Академический Документы
Профессиональный Документы
Культура Документы
Resumen ejecutivo
Los administradores de algunas compañías y de otras entidades han desarrollado
procesos para identificar y administrar el riesgo a través de la empresa y muchos otros
han empezado a desarrollarlo o están considerando hacerlo. A pesar de que existe
extensa información sobre ERM, incluyendo mucha literatura publicada, no existe una
terminología común y, de existir, existen unos pocos principios ampliamente aceptados
que puedan ser usados por la dirección como una guía para desarrollar una arquitectura
eficaz de ERM.
Importancia de ERM
La premisa subyacente de ERM es que toda entidad, tenga o no fines de lucro o sea una
entidad gubernamental, existe para proveer valor a sus “grupos de interés” (*)
(stakeholders). Toda entidad enfrenta la incertidumbre y el desafío para la gerencia es
determinar cuanta incertidumbre la entidad está dispuesta a aceptar en su esfuerzo por
aumentar el valor para sus “grupos de interés”. La incertidumbre presenta tanto riesgos
como oportunidades, y puede generar tanto deterioro como crecimiento del valor. ERM
provee un marco para que la gerencia pueda manejar eficazmente la incertidumbre y los
riesgos y oportunidades asociados y así aumentar su capacidad de generar valor.
(*) “grupos de interés” son todos aquellos individuos, grupos u organizaciones que
recibirán el impacto o estarán interesados en el plan estrategico de la organización.
Deben ser identificados y sus intereses deben ser determinados (es decir, cómo sus
recursos, situación, libertad de acción, relacionamientos y actividades pueden - desde
su punto de vista - ser afectados por los cambios en la orientación de la organización).
Generalmente incluyen empleados (incluyendo gerentes), clientes y consumidores,
proveedores, gobernos, sindicatos, acreedores, propietarios, accionistas y miembros de
la comunidad que creen tener un interés (stake) en la organización, independientemente
de que esa creencia sea exacta o razonable (Conceto extraído de “Applied Strategic
Planning de Leonard Goodstein, Timothy Nolan y J. William Pfeiffer)
Incertidumbre
Las empresas actúan en ámbitos donde factores tales como la globalización, la
tecnología, las normas, las reestructuras, los mercados cambiantes y la competencia
crean incertidumbre. La incertidumbre proviene de la dificultad de determinar con
precisión la probabilidad de ocurrencia de acontecimientos eventuales y sus
consecuencias asociadas.
Valor
El valor es creado, preservado o deteriorado por las decisiones de la gerencia que van
desde la adopción de la estrategia hasta la operación de la empresa día a día. El
reconocimiento del riesgo y de la oportunidad es inherente a las decisiones y requiere
que la gerencia considere información relacionada con el entorno interno y el externo,
despliegue recursos de alto valor y adapte las actividades de la empresa a las
circunstancias cambiantes.
Las entidades reconocen el valor cuando sus “grupos de interés” obtienen beneficios
reconocibles que ellos a su vez valoran. Para las empresas, los “grupos de interés”
reconocen el valor cuando ellos reconocen creación de valor a través del incremento del
valor de las acciones. Para entidades gubernamentales, se ha realizado valor cuando los
ciudadanos reconocen haber recibido servicios valiosos a un costo aceptable. Los
“grupos de interés”de entidades sin fines de lucro reconocen el valor cuando reconocen
haber recibido beneficios sociales valiosos. ERM facilita la capacidad de los
administradores tanto para crear valor sustentable como para comunicar el valor creado
a los “grupos de interés”.
Beneficios de ERM
Ninguna entidad opera en un ámbito libre de riesgos y ERM no crea tal ámbito. Más
bien permite a los administradores operar más eficazmente en un ámbito pleno de
riesgos.
Unir crecimiento, riesgo y rendimiento – Las entidades aceptan el riesgo como parte
de la creación y preservación del valor y esperan un rendimiento acorde con el riesgo.
ERM aumenta la capacidad para identificar y apreciar riesgos y para establecer niveles
aceptables de riesgo compatibles con los objetivos de crecimiento y rendimiento.
Racionalizar el uso de recursos – Cuanto más robusta sea la información con respecto
a los riesgos totales de la entidad, más eficazmente podrá la gerencia apreciar las
necesidades generales de capital y mejorar su distribución.
ERM no es un fin en sí mismo sino más bien un medio importante. No puede y por ello
no opera en forma aislada en una entidad, siendo más bien un facilitador del proceso de
gestión. ERM está asociado al gobierno empresarial (corporate governance) en la
medida que provee información a la dirección superior con respecto a los riesgos más
significativos y a la forma como los mismos están siendo administrados. También está
asociada a la administración del desempeño al proveer medidas ajustadas al riesgo y al
control interno, el que es parte integrante de la ERM.
Un proceso
ERM no es un acontecimiento o circunstancia sino una serie de acciones que penetran
las actividades de una entidad. Estas acciones son invasivas e inherentes a la forma
como se administran los negocios.
ERM difiere de la perspectiva de algunos observadores que la ven como algo agregado
a las actividades de la entidad, o como una carga necesaria. Esto no quiere decir que
para ser eficaz, ERM no requiera un esfuerzo adicional. Por ejemplo, la apreciación de
riesgos puede requerir esfuerzos adicionales para desarrollar los modelos requeridos y
hacer los análisis y cálculos necesarios. Sin embargo, estos y otros mecanismos de ERM
están entrelazados con las actividades operativas de la entidad y existen por razones
empresariales fundamentales. ERM adquiere la mayor eficacia cuando estos
mecanismos son construidos dentro de la infraestructura de la entidad y forman parte de
la esencia de la empresa. De esta forma, una entidad puede directamente influir en su
capacidad para implantar su estrategia y lograr su visión o misión.
De la misma forma, ERM influye en las acciones de la gente. ERM reconoce que la
gente no siempre comprende, se comunica o actúa de manera semejante. Cada individuo
contribuye con sus propios conocimientos y habilidades y tiene diferentes necesidades y
prioridades.
Estas realidades afectan y son afectadas por ERM. Cada persona tiene un punto de
referencia único que influye en cómo se identifica, aprecia y responde al riesgo. ERM
provee los mecanismos necesarios para ayudar a la gente a comprender el riesgo en el
contexto de los objetivos de la entidad. La gente debe conocer sus responsabilidades y
límites de autoridad. Consecuentemente, es necesario que exista una clara y estrecha
conexión entre las obligaciones de la gente y la forma como son cumplidas así como
con la estrategia y los objetivos de la entidad.
Logro de objetivos
Se espera que una ERM eficaz provea seguridad razonable de lograr los objetivos
relacionados con la confiabilidad de la elaboración de información y con el
cumplimiento de las leyes y las regulaciones. El logro de estas categorías de objetivos
está bajo el control de la entidad y depende de cuán bien se desarrollan las actividades
relacionadas de la entidad.
Sin embargo, el logro de los objetivos estratégicos y operativos no siempre está bajo el
control de la entidad. Para estos objetivos, ERM puede solamente proveer seguridad
razonable de que la gerencia y el directorio en su rol de supervisión, serán puestos en
conocimiento, oportunamente, de la medida en que la entidad está avanzando hacia el
logro de los objetivos.
Componentes de la ERM
Àmbito interno
El ámbito interno de la entidad, al proveer disciplina y estructura, es el fundamento para
todos los demás componentes de la ERM. El ámbito interno influye en la forma como
se establecen la estrategia y los objetivos, como se estructuran las actividades de
negocios y como se identifican, aprecian y tratan los riesgos. También influye en el
diseño y funcionamiento de las actividades de control, los sistemas de información y
comunicación y en las actividades de monitoreo. El ámbito interno comprende muchos
elementos, incluyendo valores éticos de la entidad, competencia y desarrollo del
personal, estilo operativo de la gerencia y en la forma como ésta asigna responsabilidad
y autoridad. El directorio es una parte crítica del ámbito interno e influye
significativamente en los otros elementos del ámbito interno. Como parte del ámbito
interno, la gerencia establece una filosofía gerencial del riesgo, establece el nivel de
riesgo aceptado, desarrolla una cultura de riesgo e integra ERM con iniciativas
relacionadas.
Una filosofía de ERM que es comprendida por todo el personal acrece la habilidad de
los empleados de reconocer y administrar eficazmente el riesgo. La filosofía – las
creencias de la entidad con respecto al riesgo y cómo la misma escoge conducir sus
actividades y tratar el riesgo – refleja el valor que la entidad procura de la ERM e
influye en la forma como los elementos de la ERM serán aplicados. La gerencia
comunica su filosofía de ERM a los empleados a través de las declaraciones de políticas
y otras comunicaciones. En gran medida, la gerencia refuerza la filosofía no solamente
con palabras sino también con acciones cotidianas.
Fijación de objetivos
En el contexto de la misión o visión establecidas, la gerencia establece los objetivos
estratégicos, selecciona la estrategia y establece los objetivos relacionados fluyendo a
través de la empresa y alineados con y ligados a la estrategia. Los objetivos deben
existir antes de que la gerencia pueda identificar acontecimientos que eventualmente
puedan afectar el logro de los mismos. ERM asegura que los administradores tengan
instalado un proceso para definir objetivos y alinearlos con la misión y la visión de la
entidad y para que sean compatibles con el nivel de riesgo aceptado.
Identificación de acontecimientos
Los administradores reconocen que existen incertidumbres – que no se puede conocer
con certeza si un acontecimiento ocurrirá y cuándo y cuáles serán sus resultados en caso
de ocurrir. Como parte de la identificación de acontecimientos, los administradores
consideran factores internos y externos que afectan la ocurrencia de un acontecimiento.
Los factores externos incluyen factores económicos, empresariales, ambientales,
políticos, sociales y tecnológicos. Los factores internos reflejan las opciones tomadas
por la gerencia e incluyen asuntos tales como infraestructura, personal, procesos y
tecnología.
Puede ser útil agrupar los eventuales acontecimientos en categorías. Agrupando los
acontecimientos horizontalmente a través de una entidad y verticalmente entre unidades
operativas, la gerencia puede comprender las interrelaciones entre los acontecimientos,
obteniendo mayor y mejor información como base para la apreciación de riesgos.
Apreciación de riesgos
La apreciación de riesgos permite a una entidad considerar cómo los acontecimientos
eventuales podrían afectar el logro de los objetivos. La gerencia aprecia los
acontecimientos desde dos perspectivas: probabilidad e impacto.
Respuesta al riesgo
La gerencia identifica opciones de respuesta al riesgo y considera su efecto sobre la
probabilidad y el impacto del acontecimiento, con relación a las tolerancias al riesgo y a
la relación costo-beneficio y diseña e implanta opciones de respuesta. La consideración
de respuestas al riesgo y la selección e implantación de una respuesta al riesgo integran
la ERM. Una ERM eficaz requiere que la gerencia seleccione una respuesta de la que
pueda esperarse que coloque a la probabilidad del riesgo y a su impacto dentro de la
tolerancia al riesgo de la entidad.
La gerencia debe reconocer que siempre existe algún nivel de riesgo residual, no sólo
porque los recursos son limitados sino también por la incertidumbre sobre el futuro y las
limitaciones inherentes a todas las actividades.
Actividades de control
Las actividades de control son las políticas y procedimientos que ayudan a asegurar que
las respuestas al riesgo sean ejecutadas adecuadamente. Las actividades de control
tienen lugar en toda la organización, a todos los niveles y en todas las funciones. Las
actividades de control son parte del proceso a través del cual una empresa procura lograr
sus objetivos de negocios. Generalmente involucran dos elementos: una política
estableciendo qué debe hacerse y los procedimientos para ejecutar la política.
Información y comunicación
La información apropiada – de procedencia externa e interna – debe ser identificada,
capturada y comunicada de un modo y en un marco temporal que le permita al personal
cumplir con sus cometidos. La comunicación eficaz también se realiza en un amplio
sentido, fluyendo hacia abajo, hacia arriba y hacia los costados en la entidad. También
existe comunicación eficaz e intercambio de información importante con terceros, tales
como consumidores, proveedores, reguladores y “grupos de interés”.
Los sistemas de información por mucho tiempo han sido diseñados y utilizados para
respaldar la estrategia de la empresa. Este rol se vuelve crítico cuando las necesidades
de la empresa cambian y la tecnología crea nuevas oportunidades de ventajas
estratégicas.
Para respaldar una ERM eficaz, una entidad captura y utiliza datos históricos y actuales.
Los datos históricos le permiten a la entidad comparar el desempeño real con metas,
planes y expectativas. Revela cómo se desempeñó la entidad bajo condiciones variantes,
permitiendo a la gerencia identificar correlaciones y tendencias y proyectar el
desempeño futuro. Los datos históricos también pueden proveer advertencias oportunas
sobre acontecimientos eventuales que ameriten la atención de la gerencia.
Los datos actuales le permiten a una entidad apreciar sus riesgos en un momento
específico y permanecer dentro de las tolerancias al riesgo establecidas. Los datos
actuales permiten a la gerencia observar en tiempo real los riesgos inherentes existentes
en un proceso, función o unidad e identificar variaciones con respecto a las
expectativas. Esto otorga una visión del perfil de riesgo de la entidad, permitiendo a la
gerencia modificar las actividades como sea necesario para adaptarlas a su nivel de
riesgo aceptado.
La información constituye una base para la comunicación que debe satisfacer las
expectativas de grupos e individuos, permitiéndoles cumplir eficazmente con sus
cometidos. Entre los canales de comunicación más críticos se encuentra el que conecta a
la alta gerencia con el directorio. La gerencia debe mantener al directorio al tanto del
desempeño, desarrollos, riesgos y operación de la ERM y otros acontecimientos y
asuntos importantes. Cuanto mejor sea la comunicación, más eficazmente podrá cumplir
el directorio con sus responsabilidades de supervisión, actuar como una caja de
resonancia en asuntos críticos y proveer asesoramiento, consejo y orientación. Del
mismo modo, el directorio debe comunicar a la gerencia qué información necesita y
proveer retroalimentación (feedback) y orientación.
Los canales de comunicación deben también asegurar que el personal pueda comunicar
la información sobre riesgos a través de las unidades operativas, procesos o áreas
funcionales. En la mayoría de los casos, los canales apropiados de comunicación en una
organización son las líneas normales de autoridad. En algunas circunstancias, sin
embargo, se necesitan líneas de comunicación diferentes a efectos de servir como un
mecanismo libre de fallas en caso que los canales normales no estén operativos. En
todos los casos, es importante que el personal comprenda que no se tomarán represalias
por la comunicación de información relevante.
Monitoreo
La ERM es monitoreada – un proceso que aprecia tanto la presencia como el
funcionamiento de sus componentes y la calidad de su desempeño a lo largo del tiempo.
El monitoreo puede ser realizado de dos formas: a través de actividades continuas o de
evaluaciones independientes. El monitoreo continuo y el independiente aseguran que la
ERM continúe siendo aplicada a todos los niveles y a través de toda la entidad.
Todas las deficiencias de la ERM que afecten la capacidad de una entidad de desarrollar
e implantar su estrategia y lograr sus objetivos establecidos deben ser informadas a
quienes tengan la autoridad para tomar las acciones necesarias. La naturaleza de los
asuntos a ser comunicados variará dependiendo de la autoridad de los individuos para
abordar las circunstancias que surjan y de las actividades de supervisión de los
superiores. El término “deficiencia” alude a una condición del proceso de ERM que
amerite ser atendido. Por lo tanto, una deficiencia puede representar un defecto
percibido, eventual o real o una oportunidad de fortalecer el proceso para aumentar la
probabilidad de que los objetivos de la entidad sean alcanzados. La información
generada en el curso de las actividades operativas generalmente es elevada a través de
canales normales. También deben existir canales de comunicación alternativos para
trasmitir información sensible como actos ilegales o incorrectos.
Existe un directo relacionamiento entre objetivos, cuyo logro constituye el fin de los
esfuerzos de la entidad y los componentes de la ERM, que representan lo que se
necesita para lograrlos. La Figura 1 describe este relacionamiento en una matriz tri-
dimensional.
• Las cuatro categorías de objetivos – estratégicos, operativos, elaboración de
información y cumplimiento – están representados por las columnas verticales
• Los ocho componentes están representados por las filas horizontales.
• La entidad y sus unidades organizacionales están representadas por la tercera
dimensión de la matriz.
Strategic Estratégicos
Operating Operativos
Reporting Elaboración de información
Compliance Cumplimiento
Internal environment Ámbito interno
Objective setting Establecimiento de objetivos
Event identification Identificación de acontecimientos
Risk assesment Apreciación de riesgos
Risk response Respuesta al riesgo
Control activities Actividades de control
Information & communication Información y comunicación
Monitoring Monitoreo
Entity-level Nivel de entidad
Division División
Business unit Unidad de negocios
Subsidiary Subsidiaria
Debe entenderse que las cuatro columnas representan categorías de objetivos de una
entidad y no partes o unidades de la entidad. De acuerdo con ello, al considerar la
categoría de objetivos relacionados con la elaboración de información, por ejemplo, se
necesita conocer una amplia gama de información con respecto a las operaciones de la
entidad. Pero en ese caso, se focaliza en la columna centro-derecha del modelo –
objetivos asociados a la elaboración de información – en vez de hacerlo en la categoría
de objetivos asociados a las operaciones.
La Figura 2 expande las filas componentes del cubo para mostrar los elementos clave de
cada componente, así como cuáles componentes representan un proceso de flujo.
Eficacia
Para que ERM sea considerada eficaz, todos los ocho componentes deben estar
presentes y funcionando. Sin embargo, esto no significa que cada uno de los
componentes debe funcionar en forma idéntica, o aún al mismo nivel, en diferentes
entidades y pueden existir compensaciones (trade-offs) entre componentes. En virtud de
que las técnicas de ERM pueden servir a una variedad de propósitos, las técnicas
aplicadas en relación a un componente pueden servir uno de los propósitos que podrían
estar presentes en otro. Adicionalmente, las respuestas al riesgo pueden diferir en el
grado en que ellas encaran un riesgo particular, de modo que respuestas
complementarias al riesgo, cada una de ellas con efectos limitados, en conjunto puedan
ser satisfactorias.
Los conceptos comentados aquí aplican a todas las entidades, independientemente del
tamaño. Aunque algunas entidades pequeñas y medianas pueden implantar factores de
componentes de manera diferente que las grandes, de todos modos pueden tener una
ERM eficaz. La metodología para cada componente es probablemente menos formal y
menos estructurada en las entidades más pequeñas que en las más grandes, pero los
conceptos básicos delineados deben estar presentes en cualquier entidad,
independientemente de su tamaño.
ERM debe ser considerada en el contexto de una empresa como un todo, o una o más
unidades individuales. Al considerar ERM para una unidad de negocios en particular,
todos los ocho componentes deben ser usados a efectos comparativos.
Una compañía puede tener “joint ventures”, sociedades u otras inversiones, cuyas
operaciones no estén bajo el control directo de aquélla. Al considerar la eficacia de la
ERM de la compañía, se observaría en qué grado la compañía conjuntamente con su
asociada ha aplicado adecuadamente cada uno de los ocho componentes, a la luz de la
estrategia y de los correspondientes objetivos de la entidad.
El control interno es una parte integrante de ERM. Esta estructura de ERM abarca al
control interno construyendo una conceptualización y una herramienta de
administración más fuertes. El control interno es definido y descrito en Control Interno
– Estructura Integrada. En virtud de que Control Interno – Estructura Integrada es la
base para normas, leyes y regulaciones existentes, este documento permanece vigente
como definición y estructura del control interno. La totalidad de Control Interno –
Estructura Integrada se incorpora como referencia a esta estructura.
Limitaciones de la ERM
La consecución de objetivos está afectada por las limitaciones inherentes a todo proceso
gerencial. Cambios en políticas o programas de gobierno, acciones de los competidores
o las condiciones de la economía pueden estar fuera del control de la gerencia. La toma
de decisiones humanas pueden tener fallas y pueden producirse daños derivados de
fallas humanas tales como errores y equivocaciones. ERM no puede cambiar un gerente
mediocre por uno bueno. Adicionalmente, los controles pueden ser burlados por la
colusión de dos o más personas y la gerencia tiene la posibilidad de ignorar el proceso
de ERM, incluyendo respuestas a riesgos y controles.
El diseño de la ERM debe reflejar la realidad de restricción de recursos y los beneficios
de administrar los riesgos deben ser considerados en su relación con los
correspondientes costos. Entonces, si bien ERM puede ayudar a la gerencia a lograr sus
objetivos, no es una panacea.
Roles y responsabilidades
Directorio
La gerencia debe rendir cuentas al directorio, el que provee gobierno, orientación y
supervisión. Al seleccionar a la gerencia, el mayor rol corresponde al directorio al
definir sus expectativas en cuanto a integridad moral y valores éticos y puede confirmar
sus expectativas a través de las actividades de supervisión. Igualmente, al reservar para
sí la autoridad para ciertas decisiones clave, el directorio juega un rol al establecer la
estrategia, al formular los objetivos de alto nivel y los lineamientos generales en
relación a la asignación de recursos.
Gerencia
El gerente general es en última instancia el responsable y debe asumir la propiedad de la
ERM. Más que cualquier otra persona, el gerente general da la tónica al máximo nivel
que afecta la honestidad y los valores éticos y los otros factores del ámbito interno. En
una empresa grande, el gerente general cumple este cometido liderando y orientando a
los gerentes veteranos y revisando la manera como ellos manejan el negocio. Los
gerentes veteranos, a su vez, asignan responsabilidad por el establecimiento de políticas
y procedimientos de administración de riesgos más específicos al personal responsable
de las funciones individuales de las unidades. En una empresa más chica, la influencia
del gerente general, con frecuencia un propietario-gerente, es usualmente más directa.
En cualquier caso, en un marco de responsabilidades decrecientes, un gerente es
efectivamente un gerente general de su esfera de responsabilidad. También son
importantes los líderes de funciones de apoyo como cumplimiento, finanzas, recursos
humanos y tecnología de la información, cuyas actividades de monitoreo y control
atraviesan horizontal y verticalmente las unidades operativas y de otro tipo de una
empresa.
Auditores internos
Los auditores internos juegan un rol importante en el monitoreo de la ERM y de la
calidad del desempeño como parte de sus cometidos regulERMs o respondiendo a
especiales requerimientos de la alta gerencia o ejecutivos de divisiones o subsidiarias.
Pueden dar asistencia tanto a la gerencia como al directorio o comité de auditoría
monitoreando, examinando, evaluando, informando al respecto y recomendando
mejoras con relación a la adecuación y eficacia de los procesos gerenciales de ERM.
Una cantidad de terceras partes contribuyen a menudo al logro de los objetivos de una
entidad. Los auditores externos, aportando un visión independiente y objetiva,
contribuyen directamente a través de la auditoría de los estados contables y de las
revisiones del control interno e indirectamente proveyendo información adicional útil
para el cumplimiento de sus cometidos por parte de la gerencia y el directorio. Otros
que proveen información útil a la entidad para realizar la ERM son las agencias
reguladoras, consumidores y otros que realizan transacciones comerciales con la
entidad, analistas financieros, calificadores de bonos y los medios de difusión. Los
terceros externos, sin embargo, no son responsables por la ERM de la entidad.
Las acciones que podrían tomarse como producto de este informe dependen de la
posición y rol de las partes involucradas:
Alta gerencia
Este estudio sugiere que el gerente general realice una apreciación de las capacidades de
la ERM de la organización. Usando esta estructura, un gerente general junto con
ejecutivos clave en las áreas contables y operativas, puede centrar su atención donde sea
necesario. Bajo un enfoque, el gerente general podría reunir a los responsables de las
unidades de negocios y el personal de las funciones clave para encarar entre todos una
apreciación inicial de las capacidades y eficacia de la ERM. Cualquiera sea su forma,
una apreciación inicial debe determinar si es necesario y como proceder para realizar
una más profunda y amplia evaluación. También debe asegurarse que se han establecido
procesos de monitoreo continuo. El tiempo empleado en la evaluación de la ERM
representa una inversión de alto rendimiento.
Agencias reguladoras
Las expectativas con respecto a la ERM varían de manera importante en dos aspectos.
En primer lugar, difieren con respecto a qué pueden lograr estos mecanismos. Algunos
observadores creen que ERM prevendrá o deberá prevenir pérdidas económicas o por lo
menos prevenir a las empresas de la quiebra. En segundo lugar, aún cuando existe
acuerdo con relación a lo que ERM puede hacer y lo que no puede hacer y sobre el
concepto de “seguridad razonable”, puede haber visiones totalmente disímiles con
respecto al significado de dicho concepto y cómo el mismo será aplicado. Para ayudar a
conseguir una visión compartida de ERM y sobre lo que puede hacer, debe haber
acuerdo con respecto a una estructura común de ERM, incluyendos sus limitaciones.
Esta estructura puede ser vista con ese propósito.
Relación entre
Estructura de la Administración del Riesgo Empresarial y
Control Interno – Estructura Integrada
En 1992, el Comité de Organizaciones Auspiciantes de la Comisión Treadway, emitió
Control Interno – Estructura Integrada (CIEI), que estableció una estructura para el
control interno y proveyó herramientas de apreciación que las empresas y otras
entidades podrían utilizar para evaluar sus sistemas de control. La estructura definió y
describió cinco componentes interrelacionados necesarios para el control interno eficaz.
CIEI definió el control interno como un proceso llevado a cabo por el directorio, la
gerencia y el personal de una entidad destinado a proveer seguridad razonable con
respecto al logro de los objetivos en las siguientes categorías:
• Eficacia y eficiencia de las operaciones,
• Confiabilidad de la elaboración de información contable, y
• Cumplimiento de leyes y regulaciones aplicables.
Categorías de objetivos
CIEI especifica tres categorías de objetivos – operaciones, elaboración de información
contable y cumplimiento. ERM también especifica tres categorías similERMs de
objetivos – operaciones, elaboración de información contable y cumplimiento - y
mientras dos de ellas son definidas de la misma forma que en CIEI, una es diferente. La
categoría de elaboración de información contable en CIEI es definida en relación con la
confiabilidad de los estados contables publicados. En ERM, la categoría de elaboración
de información contable es ampliada significativamente de manera de cubrir todos los
informes realizados por la entidad y distribuidos tanto interna como externamente. Éstos
incluyen informes utilizados internamente por la gerencia y aquellos emitidos para
terceros, incluyendo informes a agencias reguladoras e informes a otros “grupos de
interés”. El alcance excede los estados contables para cubrir no sólo la información
contable sino también la no contable.
Otra categoría de objetivos ha sido agregada, a saber, los objetivos estratégicos, que
operan a un nivel más alto que los otros. Estos objetivos fluyen de la misión o visión de
una entidad y con ellos deben alinearse los objetivos de operaciones, de elaboración de
información y de cumplimiento. La ERM es aplicada en la definición de la estrategia,
así como en la búsqueda del logro de los objetivos de las otras tres categorías.
Ambito
Al analizar el componente àmbito, la ERM se centra más directa y extensamente en
cómo se modela el riesgo, ya sea explícita o implícitamente, la cultura de riesgo de una
entidad, que es el conjunto de actitudes, valores, metas y prácticas compartidos que
caracterizan la manera como una entidad considera los riesgos. ERM abarca el concepto
del nivel de riesgo aceptado por una entidad, lo que significa en grandes líneas, la
cantidad de riesgo que ella está dispuesta a aceptar para alcanzar sus metas. El nivel de
riesgo aceptado está respaldado por tolerancias al riesgo más específicas que reflejan el
grado de variación aceptable al realizar las actividades de la empresa.
Identificación de acontecimientos
ERM y el control interno reconocen que los riesgos tienen lugar en cada nivel de la
entidad y son el resultado de una variedad de factores internos y externos. Ambas
estructuras consideran la identificación de riesgos en el contexto del impacto potencial
en el logro de los objetivos.
Apreciación de riesgos
Mientras ambas estructuras requieren la apreciación del riesgo en términos de la
probabilidad de que un riesgo dado ocurra y su eventual impacto, la estructura de ERM
sugiere visualizar la apreciación del riesgo a través de una lente más potente. Los
riesgos son considerados sobre la base del riesgo inherente y del riesgo residual,
analizando el impacto a través de un solo medio, peor de los casos o distribución de
acontecimientos (éstas serían formas alternativas de análisis del impacto), expresado
preferiblemente en la misma unidad de medida establecida para los objetivos a los que
corresponden los riesgos. Los horizontes temporales deben ser consistentes con la
estrategia y los objetivos de una entidad, y de ser posible, con datos observables. ERM
también llama la atención a los riesgos interrelacionados, describiendo cómo un sólo
acontecimiento puede significar múltiples riesgos.
Respuesta al riesgo
ERM identifica cuatro categorías de respuestas al riesgo – evitar, reducir, compartir y
aceptar. Como parte de la ERM, la gerencia considera respuestas eventuales de estas
categorías, las considera con la intención de lograr un nivel de riesgo residual alineado
con las tolerancias al riesgo de la entidad. Luego de haber considerado respuestas al
riesgo sobre una base individual o grupal, la gerencia considera el efecto total de sus
respuestas al riesgo en relación a la entidad en toda su extensión.
Información y comunicación
ERM se extiende en el componente de información y comunicación, considerando datos
derivados de acontecimientos pasados, presentes y eventuales. Los datos históricos
permiten a la entidad comparar el desempeño real con las metas, planes y expectativas y
revela cómo se desempeñó la entidad en el pasado bajo condiciones cambiantes. Los
datos presentes o actuales proveen información adicional importante y los datos sobre
eventuales acontecimientos futuros y otros factores subyacentes completan el análisis de
la información. La infraestructura de la información procura y captura los datos en un
marco temporal y en una profundidad de detalle consistente con las necesidades de la
entidad de identificar, apreciar y responder a los riesgos y mantenerse dentro del nivel
de riesgo aceptado.
Roles y responsabilidades
Ambas estructuras centran su atención en los roles y responsabilidades de las diversas
partes que conforman, o proveen información importante a CIEI y ERM. ERM describe
el rol y las responsabilidades de los oficiales de riesgo y se extiende con respecto al rol
del directorio de una entidad.