Descripción COSO III.
COSO (Committee of Sponsoring Organizations of the Treadway Commission) se define como un proceso efectuado por la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos dentro de las siguientes categorías:
- Eficacia y eficiencia de las operaciones.
- Confiabilidad de la información financiera.
- Cumplimiento de las leyes, reglamentos y normas (que sean aplicables).
A continuación se presentan los 5 componentes del informe COSO III (actualizado en 2013) que servirán de base para el desarrollo de la implementación de la gestión eficiente de los riesgos a través de la norma ISO 31000:2009.
I) Entorno de control.
- Debe demostrar su compromiso con la integridad y los valores éticos.
- El consejo de administración debe demostrar independencia en la gestión y ejercer la supervisión del desarrollo y ejecución del control interno.
- La alta dirección debe establecer, con la supervisión del consejo de administración, la estructura, líneas de reporte, autoridad y responsabilidad en la consecución de objetivos.
- Debe demostrar su compromiso para atraer, desarrollar y retener personas competentes.
- En la consecución de los objetivos, debe disponer de personas responsables para atender sus responsabilidades de control interno.
II) Evaluación de riesgos.
- Debe especificar los objetivos para permitir la identificación y evaluación de los riesgos relacionados.
- Debe identificar y evaluar sus riesgos.
- Debe gestionar el riesgo de fraude.
- Debe identificar y evaluar los cambios que podrían impactar en el sistema de control interno.
III) Actividades de control.
- Debe seleccionar y desarrollar actividades de control que contribuyan a la mitigación de los riesgos para el logro de sus objetivos.
- Debe seleccionar y desarrollar controles generales sobre tecnología de la información.
- Debe implementar sus actividades de control a través de políticas y procedimientos adecuados.
IV) Información y comunicación.
- Debe generar la información relevante para respaldar el funcionamiento de los otros componentes de control interno.
- Debe compartir internamente la información, incluyendo los objetivos y responsabilidades para el control interno, necesarios para respaldar el funcionamiento de los otros componentes de control interno.
- Debe comunicar externamente las materias que afecten al funcionamiento de los otros componentes de control interno.
V) Actividades de monitorización.
- Debe comunicar externamente las materias que afecten al funcionamiento de los otros componentes de Control Interno.
- Debe evaluar y comunicar las deficiencias de control interno.
Los principios introducen ciertos cambios en los componentes del control interno, destacando la evaluación de los riesgos que, a partir que ahora, ha de incluir los conceptos de velocidad y persistencia de los riesgos como criterios para evaluar la criticidad de los mismos.
- Velocidad de riesgo se refiere a la rapidez con la que impacta un riesgo en la organización una vez este se ha materializado.
- Persistencia de un riesgo se refiere a la duración del impacto después de que le riesgo se haya materializado.
Adicionalmente, el marco de COSO 2013, ha modificado la información acerca de las tareas y responsabilidades de los distintos participantes en el proceso, tales como:
- Responsabilidades del CEO (gerente general) y CFO (gerente de finanzas) para que formalmente asuman la efectividad del control interno en ciertas jurisdicciones.
- Actividad a desarrollar por los distintos tipos de comités y su campo de actuación.
- Necesidad de incorporar, además de los auditores externos, a otros proveedores de servicios externalizados (evaluadores) para completar los diferentes tipos de revisión que puede realizar una entidad sobre su control interno (riesgos medioambientales, prácticas de comercio justo o seguridad laboral, etcétera).
- Exigencias reguladoras y legislativas para certificar la eficacia del control interno de la compañía sobre el reporte financiero.
- Responsabilidad en la gestión de los riesgos de los procesos externalizados, debiendo implementar un programa para evaluar dichas actividades realizadas por terceros en su nombre, y evaluar la eficacia del sistema de control interno sobre las actividades realizadas por dichos proveedores externos de servicios.
Una vez identificados los acontecimientos importantes dentro de una organización, hay que tener en cuenta la evaluación de riesgos. En este paso tenemos cuatro puntos a tomar en cuenta:
- Riesgo inherente y residual
- Probabilidad e impacto
- Fuente de datos y técnicas de evaluación
- Correlación entre acontecimientos
Actualización del marco ERM 2017.
Enterprise Risk Management-Integración con estrategia y rendimiento (2017)La actualización de 2017 de Enter risk Risk Management - Integrated Framework aborda la evolución de la gestión del riesgo empresarial y la necesidad de que las organizaciones mejoren su enfoque de gestión del riesgo para satisfacer las demandas de un entorno empresarial en evolución. El documento actualizado, Enterprise Risk Management - Integración con Estrategia y Desempeño , destaca la importancia de considerar el riesgo tanto en el proceso de establecimiento de la estrategia como en el desempeño de la conducción.
Para acabar, dejo como es costumbre, un interesantísimo vídeo "Modelo COSO 2013" donde nos hace un muy buen resúmen de lo aquí explicado.
Para finalizar dejo el link del blog de Nahun Frett "Excelencia en Auditoría Interna" donde encontramos una comparativa muy interesante: "ISO vs. COSO ERM vs. Enfoque Híbrido".
Espero que este post haya sido de vuestro interés. Me encantaría, más que nunca, ver vuestras valoraciones y leer vuestros comentarios a través de las herramientas que este blog pone a vuestra disposición.
#rincondelsueko en Twitter, Facebook, Flipboard y Google+
Muy interesante Francesc,
ResponderEliminarBajo mi experiencia, las herramientas tanto de ISO como COSO, incluso la fusión de ambas, nunca pueden tener éxito si la propiedad de las empresas no tiene clara la utilidad y el beneficio que estas herramientas pueden llegar a proporcionar a la sociedad.
Como bien dices en tu explicación, los que tienen realmente que implementar estas herramientas son el CEO y el CFO, para que la propiedad analice y pueda revertir los resultados en todo el capital humano de la sociedad, para que estos sean los que generen los beneficios dinerarios, humanos y empresariales.
Date por seguro que si la mentalidad de todos los empresarios fuera ésta, en este planeta respiraríamos un poco mejor, tanto en el sentido literal como filosóficamente.
Saludos y continúa ilustrándonos con estos Post.
Agradezco tus comentarios!!!
Eliminar