NUEVOS CONCEPTOS DE CONTROL INTERNO Y GESTIÓN DE RIESGOS (INFORMES COSO I y COSO II)

En el último tiempo la administración ha evolucionado en forma extraordinaria; los directores de empresas se han visto en la obligación de buscar nuevos mecanismos para enfrentar las nuevas exigencias. Es así como en el año en el año 1985, en Estados Unidos, es creada por agrupaciones relacionadas con la auditoría, la Comisión Nacional sobre información financiera fraudulenta, conocida como la “Treadway Commission”, la cual durante cinco años se centró en la tarea de definir bajo un nuevo marco conceptual, relacionado con el control interno, su doctrina, objetivos y componentes, de tal manera de poder estandarizar muchos aspectos.

En el año 1992 la citada comisión emite un documento denominado “Informe C.O.S.O.”

(Committee of Sponsoring Organizations of the Treadway Commission), el cual entregó una doctrina, enfoques y metodologías modernas dirigidas especialmente a los niveles estratégicos, logísticos y tácticos dentro de la organización.

El informe C.O.S.O. de 1992, definió cinco componentes interrelacionados entre sí, los cuales eran el Ambiente de Control, Evaluación de Riesgos, Actividades de Control, Información y Comunicación y Supervisión.

En esa misma época, en diversos lugares del mundo se emitieron con diferencias de meses informes que hablaban de Control Interno. Se puede citar el Informe Caldbury y Turnbull en Inglaterra, King en Sudáfrica, COCO en Canadá, Peters en Holanda, Olivencia en España, Veniot en Francia, y otros.

33 2.7.1 El Nuevo COSO (ERM).

Finalizando el siglo pasado, se sucedieron acontecimientos tan importantes como la caída de grandes empresas americanas en insolvencias, no obstante que contaban con auditorías y sistemas de control interno; esto llevó nuevamente a reunir la comisión COSO para reestudiar el documento anterior a la luz de los acontecimientos de estos años en el mundo empresarial y de la auditoría.

Es así como en julio de 2003 se le solicitó a la empresa Pricewaterhouse Coopers emitiera un nuevo documento denominado COSO ERM (Enterprise Risk Management) o COSO II.

El señalado documento proporcionó herramientas de ayuda a las empresas en cuanto a la administración de sus riesgos, ampliando de cinco a ocho los componentes de la administración de riesgos empresariales. Con ello, se entregó una respuesta a las necesidades que vivían las empresas, las cuales operaban en ambientes donde factores como la globalización, la tecnología, reestructuraciones, regulaciones, mercados cambiantes y competencias, entre otros, creaban incertidumbre.

El proyecto encargado se fundamentó en el primer informe (COSO I), unificando criterios y construyendo una estructura que proporcionó las definiciones fundamentales, conceptualizaciones, categorías de objetivos, componentes, principios y otros elementos, que permite hoy en día contar con una estructura de riesgos sólida.

A diferencia del primer informe, la Treadway Commission planteó en la temática fundamental de su segundo informe, que la administración de riesgos se aplica desde la puesta en marcha de las estrategias y objetivos operacionales de la organización, debiendo integrarse a todos los controles internos, hasta el resultado final y en la retroalimentación pertinente de todos los procesos. Así mismo plantea que la administración de riesgos existe para mantener y mejorar el valor de las inversiones de sus dueños, accionistas e interesados en la organización, por lo cual debe enfrentarse a la incertidumbre, en el menor de los casos evitarla, teniendo presente que en ésta se encuentran los riesgos y las oportunidades asociadas, donde la posibilidad cierta

34 de mantener, reforzar o perder el capital emerge de las decisiones estratégicas de la dirección, de las decisiones operativas de personal no directivo, de la marcha de las operaciones diarias, como también de la información interna o externa disponible.

De igual manera, la Treadway Commission, plantea que la administración de riesgos no debe ser un fin en sí mismo, más bien debe ser un importante medio para alcanzar los objetivos empresariales (Estratégicos, Operacionales, de Información y de Cumplimiento de Regulaciones) y no operar en forma aislada en una entidad, sino transformarse en un colaborador de los procesos de administración. De igual modo plantea que la administración de riesgos debe interrelacionarse con el gobierno corporativo, entregando información a la mesa directiva sobre los riesgos más significativos y como ellos están siendo administrados, como también debe hacerlo en el desarrollo de la gestión, proporcionando las medidas más precisas de control interno para minimizar los citados riesgos.

2.7.2 Administración de Riesgos bajo el Marco COSO II.

La premisa subyacente en la administración de riesgos corporativos es que las entidades existen con el fin último de generar valor para sus grupos de interés. Todas se enfrentan a la ausencia de certeza y el reto para su dirección es determinar cuánta incertidumbre se puede aceptar mientras se esfuerzan en incrementar el valor para sus grupos de interés (Treadway Commission, 2005).

La incertidumbre implica riesgos y oportunidades y posee el potencial de erosionar o aumentar el valor. La Gestión de Riesgos Corporativos permite a la dirección tratar eficazmente la incertidumbre y sus riesgos y oportunidades asociadas, mejorando así la capacidad de generar valor.

Se maximiza el valor cuando la dirección establece una estrategia y objetivos para encontrar un equilibrio óptimo entre los objetivos de crecimiento y rentabilidad y los riesgos asociados, además de desplegar recursos en forma eficaz y eficiente a fin de lograr los objetivos de la entidad (Treadway Commission, 2005).

35 La administración de riesgos, es definida por Treadway Commission 2005, como un proceso, efectuado por el directorio, administradores y otras personas de la entidad, aplicados a la estrategia establecida en la empresa, diseñado para identificar potenciales eventos que puedan afectarla, y administrar los riesgos que están dentro de su cantidad y capacidades, para proveer una seguridad razonable con respecto al logro de los objetivos.

La definición citada, entrega cierta terminología fundamental para la administración de riesgos, la cual establece una estructura básica e integrada de conceptos entre el control interno y la administración de riesgos, los cuales son:

• Un Proceso: esto se refiere a que la administración de riesgos no es un suceso aislado, sino que representa una serie de acciones que se extienden por toda la empresa a través de sus actividades propias, siendo estas últimas inherentes a la gestión de la dirección.

• Las Personas: La administración de riesgos es efectuada por personas que se desempeñan en el consejo de administración, la dirección y los demás miembros de la organización, a través de acciones y palabras. Estas personas son las que establecen la Visión, Misión, Estrategia y Objetivos de la entidad, e implantan los mecanismos de administración de riesgos.

• Aplicada en la Estrategia: Una entidad define su Visión y Misión y luego sustentado en éstas, establece sus Objetivos Estratégicos, los cuales son las metas de más alto nivel de la organización. También fija objetivos operacionales para la organización en forma integral y para unidades específicas, como divisiones y procesos, las cuales se derivan de la estrategia.

• Aplicada a través de la Empresa: Para tener éxito en la aplicación de la administración de riesgos, una entidad debe considerar el alcance total de sus actividades, el cual debe ser transversal a todos los niveles de la organización sin excepción.

• Cantidad de Riesgo: Esto es la cantidad de riesgo que una organización está dispuesta de aceptar en pos del logro de sus objetivos.

• Proporcionar una Seguridad Razonable: La administración de riesgos, por muy bien diseñada que se encuentre, sólo puede aportar un grado de seguridad razonable con

36 respecto al logro de los objetivos organizacionales. Es casi imposible evitar la elusión y colusión, que sin lugar a dudas afecta la administración de los riesgos empresariales.

• Logro de los Objetivos: Dentro del contexto establecido en la Misión o Visión, está la definición de los objetivos y la selección de estrategias para alcanzarlos.

2.7.3 Objetivos del Marco COSO II

El Marco COSO II (2005), define cuatro categorías de objetivos bien detallados, (Estratégicos, Operativos, de Información y Cumplimiento de Normas), que luego la administración de Riesgos relaciona con sus ocho componentes, que vinculados entre sí, le dan una estructura sólida y vital a la entidad para conseguir los objetivos organizacionales y un valor agregado a la función de auditoría interna.

• Objetivos Estratégicos: Relacionados con las metas de alto nivel; asimismo, están alineados y dan apoyo a la Misión de la organización.

• Objetivos Operativos: Objetivos vinculados al uso efectivo y eficiente de las operaciones de la organización.

• Objetivos de Información: Relacionado a la confiabilidad y efectividad de la estructura de líneas de información.

• Objetivos de Cumplimiento de Normas: Objetivos relativos al cumplimiento de leyes y regulaciones aplicables.

Esta clasificación de los objetivos de una entidad permite centrarse en aspectos diferenciados de la Gestión de Riesgos Corporativos. Estas categorías distintas, aunque solapables – un objetivo individual puede incidir en más de una categoría – se dirigen a necesidades diferentes de la entidad y pueden ser de responsabilidad directa de diferentes ejecutivos. También permiten establecer diferencias entre lo que cabe esperar de cada una de ellas.

Dado que los objetivos relacionados con la fiabilidad de la información y el cumplimiento de leyes y normas están integrados en el control de la entidad, puede esperarse que la Gestión de Riesgos Corporativos facilite una seguridad razonable de su consecución. El logro de los objetivos estratégicos y operativos, sin embargo, está sujeto a acontecimientos externos no

37 siempre bajo control de la entidad; por tanto, respecto a ellos, la Gestión de Riesgos Corporativos puede proporcionar una seguridad razonable de que la dirección, y el consejo de administración en su papel de supervisión, estén siendo informados oportunamente del progreso de la entidad hacia su consecución.

2.7.4 Componentes de la Gestión de Riesgos Corporativos

A diferencia del Marco COSO I, que contenía sólo cinco componentes definidos dentro del Control Interno, el Marco COSO II contiene ocho componentes, donde los primeros pasan a ser “componentes de la Gestión de los Riesgos Corporativos”.

Tabla Nº 1. Componentes del Marco Coso I y Marco Coso II.

Componentes COSO I – 1992 Componentes COSO II – 2004 1. Ambiente de Control

2. Evaluación de Riesgos

3. Actividades de Control 4. Información y Comunicación 5. Supervisión

1. Ambiente de Control Interno 2. Establecimiento de Objetivos 3. Identificación de Eventos 4. Evaluación de Riesgos 5. Respuesta a los Riesgos 6. Actividades de Control 7. Información y Comunicación 8. Supervisión

Fuente: Commission Treadway (2005).

Como se puede observar en la Tabla Nº 1, en la columna referida al COSO II, el componente que tiene una profundización mayor es la Evaluación de Riesgos, la cual pasa a transformarse en el centro del análisis de un control interno moderno, se comienza a desarrollar la definición global de Administración de Riesgos Empresariales (ERM).

Los ocho componentes del la Gestión de Riesgos Corporativos del marco COSO II se encuentran relacionados entre sí y se derivan de la manera en que la dirección conduce la empresa y cómo están integrados en el Proceso de Gestión.

38 A continuación, se describen estos ocho componentes:

1. Ambiente Interno: Abarca el talante de una organización y establece la base de cómo el

Dalam dokumen Desarrollar un sistema de gestión de riesgos, bajo la metodología COSO II, para la Unidad de Urgencia del Hospital Clínico de la Universidad Mayor. (Halaman 32-38)