COSO es la abreviatura de Committee of Sponsoring Organizations of the Treadway Commission, es una organización privada norteamericana que se dedica a desarrollar y estudiar sistemas de gestión y gobierno empresarial con el fin de proporcionar directrices o pautas que ayuden a las empresas.
Los principales objetivos del COSO son la administración empresarial, la ética comercial, los controles internos, la gestión de los riesgos empresariales, el fraude y la presentación de informes financieros.
Contenidos del artículo
Qué es el Coso ERM
En 2004 se publicó un informe titulado Gestión del riesgo empresarial (Enterprise Risk Management), también conocido como COSO ERM, que se considera una evolución del control interno, centrándose en el problema más amplio de la gestión del riesgo empresarial.
Según el COSO ERM, sobre la base de la misión o la visión establecida por una organización, la administración establece los planes, selecciona las estrategias y determina la alineación de los objetivos en los distintos niveles de la organización.
Este marco integrado de riesgos empresariales se orienta para lograr los objetivos de una organización y se clasifica en cuatro categorías:
- Estratégico: Objetivos generales, alineados con su misión.
- Operación: Uso efectivo y eficiente de los recursos.
- Comunicación: Fiabilidad de la información.
- Cumplimiento: Cumplimiento de las leyes y reglamentos aplicables.
Modelo del COSO
El COSO a definido ocho componentes en su estructura:
- Ambiente de control.
- Establecimiento de objetivos.
- Identificación de eventos.
- Evaluación de riesgos.
- Respuesta a riesgos.
- Actividades de control.
- Información y comunicación.
- Actividades de monitoreo.
Ambiente de control
Este componente está relacionado con el núcleo de cualquier organización, el personal o los Recursos Humanos, los atributos individuales, principalmente la integridad, los valores éticos y la competencia, y el entorno en el que operan.
El ambiente de control está estrechamente relacionado con los controles no operacionales, que son los valores de las personas que hacen parte de la organización y son igualmente importantes para generar un ambiente de control saludable, sin embargo, no se detectan con los enfoques e instrumentos de auditoría tradicionales.
El ambiente de control debe demostrar el grado de compromiso a todos los niveles de jerárquicos con la calidad del control interno en su conjunto, los factores relacionados con el ambiente de control incluyen:
- La integridad y los valores éticos.
- La competencia de las personas de la entidad.
- El estilo operativo de la organización.
- Los aspectos relacionados con la gestión.
- La forma de atribución de la autoridad y la responsabilidad.
Fijación de los objetivos
Definidos por la dirección, los objetivos deben difundirse a todos los miembros de la organización antes de que se identifiquen los acontecimientos que puedan influir en el logro de los mismos.
- Los objetivos deben estar alineados con la misión de la entidad y ser compatibles con el nivel de riesgo.
Identificación de los acontecimientos
Los acontecimientos son situaciones potenciales que aún no se han producido y que pueden repercutir en el logro de los objetivos de la organización, en caso de que se produzcan pueden ser positivos o negativos, los eventos negativos se llaman riesgos, mientras que los positivos, oportunidades.
Al identificar los acontecimientos, es posible planificar el tratamiento adecuado para las oportunidades y los riesgos, que deben entenderse como parte de un contexto y no de manera aislada, ya que a menudo un riesgo que parece tener un gran impacto puede reducirse al mínimo mediante la existencia conjunta de una oportunidad.
Tras la identificación de los acontecimientos, separando las oportunidades de los riesgos, se debe actuar sobre estos últimos, mediante la evaluación de los riesgos.
Evaluación del riesgo
La administración debe ser consciente de los riesgos que rodean a la empresa y gestionar esos riesgos de manera que no se perjudiquen los objetivos estratégicos.
La gestión del riesgo, es decir, la identificación y evaluación de los riesgos y definición de las respuestas, incluidos los controles, interactúa con la planificación estratégica.
En otras palabras, la evaluación del riesgo se considera una práctica de buena administración de la organización, al incluir aspectos relacionados con la rendición de cuentas, en el sentido de que la evaluación se ajusta a las directrices estratégicas
- La transparencia que es un requisito previo para una rendición de cuentas adecuada.
Respuesta al riesgo
Para cada riesgo identificado se dará una respuesta que puede ser: evitar, aceptar, compartir o reducir, según el COSO, se sugiere lo siguiente, con respecto a estas respuestas:
- Evitar: Sugiere que no se ha identificado ninguna opción de respuesta para reducir el impacto y la probabilidad a un nivel aceptable
- Reducir: Reduce el riesgo residual a un nivel compatible con las tolerancias de riesgo deseadas.
- Compartir: Se adopta una medida para transferir o compartir el riesgo en toda la entidad o con partes externas.
- Aceptar: Indica que el riesgo inherente ya está dentro de las tolerancias de riesgo.
Es importante señalar que la aceptación del riesgo es una forma de responder al mismo, es decir, si no se hace nada sobre el riesgo, se seguirá respondiendo a él, siempre que esta acción sea consciente.
Lo anterior puede ocurrir cuando el costo de la aplicación de cualquier medida para responder a un riesgo particular se vuelve muy alto, incluso mayor que los beneficios que la respuesta aportaría a la organización.
Actividades de control
Las actividades de control se expresan generalmente en políticas y procedimientos de control, que deben establecerse y aplicarse para ayudar y asegurar que se lleven a cabo eficazmente las medidas identificadas por la administración como necesarias para hacer frente a los riesgos relacionados con el cumplimiento de los objetivos de la organización.
Las actividades de control suelen centrarse en tres categorías de riesgo:
- De proceso u operacional.
- De registros.
- De cumplimiento.
A su vez, las actividades de control en el COSO, ayudan a que se cumplan los objetivos, se cumplan las directrices administrativas y que se adoptan medidas para gestionar los riesgos a fin de lograr los objetivos de la entidad.
Información y comunicación
En el COSO, esta parte del modelo hace referencia a sistemas de información y comunicación que permiten a las personas de la organización reunir e intercambiar la información necesaria para llevar a cabo, gestionar y controlar sus operaciones.
La organización también debe disponer de mecanismos para reunir información del entorno externo que pueda afectarla, y debe transmitir al exterior la que sea adecuada para los interesados, la comunicación debe ser oportuna y apropiada, y debe abordar los aspectos financieros, económicos, operacionales y estratégicos.
Actividades de monitoreo
Comprende el monitoreo de la calidad del control interno, con el fin de asegurar su adecuación a los objetivos, el entorno, los recursos y los riesgos, hay que monitorear todo el proceso de riesgos y controles e introducir modificaciones para mejorarlo, el monitoreo puede realizarse mediante:
- Actividades permanentes.
- Evaluaciones independientes, por ejemplo, auditorías internas y externas.
Las actividades permanentes se incorporan a las demás actividades normales de la organización, y las evaluaciones independientes garantizan la eficacia de la gestión de riesgos a lo largo del tiempo.
Muy buena la calidad de la información sobre COSO