COSO III, cul es su alcance?

Este pasado mes de mayo, despus de varios aos de preparacin, ha sido publicado el Marco
sobre Control Interno actualizado, pasando a identificarse de forma coloquial como COSO III.
Dando as continuidad a la saga de los COSOs, iniciada en 1992 con el Marco ahora actualizado
(COSO I), y posteriormente ampliada con el Enterprice Risk Management (ERM), ao 2004, o COSO
II.
Desde mi perspectiva, si bien COSO I dedicaba toda su atencin a la forma de entender, y atender,
el control interno de las organizaciones, con el documento del ao 2004, es decir con el ERM, se
segua manteniendo la preocupacin por el control interno, pero se incida y ampliaba un aspecto
bsico para conseguirlo, en concreto, la descripcin del proceso de gestin de los riesgos, por lo
que se detallaban, como nuevos elementos: (I) el establecimiento de los objetivos empresariales,
(ii) la identificacin de eventos que pudiesen afectarles y (iii) las respuestas a los riesgos. Aparte de
considerar que los objetivos deben ser consecuentes con la estrategia fijada por la Organizacin.

Con esta ampliacin, creo, que los que tuvimos oportunidad de apoyarnos en estos protocolos,
entendimos que la administracin de riesgos era uno de los elementos fundamentales del Sistema
de Control Interno con el que lograr la eficacia y eficiencia de las operaciones, la confiabilidad de
los reportes y el cumplimiento de leyes, normas y reglamentos, ya que dichos sistemas de gestin
de riesgos no son independientes del Sistema de Control Interno, sino que forman parte integral
del mismo. En sentido inverso la afirmacin contraria tambin es cierta, ya que no puede existir
una adecuada gestin de los riesgos, si en la empresa no impera un buen control interno. Por ello
la versin de COSO relativa a la Gestin de Riesgos Empresariales, ERM por sus siglas en ingls, la
entendimos que era COSO I, ampliado con un sistema de gestin de riesgos. Es decir, que
mejorndolo, lo anulaba y sustitua, a todos los efectos.

Por todo ello, esta ampliacin del ao 2004 permiti corregir algunos de los aspectos del Marco
original que necesitaban mejorarse, por ejemplo: que los objetivos del control interno no deban
limitarse a la fiabilidad de la informacin financiera, sino que deba darse cabida a todo tipo de
informacin, no solo la financiera. Tambin que el orden de los elementos, fuesen 5 u 8, deban
partir del entorno de control, situndolo en el nivel ms alto del cubo que grficamente lo
representaba, reconociendo as la validez del criterio Tone at the top, que nos indicaba que un
buen tono en la parte superior se consideraba como un requisito previo para conseguir un
adecuado y slido gobierno corporativo. Adicionalmente se consider oportuno sealar que los
objetivos, fuesen estos operacionales, de reporting o de cumplimiento normativo, deban fijarse
de forma coherente con los objetivos estratgicos previamente definidos, los cuales derivaban de
la estrategia de la Organizacin, que era lo primero que haba que conocer.

Hasta aqu, al menos, lo que yo entend, pero deba estar equivocado, puesto que 9 aos despus
de publicarse ERM, se difunde una nueva versin de COSO I, actualizada y mejorada. En ella se
admiten todos los cambios/mejoras ya introducidas por COSO II, salvo que los elementos vuelven
a quedar reducidos a 5, no haciendo referencia explcita al: Establecimiento de objetivos,
Identificacin de eventos y Respuesta a los riesgos; aunque el correspondiente a evaluacin de
riesgos s admite de manera inequvoca que la evaluacin de riesgos debe incluir la identificacin
de los riesgos, su anlisis y la respuesta que sea precisa. Adicionalmente se da entrada a los
conceptos de la tolerancia al riesgo en la evaluacin de los niveles aceptables de riesgo, e
incluyendo como novedad, ahora s, los conceptos de: velocidad y persistencia de los riesgos como
criterios para evaluar la criticidad de los mismos.

Adems cuando se citan las mejoras que acompaan al nuevo Marco actualizado, se comenta que
este ahora viene acompaado de dos nuevos y novedosos documentos: el correspondiente
al Control Interno sobre la informacin financiera externa (ICEFR) y lasherramientas de evaluacin
a emplear para valorar la eficacia del control interno; olvidndose, al parecer, que en el ao 2006
el propio COSO public el documento Control Interno para la informacin financiera para
Pequeas empresas cotizadas, y en el 2009, la Gua para la Supervisin de Sistemas de Control
Interno.

Adicionalmente se expone que se habilita un proceso de transicin para la entrada en vigor del
nuevo Marco de 18 meses, fijndose esta en el 15 de Diciembre del 2014, siendo efectiva hasta
ese momento COSO I.

Algo, o su totalidad, no he debido interpretar adecuadamente, pues: (i) si los cambios son
necesarios, por qu el periodo de transicin de 18 meses, (ii) desde cuando COSO es de obligado
cumplimiento en la gestin del Control Interno/ Sistemas de gestin de Riesgos para que haya que
informar si hemos actuado segn COSO I o COSO III, (iii) es realmente til y, sobre todo factible,
empezar a emplear mapas de riesgos multidimensionales.

Por ltimo, no s si los cambios de COSO III conducirn a que pronto aparecer un nuevo COSO IV,
que sera el COSO II con los cambios que se deriven de la nueva versin del Marco Integrado de
Control Interno, o que ERM desaparece por haber sido subsumido en COSO III.

Si alguien me lo puede explicar, por favor, le ruego que me lo aclare. Hasta entonces, o al menos
hasta el 15 de Diciembre de 2014, seguir evaluando los riesgos segn el mtodo clsico midiendo
solo su impacto y probabilidad.

Un saludo.