Академический Документы
Профессиональный Документы
Культура Документы
COSO ERM
1
ADMINISTRACIÓN DE RIESGO Y EL CONTROL MODERNOS EN LAS ENTIDADES
En el año 1985, se forma en USA, la Comision Treadway, cuyo presidente era James C.
Treadway, la cual en la actualidad se llama COSO, que es una comisión dedicada a mejorar
la calidad de la divulgación financiera respecto de la ética de los negocios, los controles
internos y el gobierno corporativo.
Todos sabemos que esta comisión está formada por las 5 asociaciones relacionadas con los
aspectos normativos americanos como son:
Pero para entender mejor el sistema de control interno de una entidad, tenemos que darle
valor a todo lo que se ha escrito sobre la materia a contar del siglo pasado, durante el cual la
profesión del Contador Público y Auditor, tuvo su mayor desarrollo, especialmente en lo
relativo al control interno, por lo tanto, donde se creo la doctrina, los procedimientos y las
normas.
A principio del siglo XX, Laurence R. Dicksee, señaló que los auditores deberían preocuparse
del control interno para llevar a cabo sus auditorías, y es precisamente en este siglo donde los
aspectos doctrinarios del CI, tienen su mayor auge, hay una preocupación permanente par
parte de la profesión respecto del tema.
En el año 1947, el IACP, emitió un documento denominado " Declaración tentativa de normas
de auditoría, su alcance y la significación de su aceptación general ", documento que fue
aprobado por los miembros del Instituto Americano en el año 1948.
En ese documento se indicaba las normas a las cuales estaban sujetos los profesionales
auditores, y en una norma relativa al trabajo se indicaba que el profesional auditor debía
"Estudiar y evaluar el Control Interno existente en la empresa, para determinar el
alcance, naturaleza y oportunidad en la aplicación de las pruebas de auditoría".
Luego, en vista de lo anterior el mismo IACP, nombró una comisión el año 1948 para dedicarse
a los aspectos doctrinarios del control interno. La citada comisión definió el control interno el año
1949.
2
Definición de Control Interno (año 1949)
“El control interno comprende el plan de organización, todos los métodos coordinados y
las medidas adoptadas en la empresa, para proteger sus activos, verificar la exactitud y
confiabilidad de sus datos contables, promover la eficiencia en las operaciones y
estimular la adhesión a las políticas ordenadas por la gerencia".
En el año 1958, el mismo instituto subdividió el Control Interno, ya que se entendía que este
contenía controles de tipo contables y de tipo administrativos.
Esa división se lleva a cabo denominando 2 tipos de controles, el Control Interno Contable y el
Control Interno Administrativo.
La profesión definió al CI Contable como "El plan de organización y todos los métodos y
procedimientos relacionados directamente con la protección de los activos y la
confiabilidad de los registros financieros".
Además, se agregó que el control interno contable, incluye controles tales como:
• Análisis estadísticos
• Estudio de tiempo y movimiento
• Informes de funcionamiento de la organización
• Programas de adiestramiento de personal
• Controles de calidad.
De las definiciones anteriores se llega a la conclusión que el control interno se extiende mucho
más allá de los aspectos contables financieros, o sea abarca a toda la organización, a todas las
funciones que se ejecutan en ella.
De la propia definición entregada en el año 1949 por el IACP, se desprenden 4 objetivos del
control interno y son los siguientes:
3
b) Asegurar la calidad de la información
c) Promover la eficiencia operacional
d) Impulsar la adhesión a las políticas de la empresa
Este objetivo del control interno implicaba, que en la medida que la empresa posea
procedimientos de CI, para todas sus operaciones, los recursos que ella posea estarán más
protegidos, esto quiere decir que los procedimientos de control por ejemplo impedirían que se
efectuaran gastos que no guardan relación con la empresa, se evitaría también ejecutar tareas
innecesarias, se evitarían las duplicidades de funciones y en general se lograría con un sistema
de control interno que las operaciones sigan el curso normal de ellas.
Es importante señalar que en la medida que existan los procedimientos de control interno para
obtener, procesar y entregar información, es obvio que esta será de mejor calidad que la
obtenida en empresas que no posean procedimientos.
Cabe agregar que estos procedimientos deben existir para todo tipo de información, sea esta
contable, presupuestaria o estadística.
Este objetivo del sistema de CI, debe permitir asegurar que la empresa, al emplear los
procedimientos de control interno establecidos, sus operaciones se logren en forma eficiente,
o sea lograr su misión, metas, objetivos, políticas a través de un uso adecuado de todos sus
recursos. Entonces, la entidad debe obtener el máximo de beneficio en el uso racional de sus
recursos.
Para lograr esto último, la entidad debe efectuar permanentes evaluaciones de los
procedimientos y de los resultados obtenidos con los planes establecidos, e informar a los
responsables de la gestión, de las deficiencias encontradas.
Es importante destacar en este objetivo del CI, es que la gerencia, y en general todos los
ejecutivos y supervisores que posea la organización, logren que el personal que lideran,
cumplan con los procedimientos establecidos, y los tomen como propios, para determinar
que las operaciones se ejecuten de acuerdo con esos lineamientos, y así lograr las metas
que deben alcanzarse.
Luego en la década de los años 70, el mismo IACP, empezó a definir un sinnúmero de
aspectos doctrinarios, y también a utilizar en forma fundamental el control interno para llevar a
cabo las auditorías, y es así como en esa época se fijan los siguientes conceptos.
En relación con el control interno, existen numerosos conceptos que deben ser definidos para
una mayor comprensión del sistema, entre los cuales tenemos:
4
La responsabilidad de crear, mantener, o corregir los procedimientos de control interno, es de la
gerencia general de la organización, como así mismo su implantación. Luego entonces el
sistema de control interno debe quedar bajo la continua supervisión de la gerencia de una
entidad, para determinar si está funcionando como se requiere. Sin embargo a partir del informe
COSO, la responsabilidad es de todos en la organización.
Los objetivos del control interno se pueden alcanzar cualesquiera sea el sistema de
procesamiento de la información que posea la entidad, sea este manual, mecanizado o
computacional, ya que lo que debería verse afectado son los procedimientos que se utilizan
para procesar la información en cualesquiera de los sistemas.
En cualesquier sistema de control interno que exista en una organización, siempre van a existir
limitaciones, que necesariamente se deben considerar, ya sea cuando se implemente o cuando
se evalué, ya que la mayoría de los procedimientos de control interno se pueden ver afectado
por las siguientes causas:
Los auditores, sean estos internos o externos, cuando están estudiando el sistema,
evaluando o comprendiéndolo, deben considerar el riesgo de las situaciones descritas.
5. Personal
En todo sistema de control interno, hay que considerar que la seguridad razonable de alcanzar
los objetivos, de la organización dependerá en gran medida de la competencia, integridad,
objetividad que posea el personal de la empresa.
6. Segregación de funciones
El sistema de control interno debe evitar que funciones incompatibles sean llevadas por una
misma persona, con el propósito de evitar errores o irregularidades en el manejo de las
operaciones.
5
Es así como es necesario que las funciones de registro deben ser distintas de la de caja, la de
facturación de la de cobranza, la de contabilidad de la de bodega, el vendedor, distinto del
cajero., y otras numerosas funciones incompatibles.
Las transacciones que se ejecutan en la empresa deben ser aquellas que están debidamente
autorizadas por personas responsables, y el sistema de control interno debe permitir que así se
proceda.
Estas autorizaciones, se relacionan, con los pagos, el endeudamiento, con las políticas de
crédito, políticas de contratación de personal, políticas de remuneraciones, adquisiciones de
bienes, autorizaciones para utilizar recursos de la entidad y otras.-
Los procedimientos de control interno, deben estar diseñados de tal forma, que el acceso a los
recursos de la entidad, esté limitado a las personas debidamente autorizadas, ya sea del punto
de vista físico, sino que también de la utilización que puede dárseles.
El sistema de control interno, debe poseer procedimientos que permitan que las personas que
trabajan en la entidad puedan comparar la existencia física del bien con lo que aparece
registrado. (Arqueo de Caja, Toma de inventarios y otros procedimientos de auditoría).
Ahora bien de estos conceptos algunos de ellos en la actualidad tienen plena vigencia.
En la misma época de los años 70, la profesión de auditoría definió los elementos del sistema
de control interno existentes en la entidad, a través del SAS 1 y señaló que ellos estaban
conformados por:
1. Un plan de organización
2. Un sistema de procedimientos y métodos
3. Un grado de calidad del personal
4. El sistema de Información.
En la década del 80, el IACP, emite más de 7 documentos (SAS), que vienen a cambiar en
forma sustancial, la forma de llevar a cabo las auditorías, y en relación con los riesgo aparece el
6
SAS 47 y respecto del control interno, se emite el SAS 55 en 1988, el cual nos cambia la norma
de auditoría y los elementos del mismo, y al sistema se le denomina estructura.
Luego entonces en esa fecha, se cambia la norma vigente desde el año 1947 y se señala:
Esta norma es recogida por el Colegio de Contadores a través de los documentos NAGAS y se
aplica en nuestro país a través de la NAGA 14 NAGA 22 y NAGA 44 de 2001.
La profesión cambia los elementos señalados en los primeros documentos emitidos, por
elementos de la estructura de control interno y fueron los siguientes
a) Ambiente de Control
b) Procedimientos de Control
c) Sistema contable.
En esta oportunidad, se le da mucha importancia a los riesgos de auditoría para los exámenes
que los auditores deben efectuar, y ellos son los de detección, el inherente y el de control, y el
profesional auditor debe evaluarlos durante el proceso de su examen, ya que estos influyen
directamente en la selección de la muestra, y en los rubros de mayor interés para efectos de la
auditoría.
Por otra parte a través del SAS 78, se modifica los aspectos doctrinarios del SAS 55, y se
adopta como parte integrante de las Normas de Auditoría , las conclusiones del citado informe
COSO.
Luego entonces a contar del mes de enero de 1997 entra en vigencia lo señalado en el SAS 78.
Tal como lo indicamos en los párrafos precedentes la nueva norma sobre el control interno
señala " Un suficiente entendimiento del control interno, tendrá el auditor, al planear la
auditoría, para determinar la naturaleza, tiempo y extensión de las prueba a ser
desarrolladas".
El mismo SAS 78, señala lo siguiente. “ El control interno es un proceso efectuado por el
consejo de directores de la entidad, gerencia y demás personal, designado para
proporcionar una razonable seguridad en relación con los logros de los objetivos de las
7
siguientes categorías: a.-seguridad de la información financiera, b.-efectividad y
eficiencia de las operaciones, y c.-cumplimiento de las leyes y regulaciones aplicables.”
Además de la definición de control interno que reemplaza la fijada en el año 1949, se fijan
nuevo elementos del sistema, que tanto el informe COSO, como el SAS 78, le denominan
componentes y ellos son los siguientes:
A.-AMBIENTE DE CONTROL
El ambiente de control. Establece el comportamiento del control en una entidad, o sea el nivel
de compromiso que asume una entidad respecto del control , o sea como el personal
comprende el control dentro de una organización., y constituye la base de todos los demás
elementos y componentes del sistema de CI en una empresa.
Entre los factores que se relacionan con este componente tenemos los siguientes:
La integridad y los valores éticos de las personas de una organización son fundamentales, para
la confianza que se pueda depositar en una entidad, ya que la integridad es un requisito previo
al comportamiento ético de todos los aspectos relacionados con una empresa.
Es importante recordar que la eficiencia del sistema de control interno de una organización no
puede pasar a llevar la integridad y los valores éticos de las personas que crean los
procedimientos de control, administran y supervisan.
8
Por otra parte es necesario señalar, que el comportamiento ético, así como la integridad de la
dirección son productos de una cultura corporativa, que debe materializarse en la creación de
normas éticas y de comportamiento de las personas que trabajan en una entidad.
Todos sabemos que en algunas entidades pueden existir fraudes u otras irregularidades y estos
se dan en una empresa por las siguientes razones:
La entidad debe evitar la ocurrencia de lo señalado y así evitar que se produzcan situaciones de
ésta naturaleza
La alta dirección de una empresa es la responsable de trasmitir los valores éticos y las normas
de comportamiento a todos sus empleados.
Cabe hacer presente que el nivel de competencia de las personas que laboran en una entidad,
debe reflejarse en el conocimiento y en las habilidades necesarias para llevar a cabo las tareas
que se le recomienden
La propia organización debe definir el nivel de conocimiento y habilidades que deben poseer las
personas en un determinado puesto, como así mismo debe tanto la organización , como las
propias personas deben preocuparse del perfeccionamiento continuo, para no perder la
competencia para ejecutar las tareas de la entidad en forma eficiente.
Fuera de lo anterior es importante destacar cual es el grado de compromiso que ellos adquieren
con la entidad, ya que depende de esto, para determinar su influencia en toda la organización, y
por consiguiente en el ambiente de control.
9
Una estructura organizativa, bien diseñada por la entidad, debe proporcionar el marco dentro de
la cual sus actividades deben ser planeadas, ejecutadas, controladas y supervisadas.
Esta estructura, debe tener bien diseñado, los niveles de autoridad y responsabilidad dentro de
ella, como también las fuentes de información que la entidad requiere para la toma de
decisiones y para el control.
Ahora bien es importante señalar que cada entidad debe adoptar la estructura organizacional,
que más concuerde con los objetivos que se requiere alcanzar, sin embargo esta estructura
puede variar por distintas razones, tales como:
-Tamaño de la entidad
-Dispersión geográfica
-Objetivos de la entidad
-Tipo de productos que entrega la entidad al mercado
La entidad debe tener claramente establecidos, ya sea a través de manuales y del organigrama
de ella los niveles de autoridad y responsabilidad existente en una empresa.
Es importante destacar, que en algunas entidades la tendencia es delegar más autoridad y los
niveles más bajo, para situar el proceso de toma de decisiones en esa primera línea, por otra
parte hay otras empresas que delegan la autoridad sólo cuando sea necesario, pero
independiente de la forma como se delegue es importante que el personal de la empresa
conozca los diferentes niveles de autoridad y responsabilidad existentes en una organización.
Es necesario destacar, que del punto de vista del CI, la organización debe tener procedimientos
claros respecto del punto anterior, y además que ellos sean conocidos por los empleados y
profesionales de la entidad.
Las organizaciones se encuentran con una serie de riesgos, cuyo origen puede ser interno,
como externo, que necesariamente debe evaluarse o tener en consideración.
Sin embargo, si bien el sistema de control interno puede minimizarlos, es imposible bajar
estos riesgos a un nivel cero.
10
Ahora bien, tal como lo señalamos, es importante evaluar estos riesgos, que consiste en la
identificación y análisis de los factores que podrían afectar alcanzar los objetivos de la
entidad.
Los riesgos en la información, incluyen eventos externos e internos, una vez que los riesgos
son identificados, la gerencia debe considerar su importancia, la probabilidad de su
ocurrencia, y como deben ser manejados.
Sobre el particular, la gerencia puede iniciar planes, programas o acciones para identificar
los riegos específicos, o para decidir o aceptar un riego, ya sea por el costo u otra
consideración.
Los riesgos identificados por la alta dirección, están directamente relacionados con los
procesos críticos, en los que se involucran a las diversas áreas de una entidad. Por lo tanto
es importante que los auditores, sean estos internos o externos identifiquen los riesgos, y así
asignar prioridades de revisión a las actividades con probabilidades de riesgo mayor. Ahora
bien respecto al COSO ERM, este punto es debidamente ampliado
11
Para determinar de una forma razonable los riesgos operativos, de una entidad, los
auditores, sean internos o externos se deben evaluar los riesgos, para lo cual es necesario
ponderar la importancia de las diversas operaciones de la empresa y la eficiencia de los
controles de ellas.
Objetivos
-Eficiencia en el costo
-Eficacia en las operaciones
-Confiabilidad de la información
-Cumplimiento con la normativa
-Salvaguarda de los recursos
Componentes
-Ambiente de control
-Evaluación de los riesgos
-Actividades de control
-Información y comunicación
-Monitoreo o supervisión
1.-La importancia de cada función, área o rubro frente a los objetivos de control.
2.-Asignar valores a los menos importantes y a los más críticos.
3.-Estimar la eficacia de los controles internos en cada uno de los componentes.
Los valores asignados se ponderan por cada uno de los componentes y representan el
riesgo residual posterior a las operaciones de los controles. Por lo tanto un valor menor
refleja más confianza en el funcionamiento efectivo del control interno.
Todo lo anterior es una forma de evaluar el control interno que propone el informe COCO
(Criterio of Control Board) de Canadá
C.-ACTIVIDADES DE CONTROL
Son las políticas y procedimientos que ayudan a asegurarse que las acciones necesarias,
serán tomadas en cuenta para establecer los riesgos y lograr los objetivos de la entidad.
O sea son las actividades de control que realiza la gerencia y demás personal de la entidad
para cumplir diariamente con las labores asignadas. Estas actividades están relacionadas
con las políticas, sistemas y procedimientos relacionados con aprobaciones, autorizaciones,
verificaciones, conciliaciones, inspecciones, revisiones de indicadores y salvaguarda de los
recursos.
Ahora bien, es importante tener en cuenta que para realizar una auditoría, respecto de este
componente, es necesario que se consideren, las actividades de control más relevantes,
12
dentro del marco de las políticas y procedimientos establecidos y que pertenecen a lo
siguiente:
-Realización de revisiones
-Proceso de información
-Controles Físicos
-Segregación de deberes.
D.-INFORMACIÓN Y COMUNICACIÓN
Por otra parte la comunicación incluye proporcionar información en todos los sentidos, tanto
al interior como externamente.
También es importante que todos comprendan la importancia del control interno para lograr
los objetivos de la entidad, y tener bien establecidos los canales a través de los cuales debe
fluir la información de la empresa.
Los sistemas de control interno de una organización, necesitan que permanentemente estén
siendo evaluados, para determinar si están funcionando tal como han sido prescritos, o en
caso contrario efectuar las correcciones pertinentes.
Ahora bien, esta labor le corresponde en primer lugar a quienes tienen autoridad dentro de
una entidad, y también a todo el personal, y a las auditorías, tanto las internas como las
externas.
13
Queremos señalar también que todo lo anterior es lo que conocemos sobre CI, hasta el mes
de Julio de 2003, cuando se reúne nuevamente la comisión COSO, y emite un nuevo
documento a contar de esa fecha, denominado COSO ERM, cuyo principal contenido es el
que se indica a continuación:
Es bueno recordar tal como lo hemos indicado con antelación, en este apunte, en el año
1992 se emite un documento denominado “Informe C.O.S.O.” (Committee of Sponsoring
Organizations of the Treadway Commission), el cual entrega una doctrina, enfoques y
metodologías modernas dirigido especialmente a los niveles estratégicos, logísticos y
tácticos dentro de la organización. Y también para los profesionales de la auditoría.
El informe C.O.S.O. de 1992, definió cinco componentes interrelacionados entre sí, los
cuales eran el Ambiente de Control, Evaluación de Riesgos, Actividades de Control,
Información y Comunicación; y Supervisión.
En esa misma época, en todas partes del mundo se emitieron con diferencias de meses o
años, más o menos, diferentes informes que hablaban de control interno. Se puede citar el
Informe Caldbury y turnbull en Inglaterra, el King en Sudáfrica, el COCO en Canadá, el
Peters en Holanda, el Olivencia en España, el Veniot en Francia, y otros
Es importante señalar que en año 1999 y surge un nuevo informe, esta vez en Reino Unido
llamado Informe Turnbull al alero de la Bolsa de Valores de Londres, que acrecienta la
importancia de la Administración de Riesgos en el mundo empresarial y organizacional, y
que entrega una Guía para los Directores y Administradores de Empresas.
14
El nuevo COSO (ERM)
Para nadie es un misterio que el INCPA incorporó el informe COSO, como una norma
Americana, sólo el año 1997, a través de su boletín SAS 78, pero acontecimientos tan
importantes como la caída de grandes empresas Americanas en insolvencias, no obstante
que tenían auditorías y sistemas de control interno, llevó nuevamente a reunir la comisión
COSO para reestudiar el documento anterior a la luz de los acontecimientos de estos años
en el mundo empresarial y de la auditoría.
El COSO II, incluye una guía actualizada que proporciona herramientas de ayuda a las
empresas en la administración de sus riesgos, ampliando de 5 a 8 los componentes de la
Administración de Riesgos Empresariales. Con ello, se entrega una respuesta a las
necesidades que viven las empresas en la actualidad, las cuales operan en ambientes
donde factores como la globalización, la tecnología, reestructuraciones, regulaciones,
mercados cambiantes y competencias, entre otros, crean la incertidumbre.
15
Componentes COSO I - 1992 Componentes COSO II - 2004
1. Ambiente de Control 1. Ambiente de Control Interno
2. Evaluación de Riesgos 2. Establecimiento de Objetivos
3. Identificación de Eventos
4. Evaluación de Riesgos
5. Estrategias frente al Riesgo
3. Actividades de Control 6. Actividades de Control
4. Información y Comunicación 7. Información y Comunicación
5. Supervisión 8. Supervisión
Como se puede observar desde el COSO I, el componente que tiene una profundización
mayor, es la Evaluación de Riesgos, la cual pasa a transformarse en el centro del análisis de
un control interno moderno, es más como leerán en las páginas siguientes, se comienza a
desarrollar la definición global de Administración de Riesgos Empresariales (ERM en inglés).
ADMINISTRACION DE RIESGOS
Cantidad de riesgo; Esto es la cantidad de riesgo que una organización está deseosa de
aceptar en pos del logro de sus objetivos.
16
Proporcionar una seguridad razonable; La administración de riesgos, por muy bien
diseñada que se encuentre, sólo puede aportar un grado de seguridad razonable con
respecto al logro de los objetivos organizacionales. Es casi imposible evitar la Elusión y
Colusión, que sin lugar a dudas afecta la Administración de los Riesgos Empresariales.
Logro de los objetivos; Dentro del contexto establecido en la misión o visión, está la
definición de los objetivos y la selección de estrategias para alcanzarlos.
Los ocho componentes del COSO II se amplían en los próximos puntos: Ambiente interno;
Definición o Establecimiento de objetivos; Identificación de eventos; Evaluación de riesgos;
Respuesta o Estrategia frente al riesgo; Actividades de control; Información y comunicación;
y Supervisión (Monitoreo o Vigilancia).
El ambiente interno en una entidad, que comienza en la gerencia, es la base para el resto de
los componentes de la administración de riesgos, proporcionando estructura y disciplina.
Influye en el establecimiento de estrategias y objetivos, estructuración de actividades, en la
información como en los sistemas de comunicación y en la supervisión de los procesos. El
Ambiente Interno también es influenciado por factores como la historia de la organización, su
cultura y subcultura, su estilo de dirección, competencia y desarrollo del personal, asignación
de autoridad y responsabilidad, sus valores éticos.
Todos los factores que afectan de una forma u otra a una organización, variarán en su
capacidad de afectar en conformidad al tamaño de la entidad, a la forma de administrar y en
la medida en que cada uno de estos factores sea considerado.
El informe C.O.S.O. II, define de la siguiente forma los factores del Ambiente de Control:
17
entidad con respecto a la administración de riesgos, y si a sus empleados y directores se les
facilita o potencia habilidades para reconocer los riesgos en forma eficaz, escogerlos,
dirigirlos y tratarlos.
Cantidad de riesgo
Es la cantidad de riesgo que una organización está dispuesta a aceptar con el fin de alcanzar
sus objetivos. Considera para este efecto en forma frecuente categorías como alta, media o
baja, o expresarse cuantitativamente en forma aproximada, reflejando un balance entre
metas de crecimiento, retorno y riesgo. El apetito de riesgo está directamente relacionada
con la estrategia de una organización, donde el retorno deseado debe estar alineado con la
capacidad de riesgo posible, por lo tanto, la administración de riesgos debe asesorar a la
dirección a escoger una estrategia consistente con sus alcances.
Cultura de riesgo
• Subcultura de riesgos
En algunas organizaciones existen unidades de negocios, procesos, funciones o
departamentos que de una forma u otra, dependiendo de sus objetivos, poseerán
culturas levemente diferentes. Sus gerentes, en forma individual, se sienten
preparados para tomar más riesgos, mientras otros son más conservadores, y estas
diferentes culturas algunas veces se cruzarán en sus propósitos. Para lo cual la
administración de riesgos debe velar por los equilibrios de ciertos choques que se
puedan presentar, en beneficio de la Organización como un todo.
Es un de los factores más críticos del ambiente interno e influencia fundamental para otros
elementos de la administración de riesgos. Hoy se habla de los gobiernos corporativos y
como ellos afectan el funcionar de las Organizaciones. Ambos estamentos de la empresa,
son y deben ser independientes de la administración, donde sus acciones juegan un rol vital
para organización, como también la experiencia y calidad de sus miembros, el grado de
participación y examen de actividades o vigilancia. Otro punto importante que incluye al
18
Consejo de Administración y al Comité de Auditoría es que se plantean preguntas difíciles a
la Dirección relativas a la estrategia, planes y desarrollo. Es así como el Consejo y el Comité
deben estar preparados para cuestionar y supervisar las actividades de la gerencia,
presentar opiniones alternativas y tener disposición para actuar cuando se originan
situaciones no deseadas, inesperadas o problemas de hecho, a través de la interacción del
Comité de Auditoría con los auditores externos e internos.
Integridad y valores éticos.
Los objetivos y estrategias de una organización, y la forma como ellos son implementados y
alcanzados están basados en preferencias, valores de juicio y estilos de gestión. Los cuales,
en su conjunto, definen la integridad, el compromiso ético y las normas de comportamiento
para la administración, las que deben ir más allá de cumplir con las regulaciones y normas
legales, donde la integridad es un requisito previo al comportamiento ético en cada uno los
distintos aspectos de las actividades de una organización.
A menudo establecer valores éticos en una entidad es difícil, complejo y frustrante, debido a
la necesidad de considerar los intereses de distintas partes, debiéndose establecer un
equilibrio entre los intereses de la organización con clientes, empleados, proveedores,
competidores y la comunidad.
Otras prácticas tentadoras son: La ignorancia (que no exista una guía explícita de procesos y
funciones); inexistencia de códigos de conducta; malas comunicaciones; complacencia con
las normas éticas; que los empleados sigan los malos ejemplos de la administración; falta de
controles o controles ineficaces, tal como una segregación de funciones deficiente en áreas
sensibles; reducir las probabilidades de detección al tener un alto nivel de descentralización
que impide a la Gerencia estar al tanto de las acciones llevadas a cabo en los niveles más
bajos; una función de auditoría interna débil y/o que no sea capaz de detectar e informar
acerca de comportamientos indebidos; sanciones menores por comportamientos indebidos
sin poder ejemplificador; inexistencia de mecanismos para animar a los funcionarios a
informar de irregularidades e infracciones y acciones disciplinarias para los que no informen.
La competencia refleja el conocimiento y las habilidades necesarias para realizar las tareas
asignadas. La Dirección determina el grado de perfección con la cual debe desarrollarse
cada tarea, teniendo en cuenta los objetivos de la organización, como los planes y
estrategias de la Gerencia para su obtención. La Dirección debe especificar el nivel de
competencia para cada trabajo, donde cada función se traduce en niveles de conocimiento y
habilidad, los cuales pueden estar en función de la inteligencia, formación y experiencia de
cada persona, así como el grado de juicio profesional aplicable a una específica función.
Este factor determina la manera en que la empresa es gestionada y tiende a definir los tipos
y cantidad de riesgo empresarial que se está dispuesto a aceptar. Una entidad que haya
19
tenido éxito en el momento de correr riesgos importantes puede tener una perspectiva
distinta de la administración de riesgos de otra que se ha enfrentado a sucesos con
consecuencias adversas desde un punto de vista financiero o administrativo, al ingresar a
aventuras económicas peligrosas. Una empresa de gestión informal puede controlar sus
acciones persona a persona con los directores claves, en cambio una formal puede
depender en mayor medida de políticas escritas, indicadores de rendimientos e informes de
excepción, etc.
Estructura orgánica.
Este factor tiende a definir el marco en el cual se planifica, ejecuta, manda, comunican y
supervisan las actividades de una entidad. Una estructura orgánica relevante define las
áreas claves de autoridad y responsabilidad como también el establecimiento de líneas
apropiadas de comunicación. Una entidad desarrolla su estructura organizativa de acuerdo a
sus prioridades estratégicas, algunas pueden ser centralizadas, descentralizadas,
piramidales o planas, por sector, líneas de productos, por zonas o red de distribución, o
funcionales como las del sector público.
Esta etapa se refiere a la medida en que se autoriza a los equipos o a las personas en forma
individual a utilizar iniciativas al momento de enfrentar problemas o tratar temas,
estableciendo límites de autoridad. Esto también incluye el establecimiento de informes y
protocolos de autorización, como de políticas que describan las prácticas más adecuadas
para la entidad, conocimiento y experiencia para el personal clave y los recursos para el
cumplimiento de las funciones. Como también que todo el personal esté en conocimiento y
entienda los objetivos, y cómo su actuar se relaciona con su entorno laboral y contribuye a la
obtención de ellos. Una delegación mayor exige implícitamente un mayor nivel de
competencia al personal, como también la necesidad de contar con procedimientos que
permitan supervisar con eficacia los resultados.
Estas prácticas tienen que ver con contratación, orientación, entrenamiento, evaluación,
asesoramiento, promoción, remuneraciones, como también el indicarles a los empleados los
niveles de integridad, ética y competencia que de ellos se espera. Desde el reclutamiento y
entrevistas el empleado, éste debe sentir el compromiso de la entidad con su persona, a
través de políticas de formación de su responsabilidad y funciones, capacitación para
demostrar los niveles esperados de desempeño; rotación de personal fundamentado en
evaluaciones; las remuneraciones basadas en incentivos por metas, responsabilidades
mayores; y finalmente las amonestaciones en contra de la indisciplina que da a conocer que
no se toleran conductas distintas a las deseadas.
20
– Asignación de Autoridad y Responsabilidad – Políticas y Prácticas de Recursos
Humanos.
ESTABLECIMIENTO DE OBJETIVOS.
El establecimiento de los objetivos es una condición previa al desarrollo propiamente tal las
actividades de la entidad, ya que deben haber objetivos antes que la Dirección pueda
identificar, evaluar y manejar los riesgos para su obtención, éstos generalmente vienen
implícitos en la misión y visión de la entidad, las cuales son su razón de ser. Luego, la
Dirección define sus objetivos estratégicos, los cuales son metas de alto nivel y de largo
plazo, las que se sustentan en la visión y misión de la organización, y reflejan la opción de
cómo la entidad buscará darse valor y a la vez rentabilidad a las partes interesadas.
Es fundamental para el éxito, establecer objetivos correctos que se apoyen y se alineen con
la estrategia seleccionada, y que incluya a todas las actividades de la entidad. Es así, como
enfocados en los objetivos estratégicos y en la estrategia misma, una entidad se posiciona
para desarrollar los objetivos operacionales, creando y conservando valor. Cada objetivo
operativo se une e integra a objetivos más específicos que caen en forma de cascada, a
través de la organización, sobre todas las actividades. Al definirse los objetivos, se debe
hacer en forma ordenada y por actividades, con el objeto que la entidad pueda identificar
factores críticos fundamentales.
• Objetivos estratégicos. Estos tienen directa relación con la planificación de largo plazo,
y son el fundamento de las restantes categorías de objetivos.
21
través de un desarrollo consistente de acciones y metas a través de la entidad, identificación
de factores claves y de riesgo, y efectuando evaluaciones desde la selección de objetivos,
los niveles de apetencia y tolerancia al riesgo, y asimismo activar lo controles que los
minimicen, etc.
IDENTIFICACION DE EVENTOS
Los eventos son sucesos que ocurren por casualidad o causalidad, que pueden originarse de
fuentes internas o externas de la empresa, y que pueden afectar el desarrollo de las
estrategias o el logro de los objetivos. Para estos efectos, la Gerencia define rangos de
ocurrencia de eventos potenciales de origen interno o externo y si el impacto va a ser
positivo o negativo.
La identificación del evento es la mejor herramienta, aparte de la evaluación del mismo, sin
embargo, lo limitado de esta práctica es poder establecer de dónde vendrá; pero los eventos
potenciales negativos de remota posibilidad de ocurrencia no deben ser ignorados, ya que
afectarían gravemente a la organización y a sus objetivos.
Como los eventos que influyen en las estrategias y objetivos pueden ser internos o externos,
la administración de riesgos debe reconocer el factor de origen de éstos, como por ejemplo
para el caso de los externos sería la economía y el comercio, catástrofes, medio ambiente,
políticas de gobierno, cambios de hábitos sociales y tecnología; ahora para factores internos
se identifican la infraestructura, personal, procesos y tecnología.
Por otra parte, los eventos también deben identificarse a nivel de actividad, ya que
contribuye a la evaluación de los riesgos y a mantener alineado el apetito con la tolerancia
de riesgo de la entidad.
No todos los eventos representan un impacto negativo, pueden ser positivos o tener ambas
características. Aquellos que representan riesgos requieren ser evaluados y controlados, ya
22
que significan la posibilidad que afecten adversamente el logro de los objetivos. En cambio
los eventos con un impacto potencialmente positivo representan las oportunidades, para lo
cual deben ser encauzados y considerados en el establecimiento de las estrategias o en los
objetivos de los procesos, para que puedan formularse las acciones para considerarlos en el
futuro.
Identificación de Eventos - Factores a Considerar:
Eventos – Factores que Influyen (Externos o Internos) - Metodologías y Técnicas –
Independencia de Eventos – Categoría de Eventos – Riesgos u Oportunidades
EVALUACION DE RIESGOS
La Dirección considera dos tipos de riesgos, siendo el primero el riesgo inherente que es
aquel que afecta a una entidad ante la ausencia de acciones de la administración que
fuercen a alterar la probabilidad de su impacto; y el riesgo residual es aquel que permanece
después que la dirección responde al riesgo a través de sus controles., siendo el segundo un
derivado del primero.
23
con el transcurso del tiempo, para predecir el futuro, que permitan minimizar la probabilidad e
impacto de los riesgos, los cual debe realizarse en forma metódica y no al azar.
En cambio, las técnicas cuantitativas traen más precisión y se utilizan en actividades más
complejas y sofisticadas, complementando a las técnicas cualitativas. Las técnicas de
evaluación cuantitativas normalmente requieren un grado más alto de esfuerzo, la que por lo
general utiliza métodos matemáticos, lo cual la vuelve dependiente de la calidad de los datos
de apoyo, para una previsión confiable, como resulta de utilizar las técnicas de
benchmarking, modelo probabilístico y no probabilístico. Sin embargo, se pueden utilizar las
dos en conjunto, convirtiéndose en una técnica de evaluación cualitativa, facilitando su
información en base más científicas.
Por otra parte, la Administración de riesgos puede evaluar eventos correlacionados, donde la
combinación de éstos puede significar diferentes probabilidades o impactos. Mientras el
impacto de un único evento fuerte puede ser débil, una secuencia de eventos fuertes tiene
un mayor y significante impacto. Para este último suceso múltiple, la administración de
riesgos debería hacer esfuerzos para evaluar en escenarios de análisis, el impacto de los
eventos y los efectos que éstos originarían, aunque no se debe dejar de tener presente la
constante repetición de eventos menores.
• Evitar el riesgo. Las acciones son dirigidas a eliminar o evitar las actividades que
originan riesgo, como eliminar una línea de productos o no operar con un sector de
clientes.
24
• Reducir el riesgo. En este caso las acciones tienden a reducir la probabilidad, el impacto
o ambos. Por ejemplo, estableciendo controles más rigurosos o automatizar para bajar la
probabilidad; o bajando el monto de las transacciones por cliente; o ambas.
• Aceptar el riesgo. Esta se refiere a que no se toma ninguna acción, ante la probabilidad
de riesgo o impacto.
Para muchas entidades, las opciones de respuesta apropiadas para algunos tipos de riesgos
son obvias y bien aceptadas, en cambio para otras las opciones disponibles de respuesta no
están muy claras en el breve plazo y se requiere actividades de identificación más extensas,
como análisis y estudio de mercado. Por lo tanto, la Administración de riesgos de una
organización debe considerar las respuestas potenciales dentro de una categoría de riesgo
(criticidad), lo que entrega una profundidad suficiente para la selección de la respuesta y
cambios de los niveles, respetando las siguientes etapas:
• Analizar las posibles oportunidades para alcanzar los objetivos de la organización, que
van más allá de los riesgos específicos.
Por otra parte, al evaluar las posibles respuestas a los riesgos, se deben analizar los riesgos
inherentes con la intención de alcanzar un riesgo residual que se mantenga alineado con la
tolerancia de riesgos organizacionales, donde una combinación de respuestas puede
proporcionar un resultado óptimo, afectando el riesgo de eventos potenciales.
Consecuente, y una vez evaluados los efectos de las alternativas de respuesta a los riesgos,
la dirección decide manejarlas seleccionando una respuesta o combinación de ellas que
enfrente a la probabilidad e impacto de riesgos con la tolerancia de riesgos de la entidad.
25
Una vez seleccionado una respuesta, se necesita un plan de aplicación para ejecutarla y
recalibrar el riesgo en una base residual, como de un procedimiento que permita a la
Dirección asegurar su aplicación eficaz, estos procesos son las Actividades de Control. Aún
cuando, siempre se ha de reconocer que algún grado de riesgo residual existirá, y no sólo
por la escasez de los recursos, sino que también debido a la incertidumbre futura inherente a
todas las actividades.
La administración de riesgos considera a los riesgos desde una perspectiva global creando
un portafolio de riesgos, formando una visión de riesgos general, donde el gerente
responsable de cada departamento, función o unidad comercial desarrolla una evaluación
compuesta de riesgos y respuestas al riesgo para esa unidad. Esta visión entrega el perfil
de riesgo relativo, sus objetivos y tolerancias de riesgos, lo que le permite no exceder el
deseo como la tolerancia de riesgo global de la entidad, manejar el riesgo por unidades en
forma coordinada y enfrentar la probabilidad de riesgos e impactos múltiples o relacionados
por unidades en forma individual y en conjunto a través de respuestas proactivas y con una
asertiva visión para las oportunidades.
ACTIVIDADES DE CONTROL
Estas son políticas y procedimientos que ayudan a asegurar que las respuestas a los riesgos
de la Dirección sean llevadas a cabo, a través de toda la organización. Estas actividades
son aplicadas con respecto a cada uno de las categorías de objetivos: estratégicos,
operativos, información y cumplimiento, y que en su conjunto son partes del proceso que
permiten a una organización alcanzar sus metas comerciales. Son fundamentales para la
respuesta a los riesgos en forma propia y oportuna.
Existen variados tipos de actividades de control, pero el Informe C.O.S.O.II sólo se limita a
definir cuatro, que son los siguientes:
• Controles Físicos. Equipos, inventarios, inversiones, caja y otros activos son sometidos
a recuentos físicos y comparados con archivos de control;
Normalmente, las actividades de control involucran dos elementos que son las políticas, que
establecen qué debe hacerse y los procedimientos que desarrollan las políticas. El resultado
de la aplicación de procedimientos asociados a las políticas debe ser revisado a través de
seguimientos y efectuar las acciones correctivas apropiadas, o en su defecto corregir las
políticas.
Por otra parte, los sistemas de información debido a su papel fundamental en la actualidad
cuentan con una extrema confianza, lo que por consecuencia lógica deben contar con
26
actividades de control integrados, las que se agrupan en controles generales y de
aplicación, donde ambos controles en total contribuyen a asegurar la exactitud, totalidad y
validez de la información.
Los controles generales son aquellos que se aplican a muchos si no a todas las operaciones
y permiten su continuidad, como sucede con los sistemas de administración tecnológica,
infraestructura, seguridad, adquisición de software, desarrollo y mantención.
Los controles de aplicación son aquellos que están incluidos en los procedimientos
informatizados dentro de los software de aplicación, y están diseñados para asegurar la
integridad, exactitud y validez de la captura de datos en los procesos, y evitan que se
introduzcan errores en el sistema, detectándolos y corrigiéndolos, como sucede con la
captura de errores en los datos y su comprobación, cálculos para validar datos, prueba de
datos predefinidos y test de datos lógicos. La íntima relación de ambas categorías de
control informático nace en que los controles generales son necesarios para un adecuado y
seguro funcionamiento de los controles de aplicación que dependen de los procesos
informáticos.
Las actividades de control como respuesta al riesgo de cada organización dependerá de los
objetivos, los juicios personales de la Dirección, la complejidad de la entidad, su historia y su
cultura. Sin embargo, la naturaleza y el alcance de las operaciones de la organización
afectarán a sus actividades de control, por lo cual las organizaciones con diversas funciones
pueden presentar problemas de control más complejos, como sucede en el caso de una
entidad descentralizada y con sucursales. Por el contrario una empresa más simple con
actividades menos variadas y centralizada, con estructura más plana, no enfrentará mayores
complicaciones en sus actividades de control como respuesta a las probabilidades de riesgo
o su impacto.
INFORMACION Y COMUNICACIÓN
27
en departamentos o procesos para ser utilizada por la Dirección en tiempo real y
oportunamente.
Para apoyar a la administración de riesgos, una entidad utiliza datos históricos y presentes.
Los datos históricos permiten a la organización desarrollar soluciones a los actuales
problemas contrarios a los objetivos, planes y expectativas, proporcionando las visiones de
cómo la entidad actuó bajo las condiciones actuales, ya repetidas, lo que permite a la
Dirección identificar tendencias como prever actuaciones y situaciones futuras,
convirtiéndose en una alerta temprana de eventos potenciales. Asimismo, los datos actuales
permiten a una organización determinar su perfil de riesgo presente en un punto específico
y permanecer dentro de rangos de tolerancia de riesgos establecidos, contribuyendo a la
administración de riesgos a tomar visiones en tiempos reales de la existencia de riesgos
inherentes en procesos, funciones o unidades e identificar las posibles variaciones de lo
esperado. En conjunto, ambos tipos de datos permiten a la entidad evaluar la probabilidad e
impacto futuro de eventos potenciales sobre los objetivos y poder efectuar las modificaciones
suficientes sobre las actividades, en conformidad a su deseo y tolerancia al riesgo.
Las oportunidades que permite alcanzar una infraestructura de información adecuada son
fundamentales para una entidad, convirtiéndose en una capturadora de datos en márgenes
de tiempo válido y fuente de información consistente con las necesidades de una
organización que contribuye a identificar, evaluar y responder a los riesgos dentro de un
margen de tolerancia, siendo sus flujos consistentes con la proporción de cambios
organizacionales y con los ambientes internos y externos. La infraestructura convierte los
datos en información real y oportuna que permite a los empleados llevar a cabo la
administración de riesgos y otras responsabilidades. Se proporciona la información correcta
en un formulario dentro de un margen de tiempo real y necesario, al nivel correcto de detalle,
tanto en los departamentos, unidades o procesos como a las personas adecuadas.
Ante la creciente dependencia de los sistemas de información, cada día más sofisticados, y
sistemas de decisión automatizados, la confiabilidad en los datos se vuelve crítica, ya que los
datos inexactos pueden producir riesgos no identificados o evaluaciones y decisiones
erróneas, por lo tanto, la información para ofrecer suficientes datos relevantes para efectuar
una correcta administración de riesgos, debe presentar un nivel de calidad óptimo en lo
referente a: contenido de detalles e información necesaria; oportunidad de la información en
el tiempo y momento necesario; información actualizada y disponible; exactitud de la
información sustentada en datos correctos; finalmente, accesibilidad de la información para
las personas adecuadas y aseguramiento contra los cybercrímenes.
La comunicación es inherente a los sistemas de información, y para toda entidad que cuente
o no con un sistema de información la comunicación juega un rol preponderante, ya que
deben proporcionar información relevante a las personas adecuadas, con el objeto que
cumplan con sus labores operativas en forma adecuada.
28
Todos estos puntos en su conjunto permitirán al personal estar atentos y saber que cuando
un evento inesperado ocurre, la atención no sólo será prestada al propio evento sino que
también a las causas. Asimismo, el personal también necesita saber cómo sus actividades
se relacionan con el trabajo de otros, lo que les ayudará a reconocer un problema,
determinar su causa y una acción correctiva, como también estar en conocimiento de
conductas aceptables e inaceptables, y creer de verdad que sus superiores quieren saber
sobre los problemas y de sus soluciones. De esta manera una debilidad potencial en el
sistema puede identificarse y tomar acción para que no se repita.
Dentro de las actividades de supervisión continua, el informe C.O.S.O. II, presenta las
siguientes:
• Los informes de explotación son integrados y conciliados con otros informes financieros y
usados para administrar operaciones con el objeto de detectar inexactitudes significantes
o excepciones a los resultados.
29
• La comunicación de los agentes externos debe ser confirmada con la información
internamente generada o señalar problemas.
• El personal debe ser consultado periódicamente sobre si conocen, cumplen los códigos
de conducta de su entidad.
• No es conveniente que una misma unidad evalúe sus respuestas al riesgo y sus
controles relacionados a la administración de riesgos. Es la Auditoría Interna la que debe
ejecutar esta evaluación como parte de sus actividades regulares o a solicitud de la
autoridad, y también considerar la opinión de la auditoría externa.
30