Al aumentar nuestra ambición en la protección de riesgos empresariales, especialmente como reacción a la crisis financiera del 2008, estamos realizando profundos cambios conceptuales en la manera de entender el gobierno corporativo. Los estudios sobre gestión de riesgos han ensayado varios marcos de análisis en los últimos años que resultaron en la multiplicación de modelos atendiendo a diferentes definiciones y naturalezas de riesgos. Esta evolución tiene el objetivo de encontrar mejores marcos de análisis que permitan tomar decisiones sobre ecuaciones de riesgos y beneficios en la mayor cantidad y diversidad de procesos de negocios.
En los procesos empresariales, los marcos actuales con mayor difusión son COSO ERM e ISO 31.000, que requieren nuestro conocimiento desde los controles internos para elegir el modelo adecuado para atender a una cierta problemática específica. Cada elemento del cubo de COSO ERM puede ser ligado a cada componente de ISO 31.000, y esto permite complementar ambos modelos. Esta vinculación es posible aún entre la determinación del apetito de riesgo de COSO con la etapa de entender el contexto organizacional de ISO. Plantear dicotomías entre defensores y detractores de ambos marcos, solamente limitará nuestras herramientas para entender y tratar los riesgos empresariales, así como para nuestra capacidad para integrarles.
ISO 31.000 brinda su mayor utilidad antes de implementar controles, y COSO ERM para evaluarles luego de implementados. ISO 31.000 contiene unas abreviadas 24 páginas con principios de la gestión de riesgos tan poderosos que se requieren muchos años de experiencia para entender como adoptar su filosofía. Este resumen de simples principios permite implementar controles más efectivos, y compartirse por todos los departamentos de una organización. COSO ERM contiene, en numerosas páginas, guias detalladas orientadas a la evaluación interna y con el objetivo de expandir el alcance del control interno. Este marco toma a los objetivos como un requisito previo y como un componente separado.
ISO 31.000 nos ayuda a maximizar las posibilidades de cumplir con la estrategia y objetivos empresariales debido a su definición de riesgos incluyendo el componente de desvío negativo (riesgo estricto) como positivo (oportunidad). Esto soporta el concepto de la asunción de riesgos en función del retorno dentro de los objetivos de un plan de negocios dado. Tradicionalmente desde controles, aún no hemos dado un debido marco al riesgo como oportunidad, concepto que estoy proponiendo ampliar hace un par de años a partir del enfoque del risk-based auditing.
Marcos ISO 31.000 y COSO ERM para Controles Internos - De la competencia a la convergencia
1. auditoríainterna
Revista editada por el Instituto
de Auditores Internos de España
ai
noviembre 2016 / Año XXXII
entrevista
xxxi foro
de expertos
¿Es posible la innovación
en Auditoría Interna?
Otra mirada
El contador Cervantes.
Dedicado al autor en
su IV Centenario
sugerencias...
...para leer, para degustar
Fe Fernández
Directora de
auditoría interna
de grupo pelayo
N113
Innovación
en Auditoría
Interna:
la evolución
necesaria
transformación
digital
en primera persona
Mónica Díez Álvaro, directora de
Auditoría Interna de Sanitas
Grupo Bupa Europa y Latam
Presentación de las
últimas herramientas y
soluciones TI
“CIA, un valor añadido seguro”
2. ai 25
Hernan Huwyler, CP MBA
Director de Control Interno y Gestión de Riesgos de Veolia
Tanto ISO 31.000 como COSO ERM
son marcos de gestión de riesgos
imprescindibles, pero necesitamos
esforzarnos en integrarlos para
generar una política corporativa
que simplifique y unifique las
prácticas y los principios comunes
de diferentes departamentos y sus
procesos.
D
esde hace unos
meses se ha abier-
to un debate en el
sector asegurador
español provocado
por las recientes
aprobaciones y modificaciones
de varios conjuntos normativos
que afectan a las obligaciones del
máximo órgano de gobierno de
las entidades de este sector.
La historia de la ciencia nos
demuestra que es más probable
que erremos el marco de análisis
cuanto más importante y nece-
sario sea el objeto de estudio. Al
aumentar nuestra ambición en
la protección de riesgos empre-
sariales, especialmente como
reacción a la crisis financiera de
2008, estamos realizando profun-
dos cambios conceptuales en la
manera de entender el gobierno
corporativo.
Los estudios sobre gestión de
riesgos han ensayado varios
marcos de análisis en los últimos
años que dieron como resul-
DE LA COMPETENCIA
A LA CONVERGENCIA
MARCOSISO31.000yCOSOERMPARACONTROLESINTERNOS
3. MARCOS ISO 31.000 y COSO ERM PARA CONTROLES INTERNOS
ai26
El pasado 19 de
octubre se publicó la
última versión de los
estándares de reporte
de sostenibilidad del
Global Reporting Initiative
(GRI). Esta versión ha
sido bautizada como GRI
Standards. Las nuevas
normas son dictadas por
el Global Sustainability
Standards Board (GSSB) e
incorporan los conceptos
clave y las revelaciones
contempladas en las
Directrices y el Manual
de Aplicación G4, pero
con una nueva y mejorada
estructura y formato.
Entre las novedades,
destacan la claridad en
los conceptos así como
una mayor flexibilidad y
transparencia en el uso
de las normas: tanto
para organizaciones que
preparan un informe
de conformidad con
las normas, como para
las que utilizan guías
concretas para reportar
información específica.
Nueva versión de las normas GRI
Deinterés...
tado la multiplicación de modelos
atendiendo a diferentes definiciones y
naturalezas de riesgos. Esta evolu-
ción tiene el objetivo de encontrar
mejores marcos de análisis que
permitan tomar decisiones sobre
ecuaciones de riesgos y beneficios
en la mayor cantidad y diversidad de
procesos de negocios.
En los procesos empresariales, los
marcos actuales con mayor difusión
son COSO ERM e ISO 31.000, que re-
quieren nuestro conocimiento desde
los controles internos para elegir el
modelo adecuado para atender a una
cierta problemática específica. Cada
elemento del cubo de COSO ERM
puede ser ligado a cada compo-
nente de ISO 31.000, y esto permite
complementar ambos modelos. Esta
vinculación es posible aún entre la
determinación del apetito de riesgo
de COSO con la etapa de entender
el contexto organizacional de ISO.
Plantear dicotomías entre defenso-
res y detractores de ambos marcos
solamente limitará nuestras herra-
mientas para entender y tratar los
riesgos empresariales, así como para
nuestra capacidad para integrarlos.
CONTROLES EFECTIVOS
ISO 31.000 brinda su mayor utilidad
antes de implementar controles, y
COSO ERM sirve para evaluarlos des-
pués de implementados. ISO 31.000
contiene unas abreviadas 24 páginas
con principios de la gestión de ries-
gos tan poderosos que se requieren
muchos años de experiencia para
entender cómo adoptar su filosofía.
Este resumen de simples principios
permite implementar controles más
efectivos, y compartirse con todos los
departamentos de una organización.
COSO ERM contiene, en numerosas
páginas, guías detalladas orienta-
das a la evaluación interna y con el
objetivo de expandir el alcance del
control interno. Este marco toma a
los objetivos como un requisito previo
y como un componente separado.
ISO 31.000 nos ayuda a maximizar
las posibilidades de cumplir con la
estrategia y objetivos empresariales
debido a su definición de riesgos,
incluyendo el componente de desvío
negativo (riesgo estricto) como
positivo (oportunidad). Esto soporta
el concepto de la asunción de riesgos
en función del retorno dentro de los
objetivos de un plan de negocios
dado. Tradicionalmente, desde con-
troles aún no hemos dado un debido
marco al riesgo como oportunidad,
concepto que estoy proponiendo
ampliar hace un par de años a partir
del enfoque del risk-based audi-
ting. Las oportunidades para COSO
ERM retroalimentan el proceso para
establecer estrategias. De esta for-
ma, se enfoca principalmente en la
mitigación del impacto negativo del
riesgo en un ambiente interno y en
el valor del control para la preven-
ción del fraude contable más que
como herramienta de tratamiento
de riesgo, siendo por esto adecuado
para atender a la raison d’être de la
contabilidad pública.
ISO 31.000 nos orienta a evaluar los
eventos ligados a incumplir o exceder
los objetivos empresariales con un
amplio alcance de aplicación. Este
alcance no solamente se limita a
riesgos de empresa, sino a varios
niveles como proyectos, productos
o estructuras. En la evaluación del
riesgo, el marco soporta nuestro
sistema de toma de decisiones y la
dinámica necesaria en la articulación
de estrategias. COSO ERM nos orien-
ta a los riesgos en procedimientos
de empresas, y nos brinda para una
primera aproximación a la gestión
de riesgos útil como referencia de
estudio, especialmente en la evalua-
ción cuantitativa de riesgos y para
aquellos sin exposición directa a la
gestión de riesgos.
EVALUACIÓN DE RIESGOS
La ISO 31.000 excluye el concepto de
riesgo inherente en la evaluación de
riesgos. El ejercicio de analizar un
proceso en la ausencia de todo con-
trol tiene un valor que ha sido muy
discutido dentro de la comunidad de
4. ai 27
Morningstar acaba de
publicar su Mapa de Soste-
nibilidad, en el que muestra
una visión geográfica de
cómo las compañías a nivel
mundial cumplen con los
criterios medioambientales,
de responsabilidad civil y
gobierno corporativo. La
puntuación de Portugal con
67,4 es la más alta a nivel
mundial, seguido de Dina-
marca (65,8) y Holanda (60,9)
de cerca. España consigue
un 57,8 y se sitúa en la parte
medio alta de la tabla.
españa, aprobado alto en
sostenibilidad
Con motivo del Día de
la Educación Financiera,
celebrado el 3 de octubre, se
multiplicaron las iniciativas
de divulgación. Desde 2008
la CNMV y el Banco de
España, con decenas de en-
tidades públicas y privadas,
impulsan el Plan de Educa-
ción Financiera. Una de las
novedades de este año ha
sido la entrega del «I Premio
Finanzas para Todos», que
ha recaído en la herramienta
«Finanzas Inclusivas» de la
Fundación Once.
más acciones para mejorar
la cultura financiera
especialistas de riesgos. Asimismo,
en la práctica, su evaluación requie-
re generar un escenario teórico sin
controles base, tanto imposible de
darse o inaplicable como el caso del
riesgo operacional por fraude. COSO
ERM establece que los riesgos deben
ser medidos con base inherente y
residual. En el contexto de auditoría,
al concepto de riesgo inherente se
le ha vinculado al riesgo de control y
detección de una transacción o pro-
ceso de negocio, especialmente útil
para determinar qué controles son
claves pero no prácticos en la gestión
de riesgos.
El valor de ISO 31.000 aumentará con
la integración de sistemas de ges-
tión, y eventualmente llegará a ser
certificable de seguir aumentando los
estándares relacionados como en la
reciente ISO 31.004, que nos brinda
una valiosa ayuda en la implementa-
ción de principios y conceptos gene-
rales. ISO 31.000 funciona como “un
paraguas” para poder integrar otras
guías y estándares, tanto en sectores
financieros como no financieros. En
el cumplimiento de requerimientos
regulatorios principalmente por SOX
y la SEC, así como en la determina-
ción de un apetito de riesgo, COSO
ERM nos da un marco aceptado
cuando realmente tenemos pocas
alternativas de usar otro enfoque.
En resumen, de las anteriores
comparaciones sobre los posibles
usos, la ISO 31.000 nos proporciona
una guía sobre los objetivos y los
principios de la gestión de riesgos
para poder implementarla, mientras
COSO ERM nos aporta un estándar
para evaluar un proceso de ges-
tión de riesgos dado y en todas sus
actividades. Esta distinción es crucial
para poder integrar ambos enfoques
y poder entender cómo pueden ser
utilizados en base a las necesidades
corporativas de articular estrategias,
y no en base a preferencias perso-
nales o simplemente por desconoci-
miento de marcos alternativos.
Si bien todas las empresas líde-
res en España ya han dado sólidos
pasos para implementar un marco
de gestión de riesgos corporativos,
estos esfuerzos tendrán un destino
de cambios conceptuales y de expan-
sión en busca de la mejora continua.
Nuestro marco de gestión de riesgos
no es estático, sino que se ajusta
a los desafíos internos y externos
que toman nuestras organizacio-
nes. El entendimiento de diferentes
marcos de análisis, especialmente
por Auditoría Interna, podrá apoyar
esta evolución en la capacidad de
las organizaciones de gestionar sus
controles para atender riesgos y en
la construcción de una cultura de
control. Tanto ISO 31.000 como COSO
ERM nos ofrecen una consistencia
metodológica y un enfoque de 360
grados para maximizar estos bene-
ficios.
Desde que establecemos objetivos
estratégicos, todos nuestros departa-
mentos deben estar abocados para la
misma gestión de riesgos, y nuestro
marco debe permitir entenderlos
como un conjunto. La competencia
entre los impulsores de diferen-
tes marcos de gestión de riesgos
generará conceptos consensuados
que nos lleven a una mejor práctica.
Esta competencia se transformará en
convergencia hacia un nuevo marco
robusto e integral en el futuro, con
un vocabulario y conceptos definidos,
que nos lleve a simplificar y hacer
efectivos nuestros controles internos
ante diferentes objetivos, estructu-
ras, procesos y operaciones.
Cadaelementodelcubo
deCOSOERMpuedeser
ligadoacadacomponente
deISO31.000,yesto
permitecomplementar
ambosmodelos