. 9
Los efectos de la ley Sarbanes-Oxley.
Del COSO IC al COSO ERM (I)
Riesgos
Cuadro 7. Tres dimensiones de estructura integrada
del COSO
Fuente: COSO ERM Integrated Framework
Aunque los inicios del modelo
COSO IC están esencialmente
relacionados con la auditoría, la
necesidad de una herramienta que
reduzca el riesgo empresarial la
convierte en instrumento de control
estratégico denominado COSO ERM
(5) This paragraph was taken from COSO’s “Executive Summary of ERM”,
www.coso.org/Publications/ERM/COSO_ERM_ExecutiveSummary.pdf
AMBIENTE INTERNO
AJUSTE OBJETIVO
IDENTIFICACIÓN DEL ACONTECIMIENTO
EVALUACIÓN DE RIESGO
RESPUESTA DE RIESGO
ACTIVIDADES DE CONTROL
INFORMACIÓN Y COMUNICACIÓN
SUPERVISIÓN
NIVELDEENTIDAD
DIVISIÓN
UNIDADDENEGOCIO
FILIAL
ESTRATÉGICO
OPERACIONES
REPORTAJE
CUMPLIMIENTO