Conoce COSO, una visión 360° para gestionar el riesgo

El Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) fue diseñado para identificar, evaluar y administrar los riesgos; para dar una visión general de las amenazas a las que está expuesta una compañía; ampliar el concepto de control interno, y tener una dirección clara del negocio.

Tabla de contenido ¿Qué es COSO? Los 5 componentes de COSO 1. Ambiente de Control 2. Evaluación de Riesgos 3. Actividades de Control 4. Información y Comunicación 5. Monitoreo Control interno, según el documento COSO Objetivos de Control interno Limitaciones del Control Interno La evolución de este marco de control interno

Este marco de trabajo fue pensado para tratar los riesgos de forma inteligente con el fin de conservar la rentabilidad y rendimiento de la empresa y para comprender la importancia tanto del cumplimiento con las normas gubernamentales como las internas de la compañía.

En el año 1992 se publicó la primera versión COSO y, desde entonces el documento se convirtió en referente para gestores de riesgos, juntas directivas y gerentes de las organizaciones alrededor del mundo. Al brindar una visión 360° de los riesgos que podrían afectar la compañía, este marco permite dar una línea para accionar planes y así hacer una correcta gestión de riesgos.

Además, posibilita priorizar y alinear los objetivos, tomar decisiones acertadas, tener planificación estratégica y un control interno de todas las áreas de la compañía. En ese orden de ideas, implementar COSO mejora el desempeño y la supervisión, también ayuda a reducir fraudes en las organizaciones, tomar mejores decisiones y cumplir las metas.

El Comité de Organizaciones Patrocinadoras de la Comisión Treadway dice que COSO está dedicado a proporcionar un liderazgo reflexivo a través del desarrollo de marcos integrales y orientación sobre el control interno, la gestión del riesgo institucional y la disuasión del fraude, con el fin de mejorar la eficacia de la organización. 

En este ebook  podrás comprender este marco de ccontrol interno, encontrarás claves para implementarlo y conocerás su importancia.

¿Qué es COSO?

El Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) es un marco de control interno que fue constituido hace más de dos décadas para proporcionar liderazgo organizacional en tres frentes: gestión del riesgo empresarial (ERM),  control interno, y disuasión del fraude. Precisamente, este marco fue diseñado por representantes de cinco organizaciones del sector privado de los Estados Unidos, tras una crisis de fraude internacional para evitar malas prácticas empresariales.

De acuerdo con la tesis Métodos de Administración y Evaluación de Riesgos de la Universidad de Chile, COSO favorece los negocios y sirve para que una compañía refuerce sus sistemas de control interno, por ello, se está incorporando dentro de las políticas, reglas, y regulaciones de muchas empresas para un mejor control. “La necesidad de un marco de riesgo operacional en la empresa, que entregará claves y conceptos fundamentales, un lenguaje común, dirección y una guía clara, hizo que cada vez fuera más imprescindible este marco de trabajo”, agrega la investigación.

De acuerdo con el modelo del Comité de Organizaciones Patrocinadoras de la Comisión Treadway, el Control Interno es un proceso que se gestiona por la dirección y el resto del personal de una organización, diseñado con el objeto de proporcionar seguridad en la eficacia y eficiencia de las operaciones, confiabilidad de la información financiera y cumplimiento de la normativa para garantizar el logro de objetivos.

Este marco aborda temas trascendentales en una correcta gestión de riesgos como apetito y tolerancia de riesgos, así como una visión de riesgos desde todas sus perspectivas, impactos y probabilidades.

Los 5 componentes de COSO

1. Ambiente de Control
2. Evaluación de Riesgos
3. Actividades de Control
4. Información y Comunicación
5. Monitoreo

1. Ambiente de control: 

Define parámetros para gestionar el control interno de la compañía que tiene que ver con la estructura organizacional, las políticas administrativas, ética institucional y las relaciones de jerarquía, la autoridad y responsabilidad; así como la integridad, los valores de la compañía y la filosofía administrativa. El ambiente de control es la base sobre la que se posicionan al resto de elementos e influye fundamentalmente en los objetivos y en la estrategia de la empresa.

El documento COSO II, actualizado en 2013, señala que el ambiente de control es el conjunto de normas, procesos y estructuras que proveen las bases para llevar a cabo el Control Interno a través de la organización. “El directorio y la alta gerencia establecen el ejemplo en relación con la importancia del Control Interno y las normas de conducta esperada”.

Los elementos de un ambiente de control se priorizan así:

2. Evaluación de Riesgos

Durante la evaluación, los riesgos se identifican y se analizan, de acuerdo a la probabilidad de impacto y frecuencia, para conocer sus posibles consecuencias en caso de que se presenten. En este proceso, se analiza cada riesgo y se clasifica como alto (es muy factible que se presente), medio (factible) o bajo (muy poco factible).

Se analiza si cada impacto puede ser interno o externo y si es alto, medio o bajo para priorizarlos en ese orden. Esta evaluación sirve para empezar a trabajar en los riesgos más urgentes y plantear estrategias para mitigarlos o evitarlos.

Para evaluar los riesgos, se recomienda elaborar un mapa de calor, donde se clasifique el impacto y la probabilidad. Cada uno se identifica con un color diferente: Riesgo Alto ( Rojo)- Riesgo Medio - Alto (Naranja) - Riesgo Medio (Amarillo) - Riesgo Bajo (Verde).

El documento COSO II dice que la evaluación de riesgos involucra un proceso dinámico e interactivo para identificar y analizar riesgos que afectan el logro de objetivos de la entidad, dando la base para determinar cómo los riesgos deben ser administrados. “La gerencia considera posibles cambios en el contexto y en el propio modelo de negocio que impidan su posibilidad de alcanzar sus objetivos”.

3. Actividades de control

Se refiere a las políticas y procedimientos que trazan las acciones adecuadas para gestionar los riesgos, tomar decisiones que favorezcan la operación y el logro de los objetivos. Todas las áreas de la compañía, sin excepción, son las responsables de ejecutar  las actividades de control, que lleven a una correcta toma de decisiones y cumplimiento de los objetivos.

Estas actividades de control, según COSO, pueden ser preventivas o de detección y pueden abarcar una amplia gama de actividades manuales y automatizadas. Estas actividades deben minimizar los riesgos que dificultan el logro de los objetivos de la organización.

4. Información y comunicación

Las empresas deben gestionar la información desde todas sus áreas y unificarla para tener convergencia y hablar un mismo idioma. La información es uno de los activos más importantes de la organización, por lo que debe protegerse y debe estar disponible para todas las áreas de la empresa, así se disminuyen errores a la hora de identificar, clasificar, evaluar y gestionar los riesgos.

Por ello, los líderes de cada área deben velar por recoger información que permita analizar los riesgos e intercambiarla para tener una mirada general de la empresa. En la medida que se cumpla esto, habrá mejor control interno y se removerán obstáculos que amenacen el cumplimiento de los objetivos.  

En este sentido la información no se utiliza solo para los estados financieros, sino también en la toma de decisiones. Por esta razón, los líderes deben ser rigurosos a la hora de recoger la información, verificarlos y confirmarlos para que sean verídicos y acertados. Entre tanto, la comunicación es el proceso para proporcionar, compartir y obtener la información necesaria, relevante y de calidad.

De acuerdo con COSO, la Información es necesaria en la entidad para ejercer las responsabilidades de Control Interno en soporte del logro de objetivos. “La Comunicación ocurre tanto interna como externa y provee a la organización con la información necesaria para la realización de los controles diariamente. La Comunicación permite al personal comprender las responsabilidades del Control Interno y su importancia para el logro de los objetivos”. (COSO II, 2013).

5. Monitoreo

Un continuo monitoreo de la gestión de riesgos de la organización ayuda a que las estrategias para mitigarlos sean efectivas y se disminuyen errores que puedan afectar las metas. Además, sirve para comprobar la efectividad del control interno. Una adecuada gestión de riesgos se logra  con supervisión y monitoreo continuo, así como con evaluaciones frecuentes.

El monitoreo es: “Evaluaciones concurrentes o separadas, o una combinación de ambas. Es utilizado para determinar si cada uno de los componentes del Control Interno, incluidos los controles para efectivizar los principios dentro de cada componente, está presente y funcionando. Los hallazgos son evaluados y las deficiencias son comunicadas oportunamente, las significativas son comunicadas a la alta gerencia y al directorio” (COSO II, 2013).

Con el software de Pirani podrás registrar los controles que consideres necesarios para prevenir, detectar o corregir riesgos a los que se ven expuestos tu compañía, podrás calificarlos a través del diseño, ejecución y solidez y por último, podrás asociar riesgos y responsables de supervisar estos controles.

Control interno, según el documento COSO*

El documento COSO II (2013) define el control interno como un proceso llevado a cabo por el Consejo de Administración, la Gerencia y otro personal de la Organización, diseñado para proporcionar una garantía razonable sobre el logro de objetivos relacionados con operaciones, reporte y cumplimiento.

 

Objetivos de Control interno

Estos son los objetivos que tiene la implementación de un control interno: 

• Objetivos de operaciones
• Objetivos de reporte 
• Objetivos de cumplimiento

Objetivos de operaciones

• Relacionados con la misión y visión de la entidad.
• Varían en función de las decisiones de la conducción relacionadas con el modelo de operaciones, consideraciones de la industria y rendimiento.
• Se abren en sub-objetivos para los distintos componentes de la estructura de la entidad.
• Incluyen el resguardo de activos.

 Objetivos de reporte

• Reportes financieros externos

o Estados Contables

o Cuenta de Inversión

• Reportes no financieros externos

o Reportes de sustentabilidad

o Información al público

• Reportes internos financieros y no financieros

o Ejecución presupuestaria

o Informes sobre nivel de actividad

Objetivos de cumplimiento

• Objetivos relacionados con el cumplimiento de leyes y regulaciones.
• El cumplimiento de políticas y procedimientos de la entidad, a los efectos del marco, corresponde a objetivos de operaciones

Limitaciones del Control Interno

• Establecimiento de adecuados objetivos, como precondición para el control interno.
• El juicio humano en la toma de decisiones puede ser equivocado o sujeto a parcialidades.
• Errores productos del error humano.
• Posibilidad de anulación de controles por la gerencia.
• Posibilidad de burlar controles por la colusión entre distintos actores
• Factores externos más allá del control de la entidad

*Tomado de COSO (2013)

La evolución de este marco de control interno

COSO I

Con el propósito de direccionar a las compañías para mejorar el control interno, en 1992, el Comité de Organizaciones Patrocinadoras de la Comisión Treadway publicó COSO I, en el que se definió que el control interno es una responsabilidad de la dirección para tener los objetivos alineados con el control de la información financiera, cumplimiento de normativa y seguridad en las operaciones.

Este COSO exigía demostrar compromiso con la integridad y valores éticos, establecer estructuras de autoridad y exigir rendición de cuentas; evalúa el riesgo y analiza los cambios.

COSO II

En 2004 se publicó el estándar “Enterprise Risk Management - Integrated Framework” (COSO II) Marco integrado de Gestión de Riesgos, que amplió la importancia del control interno y la gestión de riesgos en todas las áreas de la organización, incluyendo tanto a directores y administradores como los demás empleados.

El documento COSO II señala que la gestión de riesgo corporativo se ocupa de los riesgos y oportunidades que afectan la creación de valor o la permanencia de la empresa. Además, los riesgos se gestionan para identificar eventos potenciales que puedan afectar la organización y proporcionar una seguridad razonable en el logro de los objetivos.

Este nuevo marco en vez de establecer estructuras con autoridad y exigir rendición de cuentas, recomienda responsabilidad en la supervisión y en vez de solo evaluar riesgos, los identifica y analiza.

COSO II ERM

La  versión de COSO II ERM, se publicó en 2013 y es la evolución del editado en 2004. Este nuevo marco resalta la importancia de la agilidad de los sistemas de gestión de riesgos para adaptarse a los entornos; la confianza en la eliminación de riesgos y el cumplimiento de objetivos; así como mayor claridad en la información y comunicación.

El nuevo Marco de Gestión de Riesgos Empresariales “describe cómo los ejecutivos pueden tener mayor confianza para hacer frente a muchos de los retos críticos de los negocios del siglo XXI a medida que navegan por los mercados en evolución, la rápida innovación y un mayor enfoque regulatorio”, según explica la tesis Métodos de Administración y Evaluación de Riesgos de la Universidad de Chile.

“El Marco está diseñado para convertir un monólogo de riesgos preventivo y basado en procesos en una conversación proactiva y centrada en las oportunidades para descubrir cómo la gestión de riesgos puede crear, preservar y hacer realidad la calidad y el valor”, agrega el análisis de Métodos de Administración y Evaluación de Riesgo

*Imagen tomada del documento COSO II Internal Control Integrated Framework, versión 2013La tesis de la Universidad de Chile también explica que entre los desafíos más críticos para las gerencias está el determinar cuán preparada está la entidad para aceptar los riesgos mientras procura crear valor.

Entre tanto, Dennis Chesley, líder de Consultoría de Riesgos Global, referente del tema, explica que COSO se actualiza  porque la complejidad de hacer negocios está cambiando, y siguen surgiendo nuevos riesgos a un ritmo más rápido que en el pasado, además, el experto analiza que los cambios en el comportamiento de los clientes están ejerciendo una influencia considerable en un panorama económico mundial impredecible.

“Mientras tanto, la evolución de la tecnología y una mayor exigencia de transparencia están poniendo a prueba los procesos de planificación estratégica y las capacidades operativas.  Para hacer frente a estos desafíos es necesario que las organizaciones adopten un nuevo enfoque de la gestión del riesgo: un enfoque que ayude a crear, preservar y hacer realidad el valor ahora y en el futuro”, resalta Chesley.

Ventajas y beneficios del modelo COSO en la gestión de riesgos

El modelo COSO se ha consolidado como un referente en la gestión de riesgos y el control interno gracias a su enfoque integral y flexible. Diseñado para adaptarse a diferentes tipos de organizaciones, este marco permite optimizar procesos, fortalecer la toma de decisiones y garantizar el cumplimiento de objetivos estratégicos. A continuación, explicaremos las principales ventajas que hacen de COSO una herramienta indispensable para la gestión organizacional

Ventajas de utilizar el modelo COSO 

Adoptar el modelo COSO ofrece numerosos beneficios para organizaciones de todos los tamaños: 

• Estandarización: Proporciona un enfoque estructurado y uniforme para identificar, evaluar y gestionar riesgos, lo que facilita la integración con normativos como SOx ISO 310000. 

• Cobertura integral: Abarca objetivos estratégicos, operativos, de cumplimiento y de información financiera, lo que asegura una gestión de riesgos integral. 

• Mejor toma de decisiones: Al identificar y priorizar riesgos de manera efectiva, COSO ayuda a los líderes a tomar decisiones informadas. 

• Fortalecimiento del control interno: Su implementación mejora la supervisión y reduce la probabilidad de fraudes, errores o incumplimientos.

• Flexibilidad y adaptabilidad: COSO puede ajustarse a las necesidades específicas de una organización, lo que lo convierte en una herramienta valiosa para cualquier sector. 

¿Quienes conforman COSO? 

El modelo COSO fue desarrollado por un consorcio de cinco importantes organizaciones: 

• American Accounting Association (AAA): Contribuye con investigaciones académicas sobre contabilidad y auditoría. 

• American Institute of Certified Public Accountants (AICPA): Aporta la perspectiva de los auditores externos

• Financial Executives International (FEI): Representa a ejecutivos financieros interesados en la precisión de los informes. 

• Institute of Internal Auditors (IIA): Ofrece su experiencia en auditorías internas. 

• Institute Of Management Accountants (IMA): Se enfoca en la contabilidad gerencial. 

Beneficios de implementar COSO en tu organización

Adoptar COSO impacta positivamente en varios aspectos organizacionales:

• Mayor resiliencia ante riesgos: Permite identificar y mitigar riesgos antes de que afecten los objetivos organizacionales

• Fortalecimiento de la cultura organizacional: Promueve una mentalidad de control y gestión de riesgos a todos los niveles. 

• Optimización de recursos: Al identificar redundancias o áreas críticas, COSO ayuda a asignar recursos de manera más eficiente.

• Confianza en los stakeholders: Refuerza la percepción de confianza y transparencia entre clientes, inversionistas y entes reguladores. 

• Estrategias sostenibles: Vincula la gestión de riesgos con los objetivos a largo plazo, mejorando la sostenibilidad organizacional. 

Beneficios de un adecuado sistema de control 

Un sistema de control interno efectivo es esencial para cualquier organización, sus beneficios incluyen: 

• Prevención de fraudes y errores: Reduce significativamente los riesgos operativos y financieros al establecer procesos de controles claros

• Transparencia financiera: Mejora la precisión y confiabilidad de los reportes financieros, facilitando auditorías internas y externas. 

• Cumplimiento normativo asegurado: Simplifica el cumplimiento de requisitos legales y regulatorios, evitando sanciones. 

• Toma de decisiones informadas: Proporciona datos confiables y en tiempo real para evaluar riesgos y oportunidades. 

¿Qué es  una metodología ERM de gestión de riesgos empresariales? 

La metodología Enterprise Risk Management (ERM), o gestión de riesgos empresariales, es un enfoque estructurado para identificar, evaluar y gestionar riesgos que puedan afectar los objetivos estratégicos de una organización. Este enfoque, basado en el marco COSO-ERM, se centra en: 

• Perspectiva integral: Analiza riesgos desde una perspectiva organizacional, considerando áreas financieras, operativas, legales y reputacionales. 

• Integración estratégica: La gestión de riesgos se alinea directamente con la planificación estratégica de la organización.

• Adaptación al cambio: ERM ayuda a las organizaciones a responder rápidamente a riesgos emergentes o cambios en el entorno. 

La metodología ERM no sólo busca mitigar riesgos, sino también identificar oportunidades que fortalezcan el crecimiento y la sostenibilidad de la organización. 

En definitiva, este marco de control interno da una mayor orientación sobre la forma correcta de gestionar los riesgos y de articular esa gestión con las estrategias y los objetivos trazados para tener una mejor toma de decisiones. También le da a los gestores una mirada de los riesgos, desde todos los ángulos tanto generales como en cada área, proyectos y procesos.   

Este contenido también te puede interesar:

• Como implementar la metodología COSO ERM
• Gestión de riesgos basado en COSO ERM
• Normativas de cumplimiento común de ISO y COSO
• Mejora la gestión de riesgo empresarial con COSO ERM 2017