1.coso I - 1 Parte

Committee of Sponsoring Organizations of the Treadway Commission (COSO)
Gestin de Riesgos Corporativos - Marco Integrado
Gestin
de Riesgos
Corporativos
Marco Integrado
Committee of Sponsoring Organizations

of the Treadway Commission (COSO)
Copyright del Committee of Sponsoring Organizations of the Treadway Commission.

1 2 3 4 5 6 7 8 9 MPI 0 9 8 7 6 5 4
Copyright 2009 de la versin espaola: PricewaterhouseCoopers
Se pueden solicitar ejemplares adicionales de Gestin de Riesgos Corporativos Marco Integrado: Resumen
Ejecutivo y Marco y Gestin de Riesgos Corporativos Marco Integrado: Tcnicas de Aplicacin, 2 vol. Set,
item # 990015 llamando de modo gratuito al 1 888 777 7077 o acudiendo a www.cpa2biz.com.
Se reservan todos los derechos. Para ms informacin sobre permisos y licencias de reimpresin, llame al
(201) 938 3245. Hay disponible un formulario de solicitud de permisos para solicitudes enviadas por correo
electrnico en la direccin www.aicpa.org/cpright.htm. De lo contrario, debern enviarse las solicitudes, por
escrito y por correo ordinario, a Permissions Editor, AICPA, Harborside Financial Center, 201 Plaza Three,
Jersey City, NJ 07311-3881.
Traducido de: Enterprise Risk Management Integrated Framework
INFORME COSO-OKJ
25/5/05
18:14
Pgina 1
INFORME COSO-OKJ
25/5/05
18:14
Pgina 152
INFORME COSO-OKJ
25/5/05
18:14
Pgina 3
Gestin
de Riesgos
Corporativos
Marco Integrado
Resumen Ejecutivo
Marco

INFORME COSO-OKJ PWC
6/7/05
13:01
Pgina 4
Committee of Sponsoring Organizations of the Treadway Comission (COSO)

SUPERVISIN
PRESIDENCIA COSO: John J. Flaherty
AMERICAN ACCOUNTING ASSOCIATION: Larry E. Rittenberg
AMERICAN INSTITUTE OF CERTIFIED PUBLIC ACCOUNTANTS: Alan W. Anderson
FINANCIAL EXECUTIVES INTERNACIONAL: John P. Jessup, Nicholas S. Cyprus
INSTITUTE OF MANAGEMENT ACCOUNTANTS: Frank C. Minter, Dennis E. Neider
THE INSTITUTE OF INTERNAL AUDITORS: William G. Bishop, III, David A. Richards
Consejo asesor del proyecto COSO

GUA
Tony Maki (Presidente)
Socio
MOSS ADAMS LLP
James W. DeLoach
Director ejecutivo
PROTIVIFI INC.
John P. Jessup
Vicepresidente y Tesorero
E. I. DUPONT DE NEMOURS AND CO.
Mark S. Beasley
Catedrtico
NORTH CAROLINA STATE UNIVERSITY
Andrew J. Jackson
Vicepresidente primero de los
Servicios de aseguramiento
de riesgos
AMERICAN EXPRESS COMPANY
Tony M. Knapp
Vicepresidente primero y
Controller
MOTOROLA, INC.
Jerry W. DeFoor
Vicepresidente y Controller
PROTECTIVE LIFE CORPORATION
Steven E. Jameson
Vicepresidente ejecutivo,
Director de Auditora interna y
Responsable de riesgos
COMMUNITY TRUST BANCORP, INC.
Douglas F. Prawitt
Catedrtico
BRIGHAM YOUNG UNIVERSITY
PricewaterhouseCoopers LLP
AUTORA
Richard M. Steinberg
Anterior Socio responsable de Gobierno Corporativo
(Actualmente, en Steinberg Governance Advisors)
Miles E.A. Everson

Socio responsable de Servicios Financieros
Finanzas, Operaciones, Riesgos y Cumplimiento Normativo
Nueva York
Frank J. Martens
Director Ejecutivo
Servicios a Clientes
Vancouver (Canad)
Lucy E. Nottingham
Gerente
Servicios Internos
Boston
Depsito Legal: M-30224-2005

Copyright 2005 by The Committee of Sponsoring Organization, C/O AICPA, Harborside Financial Center, 201 Plaza three, Jersey City, NJ
07311 3881, USA. All rights reserved.
Permission has been obtained from the copyright holder, The Committee of Sponsoring Organization, C/O AICPA, Harborside Financial Center,
201 Plaza three, jersey City, NJ 07311 3881, U.S.A., to publish this translation, which is the same in all material respects, as the original,
unless approved as changed. Permission has been obtained to publish this translation in the following publication: [Gestin de Riesgos
Corporativos - Marco Integrado] No part of this document may be reproduced, stored in any retrieval system, or transmitted in any form, or by
any means electronic, mechanical, photocopying, recording, or otherwise, without prior written permission of The Committee of Sponsoring
Organizations of the Treadway Commission.
El permiso para publicar esta traduccin ha sido obtenido del titular de derechos de autor: The Committee of Sponsoring Organization, C/O
AICPA, Harborside Centro Financiero, 201 Plaza tres, ciudad de Jersey, NJ 07311 - 3881, EE.UU., que es la misma que el original, a no ser que
el cambio haya sido aprobado previamente. El permiso para publicar esta traduccin ha sido otorgado a la siguiente publicacin: [Gestin de
Riesgos Corporativos - Marco Integrado]. Esta publicacin no se podr reproducir, almacenar en sistemas de recuperacin, transmitir en forma
alguna, por medio mecnico, electrnico, fotocopiado, grabado u otro, ni en su totalidad ni en parte, sin autorizacin escrita del Committee of
Sponsoring Organization of the Treadway Commission.
Se pueden solicitar ejemplares adicionales de Gestin de Riesgos Corporativos Marco Integrado: Resumen Ejecutivo y Marco y Gestin de
Riesgos Corporativos Marco Integrado: Tcnicas de Aplicacin, 2 vol. Set, item # 990015 llamando de modo gratuito al 1 888 777 7077
o acudiendo a www.cpa2biz.com.
Se reservan todos los derechos. Para ms informacin sobre permisos y licencias de reimpresin, llame al (201) 938 3245. Hay disponible un
formulario de solicitud de permisos para solicitudes enviadas por correo electrnico en la direccin www.aicpa.org/cpright.htm. De lo contrario,
debern enviarse las solicitudes, por escrito y por correo ordinario, a Permissions Editor, AICPA, Harborside Financial Center, 201 Plaza Three,
INFORME COSO-OKJ
25/5/05
18:14
Pgina 5
NDICE
GESTIN DE RIESGOS CORPORATIVOS - MARCO INTEGRADO

PRLOGO
Luis Aranaz Zuza y Jos Luis Madariaga Gandarias ................................................
INTRODUCCIN
John J. Flaherty y Toni Maki .....................................................................................
RESUMEN EJECUTIVO .........................................................................................
15
MARCO
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
Definicin ......................................................................................................
Ambiente interno ...........................................................................................
Establecimiento de objetivos ........................................................................
Identificacin de eventos ..............................................................................
Evaluacin de riesgos ...................................................................................
Respuesta a los riesgos ................................................................................
Actividades de control ..................................................................................
Informacin y comunicacin .........................................................................
Supervisin ...................................................................................................
Roles y responsabilidades ............................................................................
Limitaciones de la gestin de riesgos corporativos .....................................
Qu hacer ......................................................................................................
25
39
47
55
63
71
77
85
93
101
111
115
ANEXOS
A Objetivos y Metodologa ...............................................................................
B Resumen de principios clave ........................................................................
C Relacin entre Gestin de riesgos corporativos Marco integrado
y Control interno Marco integrado .............................................................
D Bibliogafa seleccionada ...............................................................................
E Consideracin a los comentarios .................................................................
F Glosario .........................................................................................................
G Agradecimientos ...........................................................................................
121
125
135
139
141
147
151
INFORME COSO-OKJ
25/5/05
18:14
Pgina 6
INFORME COSO-OKJ
25/5/05
18:14
Pgina 7
PRLOGO
Han pasado 8 aos desde que, en 1997 PricewaterhouseCoopers y el Instituto de

Auditores Internos de Espaa publicaran la traduccin al castellano del Control
Interno-Marco Integrado ms conocido como Informe COSO.
Este documento, emitido por el Committee of Sponsoring Organizations of the
Treadway Commission (COSO) formado por representantes de la American
Accounting Association, American Institute of Certified Public Accountants, Financial
Executives International, Institute of Management Accountants y The Institute of
Internal Auditors, se ha constituido como un elemento fundamental dentro de las
organizaciones para la consecucin de sus objetivos a travs de la definicin de un
marco comn de control interno.
Tras el xito cosechado por esta publicacin, en los ltimos aos ha ido cobrando
cada vez ms relevancia el concepto de gestin de riesgos, como pieza clave en la
creacin de valor para los grupos de inters de las organizaciones.
Debido a esta tendencia, en el ao 2001, COSO percibe la necesidad de desarrollar
un marco integrado de gestin de riesgos corporativos que defina las pautas y conceptos fundamentales as como una terminologa comn en esta rea. Para su
desarrollo cuenta con PricewaterhouseCoopers y en septiembre de 2004 emite, precedido por una extraordinaria expectacin, el informe definitivo Gestin de Riesgos
Corporativos-Marco Integrado.
Con enorme satisfaccin presentamos ahora, fruto de la colaboracin de
PricewaterhouseCoopers en Espaa y el Instituto de Auditores Internos de Espaa, la
edicin de esta traduccin al castellano del Informe COSO sobre Gestin de Riesgos
Corporativos.
Tanto desde el Instituto de Auditores Internos como desde PricewaterhouseCoopers
consideramos fundamental la difusin del conocimiento de los conceptos de gestin
de riesgos, claramente definidos en este documento, no solo dirigida a los profesionales de la auditora interna, sino a todos los niveles de la organizacin y de otros
mbitos de la sociedad mercantil espaola.
El presente documento se divide en dos partes. La primera contiene un Resumen
Ejecutivo y el Marco Integrado. El Resumen Ejecutivo es una perspectiva de alto nivel
dirigida a los consejeros delegados, otros altos directivos, consejeros y reguladores.
El Marco Integrado define la gestin de riesgos corporativos y describe principios y
conceptos, proporcionando orientacin a todos los niveles de direccin en empresas
y otras organizaciones para ser usada en la evaluacin y mejora de la eficacia de
dicha gestin. Determina ocho componentes a considerar dentro de la gestin de
riesgos relacionndolos con cuatro categoras de objetivos organizacionales y con las
distintas divisiones o unidades de las entidades. La segunda parte del documento
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 8
RIESGOS CORPORATIVOS MARCO INTEGRADO
corresponde a las Tcnicas de aplicacin y proporciona ejemplos de algunas tcnicas de gestin de riesgos para las entidades relacionadas con los componentes y
contenidos del Marco.
Este Marco Integrado se encuentra tambin estrechamente relacionado con el
Informe COSO sobre Control Interno que considera la gestin de riesgos corporativos como pieza fundamental entre sus elementos.
Desde estas lneas, nos gustara transmitir nuestro agradecimiento a todos los profesionales de PricewaterhouseCoopers que, bajo la direccin de Enric Domnech y la
supervisin de Ramn Abella han puesto gran empeo y dedicacin en la traduccin
de este informe y a los del Instituto de Auditores Internos de Espaa encabezado por
su Director General Javier Faleato y que, con la colaboracin de Rafael Gonzlez
Marn han hecho posible esta edicin del informe en castellano, informe que, sin
duda, constituir una gua prctica y un elemento de consulta indispensable sobre
todos los aspectos relacionados con los riesgos de las entidades, su gestin y control, incluyendo, la responsabilidad del auditor interno en la supervisin de la gestin
integral de riesgos.
Mayo 2005
Luis Aranaz Zuza
Jos Luis Madariaga Gandarias
PRESIDENTE
Instituto de Auditores Internos de Espaa
PRESIDENTE
PricewaterhouseCoopers
INFORME COSO-OKJ
25/5/05
18:14
Pgina 9
INTRODUCCIN
Hace ms de una dcada, el Comittee of Sponsoring Organizations of the Treadway

Commission (COSO) emiti Control Interno Marco Integrado, para ayudar a compaas y otras entidades a evaluar y mejorar sus sistemas de control interno. Desde
ese momento, dicho marco fue incorporado a las polticas, normativas y regulaciones
y utilizado por miles de compaas para controlar mejor sus actividades en su progreso hacia el logro de sus objetivos.
En los ltimos aos hemos visto una conciencia y enfoque ms sensibles respecto a
la gestin de riesgos, y se ha hecho cada vez ms patente que existe la necesidad
de establecer un marco slido para identificar, evaluar y gestionar los riesgos de
modo eficaz. En el ao 2001 COSO inici un proyecto, contratando a
PricewaterhouseCoopers, para desarrollar un marco que fuera accesible para el uso
de la direccin de las empresas en la evaluacin y mejora de la gestin de riesgos en
sus organizaciones.
Durante el desarrollo de este marco han acontecido una serie de escndalos mercantiles y fallos donde los inversores, personal y dems grupos de inters han sufrido prdidas tremendas. Despus han habido requerimientos para mejorar el gobierno corporativo y la gestin de riesgos a travs de nuevas legislaciones, normativas y
estndares para la cotizacin de las sociedades. La necesidad de un marco de gestin de riesgos que facilitara los conceptos y principios ms importantes, un lenguaje comn, y una orientacin clara, se hizo ms acuciante. COSO considera que este
informe Gestin de Riesgos Corporativos Marco Integrado cubre esta necesidad, y
espera que sea ampliamente aceptado por compaas y dems organizaciones y,
claro est, por todos los grupos de inters.
Entre las consecuencias en los EEUU de la situacin descrita anteriormente, est la
Ley Sarbanes-Oxley de 2002, y la normativa similar promulgada o por promulgar en
otros pases. Esta ley ampla el requisito de siempre, en virtud del cual, las sociedades annimas deben mantener sistemas de control interno, exigiendo que la direccin certifique la eficacia de dichos sistemas y que el auditor acredite la misma.
Control Interno Marco Integrado, que sigue en vigor a lo largo del tiempo, sirve
como estndar ampliamente aceptado para satisfacer dichos requisitos de reporting.
Este informe, Gestin de Riesgos Corporativos Marco Integrado profundiza en el
control interno, facilitando un enfoque ms extenso y slido sobre el tema de la gestin de riesgos en las empresas. Aunque no se pretende sustituir el marco de control
interno, la intencin es incorporar el mismo dentro del marco de gestin de riesgos
para que las compaas puedan decidir su utilizacin tanto para satisfacer sus necesidades de control interno como para progresar hacia un proceso de gestin de riesgos ms completo.
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 10
Entre los retos ms crticos a los que se enfrentan los directivos de hoy est el determinar cunto riesgo est dispuesta a aceptar la entidad y cunto riesgo acepta a medida que se esfuerza en crear valor. Este informe les ayudar a enfrentarse mejor a este
reto.
10
John J. Flaherty
Tony Maki
Presidente COSO
Presidente, Consejo Asesor COSO
INFORME COSO-OKJ
25/5/05
18:14
Pgina 11
INFORME COSO-OKJ
25/5/05
18:14
Pgina 12
INFORME COSO-OKJ
25/5/05
18:14
Pgina 13
Gestin
de Riesgos Corporativos Marco Integrado
Resumen
Ejecutivo
INFORME COSO-OKJ
25/5/05
18:14
Pgina 14
INFORME COSO-OKJ
25/5/05
18:14
Pgina 15
RESUMEN EJECUTIVO
La premisa subyacente en la gestin de riesgos corporativos es que las entidades

existen con el fin ltimo de generar valor para sus grupos de inters. Todas se enfrentan a la ausencia de certeza y el reto para su direccin es determinar cunta incertidumbre se puede aceptar mientras se esfuerzan en incrementar el valor para sus grupos de inters.
La incertidumbre implica riesgos y oportunidades y posee el potencial de erosionar o
aumentar el valor. La gestin de riesgos corporativos permite a la direccin tratar eficazmente la incertidumbre y sus riesgos y oportunidades asociados, mejorando as
la capacidad de generar valor.
Se maximiza el valor cuando la direccin establece una estrategia y objetivos para
encontrar un equilibrio ptimo entre los objetivos de crecimiento y rentabilidad y los
riesgos asociados, adems de desplegar recursos eficaz y eficientemente a fin de
lograr los objetivos de la entidad. La gestin de riesgos corporativos incluye las
siguientes capacidades:
Alinear el riesgo aceptado y la estrategia
En su evaluacin de alternativas estratgicas, la direccin considera el riesgo aceptado por la entidad, estableciendo los objetivos correspondientes y desarrollando
mecanismos para gestionar los riesgos asociados.
Mejorar las decisiones de respuesta a los riesgos
La gestin de riesgos corporativos proporciona rigor para identificar los riesgos y
seleccionar entre las posibles alternativas de respuesta a ellos: evitar, reducir, compartir o aceptar.
Reducir las sorpresas y prdidas operativas
Las entidades consiguen mejorar su capacidad para identificar los eventos potenciales
y establecer respuestas, reduciendo las sorpresas y los costes o prdidas asociados.
Identificar y gestionar la diversidad de riesgos para toda la entidad
Cada entidad se enfrenta a mltiples riesgos que afectan a las distintas partes de la
organizacin y la gestin de riesgos corporativos facilita respuestas eficaces e integradas a los impactos interrelacionados de dichos riesgos.
Aprovechar las oportunidades
Mediante la consideracin de una amplia gama de potenciales eventos, la direccin
est en posicin de identificar y aprovechar las oportunidades de modo proactivo.
Mejorar la dotacin de capital
La obtencin de informacin slida sobre el riesgo permite a la direccin evaluar eficazmente las necesidades globales de capital y mejorar su asignacin.
15
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 16
Estas capacidades, inherentes en la gestin de riesgos corporativos, ayudan a la

direccin a alcanzar los objetivos de rendimiento y rentabilidad de la entidad y prevenir la prdida de recursos. La gestin de riesgos corporativos permite asegurar una
informacin eficaz y el cumplimiento de leyes y normas, adems de ayudar a evitar
daos a la reputacin de la entidad y sus consecuencias derivadas. En suma, la gestin de riesgos corporativos ayuda a una entidad a llegar al destino deseado, evitando baches y sorpresas por el camino.
Eventos Riesgos y Oportunidades

Los eventos pueden tener un impacto negativo, positivo o de ambos tipos a la vez.
Los que tienen un impacto negativo representan riesgos que pueden impedir la creacin de valor o erosionar el valor existente. Los eventos con impacto positivo pueden compensar los impactos negativos o representar oportunidades, que derivan de
la posibilidad de que ocurra un acontecimiento que afecte positivamente al logro de
los objetivos, ayudando a la creacin de valor o a su conservacin. La direccin canaliza las oportunidades que surgen, para que reviertan en la estrategia y el proceso de
definicin de objetivos, y formula planes que permitan aprovecharlas.
Definicin de la Gestin de Riesgos Corporativos

La gestin de riesgos corporativos se ocupa de los riesgos y oportunidades que afectan a la creacin de valor o su preservacin. Se define de la siguiente manera:
La gestin de riesgos corporativos es un proceso efectuado por el consejo de administracin de una entidad, su direccin y restante personal, aplicable a la definicin de estrategias en toda la empresa y diseado para
identificar eventos potenciales que puedan afectar a la organizacin, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad
razonable sobre el logro de los objetivos.
Esta definicin recoge los siguientes conceptos bsicos de la gestin de riesgos corporativos:
Es un proceso continuo que fluye por toda la entidad.

Es realizado por su personal en todos los niveles de la organizacin.
Se aplica en el establecimiento de la estrategia.
Se aplica en toda la entidad, en cada nivel y unidad, e incluye adoptar una perspectiva del riesgo a nivel conjunto de la entidad.
Est diseado para identificar acontecimientos potenciales que, de ocurrir, afectaran a la entidad y para gestionar los riesgos dentro del nivel de riesgo aceptado.
Es capaz de proporcionar una seguridad razonable al consejo de administracin y
a la direccin de una entidad.
Est orientada al logro de objetivos dentro de unas categoras diferenciadas, aunque susceptibles de solaparse.
La definicin es amplia en sus fines y recoge los conceptos claves de la gestin de
riesgos por parte de empresas y otras organizaciones, proporcionando una base para
su aplicacin en todas las organizaciones, industrias y sectores. Se centra directamente en la consecucin de los objetivos establecidos por una entidad determinada
y proporciona una base para definir la eficacia de la gestin de riesgos corporativos.
16
INFORME COSO-OKJ
25/5/05
18:14
Pgina 17
RESUMEN EJECUTIVO
Consecucin de Objetivos
Dentro del contexto de misin o visin establecida en una entidad, su direccin establece los objetivos estratgicos, selecciona la estrategia y fija objetivos alineados que
fluyen en cascada en toda la entidad. El presente Marco de gestin de riesgos corporativos est orientado a alcanzar los objetivos de la entidad, que se pueden clasificar en cuatro categoras:
Estrategia: Objetivos a alto nivel, alineados con la misin de la entidad y dndole
apoyo
Operaciones: Objetivos vinculados al uso eficaz y eficiente de recursos
Informacin: Objetivos de fiabilidad de la informacin suministrada
Cumplimiento: Objetivos relativos al cumplimiento de leyes y normas aplicables
Esta clasificacin de los objetivos de una entidad permite centrarse en aspectos diferenciados de la gestin de riesgos corporativos. Estas categoras distintas, aunque
solapables un objetivo individual puede incidir en ms de una categora se dirigen
a necesidades diferentes de la entidad y pueden ser de responsabilidad directa de
diferentes ejecutivos. Tambin permiten establecer diferencias entre lo que cabe
esperar de cada una de ellas. Otra categora utilizada por algunas entidades es la salvaguarda de activos.
Dado que los objetivos relacionados con la fiabilidad de la informacin y el cumplimiento de leyes y normas estn integrados en el control de la entidad, puede esperarse que la gestin de riesgos corporativos facilite una seguridad razonable de su consecucin. El logro de los objetivos estratgicos y operativos, sin embargo, est sujeto
a acontecimientos externos no siempre bajo control de la entidad; por tanto, respecto
a ellos, la gestin de riesgos corporativos puede proporcionar una seguridad razonable
de que la direccin, y el consejo de administracin en su papel de supervisin, estn
siendo informados oportunamente del progreso de la entidad hacia su consecucin.
Componentes de la Gestin de Riesgos Corporativos
La gestin de riesgos corporativos consta de ocho componentes relacionados entre s,
que se derivan de la manera en que la direccin conduce la empresa y cmo estn integrados en el proceso de gestin. A continuacin, se describen estos componentes:
Ambiente interno
Abarca el talante de una organizacin y establece la base de cmo el personal de
la entidad percibe y trata los riesgos, incluyendo la filosofa para su gestin, el riesgo aceptado, la integridad y valores ticos y el entorno en que se acta.
Establecimiento de objetivos
Los objetivos deben existir antes de que la direccin pueda identificar potenciales
eventos que afecten a su consecucin. La gestin de riesgos corporativos asegura
que la direccin ha establecido un proceso para fijar objetivos y que los objetivos
seleccionados apoyan la misin de la entidad y estn en lnea con ella, adems de
ser consecuentes con el riesgo aceptado.
Identificacin de eventos
Los acontecimientos internos y externos que afectan a los objetivos de la entidad
deben ser identificados, diferenciando entre riesgos y oportunidades. Estas ltimas
revierten hacia la estrategia de la direccin o los procesos para fijar objetivos.
17
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 18
Evaluacin de riesgos
Los riesgos se analizan considerando su probabilidad e impacto como base para
determinar cmo deben ser gestionados y se evalan desde una doble perspectiva, inherente y residual.
Respuesta a los riesgos
La direccin selecciona las posibles respuestas - evitar, aceptar, reducir o compartir los riesgos - desarrollando una serie de acciones para alinearlos con el riesgo
aceptado y las tolerancias al riesgo de la entidad.
Actividades de control
Las polticas y procedimientos se establecen e implantan para ayudar a asegurar
que las respuestas a los riesgos se llevan a cabo eficazmente.
Informacin y comunicacin
La informacin relevante se identifica, capta y comunica en forma y plazo adecuado para permitir al personal afrontar sus responsabilidades. Una comunicacin eficaz debe producirse en un sentido amplio, fluyendo en todas direcciones dentro de
la entidad.
Supervisin
La totalidad de la gestin de riesgos corporativos se supervisa, realizando modificaciones oportunas cuando se necesiten. Esta supervisin se lleva a cabo mediante actividades permanentes de la direccin, evaluaciones independientes o ambas
actuaciones a la vez.
La gestin de riesgos corporativos no constituye estrictamente un proceso en serie,
donde cada componente afecta slo al siguiente, sino un proceso multidireccional e
iterativo en que casi cualquier componente puede influir en otro.
Relacin entre objetivos y componentes

Existe una relacin directa entre los objetivos que la entidad desea lograr y los componentes de la gestin de riesgos corporativos, que representan lo que hace falta
para lograr aquellos. La relacin se representa con una matriz tridimensional, en
forma de cubo.
Las cuatro categoras de objetivos

estrategia, operaciones, informacin y
cumplimiento estn representadas por
columnas verticales, los ocho componentes lo estn por filas horizontales y
las unidades de la entidad, por la tercera
dimensin del cubo. Este grfico refleja
la capacidad de centrarse sobre la totalidad de la gestin de riesgos corporativos
de una entidad o bien por categora de
objetivos, componente, unidad o cualquier subconjunto deseado.
18
INFORME COSO-OKJ
25/5/05
18:14
Pgina 19
RESUMEN EJECUTIVO
Eficacia
La afirmacin de que la gestin de riesgos corporativos de una entidad es eficaz es
un juicio resultante de la evaluacin de si los ocho componentes estn presentes y
funcionan de modo eficaz. As, estos componentes tambin son criterios para estimar la eficacia de dicha gestin. Para que estn presentes y funcionen de forma adecuada, no puede existir ninguna debilidad material y los riesgos necesitan estar dentro del nivel de riesgo aceptado por la entidad.
Cuando se determine que la gestin de riesgos es eficaz en cada una de las cuatro
categoras de objetivos, respectivamente, el consejo de administracin y la direccin
tendrn la seguridad razonable de que conocen el grado de consecucin de los objetivos estratgicos y operativos de la entidad, que su informacin es fiable y que se
cumplen las leyes y la normas aplicables.
Los ocho componentes no funcionan de modo idntico en todas las entidades. Su
aplicacin en las pequeas y medianas empresas, por ejemplo, puede ser menos
formal y estructurada. Sin embargo, estas entidades podran poseer una gestin eficaz de riesgos corporativos, siempre que cada componente est presente y funcione
adecuadamente.
Limitaciones
Aunque la gestin de riesgos corporativos proporciona ventajas importantes, tambin
presenta limitaciones. Adems de los factores comentados anteriormente, las limitaciones se derivan de hechos como que el juicio humano puede ser errneo durante
la toma de decisiones, que las decisiones sobre la respuesta al riesgo y el establecimiento de controles necesitan tener en cuenta los costes y beneficios relativos, que
pueden darse fallos por error humano, que pueden eludirse los controles mediante
connivencia de dos o ms personas y que la direccin puede hacer caso omiso a las
decisiones relacionadas con la gestin de riesgos corporativos. Estas limitaciones
impiden que el consejo o la direccin tengan seguridad absoluta de la consecucin
de los objetivos de la entidad.
Inclusin del Control Interno

El control interno constituye una parte integral de la gestin de riesgos corporativos.
Este Marco lo incluye, constituyendo una conceptualizacin y una herramienta ms
slidas para la direccin. El control interno se define y describe en el documento
Control Interno Marco integrado. Dado que ste ha perdurado a lo largo del tiempo
y es la base para las reglas, normas y leyes existentes, se mantiene vigente para definir y enmarcar el control interno. Aunque el presente documento slo recoge partes
de Control Interno Marco integrado, su estructura entera se incorpora en l a travs
de referencias.
Roles y Responsabilidades
Todas las personas que integran una entidad tienen alguna responsabilidad en la gestin de riesgos corporativos. El consejero delegado es su responsable ltimo y debe-
19
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 20
ra asumir su titularidad. Otros directivos apoyan la filosofa de gestin de riesgos de

la entidad, promueven el cumplimiento del riesgo aceptado y gestionan los riesgos
dentro de sus reas de responsabilidad en conformidad con la tolerancia al riesgo. El
director de riesgos, director financiero, auditor interno u otros, desempean normalmente responsabilidades claves de apoyo. El restante personal de la entidad es responsable de ejecutar la gestin de riesgos corporativos de acuerdo con las directrices y protocolos establecidos.
El consejo de administracin desarrolla una importante supervisin de la gestin de
riesgos corporativos, es consciente del riesgo aceptado por la entidad y est de
acuerdo con l. Algunos terceros, como los clientes, proveedores, colaboradores,
auditores externos, reguladores y analistas financieros, proporcionan a menudo informacin til para el desarrollo de la gestin de riesgos corporativos, aunque no son
responsables de su eficacia en la entidad ni forman parte de ella.
Estructura de este Documento

El presente documento se divide en dos partes. La primera contiene el Marco y un
Resumen Ejecutivo. El Marco define la gestin de riesgos corporativos y describe
principios y conceptos, proporcionando orientacin a todos los niveles de direccin
en empresas y otras organizaciones para ser usada en la evaluacin y mejora de la
eficacia de dicha gestin. El Resumen Ejecutivo es una perspectiva de alto nivel dirigida a los consejeros delegados, otros altos directivos, consejeros y reguladores. La
segunda parte del documento corresponde a las Tcnicas de aplicacin y proporciona ejemplos de tcnicas tiles para aplicar los componentes del Marco.
Uso de este Informe

Las acciones sugeridas que podran adoptarse como resultado de este documento
dependen de la posicin y papel de las partes implicadas:
Consejo de Administracin
El consejo debera comentar con la alta direccin el estado de la gestin de riesgos
corporativos de la entidad y aportar su supervisin segn se necesite. Asimismo,
debera asegurarse de que es informado de los riesgos ms significativos, de las
acciones que la direccin est realizando y cmo sta asegura una gestin eficaz
de riesgos.
Alta direccin
Este documento sugiere que el consejero delegado evale las capacidades de gestin de riesgos corporativos de la organizacin. Por ejemplo, un consejero delegado rene a los responsables de unidad de negocio y al personal clave del staff para
comentar una evaluacin inicial de las capacidades y eficacia de la gestin de riesgos corporativos. Sea cual sea su forma, esta evaluacin inicial debera determinar
si existe la necesidad de otra evaluacin ms profunda y amplia y, en caso afirmativo, cmo proceder a realizarla.
Otro personal de la entidad
Los directivos y dems personal deberan considerar cmo estn desempeando
sus responsabilidades a la luz del presente Marco y comentar sus ideas con res-
20
INFORME COSO-OKJ
25/5/05
18:14
Pgina 21
RESUMEN EJECUTIVO
ponsables superiores para reforzar la gestin de riesgos corporativos. Los auditores internos deberan considerar el alcance de su enfoque sobre dicha gestin.
Reguladores
Este Marco puede fomentar una visin compartida de la gestin de riesgos corporativos, incluyendo lo que se puede hacer y sus limitaciones. Los reguladores pueden referirse a este Marco al establecer sus expectativas, bien mediante normas o
guas o en la realizacin de inspecciones en las entidades bajo su supervisin.
Organizaciones profesionales
Las entidades encargadas de establecer normas y otras organizaciones que proporcionan orientacin sobre gestin financiera, auditora y temas afines, deberan
considerar sus normas y guas a la luz de este Marco. A medida que se eliminen
divergencias de conceptos y terminologa, todas las partes se beneficiarn de ello.
Educadores
Este Marco puede ser tema de investigacin y anlisis universitario, para ver dnde
se pueden realizar futuras mejoras. En la idea de que este documento sea aceptado como base compartida de comprensin, sus conceptos y trminos deberan
encontrar una forma de integrarse en los programas de estudios universitarios.
Establecidos estos cimientos para una comprensin mutua, todas las partes podrn
hablar un lenguaje comn y se comunicarn ms eficazmente. Los directivos estarn
en posicin de evaluar el proceso de gestin de riesgos corporativos de su entidad
respecto a una norma y podrn potenciar el proceso de consecucin de los objetivos
establecidos. La investigacin futura puede apoyarse en esta base slida, mientras
que los legisladores y reguladores podrn incrementar su comprensin de la gestin
de riesgos corporativos, incluidas sus ventajas y limitaciones. Si todas las partes interesadas utilizan este Marco comn para dicha gestin, se podrn obtener las ventajas comentadas.
21
INFORME COSO-OKJ
25/5/05
18:14
Pgina 22
INFORME COSO-OKJ
25/5/05
18:14
Pgina 23
Gestin
Marco
INFORME COSO-OKJ
25/5/05
18:14
Pgina 24
INFORME COSO-OKJ
25/5/05
18:14
Pgina 25
1. Definicin
Resumen del captulo: Todas las entidades se enfrentan a la ausencia de

certeza sobre el futuro y el reto para su direccin es determinar qu nivel de
incertidumbre puede aceptar mientras se esfuerza en hacer crecer el valor
para sus grupos de inters. La gestin de riesgos corporativos capacita a la
direccin para identificar, evaluar y gestionar los riesgos en caso de incertidumbre y es esencial para la creacin y conservacin de valor. Dicha gestin
es un proceso realizado por el consejo de administracin, la direccin y
dems personal de una entidad, que se aplica a la definicin de estrategia en
toda la entidad. Est diseada para identificar los eventos potenciales que
puedan afectar a la entidad y gestionar los riesgos para que estn dentro del
riesgo aceptado por ella, facilitando una seguridad razonable respecto al logro
de sus objetivos. Est constituida por ocho componentes relacionados entre
s, que integran el modo en que la direccin conduce la empresa. Estos componentes estn vinculados entre s y sirven de criterio para determinar si la
gestin de riesgos corporativos es eficaz.
Un objetivo clave del presente Marco es ayudar a las direcciones de empresas y otras
entidades a enfrentarse mejor al riesgo en su intento por alcanzar sus objetivos. Pero la
gestin de riesgos corporativos tiene diferentes significados para personas distintas,
porque presenta una amplia gama de definiciones y contenidos que impiden una comprensin comn. Por esto, un objetivo importante es integrar los diferentes conceptos
de la gestin de riesgos en un marco en el que se establezca una definicin comn, se
identifiquen los componentes y se describan los conceptos claves. Este marco integra
la mayora de perspectivas posibles y proporciona un punto de partida para la evaluacin y mejora de cada entidad y para futuras iniciativas regulatorias y educativas.
Incertidumbre y Valor
Una premisa subyacente en la gestin de riesgos corporativos es que cada entidad,
tenga nimo de lucro o no o sea un organismo estatal, existe para generar valor para
sus grupos de inters. Todas las entidades se enfrentan a la incertidumbre y el reto
para su direccin es determinar cunta incertidumbre puede aceptar mientras se
esfuerza en hacer crecer el valor para dichos grupos. La incertidumbre presenta a la
vez riesgos y oportunidades, con un potencial para erosionar o mejorar el valor. La
gestin de riesgos corporativos permite a la direccin tratar eficazmente la incertidumbre y sus riesgos y oportunidades asociados, mejorando as la capacidad de la
entidad para generar valor.
25
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 26
Las empresas funcionan en entornos donde factores como la globalizacin, tecnologa, reestructuraciones, mercados cambiantes, competencia y regulacin crean incertidumbre. La incertidumbre emana de la incapacidad para determinar acertadamente
la probabilidad de ocurrencia de los eventos y sus impactos correspondientes. La
incertidumbre tambin se presenta y crea como consecuencia de las decisiones
estratgicas de la entidad. Por ejemplo, pensemos en una entidad que tenga una
estrategia de crecimiento basada en la expansin de sus operaciones a otro pas.
Esta estrategia elegida presenta tanto riesgos como oportunidades, relacionados con
la estabilidad de su entorno poltico, recursos, mercados, canales, capacidades de la
fuerza laboral y costes.
Las decisiones de la direccin en todas sus actividades, desde el establecimiento de
la estrategia hasta las operaciones cotidianas de la empresa, crean, conservan o erosionan el valor. La creacin de valor se produce a travs del despliegue de recursos,
incluyendo personas, capital, tecnologa y marca, siempre que el beneficio derivado
supere a los recursos utilizados. La conservacin de valor tiene lugar cuando el valor
creado perdura a travs de, entre otros factores, una calidad superior del producto, la
capacidad productiva y la satisfaccin del cliente. El valor puede erosionarse cuando
no se alcanzan los objetivos debido a una estrategia o ejecucin inadecuada. Implcito
en las decisiones para reconocer los riesgos y oportunidades, est el requisito de que
la direccin considere la informacin de los entornos interno y externo, despliegue
recursos valiosos y reajuste las actividades a las circunstancias cambiantes.
El valor se maximiza cuando la direccin establece una estrategia y unos objetivos
que consiguen un equilibrio ptimo entre las metas de crecimiento y rentabilidad y los
riesgos asociados y despliega eficiente y eficazmente los recursos a fin de alcanzar
los objetivos de la entidad. La gestin de riesgos corporativos abarca las siguientes
capacidades:
Alinear el riesgo aceptado y la estrategia

La direccin considera el riesgo aceptado por la entidad primeramente al evaluar las
alternativas estratgicas y luego, al establecer los objetivos alineados con la estrategia seleccionada y desarrollar mecanismos para gestionar los riesgos relativos.
Por ejemplo, una empresa farmacutica tiene un bajo riesgo aceptado respecto al
valor de marca, por lo que, para protegerla, mantiene unos amplios protocolos que
afiancen la seguridad del producto e invierte regularmente recursos significativos en
las fases preliminares de investigacin y desarrollo, con lo que refuerza la creacin
de valor de marca.
Mejorar las decisiones de respuesta a los riesgos
La gestin de riesgos corporativos proporciona rigor para identificar respuestas
alternativas al riesgo y seleccionar entre ellas evitar, reducir, compartir y aceptar el
riesgo. Por ejemplo, la direccin de una empresa que usa vehculos de su propiedad y opera con ellos para efectuar los repartos, reconoce los riesgos inherentes en
su proceso de entrega, incluyendo el coste de los daos y perjuicios de los coches
y empleados. Las alternativas disponibles son reducir los riesgos a travs de una
eficaz seleccin, contratacin y formacin de conductores, evitarlos mediante la
externalizacin del reparto, compartirlos a travs de seguros o simplemente aceptarlos. La gestin de riesgos corporativos facilita la metodologa y tcnicas para
tomar estas decisiones.
26
INFORME COSO-OKJ
25/5/05
18:14
Pgina 27
DEFINICIN
Reducir sorpresas y prdidas operativas

Las entidades mejoran su capacidad para identificar eventos potenciales, evaluar
los riesgos y establecer respuestas a ellos, reduciendo as las sorpresas y sus costes o prdidas derivados. Por ejemplo, una empresa industrial hace un seguimiento de los ratios de defectos en componentes y equipos usando mltiples criterios,
incluyendo los del tiempo de reparacin, la incapacidad de satisfacer la demanda
de clientes, la seguridad laboral y el coste de las reparaciones previstas frente a las
imprevistas, y responde estableciendo programas concordantes de mantenimiento.
Identificar y gestionar riesgos en toda la entidad
Cada entidad se enfrenta a mltiples riesgos que afectan a diferentes partes de la
organizacin. Su direccin no slo necesita gestionar los riesgos individuales, sino
tambin entender los impactos interrelacionados. Por ejemplo, un banco se enfrenta a una variedad de riesgos al efectuar sus actividades comerciales en toda la entidad y la direccin ha desarrollado un sistema informtico que analiza los datos de
las transacciones y del mercado procedentes de otros sistemas internos, que, junto
con informacin relevante generada externamente, proporcionan una visin agregada de los riesgos en todas las actividades de negocio. El sistema informtico
permite la capacidad de ahondar hasta los niveles de departamento, cliente, intermediario y transaccin y cuantifica los riesgos en las categoras establecidas en
relacin con sus respectivas tolerancias. El sistema permite que el banco agregue
datos previamente dispares para responder ms eficazmente a los riesgos usando
perspectivas tanto agregadas como seleccionadas por objetivos.
Facilitar respuestas integradas a riesgos mltiples
Los procesos empresariales implican muchos riesgos inherentes y la gestin de
riesgos corporativos permite soluciones integradas para gestionarlos. Por ejemplo,
un mayorista se enfrenta a riesgos de defecto o exceso de existencias, de proveedores poco fiables y de precios de compra innecesariamente altos. La direccin
identific y evalu el riesgo en el contexto de la estrategia, objetivos y respuestas
alternativas de la entidad y desarroll un sistema de control de inventarios de
amplio alcance. El sistema se integraba con los proveedores, compartiendo informacin de ventas e inventario, permitiendo una colaboracin estratgica y evitando roturas de inventario y costes innecesarios de transporte, mediante contratos de
suministros a largo plazo y mejores precios. Los proveedores asumieron la responsabilidad de reponer existencias, generando reducciones adicionales de costes.
Aprovechar las oportunidades
Al considerar una amplia gama de eventos potenciales, en lugar de limitarse slo a
los riesgos, la direccin identifica los eventos que representan oportunidades. Por
ejemplo, una empresa de alimentacin consider los eventos potenciales que
probablemente afectaran a su objetivo de crecimiento perdurable de los ingresos.
Al evaluar los eventos, la direccin determin que los principales consumidores de
la empresa eran cada vez ms conscientes de los temas de salud y cambiaban sus
preferencias dietticas, lo que indicaba un declive de la demanda futura de los
productos actuales de la empresa. Al determinar su respuesta, la direccin
identific formas para aplicar sus capacidades existentes al desarrollo de productos
nuevos, permitiendo a la empresa no slo mantener los ingresos por clientes
actuales, sino tambin crear otros adicionales atrayendo a una base consumidora
ms amplia.
27
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 28
Mejorar la aplicacin de capital

La obtencin de informacin slida sobre los riesgos permite que la direccin evale eficazmente las necesidades globales de capital y mejore su asignacin. Por
ejemplo, una entidad financiera qued sometida a nuevas normas reguladoras que
aumentaran sus requisitos de capital, a menos que la direccin calculara ms especficamente los niveles de riesgo crediticio y operativo y las respectivas necesidades de capital. La entidad evalu el riesgo en trminos de coste del desarrollo de
sistemas frente al coste de capital adicional y tom una decisin consensuada. Con
las aplicaciones informticas existentes fcilmente modificables, la entidad desarroll clculos ms precisos, evitando as la necesidad de buscar fuentes de capital adicional.
Estas capacidades estn implcitas en la gestin de riesgos corporativos, que ayuda
a la direccin a lograr los objetivos de rendimiento y rentabilidad de la entidad e impedir la prdida de recursos, as como a asegurar una informacin eficaz y que se cumplan las leyes y normas, evitando daos a su reputacin y consecuencias derivadas.
En definitiva, la gestin de riesgos corporativos ayuda a la entidad a llegar al destino
deseado, salvando obstculos y sorpresas en el camino.
Eventos Riesgos y Oportunidades

Un evento es un incidente o acontecimiento procedente de fuentes internas o externas que afecta a la consecucin de objetivos y que puede tener un impacto negativo
o positivo o de ambos tipos a la vez. Los eventos de signo negativo constituyen riesgos. Por tanto, un riesgo se define como sigue:
Riesgo es la posibilidad de que un evento ocurra y afecte desfavorablemente
al logro de objetivos.
Los eventos con impacto negativo impiden la creacin del valor o erosionan el valor
existente. Ejemplos de esto lo constituyen las averas de la maquinaria, un incendio o
prdidas de crdito. Este tipo de eventos pueden derivarse de condiciones aparentemente positivas, como, por ejemplo, cuando la demanda de productos por los clientes
supera a la capacidad productiva, provocando fallos al atender las solicitudes de los
compradores, la erosin de la fidelidad del cliente y el declive de pedidos futuros.
Los eventos con impacto positivo pueden compensar otros impactos negativos o
representar oportunidades. Una oportunidad se define como sigue:
Oportunidad es la posibilidad de que un evento ocurra y afecte positivamente a la consecucin de objetivos.
Las oportunidades refuerzan la creacin de valor o su conservacin. La direccin las
revierte hacia la estrategia o los procesos de fijacin de objetivos, para que se puedan formular acciones que aprovechen las oportunidades.

La gestin de riesgos corporativos se ocupa de los riesgos y oportunidades que afectan a la creacin de valor o su preservacin. Se define de la siguiente manera:
28
INFORME COSO-OKJ
25/5/05
18:14
Pgina 29
DEFINICIN
La gestin de riesgos corporativos es un proceso efectuado por el consejo de

administracin de una entidad, su direccin y restante personal, aplicado en
la definicin de la estrategia y en toda la entidad y diseado para identificar
eventos potenciales que puedan afectar a la organizacin y gestionar sus riesgos dentro del riesgo aceptado, proporcionandor una seguridad razonable
sobre el logro de objetivos.
Esta definicin refleja algunos conceptos fundamentales de la gestin de riesgos corporativos:

Es un proceso continuo que fluye a travs de una entidad.
Se realiza por personas en cada nivel de una organizacin.
Se aplica al establecimiento de la estrategia.
Se aplica en toda la empresa, a cada nivel y unidad, e incluye una perspectiva del
riesgo al nivel de entidad
Est diseada para identificar eventos potenciales que afecten a la entidad y gestionar los riesgos dentro del riesgo aceptado.
Puede proporcionar una seguridad razonable a la direccin y al consejo de administracin de una entidad.
Est orientada a la consecucin de objetivos en una o varias categoras separadas,
aunque solapables - es un medio para conseguir un fin, no un fin en s mismo.
La definicin es conscientemente amplia por varias razones. Capta los conceptos
claves fundamentales de cmo las empresas y otras organizaciones gestionan el riesgo y proporciona una base para su aplicacin en todas las entidades y sectores. Se
centra directamente en el cumplimiento de los objetivos establecidos por una entidad
determinada y proporciona una base para definir la eficacia en la gestin de riesgos
corporativos que se comentar posteriormente en este captulo.
A continuacin, se presentan los conceptos fundamentales mencionados antes.
Un Proceso
La gestin de riesgos corporativos no es esttica, sino ms bien un intercambio continuo o iterativo de acciones que fluyen por toda la entidad, que se difunden y estn
implcitas en la forma como la direccin lleva el negocio.
La gestin de riesgos corporativos es diferente de la perspectiva de algunos observadores, que la ven como un mero apndice de las actividades de una entidad. Con
esto no queremos decir que una eficaz gestin de riesgos corporativos no requiera
un esfuerzo adicional, llegado el caso. Al considerar los riesgos crediticios o de tipo
de cambio, por ejemplo, puede requerirse un esfuerzo adicional para desarrollar
modelos adecuados y elaborar anlisis y clculos necesarios. Sin embargo, estos
mecanismos de gestin de riesgos corporativos estn integrados en las actividades
operativas de una entidad y existen gracias a razones empresariales de fondo. De
hecho, dicha gestin resulta ms eficaz cuando esos mecanismos estn integrados
29
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 30
en la infraestructura de la entidad y forman parte de su esencia. Al integrarlos, la gestin de riesgos corporativos puede afectar directamente a la capacidad de la entidad
para implantar su estrategia y cumplir su misin.
La integracin de la gestin de riesgos corporativos tiene implicaciones importantes
para la contencin de costes, especialmente en los mercados altamente competitivos a los que se enfrentan muchas empresas. Aadir nuevos procedimientos independientes de los ya existentes, provoca un aumento de costes. Al centrarse en las
operaciones existentes y su aportacin a la gestin de riesgos corporativos e integrar
sta en las actividades operativas bsicas, una entidad puede evitar procedimientos
y costes innecesarios. Adems, la prctica de construir la mencionada gestin dentro del tejido operativo ayuda a identificar nuevas oportunidades que la direccin
puede aprovechar para hacer crecer el negocio.
Realizado por Personas

La gestin de riesgos corporativos se realiza por el consejo de administracin, la
direccin y dems personal de una entidad. Son las personas de la organizacin,
mediante lo que hacen y dicen, quienes la hacen realidad. Las personas establecen
la misin, estrategia y objetivos de la entidad y colocan los mecanismos de dicha
gestin en el lugar adecuado.
De forma similar, la gestin de riesgos corporativos afecta a las acciones de las personas, reconociendo que stas no siempre se entienden, se comunican o actan de
modo consistente. Cada individuo aporta a su puesto de trabajo su historial y capacidades tcnicas propias y, a su vez, tiene necesidades y prioridades diferentes.
Estos hechos afectan a la gestin de riesgos corporativos y son afectados por sta.
Cada persona tiene su propio punto de vista, que influye en su manera de identificar,
evaluar y responder al riesgo. La gestin de riesgos corporativos proporciona los
mecanismos necesarios para ayudar a las personas a entender el riesgo en el contexto de los objetivos de la entidad. Las personas deben conocer sus responsabilidades y lmites de autoridad. Asimismo, deber existir un vnculo claro y estrecho
entre los deberes de las personas y el modo de realizarlos, as como con la estrategia y objetivos de la entidad.
El personal de una organizacin incluye al consejo de administracin, la direccin y
dems empleados. Aunque los consejeros aportan primordialmente la supervisin de
la entidad, tambin proporcionan orientacin y aprueban la estrategia y polticas.
Como tal, el consejo de administracin de una empresa constituye un componente
importante de su gestin de riesgos corporativos.
Aplicado al Establecimiento de la Estrategia

Una entidad fija su misin o visin y establece los objetivos estratgicos, que son las
metas de alto nivel que estn en lnea con aquella y la apoyan. Para alcanzar sus
objetivos estratgicos, la entidad establece una estrategia y tambin fija los objetivos
conexos que desea realizar y se derivan de ella, fluyendo en cascada hacia las unidades de negocio, divisiones y procesos.
30
INFORME COSO-OKJ
25/5/05
18:14
Pgina 31
DEFINICIN
La gestin de riesgos corporativos se aplica durante el proceso del establecimiento

de la estrategia, en el que la direccin contempla los riesgos relacionados con las
opciones alternativas. Por ejemplo, una alternativa puede ser la de adquirir otras
empresas para incrementar la cuota de mercado y otra, la de recortar los costes de
aprovisionamiento para obtener una tasa ms alta de margen bruto. Cada una de
ellas plantea diferentes riesgos. Si la direccin selecciona la primera, es posible que
la empresa se vea obligada a penetrar en mercados nuevos y, as, sus competidores
pueden ganar cuota en los mercados actualmente existentes o que la entidad no
tenga la capacidad de implantar eficazmente su estrategia. Con la segunda alternativa, los riesgos implicarn, incluso, la utilizacin de nuevas tecnologas o proveedores
o la formacin de nuevas alianzas. Las tcnicas de gestin de riesgos corporativos
se aplican a este nivel para ayudar a la direccin a evaluar y elegir la estrategia de la
entidad y los objetivos asociados a ella.
Aplicado en toda la Empresa

Al aplicar la gestin de riesgos corporativos, una entidad debera considerar toda la
gama de sus actividades en los diferentes niveles de la organizacin, desde aquellas
al nivel de empresa, como son la planificacin estratgica y la asignacin de recursos, hasta las de unidades de negocio, como son el marketing y los recursos humanos, y las de procesos de negocio, como son la produccin y la revisin de solvencia de los clientes. La gestin de riesgos corporativos tambin se aplica en proyectos especiales y nuevas iniciativas que podran no tener an un lugar en la jerarqua
o el organigrama de la organizacin.
La gestin de riesgos corporativos requiere que una entidad adopte una perspectiva
de cartera global para los riesgos. Esto puede implicar que cada directivo responsable de una unidad de negocio, funcin, proceso o cualquier actividad tenga que desarrollar una evaluacin de sus riesgos, que se puede efectuar de modo cuantitativo o
cualitativo. Con una visin compuesta de cada nivel sucesivo de la organizacin, la
alta direccin est en posicin de determinar si la cartera de riesgo global de la entidad se corresponde a su riesgo aceptado.
La direccin considera los riesgos interrelacionados desde una perspectiva de cartera a nivel de entidad. Los riesgos de las unidades individuales pueden mantenerse
dentro de las tolerancias al riesgo de cada una de ellas, aunque es posible que sumados superen el riesgo aceptado por la entidad en su conjunto. O, al contrario, ciertos
eventos potenciales pueden representar un riesgo inaceptable para una unidad de
negocio, pero generar un efecto compensatorio en otra. Es preciso identificar los riesgos interrelacionados y actuar sobre ellos para que la totalidad de los riesgos sean
concordantes con el riesgo aceptado por la entidad de forma global.
Riesgo Aceptado
El riesgo aceptado es el volumen de riesgo, a un nivel amplio, que una entidad est
dispuesta a aceptar en su bsqueda de valor. Refleja la filosofa de gestin de riesgos de la entidad y, por consiguiente, influye en su cultura y estilo operativo. Muchas
entidades consideran el riesgo aceptado de manera cualitativa, calificndolo como
31
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 32
alto, moderado o bajo, mientras existen otras que adoptan un enfoque cuantitativo,
reflejando y equilibrando los objetivos de crecimiento, rendimiento y riesgo. Una
empresa con un riesgo aceptado alto puede estar dispuesta a asignar una gran parte
del capital a reas de alto riesgo, como son los mercados emergentes. Por el contrario, una compaa con un riesgo aceptado bajo podra optar por limitar su riesgo a
corto plazo de amplias prdidas de capital, invirtiendo slo en mercados maduros y
estables.
El riesgo aceptado se relaciona directamente con la estrategia de una entidad y se
tiene en cuenta para establecerla, ya que diferentes estrategias exponen a una entidad a riesgos distintos. La gestin de riesgos corporativos ayuda a la direccin a elegir una estrategia que ponga en lnea la creacin anticipada de valor con el riesgo
aceptado por la entidad.
El riesgo aceptado orienta la asignacin de recursos, pues la direccin dota de recursos a las diferentes unidades de negocio e iniciativas teniendo en cuenta el riesgo
aceptado por la entidad y los planes de cada unidad para generar el rendimiento
deseado a partir de los recursos invertidos. La direccin considera su riesgo aceptado al alinear la organizacin, personal y procesos y disea la infraestructura necesaria para supervisar eficazmente los riesgos y responder a ellos.
Las tolerancias al riesgo estn relacionadas con los objetivos de la entidad. La tolerancia al riesgo es el nivel aceptable de variacin relativa al logro de un objetivo concreto y a menudo se mide mejor en las mismas unidades usadas para medir dicho
objetivo.
Al fijar la tolerancia al riesgo, la direccin considera la importancia relativa del objetivo correspondiente y alinea las tolerancias al riesgo con el riesgo aceptado. Operar
dentro de las tolerancias al riesgo ayuda a asegurar que la entidad se mantenga dentro de su riesgo aceptado y, por consiguiente, que la entidad consiga sus objetivos.
Proporciona una Seguridad Razonable

Una gestin de riesgos corporativos bien diseada y realizada puede facilitar a la
direccin y al consejo de administracin una seguridad razonable sobre la consecucin de objetivos de la entidad. Este concepto de seguridad razonable refleja la idea
de que la incertidumbre y el riesgo estn relacionados con el futuro, que nadie puede
predecir con precisin, y no implica que la gestin de riesgos corporativos fracase
con mucha frecuencia.
Muchos factores, individual y colectivamente, refuerzan el concepto de seguridad
razonable. El efecto acumulativo de las respuestas al riesgo que satisfacen objetivos
mltiples y el carcter multifuncional de los controles internos reducen el riesgo de
que una entidad pueda no alcanzar sus objetivos. Es ms, las actividades y responsabilidades operativas y cotidianas de las personas que actan en varios niveles de
una organizacin estn orientadas a la consecucin de sus objetivos. Evidentemente,
entre una muestra de entidades bien controladas, es probable que de forma regular
la mayora est informada del progreso hacia su estrategia y objetivos operativos,
alcance sus objetivos de cumplimiento y genere consistentemente periodo tras
periodo y ejercicio tras ejercicio- informes fiables. Sin embargo, puede producirse un
evento incontrolable, un error o un inadecuado incidente con la informacin. En otras
32
INFORME COSO-OKJ
25/5/05
18:14
Pgina 33
DEFINICIN
palabras, incluso una gestin eficaz de riesgos corporativos puede experimentar el

fracaso. La seguridad razonable no es una seguridad absoluta.
Dentro del contexto de la misin establecida, la direccin fija objetivos estratgicos,
selecciona su estrategia y establece otros objetivos que fluyen en cascada por toda
la entidad y estn en lnea con la estrategia y vinculados a ella. Aunque muchos objetivos son especficos para una entidad determinada, algunos son ampliamente compartidos. Por ejemplo, son objetivos comunes para prcticamente todas las entidades la consecucin y mantenimiento de una reputacin positiva en el mbito empresarial y de negocio, la generacin de informacin fiable para los grupos de inters o
un desarrollo de operaciones en concordancia con las leyes y normas.
Este Marco establece cuatro categoras de objetivos de una entidad:
Estrategia
Relativos a los objetivos de alto nivel, alineados con la misin de la entidad y prestndole apoyo
Operaciones
Relativos al uso eficaz y eficiente de los recursos de la entidad
Informacin
Relativos a la fiabilidad de los informes de la entidad
Cumplimiento
Relativos al cumplimiento por la entidad de las leyes y normas aplicables
Esta clasificacin de los objetivos de una entidad por categoras permite enfocar los
aspectos diferenciados de la gestin de riesgos corporativos. Estas categoras distintas, aunque solapables (un objetivo concreto puede incidir en ms de una categora) atienden a las distintas necesidades de la entidad y posiblemente a la responsabilidad directa de diferentes directivos, permitiendo tambin distinguir entre lo que
puede esperarse de cada una de ellas.
Algunas entidades utilizan otra categora de objetivos, la salvaguarda de recursos,
a veces denominada salvaguarda de activos. Desde una perspectiva amplia, trata
de la prevencin de prdidas de activos o recursos de una entidad por robo, despilfarro, ineficiencia o simplemente por decisiones empresariales equivocadas, tales
como vender productos a un precio demasiado bajo, no haber podido retener a
empleados claves o evitar infracciones de patentes o incurrir en pasivos imprevistos.
Son principalmente objetivos operacionales, aunque ciertos aspectos de la salvaguarda pueden clasificarse en otras categoras. Cuando se aplican requisitos legales
o normativos, se trata de temas de cumplimiento. Cuando se consideran conjuntamente con la informacin al pblico, a menudo se usa una definicin ms restringida
de la salvaguarda de activos, que trata de la prevencin o deteccin oportuna de
cualquier adquisicin, uso o disposicin no autorizada de los activos de la entidad
que podra tener un efecto material sobre los estados financieros.
Se puede esperar de la gestin de riesgos corporativos que proporcione una seguridad razonable del logro de objetivos relativos a la fiabilidad de la informacin y el
33
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 34
cumplimiento de leyes y normas. La consecucin de estas categoras de objetivos

est dentro del control de la entidad y depende de su grado de xito en la realizacin
de actividades relativas a ellas.
Sin embargo, el logro de objetivos estratgicos, como la obtencin de una cuota de
mercado especfica, y de objetivos operativos, como el lanzamiento con xito de una
nueva lnea de producto, no est siempre dentro del control de la entidad. La gestin
de riesgos corporativos no puede prevenir juicios o decisiones equivocadas, ni eventos externos que puedan provocar que una entidad falle en la consecucin de objetivos operativos. Sin embargo, s mejora la probabilidad de que la direccin tome
mejores decisiones. Respecto a dichos objetivos, la gestin de riesgos corporativos
puede proporcionar una seguridad razonable de que la direccin y el consejo de
administracin, en su papel de supervisin, sean informados oportunamente del
grado de progreso de la entidad hacia la consecucin de sus objetivos.
Componentes de la Gestin de Riesgos Corporativos

La gestin de riesgos corporativos consta de ocho componentes interrelacionados,
derivados de la manera como la direccin lleva el negocio, que se integran en el proceso de gestin. Estos componentes son:
Ambiente interno
La direccin fija una filosofa respecto al riesgo y determina el riesgo aceptado. El
ambiente interno establece la base de cmo el personal de la empresa debe percibir y afrontar el control y el riesgo. El ncleo de cualquier negocio est constituido
por sus personas con sus atributos individuales, incluyendo integridad, valores
ticos y competencia- y el entorno en el que actan.
Establecimiento de objetivos
Los objetivos deben existir antes de que la direccin pueda identificar los eventos
potenciales que afectan a su consecucin. La gestin de riesgos corporativos asegura que la direccin ha establecido un proceso para fijar objetivos y que los objetivos seleccionados apoyan la misin de la entidad y se alinean con ella, adems de
ser consistentes con el riesgo aceptado.
Identificacin de eventos
Deben identificarse los eventos potenciales que pueden tener un impacto en la entidad. Esto implica la identificacin de posibles acontecimientos internos o externos
que afectan a la consecucin de objetivos, diferencindolos segn su procedencia,
e incluye la distincin entre los que representan riesgos u oportunidades o ambas
circunstancias a la vez. Las oportunidades se reenvan hacia la estrategia de la
direccin o a los procesos para fijar objetivos.
Evaluacin de riesgos
Los riesgos identificados se analizan para formar una base que determine cmo
deben gestionarse y se asocian a los objetivos a los que pueden afectar, evalundose desde la doble perspectiva de riesgo inherente y residual y considerando tanto
su probabilidad como su impacto.
Respuesta a los riesgos
El personal identifica y evala las posibles respuestas a los riesgos: evitar, aceptar,
34
INFORME COSO-OKJ
25/5/05
18:14
Pgina 35
DEFINICIN
reducir o compartir. La direccin selecciona un conjunto de acciones para poner en

lnea los riesgos con sus tolerancias respectivas y el riesgo aceptado por la entidad.
Actividades de control
Las polticas y procedimientos se establecen y ejecutan para asegurar que se llevan
a cabo eficazmente las respuestas a los riesgos seleccionadas por la direccin.
La informacin relevante se identifica, capta y comunica de un modo y en un plazo
que permita a las personas desarrollar sus responsabilidades. Hace falta informacin a todos los niveles de una entidad para identificar, evaluar y responder a los
riesgos. Tambin puede darse una comunicacin eficaz en sentido amplio, cuando
fluye en todas direcciones dentro de la entidad. El personal debe recibir comunicaciones claras sobre su papel y responsabilidades.
Supervisin
Toda la gestin de riesgos corporativos se supervisa, realizando en ella las modificaciones que sean necesarias. De este modo, se puede reaccionar dinmicamente
y cambiar si varan las circunstancias. Esta supervisin se lleva a cabo a travs de
actividades permanentes de la direccin, evaluaciones independientes de la gestin
de riesgos corporativos o una combinacin de ambas actuaciones.
La gestin de riesgos corporativos es un proceso dinmico. Por ejemplo, la evaluacin de los riesgos induce una respuesta a ellos y puede influir en las actividades de
control, as como destacar la conveniencia de reconsiderar las necesidades informativas y de comunicacin o las actividades de supervisin de la entidad. As, la gestin de riesgos corporativos no slo constituye estrictamente un proceso en serie,
donde cada componente afecta slo al siguiente, sino que es un proceso multidireccional e iterativo en que casi cualquier componente puede influir en otro.
No existen dos entidades que apliquen o debieran aplicar la gestin de riesgos corporativos del mismo modo. Las empresas y sus capacidades y necesidades de gestin de riesgos corporativos difieren enormemente segn su dimensin y sector y
segn la filosofa y cultura de la direccin. As, aunque todas las entidades deberan
tener cada componente en su lugar y operando eficazmente, la aplicacin de la gestin de riesgos corporativos en una entidad incluyendo las herramientas y tcnicas
aplicadas y la asignacin de papeles y responsabilidades - a menudo no tendr el
mismo aspecto que la empleada en otras entidades.
Relacin entre Objetivos y Componentes

Existe una relacin directa entre los objetivos que una entidad intenta alcanzar y los
componentes de la gestin de riesgos corporativos, que representan lo que hace falta
para lograr aquellos. Esta relacin se muestra a travs de la matriz tridimensional en
forma de cubo que se muestra en la figura 1.1.
35
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 36
Figura 1.1
(Grfico del cubo)
Las cuatro categoras de objetivos estrategia, operaciones, informacin y cumplimiento estn representadas por las columnas verticales.
Los ochos componentes estn representados por las filas horizontales.
La entidad y sus unidades estn representadas por la tercera dimensin del cubo.
Cada fila con un componente cruza y afecta a las cuatro categoras de objetivos. Por
ejemplo, los datos financieros y no financieros generados desde fuentes internas y
externas, que forman parte del componente de informacin y comunicacin, son
necesarios para fijar la estrategia, gestionar eficazmente las operaciones del negocio, informar adecuadamente y determinar si la entidad cumple o no las leyes aplicables.
Asimismo, si observamos las categoras de objetivos, los ocho componentes son
relevantes para cualquiera de ellas. Tomando una categora, por ejemplo, la eficacia
y eficiencia operativa, le resultan aplicables los ocho componentes, que son importantes para su consecucin.
Debera reconocerse que las cuatro columnas representan categoras de objetivos de
una entidad y no partes o unidades de sta. De acuerdo con esto, cuando se considere la categora de objetivos relativos a la informacin, por ejemplo, ser necesario
conocer una amplia gama de datos sobre las operaciones de la entidad. Pero en este
caso, el foco est en la segunda columna desde la derecha en la cara horizontal
superior informacin de objetivos y no en la tercera operaciones como podra
parecer.
Eficacia
Aunque la gestin de riesgos corporativos es un proceso, su eficacia es un estado o
condicin en un momento determinado. Discernir si la gestin de riesgos corporativos es eficaz es un juicio que se deriva de una evaluacin acerca de si estn pre-
36
INFORME COSO-OKJ
25/5/05
18:14
Pgina 37
DEFINICIN
sentes los ocho componentes y funcionan eficazmente. As, los componentes tambin constituyen criterios para una gestin eficaz de riesgos corporativos. Para que
los componentes estn presentes y funcionen adecuadamente, no puede haber debilidades materiales y los riesgos deben haberse encajado dentro del riesgo aceptado
por la entidad.
Cuando se determine que la gestin de riesgos corporativos es eficaz en cada una
de las cuatro categoras de objetivos, respectivamente, el consejo de administracin
y la direccin tendrn una seguridad razonable de que:
Se conoce el grado de consecucin de los objetivos estratgicos de la entidad
Se conoce el grado de consecucin de los objetivos operativos de la entidad
La informacin de la entidad es fiable
Se cumplen las leyes y normas aplicables
Aunque para que la gestin de riesgos corporativos pueda considerarse eficaz, los
ocho componentes deben estar presentes y funcionar correctamente aplicando los
principios descritos en captulos siguientes -, pueden existir entre ellos algunos conflictos. Dado que las tcnicas de gestin de riesgos corporativos sirven para una
variedad de propsitos, algunas de las que se aplican a un determinado componente tambin pueden cubrir el propsito de tcnicas normalmente aplicables a otros.
Adicionalmente, las respuestas a los riesgos pueden diferir en su grado de atencin
a uno concreto, por lo que las respuestas y controles complementarios, cada uno de
efecto limitado, pueden ser satisfactorios en conjunto.
Los conceptos que comentamos aqu son aplicables a todas las entidades, sea cual
sea su dimensin. Aunque algunas pequeas y medianas empresas puedan implantar factores de componentes en forma diferente a otras ms grandes, tambin pueden conseguir una gestin eficaz de riesgos corporativos. La metodologa para cada
componente probablemente sea menos formal y estructurada en las entidades
pequeas que en las grandes, pero los conceptos bsicos debern estar presentes
en todas ellas.
Normalmente, la gestin de riesgos corporativos se considera dentro del contexto de
una entidad en su conjunto, lo que implica considerar su aplicacin a las unidades
significativas de negocio. Sin embargo, puede haber circunstancias en las que la eficacia de dicha gestin deba ser evaluada de modo individual en una determinada unidad de negocio. En tales casos, para que exista eficacia en la gestin en esta unidad,
los ocho componentes tienen que estar presentes y funcionar eficazmente en ella.
As, por ejemplo, como contar con un consejo de administracin con caractersticas
especficas forma parte del mbito interno, la gestin de riesgos corporativos de una
especifica unidad de negocio slo podr juzgarse como eficaz cuando dicha unidad
tenga un consejo de administracin u organismo similar que funcione adecuadamente (o cuando el consejo de administracin de la entidad lleve a cabo una adecuada
supervisin directa sobre la unidad de negocio). De forma similar, debido a que el
componente de respuesta a los riesgos se describe desde una perspectiva de cartera de riesgos, para que la gestin de riesgos corporativos en dicha unidad de negocio pueda considerarse eficaz, tambin debera aplicarse en ella este tipo de perspectiva.
37
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 38

El control interno es una parte integral de la gestin de riesgos corporativos y, en consecuencia, el Marco de esta ltima incluye a aqul, aportando as a la direccin una
conceptualizacin y herramienta ms robustas. El control interno se define y describe en el documento Control Interno Marco integrado. Como este documento compone la base de las reglas, normas y leyes existentes y ha resistido la prueba del
tiempo, contina vigente como fuente de la definicin y el marco del control interno.
Aunque en el presente documento slo se reproduzcan algunas secciones de Control
interno Marco integrado, su totalidad s queda integrada en l mediante referencias.
El anexo C describe la relacin existente entre la gestin de riesgos corporativos y el
control interno.
Gestin de Riesgos Corporativos y Proceso de Direccin

Como la gestin de riesgos corporativos forma parte del proceso de direccin, los
componentes del presente Marco se comentan dentro del contexto de lo que hace la
gerencia al dirigir una empresa u otro tipo de entidad. Por el contrario, no todo lo que
hace la direccin de una entidad forma parte de la gestin de riesgos corporativos y
as, muchos juicios aplicados en la toma de decisiones directivas y otras acciones
asociadas, aunque constituyan parte del proceso de direccin, no forman parte de
esa gestin. Por ejemplo:
Constituye un componente crtico de la gestin de riesgos corporativos el que exista un proceso apropiado para fijar objetivos en la entidad, pero determinados objetivos seleccionados por la direccin no forman parte de dicha gestin.
Responder a los riesgos, desde una adecuada evaluacin suya, forma parte de la
gestin de riesgos corporativos, pero no as determinadas respuestas al riesgo
seleccionadas y la correspondiente asignacin de recursos de la entidad.
Establecer y ejecutar actividades de control para ayudar a asegurar que se llevan a
cabo de modo eficaz las respuestas a los riesgos que la direccin selecciona, forma
parte de la gestin de riesgos corporativos, pero no as las particulares actividades
de control seleccionadas.
En general, la gestin de riesgos corporativos implica a aquellos elementos del proceso de direccin que permiten a la gerencia tomar decisiones informadas basadas
en el riesgo, pero determinadas decisiones seleccionadas dentro de una gama de
opciones apropiadas no sirven para establecer si la gestin de riesgos corporativos
es eficaz o no. Sin embargo, aunque los objetivos, respuestas al riesgo y actividades
de control elegidas sean temas a juicio de la direccin, la seleccin efectuada debe
dar como resultado la reduccin del riesgo a un nivel aceptable, determinado por el
riesgo aceptado y una seguridad razonable respecto a la consecucin de los objetivos de la entidad.
38
INFORME COSO-OKJ
25/5/05
18:14
Pgina 39
2. mbiente interno
Resumen del captulo: El ambiente interno abarca el talante de una organizacin, que influye en la conciencia de sus empleados sobre el riesgo y forma
la base de los otros componentes de la gestin de riesgos corporativos, proporcionando disciplina y estructura. Los factores del ambiente interno incluyen la filosofa de gestin de riesgos de una entidad, su riesgo aceptado, la
supervisin ejercida por el consejo de administracin, la integridad, valores
ticos y competencia de su personal y la forma en que la direccin asigna la
autoridad y responsabilidad y organiza y desarrolla a sus empleados.
El ambiente interno constituye la base de todos los dems componentes de la gestin

de riesgos corporativos, proporcionando disciplina y estructura, e influye en cmo se
establecen las estrategias y objetivos, se estructuran las actividades de negocio, se
identifican y evalan los riesgos y se acta sobre ellos. Asimismo, incide en el diseo y
39
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 40
funcionamiento de las actividades de control, los sistemas de informacin y comunicacin y las actividades de supervisin.
El ambiente interno se ve influido por la historia y cultura de una entidad y comprende
muchos elementos, incluyendo los valores ticos de la entidad, la competencia y desarrollo del personal, la filosofa de la direccin para gestionar riesgos y la forma de asignar la autoridad y responsabilidad. El consejo de administracin es una parte crtica del
ambiente interno e influye de modo significativo en sus otros factores.
Aunque todos los elementos sean importantes, el alcance del tratamiento de cada uno
variar segn la entidad. Por ejemplo, el consejero delegado de una empresa con una
plantilla reducida y operaciones centralizadas podra no establecer lneas formales de
responsabilidad ni polticas operativas detalladas. Sin embargo, la empresa podra contar con un ambiente interno que proporcionase cimientos adecuados para la gestin de
riesgos corporativos.
Filosofa de Gestin de Riesgos

La filosofa de gestin de riesgos de una entidad es el conjunto de creencias y actitudes compartidas que caracterizan cmo se contempla el riesgo en ella, desde el desarrollo e implantacin de la estrategia hasta sus actividades cotidianas. Refleja los valores de la entidad, influye en su cultura y estilo operativo y afecta a cmo se aplican los
componentes de dicha gestin, incluyendo la identificacin de riegos, los tipos de riesgo aceptados y cmo son gestionados.
Una entidad que ha tenido xito aceptando riesgos significativos probablemente tenga
una visin diferente de la gestin de riesgos corporativos que otra que se haya enfrentado a severas consecuencias econmicas o reguladoras por haberse aventurado en
territorio peligroso. Aunque algunas entidades pueden trabajar para conseguir una gestin de riesgos corporativos que satisfaga las exigencias de algn grupo de inters
externo, como su empresa matriz o un posible regulador, es ms frecuente que se haga
porque su direccin reconoce que una gestin eficaz de riesgos corporativos ayuda a
la entidad a crear y conservar valor.
Cuando la filosofa de gestin de riesgos est bien desarrollada, entendida y aceptada por el personal, la entidad estar en posicin de reconocer y gestionar los riesgos
eficazmente. De lo contrario, puede existir de manera inaceptable una aplicacin desigual de la gestin de riesgos corporativos en las unidades de negocio, funciones o
departamentos. Pero incluso cuando la filosofa de la entidad est muy desarrollada,
pueden existir diferencias culturales entre las unidades, lo que provocar una variacin
en la aplicacin de dicha gestin. Los directivos de algunas unidades pueden estar
preparados para asumir un mayor riesgo, mientras que otros pueden ser ms conservadores. Por ejemplo, una funcin de ventas agresiva puede poner su nfasis en la ejecucin de la venta, sin una cuidadosa atencin a temas de cumplimiento normativo,
mientras que el personal de la unidad de contratacin de personal centra significativamente su atencin en asegurarse del cumplimiento de todas las polticas y normas,
internas y externas, relevantes. Vistas de manera separada, estas distintas subculturas podran tener efectos adversos sobre la entidad. Sin embargo, trabajando bien
conjuntamente, las unidades pueden reflejar adecuadamente la filosofa de gestin de
riesgos.
40
INFORME COSO-OKJ
25/5/05
18:14
Pgina 41
AMBIENTE
INTERNO
Esta filosofa se refleja en casi todo el quehacer de la direccin para gestionar la entidad y se plasma en las declaraciones de polticas, las comunicaciones verbales y escritas y la toma de decisiones. Tanto si la direccin pone su nfasis en las polticas escritas, normas de conducta, indicadores de rendimiento e informes de excepcin, como
si prefiere operar ms informalmente mediante contactos personales con los directivos
claves, lo crticamente importante es que desde ella se potencie la filosofa, no slo con
palabras, sino con acciones diarias.
Riesgo Aceptado
El riesgo aceptado es el volumen de riesgo, a un nivel amplio, que una entidad est dispuesta a aceptar en su bsqueda de valor. Refleja la filosofa de gestin de riesgo de la
entidad e impacta a su vez en su cultura y estilo operativo.
El riesgo aceptado debe tenerse en cuenta al fijar la estrategia, pues el rendimiento
deseado de la estrategia debe estar alineado con el riesgo aceptado de la entidad.
Diferentes estrategias expondrn a la entidad a niveles diferentes de riesgo y la gestin
de riesgos corporativos, aplicada en esta fase de fijacin de estrategias, ayuda a la
direccin a seleccionar una estrategia coherente con el riesgo aceptado.
Las entidades pueden considerar el riesgo aceptado de un modo cualitativo, usando
categoras como alto, moderado o bajo, o bien optar por un enfoque cuantitativo, que
refleje los objetivos de crecimiento y rendimiento y los equilibre con los riesgos.
El Consejo de Administracin
El consejo de administracin de una entidad es una parte crtica del mbito interno e
influye de modo significativo en sus elementos. Su independencia frente a la direccin,
la experiencia y reputacin de sus miembros, su grado de implicacin y supervisin de
las actividades y la adecuacin de sus acciones juegan un papel muy importante. Otras
caractersticas son el alcance con que se plantean y persiguen, junto con la direccin,
cuestiones difciles relativas a estrategias, planes y rendimientos y su interaccin o la
del comit de auditora con los auditores internos y externos.
Un consejo de administracin u organismo similar activo e implicado debera poseer una
adecuada experiencia directiva, tcnica y de otro tipo, junto con la necesaria mentalidad
para llevar a cabo sus responsabilidades de supervisin. Esto es crtico para un entorno
eficaz de gestin de riesgos corporativos. Y, dado que el consejo tiene que estar preparado para cuestionar y fiscalizar las actividades de la direccin, presentar enfoques alternativos y actuar frente a prcticas ilcitas, debera contar con consejeros externos.
Los miembros de la alta direccin pueden ser partcipes eficaces en el consejo, aportando su conocimiento profundo de la empresa. Sin embargo, debe existir un nmero
suficiente de miembros externos independientes que no slo faciliten consejo y orientacin razonables, sino que tambin sirvan como una necesaria verificacin y supervisin de la direccin. Se puede concluir que, para que el mbito interno sea eficaz, el
consejo debe tener al menos una mayora de miembros externos independientes.
Los consejos de administracin eficaces aseguran que la direccin mantiene una adecuada gestin de riesgos corporativos. Aunque una empresa podra histricamente no
41
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 42
haber sufrido prdidas ni estar expuesta a riesgos significativos, el consejo no debe

sucumbir a la idea mtica de que los eventos con serias consecuencias adversas no
pueden tener lugar aqu. Hay que reconocer que, aunque una compaa pueda tener
una estrategia slida, empleados competentes, slidos procesos de negocio y una tecnologa fiable, es vulnerable al riesgo como cualquier entidad y necesita un proceso de
gestin de riesgos corporativos que funcione eficazmente.
Integridad y Valores ticos

La estrategia y objetivos de una entidad y la manera en que se ponen en prctica se
basan en las preferencias, juicios de valor y estilos de gestin. La integridad de la direccin y su compromiso con los valores ticos influyen en dichas preferencias y juicios,
que se traducen en normas de conducta. Dado que la reputacin de una entidad es tan
valiosa, las normas de conducta deben ir ms all del mero cumplimiento de la ley. Los
directivos de empresas bien gestionadas aceptan cada vez ms la idea de que la tica
es rentable y que una conducta ntegra es un buen negocio.
La integridad de la direccin es un requisito previo de la conducta tica en todos los
aspectos de la actividad de una entidad. La eficacia de la gestin de riesgos corporativos no debe sobreponerse a la integridad y los valores ticos de las personas que
crean, administran y controlan sus actividades. La integridad y valores ticos son elementos esenciales del mbito interno de una entidad y afectan al diseo, administracin y seguimiento de los otros componentes de la gestin de riesgos corporativos.
A menudo, resulta difcil establecer los valores ticos, dada la necesidad de tener en
cuenta las preocupaciones de varias partes. Los valores de la direccin deben equilibrar los intereses de la empresa, sus empleados, proveedores, clientes y competidores
y del pblico en general. La bsqueda de este equilibrio entre intereses, a menudo contrarios, puede resultar complicada y frustrante. Por ejemplo, las actividades empresariales para proveer un producto esencial (petrleo, madera o comida) pueden provocar
repercusiones medioambientales.
La conducta tica y la integridad de la direccin se derivan de la cultura corporativa,
que abarca las normas ticas y de conducta y cmo son comunicadas y potenciadas.
Las polticas oficiales especifican lo que el consejo y la direccin quieren que suceda.
La cultura corporativa determina lo que actualmente ocurre y qu reglas son acatadas,
manipuladas o ignoradas. La alta direccin empezando por el consejero delegado
juega un papel clave a la hora de establecer la cultura corporativa. Como personalidad
dominante en la entidad, es precisamente el consejero delegado quien establece a
menudo el talante tico de la entidad.
Ciertos factores organizativos tambin pueden influir en la probabilidad de que existan
prcticas fraudulentas y cuestionables en la informacin financiera. Estos mismos factores probablemente tambin influyan en la conducta tica. Los individuos pueden
implicarse en actos deshonestos, ilegales o no ticos, simplemente porque la entidad
les proporciona importantes incentivos o tentaciones para hacerlo. Un nfasis indebido
sobre los resultados, particularmente a corto plazo, puede fomentar un ambiente interno inadecuado. Enfocarse solamente a los resultados a corto plazo puede daar a la
entidad, incluso en ese mismo corto plazo. Centrarse en los resultados ventas o beneficios a cualquier coste a menudo provoca acciones o reacciones no deseadas. Las
42
INFORME COSO-OKJ
25/5/05
18:14
Pgina 43
AMBIENTE
INTERNO
tcticas agresivas de venta, las negociaciones sin piedad, las ofertas tcitas de sobornos, por ejemplo, pueden provocar reacciones con efectos inmediatos (e, incluso, duraderos).
Otros incentivos para implicarse en prcticas de informacin fraudulentas o cuestionables y, por extensin, en otras formas de conducta no tica, pueden incluir recompensas altamente dependientes de la informacin facilitada, financiera y no financiera, particularmente respecto a los resultados a corto plazo.
Eliminar o reducir los incentivos y tentaciones inadecuadas supone un buen camino
hacia la eliminacin de conductas no deseadas. Como se ha sugerido, esto puede conseguirse siguiendo prcticas empresariales slidas y rentables. Por ejemplo, los incentivos sobre el funcionamiento acompaados de controles adecuados pueden ser una
tcnica muy til de gestin siempre que los objetivos de rendimiento sean realistas.
Fijar objetivos de este tipo constituye una buena prctica de motivacin, que reduce
tensiones contraproducentes y el inters por presentar informacin fraudulenta. De
forma similar, un sistema bien controlado de informacin puede servir de proteccin
contra la tentacin de presentar errneamente los datos de la entidad.
Otra causa de prcticas cuestionables es la ignorancia. Los valores ticos no slo
deben ser comunicados, sino tambin acompaados por una orientacin explcita de lo
que est bien y mal. Los cdigos formales de conducta corporativa son importantes y
sirven de base para un programa eficaz de tica. Los cdigos tratan una variedad de
temas de conducta, tales como integridad y tica, conflictos de inters, pagos ilegales
o inadecuados y acuerdos contra la libre competencia. Tambin son importantes los
canales ascendentes de comunicacin, para que los empleados se sientan cmodos
aportando informacin relevante.
La existencia de un cdigo escrito de conducta, de documentacin donde conste que
los empleados lo han recibido y entendido y un adecuado canal de comunicaciones no
aseguran por s mismos que el cdigo se est cumpliendo. Tambin son importantes
para su cumplimiento las sanciones resultantes para los empleados que lo violen, los
mecanismos que animen al personal a denunciar presuntas violaciones y las acciones
disciplinarias contra empleados que conscientemente no denuncien las infracciones.
Sin embargo, el cumplimiento de las normas ticas, formalizadas o no en un cdigo
escrito, est igualmente, si no ms, asegurado eficazmente por las acciones de la alta
direccin y su ejemplo. Es probable que los empleados desarrollen las mismas actitudes hacia lo correcto e incorrecto -y acerca de los riesgos y controles- que las exhibidas por la alta direccin. Los mensajes transmitidos por las acciones de la direccin se
incorporan rpidamente a la cultura corporativa. El conocimiento de que el consejero
delegado ha hecho lo correcto ticamente cuando se ha enfrentado a una decisin
empresarial ardua, difunde un mensaje poderoso por toda la entidad.
Compromiso con la Competencia

La competencia refleja los conocimientos y habilidades necesarios para realizar el
cometido asignado. La direccin decide el nivel de realizacin de los cometidos, sopesando la estrategia y objetivos de la entidad respecto a sus planes de implantacin y
realizacin. Existe a menudo un conflicto entre competencia y coste no es necesario,
por ejemplo, contratar a un ingeniero elctrico para cambiar una bombilla.
43
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 44
La direccin establece los niveles de competencia para trabajos concretos y los transforma en conocimientos y habilidades requeridos. A su vez, stos pueden depender de
la inteligencia, formacin y experiencia del individuo. Los factores a tener en cuenta en
el desarrollo de niveles de conocimiento y habilidad incluyen la naturaleza y grado del
juicio a aplicar en un trabajo concreto. A menudo, existe un conflicto entre el grado de
supervisin y el nivel de competencia requerido del individuo.
Estructura Organizativa
La estructura organizativa de una entidad proporciona el marco para planificar, ejecutar, controlar y supervisar sus actividades. Una estructura organizativa relevante incluye la definicin de reas claves de autoridad y responsabilidad y el establecimiento de
lneas adecuadas de informacin. Por ejemplo, una funcin de auditora interna debera estructurarse de manera que alcance objetividad organizativa y que se permita su
acceso ilimitado a la alta direccin y al comit de auditora del consejo, al mismo tiempo que su mximo responsable debe informar y reportar a un nivel de la organizacin
que permita que la auditora interna cumpla con su cometido.
Una entidad desarrolla una estructura organizativa ajustada a sus necesidades. Algunas
son centralizadas y otras descentralizadas. Unas presentan relaciones directas de
dependencia, mientras otras tienen una organizacin del tipo matricial. Ciertas entidades estn organizadas por sector de actividad o lnea de producto, por ubicacin geogrfica, por un modo concreto de distribucin o por una determinada red comercial.
Otras entidades, incluyendo muchos organismos gubernamentales, estatales o locales,
y entidades sin nimo de lucro, estn organizadas por funciones.
La adecuacin de la estructura organizativa de una entidad depende en parte de su
dimensin y de la naturaleza de sus actividades. Una organizacin muy estructurada
con lneas formales de dependencia y responsabilidad puede resultar adecuada para
una entidad grande con muchas divisiones operativas, incluyendo las operaciones en
el extranjero. Sin embargo, en una empresa reducida, esta estructura podra impedir el
flujo necesario de informacin. Sea cual sea dicha estructura, una entidad debera organizarse para permitir una gestin eficaz de riesgos corporativos, desarrollar sus actividades y alcanzar sus objetivos.
Asignacin de Autoridad y Responsabilidad

La asignacin de autoridad y responsabilidad implica el punto hasta el que los individuos y equipos estn autorizados y animados a utilizar su iniciativa para tratar los
temas y resolver problemas, as como los lmites de dicha autoridad. Incluye el establecimiento de relaciones de informacin y protocolos de autorizacin, adems de polticas que describan las prcticas empresariales adecuadas, los conocimientos y experiencia del personal clave y los recursos proporcionados para que lleven a cabo sus
cometidos.
Algunas entidades han descentralizado la toma de decisiones a niveles inferiores para
aproximar la toma de decisiones al personal de lnea. Una empresa puede tomar esta
opcin para estar ms orientada al mercado o centrada en temas de calidad o, quizs,
para eliminar defectos, reducir la duracin de los ciclos o aumentar la satisfaccin del
44
INFORME COSO-OKJ
25/5/05
18:14
Pgina 45
AMBIENTE
INTERNO
cliente. La alineacin de la autoridad y la responsabilidad a menudo se efecta para animar las iniciativas individuales dentro de lmites. La delegacin de autoridad significa
traspasar el control central de algunas decisiones de negocio hacia niveles inferiores a
los individuos que estn ms cerca de las transacciones empresariales cotidianas. Esto
puede implicar la delegacin de facultades para vender productos con descuento,
negociar contratos con proveedores, licencias o patentes a largo plazo y formar alianzas o joint ventures.
Un reto crtico ser delegar slo en la cuanta requerida para alcanzar objetivos, lo que
implica asegurar que la toma de decisiones se basa en prcticas slidas de identificacin y evaluacin de riesgos, incluyendo su dimensionamiento y la relacin entre prdidas potenciales y ganancias posibles al determinar los riesgos aceptables y cmo gestionarlos.
Otro reto ser asegurarse de que todo el personal entiende los objetivos de la entidad.
Es esencial que los individuos conozcan cmo sus acciones se relacionan entre s y
contribuyan a la consecucin de objetivos.
Una mayor delegacin a veces va intencionalmente acompaada o lleva como resultado a una simplificacin o aplanamiento de la estructura organizativa. Un cambio
estructural til que fomente la creatividad, la toma de iniciativas y reduzca los tiempos
de respuesta, puede mejorar la competitividad y la satisfaccin del cliente. Esta mayor
delegacin de facultades puede acarrear como requisito implcito un mayor nivel de
competencia del empleado, adems de un aumento de su responsabilidad. Tambin
puede exigir procedimientos efectivos para que la direccin controle los resultados,
asegurndose de que las decisiones puedan anularse o aceptarse segn el caso. En
combinacin con mejores decisiones orientadas al mercado, delegar puede aumentar
el nmero de decisiones indeseadas o no anticipadas. Por ejemplo, si un director
comercial regional decide que su autoridad para vender con un descuento del 35%
sobre precio de catlogo le permite aplicar un descuento temporal del 45% a fin de
aumentar la cuota de mercado, la direccin posiblemente debiera conocerlo, para
poder anular o aceptar dicha decisin.
El mbito interno se ve muy influenciado por el grado de responsabilidad reconocido
por los individuos, algo aplicable hasta al consejero delegado, quien, conjuntamente
con la supervisin del consejo de administracin, es el mximo responsable de todas
las actividades de la entidad.
Los principios adicionales relativos a los papeles y responsabilidades de las partes integrantes para una gestin eficaz de riesgos corporativos se establecen en el captulo
Papeles y Responsabilidades.
Normas para Recursos Humanos

Las prcticas de recursos humanos relacionadas con la contratacin, orientacin, formacin, evaluacin, tutora, promocin, compensacin y adopcin de acciones remediadoras transmiten mensajes a los empleados en relacin con los niveles esperados
de integridad, conducta tica y competencia. Por ejemplo, las normas de contratacin
de las personas ms cualificadas, poniendo el nfasis en su historial acadmico, experiencia laboral previa, logros anteriores y pruebas de su integridad y conducta tica,
muestran el compromiso de una entidad con las personas competentes y de confian-
45
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 46
za. Lo mismo se aplica cuando las prcticas de seleccin e incorporacin de personal

incluyen entrevistas formales y unos cursos de formacin sobre la historia, cultura y
estilo operativo de la entidad.
Las polticas de formacin pueden potenciar los niveles esperados de rendimiento y
conducta mediante la comunicacin de los papeles y responsabilidades futuras y la
inclusin de prcticas, tales como los talleres y seminarios de formacin, estudio de
casos simulados y ejercicios de interpretacin de papeles. Los traslados y ascensos
impulsados por evaluaciones peridicas del rendimiento muestran el compromiso de la
entidad con la promocin de sus empleados cualificados. Los programas competitivos
de compensacin que incluyen incentivos sirven para motivar y potenciar el rendimiento destacable aunque los sistemas de compensacin debern estar estructurados y
debidamente controlados, para evitar la indebida tentacin de falsificar los resultados
comunicados. Las acciones disciplinarias transmiten el mensaje de que no sern toleradas las violaciones de la conducta esperada.
Es esencial que los empleados estn preparados para enfrentarse a nuevos retos a
medida que los temas y riesgos cambian en la entidad y se hacen ms complejos
impulsados en parte por tecnologas que cambian rpidamente y el aumento de la
competitividad. La educacin y formacin, basadas en cursos, autoestudio o enseanza en el puesto de trabajo, deberan ayudar al personal a mantenerse a nivel con un
entorno en evolucin y enfrentarse eficazmente a l. No es suficiente la contratacin de
personas competentes a las que se les proporciona solo formacin en el momento inicial. El proceso formativo debe ser constante.
Implicaciones
Es difcil valorar en exceso la importancia del ambiente interno de una entidad y el
impacto positivo o negativo- que pueda tener en los otros componentes de la gestin
de riesgos corporativos. El impacto de un ambiente interno ineficaz puede tener
amplias consecuencias, tales como prdidas financieras, una imagen pblica mancillada o la quiebra.
Por ejemplo, se pensaba que cierta compaa de energa mantena una eficaz gestin
de riesgos corporativos, ya que contaba con directivos muy cualificados y respetados,
un prestigioso consejo de administracin, una estrategia innovadora, sistemas de informacin y controles bien diseados, amplios manuales de polticas sobre las funciones
de riesgo y control y detallados procedimientos integrales de conciliacin y supervisin.
Sin embargo, su ambiente interno tena un defecto significativo: La direccin participaba en prcticas empresariales muy cuestionables y el consejo miraba para otro lado. Se
averigu que la compaa haba falseado sus resultados financieros y que sufra una
perdida de confianza de los accionistas, una crisis de liquidez y la destruccin de valor
de la entidad. Finalmente, di lugar a una de las quiebras ms sonadas de la historia.
La actitud e inters de la alta direccin por una gestin eficaz de riesgos corporativos
han de ser claros y definitivos y deben calar en la organizacin. No es suficiente con
decir las palabras adecuadas, pues una actitud de haz como digo, pero no como
hago slo provocar un entorno ineficaz.
46
INFORME COSO-OKJ
25/5/05
18:14
Pgina 47
3. Establecimiento de objetivos
Resumen del captulo: Los objetivos se fijan a escala estratgica, estableciendo con ellos una base para los objetivos operativos, de informacin y de
cumplimiento. Cada entidad se enfrenta a una gama de riesgos procedentes
de fuentes externas e internas y una condicin previa para la identificacin
eficaz de eventos, la evaluacin de sus riesgos y la respuesta a ellos es fijar
los objetivos, que tienen que estar alineados con el riesgo aceptado por la
entidad, que orienta a su vez los niveles de tolerancia al riesgo de la misma.
El establecimiento de objetivos es condicin previa para la identificacin de eventos,

la evaluacin de riesgos y la respuestas a ellos. Tienen que existir primero los objetivos para que la direccin pueda identificar y evaluar los riesgos que impidan su consecucin y adoptar las medidas necesarias para gestionar stos ltimos.
47
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 48
Objetivos Estratgicos
La misin de una entidad establece en amplios trminos lo que se aspira a alcanzar.
Sea cual sea el trmino empleado, como misin, visin o finalidad, es importante que la direccin con la supervisin del consejo establezca expresamente la
razn de ser de la entidad en trminos generales. A partir de esto, la direccin fija los
objetivos estratgicos, formula la estrategia y establece los correspondientes objetivos operativos, de informacin y de cumplimiento para la organizacin. Aunque la
misin de una entidad y sus objetivos estratgicos sean generalmente estables, su
estrategia y muchos objetivos relacionados con ella son ms dinmicos y se adecuan
mejor a las cambiantes condiciones internas y externas. A medida que stas cambian, la estrategia y los objetivos conexos deben volver a situarse en lnea con los
objetivos estratgicos.
Estos objetivos estratgicos son de alto nivel, estn alineados con la misin/visin de
la entidad y la dan su apoyo. Reflejan la opcin que ha elegido la direccin en cuanto a cmo la entidad crear valor para sus grupos de inters.
Al considerar las posibles formas alternativas de alcanzar los objetivos estratgicos,
la direccin identifica los riesgos asociados a una gama amplia de elecciones estratgicas y considera sus implicaciones. Se pueden aplicar diferentes tcnicas de identificacin y evaluacin de los riesgos, que se expondrn en captulos posteriores,
durante el proceso de establecimiento de la estrategia. De este modo, en la fijacin
de estrategias y objetivos, se usan tcnicas de gestin de riesgos corporativos.
Objetivos Relacionados
Constituye un factor crtico de xito el establecimiento de objetivos adecuados que
apoyen a la estrategia seleccionada, correspondiente a todas las actividades de la
entidad, y estn en lnea con ella. Al enfocar primero los objetivos estratgicos y la
estrategia, una entidad est en posicin de desarrollar los objetivos globales, cuya
consecucin crear y conservar el valor. Los objetivos al nivel de empresa estn vinculados y se integran con otros objetivos ms especficos, que repercuten en cascada en la organizacin hasta llegar a subobjetivos establecidos, por ejemplo, en las
diversas actividades de ventas, produccin, ingeniera e infraestructura.
Al fijar sus objetivos a los niveles de entidad y actividades, la organizacin puede identificar los factores crticos de xito, que han de funcionar bien si se quieren alcanzar los
objetivos. Estos factores crticos afectan a la entidad, a cada unidad de negocio, funcin
o departamento y a los individuos. Al fijar sus objetivos, la direccin puede identificar los
criterios de medida del rendimiento, con atencin a los factores crticos de xito.
Cuando los objetivos guardan conformidad con las prcticas y rendimientos anteriores, se conoce la conexin entre actividades. Sin embargo, cuando los objetivos se
desvan de estas prcticas anteriores de la entidad, la direccin debe reorientar las
conexiones o aceptar unos riegos mayores. En dichos casos, existe incluso una
mayor necesidad de que los objetivos o subobjetivos por unidad de negocio estn en
consonancia con la nueva orientacin.
Los objetivos deben ser fcilmente entendibles y mensurables. La gestin de riesgos
corporativos exige que el personal a todos los niveles tenga un entendimiento nece-
48
INFORME COSO-OKJ
25/5/05
18:14
Pgina 49
ESTABLECIMIENTO
DE OBJETIVOS
sario de los objetivos de la entidad, en cuanto se relacionan con el mbito del individuo. Todos los empleados deben tener una comprensin mutua de lo que se ha de
lograr y de los medios para medir lo que se consiga.
Categoras de Objetivos Relacionados

A pesar de la diversidad de objetivos entre entidades, se pueden establecer algunas
categoras amplias:
Objetivos operativos
Se corresponden con la eficacia y eficiencia de las operaciones de la entidad, incluyendo los objetivos de rendimiento y rentabilidad y de salvaguarda de recursos frente a prdidas. Varan segn las opciones de la direccin respecto a estructura y rendimiento.
Objetivos de informacin
Relativos a la fiabilidad de la informacin. Incluyen informacin interna y externa e
implican la financiera y no financiera.
Objetivos de cumplimiento
Se refieren al cumplimiento de leyes y normas relevantes. Dependen de factores
externos y tienden a ser similares entre entidades, en algunos casos, y sectorialmente, en otros.
Ciertos objetivos dependen del tipo de negocio de la entidad. Algunas empresas, por
ejemplo, remiten informacin a agencias medioambientales y otras que cotizan en
bolsa la remiten a los reguladores de los mercados de valores. Estos requisitos externos se establecen por leyes o normas y se incluyen en las categoras de informacin
o cumplimiento o, como en estos ejemplos, en ambas.
Por contra, los objetivos operativos, as como los relativos a la informacin interna de
gestin, se basan ms en las preferencias, juicios y estilo de la direccin. Varan
mucho entre entidades, simplemente porque personas capaces y honestas pueden
seleccionar objetivos diferentes. Respecto al desarrollo de productos, por ejemplo,
una entidad decide adaptarse inmediatamente a los cambios, otra prefiere hacerlo
con cierta rapidez y otra, incluso, con cierta lentitud. Estas opciones afectan a la
estructura, competencias, equipo humano y controles de la funcin de investigacin
y desarrollo. Por tanto, no existe una frmula ptima de establecimiento de objetivos
para todas las entidades.
Objetivos Operativos
Los objetivos operativos se refieren a la eficacia y eficiencia de las operaciones de la
entidad e incluyen otros subobjetivos orientados a mejorar ambas caractersticas
mediante la movilizacin de la empresa hacia sus metas finales.
Los objetivos operativos deben reflejar los entornos empresarial, sectorial y econmico en los que acta la entidad. Necesitan, por ejemplo, ser relevantes respecto a
las presiones competitivas hacia la calidad, una menor duracin del ciclo de puesta
49
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 50
a disposicin del producto en el mercado o hacia los cambios tecnolgicos. La direccin debe asegurar que los objetivos reflejan la realidad y las exigencias del mercado y que estn expresados en trminos que permitan conocer las principales medidas del rendimiento. Un conjunto claro de objetivos operativos, vinculados a subobjetivos, es esencial para el xito. Los objetivos operativos proporcionan un punto de
focalizacin para orientar la asignacin de recursos. Si los objetivos no son claros o
no estn bien concebidos, dicha asignacin puede resultar desenfocada.
Objetivos de Informacin
Una informacin fiable proporciona a la direccin datos seguros y completos, adecuados para la finalidad pretendida, y la presta apoyo en su toma de decisiones y en
el seguimiento de las actividades y rendimientos de la entidad. Ejemplos de dicha
informacin son los resultados de las campaas de marketing, los informes de ventas diarias, la calidad de produccin y los resultados de encuestas sobre la satisfaccin de clientes y empleados. La informacin tambin est relacionada con los documentos preparados para su difusin externa, como es el caso de los estados financieros y sus notas de detalle, los comentarios y anlisis de la direccin y los informes
presentados a entidades reguladoras.
Objetivos de Cumplimiento
Las entidades deben llevar a cabo sus actividades y a menudo acciones concretas
de acuerdo con las leyes y normas relevantes. Estos requisitos pueden referirse al
mercado, precios e impuestos, medioambiente, bienestar de los empleados y
comercio exterior. Las leyes y normas aplicables establecen pautas mnimas de
conducta, que la entidad integra en sus objetivos de cumplimiento. Por ejemplo, las
normas sobre higiene y salud laboral hacen que una empresa defina uno de sus
objetivos como Empaquetar y etiquetar todas los productos qumicos segn
normativa. En este caso, las polticas y procedimientos se dirigen a los programas
de comunicacin, inspecciones in situ y formacin. El historial del cumplimiento de
una entidad puede afectar de modo significativo positiva o negativamente a su
reputacin en la comunidad y el mercado.
Subcategoras
Las categoras de objetivos forman parte del lenguaje comn establecido por este
Marco y facilitan la comprensin y la comunicacin. Una entidad puede, sin embargo, encontrar til plantear un subconjunto de una o ms de estas categoras, para
facilitar la comunicacin interna y externa sobre un tema ms especfico. Una empresa podra optar por comunicar la eficacia de una parte de la categora de informacin,
por ejemplo la gestin de riesgos corporativos en la informacin externa o quizs slo
en la informacin externa de ndole financiera. Actuando as, permite que la comunicacin se mantenga dentro del contexto del presente Marco para dicha gestin y, a
su vez, permite las comunicaciones sobre determinados subconjuntos de categoras.
50
INFORME COSO-OKJ
25/5/05
18:14
Pgina 51
ESTABLECIMIENTO
DE OBJETIVOS
Sobreposicin de Objetivos
Un objetivo de una categora puede reforzar a otro objetivo de otra o solaparse con
l. La categora en que incide un objetivo depende a veces de las circunstancias. Por
ejemplo, proporcionar informacin fiable a la direccin de una unidad de negocio
para que gestione y controle sus actividades de produccin, puede servir para alcanzar objetivos operativos y de informacin. Incluso, si esta informacin sirve para
comunicar datos medioambientales a la Administracin, tambin se estn alcanzando objetivos de cumplimiento.
Algunas entidades usan otra categora de objetivos, la salvaguarda de recursos, a
veces denominada salvaguarda de activos, que se solapa con las otras categoras
de objetivos. Vista con amplitud, la salvaguarda de activos trata de prevenir la prdida de activos o recursos de una entidad por robo, despilfarro, ineficiencia o lo que
resulta ser simplemente malas decisiones empresariales - como la venta de productos a un precio demasiado bajo, la ausencia de retencin de empleados claves, no
haber prevenido la violacin de patentes o incurrir en pasivos no previstos. Son principalmente objetivos operativos, aunque algunos aspectos de la salvaguarda de activos pueden incluirse en otras categoras. Sin embargo, cuando se aplican requisitos
legales o de normas, se convierten en objetivos de cumplimiento. Por otro lado, el
reflejo adecuado de las prdidas de activos en los estados financieros de la entidad
representa un objetivo de informacin.
Considerada conjuntamente con la informacin pblica, se usa a menudo una definicin ms estrecha de la salvaguarda de activos, que trata de la oportuna prevencin
o deteccin de la adquisicin, uso o disposicin no autorizada de los activos de una
entidad. Para ms informacin sobre esta categora de objetivos, hay que referirse al
documento Control Interno Marco Integrado, que incluye el mdulo Addenda a la
informacin para terceros.
Un proceso adecuado para establecer objetivos es un componente crtico de la gestin de riesgos corporativos. Aunque los objetivos proporcionan metas mensurables
a las que se encamina la entidad cuando realiza sus actividades, existen en ellos diferentes grados de importancia y prioridad. Por tanto, aunque una entidad deba tener
seguridad razonable de que ciertos objetivos se estn alcanzando, puede que ste
no sea el caso para todos ellos.
Una gestin eficaz de riesgos corporativos proporciona seguridad razonable de que
los objetivos de informacin de una entidad se estn cumpliendo. De forma similar,
tambin debera existir seguridad razonable de que los objetivos de cumplimiento se
estn alcanzando. La consecucin de ambos tipos de objetivos est ampliamente
bajo el control de la entidad. O sea, una vez definidos los objetivos, la entidad tiene
el control sobre su capacidad de hacer lo que haga falta para lograrlos.
Sin embargo, existe una diferencia entre los objetivos estratgicos y operativos, porque su consecucin no est exclusivamente bajo el control de la entidad. Una empresa puede actuar tal como est previsto, pero es posible que un competidor le lleve
ventaja. Est sujeta a eventos externos como un cambio de gobierno, mal tiempo u
51
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 52
otros cuya existencia no est bajo su control. Incluso, es posible que la entidad haya
contemplado alguno de dichos eventos en el proceso de fijacin de objetivos, tratndolos como si su probabilidad fuera remota y elaborando un plan de contingencia
para el caso en que tuviesen lugar. Sin embargo, tal plan slo mitiga el impacto de los
eventos externos y no asegura que los objetivos se vayan a alcanzar.
La gestin de riesgos corporativos sobre las operaciones se centra principalmente en
el desarrollo de una coherencia de objetivos y metas en toda la organizacin, en la
identificacin de factores de xito y riesgos claves, en la evaluacin de riesgos y la
formulacin de respuestas acertadas, en las respuestas adecuadas a los riesgos, en
el establecimiento de los controles necesarios y en la informacin oportuna del funcionamiento y expectativas. En cuanto a los objetivos estratgicos y operativos, la
gestin de riesgos corporativos puede proporcionar seguridad razonable de que la
direccin y el consejo, en su papel de supervisin, estn informados oportunamente
del progreso de la entidad en su camino hacia el logro de dichos objetivos.
Objetivos Seleccionados
Como parte de la gestin de riesgos corporativos, la direccin no slo elige los objetivos y considera cmo apoyan la misin de la entidad, sino que tambin asegura que
estn alineados con el riesgo aceptado por la entidad. Un error en dicha alineacin
podra dar como resultado una aceptacin insuficiente del riesgo existente en el logro
de objetivos o, por el contrario, una aceptacin de un riesgo excesivo. Una gestin
eficaz de riesgos corporativos no dicta los objetivos que la direccin debe elegir, pero
le proporciona un proceso para alinear los objetivos estratgicos con la misin de la
entidad y asegurar que stos, junto con sus correspondientes objetivos conexos,
concuerdan con el riesgo aceptado por la entidad.
Riesgo Aceptado
El riesgo aceptado, establecido por la direccin bajo control del consejo de administracin, es una orientacin para establecer los objetivos. Las empresas pueden
expresar su riesgo aceptado como un equilibrio adecuado entre crecimiento, riesgo
y rendimiento o como unas medidas de adicin de valor para el accionista, ajustadas
a su propio nivel de riesgo. Algunas entidades, como son las organizaciones sin
nimo de lucro, expresan su riesgo aceptado como el nivel de riesgo que aceptaran
a cambio de crear valor para sus grupos de inters.
Existe una relacin entre el riesgo aceptado de una entidad y su estrategia.
Normalmente se pueden disear muchas estrategias diferentes para conseguir los
objetivos deseados de crecimiento y rendimiento, cada uno con riesgos diferentes.
La gestin de riesgos corporativos, aplicada al establecimiento de la estrategia,
ayuda a la direccin a seleccionar una estrategia consecuente con su riesgo aceptado. Si el riesgo asociado a la estrategia no est alineado con el riesgo aceptado por
la entidad, se revisa la estrategia, lo que puede ocurrir cuando la direccin formule
inicialmente una estrategia que exceda del riesgo aceptado por la entidad o cuando
dicha estrategia no contemple riesgo suficiente para permitir que la entidad alcance
sus objetivos estratgicos y su misin.
52
INFORME COSO-OKJ
25/5/05
18:14
Pgina 53
ESTABLECIMIENTO
DE OBJETIVOS
El riesgo aceptado se ve reflejado en la estrategia de la entidad, que, a su vez orienta la asignacin de recursos. La direccin distribuye los recursos entre las unidades
de negocio teniendo en cuenta el riesgo aceptado por la entidad y los planes estratgicos de cada unidad de negocio, para as generar el rendimiento deseado sobre
los recursos invertidos. La direccin busca alinear la organizacin, el personal, los
procesos y la infraestructura para facilitar la implantacin de la estrategia con xito y
capacitar a la entidad a mantenerse dentro de los lmites de su riesgo aceptado.
Tolerancias al Riesgo
Las tolerancias al riesgo son los niveles aceptables de desviacin relativa a la consecucin de objetivos. Pueden medirse, y a menudo resulta mejor, con las mismas unidades que los objetivos correspondientes.
Las medidas de rendimiento se usan para ayudar a asegurar que los resultados reales se cien a las tolerancias al riesgo establecidas. Por ejemplo, una empresa fija un
objetivo del 98% de puntualidad para sus entregas, con una desviacin aceptable
entre el 97% y el 100%; fija como objetivo de formacin una nota de aprobado del
90%, con un rendimiento aceptable mnimo del 75%; y espera que el personal responda a todas las reclamaciones de los clientes en un plazo de 24 horas, aunque
acepta que hasta un 25% de ellas se atiendan entre 24 y 36 horas.
Al fijar las tolerancias al riesgo, la direccin tiene en cuenta la importancia relativa de
los objetivos correspondientes y alinea aquellas con el riesgo aceptado. Operar dentro de las tolerancias al riesgo proporciona a la direccin una mayor confianza en que
la entidad permanece dentro de su riesgo aceptado, que, a su vez, proporciona una
seguridad ms elevada de que la entidad alcanzar sus objetivos.
53
INFORME COSO-OKJ
25/5/05
18:14
Pgina 54
INFORME COSO-OKJ
25/5/05
18:14
Pgina 55
4. Identificacin de eventos
Resumen del captulo: La direccin identifica los eventos potenciales que,

de ocurrir, afectarn a la entidad y determina si representan oportunidades o
si pueden afectar negativamente a la capacidad de la empresa para implantar
la estrategia y lograr los objetivos con xito. Los eventos con impacto negativo representan riesgos, que exigen la evaluacin y respuesta de la direccin.
Los eventos con impacto positivo representan oportunidades, que la direccin reconduce hacia la estrategia y el proceso de fijacin de objetivos.
Cuando identifica los eventos, la direccin contempla una serie de factores
internos y externos que pueden dar lugar a riesgos y oportunidades, en el
contexto del mbito global de la organizacin.
Eventos
Un evento es un incidente o acontecimiento, derivado de fuentes internas o externas,
que afecta a la implantacin de la estrategia o la consecucin de objetivos. Los eventos pueden tener un impacto positivo, negativo o de ambos tipos a la vez.
55
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 56
Al identificar eventos, la direccin reconoce que existen incertidumbres, por lo que no

sabe si alguno en particular tendr lugar y, de tenerlo, cundo ser, ni su impacto exacto. La direccin considera inicialmente una gama de eventos potenciales, derivados de
fuentes internas o externas, sin tener que centrarse necesariamente sobre si su impacto es positivo o negativo. De esta forma, la direccin identifica no slo los eventos potenciales negativos, sino tambin aquellos que representan oportunidades a aprovechar.
Los eventos abarcan desde lo evidente a lo desconocido y sus efectos, desde lo
inconsecuente a lo muy significativo. Para evitar una consideracin excesiva de eventos relevantes, procede realizar de forma separada su identificacin y la evaluacin
de su probabilidad de ocurrencia e impacto, aspecto este ltimo que corresponde a
la Evaluacin de Riesgos. Sin embargo, existen limitaciones prcticas y a menudo es
difcil saber distinguirlas. Pero incluso los eventos con una probabilidad de ocurrencia relativamente baja no deberan ignorarse si es grande su impacto sobre la consecucin de un objetivo importante.
Factores Influyentes
Son muchos los factores externos e internos que provocan eventos que afectan a la
implantacin de la estrategia y la consecucin de objetivos. Como parte de la gestin
de riesgos corporativos, la direccin reconoce la importancia de entender dichos factores y el tipo de evento que puede derivarse de ellos. Los factores externos, junto
con ejemplos de eventos relacionados y sus implicaciones, incluyen los siguientes:
Econmicos
Eventos tales como los cambios de precios, la disponibilidad de capital o unas
menores barreras a la entrada de la competencia, que generan mayores o menores
costes de capital y competidores nuevos.
Medioambientales
Incluyen las inundaciones, incendios y terremotos, que provocan daos a las instalaciones o edificios, un acceso restringido a las materias primas o la prdida de
capital humano.
Polticos
Incluyen la eleccin de gobiernos con nuevos programas polticos, leyes y normas,
que provocan, por ejemplo, nuevas restricciones o aperturas en el acceso a mercados extranjeros o impuestos mayores o menores.
Sociales
Relacionados con los cambios demogrficos, costumbres sociales, estructuras
familiares, prioridades trabajo/ocio y actividades terroristas, que tienen como resultado cambios en la demanda de productos y servicios, nuevos puntos de venta,
aspectos relacionados con recursos humanos y paros en la produccin.
Tecnolgicos
Relativos a los nuevos medios de comercio electrnico, que generan una mayor disponibilidad de datos, reducciones de costes de infraestructura y un mayor aumento en la demanda de servicios basados en la tecnologa.
Los eventos tambin se derivan de las decisiones de la direccin respecto a cmo se
producirn. La aptitud y capacidad de una entidad para reflejar las decisiones previas
56
INFORME COSO-OKJ
25/5/05
18:14
Pgina 57
IDENTIFICACIN
DE EVENTOS
influye en los acontecimientos futuros y afecta a las decisiones de la direccin. Los

factores internos, junto con ejemplos de eventos relacionados y sus implicaciones,
incluyen los siguientes:
Infraestructura
Eventos como el incremento de asignacin de capital para mantenimiento preventivo y el apoyo a los centros de atencin a clientes reducen el tiempo de inactividad
del equipo y se mejora la satisfaccin del cliente.
Personal
Eventos como los accidentes laborales, las actividades fraudulentas y el vencimiento de convenios colectivos, causan prdidas de personal disponible o monetarias, daos de imagen y paros en la produccin.
Procesos
Eventos como la modificacin de procesos sin adecuados protocolos para la gestin de los cambios, los errores en su ejecucin y la externalizacin de entregas al
cliente con un control insuficiente, provocan prdidas de cuota de mercado, ineficiencias e insatisfaccin y prdidas de clientes.
Tecnologa
Eventos como el aumento de recursos para gestionar la volatilidad de volumen, los
fallos de seguridad y la potencial cada de los sistemas dan lugar a atrasos en la
produccin, transacciones fraudulentas e incapacidad para continuar las operaciones del negocio.
La identificacin de factores internos y externos que impactan en los eventos es til,
a su vez, para identificar a estos ltimos. Una vez que se han identificado los principales factores contribuyentes, la direccin puede considerar su relevancia y centrarse en los eventos que puedan afectar al logro de objetivos.
Un fabricante e importador de calzado, por ejemplo, estableci una visin de ser lder
del sector del calzado masculino de alta calidad. Para conseguirla, procedi a fabricar
productos que combinaban estilo, confort y durabilidad, usando tcnicas avanzadas y
proveedores muy selectos. La empresa revis su entorno operativo externo e identific factores sociales y eventos, tales como la edad cambiante de sus consumidores
potenciales o las tendencias cambiantes del vestir para el trabajo. Eventos relacionados con factores econmicos eran las fluctuaciones en los tipos de cambio e inters.
Los factores internos tecnolgicos indicaban un sistema desfasado de gestin de la
distribucin y los factores de personal, una inadecuada formacin en marketing.
Adems de identificar los eventos al nivel de entidad, tambin deben identificarse al
nivel de actividad, lo que ayuda a centrar la evaluacin de riesgos (el tema del captulo siguiente) sobre las principales unidades de negocio o funciones, tales como
ventas, produccin, marketing, avances tecnolgicos e investigacin y desarrollo.
Tcnicas de Identificacin de Eventos

La metodologa de identificacin de eventos de una entidad puede comprender una
combinacin de tcnicas, junto con herramientas de apoyo. Por ejemplo, la direccin
puede usar talleres interactivos de trabajo como parte de dicha metodologa, con un
monitor que emplee alguna herramienta tecnolgica para ayudar a los participantes.
57
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 58
Las tcnicas de identificacin de eventos se aplican tanto al pasado como al futuro.

Aquellas centradas en eventos y tendencias pasadas consideran temas tales como
historiales de impagos, cambios en los precios de los bienes y accidentes que provocan prdidas de tiempo. Las tcnicas que se centran en los riesgos futuros consideran temas tales como cambios demogrficos, nuevas condiciones de mercado y
acciones de los competidores.
Las tcnicas varan ampliamente en su nivel de sofisticacin. Aunque muchas de las
ms sofisticadas corresponden a sectores especficos, la mayora se derivan de un
enfoque comn. Por ejemplo, tanto los servicios financieros como los del sector de
la seguridad e higiene utilizan tcnicas de rastreo e identificacin de eventos que
generen prdidas. Estas tcnicas empiezan con un enfoque sobre los eventos histricos comunes los enfoques ms bsicos estudian acontecimientos derivados de
percepciones del personal, mientras que las tcnicas ms avanzadas se basan en
fuentes reales de eventos observables y luego, se introducen los datos en modelos
de previsin ms sofisticados. Las empresas ms avanzadas en la gestin de riesgos
corporativos normalmente aplican una combinacin de tcnicas que contemplan a la
vez eventos pasados y futuros potenciales.
Las tcnicas tambin varan segn dnde se estn aplicando dentro de una entidad.
Algunas se centran en el anlisis detallado de datos y crean una perspectiva ascendente de eventos, mientras que otras lo enfocan al contrario. La figura 4.1 proporciona ejemplos de las tcnicas de identificacin de eventos.
Inventarios de eventos
Son relaciones detalladas de acontecimientos potenciales comunes a empresas de un sector determinado o a un proceso o actividad especfica que se da en diversos sectores. Las aplicaciones de
software pueden generar relaciones relevantes de eventos genricos potenciales, que algunas entidades usan como punto de partida para la identificacin de eventos. Por ejemplo, una empresa que
est acometiendo un proyecto de desarrollo de software elaborar un inventario que describa eventos genricos relativos a este tipo de proyecto.
Anlisis interno
Puede llevarse a cabo como parte de un proceso rutinario del ciclo de planificacin empresarial,
normalmente mediante reuniones del personal de la unidad de negocio. El anlisis interno utiliza a
veces la informacin procedente de grupos de inters de dicha unidad (clientes, proveedores y otras
unidades de negocio) o de expertos en el tema ajenos a ella (expertos funcionales internos o externos o la auditora interna). Por ejemplo, una empresa que est considerando introducir un nuevo
producto, usa su propia experiencia histrica, junto con investigacin externa de mercado que identifique eventos que hayan afectado al xito de productos de los competidores.
Dispositivos de escala o umbral
Estos dispositivos alertan a la direccin respecto a reas con problemas comparando transacciones o eventos actuales con criterios predefinidos. Una vez que suena la alarma, es posible que un
evento exija una evaluacin ulterior o una respuesta inmediata. Por ejemplo, la direccin de una
empresa hace un seguimiento del volumen de ventas en mercados seleccionados con vista a nuevos programas de marketing o publicidad y reorienta los recursos segn los resultados. La direccin de otra empresa sigue las estructuras de precios de los competidores y contempla cambios en
sus propios precios cuando se franquea un determinado umbral.
Talleres de trabajo y entrevistas
Estas tcnicas identifican los eventos aprovechando el conocimiento y la experiencia acumulada de
la direccin, el personal y los grupos de inters, a travs de discusiones estructuradas. Un monitor
lidera y facilita la discusin sobre los eventos que pueden afectar a la consecucin de objetivos de
58
INFORME COSO-OKJ
25/5/05
18:14
Pgina 59
IDENTIFICACIN
DE EVENTOS
la entidad o alguna de sus unidades. Por ejemplo, un controller financiero dirige un taller de trabajo con miembros del equipo contable, para identificar eventos que puedan afectar a los objetivos de
informacin financiera externa. Al combinar los conocimientos y la experiencia de los miembros del
equipo, se identifican eventos importantes que de otro modo podran haberse olvidado.
Anlisis del flujo del proceso
Esta tcnica considera la combinacin de inputs, tareas, responsabilidades y outputs de un proceso. Al considerar los factores internos y externos que afectan en cierto proceso a los inputs de las
actividades o a estas mismas, una entidad identifica los eventos que podran afectar a la consecucin de los objetivos. Por ejemplo, un laboratorio mdico elabora mapas de los procesos de recepcin y anlisis de muestras de sangre. Utilizndolos, se considera la gama de factores que podran
afectar a los elementos del proceso citados anteriormente, identificando as riesgos relativos al etiquetado de muestras, transferencias en el proceso y cambios de turno del personal.
Indicadores de eventos importantes
Supervisando datos correlacionados con los eventos, las entidades identifican la existencia de condiciones que podran dar lugar a un acontecimiento. Por ejemplo, las instituciones financieras reconocen desde hace mucho tiempo la correlacin entre la demora en el pago de prstamos y su eventual impago futuro, as como el efecto positivo de una intervencin anticipada. Por ello, el control
de las pautas de pago permite mitigar el impago mediante acciones oportunas anticipadas.
Metodologas para datos de eventos con prdidas
Los archivos de datos sobre eventos individuales con prdidas en el pasado son una fuente til de
informacin para identificar las tendencias y causas principales. Una vez que se identifica una de
stas, la direccin puede averiguar qu es ms efectivo, si evaluarla y tratarla o afrontar los eventos individuales. Por ejemplo, una empresa que explota una gran flota de coches mantiene una base
de datos de las reclamaciones por accidentes y, mediante su anlisis, averigua que un porcentaje
desproporcionado de ellos, tanto en nmero como en importe, se vincula a conductores del equipo
en ciertas unidades, localizaciones geogrficas y franjas de edad. Este anlisis capacita a la direccin para identificar las causas principales de los eventos y tomar acciones.
Figura 4.1
La profundidad, amplitud, calendario y disciplina en la identificacin de eventos varan segn entidades. La direccin selecciona tcnicas que encajan con su filosofa de
gestin de riesgos y asegura que la entidad desarrolla las capacidades necesarias de
identificacin de eventos y que estn operativas las herramientas de apoyo. Por encima de todo, la identificacin de eventos necesita ser potente y fiable, ya que forma
la base de los componentes de la evaluacin de riesgos y de la respuesta a ellos.
Interdependencias
Frecuentemente, los eventos no ocurren de forma aislada. Un acontecimiento puede
hacer que se desencadene otro, por lo que pueden ocurrir de forma concurrente. En
la identificacin de eventos, la direccin debera entender cmo stos se relacionan
entre s. Evaluando estas relaciones, se puede determinar dnde mejor deberan aplicarse los esfuerzos en la gestin de riesgos. Por ejemplo, un cambio en el tipo de
inters de un banco central afecta a los tipos de cambio de moneda extranjera, relevantes para las ganancias y prdidas en las transacciones de una entidad. Una decisin para reducir la inversin en capital pospone una actualizacin de los sistemas de
gestin de distribucin, provocando ms tiempo de inactividad y un aumento de cos-
59
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 60
tes operativos. Una decisin para ampliar la formacin en marketing puede mejorar
las capacidades de venta y la calidad de servicio, lo que dar lugar a un aumento de
la frecuencia y volumen de los pedidos recurrentes de clientes. Una decisin para
entrar en una nueva lnea de negocio, con incentivos importantes vinculados al rendimiento, puede incrementar los riesgos de error en la aplicacin de principios contables y de que se genere una informacin fraudulenta.
Categoras de Eventos
Puede ser til agrupar los eventos potenciales en categoras. Al agregarlos horizontalmente en toda la entidad y verticalmente dentro de las unidades operativas, la
direccin desarrolla un entendimiento de las relaciones entre eventos, obteniendo
una mejor informacin como base para la evaluacin los riesgos. Mediante esta agregacin de eventos similares, la direccin puede determinar mejor las oportunidades
y riesgos.
La clasificacin de eventos por categoras tambin permite a la direccin considerar
la totalidad de los esfuerzos aplicados a su identificacin. Por ejemplo, una empresa
puede haber clasificado los eventos relacionados con los cobros de deudores en una
nica categora denominada impago de deudores. Si la direccin estudia los eventos
relacionados con esta categora, puede evaluar si se han identificado todos los posibles eventos significativos relacionados con dicho impago.
Algunas empresas desarrollan categoras de eventos basadas en la clasificacin de
sus objetivos por categoras, usando una jerarqua que empieza con los objetivos de
alto nivel y luego, en cascada hasta los objetivos relevantes para las unidades organizativas, funciones o procesos de negocio.
La figura 4.2 ilustra un enfoque usado para establecer las categoras de eventos dentro de un contexto de amplios factores internos y externos.
60
INFORME COSO-OKJ
25/5/05
18:14
Pgina 61
IDENTIFICACIN
DE EVENTOS
Categoras de eventos
Factores externos
Factores internos
Econmicos
Disponibilidad del capital
Emisin de deuda, impago
Concentracin
Liquidez
Mercados financieros
Desempleo
Competecia
Fusiones/Adquisiciones
Infraestructura
Disponibilidad de activos
Capacidad de los activos
Acceso al capital
Complejidad
Medioambientales
Emisiones y residuos
Energa
Catstrofes naturales
Desarrollo sostenible
Personal
Capacidad del personal
Actividad fraudulenta
Seguridad e higiene
Polticos
Cambios de gobierno
Legislacin
Polticas pblicas
Regulacin
Procesos
Capacidad
Diseo
Ejecucin
Proveedores/Subordinados
Sociales
Demografa
Comportamiento del consumidor
Responsabilidad social corporativa
Privacidad
Terrorismo
Tecnologa
Integridad de datos
Disponibilidad de datos y sistemas
Seleccin de sistemas
Desarrollo
Despliegue
Mantenimiento
Tecnolgicos
Interrupciones
Comercio electrnico
Datos externos
Tecnologa emergente
Figura 4.2
Distincin entre Riesgos y Oportunidades

Los eventos, si ocurren, tienen un impacto negativo, positivo o de ambos tipos a la
vez. Los de signo negativo representan riesgos, que requieren la evaluacin y respuesta de la direccin. Por tanto, un riesgo es la posibilidad de que ocurra un evento que afecte de modo adverso a la consecucin de objetivos.
Los eventos de signo positivo representan oportunidades, que compensan los impactos negativos de los riesgos. Una oportunidad es la posibilidad de que ocurra un
61
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 62
evento que afecte positivamente a la consecucin de objetivos y la creacin de valor.

Los eventos que implican oportunidades son canalizados hacia los procesos de la
direccin en que se establecen la estrategia y objetivos de la entidad, de forma que
puedan formularse acciones para aprovechar las oportunidades. Los eventos que
compensen el impacto negativo de los riesgos deben tenerse en cuenta por parte de
la direccin al evaluar los riesgos y darles respuesta.
62
INFORME COSO-OKJ
25/5/05
18:14
Pgina 63
5. Evaluacin de riesgos
Resumen del captulo: La evaluacin de riesgos permite a una entidad considerar la amplitud con que los eventos potenciales impactan en la consecucin de objetivos. La direccin evala estos acontecimientos desde una doble
perspectiva probabilidad e impacto- y normalmente usa una combinacin
de mtodos cualitativos y cuantitativos. Los impactos positivos y negativos de
los eventos potenciales deben examinarse, individualmente o por categora,
en toda la entidad. Los riesgos se evalan con un doble enfoque: riesgo inherente y riesgo residual.
Contexto de la Evaluacin de Riesgos

Los factores externos e internos determinan qu eventos pueden ocurrir y hasta qu
punto afectarn a los objetivos de una entidad. Aunque algunos factores son comunes a empresas de un mismo sector, los eventos resultantes son a menudo nicos
63
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 64
para una entidad determinada, debido a sus objetivos establecidos y sus decisiones
anteriores. En la gestin de riesgos, la direccin tiene en cuenta la mezcla de potenciales eventos futuros relevantes para la entidad y sus actividades, dentro del contexto de los aspectos que conforman el perfil de riesgo de la entidad, como son su
dimensin, la complejidad de sus operaciones y el grado de regulacin de sus actividades.
Al evaluar los riesgos, la direccin considera los eventos esperados e inesperados.
Muchos de stos son rutinarios y recurrentes y ya se contemplan en los programas
de gestin y presupuestos operativos, pero otros son inesperados. La direccin evala el riesgo de los eventos potenciales inesperados y, si todava no lo ha hecho, los
eventos esperados que puedan tener un impacto significativo en la entidad.
Aunque el trmino evaluacin de riesgos se aplica a veces en relacin con una actividad puntual, en el contexto de la gestin de riesgos corporativos su componente
con esa misma denominacin constituye una continua e iterativa interaccin de
acciones que tienen lugar a travs de la entidad.
Riesgo Inherente y Riesgo Residual

La direccin considera a la vez ambos conceptos de riesgo. El riesgo inherente es
aqul al que se enfrenta una entidad en ausencia de acciones de la direccin para
modificar su probabilidad o impacto. El riesgo residual es el que permanece despus
de que la direccin desarrolle sus respuestas a los riesgos.
Estimacin de Probabilidad e Impacto

La incertidumbre de los eventos potenciales se evala desde dos perspectivas probabilidad e impacto. La primera representa la posibilidad de que ocurra un evento
determinado, mientras que la segunda refleja su efecto. Ambos trminos se aplican
de forma comn, aunque algunas entidades usen otros, tales como frecuencia, severidad, seriedad o consecuencia. A veces, las palabras adquieren connotaciones ms
especificas y el concepto probabilidad puede indicar tanto la posibilidad de que
ocurra cierto evento en trminos cualitativos como alta, media y baja o derivados de
otras escalas de medida o bien en trminos cuantitativos como porcentaje, frecuencia y ocurrencia o derivados de otras mtricas numricas.
Es una tarea difcil y llena de retos la determinacin de cunta atencin hay que prestar a la evaluacin de la gama de riesgos a los que se enfrenta una entidad. Su direccin reconoce que generalmente no merece ulterior consideracin un riesgo con
poca probabilidad de ocurrencia y escaso impacto potencial. Por otro lado, exige una
atencin considerable un riesgo con alta probabilidad de ocurrencia y significativo
impacto potencial. Las circunstancias entre ambos extremos normalmente requieren
juicios difciles. Es importante que el anlisis sea racional y cuidadoso.
El horizonte temporal usado para evaluar los riesgos debera ser consecuente con el
horizonte temporal de la estrategia y objetivos correspondientes. Como estos dos
conceptos apuntan en muchas entidades a horizontes de tiempo entre el corto y
medio plazo, la direccin se centra naturalmente en los riesgos asociados con estos
64
INFORME COSO-OKJ
25/5/05
18:14
Pgina 65
EVALUACIN
DE RIESGOS
plazos de tiempo. Sin embargo, algunos aspectos de la orientacin y objetivos estratgicos se extienden hasta el largo plazo. Como resultado, la direccin necesita ser
consciente de los marcos temporales ms dilatados y no obviar los riesgos que
pueda deparar un futuro distante.
Por ejemplo, una empresa que opera en California puede tener en cuenta el riesgo de
interrupcin de sus operaciones a causa de un terremoto. Sin un horizonte temporal
especfico para la evaluacin de riesgos, la probabilidad de que un terremoto supere
los seis grados en la escala de Richter es alta, quiz con una certeza virtual. Por otro
lado, la probabilidad de que un terremoto de tal intensidad suceda dentro de dos
aos es sustancialmente menor. Al establecer un horizonte de tiempo, la entidad
entiende mejor la importancia relativa del riesgo y mejora su capacidad para comparar riesgos mltiples.
La direccin usa a menudo medidas del funcionamiento para determinar el grado de
consecucin de objetivos y normalmente aplica la misma unidad de medida, u otra
congruente con ella, que la utilizada para considerar el impacto potencial de un riesgo sobre la consecucin de un objetivo concreto. Una empresa, por ejemplo, que
tiene establecido el objetivo de mantener un nivel determinado de servicio al cliente,
habr diseado un coeficiente u otro tipo de medida para dicho objetivo tales como
el ndice de satisfaccin del cliente, el nmero de reclamaciones o el volumen de
negocio recurrente. Cuando se evala el impacto de un riesgo que podra afectar al
servicio al cliente tal como la posibilidad de que la web de la empresa pueda estar
no disponible durante un periodo de tiempo se determina mejor el impacto usando
las mismas medidas.
Fuentes de Datos
A menudo, las estimaciones de la probabilidad del riesgo y su impacto se determinan
usando datos procedentes de eventos anteriores observables, que proporcionan una
base ms objetiva que las estimaciones totalmente subjetivas. Los datos generados
internamente a partir de la experiencia propia de la entidad pueden reflejar un menor
sesgo subjetivo personal y proporcionan mejores resultados que los datos procedentes de fuentes externas. Sin embargo, incluso cuando los datos generados internamente sean un input primordial, los datos externos pueden resultar tiles como punto
de contraste o para mejorar el anlisis. Por ejemplo, la direccin de una empresa que
evala el riesgo de paradas en la produccin por fallos de los equipos, primero estudia la frecuencia e impacto de fallos anteriores de su propio equipo productivo. A
continuacin complementa dichos datos con datos comparativos del sector, lo que
permite una estimacin ms exacta de la probabilidad e impacto de los fallos, lo que
permite una programacin ms eficaz del mantenimiento preventivo. Se debe ser
cauto cuando se usan eventos pasados para establecer previsiones futuras, ya que
los factores que influyen en los eventos pueden cambiar con el tiempo.
Perspectivas
La direccin formula a menudo juicios subjetivos sobre la incertidumbre y, al hacer
esto, debe reconocer sus limitaciones inherentes. Los resultados de investigaciones
65
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 66
psicolgicas indican que las personas que toman decisiones a varios niveles de
capacidad, incluyendo los directivos de empresa, tienen demasiada confianza en su
capacidad de estimacin y no reconocen el volumen de incertidumbre que realmente existe. Los estudios muestran un marcado sesgo de confianza excesiva, que lleva
a intervalos de confianza inadecuadamente estrechos respecto a las estimaciones o
probabilidades, tal como se aplican, por ejemplo, en las metodologas del valor en
riesgo. Esta inclinacin hacia el exceso de confianza al estimar la incertidumbre
puede minimizarse mediante el uso eficaz de datos empricos generados interna o
externamente. En ausencia de stos, una aguda conciencia de la penetracin de los
sesgos puede ayudar a mitigar los efectos de ese exceso de confianza.
Las tendencias humanas respecto a la toma de decisiones se muestran de otra
forma, pues no es infrecuente que las personas tomen diferentes opciones en bsqueda de ganancias antes que en evitar prdidas. Al reconocer estas tendencias, los
directivos pueden estructurar la informacin para reforzar el riesgo aceptado y el
comportamiento hacia el riesgo en toda la entidad. La manera de presentar la informacin puede afectar de modo significativo a su interpretacin y cmo se perciben
los riesgos y oportunidades asociados, tal como se expone en la Figura 5.1
Los individuos tienen reacciones diferentes ante prdidas potenciales que frente a ganancias potenciales. La manera de enmarcar un riesgo enfocando hacia lo positivo (una ganancia potencial) o lo
negativo (una prdida potencial)- influir a menudo en la respuesta. La teora de la prospeccin, que
explora la toma de decisiones del ser humano, dice que los individuos no son neutrales ante el riesgo
y de hecho, una respuesta a prdidas tiende a ser ms extrema que otra frente a ganancias. Y con
esto surge una inclinacin hacia la mala interpretacin de las probabilidades y las reacciones hacia la
mejor solucin. A modo ilustrativo, un individuo se enfrenta a dos conjuntos de opciones:
1. Aceptar una ganancia segura de 240 u.m. o bien una posibilidad del 25% de ganar 1.000 u.m. ms
la restante probabilidad del 75% de no ganar nada.
2. Aceptar una prdida segura de 750 u.m. o bien una posibilidad del 75% de perder 1.000 u.m. ms
la restante probabilidad del 25% de no perder nada.
En el primer conjunto de opciones, la mayora de las personas selecciona una ganancia segura de
240, debido a la inclinacin a evitar riesgos en las ganancias y a las preguntas planteadas de forma
positiva. En contraste, la mayora de las personas selecciona una posibilidad del 75% de perder
1.000, debido a la inclinacin a asumir riesgos en las prdidas y a las preguntas planteadas de modo
negativo. La teora de la prospectiva mantiene que las personas no quieren arriesgar lo que ya tienen
o piensan que pueden tener, pero tendrn mayores tolerancias al riesgo cuando crean que pueden
minimizar prdidas.
Figura 5.1
Tcnicas de Evaluacin
La metodologa de evaluacin de riesgos de una entidad consiste en una combinacin de tcnicas cualitativas y cuantitativas. La direccin aplica a menudo tcnicas
cualitativas cuando los riesgos no se prestan a la cuantificacin o cuando no estn
disponibles datos suficientes y crebles para una evaluacin cuantitativa o la obtencin y anlisis de ellos no resulte eficaz por su coste. Las tcnicas cuantitativas tpi-
66
INFORME COSO-OKJ
25/5/05
18:14
Pgina 67
EVALUACIN
DE RIESGOS
camente aportan ms precisin y se usan en actividades ms complejas y sofisticadas, para complementar las tcnicas cualitativas.
Las tcnicas cuantitativas de evaluacin normalmente exigen un mayor grado de
esfuerzo y rigor y a veces emplean modelos matemticos. Estas tcnicas dependen
mucho de la calidad de los datos e hiptesis de soporte y resultan ms relevantes
para riesgos con un historial y una frecuencia de variabilidad conocidos, pues permiten una proyeccin fiable. La figura 5.2 proporciona ejemplos de tcnicas cuantitativas de evaluacin de riesgos.
Benchmarking
Es un proceso comparativo entre entidades, que enfoca eventos o procesos concretos, compara
medidas y resultados mediante mtricas comunes e identifica oportunidades de mejora. Se desarrollan datos sobre dichos eventos y procesos y mediciones para comparar el funcionamiento.
Algunas empresas usan esta tcnica para evaluar la probabilidad e impacto de eventos en un sector determinado.
Modelos probalsticos
Sobre la base de ciertas hiptesis, los modelos probabilsticos relacionan una gama de eventos con
su probabilidad de ocurrencia e impacto resultante. Ambos conceptos se evalan a partir de datos
histricos o resultados simulados que reflejen hiptesis de comportamiento futuro. Se usan modelos probabilsticos para evaluar el valor en riesgo, el flujo de caja en riesgo y los resultados en riesgo y tambin para desarrollar distribuciones de prdidas operacionales y crediticias. Los modelos
probabilsticos pueden usarse con diferentes horizontes de tiempo para estimar resultados tales
como la franja de valores de los instrumentos financieros a lo largo del tiempo y tambin, para evaluar resultados medios o esperados frente a impactos extremos o inesperados.
Modelos no probalsticos
Los modelos no probabilsticos aplican hiptesis subjetivas para estimar el impacto de eventos sin
una probabilidad asociada cuantificada. La evaluacin del impacto de eventos se basa en datos histricos o simulados e hiptesis de comportamiento futuro. Ejemplos de este tipo de modelos son las
medidas de sensibilidad, las pruebas de carga y los anlisis de escenarios.
Figura 5.2
Para conseguir un consenso sobre probabilidad e impacto usando tcnicas cualitativas de evaluacin, las entidades pueden aplicar el mismo enfoque que usan en la
identificacin de eventos, tales como las entrevistas y grupos de trabajo. Un proceso de autoevaluacin del riesgo capta los puntos de vista de los participantes sobre
la probabilidad y el impacto potencial de eventos futuros, usando escalas descriptivas o numricas.
Una entidad no necesita aplicar las mismas tcnicas de evaluacin en todas sus unidades de negocio. Antes bien, la seleccin de tcnicas debera reflejar la necesidad de
precisin y la cultura de cada unidad. En una empresa, por ejemplo, al identificar y evaluar los riesgos al nivel de proceso, una unidad usa cuestionarios de autoevaluacin,
mientras que otra utiliza grupos de trabajo. Los riesgos se evalan de modo inherente
o residual y luego, se organizan y agrupan segn las categoras de riesgo y objetivos
de ambas unidades. Aunque se apliquen mtodos distintos, ambos proporcionan suficiente concordancia para facilitar la evaluacin de riesgos en toda la entidad.
La direccin puede generar una medida del impacto cuantitativo de un evento en
toda la entidad cuando todas las evaluaciones individuales de riesgo referentes al
mismo se expresen en trminos cuantitativos. Por ejemplo, el impacto de un cambio
67
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 68
en el precio de la energa sobre el margen bruto se calcula en todas las unidades de

negocio y se determina as el impacto global para toda la entidad. Cuando exista una
mezcla de medidas cualitativas y cuantitativas, la direccin desarrolla una evaluacin
cualitativa a travs de ambos tipos de medicin, con el resultado de una evaluacin
compuesta expresada en trminos cualitativos. La generacin de estas evaluaciones
compuestas se facilita estableciendo trminos comunes de probabilidad e impacto
para toda la entidad y categoras comunes de riesgo para las medidas cualitativas.
Relaciones entre Eventos

Cuando los eventos potenciales no estn relacionados entre s, la direccin los evala individualmente. Por ejemplo, una empresa con unidades de negocio expuestas
a diferentes fluctuaciones de precios tales como el de la pasta de papel o el de
monedas extranjeras evaluara los riesgos independientemente de los movimientos
del mercado. Pero cuando exista correlacin entre los eventos o stos se combinen
e interaccionen para crear probabilidades o impactos significativamente diferentes, la
direccin los evaluar en conjunto. Aunque el impacto de un solo evento pueda ser
ligero, el impacto de una secuencia o combinacin de eventos puede ser ms significativo.
Por ejemplo, una vlvula defectuosa de un depsito de propano en un almacn de
distribucin origina un escape de gas, mientras se mantienen cerradas las puertas de
la instalacin para retener el calor de las oficinas adyacentes. Cuando el conductor
de un camin que se acerca al almacn activa un dispositivo a control remoto para
abrir las puertas, la presencia conjunta del gas y la chispa del motor de la puerta causan una explosin. Eventos distintos interaccionan y dan como resultado un riesgo
significativo. En otro ejemplo, una empresa se introduce en un mercado extranjero,
donde cuenta con nuevos directivos contratados localmente, sistemas de informacin no probados y poca base para que la direccin central pueda juzgar su correspondiente funcionamiento, lo que da como resultado un riesgo significativo de informacin errnea o fraudulenta.
Cuando sea probable que los riesgos afecten a mltiples unidades de negocio, la
direccin puede agruparlos en categoras comunes de eventos y despus, considerarlos primero segn unidad y luego conjuntamente para toda la entidad. Por ejemplo, las unidades de una empresa de servicios estn sujetas al riesgo de modificacin
del tipo de inters oficial y su direccin evala este riesgo no slo en cada unidad,
sino tambin de una forma combinada global. Una empresa industrial tiene muchas
unidades de negocio, cada una expuesta a las fluctuaciones en el precio del oro, por
lo que la direccin agrega el riesgo de los cambios potenciales en dicho precio en una
nica medida que muestra el efecto neto de un cambio de 1 u.m. por onza del metal
sobre su inventario total de oro.
La naturaleza de los eventos y el hecho de que estn relacionados o no, puede afectar a las tcnicas de evaluacin utilizadas. Por ejemplo, al evaluar el impacto de eventos que podran tener un efecto extremo, la direccin puede usar pruebas de stress
testing, mientras que para evaluar el efecto de eventos mltiples, la direccin puede
encontrar ms til el uso de simulaciones o anlisis de escenarios.
68
INFORME COSO-OKJ
25/5/05
18:14
Pgina 69
EVALUACIN
DE RIESGOS
La observacin de interrelaciones entre probabilidad e impacto de los riesgos constituye una importante responsabilidad de la direccin. Una gestin eficaz de riesgos
corporativos requiere que su evaluacin se realice atendiendo tanto al riesgo inherente como a la repuesta a l, como se expone en el captulo siguiente.
69
INFORME COSO-OKJ
25/5/05
18:14
Pgina 70
INFORME COSO-OKJ
25/5/05
18:14
Pgina 71
6. Respuesta a los riesgos
Resumen del captulo: Una vez evaluados los riesgos relevantes, la direccin
determina cmo responder a ellos. Las respuestas pueden ser las de evitar,
reducir, compartir y aceptar el riesgo. Al considerar su respuesta, la direccin
evala su efecto sobre la probabilidad e impacto del riesgo, as como los costes y beneficios, y selecciona aquella que site el riesgo residual dentro de las
tolerancias al riesgo establecidas. La direccin identifica cualquier oportunidad que pueda existir y asume una perspectiva del riesgo globalmente para la
entidad o bien una perspectiva de la cartera de riesgos, determinando si el
riesgo residual global concuerda con el riesgo aceptado por la entidad.
(Grfico del cubo)
Las respuestas a los riesgos se incluyen en las siguientes categoras:

Evitar
Supone salir de las actividades que generen riesgos. Evitar el riesgo puede implicar
el cese de una lnea de producto, frenar la expansin hacia un nuevo mercado geogrfico o la venta de una divisin.
71
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 72
Reducir
Implica llevar a cabo acciones para reducir la probabilidad o el impacto del riesgo
o ambos conceptos a la vez. Esto implica tpicamente a algunas de las muchas
decisiones empresariales cotidianas.
Compartir
La probabilidad o el impacto del riesgo se reducen trasladando o, de otro modo,
compartiendo una parte del riesgo. Las tcnicas comunes incluyen la contratacin
de seguros, la realizacin de operaciones de cobertura o la externalizacin de una
actividad.
Aceptar
No se emprende ninguna accin que afecte a la probabilidad o el impacto del riesgo.
La figura 6.1 muestra ejemplos de cmo se aplican dichas respuestas a los riesgos.
Evitar
Una organizacin sin nimo de lucro identific y evalu los riesgos generados por el suministro
directo de servicios mdicos a sus miembros y decidi no aceptar los riesgos correspondientes,
decidiendo facilitar en su lugar un servicio de referencia a terceros.
Reducir
Una empresa dedicada a la compensacin de valores burstiles identific y evalu el riesgo de que
sus sistemas no estuvieran disponibles durante ms de tres horas y concluy que no poda aceptar
el impacto de tal evento. La empresa invirti en tecnologa y mejor sus sistemas de autodeteccin
de fallos y seguridad, reduciendo as la probabilidad de que no estuviesen disponibles.
Compartir
Una universidad identific y evalu el riesgo asociado a la gestin de sus residencias de estudiantes y concluy que no tena la capacidad interna suficiente para gestionar eficazmente dichas importantes instalaciones residenciales. La universidad externaliz la gestin de las residencias a una
empresa de gestin inmobiliaria, con la consiguiente reduccin del impacto y probabilidad de los
riesgos correspondientes.
Aceptar
Una agencia gubernamental identific y evalu los riesgos de incendio de sus infraestructuras en
varias regiones geogrficas y tambin evalu el coste de compartir su impacto mediante una pliza
de seguros. Concluy que el coste adicional del seguro y las franquicias correspondientes excedan
del coste probable de reposicin y decidi aceptar el riesgo.
Figura 6.1
La respuesta de evitar el riesgo sugiere que no se identific ninguna opcin de respuesta que redujera el impacto y probabilidad hasta un nivel aceptable. Las respuestas de reducir o compartir reducen el riesgo residual a un nivel en lnea con las tolerancias de riesgo deseadas, mientras que una respuesta de aceptacin sugiere que
el riesgo inherente ya est dentro de las tolerancias de riesgo.
Para muchos riesgos, las opciones de respuesta adecuadas son evidentes y bien
aceptadas. Por ejemplo, para el riesgo de perder la disponibilidad de los sistemas
informticos, una opcin tpica de respuesta es la implantacin de un plan de continuidad del negocio. Para otros riesgos, las opciones disponibles pueden no ser tan
evidentes, lo que exigir investigacin y anlisis. Por ejemplo, las opciones de respuesta relevantes para mitigar el efecto de las actividades de un competidor sobre el
valor de la marca pueden requerir un estudio y anlisis del mercado.
72
INFORME COSO-OKJ
25/5/05
18:14
Pgina 73
RESPUESTA
A LOS RIESGOS
Al determinar la respuesta a los riesgos, la direccin debera tener en cuenta lo

siguiente:
Los efectos de las respuestas potenciales sobre la probabilidad y el impacto del
riesgo y qu opciones de respuesta estn en lnea con las tolerancias al riesgo de
la entidad
Los costes y beneficios de las respuestas potenciales
Las posibles oportunidades para alcanzar los objetivos de la entidad, lo que va ms
all del tratamiento de un riesgo concreto
Para los riesgos significativos, una entidad considera tpicamente las respuestas
posibles dentro de una gama de opciones de respuesta, lo que proporciona profundidad a la seleccin de respuesta y se enfrenta al status quo.
Evaluacin de Posibles Respuestas

Los riesgos inherentes se analizan y las respuestas a ellos se evalan con el propsito de conseguir un nivel de riesgo residual en lnea con las tolerancias al riesgo de
la entidad. A menudo, cualquiera de las diversas respuestas posibles situar dicho
riesgo residual dentro del marco de esas tolerancias y, a veces, una combinacin de
ellas proporcionar el resultado ptimo. Por otro lado, a veces una respuesta afectar a mltiples riesgos, en cuyo caso la direccin puede decidir que no se precisan
acciones adicionales para tratar un riesgo determinado.
Evaluacin del Efecto sobre la Probabilidad y el Impacto del Riesgo

Al evaluar las opciones de respuesta, la direccin considera el efecto sobre la probabilidad del riesgo y su impacto, reconociendo que una respuesta puede afectarlas de
modo diferente. Por ejemplo, una empresa con un centro informtico ubicado en una
regin con fuerte actividad tormentosa establece un plan de continuidad de negocio
que, aunque no tiene efecto alguno sobre la probabilidad de que se produzca una tormenta, mitiga el impacto de los daos en el edificio o de la dificultad para que el personal acceda a su trabajo. Por otro lado, la opcin de trasladar el centro informtico
a otra regin no reducir el impacto de posibles tormentas que puedan producirse,
pero s reduce la probabilidad de que tengan lugar en este nuevo centro.
Al analizar las respuestas, la direccin puede tener en cuenta los eventos y tendencias pasadas y los posibles escenarios futuros. Al evaluar las respuestas alternativas,
la direccin tpicamente determina su efecto potencial usando las mismas unidades
de medicin, u otras congruentes, que las usadas para el objetivo correspondiente.
Evaluacin de Costes y Beneficios

Los recursos siempre presentan restricciones y las entidades pueden considerar los
costes y beneficios derivados de opciones alternativas de respuesta a este tipo de
riesgo. Las medidas de coste/beneficio para la puesta en prctica de respuestas se
realizan con varios niveles de precisin. Generalmente, es ms fcil tratar los costes,
73
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 74
pues en muchos casos pueden cuantificarse con bastante detalle. Normalmente, se

tienen en cuenta todos los costes directos relacionados con la implantacin de una
respuesta y los costes indirectos que se puedan medir de un modo prctico. Algunas
entidades tambin incluyen los costes de oportunidad relativos al uso de recursos.
En algunos casos, sin embargo, es difcil cuantificar los costes de la respuesta al riesgo. Surgen retos respecto a la cuantificacin al estimar el tiempo y el esfuerzo asociados a una determinada respuesta, como puede ser el caso, por ejemplo, de recabar informacin de mercado sobre las preferencias en evolucin de los clientes, las
actividades de los competidores u otra informacin generada externamente.
El lado de los beneficios implica a menudo valoraciones mucho ms subjetivas. Por
ejemplo, las ventajas de los programas de formacin son normalmente evidentes,
pero son difciles de cuantificar. En muchos casos, sin embargo, el beneficio de una
respuesta al riesgo puede evaluarse dentro del contexto de beneficios ligados a la
consecucin del objetivo correspondiente.
Al considerar las relaciones coste-beneficio, la atencin a los riesgos como si estuvieran interrelacionados permite a la direccin agrupar las respuestas para reducir y
compartir el riesgo de la entidad. Por ejemplo, cuando se comparte un riesgo
mediante un seguro, puede ser beneficioso combinar los riesgos en una sola pliza
ya que el precio normalmente se reduce cuando se aseguran conjuntamente diversas
exposiciones a riesgos bajo un mismo acuerdo de cobertura.
Oportunidades en las Opciones de Respuesta

El captulo sobre identificacin de eventos describe cmo la direccin identifica
aquellos potenciales que afectan a la consecucin de objetivos de la entidad, bien
positiva o negativamente. Los eventos con impacto positivo representan las oportunidades y se revierten hacia los procesos de fijacin de objetivos o estrategias.
De forma similar, las oportunidades pueden identificarse al contemplar las respuestas a
los riesgos. Las consideraciones sobre estas respuestas a los riesgos no deberan limitarse exclusivamente a la reduccin de los riesgos identificados, sino que tambin
deberan incluir la consideracin de nuevas oportunidades para la entidad. La direccin
puede identificar las respuestas innovadoras, que, aunque pertenezcan a las categoras de respuestas descritas anteriormente en este captulo, pueden ser totalmente
nuevas para la entidad e, incluso, para el sector. Dichas oportunidades pueden surgir
cuando existen opciones de respuesta a los riesgos que estn alcanzando los lmites
de eficacia y cuando ulteriores actualizaciones probablemente slo faciliten cambios
marginales en el impacto y probabilidad del riesgo. Un ejemplo es la respuesta creativa de una empresa de seguros automovilsticos que, ante el alto nmero de siniestros
en ciertos cruces de carreteras, decidi financiar mejoras en la sealizacin con semforos, reduciendo as las reclamaciones por accidentes y mejorando los mrgenes.
Respuestas Seleccionadas
Una vez evaluados los efectos de las respuestas alternativas a los riesgos, la direccin decide cmo pretende gestionar los riesgos, seleccionando una respuesta o una
74
INFORME COSO-OKJ
25/5/05
18:14
Pgina 75
RESPUESTA
A LOS RIESGOS
combinacin de ellas diseada para situar la probabilidad e impacto del riesgo dentro de las tolerancias establecidas. Sin embargo, cuando una respuesta a los riesgos
pudiera desembocar en que el riesgo residual superar la tolerancia establecida, la
direccin tiene que volver sobre sus pasos y revisar su respuesta o, bajo ciertas circunstancias, reconsiderar la tolerancia al riesgo establecida. Por tanto, el equilibrio
entre riesgo y tolerancia al riesgo puede implicar un proceso iterativo.
Evaluar las respuestas alternativas a los riesgos inherentes requiere tener en cuenta
los riesgos adicionales que pueden derivarse de cada respuesta, lo que puede iniciar
un proceso iterativo en que la direccin, antes de tomar su decisin, considere dichos
riesgos adicionales, incluyendo aquellos que pudieran no ser evidentes de modo
inmediato.
Una vez que la direccin selecciona una respuesta, es posible que necesite desarrollar un plan de implantacin para ejecutarla. Una parte crtica de dicho plan es el establecimiento de acciones de control (presentadas en el captulo siguiente) para asegurar que se lleva a cabo la respuesta a los riesgos.
La direccin reconoce que siempre existir algn nivel de riesgo residual, no slo por
las limitaciones de los recursos, sino tambin por la incertidumbre del futuro y dems
limitaciones inherentes a todas las actividades.
Perspectiva de Carteras de Riesgos

La gestin de riesgos corporativos requiere que el riesgo se considere desde una
perspectiva: de toda la entidad o desde otra perspectiva de carteras de riesgos.
Normalmente, la direccin elige un enfoque en que primero se contemplan los riesgos de cada unidad de negocio, departamento o funcin y luego su director responsable desarrolla una evaluacin compuesta de ellos, que refleja su perfil de riesgo
residual respecto a sus objetivos y tolerancias al riesgo.
Con una perspectiva del riesgo para cada unidad individual, la alta direccin de una
empresa est bien situada para tener una perspectiva de carteras y determinar si el
perfil de riesgo residual de la entidad est a la par del riesgo aceptado global respecto a sus objetivos. Los riesgos de las diferentes unidades pueden estar dentro de
sus respectivas tolerancias individuales, pero en conjunto pueden superar al riesgo
aceptado globalmente por la entidad, en cuyo caso hacen falta respuestas adicionales o diferentes para emplazar el riesgo dentro del nivel de riesgo aceptado. A la
inversa, los riesgos pueden compensarse naturalmente a travs de la entidad cuando, por ejemplo, algunas unidades individuales tienen un mayor riesgo y otras son
relativamente adversas a l, de tal modo que el riesgo global est dentro del riesgo
aceptado por la entidad, evitando la necesidad de una respuesta diferente a los riesgos.
Una perspectiva de carteras de riesgos puede ser representada de muchas maneras.
Puede alcanzarse centrndose en los principales riesgos o categoras de riesgo de
las unidades de negocio o de la empresa en su totalidad, usando mtricas como el
capital ajustado al riesgo o el capital en riesgo. Dichas medidas compuestas son particularmente tiles para medir el riesgo frente a objetivos establecidos en trminos de
resultados, crecimiento u otras medidas de funcionamiento, a veces relacionadas con
el capital asignado o disponible. Estas medidas de la perspectiva de carteras pueden
75
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 76
facilitar informacin til para la reasignacin del capital entre unidades y la modificacin de la orientacin estratgica.
Un ejemplo es una empresa industrial que aplica una perspectiva de carteras de riesgos en el contexto de su objetivo de resultados operativos. La direccin aplica las
categoras comunes de eventos para captar riesgos en todas las unidades de negocio. A continuacin, elabora un grfico que muestra, por categora y unidad de negocio, la probabilidad de riesgo en trminos de frecuencia en un horizonte temporal y
los impactos relativos sobre resultados. El resultado es una perspectiva compuesta,
o de carteras, del riesgo al que se enfrenta la empresa, con la direccin y el consejo
de administracin en situacin de considerar la naturaleza, probabilidad y dimensin
relativa de los riesgos y cmo pueden afectar a los resultados.
Otro ejemplo es una entidad financiera que requiera de sus unidades de negocio que
establezcan objetivos, tolerancias al riesgo y medidas de rendimiento, todo en trminos de rendimiento del capital ajustado al riesgo. Esta mtrica, consistentemente
aplicada, ayuda a la direccin a englobar las evaluaciones combinadas de riesgo de
las unidades en una perspectiva de carteras de riesgos para la entidad en su conjunto y le permite considerar los riesgos de las unidades por objetivo y determinar si la
entidad est dentro de su riesgo aceptado.
Cuando se mira el riesgo desde una perspectiva de carteras, la direccin est en
posicin de considerar si permanece dentro del riesgo aceptado establecido.
Adems, puede volver a evaluar la naturaleza y tipo del riesgo que desea asumir. En
casos donde la perspectiva de carteras contemple significativamente menores riesgos que el riesgo aceptado por la entidad, la direccin puede decidir motivar a los
directores de unidades individuales de negocio para que acepten un mayor riesgo en
reas seleccionadas, esforzndose en mejorar el crecimiento y rendimiento global de
la entidad.
76
INFORME COSO-OKJ
25/5/05
18:14
Pgina 77
7. Actividades de control
Resumen del captulo: Las actividades de control son las polticas y procedimientos que ayudan a asegurar que se llevan a cabo las respuestas de la
direccin a los riesgos. Las actividades de control tienen lugar a travs de la
organizacin, a todos los niveles y en todas las funciones. Incluyen una gama
de actividades tan diversas como aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones del funcionamiento operativo, seguridad de los
activos y segregacin de funciones.
(Grfico del cubo)
Las actividades de control son las polticas y procedimientos. Estos ltimos son las
acciones de las personas para implantar las polticas, directamente o a travs de la
aplicacin de tecnologa, y ayudar a asegurar que se llevan a cabo las respuestas de
la direccin a los riesgos. Las actividades de control pueden ser clasificadas por la
naturaleza de los objetivos de la entidad con la que estn relacionadas: estrategia,
operaciones, informacin y cumplimiento.
77
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 78
Aunque algunas actividades de control corresponden exclusivamente a una sola

categora, a menudo se solapan. Segn circunstancias, una determinada actividad de
control podra ayudar a alcanzar los objetivos de la entidad en ms de una categora.
Por ejemplo, ciertos controles sobre operaciones tambin pueden ayudar a asegurar
una informacin fiable y las actividades de control sobre la informacin tambin pueden servir para llevar a cabo el cumplimiento.
Integracin con la respuesta al riesgo

Despus de haber seleccionado las respuestas al riesgo, la direccin identifica las
actividades de control necesarias para ayudar a asegurar que las respuestas a los
riesgos se lleven a cabo adecuada y oportunamente.
El siguiente ejemplo sirve para ilustrar el vnculo entre objetivos, respuestas a los riesgos y actividades de control. Una empresa fija un objetivo de alcanzar o superar las
ventas presupuestadas, identificando como riesgo la falta de conocimientos suficientes sobre factores externos tales como las necesidades actuales y potenciales de los
clientes. Para reducir la probabilidad de ocurrencia y el impacto del riesgo, la direccin establece historiales de compra de los clientes actuales y realiza unas nuevas
iniciativas de investigacin de mercado. Estas respuestas al riesgo sirven como puntos bsicos para establecer las actividades de control, incluyendo el seguimiento del
desarrollo de dichos historiales en comparacin con los calendarios establecidos y la
adopcin de medidas para asegurar la exactitud de los datos informados. En este
sentido, las actividades de control estn integradas directamente en el proceso de
gestin.
Al seleccionar las actividades de control, la direccin considera cmo se relacionan
entre s. En algunos ejemplos, una sola de ellas afecta a riesgos mltiples. En otros,
son necesarias muchas actividades de control para una respuesta al riesgo. Incluso,
en otros, la direccin puede descubrir que las actividades de control existentes son
suficientes para asegurar que las nuevas respuestas a los riesgos se ejecutan eficazmente.
Aunque las actividades de control se establecen generalmente para asegurar que las
respuestas a los riesgos se lleven a cabo de modo adecuado, con respecto a ciertos
objetivos, tambin constituyen por s mismas una respuesta al riesgo. Por ejemplo,
para un objetivo que establece que unas transacciones especficas deben estar debidamente autorizadas, la respuesta ser probablemente unas actividades de control
tales como la segregacin de funciones o la aprobacin por personal supervisor.
De igual manera que la seleccin de respuestas a los riesgos considera su adecuacin y el riesgo residual que resulta de ellas, la seleccin o revisin de las actividades
de control debera incluir la consideracin de su relevancia y adecuacin a la respuesta al riesgo y los objetivos relacionados. Esto puede llevarse a cabo considerando por separado la adecuacin de dichas actividades o bien contemplando el riesgo
residual dentro del contexto formado por las respuestas al riesgo y las correspondientes actividades de control.
Estas ltimas son una parte importante del proceso con el que una empresa se
esfuerza en alcanzar sus objetivos de negocio. No se realizan simplemente porque s
o porque parezcan la cosa correcta o adecuada a hacer. En el ejemplo anterior, la
78
INFORME COSO-OKJ
25/5/05
18:14
Pgina 79
ACTIVIDADES
DE CONTROL
direccin necesita tomar medidas para asegurar que se consiguen los objetivos de
venta. Las actividades de control sirven como mecanismos para gestionar la consecucin de tal objetivo.
Tipos de actividades de control

Se han propuesto muchas descripciones diferentes de los tipos de actividades de
control, incluyendo los controles de prevencin, deteccin, manuales, informticos y
de direccin. Las actividades de control tambin pueden tipificarse segn objetivos
concretos de control, tales como los de asegurar la integridad y exactitud del procesamiento de datos.
La figura 7.1 describe las actividades de control utilizadas normalmente. Son solo
unos cuantos de entre muchos procedimientos normalmente aplicados por el personal en distintos niveles de la organizacin que sirven para potenciar la adhesin a los
planes de accin establecidos y mantener el rumbo de las entidades hacia el logro de
sus objetivos. Se presentan a continuacin para ilustrar la amplitud y variedad de las
actividades de control y no para sugerir una determinada clasificacin.
Revisiones a alto nivel
La alta direccin revisa el funcionamiento real en contraste con presupuestos, previsiones y datos
de periodos previos y de competidores. Se hace un seguimiento de las iniciativas importantes tales
como las campaas de marketing, la mejora de los procesos de produccin y los programas de contencin o reduccin del coste- para medir hasta qu punto se consiguen los objetivos. Tambin se
supervisa la implantacin de planes financieros, de desarrollo de nuevos productos y de joint ventures.
Gestin directa de funciones o actividades
Los directivos que gestionan las funciones o actividades revisan los informes de rendimiento. Un
directivo responsable de los crditos al consumo de un banco revisa los informes por sucursal,
regin y tipo de prstamo (garantas), verificando los resmenes, identificando tendencias y comparando los resultados con estadsticas y objetivos econmicos. A su vez, los directores de oficina
reciben datos de las nuevas operaciones, clasificadas por responsable del prstamo y por segmento de cliente local. Estos directores tambin se centran en temas de cumplimiento, revisando los
informes que requieren los reguladores sobre nuevos depsitos que superen unos importes especficos. Se realizan conciliaciones de los flujos de caja diarios, reportando las posiciones netas a la
central para su posterior transferencia e inversin durante la noche.
Procesamiento de la informacin
Se lleva a cabo una variedad de controles para verificar la exactitud, integridad y autorizacin de las
transacciones. Los datos introducidos estn sometidos a comprobaciones en lnea y conciliaciones
con ficheros de control aprobados. Se aceptar un pedido de un cliente, por ejemplo, slo tras contrastarse con un fichero de clientes y verificarse el lmite de crdito autorizado. Las secuencias
numricas de las transacciones son registradas y se hace un seguimiento de las excepciones, que
se comunican a niveles superiores. Se controlan el desarrollo de nuevos sistemas y las modificaciones en los existentes, como es el caso del acceso a datos, ficheros y programas.
Controles fsicos
Los equipos, existencias, valores, efectivo y dems activos estn fsicamente asegurados, se someten peridicamente a recuentos y se contrastan con los importes de los registros de control.
Indicadores de rendimiento
El contraste entre s de diferentes conjuntos de datos operativos o financieros, junto con el anlisis de relaciones y las acciones de investigacin y correccin, constituye una actividad de control.
Los indicadores de rendimiento incluyen, por ejemplo, la rotacin de plantilla por unidad. Al investigar resultados inesperados o tendencias inusuales, la direccin identifica las circunstancias en que
79
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 80
una capacidad insuficiente para completar los procesos claves puede significar que los objetivos
tengan una menor probabilidad de alcanzarse. El uso de esta informacin por los directivos slo
para decisiones operativas o tambin para seguir los resultados inesperados en los sistemas de
informacin determina si el anlisis de los indicadores de rendimiento slo tienen efectos operativos o tambin de control sobre la informacin.
Segregacin de funciones
Las funciones se dividen o segregan entre diferentes personas para reducir el riesgo de error o fraude. Por ejemplo, estn segregadas las responsabilidades para autorizar transacciones, registrarlas y
manejar el activo correspondiente. Un director que autoriza las ventas a crdito no puede ser responsable del mantenimiento de las cuentas a cobrar o la custodia de los cobros. Asimismo, el personal comercial no tendr capacidad para modificar los ficheros de precio de productos o los porcentajes de comisin.
Figura 7.1
A menudo, se pone en marcha una combinacin de controles para tratar las correspondientes respuestas al riesgo. Por ejemplo, la direccin de una empresa fija los
lmites de transaccin para gestionar los riesgos relativos a una cartera de inversin
y establece actividades de control diseadas para ayudar a asegurar que no se superan los lmites de contratacin. Las actividades de control incluyen controles preventivos, para frenar ciertas transacciones antes de su ejecucin, y controles de deteccin, para identificar otras oportunamente. Las actividades de control combinan controles informticos y manuales, incluyendo aquellos automatizados que aseguran la
captacin correcta de la informacin, y procedimientos de autorizacin y aprobacin
de las decisiones de inversin por parte de las personas responsables.
Polticas y procedimientos
Las actividades de control normalmente implican dos componentes: una poltica que
establece lo que debe hacerse y procedimientos para llevarla a cabo. Por ejemplo,
una poltica podra exigir la revisin de las actividades de contratacin de clientes por
parte de un director de oficina de una entidad de gestin burstil. El procedimiento lo
constituye dicha revisin en s misma, realizada de manera oportuna y con atencin
a los factores establecidos en la poltica, tales como la naturaleza y volumen de los
valores contratados y su relacin con el patrimonio y edad del cliente.
Muchas veces, las polticas se comunican verbalmente. Las polticas no escritas pueden ser eficaces cuando la poltica lleve aos en vigor y constituya una prctica bien
comprendida y en organizaciones reducidas donde los canales de comunicacin
impliquen pocos niveles directivos y una interaccin estrecha, junto con la supervisin del personal. Pero independientemente de si est escrita o no, una poltica debera implantarse de forma meditada, consciente y consecuente. Un procedimiento no
ser til si se lleva a cabo mecnicamente y sin un enfoque claro y continuo sobre las
condiciones a las que se orienta la poltica. Posteriormente, es esencial investigar las
condiciones identificadas como resultado del procedimiento y adoptar las acciones
correctivas necesarias. Las acciones de seguimiento podran variar segn la dimensin y estructura organizativa de una empresa. Pueden abarcar desde procesos formales de informacin de una empresa grande donde las unidades de negocio explican por qu no se alcanzan los objetivos y qu acciones se estn adoptando para
80
INFORME COSO-OKJ
25/5/05
18:14
Pgina 81
ACTIVIDADES
DE CONTROL
evitar la repeticin de ello hasta el caso de un director-propietario de una empresa

pequea que se desplaza personalmente para hablar con el responsable de planta
sobre lo que ha fallado y qu es necesario hacer.
Controles sobre los sistemas de informacin

Con una dependencia importante de los sistemas de informacin para operar una
empresa y alcanzar los objetivos de informacin y cumplimiento, hacen falta controles sobre dichos sistemas. Pueden usarse dos amplios grupos de actividades de control de los sistemas de informacin. El primero lo forman los controles generales, que
se aplican a muchos de esos sistemas, si no a todos, y ayudan a asegurar que siguen
funcionando continua y adecuadamente. El segundo son los controles de aplicacin,
que incluyen fases informatizadas dentro del software para controlar el proceso.
Ambos tipos de controles, combinados con controles manuales de proceso cuando
sea necesario, operan juntos para asegurar la integridad, exactitud y validez de la
informacin.
Controles Generales
Los controles generales incluyen controles sobre la gestin de la tecnologa de informacin, su infraestructura, la gestin de seguridad y la adquisicin, desarrollo y mantenimiento del software. Se aplican a todos los sistemas desde entornos de mainframes o cliente/servidor hasta ordenadores de sobremesa o porttiles. La Figura 7.2
propone ejemplos de controles comunes dentro de estas categoras.
Gestin de la tecnologa de informacin

Un comit de trabajo proporciona supervisin, seguimiento e informacin de las actividades de tecnologa informtica y las iniciativas para su mejora.
Infraestructuras de la tecnologa de informacin
Los controles se aplican a la definicin, adquisicin, instalacin, configuracin, integracin y mantenimiento de los sistemas. Pueden incluir acuerdos de servicio que establezcan y potencien su funcionamiento, los planes de continuidad del negocio que mantienen la disponibilidad del sistema, el
seguimiento del rendimiento de la red para detectar fallos operativos y la programacin de tiempos
para las operaciones informticas. El componente del software del sistema dentro de la infraestructura de la tecnologa de informacin puede incluir controles tales como la revisin y aprobacin de
nuevas adquisiciones significativas por parte de la direccin o un comit de trabajo, la restriccin de
accesos a la configuracin del sistema y al software del sistema operativo, las conciliaciones automticas de datos a los que se accede a travs del software middleware y la deteccin de bit de
paridad en los errores de comunicacin. Los controles del software del sistema tambin incluyen el
seguimiento de incidencias, el logging del sistema y la revisin de informes de detalle sobre el uso
de utilidades informticas que alteren los datos.
Gestin de la seguridad
Son controles de acceso lgico tales como contraseas seguras de restriccin de accesos a la red,
bases de datos y aplicaciones. Las cuentas y nmeros de usuario y los correspondientes controles
del privilegio de acceso ayudan a limitar ste slo a las aplicaciones o funciones necesarias para que
cada usuario autorizado desempee su cometido. Los firewalls de Internet y las redes privadas virtuales protegen los datos contra acceso externo sin autorizacin.
Adquisicin, desarrollo y mantenimiento del software
Los controles sobre la adquisicin e implantacin del software se incorporan a un proceso estable-
81
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 82
cido para gestionar el cambio, incluyendo los requisitos de documentacin, la comprobacin de la

aceptacin del usuario, las pruebas de carga y las evaluaciones del riesgo de proyectos. El acceso
a los cdigos fuente est controlado mediante una librera de cdigos. Las personas que desarrollan software slo trabajan en entornos segregados de desarrollo/prueba y no tienen acceso al entorno de produccin. Los controles sobre los cambios en el sistema incluyen la necesaria autorizacin
de las solicitudes de modificacin, revisin de los cambios, aprobaciones, documentacin, comprobaciones, implicaciones de los cambios para otros componentes de la tecnologa de informacin,
resultados de las pruebas de carga y protocolos de implantacin.
Figura 7.2
Controles de Aplicacin
Los controles de aplicacin se centran directamente en la integridad, exactitud, autorizacin y validez de la captacin y procesamiento de datos. Ayudan a asegurar que
los datos se captan o generan en el momento de necesitarlos, que las aplicaciones
de soporte estn disponibles y que los errores de interfaz se detecten rpidamente.
Un objetivo importante de los controles de aplicacin es prevenir que los errores se introduzcan en el sistema, as como detectarlos y corregirlos una vez introducidos en l. Para
ello, los controles de aplicacin a menudo implican comprobaciones informatizadas de
edicin, que consisten en formato, existencia, razonabilidad y otras comprobaciones de
datos integrados ya en las aplicaciones durante su desarrollo. Si se disean correctamente, pueden facilitar el control sobre los datos introducidos en el sistema.
La Figura 7.3 ofrece ejemplos de controles de aplicacin. Son slo unos cuantos
entre mltiples controles realizados cada da, mediante clculo y contraste, que sirven para prevenir y detectar la captacin y procesamiento de datos inexactos,
incompletos, inconsecuentes o inadecuados.
Equilibrar las actividades de control
Detectar los errores en la captacin de datos, mediante la conciliacin entre los importes introducidos, manual o automticamente, y un total de control. Una empresa cuadra automticamente el
nmero total de transacciones procesadas y transferidas desde su sistema on-line de introduccin
de pedidos con el nmero de transacciones recibidas en su sistema de facturacin.
Dgitos de control
Validan los datos mediante clculos. La numeracin de los repuestos de una empresa contiene un
dgito de control que detecta y corrige pedidos inexactos a sus proveedores.
Listados predefinidos de datos
Proporcionan al usuario listas preestablecidas de datos aceptables. La Intranet de una empresa
ofrece listas de seleccin de productos disponibles para su compra.
Pruebas de razonabilidad de datos
Comparan los datos captados con una pauta existente o aprendida de razonabilidad. Un pedido solicitado a un proveedor por un minorista del sector de bricolaje por un volumen inusual de tableros
de madera provoca una revisin.
Pruebas lgicas
Incluyen el uso de lmites de rango o pruebas alfanumricas o de valor. Una agencia gubernamental
detecta errores potenciales en los nmeros de la seguridad social verificando si todos los nmeros
introducidos contienen nueve dgitos.
Figura 7.3
82
INFORME COSO-OKJ
25/5/05
18:14
Pgina 83
ACTIVIDADES
DE CONTROL
Aspectos Especficos de las Entidades
Debido a que cada entidad tiene su propio conjunto de objetivos y enfoques de

implantacin, existirn diferencias en las respuestas al riesgo y las actividades de
control relacionadas. Incluso cuando dos entidades tuvieran objetivos idnticos y
tomasen decisiones similares respecto a cmo alcanzarlos, las actividades de control
probablemente seran distintas. Cada entidad est gestionada por personas diferentes que tienen criterios individuales diferentes en la aplicacin de controles. Es ms,
los controles reflejan el entorno y sector en que opera una entidad, as como su
dimensin y complejidad de organizacin, la naturaleza y alcance de sus actividades
y sus antecedentes y cultura.
Las organizaciones grandes y complejas con diversidad de actividades pueden
enfrentarse a situaciones de control ms difciles que las organizaciones pequeas y
sencillas con actividades menos variadas. Una entidad con operaciones descentralizadas y un nfasis en la autonoma e innovacin local presenta diferentes circunstancias de control que otra altamente centralizada. Otros factores que influyen en la
complejidad de una entidad, y, por tanto, la naturaleza de sus controles, incluyen la
ubicacin y dispersin geogrfica, la extensin y sofisticacin de las operaciones y
los mtodos de procesamiento de informacin.
83
INFORME COSO-OKJ
25/5/05
18:14
Pgina 84
INFORME COSO-OKJ
25/5/05
18:14
Pgina 85
8. Informacin y comunicacin
Resumen del captulo: La informacin pertinente se identifica, capta y comunica de una forma y en un marco de tiempo que permiten a las personas llevar a cabo sus responsabilidades Los sistemas de informacin usan datos
generados internamente y otras entradas de fuentes externas y sus salidas
informativas facilitan la gestin de riesgos y la toma de decisiones informadas
relativas a los objetivos. Tambin existe una comunicacin eficaz fluyendo en
todas direcciones dentro de la organizacin. Todo el personal recibe un mensaje claro desde la alta direccin de que deben considerar seriamente las responsabilidades de gestin de los riesgos corporativos. Las personas entienden su papel en dicha gestin y cmo las actividades individuales se relacionan con el trabajo de los dems. Asimismo, deben tener unos medios para
comunicar hacia arriba la informacin significativa. Tambin debe haber una
comunicacin eficaz con terceros, tales como los clientes, proveedores, reguladores y accionistas.
(Grfico del cubo)
85
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 86
Cada empresa identifica y capta una amplia gama de informacin, relativa a los eventos y actividades tanto externos como internos, relevantes para dirigir la entidad. Esta
informacin se facilita al personal de una forma y en un marco de tiempo que le permitan llevar a cabo su gestin de riesgos corporativos y dems responsabilidades.
Informacin
La informacin se necesita a todos los niveles de la organizacin para identificar, evaluar y responder a los riesgos y por otra parte dirigir la entidad y conseguir sus objetivos. Se usa mucha informacin, relevante para una o ms categoras de objetivos.
La informacin operativa de fuentes internas y externas, tanto financiera como no
financiera, es relevante para mltiples objetivos de negocio. La informacin financiera, por ejemplo, se usa para elaborar los estados financieros con fines de informacin
y tambin para tomar decisiones operativas, tales como la supervisin del funcionamiento y la asignacin de recursos. Una informacin financiera fiable es bsica para
planificar, presupuestar, fijar precios, evaluar el rendimiento del vendedor, evaluar
joint ventures y alianzas y llevar a cabo otras actividades de gestin.
De forma similar, la informacin operativa es esencial para elaborar los informes
financieros y de otro tipo. Esto incluye aquella ms rutinaria compras, ventas y
dems transacciones junto con la correspondiente a nuevas versiones de producto
o condiciones econmicas de los competidores, que pueden afectar a las existencias
y las valoraciones de cuentas a cobrar. La informacin necesaria a efectos de cumplimiento, tal como la relativa a las emisiones de partculas a la atmsfera o datos del
personal, tambin puede aplicarse a objetivos de informacin financiera.
La informacin procede de muchas fuentes internas y externas, de forma cuantitativa y cualitativa y facilita respuestas a las condiciones cambiantes. Un reto para la
direccin es cmo procesar y depurar grandes volmenes de datos para convertirlos
en informacin manejable y se enfrenta a l estableciendo una infraestructura de sistemas de informacin para buscar, captar, procesar, analizar y comunicar la informacin relevante. Estos sistemas habitualmente informatizados, pero conteniendo
tambin entradas manuales o interfaces se ven a menudo dentro del contexto del
procesamiento de datos generados internamente. Pero los sistemas de informacin
tienen una aplicacin ms amplia. Tambin abordan caractersticas o circunstancias
de eventos externos, por ejemplo, datos econmicos especficos de un mercado o
sector que muestran cambios en la demanda de los productos o servicios de una
empresa, datos sobre productos y servicios para los procesos de produccin, informacin de mercado sobre la evolucin de preferencias o demandas del consumidor,
informacin sobre las actividades de desarrollo de productos de los competidores e
iniciativas legislativas o normativas.
Los sistemas de informacin pueden ser formales o informales. Las conversaciones
con clientes, proveedores, reguladores y personal de la entidad a menudo proporcionan informacin crtica necesaria para identificar riesgos y oportunidades. De forma
similar, la asistencia a seminarios profesionales o del sector y la participacin en asociaciones mercantiles o de otro tipo pueden ser una fuente de informacin valiosa.
Es particularmente importante mantener la informacin en forma coherente con las
necesidades cuando una entidad se enfrenta a cambios fundamentales en el sector,
86
INFORME COSO-OKJ
25/5/05
18:14
Pgina 87
INFORMACIN
Y COMUNICACIN
competidores muy innovadores y rpidos o cambios significativos en la demanda de

los consumidores. Los sistemas de informacin cambian segn la necesidad de
apoyo a nuevos objetivos, por lo que deben identificar y captar la informacin financiera y no financiera y procesarla y comunicarla en un marco de tiempo y una forma
que sean tiles para controlar las actividades de la entidad.
Sistemas Estratgicos e Integrados

Como las empresas se han hecho ms colaboradoras con los clientes, proveedores
y socios de negocio y se integran ms con ellos, la divisin entre la arquitectura de
los sistemas de informacin de una entidad y la de los terceros es cada vez ms
tnue. Como resultado, el procesamiento y la gestin de datos a menudo llega a ser
una responsabilidad compartida de mltiples entidades. En tales casos, la arquitectura de los sistemas de informacin de una organizacin debe ser suficientemente
flexible y gil como para integrarse eficazmente con los terceros vinculados.
El diseo de una arquitectura de sistemas de informacin y la adquisicin de la tecnologa son aspectos importantes de la estrategia de una entidad y las decisiones
respecto a la tecnologa pueden resultar crticas para lograr los objetivos. Las decisiones sobre la seleccin e implantacin de tecnologa dependen de muchos factores, incluyendo objetivos organizativos, necesidades del mercado y exigencias competitivas. Aunque los sistemas de informacin sean fundamentales para una gestin
eficaz de riesgos corporativos, tambin las tcnicas empleadas en esta gestin pueden ayudar a tomar decisiones tecnolgicas.
Desde hace mucho tiempo, los sistemas de informacin se disean y aplican para
apoyar la estrategia de negocio. Este papel se hace crtico a medida que las necesidades del negocio cambian y la tecnologa crea nuevas oportunidades para aprovechar una ventaja estratgica. En algunos casos, los cambios tecnolgicos han reducido la ventaja adquirida en el despliegue inicial, al impulsar un nuevo rumbo estratgico. Por ejemplo, los sistemas de reserva de las lneas areas que facilitaron a los
agentes de viajes un acceso fcil a la informacin de vuelo, luego se desplazaron
hacia el cliente enfrentndose a sistemas de reserva por Internet, reduciendo o eliminando de modo significativo la implicacin de la agencia de viajes tradicional.
Integracin con las Operaciones

Los sistemas de informacin a menudo estn totalmente integrados en la mayora de
los aspectos de las operaciones. Los sistemas de Internet o basados en la red son
frecuentes y muchas empresas tienen sistemas de informacin para toda la entidad,
tales como la planificacin corporativa de recursos. Estas aplicaciones facilitan el
acceso a informacin previamente enmarcada en silos funcionales o departamentales, hacindola as disponible para un uso amplio de la direccin. Las transacciones
se registran y siguen en tiempo real, permitiendo a los directivos acceder inmediatamente a informacin financiera y operativa de forma ms eficaz para controlar las
actividades del negocio. Por ejemplo, una empresa constructora dedicada a proyectos a gran escala utiliza un sistema integrado, basado en una extranet, para alcanzar
las expectativas del mercado y de eficiencia. El sistema proporciona informacin que
87
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 88
ayuda a los directivos a seguir las existencias y componentes suministrados a los

clientes, identificar los excesos y defectos de suministros de material en muchas
obras, obtener un ahorro de costes respecto a los proveedores de materiales usuales, vincularse a organizaciones similares para obtener descuentos por volumen y
supervisar las actividades de los subcontratistas. Esto tambin permite al personal
compartir sin fisuras los planos actuales con arquitectos e ingenieros, clientes, subcontratistas y reguladores, aunque manteniendo el control de las versiones de los
planos. Adicionalmente, el sistema abarca las capacidades de gestin del conocimiento que permite a los empleados de la empresa compartir soluciones innovadoras en toda la organizacin.
Para apoyar una gestin eficaz de riesgos corporativos, una entidad capta y usa
datos actuales e histricos. Los datos histricos permiten seguir el funcionamiento
real respecto a objetivos, planes y expectativas y proporcionan ideas sobre el rendimiento de la entidad bajo condiciones pasadas, permitiendo a la direccin identificar
correlaciones y tendencias y prever el funcionamiento futuro. Los datos histricos
tambin pueden facilitar un aviso anticipado de eventos potenciales que merecen la
atencin de la direccin.
Los datos presentes o actuales permiten a la entidad determinar si se mantiene dentro de las tolerancias al riesgo establecidas y permiten a la direccin tener una perspectiva en tiempo real de los riesgos existentes en un proceso, funcin o unidad e
identificar variaciones frente a las expectativas.
Los desarrollos en los sistemas de informacin han mejorado la capacidad de
muchas organizaciones para medir y supervisar el funcionamiento y presentar informacin analtica a escala corporativa. La complejidad e integracin de los sistemas
continua, con organizaciones que utilizan nuevas capacidades tecnolgicas a medida que stas surgen. Sin embargo, la creciente dependencia de los sistemas de informacin a niveles estratgico y operativo genera nuevos riesgos tales como los fallos
de seguridad o los fraudes informticos- que deben integrarse en la gestin de riesgos corporativos de la entidad.
Profundidad y Oportunidad de la Informacin

La infraestructura de la informacin busca y capta datos dentro de un marco de tiempo y con una profundidad consecuentes con la necesidad de la entidad de identificar, evaluar y responder al riesgo y permanecer dentro de las tolerancias a l. La
oportunidad del flujo de informacin necesita ser coherente con el ritmo de cambio
de los mbitos externo e interno de la entidad.
La importancia de la profundidad de los datos se ilustra si observamos diferentes
eventos que afectan a una agencia de valores ubicada en una ciudad propensa a las
inundaciones. Para planificar la continuidad del negocio, la direccin mantiene un
conocimiento general de las condiciones de inundacin potencial y est en situacin
de aconsejar al personal cundo desplazarse a las instalaciones de seguridad. La
informacin captada a este alto nivel es suficiente para permitir que la firma gestione
adecuadamente el riesgo. En contraste, como agencia de valores que es, la firma
busca y capta continuamente cambios en los precios de valores, bonos y bienes tangibles hasta con varios decimales. Este nivel de oportunidad y detalle de los datos es
88
INFORME COSO-OKJ
25/5/05
18:14
Pgina 89
INFORMACIN
Y COMUNICACIN
consecuente con la necesidad que tiene la firma de responder inmediatamente a los

cambios de precios que puedan generar riesgos, tales como una posicin que asume
demasiado riesgos respecto a un solo sector de mercado o un valor que no concuerda con el riesgo aceptado de la firma.
La infraestructura de informacin transforma los datos no tratados en informacin
relevante que ayuda al personal a llevar a cabo su gestin de riesgos corporativos y
dems responsabilidades. La informacin se proporciona en una forma y dentro de
un marco de tiempo que permite las actuaciones, es utilizable con facilidad y estn
vinculadas a las responsabilidades definidas.
Los avances en la recogida, procesamiento y almacenamiento de datos han dado
como resultado un crecimiento exponencial del volumen de datos. Con ms datos
disponibles a menudo en tiempo real para ms gente en una organizacin, el reto
es evitar la sobrecarga de informacin, asegurando el flujo de la informacin adecuada, en la forma adecuada, al nivel de detalle adecuado, a las personas adecuadas y en el momento adecuado. En el desarrollo de la infraestructura de conocimientos e informacin, hay que contemplar los distintos requisitos de informacin de los
usuarios y departamentos y la informacin de resumen necesaria para los diferentes
niveles de direccin.
Calidad de la Informacin
Dada la creciente dependencia en sofisticados sistemas de informacin y en sistemas y procesos para la toma de decisiones automatizados e impulsados por los
datos, es esencial la fiabilidad de estos ltimos. Unos datos inexactos pueden dar
como resultado riesgos no identificados o pobres evaluaciones y decisiones empresariales equivocadas.
La calidad de la informacin incluye averiguar si:

Su contenido es adecuado Est al nivel correcto de detalle?
Es oportuna Est disponible cuando se necesita y dentro de un plazo adecuado?
Est actualizada Es la ltima informacin disponible?
Es exacta Sus datos son correctos?
Est accesible Las personas que la necesitan pueden obtenerla fcilmente?
Para impulsar la calidad de los datos, las entidades establecen programas corporativos para su gestin que abarcan la adquisicin, mantenimiento y distribucin de
informacin relevante. Sin tales programas, los sistemas de informacin no podran
facilitar la informacin que la direccin y otro personal requieren.
Los retos son muchos, pues los conflictos entre necesidades funcionales, restricciones del sistema y procesos no integrados pueden inhibir la adquisicin y uso efectivo de los datos. Para enfrentarse a ellos, la direccin establece un plan estratgico
con claras responsabilidades sobre la integridad de los datos y realiza peridicamente evaluaciones de su calidad.
89
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 90
Para realizar una gestin de riesgos corporativos, es fundamental disponer de una

informacin correcta y en el lugar y momento adecuados. Por esto, los sistemas de
informacin, aunque constituyan un componente de la gestin de riesgos corporativos, tambin deben ser controlados.
Comunicacin
La comunicacin es inherente a los sistemas de informacin. Como ya se ha comentado antes, estos sistemas deben proporcionar informacin al personal adecuado,
para que pueda llevar a cabo sus responsabilidades operativas, de informacin y de
cumplimiento. Pero la comunicacin tambin debe tener lugar en un sentido ms
amplio, abordando las expectativas, las responsabilidades de los individuos y grupos
y otros temas importantes.
Comunicacin Interna
La direccin proporciona comunicaciones especficas y orientadas que se dirigen a
las expectativas de comportamiento y las responsabilidades del personal. Esto incluye una exposicin clara de la filosofa y enfoque de la gestin de riesgos corporativos de la entidad y una delegacin clara de autoridad. La comunicacin sobre procesos y procedimientos debera alinearse con la cultura deseada y reforzarla.
La comunicacin debe expresar eficazmente:
La importancia y relevancia de una gestin eficaz de riesgos corporativos
Los objetivos de la entidad
El riesgo aceptado y las tolerancias al riesgo de la entidad
Un lenguaje comn de riesgos
Los papeles y responsabilidades del personal al desarrollar y apoyar los componentes de la gestin de riesgos corporativos
Todo el personal, sobre todo aqul con responsabilidades importantes en la gestin
operativa o financiera, necesita recibir de la alta direccin un mensaje claro acerca de
que la gestin de riesgos corporativos debe realizarse seriamente. Son importantes
la claridad del mensaje y la eficacia con que se comunique.
El personal tambin debe saber cmo sus actividades se relacionan con el trabajo de
los dems. Este conocimiento es necesario para reconocer un problema o determinar su causa y la accin correctora. Tambin deben saber qu comportamiento es
considerado aceptable o no. Ha habido ejemplos muy difundidos de informacin
fraudulenta, en los que los directivos, bajo presin de cumplir los presupuestos, alteraron los resultados operativos. En algunos de estos casos, nadie les haba dicho a
estos individuos que esta prctica podra ser ilegal o inadecuada, lo que subraya la
naturaleza crtica de cmo se comunican los mensajes dentro de una organizacin.
Un directivo que da instrucciones a sus subordinados diciendo Hay que cumplir el
presupuesto. No me importa cmo lo hagan, pero hganlo puede estar enviando un
mensaje equivocado sin darse cuenta.
90
INFORME COSO-OKJ
25/5/05
18:14
Pgina 91
INFORMACIN
Y COMUNICACIN
Los empleados de lnea que tratan los temas operativos crticos cada da son a menudo los mejor situados para reconocer los problemas cuando surgen y los canales de
comunicacin deberan asegurar que el personal puede comunicar la informacin
basada en el riesgo a todas las unidades de negocio, procesos o funciones, adems
de enviarla a sus superiores. Por ejemplo, los representantes comerciales o los gestores de cuenta pueden enterarse de las necesidades importantes del cliente sobre el
diseo de un producto, el personal de produccin puede conocer unas deficiencias
costosas de proceso y el personal de compras puede encontrarse con incentivos
inadecuados procedentes de los proveedores. Los fallos de comunicacin pueden
ocurrir cuando se disuade a personas o unidades de negocio de que faciliten informacin importante a otras personas o unidades o bien cuando aquellas no tienen
herramientas para hacerlo. El personal podra ser consciente de los riesgos importantes, pero puede estar poco dispuesto a informar de ellos o ser incapaz de hacerlo.
Para que tal informacin sea informada, debe haber canales abiertos de comunicacin y una clara disposicin de escucha. El personal debe creer que sus superiores
realmente quieren conocer los problemas y tratarlos eficazmente. La mayora de los
directivos reconocen intelectualmente que deberan evitar la reaccin de matar al
mensajero. Sin embargo, al calor del momento, pueden ser poco receptivos a las
personas que aportan problemas legtimos. El personal absorbe rpidamente las
seales orales o no orales cuando un superior no tiene el tiempo ni el inters para tratar los problemas detectados. Y para colmo, el directivo poco receptivo es el ltimo
en saber que el canal de comunicaciones ha sido efectivamente sellado.
En la mayora de los casos, las lneas normales de informacin de una organizacin son
los canales adecuados de comunicacin. En algunas circunstancias, sin embargo,
hacen falta lneas de comunicacin independientes que sirvan como mecanismo de
seguridad en caso de que los canales normales no sean operativos. Junto con la supervisin del consejo o del comit de auditora, muchas empresas proporcionan, y hacen
que los empleados lo sepan, un canal directo al responsable de auditora interna, al
asesor legal o a otro alto directivo con acceso al consejo de administracin y las leyes
y normas exigen cada vez ms que las compaas establezcan estos mecanismos.
Debido a su importancia, una gestin eficaz de riesgos corporativos requiere dicho
canal alternativo de comunicaciones. Sin ambos canales de comunicacin abiertos y
sin disposicin a escuchar, el flujo ascendente de informacin puede bloquearse.
Es importante que el personal entienda que no habr represalias por comunicar informacin relevante. Se enva un mensaje claro con la existencia de mecanismos que
animen a los empleados a informar de las violaciones sospechadas del cdigo de
conducta de una entidad o por el trato que se d al personal que presente denuncias.
Puede potenciarse estos mensajes importantes con un cdigo de conducta integral y
relevante, sesiones de formacin del personal, mecanismos corporativos permanentes
de comunicaciones y retroalimentacin y un ejemplo adecuado de la alta direccin.
Entre los canales ms crticos de comunicacin est aqul entre la alta direccin y el
consejo de administracin. La direccin debe mantener al da al consejo sobre el funcionamiento de la entidad, los riesgos que afronta, la gestin corporativa de estos
ltimos y dems eventos o temas relevantes. Cuanto mejor sean las comunicaciones,
ms eficaz ser el consejo en llevar a cabo sus responsabilidades supervisoras
actuando como una caja de resonancia para la direccin en temas crticos, siguiendo sus actividades y facilitando consejos y orientacin. Del mismo modo, el consejo
91
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 92
debera comunicar sus necesidades de informacin a la direccin y, a su vez, proporcionarle retroalimentacin y gua.
Comunicacin Externa
Existe la necesidad de una comunicacin adecuada no slo dentro de la entidad, sino
tambin con el mundo exterior. Con canales de comunicacin externos abiertos, los
clientes y proveedores pueden proporcionar inputs muy significativos sobre el diseo o la calidad de los productos o servicios, permitiendo a la empresa tratar las
demandas o preferencias del cliente en evolucin. Por ejemplo, las quejas y reclamaciones presentadas por los clientes o proveedores acerca de entregas, cobros, facturas o dems actividades a menudo sealan problemas operativos y posiblemente
prcticas fraudulentas o inadecuadas. La direccin debera estar dispuesta a reconocer las implicaciones de tales circunstancias e investigar y tomar las necesarias
medidas correctivas, centrndose en el impacto sobre la informacin financiera, el
cumplimiento y los objetivos operativos.
Una comunicacin abierta sobre el riesgo tolerado y la tolerancia al riesgo es importante, particularmente para entidades vinculadas con otras en cadenas de suministro
o empresas de comercio electrnico. En tales casos, la direccin considera cmo
ambos conceptos se alinean con los de sus asociados, asegurando que no se acepte inadvertidamente demasiado riesgo a travs de sus socios.
La comunicacin con grupos de inters, reguladores, analistas financieros y otros terceros les proporciona informacin relevante para sus necesidades, pues pueden
comprender rpidamente las circunstancias y riesgos a los que se enfrenta la entidad.
Esta comunicacin debera ser significativa, pertinente y oportuna y estar de acuerdo con las disposiciones legales y regulatorias.
El compromiso de la direccin con la comunicacin hacia terceros si es abierta, franca y seria en el seguimiento o no lo es tambin enva un mensaje a travs de la organizacin.
Medios de Comunicacin
La comunicacin puede tomar formas tales como un manual de polticas, escritos
internos, correos electrnicos, novedades en los tablones de anuncios, mensajes en
la web y de vdeo. Cuando los mensajes se transmiten verbalmente en grandes grupos, reuniones reducidas o entrevistas personales el tono de voz y el lenguaje corporal ponen nfasis a lo que se est diciendo.
La manera como la direccin trata al personal puede comunicar un mensaje potente.
Los directivos deberan recordar que sus acciones hablan ms fuerte que sus palabras.
Dichas acciones estn, a su vez, influidas por la historia y cultura de la entidad, basadas en observaciones anteriores de cmo sus mentores trataron situaciones similares.
Una entidad con un historial de integridad operativa y cuya cultura est bien asumida por las personas de la organizacin, probablemente tenga poca dificultad para
comunicar su mensaje. Una entidad sin tal tradicin necesitar esforzarse ms en la
forma en que comunique sus mensajes.
92
INFORME COSO-OKJ
25/5/05
18:14
Pgina 93
9. Supervisin
Resumen del captulo: La gestin de riesgos corporativos se supervisa - revisando la presencia y funcionamiento de sus componentes a lo largo del tiempo,
lo que se lleva a cabo mediante actividades permanentes de supervisin, evaluaciones independientes o una combinacin de ambas tcnicas. Durante el
transcurso normal de las actividades de gestin, tiene lugar una supervisin permanente. El alcance y frecuencia de las evaluaciones independientes depender fundamentalmente de la evaluacin de riesgos y la eficacia de los procedimientos de supervisin permanente. Las deficiencias en la gestin de riesgos
corporativos se comunican de forma ascendente, trasladando los temas ms
importantes a la alta direccin y al consejo de administracin.
La gestin de riesgos corporativos de una entidad cambia con el tiempo. Las respuestas a los riesgos que antao eran eficaces pueden llegar a ser irrelevantes, las
actividades de control pueden resultar menos eficaces o inexistentes o los objetivos
de la entidad pueden cambiar. Esto puede ser debido a la llegada de nuevo personal,
93
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 94
cambios en la estructura u orientacin de la entidad o la introduccin de nuevos procesos. Enfrentada a tales cambios, la direccin necesita determinar si el funcionamiento de la gestin de riesgos corporativos continua siendo eficaz.
La supervisin puede realizarse de dos maneras: a travs de actividades permanentes o mediante evaluaciones independientes. Los mecanismos de gestin de riesgos
corporativos normalmente se estructuran para que puedan autocontrolarse permanentemente, al menos hasta cierto punto. Cuanto mayor es el alcance y eficacia de
la supervisin permanente, existe menor necesidad de elaborar evaluaciones independientes. La frecuencia necesaria de stas ltimas para que la direccin tenga una
seguridad razonable de la eficacia de la gestin de riesgos corporativos es una cuestin de criterio de la direccin. Para determinarla, se tendr en cuenta la naturaleza y
alcance de los cambios producidos y sus riesgos correspondientes, la competencia
y experiencia del personal que implanta las respuestas a los riesgos y sus controles
correspondientes y, tambin, los resultados de la supervisin permanente.
Normalmente, alguna combinacin de supervisin permanente y evaluaciones independientes asegurar que la gestin de riesgos corporativos mantiene su eficacia en
el tiempo.
La supervisin permanente est integrada en las actividades operativas normales y
recurrentes de una entidad. La supervisin se lleva a cabo en tiempo real, reacciona
de modo dinmico a las condiciones cambiantes y est integrada en la entidad, de
tal manera que resulta ms eficaz que las evaluaciones independientes. Como las
evaluaciones independientes tienen lugar despus de los hechos, a menudo los problemas se identificarn ms rpidamente con las pautas de supervisin permanente.
Muchas entidades con slidas actividades de supervisin permanente realizan, sin
embargo, evaluaciones independientes de la gestin de riesgos corporativos peridicamente. Una entidad que perciba alguna necesidad de realizar frecuentes evaluaciones independientes debera centrarse en la mejora de sus actividades de supervisin permanente.
Actividades de Supervisin Permanente

Muchas actividades sirven para seguir la eficacia de la gestin de riesgos corporativos durante el transcurso normal del negocio. Se derivan de las actividades normales de gestin, que podran implicar anlisis de varianza, comparaciones de informacin procedente de fuentes diferentes y el anlisis y tratamiento de acontecimientos
inesperados.
Son los directivos de lnea o funcin de apoyo quienes llevan a cabo las actividades
de supervisin y dan meditada consideracin a las implicaciones de la informacin
que reciben. Al centrarse en relaciones, incoherencias u otras implicaciones relevantes, plantean cuestiones y las siguen con otro personal, segn sea necesario, para
determinar si es precisa una accin correctiva o de otro tipo. Las actividades permanentes de supervisin se distinguen de las actividades de funcionamiento segn lo
requiera la poltica de procesos de negocio. Por ejemplo, se definen mejor como actividades de control las aprobaciones de transacciones, las conciliaciones de saldos y
la verificacin de exactitud de los cambios en los ficheros maestros, realizadas segn
las pautas marcadas por los sistemas informticos o los procesos de contabilidad.
94
INFORME COSO-OKJ
25/5/05
18:14
Pgina 95
SUPERVISIN
La figura 9.1 incluye ejemplos de actividades de supervisin permanente.

Los directivos que revisan los informes operativos, usados para gestionar las operaciones de modo
permanente, pueden detectar inexactitudes o excepciones relativas a los resultados esperados. Por
ejemplo, los directores de ventas, compras y produccin al nivel de divisin, filial y entidad que estn
en contacto con las operaciones pueden cuestionar los informes que discrepen significativamente
de su conocimiento de las operaciones. Una informacin oportuna y completa y la resolucin de
dichas excepciones mejoran la eficacia del proceso.
Los cambios en la informacin incluida en los modelos de valor en riesgo usados para evaluar los
impactos de los movimientos potenciales del mercado sobre la posicin financiera de la entidad se
refieren a las transacciones financieras comunicadas, centrndose en las relaciones esperadas.
Las comunicaciones de terceros corroboran la informacin generada internamente o indican incidencias. De hecho, los clientes contrastan implcitamente los datos de facturacin efectuando su
pago. Por otro lado, las reclamaciones de clientes sobre facturas podran indicar deficiencias en el
sistema de procesamiento de las transacciones de ventas. Asimismo, los informes de los directores
de inversin sobre beneficios, prdidas e ingresos en operaciones con valores pueden confirmar los
registros de la entidad (o los propios de los directores) o sealar problemas en ellos. La revisin de
las polticas y prcticas de seguridad en una empresa aseguradora proporciona informacin sobre
la seguridad operativa y el grado de cumplimiento.
Los reguladores se comunican con la direccin sobre temas de cumplimiento u otros que reflejan el
funcionamiento de la gestin de riesgos corporativos.
Los auditores y asesores internos y externos facilitan peridicamente recomendaciones para reforzar la gestin de riesgos corporativos. Los auditores pueden prestar una atencin considerable a los
riesgos claves, las respuestas a ellos y el diseo de las actividades de control. Pueden identificarse
debilidades potenciales y recomendarse a la direccin acciones alternativas, acompaadas de informacin til para efectuar determinaciones sobre coste-beneficio. Los auditores internos y otro personal que desarrolle funciones similares de revisin pueden ser particularmente eficaces en la supervisin de las actividades de la entidad.
Los seminarios de formacin, sesiones de planificacin y otras reuniones proporcionan una retroalimentacin importante a la direccin sobre si la gestin de riesgos corporativos est siendo eficaz.
Junto a problemas particulares que pueden indicar la presencia de temas de riesgo, a menudo se
hace patente la consciencia de los participantes respecto al riesgo y el control interno.
Durante el transcurso normal de la gestin del negocio, los directivos comentan con el personal
temas tales como su entendimiento del cdigo de conducta de la identidad, cmo identifican los
riesgos y asuntos relacionados con el control de las actividades. Estos comentarios confirman el
funcionamiento correcto de los componentes de la gestin de riesgos corporativos o sacan a la
superficie cuestiones que requieren atencin.
Figura 9.1
Evaluaciones Independientes
Aunque los procedimientos de seguimiento permanente normalmente proporcionan
una retroalimentacin importante sobre la eficacia de otros componentes de la gestin de riesgos corporativos, puede resultar provechoso echar un nuevo vistazo de
vez en cuando, centrndose directamente sobre la eficacia de dicha gestin. Esto
tambin proporciona una oportunidad de tener en cuenta la eficacia continuada de
los procedimientos de supervisin permanente.
95
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 96
Alcance y Frecuencia
Las evaluaciones de la gestin de riesgos corporativos varan en alcance y frecuencia segn la significatividad de los riesgos y la importancia de las respuestas a ellos,
as como los correspondientes controles disponibles para gestionarlos. Las reas de
riesgo de alta prioridad y sus respuestas tienden a evaluarse ms a menudo. La evaluacin de la totalidad de la gestin de riesgos corporativos que generalmente se
necesita con menor frecuencia que la evaluacin de partes concretas de la entidadpuede estar suscitada por diversas razones: cambios importantes en la estrategia o
gestin, adquisiciones o enajenaciones, cambios en las condiciones econmicaso
polticas y cambios en las operaciones o los mtodos de procesamiento de datos.
Cuando se toma la decisin de realizar una evaluacin integral de la gestin de riesgos corporativos de una entidad, hay que dirigir la atencin hacia su aplicacin en
el establecimiento de la estrategia, as como en relacin con las actividades significativas. El alcance de la evaluacin tambin depender de qu categoras de objetivos estratgicos, operativos, de informacin y de cumplimiento- van a tenerse en
cuenta.
Quin Evala
A menudo, las evaluaciones tienen la forma de autoevaluaciones, en las que los responsables de una determinada unidad o funcin establecen la eficacia de la gestin
de riesgos corporativos en sus actividades. Por ejemplo, el consejero delegado de
una divisin dirige la evaluacin de sus actividades de gestin de riesgos.
Personalmente, evala las actividades relativas a las decisiones estratgicas y los
objetivos de alto nivel, junto al componente de mbito interno, mientras que las personas responsables de las diversas actividades operativas de la divisin evalan la
eficacia de los componentes de la gestin de riesgos relacionados con sus respectivas reas de responsabilidad. Los directores de lnea se centran en los objetivos operativos y de cumplimiento y el controller de la divisin afronta los objetivos de informacin. A continuacin, la alta direccin considera las evaluaciones de la divisin,
junto con las de otras divisiones de la empresa.
Los auditores internos normalmente realizan evaluaciones como parte de sus funciones normales o a peticin expresa de la alta direccin, el consejo de administracin
o los directivos de filiales y divisiones. Asimismo, la direccin puede utilizar informacin de los auditores externos para considerar la eficacia de la gestin de riesgos
corporativos. Se puede aplicar una combinacin de esfuerzos a la realizacin de los
procedimientos de evaluacin que la direccin estime necesarios.
Proceso de Evaluacin
La evaluacin de la gestin de riesgos corporativos constituye un proceso en s
misma. Aunque los enfoques o tcnicas varan, hay que aportar al proceso una disciplina, con ciertos fundamentos inherentes a ella.
El evaluador debe entender cada actividad de la entidad y cada componente de la
gestin de riesgos corporativos a abordar. Puede resultar til centrarse primero en
96
INFORME COSO-OKJ
25/5/05
18:14
Pgina 97
SUPERVISIN
cmo la gestin de riesgos corporativos funciona de manera significativa a veces,

esto se denomina diseo del sistema o proceso.
El evaluador debe determinar cmo funciona el sistema en realidad. Los procedimientos diseados para operar de un modo concreto pueden ser modificados con el
tiempo para operar de forma diferente o ser eliminados. A veces, se establecen procedimientos nuevos que no son conocidos por aquellos que describieron el proceso
y no estn incluidos en la documentacin disponible. Una determinacin sobre el funcionamiento real puede realizarse manteniendo entrevistas con el personal operativo
o que resulte afectado por la gestin de riesgos corporativos, con anlisis de los
registros de funcionamiento o una combinacin de procedimientos.
El evaluador analiza el diseo del proceso de gestin de riesgos corporativos y los
resultados de las pruebas realizadas. El anlisis se lleva a cabo contrastado el funcionamiento con el trasfondo de normas establecidas por la direccin para cada
componente, con el objetivo ltimo de determinar si el proceso proporciona seguridad razonable respecto a los objetivos fijados.
Metodologa
Se dispone de una variedad de metodologas y herramientas de evaluacin, incluyendo listas de comprobacin, cuestionarios, cuadros de mando y tcnicas de diagramas
de flujo. Como parte de su metodologa de evaluacin, algunas empresas comparan su
proceso de gestin de riesgos corporativos con el de otras empresas con buena reputacin en este terreno, que pueden facilitar informacin comparativa. Las comparaciones pueden realizarse directamente o bajo el control de asociaciones mercantiles o sectoriales y, as, las funciones de revisin cercana de algunos sectores pueden ayudar a
una empresa a evaluar su gestin de riesgos corporativos respecto a sus iguales. Pero
es necesaria cierta precaucin pues, en el momento de realizar las comparaciones, hay
que tener en cuenta las diferencias respectivas que existen en objetivos, hechos y circunstancias. Los ocho componentes de la gestin de riesgos corporativos, adems de
las limitaciones inherentes a ella, se debern tener en consideracin.
Documentacin
El alcance de la documentacin sobre gestin de riesgos corporativos de una entidad vara con su dimensin, complejidad y factores similares. Las organizaciones
ms grandes normalmente disponen de manuales escritos de polticas, organigramas
formales, descripciones escritas de las funciones del personal, instrucciones operativas y diagramas de flujo de los sistemas de informacin. Las entidades ms pequeas habitualmente tienen un volumen considerablemente menor de documentacin.
Muchos aspectos de su gestin de riesgos corporativos son informales y no estn
documentados, aunque se llevan a cabo de manera peridica y muy eficaz. Se pueden efectuar comprobaciones de estas actividades del mismo modo que en el caso
de actividades documentadas. El hecho de que los componentes de la gestin de
riesgos corporativos no estn documentados no significa que no sean eficaces o que
no puedan evaluarse. Sin embargo, un nivel adecuado de documentacin normalmente hace que las evaluaciones sean ms eficaces y eficientes.
97
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 98
El evaluador puede decidir documentar el proceso de evaluacin en s mismo.

Normalmente, se parte de documentacin existente en la gestin de riesgos corporativos de la entidad y, habitualmente, se complementa este proceso con documentacin adicional, junto con descripciones de las pruebas y los anlisis efectuados
durante la evaluacin.
Si la direccin tiene la intencin de enviar una declaracin a terceros relativa a la eficacia de su gestin de riesgos corporativos, debera tener en cuenta el desarrollo y
retencin de la documentacin que d soporte a tal afirmacin. Esta documentacin
puede resultar til si posteriormente se pone dicho mensaje en entredicho.
Informacin de Deficiencias
Las deficiencias en la gestin de riesgos corporativos de una entidad pueden proceder de muchas fuentes, incluyendo los procedimientos de supervisin permanente de
la entidad, las evaluaciones independientes e informacin de terceros. Una deficiencia es una situacin dentro de la gestin de riesgos corporativos que merece atencin y que puede representar una debilidad percibida, potencial o real, o una oportunidad para fortalecer la gestin de riesgos corporativos y aumentar la probabilidad de
que se logren los objetivos de la entidad.
Fuentes de Informacin
Una de las mejores fuentes de informacin sobre las deficiencias de la gestin de
riesgos corporativos es la misma gestin de riesgos. Las actividades de supervisin
permanente de una empresa, incluyendo las acciones directivas y la supervisin diaria de los empleados, generan ideas de aquellos directamente involucrados en las
actividades de la entidad. Estas ideas surgen en tiempo real y pueden proporcionar
una rpida identificacin de deficiencias. Otras fuentes de stas son las evaluaciones
independientes de gestin de riesgos corporativos. Tanto las realizadas por la direccin, los auditores internos u otras funciones, pueden destacar reas con necesidades de mejora.
Los terceros proporcionan frecuentemente informacin importante sobre el funcionamiento de la gestin de riesgos corporativos de una entidad. Entre ellos se incluyen
clientes, proveedores, y otros que colaboran con la entidad, as como los auditores
externos y reguladores. Los informes procedentes de fuentes externas deberan contemplarse cuidadosamente por sus implicaciones para la gestin de riesgos corporativos y las acciones correctivas que deban aplicarse.
De qu se Informa
Qu es lo que se debera informar?. Aunque no sea posible una respuesta universal,
hay ciertos parmetros que pueden delimitarse.
Todas las deficiencias identificadas de gestin de riesgos corporativos que afectan a
la capacidad de la entidad para desarrollar e implantar su estrategia y establecer y
alcanzar sus objetivos deberan comunicarse a quienes se encuentran en posicin de
98
INFORME COSO-OKJ
25/5/05
18:14
Pgina 99
SUPERVISIN
tomar las medidas necesarias. La naturaleza de los temas a comunicar variar segn
la autoridad individual para abordar las circunstancias que surjan y las actividades de
supervisin de sus superiores. Al considerar qu se necesita comunicar, es preciso
observar las implicaciones de los resultados. No slo es esencial que se informe de
una transaccin o evento determinado, sino tambin que se vuelvan a evaluar aquellos procedimientos potencialmente defectuosos.
Se puede argumentar que no existe ningn problema tan insignificante que no merezca una investigacin de sus implicaciones. Que un empleado coja un poco de dinero
de la caja para su uso personal, por ejemplo, no es un hecho significativo en s mismo
y probablemente ni en trminos del importe total manejado en dicha caja. As que la
investigacin podra no valer la pena. Sin embargo, la aparente aprobacin del uso
personal del dinero de la entidad que esa inaccin supondra, transmitira un mensaje equivocado a los empleados.
Junto a las deficiencias, tambin debera informarse de las oportunidades identificadas que puedan aumentar la probabilidad de conseguir los objetivos de la entidad.
A quin se Informa
La informacin generada en el transcurso de las actividades operativas es usualmente comunicada a travs de los canales normales a los superiores inmediatos,
quienes, a su vez, pueden trasladarla en todas direcciones de la organizacin, para
que acabe en las personas que pueden y deberan actuar al respecto. Los canales de
comunicacin alternativos tambin deberan existir para difundir la informacin sensible, tales como los actos ilegales o inadecuados. Ante el hallazgo de deficiencias
en la gestin de riesgos corporativos, normalmente debera informarse no slo al responsable de la funcin o actividad implicada, sino tambin, al menos, al nivel inmediato por encima de esta persona. Un nivel superior de la direccin proporciona el
necesario apoyo o supervisin para tomar acciones correctoras y est en posicin de
comunicarse con otras personas de la organizacin cuyas actividades pueden estar
afectadas. Cuando lo averiguado traspasa demarcaciones organizativas, la informacin tambin debera atravesarlas, dirigindose a un nivel superior suficientemente
alto para asegurar que se toman las medidas adecuadas.
Directrices de Informacin
Es esencial facilitar al responsable adecuado la necesaria informacin sobre las deficiencias de gestin de riesgos corporativos. Hay que establecer protocolos para
identificar qu informacin se necesita a un nivel determinado para tomar decisiones
eficazmente.
Tales protocolos reflejan la regla general de que un directivo debera recibir la informacin que afecta a las acciones o el comportamiento del personal bajo su responsabilidad, adems de aquella otra necesaria para alcanzar objetivos especficos. Un
consejero delegado normalmente deseara estar informado, por ejemplo, de las
infracciones serias de polticas y procedimientos y tambin querra recibir informacin
de soporte sobre temas que pudieran tener impacto financiero o implicaciones estratgicas significativas o afectar a la reputacin de la entidad.
99
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 100
Los altos directivos deberan ser informados de las deficiencias en la gestin de riesgos y de control que afecten a sus unidades. Ejemplos de ellas son las circunstancias en que los activos con un determinado valor monetario no estn protegidos adecuadamente, donde la competencia de los empleados es insuficiente o cuando no se
llevan a cabo correctamente las conciliaciones financieras. Los directivos deberan
ser informados de las deficiencias en sus unidades, con niveles de detalle en aumento cuanto ms se desciende por la estructura organizativa.
Los supervisores definen los protocolos de informacin para sus subordinados. El
grado de especificidad variar, aumentando normalmente en los niveles inferiores de
la organizacin. Aunque dichos protocolos puedan impedir una informacin eficaz si
se definen de modo demasiado restrictivo, sta se puede mejorar proporcionndole
flexibilidad suficiente.
Las partes interesadas a las que hay que comunicar las deficiencias a veces proporcionan directrices concretas respecto a lo que debera comunicarse. Un consejo de
administracin o comit de auditora, por ejemplo, puede solicitar a la direccin o a
los auditores internos o externos que comuniquen slo aquellas deficiencias que
alcancen un determinado umbral de importancia.
100
INFORME COSO-OKJ
25/5/05
18:14
Pgina 101
10. Roles y responsabilidades
Resumen del captulo: Todo el personal de una entidad tiene alguna responsabilidad en la gestin de riesgos corporativos. El consejero delegado es responsable en ltimo lugar y debera asumir su titularidad. Otros directivos apoyan la filosofa de gestin de riesgos, promocionan el cumplimiento del riesgo
aceptado y gestionan los riesgos dentro de sus reas de responsabilidad, en
coherencia con las tolerancias al riesgo. Otras personas son responsables de
desarrollar la gestin de riesgos corporativos segn las directivas y protocolos
establecidos. El consejo de administracin proporciona una importante supervisin de dicha gestin. Algunos terceros facilitan a menudo informacin til
para llevarla a cabo, aunque no sean responsables de su eficacia.
La gestin de riesgos corporativos es efectuada por diversas partes implicadas, cada

una con responsabilidades importantes. El consejo de administracin (directamente
o travs de sus comits), la direccin, los auditores internos y otro personal, todos
hacen importantes contribuciones a la gestin de riesgos. Otras partes afectadas,
tales como los auditores externos y los organismos reguladores, son asociados a
veces a las evaluaciones de riesgo y el control interno. Sin embargo, existe una distincin entre aquellos que forman parte del proceso de la gestin de riesgos corporativos de una entidad y los que no, cuyas acciones, sin embargo, pueden afectar al
proceso o, de otro modo, ayudar a la entidad a conseguir sus objetivos. Ayudar de
modo directo o indirecto a una entidad a conseguir sus objetivos, sin embargo, no
hace que un tercero forme parte de la gestin de riesgos corporativos de la entidad
o sea responsable de ella.
Personal de la Entidad
El consejo de administracin, la direccin, los directores financieros y de riesgos, los
auditores internos y, de hecho, toda persona de la entidad, contribuyen a una gestin
eficaz de riesgos corporativos.
La alta direccin responde ante el consejo de administracin, que proporciona supervisin, asesoramiento y orientacin. Mediante la seleccin del equipo directivo, el
consejo desempea su principal papel en la definicin de lo que espera en cuanto a
101
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 102
integridad y valores ticos, y mediante sus actividades de supervisin puede determinar si se cumplen sus expectativas. De forma similar, al reservarse autoridad en
ciertas decisiones claves, el consejo juega un papel en la formulacin de la estrategia, estableciendo los objetivos de alto nivel, y en la asignacin de recursos en sentido amplio.
El consejo facilita su supervisin con respecto a la gestin de riesgos corporativos
cuando:
Sabe hasta qu punto la direccin ha establecido una gestin eficaz de riesgos corporativos en la organizacin
Es consciente del riesgo aceptado por la entidad y est de acuerdo con l
Revisa la perspectiva de carteras de riesgos de la entidad y la contrasta con el riesgo aceptado por ella
Est informado de los riesgos ms significativos y de si la direccin est respondiendo adecuadamente
El consejo forma parte del componente de mbito interno de la gestin de riesgos
corporativos y debe tener la composicin y enfoque necesarios para conseguir que
sta sea eficaz.
Los miembros eficaces de un consejo son objetivos, capaces e inquisitivos. Tienen
un conocimiento prctico de las actividades y el entorno de la entidad y dedican el
tiempo necesario al cumplimiento de sus responsabilidades como consejeros.
Utilizan los recursos necesarios para dirigir investigaciones especiales y mantienen
comunicaciones abiertas y sin restricciones con los auditores internos y externos y
con los asesores legales.
Los consejos de administracin pueden utilizar comits para llevar a cabo sus funciones. Su uso y enfoque varan de una entidad a otra, aunque los comits ms
comunes son los de nombramientos/gobierno corporativo, remuneracin y auditora,
cada uno de ellos atendiendo a componentes de la gestin de riesgos corporativos.
El comit de nombramientos, por ejemplo, identifica y tiene en cuenta las cualificaciones de los previsibles miembros del consejo, mientras que el comit de remuneracin considera la adecuacin de los sistemas de motivacin y compensacin, equilibrando programas sanos de incentivos, con la necesidad de evitar la innecesaria
tentacin de manipular las variables base de la compensacin. El comit de auditora tiene un papel directo en la fiabilidad de la informacin al exterior y debe conocer
los riegos claves relativos a ella. El consejo y sus comits forman una parte importante de la gestin de riesgos corporativos.
La Direccin
La direccin es responsable de todas las actividades de una entidad, incluyendo la
gestin de riesgos corporativos. Naturalmente, los directivos a diferentes niveles tienen distintas responsabilidades en la gestin de riesgos corporativos, que varan
segn las caractersticas de una entidad, a veces de modo significativo.
En cualquier entidad, el consejero delegado tiene la responsabilidad ltima sobre la
gestin de riesgos corporativos. Uno de los aspectos ms importantes de dicha res-
102
INFORME COSO-OKJ
25/5/05
18:14
Pgina 103
ROLES
Y RESPONSABILIDADES
ponsabilidad es el de asegurar la presencia de un ambiente interno positivo. Ms que

cualquier otro individuo o funcin, el consejero delegado marca el talante en la cumbre de la organizacin, que influye en los factores del ambiente interno y en otros
componentes de la gestin de riesgos corporativos. Un consejero delegado tambin
puede influir en el consejo de administracin, a travs de cualquier influencia que
tenga en la identificacin de nuevos miembros, en marcar un ejemplo que sirva para
atraer o alejar candidatos para el consejo. Cada vez ms, estos candidatos miran con
cuidado la integridad y valores ticos de la alta direccin en el momento de decidir si
quieren aceptar el nombramiento que se les ha ofrecido. Los potenciales consejeros
tambin estn centrados en si la gestin de riesgos corporativos de la entidad posee
los fundamentos crticos necesarios de integridad y valores ticos que hagan posible
su eficacia.
Las responsabilidades del consejero delegado incluyen asegurar que estn en su
lugar todos los componentes de la gestin de riesgos corporativos. El consejero delegado generalmente realiza esta funcin a travs de las siguientes actuaciones:
Proporcionar liderazgo y orientacin a los altos directivos. Junto con ellos, el consejero delegado configura los valores, principios y polticas operativas importantes
que constituyen los cimientos de la gestin de riesgos corporativos de la entidad.
El consejero delegado y los altos directivos establecen los objetivos estratgicos, la
estrategia y los correspondientes objetivos de alto nivel. Tambin formulan las polticas, en sentido amplio, desarrollan la cultura de la entidad y establecen su filosofa de gestin de riesgos y el nivel de riesgo aceptado. Ejecutan acciones que conciernen a la estructura organizativa de la entidad, el contenido y comunicacin de
las polticas claves y el tipo de planificacin y sistemas de informacin a usar
Reunirse peridicamente con los altos directivos responsables de las reas funcionales importantes ventas, marketing, produccin, compras, finanzas, recursos
humanos para revisar sus responsabilidades, incluyendo cmo gestionan los riesgos. El consejero delegado adquiere conocimientos de los riesgos inherentes a las
operaciones, las respuestas a ellos, las mejoras necesarias de control y la situacin
de las acciones en marcha. Para desempear esta responsabilidad, el consejero
delegado debe definir claramente la informacin que necesita.
Con sus conocimientos, el consejero delegado est en posicin de supervisar las
actividades y riesgos en relacin con el riesgo aceptado por la entidad. Cuando la
evolucin de las circunstancias, los riesgos emergentes, la implantacin de la estrategia o acciones esperadas indiquen un potencial desajuste con el riesgo aceptado,
el consejero delegado tomar las medidas necesarias para restablecer la concordancia y comentar con el consejo de administracin la posibilidad de acciones ulteriores o de ajustar el riesgo aceptado por la entidad.
Los altos directivos a cargo de las unidades organizativas tienen la responsabilidad
de gestionar los riesgos relacionados con los objetivos de sus unidades. Convierten
la estrategia en operaciones, identifican los eventos, evalan los riesgos y deciden las
respuestas a stos. Los directivos orientan la aplicacin de los componentes de la
gestin de riesgos corporativos en sus reas de responsabilidad y aseguran que sea
coherente con las tolerancias al riesgo. En este sentido, existe una cadena descendente de responsabilidad, donde cada directivo es como un consejero delegado de
su rea de responsabilidad.
103
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 104
Los altos directivos normalmente delegan la responsabilidad sobre los procedimientos especficos de gestin de riesgos corporativos en los respectivos directivos de los
procesos, funciones o departamentos. Por tanto, estos directivos normalmente juegan un papel muy participativo en el diseo y desarrollo de procedimientos de riesgo
relativos a los objetivos de la unidad, tales como las tcnicas para identificar eventos
y evaluar riesgos, y en la determinacin de respuestas, tales como el desarrollo de
protocolos para la compra de materias primas o la aceptacin de nuevos clientes.
Tambin formulan recomendaciones sobre las actividades de control, supervisan su
aplicacin y se renen con los directivos de nivel superior para informarles de su funcionamiento.
Esto puede implicar la investigacin de eventos o condiciones externas, errores en la
entrada de datos y transacciones que aparecen en los informes de excepciones, analizando las causas de desviacin frente a los presupuestos de gastos de un departamento y haciendo un seguimiento de los pedidos rechazados por clientes o los niveles de inventario de productos. Los temas significativos, tanto si corresponden a una
transaccin determinada o son un ndice de una preocupacin ms importante, se
comunican de manera ascendente en la organizacin.
Las funciones de apoyo, tales como las de recursos humanos, cumplimiento y asesora legal, tambin tienen importantes papeles de soporte en el diseo o configuracin de los componentes de una gestin eficaz de riesgos corporativos. La funcin
de recursos humanos puede disear y ayudar a implantar programas de formacin
sobre el cdigo de conducta de la entidad y otras polticas amplias, a menudo desarrollados junto con los lderes de las unidades de negocio. Las funciones legales
facilitan informacin a los directores de lnea sobre las nuevas legislaciones y normas
que afectan a las polticas operativas y adems, bien sus propios responsables o los
de la funcin de cumplimiento, suministran informacin esencial sobre si las transacciones planificadas o los protocolos se adecuan a los requisitos legales y ticos.
Las responsabilidades de los directivos deberan abarcar tanto la autoridad como la rendicin de cuentas. Cada directivo debera responder ante su nivel inmediato superior por
su parte de gestin de riesgos corporativos, siendo el consejero delegado el responsable ltimo ante el consejo de administracin. Aunque diferentes niveles de direccin tienen distintas responsabilidades y funciones de gestin de riesgos corporativos, sus
acciones deberan fundirse en la gestin de riesgos corporativos de la entidad.
Responsable de Riesgos
Algunas empresas han establecido un punto centralizado de coordinacin para facilitar la gestin de riesgos corporativos. Un responsable de riesgo denominado en
algunas organizaciones como director o gerente de riesgos trabaja junto a otros
directivos para establecer una gestin eficaz de riesgos corporativos en sus respectivas reas de responsabilidad. Este responsable, nombrado por el consejero delegado y en dependencia directa de l, tiene recursos para ayudar a efectuar la gestin
de riesgos a travs de las filiales, negocios, departamentos, funciones y actividades.
El director de riesgos puede tener la responsabilidad de supervisar el progreso de
dicha gestin y ayudar a los dems directivos a informar sobre los riesgos relevantes
que existen en la entidad en todas direcciones. El director de riesgos tambin puede
servir como un canal complementario de informacin.
104
INFORME COSO-OKJ
25/5/05
18:14
Pgina 105
ROLES
Y RESPONSABILIDADES
Algunas empresas asignan este papel a otro alto directivo, tales como el director
financiero, el mximo responsable legal, el director de auditora interna o el director
de cumplimiento. Otras han decidido que la importancia y amplitud del alcance de
esta funcin requieren una asignacin funcional y recursos diferenciados.
Las empresas han visto que este papel tiene ms xito cuando se establecen claramente sus responsabilidades como funcin de apoyo proporcionando soporte y
ayuda a los directores de lnea. Para que la gestin de riesgos corporativos sea eficaz, los directores de lnea deben asumir la responsabilidad primordial de dicha gestin en sus reas respectivas.
Las responsabilidades del director de riesgos pueden incluir lo siguiente:
Establecer las polticas de la gestin de riesgos corporativos, incluyendo la definicin de papeles y responsabilidades, y participar en la formulacin de objetivos
para su implantacin
Enmarcar la autoridad y responsabilidad de la gestin de riesgos corporativos en
las unidades de negocio
Promover las capacidades de gestin de riesgos corporativos en toda la entidad,
facilitando el desarrollo de pericia tcnica en dicha gestin y ayudando a los directivos a alinear las respuestas a los riesgos con las tolerancias a ellos y la aplicacin
de adecuados controles
Guiar la integracin de la gestin de riesgos corporativos con otras actividades de
planificacin del negocio y de gestin
Establecer un lenguaje comn para la gestin de riesgos que incluya la unificacin
de medidas de su probabilidad e impacto y de las categoras de riesgo
Ayudar a los directivos a desarrollar protocolos de informacin, incluyendo umbrales cuantitativos y cualitativos, y a supervisar el proceso de distribucin de informes
Informar al consejero delegado sobre el progreso y las excepciones resultantes, as
como de las acciones necesarias recomendadas
Directivos Financieros
Los controllers y directores financieros, con sus equipos, son particularmente importantes para las actividades de gestin de riesgos corporativos, pues sus actividades
propias inciden ascendente y descendentemente en todas las unidades operativas y
de negocio. Con mucha frecuencia, estos directivos estn implicados en el desarrollo
de presupuestos y planes globales de la entidad, al mismo tiempo que siguen y analizan su funcionamiento, a menudo desde una perspectiva operativa, de cumplimiento y de informacin. Estas actividades usualmente forman parte de una organizacin
central o corporativa, aunque normalmente tambin tienen una responsabilidad
autorizativa para supervisar las actividades de divisiones, filiales y dems unidades.
El director financiero, el director de contabilidad, el controller y otros responsables de
la funcin financiera son esenciales en el modo con que la direccin ejerce la gestin
de riesgos corporativos. Todos juegan un papel importante en la prevencin y deteccin de la informacin fraudulenta y, adems, el director financiero, como parte de la
alta direccin, ayuda a establecer el talante de conducta tica de la organizacin, es
105
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 106
el mximo responsable de los estados financieros e influye en el diseo, implantacin

y supervisin de los sistemas de informacin de la empresa.
Cuando se atiende a los componentes de la gestin de riesgos corporativos, es evidente que el director financiero y sus colaboradores juegan papeles esenciales. Este
directivo es un agente clave en el establecimiento de objetivos, la determinacin de
estrategias, el anlisis de riesgos y la toma de decisiones sobre cmo gestionar los
cambios que afecten a la entidad. Facilita informacin y orientacin valiosa y se centra en la supervisin y posterior seguimiento de las acciones decididas.
Debera considerarse al director financiero como un igual a los otros responsables
funcionales. Cualquier intento de la direccin de tenerlo estrechamente centrado limitado principalmente a reas de informacin financiera y tesorera, por ejemplopodra minorar seriamente la capacidad de la entidad para tener xito.
Auditores Internos
Los auditores internos juegan un papel clave en la evaluacin de la eficacia de la gestin de riesgos corporativos y en la recomendacin de mejoras en ella. Las normas
del Instituto de Auditores Internos establecen que el alcance de la auditora interna
debera abarcar la gestin del riesgo y los sistemas de control, lo que incluye la evaluacin de la fiabilidad de la informacin, la eficacia y eficiencia de las operaciones y
el cumplimiento de leyes y normas aplicables. Al llevar a cabo sus responsabilidades,
los auditores internos ayudan a la direccin y al consejo de administracin o su comit de auditoria examinando, evaluando e informando sobre la adecuacin y eficacia
de la gestin de riesgos corporativos de la entidad y recomendando mejoras en ella.
Las normas del mencionado Instituto tambin determinan qu papeles son los adecuados para la auditora interna, estableciendo claramente que los auditores internos
deberan ser objetivos respecto a las actividades que auditan. Esta objetividad deber reflejarse en su posicin y autoridad dentro de la entidad y en una adecuada asignacin de personal. El hecho de contar con una adecuada posicin y autoridad en la
organizacin implica temas tales como la existencia de una lnea de informacin a la
persona con autoridad suficiente para asegurar una debida cobertura, consideracin
y respuesta a la auditora, el nombramiento y cese del director de auditora interna
como responsabilidad exclusiva directa del consejo de administracin o comit de
auditora, el acceso permanente a ambos rganos de gobierno y la facultad para
hacer el seguimiento de los resultados y recomendaciones.
Otro Personal de la Entidad

La gestin de riesgos corporativos es, hasta cierto punto, responsabilidad de toda
persona de una entidad y, por esto, debera ser una parte explcita o implcita de su
descripcin de funciones. Esto es verdad desde una doble perspectiva:
Virtualmente, todo el personal juega algn papel en el ejercicio de la gestin de riesgos corporativos. Puede generar informacin usada en la identificacin o evaluacin
de los riesgos o tomar otras acciones necesarias para llevarla a cabo. El esmero con
que se realicen estas actividades afecta directamente a la eficacia de dicha gestin.
106
INFORME COSO-OKJ
25/5/05
18:14
Pgina 107
ROLES
Y RESPONSABILIDADES
Todo el personal es responsable de dar apoyo a los flujos de informacin y comunicacin inherentes a la gestin de riesgos corporativos. Esto incluye comunicar a
niveles superiores de la organizacin cualquier problema en las operaciones,
incumplimiento del cdigo de conducta, violacin de polticas o acto ilegal. La gestin de riesgos corporativos descansa en las comprobaciones y comparaciones,
incluyendo la segregacin de funciones y que el personal no mire hacia otro lado.
Los empleados deberan entender la necesidad de resistir la presin de sus superiores para que participen en actividades inadecuadas y, asimismo, deberan estar
disponibles canales independientes de las lneas normales de informacin para permitir informar de tal circunstancia.
La gestin de riesgos corporativos es un asunto de todos y los papeles y responsabilidades de cada empleado deberan definirse bien y comunicarse eficazmente.
Terceros
Varios terceros pueden contribuir a la consecucin de objetivos de la entidad, a veces
mediante acciones que van en paralelo a las realizadas dentro de la entidad. En otros
casos, estos terceros pueden facilitar informacin til para la entidad en sus actividades de gestin de riesgos corporativos.
Auditores Externos
Los auditores externos aportan al consejo de administracin y a la direccin una
perspectiva nica, independiente y objetiva que puede contribuir al logro de sus objetivos de informacin financiera externa por parte de una entidad, as como de otros
objetivos.
Durante una auditora de los estados financieros, el auditor expresa su opinin sobre
la imagen fiel transmitida, de acuerdo con principios contables generalmente aceptados, con lo que contribuye a alcanzar objetivos de informacin financiera externa.
Este auditor puede contribuir aun ms al logro de dichos objetivos, facilitando informacin til a la direccin para que lleve a cabo sus responsabilidades relativas a la
gestin de riesgos. Tal informacin incluye:
Averiguaciones de la auditora, informacin analtica y recomendaciones de acciones necesarias para alcanzar los objetivos establecidos
Averiguaciones sobre deficiencias en la gestin de riesgos y el control que llaman
la atencin del auditor y recomendaciones para mejorarlas
El informe de auditora se relacionar frecuentemente no slo con el proceso de informacin de la entidad, sino tambin con sus actividades estratgicas, operativas y de
cumplimiento, y puede hacer importantes contribuciones a la consecucin de sus
objetivos en todas estas reas. La informacin se comunica a la direccin y, segn su
relevancia, al consejo de administracin o a su comit de auditora.
Es importante reconocer que una auditora de los estados financieros normalmente
no incluye un enfoque significativo sobre la gestin de riesgos corporativos y, en
cualquier caso, no da como resultado la expresin de una opinin del auditor sobre
107
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 108
dicha gestin. Sin embargo, cuando las leyes o normas exigen que el auditor evale
las declaraciones de una empresa relativas a su control interno sobre la informacin
financiera y los fundamentos en que se apoyan dichas declaraciones, el alcance del
trabajo dirigido a dichas reas ser ms amplio y se obtendr informacin y seguridad adicionales.
Legisladores y Reguladores
Los legisladores y reguladores afectan a la gestin de riesgos corporativos de
muchas entidades, bien a travs de requisitos para establecer mecanismos de gestin de riesgos o controles internos o bien mediante inspeccin de determinadas entidades. Muchas de las leyes y normas relevantes abordan primordialmente los riesgos
y controles de la informacin financiera. Algunas, sin embargo particularmente
aqullas que se aplican a los organismos gubernamentales tambin pueden tratar
objetivos operativos y de cumplimiento. Muchas entidades estn sujetas desde hace
mucho tiempo a requisitos legales de control interno. Por ejemplo, las sociedades
annimas de Estados Unidos estn obligadas a establecer y mantener sistemas de
control interno contable que satisfagan determinados objetivos. La ms reciente
legislacin exige que la alta direccin de empresas que cotizan en bolsa certifique la
eficacia del control interno de la entidad sobre su informacin financiera, junto con la
conformidad del auditor.
Varios organismos reguladores examinan directamente las entidades sobre las que
ostentan responsabilidad supervisora. Por ejemplo, los inspectores de un banco central llevan a cabo inspecciones de los bancos bajo su jurisdiccin y a menudo se centran en aspectos de sus sistemas de gestin de riesgos y de control interno. Estos
organismos emiten recomendaciones y adoptan acciones de refuerzo.
Por tanto, los legisladores y reguladores afectan a la gestin de riesgos corporativos
de dos maneras. Primero, establecen las reglas que impulsan a la direccin a asegurar que la gestin de riesgos y los sistemas de control satisfacen los requisitos mnimos legales y estatutarios. Despus, tras inspeccionar una entidad, facilitan informacin til para aplicar su gestin de riesgos corporativos, recomendaciones y a veces
directrices a su direccin respecto a las mejoras necesarias.
Terceros en Interaccin con la Entidad

Los clientes, proveedores, socios de negocio y otros terceros que colaboran en los
negocios de una entidad son una fuente importante de informacin usada en las actividades de gestin de riesgos corporativos. La informacin puede ser variada, desde
la demanda emergente de productos o servicios nuevos, discrepancias sobre envos
y facturas, temas de calidad o acciones de empleados que desbordan las fronteras
del comportamiento tico. Esta informacin puede ser muy importante para la entidad en el logro de sus objetivos estratgicos, operativos, de informacin y de cumplimiento. La entidad debe disponer de mecanismos para recibir tal informacin y
tomar las acciones adecuadas. Estas ltimas no slo implican abordar la situacin de
la que se ha informado, sino tambin investigar el origen subyacente del problema y
remediarlo.
108
INFORME COSO-OKJ
25/5/05
18:14
Pgina 109
ROLES
Y RESPONSABILIDADES
Adems de los clientes y proveedores, otros terceros, tales como los acreedores,
pueden facilitar una supervisin respecto a la consecucin de objetivos de la entidad.
Un banco, por ejemplo, puede solicitar informes sobre el cumplimiento por parte de
una entidad de ciertos acuerdos sobre la deuda. Tambin puede recomendar indicadores de funcionamiento u otros objetivos o controles deseados.
Proveedores de Servicios Externos

Muchas organizaciones externalizan a veces funciones de negocio, tales como las
operaciones administrativas, financieras y otras internas, delegando su gestin cotidiana en proveedores externos, a fin de obtener acceso a capacidades superiores y
para reducir el coste de servicios. Una institucin financiera puede externalizar su
proceso de revisin de prstamos a terceros; una empresa tecnolgica, la operacin
y mantenimiento de su proceso de informacin y un minorista, su auditora interna.
Aunque los proveedores externos realicen actividades para cada entidad y por su
cuenta, las respectivas direcciones no puede abdicar de su responsabilidad de gestionar los riesgos correspondientes y deberan implantar un programa para supervisarlos.
Analistas financieros, Agencias calificadoras de solvencia financiera y

Medios de comunicacin
Los analistas financieros y las agencias calificadoras de solvencia financiera tienen en
cuenta muchos factores relevantes para el valor de una entidad como inversin.
Analizan la estrategia y objetivos de la direccin, los estados financieros histricos y
la informacin financiera proyectada, las acciones tomadas en respuesta a las condiciones econmicas y de mercado, el potencial de xito a corto y medio plazo, el rendimiento del sector y comparaciones con otras entidades similares. Los medios de
comunicacin, particularmente los periodistas financieros, tambin pueden realizar
anlisis similares.
Las actividades investigadoras y de seguimiento de dichos terceros pueden proporcionar ideas sobre cmo otros perciben el funcionamiento de la entidad, los riesgos
econmicos y sectoriales a los que se enfrenta la entidad, las estrategias innovadoras operativas o financieras que pueden mejorar el rendimiento y las tendencias del
sector. Esta informacin a veces se facilita directamente a la entidad en reuniones
personales o bien, indirectamente, la propia entidad la capta de anlisis externos para
inversores reales o potenciales y del pblico. En cualquier caso, la direccin debera
tener en cuenta las observaciones e ideas de los analistas financieros, las agencias
calificadoras de solvencia financiera y los medios de comunicacin que puedan
mejorar la gestin de riesgos corporativos.
109
INFORME COSO-OKJ
25/5/05
18:14
Pgina 110
INFORME COSO-OKJ
25/5/05
18:14
Pgina 111
11. Limitaciones de la gestin

de riesgos corporativos
Resumen del captulo: Una eficaz gestin de riesgos corporativos, sin importar su grado de buen diseo y ejecucin, slo proporciona una seguridad
razonable a la direccin y al consejo de administracin respecto a la consecucin de objetivos de la entidad. Esta consecucin est afectada por las limitaciones inherentes a cualquier proceso de gestin, que incluyen los factores
de que el juicio humano en la toma de decisiones puede ser defectuoso y que
pueden ocurrir problemas por causa de fallos humanos como simples errores
o equivocaciones. Adicionalmente, cabe considerar que los controles pueden
evadirse con la connivencia de dos o ms personas y la direccin tiene capacidad para obviar el proceso de gestin de riesgos corporativos, incluyendo
las decisiones de respuesta a los riesgos y las actividades de control. Otro
factor limitativo es la necesidad de considerar los costes y beneficios relativos
a las respuestas a los riesgos
Para algunos observadores, la gestin de riesgos corporativos, con un control interno integrado, asegura que la entidad no fallar esto es, que la entidad siempre
alcanzar sus objetivos. Esta perspectiva es errnea.
Al considerar las limitaciones de la gestin de riesgos corporativos, hay que reconocer tres conceptos distintos:
El riesgo corresponde al futuro, que es inherentemente incierto.
La gestin de riesgos corporativos incluso una que sea eficaz opera a distintos
niveles con respecto a objetivos diferentes. Respecto a los objetivos estratgicos y
operativos, dicha gestin puede ayudar a asegurar que la direccin, y el consejo en
su papel supervisor, es consciente en forma oportuna slo del grado de progreso
de la entidad hacia la consecucin de dichos objetivos. Sin embargo, no puede proporcionar ni siquiera una seguridad razonable de que los objetivos en s mismos se
alcancen.
La gestin de riesgos corporativos no puede facilitar una seguridad absoluta respecto a ninguna de las categoras de objetivos.
La primera limitacin recuerda que nadie puede predecir el futuro con certeza. La
segunda reconoce que ciertos eventos estn sencillamente fuera del control de la
direccin. La tercera tiene que ver con el hecho de que ningn proceso har siempre
todo aquello para lo que lo ha sido diseado.
El concepto de seguridad razonable no implica que la gestin de riesgos corporativos vaya a fracasar frecuentemente y muchos factores, individual y colectivamente,
111
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 112
lo refuerzan. El efecto acumulativo de las respuestas al riesgo que satisfacen mltiples objetivos y la naturaleza multifinalista de los controles internos reducen el riesgo de que una entidad no pueda conseguir sus objetivos. Es ms, las habituales y
cotidianas actividades operativas y responsabilidades personales que funcionan en
varios niveles de una organizacin se orientan al logro de los objetivos de la entidad.
De hecho, en una muestra de entidades bien controladas, es probable que la mayora est informada regularmente de su avance hacia los objetivos estratgicos y operativos, alcance sus objetivos de cumplimiento con regularidad y genere peridicamente informes fiables. Sin embargo, puede ocurrir un evento incontrolable, un error
o una informacin errnea. En otras palabras, incluso una gestin eficaz de riesgos
corporativos puede experimentar un fallo. La seguridad razonable no constituye una
seguridad absoluta.
Juicios
La eficacia de la gestin de riesgos corporativos est limitada por las realidades de
la fragilidad humana al tomar decisiones empresariales, algo a hacer aplicando un juicio humano en el tiempo disponible, a partir de la informacin existente y bajo las presiones de la direccin del negocio. Con la clarividencia de la retrospeccin, es posible averiguar ms tarde que algunas decisiones han producido resultados inferiores
a lo esperado y que podran necesitar un cambio.
Fracasos
Una gestin de riesgos corporativos bien diseada puede fallar. Es posible que el personal no entienda bien las instrucciones y que cometa errores de juicio o por desidia,
distraccin o fatiga. Un supervisor de un departamento de contabilidad que sea responsable de la investigacin de incidencias sencillamente puede olvidarse de hacer
el seguimiento o fallar al no continuar la investigacin hasta el punto conveniente
donde efectuar correcciones adecuadas. El personal temporal que realiza funciones
de control supliendo a empleados de baja por enfermedad o vacaciones puede desempear mal su cometido. Los cambios de sistema pueden haberse implantado
antes de formar al personal para que reaccione adecuadamente ante los signos de
funcionamiento incorrecto.
Connivencia
Las situaciones de connivencia entre dos o ms individuos pueden provocar fallos en
la gestin de riesgos corporativos. Las personas que actan colectivamente para perpetrar y ocultar un acto a menudo pueden alterar datos financieros u otra informacin
de gestin de una forma que no pueda ser identificada por el proceso de gestin de
riesgos corporativos. Por ejemplo, puede haber confabulacin entre un empleado
que realiza una importante funcin de control y un cliente, un proveedor u otro empleado. A un nivel distinto, varios niveles de la direccin de ventas o de otra divisin
podran conspirar para eludir controles y conseguir que los resultados a informar
coincidan o superen los objetivos presupuestados o fijados como incentivo.
112
INFORME COSO-OKJ
25/5/05
18:14
Pgina 113
LIMITACIONES
DE LA GESTIN DE RIESGOS CORPORATIVOS
Costes y Beneficios
Como se comenta en el captulo Evaluacin de riesgos, siempre existen restricciones
en los recursos y las entidades deben tener en cuenta los costes y beneficios relativos que las decisiones implican, incluyendo aquellos relacionados con la respuesta
al riesgo y las actividades de control.
Al determinar si debe decidirse una accin o establecerse un control, deben considerarse tanto el riesgo de fracaso y el efecto potencial en la entidad, como los costes correspondientes. Por ejemplo, es posible que no resulte provechoso para una
empresa instalar controles sofisticados de inventario para supervisar los niveles de
materias primas, si es bajo el coste de las que se usan en un proceso de produccin,
si el material no es perecedero, si existen suministros externos disponibles y si hay
espacio libre en los almacenes.
Los costes y beneficios de implantar unas capacidades de identificacin de eventos
y evaluacin de riesgos y las correspondientes respuestas y actividades de control
pueden medirse con niveles distintos de precisin, que a menudo varan segn la
naturaleza de la entidad. El reto es encontrar el equilibrio adecuado. Del mismo modo
que los recursos limitados no deberan asignarse a riesgos no significativos, un control excesivo es costoso y contraproducente. Los clientes que realizan pedidos telefnicamente no van a tolerar procedimientos de aceptacin demasiado complicados
o largos. Un banco que hace pasar por el aro a potenciales clientes solventes no
conceder muchos prstamos nuevos. Un control demasiado escaso, por el contrario, presenta riesgos innecesarios de morosidad. Hace falta un equilibrio adecuado en
un entorno muy competitivo. A pesar de las dificultades, se seguirn tomando decisiones coste-beneficio.
Imposicin de la Direccin
La gestin de riesgos corporativos es tan eficaz como lo sean las personas responsables de su funcionamiento. Incluso en entidades gestionadas y controladas eficazmente aquellas con niveles generalmente altos de integridad y conciencia de los
riesgos y del control, canales alternativos de comunicaciones y un consejo de administracin activo e informado que posea un adecuado proceso de gobierno corporativo un directivo todava podra hacer caso omiso de la gestin de riesgos corporativos. Ningn sistema de control o gestin es infalible y aquellas personas con intenciones delictivas se empearn en burlar los sistemas. Sin embargo, una gestin eficaz de riesgos corporativos mejorar la capacidad de la entidad para prevenir y
detectar aquellas actividades que hagan caso omiso de ella.
El trmino imposicin de la direccin se usa aqu con el significado de hacer caso
omiso de las polticas o procedimientos estipulados con fines no legtimos tales
como el enriquecimiento personal o la presentacin mejorada de la posicin financiera o del nivel cumplimiento de una entidad. Un director de una divisin o unidad o
un miembro de la alta direccin pueden prescindir de la gestin de riesgos corporativos por muchas razones: aumentar los ingresos informados para cubrir una reduccin inesperada de cuota de mercado, alterar los resultados informados a fin de
alcanzar presupuestos no realistas, incrementar el valor de mercado de la entidad
antes de una oferta publica de venta, lograr las proyecciones de ventas o resultados
113
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 114
a fin de agrandar los incentivos vinculados al rendimiento o valor de las opciones

sobre acciones, encubrir violaciones de contratos de prstamos y ocultar la falta de
cumplimiento de las normas legales. Son prcticas de omisin las presentaciones falsas deliberadas a bancos, auditores y proveedores y la emisin intencionada de
documentos falsos tales como pedidos de compra o facturas de venta.
La imposicin de la direccin no debera confundirse con su intervencin. Esta ltima
representa las acciones de la direccin para desviarse con fines legtimos de las polticas o procedimientos establecidos. La intervencin de la direccin es necesaria
para tratar con transacciones no recurrentes y poco habituales o eventos que, de otro
modo, podran manejarse inadecuadamente. Es necesario dar margen a la intervencin de la direccin, porque no se puede disear ningn proceso que anticipe todos
los riesgos y circunstancias. Las acciones de la direccin para efectuar tal tipo de
intervencin estn generalmente abiertas y documentadas o, de otra forma, son reveladas al personal adecuado. Hacer caso omiso de la gestin de riesgos corporativos
normalmente no genera documentacin ni revelaciones y tiene la intencin de encubrir las acciones.
114
INFORME COSO-OKJ
25/5/05
18:14
Pgina 115
12. Qu hacer
Las acciones que podran llevarse a cabo como consecuencia de este documento
dependen de la posicin y papel de las partes implicadas.
Miembros del consejo de administracin

Los miembros del consejo de administracin deberan comentar con la alta direccin el estado de la gestin de riesgos corporativos de la entidad y efectuar su
supervisin segn se necesite. El consejo tambin debera asegurar que los mecanismos de dicha gestin proporcionan una evaluacin de los riesgos ms significativos relacionados con la estrategia y los objetivos, incluyendo las acciones que la
direccin est realizando y su propio grado de implicacin en la supervisin de la
gestin de riesgos corporativos. El consejo debera buscar y obtener informacin de
los auditores internos y externos y sus asesores.
Alta direccin
Este documento sugiere que el consejero delegado debera evaluar las capacidades
de gestin de riesgos corporativos de la entidad. Usando el presente Marco, un consejero delegado, junto con los directivos operativos y financieros claves, puede centrar su atencin donde sea necesario. Con un determinado enfoque, el consejero
delegado rene a los responsables de las unidades de negocio y las funciones claves
de apoyo para comentar una evaluacin inicial de dichas capacidades y la eficacia de
la gestin de riesgos. Independientemente de su forma, esta evaluacin inicial debera determinar si hay necesidad de otra evaluacin ms exhaustiva y amplia y cmo
proceder a ella. Tambin debera confirmarse que los procesos permanentes de
supervisin estn implantados. El tiempo dedicado a evaluar la gestin de riesgos
corporativos representa una inversin, capaz de generar un beneficio importante.
Los directivos y dems personas deberan considerar, a la vista de este Marco,
cmo llevan a cabo sus responsabilidades de gestin de riesgos corporativos e
intercambiar ideas para potenciarlas con otras personas de mayor rango en la entidad. Los auditores internos deberan considerar la ampliacin de su enfoque sobre
la gestin de riesgos corporativos.
Reguladores
Las expectativas de la gestin de riesgos corporativos varan mucho con respecto
a lo que se puede conseguir con ella y a qu significa el concepto de seguridad
razonable y cmo se aplica. Este Marco puede promover una visin compartida de
dicha gestin, incluyendo lo que puede conseguir y sus limitaciones. Los reguladores pueden referirse a l al establecer sus expectativas, bien mediante normas o
recomendaciones o a travs de inspecciones en las entidades que supervisan.
115
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 116
Asociaciones profesionales
Las asociaciones profesionales que establecen reglas y otras profesionales que
facilitan orientacin sobre la gestin financiera, auditora y temas relacionados
deberan examinar sus normas y orientaciones a la luz de este Marco. En la medida en que se elimine la diversidad en conceptos y terminologa, todas las partes se
beneficiarn.
Educadores
Este Marco debera estar sujeto a la investigacin y anlisis universitario, para ver
dnde se pueden hacer futuras mejoras. En la idea de que este documento llegue
a aceptarse como una base comn de comprensin y entendimiento, sus conceptos y trminos deberan encontrar su lugar en los planes de estudios universitarios.
Creemos que su contenido ofrece numerosos beneficios. Con esta base de entendimiento mutuo, todas las partes podrn hablar un lenguaje comn y comunicarse ms
eficazmente. Los directivos estarn en posicin de evaluar los procesos de gestin
de riesgos corporativos respecto a una norma, potenciando el proceso y dirigiendo
sus empresas hacia los objetivos establecidos. La investigacin futura puede apoyarse sobre una base slida. Los legisladores y reguladores podrn conseguir un
incremento de su comprensin acerca de la gestin de riesgos corporativos, sus
beneficios y limitaciones. Con todas las partes implicadas utilizando un marco comn
para dicha gestin, se conseguirn beneficios para todos.
116
INFORME COSO-OKJ
25/5/05
18:14
Pgina 117
INFORME COSO-OKJ
25/5/05
18:14
Pgina 118
INFORME COSO-OKJ
25/5/05
18:14
Pgina 119
Gestin
Anexos
INFORME COSO-OKJ
25/5/05
18:14
Pgina 120
INFORME COSO-OKJ
25/5/05
18:14
Pgina 121
Anexo A
Objetivos y metodologa
A finales de 2001, el Committee of Sponsoring Organizations of the Treadway
Commission (COSO) inici un estudio diseado para ayudar a organizaciones a gestionar los riesgos. A pesar de la abundancia de literatura sobre el tema, COSO concluy que haca falta que dicho estudio diseara y construyera un marco y las correspondientes tcnicas de aplicacin. PricewaterhouseCoopers fue contratada para dirigir este proyecto, que dio como resultado este informe, Gestin de Riesgos
Corporativos Marco Integrado.
El Marco define el riesgo y la gestin de riesgos corporativos y proporciona definiciones bsicas, conceptos, categoras de objetivos, componentes y principios de un
marco integral de la gestin de riesgos corporativos. Proporciona orientacin a las
empresas y dems organizaciones para determinar cmo mejorar dicha gestin, proporcionando el contexto y facilitando su aplicacin en el mundo real. El documento
ha sido diseado tambin para proveer una base para uso de las entidades cuando
determinen si su gestin de riesgos corporativos es eficaz y, en caso negativo, qu
necesitan para que lo sea.
Las Tcnicas de Aplicacin estn vinculadas directamente con el Marco.
Proporcionan ejemplos de tcnicas de gestin de riesgos que las empresas y otras
organizaciones pueden aplicar a varios niveles empresa, lnea de negocio, proceso
o funcin y para apoyar la mejora puntual o evolutiva.
Dadas las necesidades diversas de los lectores, se obtuvo informacin de directivos
corporativos de organizaciones de varias dimensiones, incluyendo empresas pblicas y privadas de sectores diversos y organismos gubernamentales. Este grupo de
directivos estaba compuesto por consejeros delegados, directores financieros, directores de riesgo, controllers, auditores internos, legisladores, reguladores, abogados,
auditores externos, consultores, profesores universitarios y otros.
Durante el proyecto, su equipo responsable recibi consejos y asesoramiento de un
Consejo Asesor de la Junta del COSO, compuesto por personas de direcciones financieras, auditora interna y externa y de universidades. Este Consejo se reuni peridicamente con el equipo del proyecto y los miembros de la Junta del COSO para revisar el plan de trabajo, su progreso y los borradores del Marco y comentar los temas
que pudieran derivarse. En los hitos ms importantes del proyecto, el Consejo Asesor
y el equipo de trabajo establecieron comunicacin con la Junta del COSO.
La metodologa aplicada en este estudio fue diseada para generar un informe de
acuerdo con los objetivos establecidos. El proyecto se estructur en cinco fases:
121
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 122
1. Evaluacin
El equipo de proyecto evalu los modelos actuales de gestin de riesgos corporativos
a travs de una revisin de literatura, encuestas y grupos de trabajo, con el propsito
de obtener la informacin a travs del amplio espectro de dicha gestin. Esta fase abarc el anlisis de informacin, comparando y contrastando los conceptos y prcticas de
las filosofas y protocolos de gestin de riesgos corporativos, entendiendo las necesidades del usuario e identificando los temas y preocupaciones crticas.
2. Visin
El equipo cre un modelo conceptual de trabajo para el marco de la gestin de riesgos corporativos y desarroll un inventario preliminar de herramientas como base de
las tcnicas de aplicacin. Usando tcnicas individualizadas de solicitud de informacin, el equipo contrast los conceptos con grupos de inters y de usuarios claves y,
con la retroalimentacin obtenida, refin el modelo conceptual.
3. Construccin y Diseo
Usando el modelo conceptual refinado como un anteproyecto, el equipo desarroll el
Marco, incluyendo definiciones, categoras de objetivos, componentes, principios,
infraestructura y el contexto directivo, junto con los comentarios correspondientes.
Esta fase tambin abarc el diseo de la organizacin y el enfoque para desarrollar
las tcnicas de aplicacin. Tanto el borrador del marco como las tcnicas fueron revisadas con los grupos de inters y de usuarios claves ya citados y se obtuvieron
comentarios y sugerencias.
4. Preparacin de la Presentacin al Pblico

En esta fase, el equipo refin el Marco y desarroll en mayor amplitud las tcnicas de
aplicacin, revisndolas con los directivos de varias empresas, que facilitaron retroalimentacin sobre su valor y utilidad.
5. Finalizacin
Esta fase abarc la presentacin del volumen del Marco para informacin pblica
durante noventa das y comprobaciones de campo en varias empresas. Una vez
recogidos los comentarios, el equipo de proyecto los revis y analiz, identificando
las modificaciones necesarias. El equipo finaliz el Marco y las Tcnicas de
Aplicacin y remiti los textos definitivos al Consejo Asesor y la Junta del COSO para
su revisin y aprobacin.
Como parte del proceso, el equipo de proyecto consider cuidadosamente toda la

informacin recibida, incluyendo otros marcos ya existentes. Una relacin de algunas
122
INFORME COSO-OKJ
25/5/05
18:14
Pgina 123
ANEXO A - OBJETIVOS
Y METODOLOGA
de las fuentes publicadas se incluye en el Anexo D Bibliografa seleccionada. Como

cabra esperar, se expresaron muchas opiniones, a veces contradictorias, sobre
temas fundamentales dentro de una fase de proyecto o entre fases. El equipo de trabajo, junto con el Consejo Asesor del COSO y con la supervisin de la Junta, hizo una
reflexin exhaustiva sobre los fundamentos de las posiciones planteadas, tanto individualmente como dentro del contexto de los temas correspondientes, incluyendo
aquellas que facilitaran el desarrollo de un marco relevante, lgico e internamente
consecuente. El Consejo Asesor y la Junta del COSO han dado su total apoyo al
marco resultante de este proceso y lo han aprobado.
123
INFORME COSO-OKJ
25/5/05
18:14
Pgina 124
INFORME COSO-OKJ
25/5/05
18:14
Pgina 125
Anexo B
Resumen de principios claves
A continuacin, se destacan los principios claves inherentes a los ocho componentes de la gestin de riesgos corporativos. Este anexo no pretende facilitar una relacin completa de los principios establecidos en el Marco, ni precisarlos o describirlos totalmente.
MBIENTE INTERNO
Filosofa de la gestin de riesgos
La filosofa de la gestin de riesgos de la entidad representa las convicciones y actitudes compartidas que caracterizan cmo la entidad contempla el riesgo en todas
sus actividades
Refleja los valores de la entidad, influyendo en su cultura y estilo operativo
Afecta a cmo se aplican los componentes de la gestin de riesgos corporativos,
incluyendo la identificacin de eventos, los tipos de riesgo aceptado y la gestin de
riesgos
Est bien desarrollada, entendida y aceptada por el personal de la entidad
Se ha integrado en las declaraciones de polticas de la entidad, las comunicaciones
verbales y escritas y la toma de decisiones
La direccin refuerza la filosofa no slo con palabras, sino tambin con acciones
cotidianas
Riesgo aceptado
El riesgo aceptado por la entidad refleja su filosofa de gestin de riesgos e influye
en la cultura y estilo operativo
Se tiene en consideracin en el establecimiento de la estrategia, que queda en lnea
con el riesgo aceptado
El consejo es activo y posee una adecuada experiencia directiva y tcnica y de otro
tipo, junto con la mentalidad necesaria para realizar sus funciones supervisoras
125
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 126
Est preparado para cuestionar y fiscalizar las actividades de la direccin, presentar perspectivas alternativas y actuar contra el dolo
Tiene al menos una mayora de consejeros externos e independientes
Proporciona la supervisin de la gestin de riesgos corporativos y es consciente del
riesgo aceptado por la entidad y est de acuerdo con l
Integridad y valores ticos

Las normas de conducta de la entidad reflejan la integridad y valores ticos
Los valores ticos no slo se comunican, sino que tambin van acompaados de
una orientacin explcita sobre lo que es correcto o incorrecto
La integridad y los valores ticos son comunicados a travs de un cdigo formal de
conducta
Los canales ascendentes de comunicacin existen cuando los empleados se sienten cmodos aportando informacin relevante
Las sanciones se aplican a los empleados que violan el cdigo. Los mecanismos
animan al empleado a presentar denuncias por sospechas de violaciones y se
toman acciones disciplinarias contra empleados que conscientemente optan por no
informar sobre ellas
La integridad y los valores ticos se comunican a travs de acciones de la direccin
y sus ejemplos
Compromiso con las competencias

Las competencias de los empleados de la entidad reflejan los conocimientos y
habilidades necesarios para realizar las tareas asignadas
La direccin alinea las competencias y el coste
Estructura organizativa
La estructura organizativa define las reas clave de responsabilidad
Establece las lneas de informacin
Se desarrolla teniendo en cuenta la dimensin de la entidad y la naturaleza de sus
actividades
Permite una gestin eficaz de riesgos corporativos
Delegacin de autoridad y responsabilidad

Ambos tipos de delegacin marcan los lmites de la autoridad y establecen hasta
qu punto se confiere sta a los equipos y personas y se les anima a usar su iniciativa para abordar temas y resolver problemas
126
INFORME COSO-OKJ
25/5/05
18:14
Pgina 127
ANEXO B - RESUMEN
DE PRINCIPIOS CLAVE
Las asignaciones correspondientes establecen las relaciones de informacin y los

protocolos de autorizacin
Las polticas describen las prcticas empresariales adecuadas, el conocimiento y
experiencia del personal clave y los recursos asociados
Las personas conocen cmo sus acciones se relacionan entre s y contribuyen a la
consecucin de objetivos
Normas de recursos humanos

Estas normas abordan la contratacin, orientacin, formacin, evaluacin, asesoramiento, promocin, compensacin y acciones correctoras e impulsan los niveles
esperados de integridad, comportamiento tico y competencias
Las acciones disciplinarias transmiten el mensaje de que las violaciones del comportamiento esperado no sern toleradas
ESTABLECIMIENTO DE OBJETIVOS
Objetivos estratgicos
Los objetivos estratgicos de la entidad establecen objetivos de alto nivel, en lnea
con su misin / visin y dando apoyo a sta
Reflejan las decisiones estratgicas de la direccin respecto a cmo la entidad pretender crear valor para sus grupos de inters
La direccin identifica los riesgos asociados a las decisiones estratgicas y considera sus implicaciones
Objetivos conexos
Los objetivos conexos apoyan la estrategia seleccionada, relativa a todas las actividades de la entidad
Cada nivel de objetivos est vinculado a objetivos ms especficos que fluyen en
cascada por toda la organizacin
Los objetivos son fcilmente comprensibles y medibles
Estn en lnea con el riesgo aceptado
Objetivos seleccionados
La direccin tiene un proceso que alinea los objetivos estratgicos con la misin de
la entidad, asegurando que los objetivos estratgicos y relacionados son consecuentes con el riesgo aceptado por la entidad
127
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 128
Riesgo aceptado
El riesgo aceptado por la entidad es la gua principal para establecer la estrategia
Orienta la dotacin de recursos
Alinea a la organizacin, personas, procesos e infraestructura
Tolerancias al riesgo
Las tolerancias al riesgo son medibles, preferiblemente en las mismas unidades que
los objetivos conexos
Estn en lnea con el riesgo aceptado
IDENTIFICACIN DE EVENTOS
Eventos
La direccin identifica los eventos potenciales que afectan a la implantacin de la
estrategia o a la consecucin de los objetivos aqullos que pueden tener un
impacto positivo o negativo o de ambos tipos
Se tienen en cuenta incluso los eventos con una posibilidad de ocurrencia relativamente baja siempre que su impacto sobre la consecucin de algn objetivo sea
importante
Factores influyentes
La direccin reconoce la importancia de entender los factores internos y externos y
el tipo de eventos que pueden emanar de ellos
Se identifican los eventos tanto a nivel de entidad como de actividad
Tcnicas de identificacin de eventos

Las tcnicas aplicadas miran tanto al pasado como al futuro
La direccin selecciona tcnicas adecuadas para su filosofa de gestin de riesgos y
asegura que la entidad desarrolla las capacidades de identificacin de eventos
La identificacin de los eventos es slida, formando la base de la evaluacin de
riesgos y los componentes de respuesta a ellos
Interdependencias
La direccin entiende cmo los eventos se relacionan entre s
128
INFORME COSO-OKJ
25/5/05
18:14
Pgina 129
ANEXO B - RESUMEN
DE PRINCIPIOS CLAVE
Distincin entre riesgos y oportunidades

Los eventos con impactos negativos representan riesgos, que la direccin evala y
a los cuales responde
Los eventos que representan oportunidades son canalizados hacia el proceso de
establecimiento de estrategia y objetivos
EVALUACIN DE RIESGOS
Al evaluar los riesgos, la direccin considera los eventos esperados e inesperados
Riesgo inherente y residual

La direccin evala los riesgos inherentes previamente
Una vez desarrolladas las respuestas, la direccin considera el riesgo residual
Estimacin de probabilidad e impacto

Los eventos potenciales son evaluados desde dos perspectivas: probabilidad e
impacto
Al evaluar el impacto, la direccin normalmente utiliza la misma unidad de medicin, u otra coherente, que la empleada para el objetivo
El horizonte temporal aplicado para evaluar los riesgos debera ser consecuente
con el horizonte de tiempo de la estrategia y objetivos correspondientes
Tcnicas de evaluacin
La direccin usa una combinacin de tcnicas cualitativas y cuantitativas
Las tcnicas apoyan el desarrollo de una evaluacin compuesta de los riesgos
Relaciones entre los eventos

Donde existe una correlacin entre eventos o donde se combinen e interaccionen,
la direccin los evala en conjunto
RESPUESTA AL RIESGO
Al responder a los riesgos, la direccin considera entre evitar, reducir, compartir o
aceptar el riesgo
129
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 130
Evaluacin de posibles respuestas

Las respuestas se evalan con la intencin de alinear el riesgo residual y las tolerancias al riesgo de la entidad
Al evaluar las respuestas a los riesgos, la direccin considera sus efectos sobre la
probabilidad y el impacto
La direccin considera sus costes y beneficios, adems de las nuevas oportunidades
Respuestas seleccionadas
Las respuestas elegidas por la direccin estn diseadas para enmarcar la probabilidad de riesgo esperada y el impacto dentro de las tolerancias de riesgo
La direccin considera los riesgos adicionales que pueden derivarse de una respuesta
Perspectiva de carteras de riesgos

La direccin considera los riesgos desde la perspectiva de toda la entidad o la de
carteras de riesgos
La direccin determina si el perfil de riesgo residual de la entidad es consecuente
con su riesgo aceptado global
ACTIVIDADES DE CONTROL
Integracin con la respuesta a los riesgos
La direccin identifica las actividades de control necesarias para ayudar a asegurar
que las respuestas a los riesgos se llevan a cabo de modo adecuado y oportuno
La seleccin o revisin de las actividades de control incluye la consideracin de su
relevancia y adecuacin a las respuestas a los riesgos y al objetivo relacionado
Al seleccionar las actividades de control, la direccin considera cmo se interrelacionan las actividades de control
Tipos de actividades de control

La direccin selecciona entre varios tipos de actividades de control, incluyendo los
controles de deteccin, manuales, informticos y de gestin.
Polticas y procedimientos
Las polticas se implantan de forma meditada, consciente y coherente
130
INFORME COSO-OKJ
25/5/05
18:14
Pgina 131
ANEXO B - RESUMEN
DE PRINCIPIOS CLAVE
Los procedimientos se llevan a cabo con un enfoque claro y permanente sobre las
condiciones hacia las que se orienta la poltica
Las condiciones identificadas como resultado del procedimiento son investigadas y
se toman las acciones correctoras adecuadas
Controles informticos
Se implantan adecuados controles generales y de aplicaciones
INFORMACIN Y COMUNICACIN
Informacin
La informacin relevante se obtiene de fuentes internas y externas
La entidad capta y usa los datos histricos y actuales, segn necesidad, para apoyar una gestin eficaz de riesgos corporativos
La infraestructura de informacin convierte los datos no tratados en informacin
relevante que ayuda al personal a realizar su gestin de riesgos corporativos y otras
responsabilidades. La informacin se facilita con profundidad, forma y marco temporal adecuados para que resulte disponible, utilizable y vinculada a responsabilidades definidas incluyendo la necesidad de identificar y evaluar el riesgo y responder al mismo
Los datos e informacin fuente son fiables y facilitados a tiempo en el lugar adecuado para permitir una toma eficaz de decisiones
La oportunidad del flujo de informacin es coherente con el ritmo de cambios en los
entornos externos e internos de la entidad
Los sistemas de informacin cambian segn se necesite para apoyar a los objetivos nuevos
Comunicacin
La direccin proporciona una comunicacin especfica y directa relativa a las
expectativas de comportamiento y responsabilidades del personal, incluyendo una
ntida exposicin de la filosofa y enfoque de gestin de riesgos corporativos de la
entidad y una clara delegacin de autoridad
La comunicacin sobre procesos y procedimientos est en lnea con la cultura
deseada y se ajusta a ella
Todo el personal recibe un mensaje claro desde la alta direccin de que la gestin
de riesgos corporativos ha de tomarse en serio
El personal sabe cmo sus actividades se relacionan con el trabajo de los dems,
permitindoles reconocer los problemas, determinar sus causas y tomar acciones
correctoras
131
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 132
El personal sabe qu comportamiento se considera aceptable y no aceptable

Existen canales abiertos de comunicacin y una disposicin a escuchar y el personal cree que sus superiores realmente desean conocer los problemas y que los
abordarn eficazmente
Hay canales de comunicacin independientes de las lneas normales de informacin y el personal entiende que no habr represalias por trasladar informacin relevante
Un canal abierto de comunicaciones existe entre la alta direccin y el consejo de
administracin, siendo comunicada oportunamente la informacin adecuada
Estn abiertos unos canales externos de comunicaciones y a travs de ellos los
clientes y proveedores pueden facilitar informacin significativa
La entidad comunica la informacin relevante a los reguladores, analistas financieros y otros terceros
SUPERVISIN
La direccin determina, a travs de actividades permanente de supervisin, evaluaciones independientes o una combinacin de ambas, si el funcionamiento de la
gestin de riesgos corporativos sigue siendo eficaz
Actividades permanentes de supervisin

Las actividades permanentes de supervisin estn integradas en las operaciones
normales y recurrentes de la entidad realizadas durante el transcurso normal del
negocio
Se llevan a cabo en tiempo real y reaccionan dinmicamente ante las condiciones
cambiantes
Evaluaciones independientes
Las evaluaciones independientes se centran directamente en la eficacia de la gestin de riesgos corporativos y proporcionan una oportunidad para considerar la
efectividad de las actividades de supervisin permanente.
El evaluador entiende cada una de las actividades de la entidad y cada componente de la gestin de riesgos corporativos que est siendo abordado
El evaluador analiza el diseo de la gestin de riesgos corporativos de la entidad y
los resultados de las pruebas realizadas frente al trasfondo de normas establecidas
por la direccin, determinando si dicha gestin proporciona una seguridad razonable respecto a los objetivos fijados
132
INFORME COSO-OKJ
25/5/05
18:14
Pgina 133
ANEXO B - RESUMEN
DE PRINCIPIOS CLAVE
Informacin de deficiencias
Las deficiencias informadas desde fuentes internas o externas se consideran cuidadosamente por sus implicaciones para la gestin de riesgos corporativos y se
adoptan las acciones correctoras adecuadas
Todas las deficiencias identificadas que afectan a la capacidad de la entidad para
desarrollar e implantar su estrategia y alcanzar sus objetivos establecidos se comunican a aquellas personas en posicin de efectuar las acciones necesarias
No slo se informa de las transacciones o eventos investigados y corregidos, sino
que tambin se vuelven a evaluar los procedimientos subyacentes potencialmente
defectuosos
Se establecen protocolos para identificar qu informacin es necesaria a un nivel
determinado para tomar decisiones eficazmente
ROLES Y RESPONSABILIDADES
El consejo sabe hasta qu punto la direccin ha establecido una gestin eficaz de
riesgos corporativos en la organizacin
Es consciente del riesgo aceptado por la entidad y est de acuerdo con l
Revisa la perspectiva de carteras de riesgos y la contrasta con el riesgo aceptado
Est informado de los riesgos ms significativos y si la direccin est respondiendo adecuadamente
Direccin
El consejero delegado tiene la ltima responsabilidad de la gestin de riesgos corporativos
Asegura la presencia de un mbito interno positivo y que todos los componentes
de la gestin de riesgos corporativos estn implantados
Los altos directivos a cargo de las unidades organizativas tienen la responsabilidad
de gestionar los riesgos relacionados con los objetivos de sus unidades
Gua la aplicacin de la gestin de riesgos corporativos, asegurando que su aplicacin es coherente con las tolerancias al riesgo
Cada directivo es responsable ante el nivel superior inmediato de su parte de gestin de riesgos corporativos, siendo el consejero delegado el ltimo responsable
ante el consejo de administracin
133
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 134

La gestin de riesgos corporativos es una parte implcita o explcita de la descripcin de funciones de cada persona
El personal entiende la necesidad de resistirse a la presin de sus superiores a participar en actividades impropias y estn disponibles canales independientes de las
lneas normales de informacin para permitir informar de dichas circunstancias
Los papeles y responsabilidades del personal en la gestin de riesgos corporativos
estn bien definidos y eficazmente comunicados
Terceros que interaccionan con la entidad

Existen mecanismos para recibir informacin pertinente de terceros que interaccionan con la entidad y tomar las acciones adecuadas
Una accin no slo incluye abordar la situacin particular informada, sino tambin
la investigacin del origen subyacente del problema y su resolucin
Respecto a las actividades externalizadas, la direccin ha implantado un programa
para supervisarlas
La direccin considera las observaciones e ideas de los analistas financieros, las
agencias calificadoras de solvencia financiera y los medios de comunicacin que
puedan mejorar la gestin de riesgos corporativos
134
INFORME COSO-OKJ
25/5/05
18:14
Pgina 135
Anexo C
Relacin entre Gestin de
riesgos corporativos Marco
integrado y Control interno
Marco integrado
Control Interno Marco Integrado
En 1992, el Committee of Sponsoring Organizations of the Treadway Commission
(COSO) emiti Control interno Marco integrado, que establece un marco para el control interno y proporciona herramientas de evaluacin que las empresas y otras entidades pueden usar para evaluar sus sistemas de control. Dicho marco identifica y describe cinco componentes interrelacionados, necesarios para un control interno eficaz.
Control interno Marco integrado define al control interno como un proceso, efectuado por el consejo de administracin, la direccin y dems personal de una entidad, diseado para facilitar una seguridad razonable respecto de la consecucin de
objetivos en las siguientes categoras:
Eficacia y eficiencia de las operaciones
Fiabilidad de la informacin financiera
Cumplimiento de leyes y normas aplicables
El presente anexo presenta la relacin entre los respectivos marcos del control interno y de la gestin de riesgos corporativos.
Ms amplia que el Control interno

El control interno est inmerso en la gestin de riesgos corporativos y forma parte
ntegra de ella. Dicha gestin es ms amplia que el control interno, concepto este ltimo que va ampliando y elaborando para formar una conceptualizacin slida centrada ms concretamente en los riesgos. El Control interno Marco integrado sigue
siendo vlido para las entidades que se focalicen en el control interno en s mismo.
Categoras de Objetivos
El Control interno Marco integrado especifica tres categoras de objetivos operaciones, informacin financiera y cumplimiento y, a su vez, la gestin de riesgos corporativos contiene tambin tres categoras casi iguales operaciones, informacin y
135
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 136
cumplimiento. La categora de informacin del marco de control interno se define

como relativa a la fiabilidad de los estados financieros publicados, mientras que en el
marco de gestin de riesgos corporativos, esta categora ha sido ampliada de modo
significativo, para cubrir todos los informes desarrollados por una entidad, divulgados tanto interna como externamente. Se incluyen en ella los informes usados internamente por la direccin y los emitidos a terceros, incluyendo las presentaciones a
organismos reguladores y los informes enviados a los grupos de inters. Es ms, su
alcance se expande desde los estados financieros, pero no limitndose a cubrirlos de
un modo ms amplio, sino a incorporar tambin la informacin no financiera.
Adicionalmente, Gestin de riesgos corporativos Marco integrado aade otra categora de objetivos, denominados objetivos estratgicos, que operan a un nivel mayor
que los otros y se derivan de la misin o visin de la entidad, con las que deberan
estar alineados los objetivos operativos, de informacin y de cumplimiento. La gestin de riesgos corporativos se aplica en el establecimiento de la estrategia, as como
en las actuaciones para alcanzar los objetivos de las otras tres categoras.
El marco de gestin de riesgos corporativos introduce los conceptos de riesgo aceptado y tolerancia al riesgo. El riesgo aceptado es el volumen amplio de riesgo que una
entidad est dispuesta a aceptar en la realizacin de su misin/visin. Sirve de punto
de orientacin para establecer la estrategia y seleccionar los objetivos conexos. Las
tolerancias al riesgo son los niveles aceptables de variacin en relacin con el logro
de objetivos. Al establecerlas, la direccin considera la importancia relativa de los
objetivos relacionados y alinea las tolerancias al riesgo con el riesgo aceptado.
Operar dentro de las tolerancias al riesgo proporciona a la direccin una mayor seguridad de que la entidad permanece dentro de su riesgo aceptado, lo que, a su vez,
facilita un mayor nivel de confianza en que la entidad alcanzar sus objetivos.
Perspectiva de Carteras
La perspectiva de carteras de riesgos es un concepto no contemplado en el marco
de control interno. Adems de centrarse en los riesgos considerando el alcance de
objetivos de la entidad a escala individual, es necesario tener en cuenta los riesgos
compuestos desde una perspectiva de cartera.
Componentes
Con un enfoque mejorado sobre el riesgo, el marco de gestin de riesgos corporativos expande el componente de evaluacin de riesgos del marco del control interno,
creando cuatro componentes establecimiento de objetivos (que es un requisito previo para el control interno), identificacin de eventos, evaluacin de riesgos y respuesta al riesgo.
Ambiente Interno
Al comentar este componente, el marco de gestin de riesgos corporativos habla de
la filosofa de gestin de riesgos de una entidad, que es el conjunto de creencias y
136
INFORME COSO-OKJ
25/5/05
18:14
Pgina 137
ANEXO C - RELACIN ENTRE GESTIN DE RIESGOS CORPORATIVOS MARCO INTEGRADO Y CONTROL INTERNO MARCO INTEGRADO
actitudes compartidas que caracterizan cmo la entidad contempla los riesgos, refleja sus valores e impacta en su cultura y estilo operativo. Segn lo descrito antes,
dicho marco abarca el concepto del riesgo aceptado de una entidad, que est apoyado en tolerancias al riesgo ms especficas.
Dada la importancia crtica del consejo de administracin y su composicin, el marco
de gestin de riesgos corporativos ampla la necesidad establecida en el marco del
control interno de tener una masa crtica mnima de miembros independientes normalmente, al menos dos miembros independientes- y establece que, para que sea
eficaz la gestin de riesgos corporativos, el consejo deber tener al menos una mayora de miembros externos e independientes.
Identificacin de Eventos
Los marcos de la gestin de riesgos corporativos y del control interno reconocen que
los riesgos existen en cualquier nivel de la entidad y que resultan de una variedad de
factores internos y externos. Ambos marcos consideran la identificacin de los riesgos en el contexto del impacto potencial sobre la consecucin de objetivos.
El primero de estos dos marcos plantea el concepto de eventos potenciales, definiendo un evento como un incidente o acontecimiento emanado de fuentes internas
o externas que afecta a la implantacin de la estrategia o al logro de objetivos. Los
potenciales eventos de impacto positivo representan oportunidades, mientras que los
de impacto negativo representan riesgos. La gestin de riesgos corporativos implica
la identificacin de eventos potenciales, usando una combinacin de tcnicas que
contemplan tanto el pasado como las tendencias emergentes, y qu los provoca.
Evaluacin de Riesgos
Aunque ambos marcos requieren una evaluacin de riesgos en trminos de probabilidad de que un determinado riesgo ocurra y de su impacto potencial, el marco de
gestin de riesgos corporativos sugiere que se ha de mirar la evaluacin de riesgos
de manera ms afinada. Los riesgos se consideran como inherentes o residuales,
preferiblemente expresados en la misma unidad de medida de los objetivos a los que
se refieran. Los horizontes temporales deben ser coherentes con las estrategias y
objetivos de la entidad y, cuando sea posible, con los datos observables. El marco de
gestin de riesgos corporativos tambin reclama atencin a los riesgos interrelacionados, describiendo cmo un solo evento puede crear mltiples riesgos.
Como ya se ha comentado, dicha gestin abarca la necesidad para la direccin de
desarrollar una perspectiva de cartera al nivel de entidad. Mientras que el responsable de cada unidad de negocio, funcin, proceso u otra actividad desarrolla una evaluacin compuesta de los riesgos de su unidad individual, la direccin de la entidad
considera los riesgos desde una perspectiva de carteras.
Respuesta a los Riesgos

El marco de gestin de riesgos corporativos identifica cuatro categoras de respues-
137
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 138
ta al riesgo evitar, reducir, compartir y aceptar. Como parte de dicha gestin, la

direccin considera las respuestas potenciales en estas categoras y las tiene en
cuenta con la intencin de conseguir un nivel de riesgo residual en lnea con las tolerancias al riesgo de la entidad. Tras considerar las respuestas a los riesgos a escala
individual o de grupo, la direccin contempla su efecto agregado en toda la entidad.
Actividades de Control
Ambos marcos presentan las actividades de control como una ayuda para asegurar
que las respuestas al riesgo de la direccin se llevan a cabo. El marco de gestin de
riesgos corporativos hace ver explcitamente que en algunos casos las mismas actividades de control sirven de respuesta a los riesgos.
Informacin y Comunicacin
El marco de gestin de riesgos corporativos ampla el componente de comunicacin
e informacin del control interno, destacando la consideracin de datos derivados de
eventos pasados y presentes y datos potenciales futuros. Los datos histricos permiten a la entidad seguir el funcionamiento actual respecto a los objetivos, planes y
expectativas y proporcionan ideas sobre cmo la entidad se comport en periodos
anteriores bajo condiciones diversas. Los datos actuales facilitan informacin adicional importante, mientras que los datos sobre posibles eventos futuros y sus factores
subyacentes completan el anlisis de la informacin. La infraestructura de esta ltima busca y capta los datos en un marco de tiempo y con una profundidad de detalle concordantes con la necesidad de la entidad de identificar eventos, evaluar riesgos y responder a ellos y mantenerse dentro de su riesgo aceptado.
El comentario respecto a la existencia en el marco del control interno de un canal
alternativo de comunicaciones, independiente de las lneas normales de informacin,
tiene mayor nfasis en el marco de gestin de riesgos corporativos, que establece
que sta gestin, para ser eficaz requiere dicho canal.
Roles y Responsabilidades
Ambos marcos centran la atencin en los papeles y responsabilidades de algunas
partes organizativas que forman parte del control interno y la gestin de riesgos
corporativos o que les facilitan importante informacin. El marco de gestin de riesgos corporativos describe los roles y responsabilidades de los directores de riesgos
y amplan el papel del consejo de administracin de la entidad.
138
INFORME COSO-OKJ
25/5/05
18:14
Pgina 139
Anexo D
Bibliografa seleccionada
American Institute of Certified Public Accountants and The Canadian Institute of Chartered
Accounts, Managing Risk in the New Economy, New York AICP. 2000
Banham, Russ. A High Level of Intolerance. CFO, The Magazine for Senior Financial Executives.
April 2000.
Barton, Thomas L., William G. Shenkir and Paul L. Walker. Making Enterprise Risk Management
Pay Off: How Leading Companies Implement Risk Management. Financial Executive. 2001.
Bazerman, Max H. Judgement in Managerial Decision Making. New York. John Wiley & Sons.
2001
Committee of Sponsoring Organization of the Treadway Commission (COSO). Internal Control
Integrated Framework. New York AICPA. 1992.
Crouhy, Michael, Dan Galai and Robert Mark. Risk Management. New York. McGraw-Hill. 2001.
Davidson, Clive. Lofty Ambitions for Measuring Global Risk. Securities Industry News. June 5,
2000.
DeLoach, James W. Enterprise-Wide Risk Management: Strategies for Linking Risk and
Opportunity. London. Financial Times Prentice Hall. 2000.
DiPiazza, Samuel A., Jr. y Robert G. Eccles. Building Public Trust: the Future of Corporate
Reporting. New York. John Wiley & Sons. 2002
Everson, Miles. Creating an Operational Risk-Sensitive Culture. The RMA Journal. March 1, 2002.
Economist Intelligence Unit, en colaboracin con Arthur Andersen & Co. Managing Business
Risk An Integrated Approach. The Economist Intelligence Unit. 1995.
Economist Intelligence Unit, en colaboracin con MCC Enterprise Risk. Enterprise Risk
Management Implementing New Solutions. The Economist Intelligence Unit. 2001.
FEI Research Foundation, en colaboracin con Andersen. Risk Management: An Enterprise
Perspective. Financial Executive. 2002.
Haubenstock, Michael and John Gontero. Operational Risk Management: The Next Frontier.
New York. RMA. 2001.
Institute of Chartered Accountants in England and Wales. Internal Control Guidance for
Directors on the Combined Code. London. ICAEW. 1999.
Institute of Directors in Southern Africa. King Report on Corporate Governance for South Africa
2001. The Institute of Directors in Southern Africa. 2001.
International Organisation for Standardization. ISO/IEC Guide 73. 2002.
Lam, James. The CRO is Here to Stay. Risk Management. April 2001.
National Commission on Fraudulent Financial Informacin. Report of the National Commission
on Fraudulent Financial Informacin. 1987.
139
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 140
Nottingham, Lucy. A Conceptual Framework for Integrated Risk Management.

Conference Board of Canada. 1997.
Ottawa.
Risk Management Group of the Basel Committee on Banking Supervision. Sound Practices for
the Management and Supervision of Operational Risk. 2001.
Root, Stephen J. Beyond COSO Internal Control to Enhance Corporate Governance. New York.
John Wiley & Sons. 1998.
Standards Australia and Standards New Zealand. Australian/New Zealand Standard 4360:1990:
Risk Management. Standards Australia and Standards New Zealand. 1999.
Steinberg, Richard M. The CEO and the Board: Enhancing the Relationship. G100 Insights. April
2003.
Steinberg, Richard M. and Catherine L. Bromilow. Corporate Governance and the Board What
Works Best. The Institute of Internal Auditors Research Foundation. 2001.
The Institute of Risk Management (IRM), The Association of Insurance and Risk Managers (AIRMIC) and ALARM The National Forum for Risk Management in the Public Sector. A Risk
Management Standard. AIRMIC, ALARM, and IRM. 2002.
Thiessen, Karen. A Composite Sketch of Chief Risk Officer. Ottawa. Conference Board of
Canada. 2001.
Thiessen, Karen. Dont Gamble with Goodwill The Value of Effectively Communicating Risks.
Ottawa. Conference Board of Canada. 2000.
Tillinghast Towers Perrin. Enterprise Risk Management: Trends and Emerging Practices. New
York. Tillinghast Towers Perrin. 2001.
Walker, Paul L., William G. Shenkir and Thomas L. Barton. Enterprise Risk Management: Pulling
It All Together. The Institute of Internal Auditors Research Foundation. 2002.
140
INFORME COSO-OKJ
25/5/05
18:14
Pgina 141
Anexo E
Consideracin a los comentarios
Segn se indica en el Anexo A, un borrador de este Marco se ha expuesto a revisin
pblica. Las 78 cartas de respuesta recibidas contienen cientos de comentarios individuales sobre una amplia gama de temas y su contenido ha sido considerado en la
formulacin de revisiones del documento final. Este anexo resume los temas ms significativos y las modificaciones resultantes reflejadas en este informe definitivo y tambin facilita una perspectiva sobre por qu algunos enfoques han sido aceptados y
otros no.

Generar valor para los grupos de inters
El borrador describa cmo la gestin de riesgos corporativos permite a una organizacin generar valor para sus grupos de inters, aunque el concepto de valor no estuviera explcitamente reflejado en la definicin de dicha gestin. Algunas personas
sugirieron que esta definicin debera contener tal referencia explcita.
Se lleg a la conclusin de que la definicin debera mantenerse tal como se presentaba. La definicin dice explcitamente que la gestin de riesgos corporativos implica facilitar una seguridad respecto a la consecucin de objetivos de la entidad, lo que
inherentemente genera valor. Es ms, el texto que enmarca a la definicin describe
cmo la gestin de riesgos corporativos proporciona valor para los grupos de inters.
Debido a esta vinculacin existente con el concepto de valor y su descripcin y para
evitar una definicin irrazonablemente larga (tal como sugieren otras respuestas), se
ha mantenido la definicin.
Oportunidades
El borrador describa como la gestin de riesgos corporativos implica identificar y
abordar los eventos potenciales que tengan un impacto negativo sobre una entidad,
denominados riesgos, y los eventos de impacto positivo, denominados oportunidades. Algunas de las personas que respondieron han dicho que, dada la importancia
de la identificacin de oportunidades, la definicin del riesgo debera ampliarse para
incluir este concepto. Unas personas argumentaban que excluir a las oportunidades
como parte de la definicin del riesgo podra llevar al lector a no ver a dicho concepto como parte de la gestin de riesgos corporativos, socavando as la relevancia del
Marco. Por contra, algunas otras sugirieron que se eliminara del informe final toda
referencia a las oportunidades.
141
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 142
La conclusin fue que, dada la importancia de identificar y aprovechar las oportunidades, se debera mantener en el Marco, e incluso mejorar, los comentarios sobre
ellas. As, el informe final ampla las reflexiones dedicadas a la identificacin de oportunidades y la reaccin a ellas, formando ambos conceptos una parte integral de la
gestin de riesgos corporativos. Los comentarios de los captulos del informe final
sobre componentes describen an ms el proceso por el que la direccin considera
en la gestin del riesgo los efectos negativos y positivos de los eventos potenciales.
En cuanto a la definicin del riesgo, se decidi que aadir el concepto de oportunidad enturbiara los conceptos y hara ms difcil la comunicacin. Mantener la distincin entre un evento negativo y uno positivo aporta claridad al lenguaje de la gestin
de riesgos corporativos.
Un proceso
El borrador defina la gestin de riesgos corporativos como un proceso y estableca
componentes que pueden verse como elementos de un proceso. Algunas respuestas
aludan a que el trmino proceso implicaba de forma inadecuada la realizacin
secuencial de pasos o tareas predefinidas.
El informe ha sido revisado para potenciar el concepto de que la gestin de riesgos
corporativos no se realiza necesariamente de modo secuencial, sino que constituye
una interaccin permanente e iterativa de acciones llevadas a cabo en toda la entidad.
Aplicado al establecimiento de la estrategia

El borrador describa cmo los objetivos deben establecerse y comunicarse claramente antes de que puedan ser identificados y abordados los riesgos que amenazan
su consecucin. Tambin expona que las tcnicas de gestin de riesgos corporativos se aplican al establecimiento de la estrategia para ayudar a la direccin a evaluar
y seleccionar la estrategia de la entidad y vincularla a los objetivos correspondientes.
Algunos comentarios indicaban que la gestin de riesgos es secundaria frente al desarrollo de la estrategia de la entidad por su direccin y que el Marco pone un nfasis
indebido en el riesgo en lugar de hacerlo en el establecimiento de objetivos.
Se lleg a la conclusin de que no es necesario ni til presentar un concepto, el establecimiento de la estrategia, como ms importante que el otro, la gestin de riesgos.
Ambos son importantes e inherentes a la gestin de riesgos corporativos. El documento final, sin embargo, s contiene una exposicin mejorada del proceso del establecimiento de la estrategia y de los objetivos al efectuar dicha gestin empresarial.
Riesgo aceptado y Tolerancia al riesgo

El borrador abord los conceptos de riesgo aceptado y tolerancia al riesgo. Algunos
comentarios sugeran que haca falta incluir informacin adicional, incluyendo orientacin sobre cmo expresar y medir el riesgo aceptado. Otros destacaban que exista poca diferencia entre los dos conceptos y que deberan combinarse en uno.
El informe final mantiene la distincin entre riesgo aceptado y tolerancia al riesgo,
142
INFORME COSO-OKJ
25/5/05
18:14
Pgina 143
ANEXO E - CONSIDERACIN
A LOS COMENTARIOS
perteneciendo el primero a un nivel alto de la entidad en su conjunto, mientras que el

segundo se refiere a objetivos especficos. Las Tcnicas de aplicacin proporcionan
ejemplos de la aplicacin de ambos conceptos.
Seguridad razonable
Algunos comentarios recibidos sugeran que el concepto de seguridad razonable
debera definirse de forma ms precisa.
Se decidi que la discusin en torno a dicho trmino es adecuada y que una mayor
precisin en su definicin excedera del alcance de este proyecto.
Categoras de objetivos
Algunas respuestas decan que establecer cuatro categoras de objetivos de una entidad no ayuda y complica innecesariamente el marco.
El documento final mantiene todas estas categoras, sobre la base de que esa clasificacin permite centrarse en distintos aspectos de la gestin de riesgos corporativos, facilita la distincin entre lo que puede esperarse de cada categora de objetivos
y apoya el uso de un lenguaje comn en dicha gestin.
Consecucin de objetivos
Algunas personas que respondieron preguntaban por qu la seguridad razonable se
aplica slo a la amplitud con que se estn consiguiendo los objetivos estratgicos y
operativos, antes bien que a su consecucin real.
Se pens que la distincin entre lo que puede esperarse de la gestin de riesgos corporativos respecto al alcance de objetivos estratgicos y operativos, en relacin con
los objetivos de informacin y cumplimiento, continuaba siendo adecuada por las
razones expuestas en el documento, centradas en si dicha consecucin est dentro
o fuera del control de la entidad.
Eficacia
Algunas respuestas exponan que la eficacia de la gestin de riesgos corporativos
debera definirse en relacin con los resultados logrados, medidos en trminos de
realizaciones que el proceso est intentando alcanzar, antes que en un juicio subjetivo sobre si los ocho componentes estn presentes y funcionan adecuadamente.
Los criterios de eficacia la presencia y funcionamiento eficaz de cada componentepermanecen en el documento final. Se lleg a la conclusin de que el principio desarrollado en el marco del control interno y extendido al marco de gestin de riesgos
corporativos es lgico y sirve para mejorar las necesidades de los usuarios - que
cuando los ocho componentes estn presentes y funcionen eficazmente (y no exista
ninguna debilidad material), el resultado o producto es que la direccin y el consejo
de administracin obtengan una seguridad razonable de la consecucin de los objetivos establecidos. El documento final mantiene dicho principio y destaca adems
143
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 144
que la contencin de los riesgos dentro del riesgo aceptado por la entidad es un elemento necesario para una eficaz gestin de riesgos. Se ha eliminado el concepto de
juicio subjetivo, como el de la presencia y funcionamiento de los ocho componentes,
sobre la base de que los juicios pueden ser objetivos y estar basados en los principios de este Marco.

El borrador contena parte del texto de Control interno Marco integrado e indicaba
que su totalidad se haba incorporado mediante referencia al marco de la gestin de
riesgos corporativos. El borrador inclua un anexo que comparaba y contrastaba
ambos marcos.
Algunos comentarios sugeran que el informe final debera identificar de forma destacada aquellas secciones tomadas del texto Control interno Marco integrado y otros
recomendaban que su totalidad se incorporara como un anexo al presente informe,
con un contraste detallado de las diferencias entre ambos documentos. Finalmente,
otras respuestas recibidas solicitaban que este informe describiera detalladamente
de qu modo el Control interno Marco integrado se haba expandido hacia el marco
de gestin de riesgos corporativos. Algunas personas comentaron que el presente
documento deba destacar y clarificar el objetivo y el propsito de cada marco.
Se decidi que la descripcin de las diferencias entre los dos marcos estaba en el
nivel adecuado. El Anexo C destaca las diferencias claves e identifica qu conceptos
del marco de gestin de riesgos corporativos han sido incorporados directamente del
Control interno Marco integrado, qu otros conceptos procedentes del marco de
control interno han sido ampliados y cules son nuevos. Se estim innecesario incluir
el marco de control interno como anexo, ya que est fcilmente disponible para los
usuarios. El propsito y el pblico objetivo de cada uno de los marcos ya estn descritos con suficiente profundidad.
Gestin de riesgos corporativos y Proceso de gestin

Algunos comentarios sugeran que el anexo que compara las actividades de gestin
con las actividades de gestin de riesgos corporativos facilitaba poca informacin til
y poda provocar confusin en los lectores. Algunas personas dijeron que el establecimiento de las actividades de gestin como algo distinto a las actividades de gestin de riesgos corporativos podra reducir en lugar de reforzar la nocin de integrar la gestin de riesgos dentro de las actividades de negocio y gestin.
La figura del borrador no ha sido incluida en el informe final y, en su lugar, se presentan mensajes relevantes en el texto.
Algunos comentarios se referan a la importancia de un canal de comunicaciones
ajeno a las lneas normales de informacin y sugeran que era un elemento necesario
de la gestin de riesgos corporativos.
El informe final refleja este enfoque y afirma que, para que la gestin de riesgos cor-
144
INFORME COSO-OKJ
25/5/05
18:14
Pgina 145
ANEXO E - CONSIDERACIN
A LOS COMENTARIOS
porativos sea eficaz, una entidad debe mantener un canal de comunicaciones de ese
tipo.
Roles y responsabilidades
Algunas respuestas planteaban que se necesitaba una mayor claridad respecto a las
diferentes responsabilidades en la gestin de riesgos corporativos por parte del consejo de administracin, la direccin, otro personal de la entidad y terceros.
El informe final ampla este aspecto y clarifica los respectivos roles y responsabilidades de cada una de estas partes.
Otras consideraciones
Forma y presentacin
Algunas personas que respondieron aludan a la extensin, formato y estilo del borrador y expresaban una variedad de perspectivas sobre cmo se podra organizar y
perfeccionar el informe.
Se lleg a la conclusin de que el informe debera reorganizarse y depurarse, para
mejorar su legibilidad y claridad y eliminar redundancias. El Resumen Ejecutivo del
borrador ha sido sustituido por un resumen ms breve. El captulo 1 del borrador, La
relevancia de la gestin de riesgos corporativos ha sido eliminado, incorporando los
conceptos ms importantes en el captulo 1 definitivo del informe, Definicin. Se han
reducido las redundancias, se han eliminado o abreviado los planteamientos menos
importantes y se ha simplificado el estilo.
Relacin entre Gestin de riesgos corporativos Marco integrado y otros informes y legislacin
Algunas respuestas recibidas decan que sera til abordar las relaciones entre el
marco de gestin de riesgos corporativos y la Ley Sarbanes-Oxley de 2002, el New
Basel Capital Accord del Basel Committee on Banking Supervision y la legislacin
sobre gestin de riesgos de Australia, Canad, Alemania, Japn, Reino Unido y otros
pases. Algunos comentarios recomendaban que el documento indicase claramente
que el documento Control interno Marco integrado continua siendo un marco aceptable para el cumplimiento de la Seccin 404 de la Ley Sarbanes-Oxley y que la emisin del texto Gestin de riesgos corporativos Marco integrado no requera que las
empresas lo aplicasen con fines de cumplimiento de dicha seccin.
Se lleg a la conclusin de que la conciliacin entre la Gestin de riesgos corporativos Marco integrado y otros documentos va ms all del alcance de este proyecto.
Respecto al cumplimiento de la Seccin 404 antes citada, el COSO est comunicando, a travs del Prlogo de este informe, que el texto Control Interno- Marco integrado permanece vigente y de manera adecuada se percibe como una base de informacin bajo ciertos requisitos legislativos como la Ley Sarbanes-Oxley.
145
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 146
Consejos para la aplicacin

Algunas sugerencias aludan a la inclusin de un contenido especfico para el volumen de consejos para la aplicacin. Algunos pedan que se incluyeran uno o ms
casos monogrficos para ayudar a implantar el marco a organizaciones de dimensiones diferentes. Otras sugeran que el documento Marco y los consejos para la aplicacin contuvieran enlaces de referencia cruzada.
Se decidi que el volumen de consejos para la aplicacin debera incluir cierto contenido sugerido, incluyendo ejemplos de cmo las entidades pueden aplicar conceptos especficos descritos en el Marco. El informe final contiene esta informacin, aunque se decidi que no era prctico identificar o desarrollar un caso monogrfico que
ilustrara la aplicacin de todos los conceptos del Marco y que, de hacerlo, se estara
excediendo el alcance del proyecto. Con un enfoque ms ntido para el contenido de
este volumen, se concluy que su ttulo ms apropiado sera el de Tcnicas de aplicacin y el nombre se modific en consonancia. Tambin se han incluido enlaces
entre Tcnicas de aplicacin y el Marco.
146
INFORME COSO-OKJ
25/5/05
18:14
Pgina 147
Anexo F
Glosario
Categora de objetivos.
Cada una de las cuatro categoras de objetivos de la entidad estrategia, eficacia y
eficiencia de las operaciones, fiabilidad de la informacin y cumplimiento de leyes y
normas aplicables. Las categoras se solapan, de modo que un objetivo determinado
puede incidir en ms de una categora.
Componente.
Hay ocho componentes en la gestin de riesgos corporativos: ambiente interno de la
entidad, establecimiento de objetivos, identificacin de eventos, evaluacin de riesgos, respuesta a los riesgos, actividades de control, informacin y comunicacin, y
supervisin.
Control.
1. Sustantivo que indica un concepto. Por ejemplo, existencia de un control una
poltica o procedimiento que forma parte del control interno. Un control puede
existir en cualquiera de los ocho componentes.
2. Sustantivo que indica un estado o condicin. Por ejemplo, efectuar control el
resultado de polticas y procedimientos diseados para controlar. Este resultado
puede ser o no un control interno eficaz.
3. Verbo como palabra derivada. Por ejemplo, controlar regular. Establecer o
implantar una poltica que efecte el control
Controles de aplicacin.
Procedimientos programados en el software de aplicacin y procedimientos manuales relacionados con ellos, diseados para ayudar a asegurar la integridad y fiabilidad
del procesamiento de la informacin. Los ejemplos incluyen las comprobaciones
informatizadas de edicin, verificaciones de secuencia numrica y procedimientos
manuales para seguir temas identificados en los informes de incidencias.
Controles generales.
Polticas y procedimientos que ayudan a asegurar el funcionamiento adecuado y permanente de los sistemas de informacin. Se incluyen en este concepto los controles
de gestin de la tecnologa de informacin, de la infraestructura de la tecnologa
informtica, de la gestin de la seguridad y de la adquisicin, desarrollo y mantenimiento del software. Los controles generales apoyan el funcionamiento de los controles de aplicacin programados. Otros trminos similares son controles generales
informticos y controles de tecnologa informtica.
147
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 148
Control interno.
Un proceso, efectuado por el consejo de administracin, la direccin y dems personal de una entidad, diseado para proporcionar una seguridad razonable respecto a
la consecucin de objetivos en las siguientes categoras:
Eficacia y eficiencia de las operaciones
Fiabilidad de la informacin financiera
Cumplimiento de leyes y normas aplicables
Controles manuales.
Controles realizados manualmente y no por ordenador.
Criterios.
Un conjunto de normas frente a las que se puede medir la gestin de riesgos corporativos al determinar su eficacia. Los ocho componentes de la gestin de riesgos corporativos, tomados en el contexto de las limitaciones inherentes a dicha gestin, representan criterios de eficacia de ella para cada una de sus cuatro categoras de objetivos.
Cumplimiento.
Trmino usado en relacin con el concepto objetivos y que tiene que ver con el
cumplimiento de leyes y normas aplicables a la entidad.
Deficiencia.
Una condicin dentro de la gestin de riesgos corporativos merecedora de atencin,
que puede representar una debilidad percibida, potencial o real, o una oportunidad
para potenciar dicha gestin y propiciar una mayor probabilidad de que se alcancen
los objetivos de la entidad.
Diseo
1. Intencin. Segn aparece en su propia definicin, la gestin de riesgos corporativos intenta identificar los eventos potenciales que puedan afectar a la entidad y
gestionar los riesgos dentro del riesgo aceptado, proporcionando una seguridad
razonable del logro de objetivos.
1. Plan. La manera como se espera que funcione un proceso, que puede contrastar
con la realidad de cmo funciona.
Efectuado.
Se usa en la gestin de riesgos corporativos: concebido y mantenido.
Entidad.
Una organizacin de cualquier dimensin establecida para servir un propsito determinado. Una entidad, por ejemplo, puede ser una empresa, una organizacin sin
nimo de lucro, un organismo gubernamental o una institucin universitaria. Otros
trminos sinnimos son organizacin y empresa.
Estratgico.
Trmino usado en relacin con el concepto objetivos. Tiene que ver con los objetivos
de alto nivel que estn alineados con la misin (o visin) de la entidad y que la apoyan.
148
INFORME COSO-OKJ
25/5/05
18:14
Pgina 149
ANEXO F - GLOSARIO
Evento.
Un incidente o acontecimiento, derivado de fuentes internas o externas a la entidad,
que afecta a la consecucin los objetivos.
Grupos de inters.
Conjunto de personas fsicas o jurdicas que colaboran con una entidad o estn afectados por ella, tales como accionistas, comunidad en que opera, empleados, clientes
y proveedores.
Impacto.
El resultado o efecto de un evento. Puede existir una gama de posibles impactos asociados a un evento. El impacto de un evento puede ser positivo o negativo sobre los
objetivos relacionados de la entidad.
Imposicin de la direccin.
Las acciones de la direccin para saltarse las polticas o procedimientos con propsitos ilegtimos de enriquecimiento personal o de presentacin alterada de las condiciones financieras de la entidad o su cumplimiento de normas. Este concepto contrasta con el de Intervencin de la direccin.
Incertidumbre.
La incapacidad de saber anticipadamente la probabilidad e impacto exactos de eventos futuros.
Informacin.
Trmino usado en relacin con el concepto objetivos. Tiene que ver con la integridad y fiabilidad de la informacin de la entidad, incluyendo la interna y externa y la
financiera y no financiera.
Integridad.
La calidad o condicin de tener principios morales slidos, de poseer virtud, honradez y sinceridad, de desear hacer lo correcto y de profesar y vivir una serie de valores y expectativas.
Intervencin de la direccin.
Las acciones de la direccin para saltarse las polticas o procedimientos prescritos
por razones legtimas. Esta intervencin es normalmente necesaria para abordar
transacciones no habituales ni recurrentes o eventos que de otro modo podran ser
manejados incorrectamente por el sistema. Este concepto contrasta con el de
Imposicin de la direccin.
Limitaciones inherentes.
Las limitaciones en la gestin de riesgos corporativos relativas a los lmites del juicio
humano, las restricciones de los recursos, la necesidad de tener en cuenta el coste
de los controles respecto a los beneficios esperados, la realidad de que los fallos
pueden ocurrir y la posibilidad de que la direccin prescinda de los controles o est
en connivencia para incumplirlos.
Operaciones.
Trmino usado en relacin con el concepto objetivos. Tiene que ver con la eficacia
y eficiencia de las actividades de una entidad, incluyendo metas de rendimiento y
rentabilidad, y con la salvaguarda de recursos frente a prdidas.
149
INFORME COSO-OKJ
GESTIN
25/5/05
DE
18:14
Pgina 150
Oportunidad.
La posibilidad de que un evento ocurra y afecte positivamente a la consecucin de
objetivos.
Poltica.
Las directrices de la direccin de lo que debera hacerse para efectuar el control. Una
poltica sirve como base para la implantacin de procedimientos.
Probabilidad.
La posibilidad de que un evento dado ocurra. Los trminos a veces adquieren connotaciones ms especficas y, as, probabilidad tanto puede indicar dicha posibilidad en trminos cualitativos como alto, medio y bajo o derivados de otras escalas de
juicio o bien indicarla mediante una medida cuantitativa, como porcentaje, frecuencia
u otra mtrica numrica.
Procedimiento.
Una accin para poner en prctica una poltica.
Proceso de gestin.
La serie de acciones tomadas por la direccin para conducir una entidad. La gestin
de riesgos corporativos es una parte del proceso de gestin y est integrada en l.
Proceso de gestin de riesgos corporativos.
Otra forma de denominar a la gestin de riesgos corporativos desarrollada en una
entidad.
Riesgo.
La posibilidad de que un evento ocurra y afecte adversamente a la consecucin de
objetivos.
Riesgo aceptado.
La cuanta, en sentido amplio del riesgo, que una entidad est dispuesta a asumir
para realizar su misin (o visin).
Riesgo inherente.
El riesgo al que se somete una entidad en ausencia de acciones de la direccin para
alterar o reducir su probabilidad de ocurrencia e impacto.
Riesgo residual.
El riesgo remanente despus de que la direccin haya llevado a cabo una accin para
modificar la probabilidad o impacto de un riesgo.
Seguridad razonable.
El concepto de que la gestin de riesgos corporativos, por muy bien diseada y operativa que est, no puede proporcionar una garanta de la consecucin de objetivos
de la entidad, debido a las Limitaciones Inherentes a dicha gestin.
Sistema de control interno.
Un sinnimo del control interno existente en una entidad.
Tolerancia al riesgo.
La variacin aceptable en la consecucin de un objetivo.
150
INFORME COSO-OKJ
25/5/05
18:14
Pgina 151
Anexo G
Agradecimientos
El COSO Board, el Consejo Asesor y PricewaterhouseCoopers LLP desean agradecer a los muchos directivos, legisladores, reguladores, auditores, profesores de universidad y otros que dedicaron su tiempo y esfuerzo colaborando y contribuyendo a
varios aspectos del estudio. Tambin quisiramos reconocer los esfuerzos significativos de las organizaciones del COSO y sus miembros que respondieron a las
encuestas, participaron en los grupos de trabajo y reuniones y facilitaron comentarios
e ideas durante el desarrollo de este marco.
Los siguientes socios y personal de PricewaterhouseCoopers hicieron una aportacin
importante a este marco: Dick Anderson, Jeffrey Boyle, Glenn Brady, Michael Bridge,
John Bromfield, Gary Chamblee, Nicholas Chipman, John Copley, Michael de
Crspigny, Stephen Delvecchio, Scout Dillman, P. Gregory Garrison, Bruno Passer,
Susan Kenney, Brian Kinman, Robert Lamoureux, James LaTorre, Mike Maali, Jorge
Manoel, Cathy McKeon, Juan Pujadas, Richard Reynolds, Mark Stephen, Robert
Sullivan, Jeffrey Thompson y Shyam Venkat.
Las siguientes personas tambin hicieron una aportacin al presente estudio: Michael
Haubenstock, Director de Gestin de riesgos corporativos, Capital One Finance
Corporation; Adrienne Willich, Gerente de Riesgo operacional, Capital One Finance
Corporation; y Daniel Mudge, Presidente y Consejero Delegado, OpVantage. Richard
A. Scott, William G. Shenkir, y Paul L. Walker de la University of Virginia realizaron la
investigacin inicial que llev a este estudio. Gracias tambin a Myra Cleary por su
orientacin editorial.
Asimismo quisiramos hacer una mencin especial a Robert G. Eccles, Presidente,
de Advisory Capital Partners, Inc. y antiguo Profesor de la Harvard Business School,
por sus amplias aportaciones a este marco.
Por ltimo, es nuestro deseo rendir homenaje a William H. Bishop, III, Presidente del
Institute of Internal Auditors, quien, hasta su muerte esforz enormemente en mejorar el papel y valor de la profesin de auditora. La aportacin de Bill al presente proyecto, y, en realidad, al proyecto del marco de control interno de COSO, ha ayudado
a mejorar estos informes. Como compaero y amigo, se le echar mucho de menos.
151
INFORME COSO-OKJ
25/5/05
18:14
Pgina 152
Copyright del Committee of Sponsoring Organizations of the Treadway Commission.

1 2 3 4 5 6 7 8 9 MPI 0 9 8 7 6 5 4
Copyright 2009 de la versin espaola: PricewaterhouseCoopers
Se pueden solicitar ejemplares adicionales de Gestin de Riesgos Corporativos Marco Integrado: Resumen
Ejecutivo y Marco y Gestin de Riesgos Corporativos Marco Integrado: Tcnicas de Aplicacin, 2 vol. Set,
item # 990015 llamando de modo gratuito al 1 888 777 7077 o acudiendo a www.cpa2biz.com.
Se reservan todos los derechos. Para ms informacin sobre permisos y licencias de reimpresin, llame al
(201) 938 3245. Hay disponible un formulario de solicitud de permisos para solicitudes enviadas por correo
electrnico en la direccin www.aicpa.org/cpright.htm. De lo contrario, debern enviarse las solicitudes, por
escrito y por correo ordinario, a Permissions Editor, AICPA, Harborside Financial Center, 201 Plaza Three,
Committee of Sponsoring Organizations of the Treadway Commission (COSO)
Gestin de Riesgos Corporativos - Marco Integrado
Gestin
de Riesgos
Corporativos
Marco Integrado


1.coso I - 1 Parte

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

1.coso I - 1 Parte

Cargado por

Copyright:

Formatos disponibles

Committee of Sponsoring Organizations of the Treadway Commission (COSO)

Gestin de Riesgos Corporativos - Marco Integrado

Committee of Sponsoring Organizations

Copyright del Committee of Sponsoring Organizations of the Treadway Commission.

Committee of Sponsoring Organizations

INFORME COSO-OKJ PWC

Committee of Sponsoring Organizations of the Treadway Comission (COSO)

Consejo asesor del proyecto COSO

Miles E.A. Everson

Depsito Legal: M-30224-2005

GESTIN DE RIESGOS CORPORATIVOS - MARCO INTEGRADO

RESUMEN EJECUTIVO .........................................................................................

Han pasado 8 aos desde que, en 1997 PricewaterhouseCoopers y el Instituto de

RIESGOS CORPORATIVOS MARCO INTEGRADO

Luis Aranaz Zuza

Jos Luis Madariaga Gandarias

Hace ms de una dcada, el Comittee of Sponsoring Organizations of the Treadway

RIESGOS CORPORATIVOS MARCO INTEGRADO

Presidente, Consejo Asesor COSO

La premisa subyacente en la gestin de riesgos corporativos es que las entidades

RIESGOS CORPORATIVOS MARCO INTEGRADO

Estas capacidades, inherentes en la gestin de riesgos corporativos, ayudan a la

Eventos Riesgos y Oportunidades

Definicin de la Gestin de Riesgos Corporativos

Es un proceso continuo que fluye por toda la entidad.

RIESGOS CORPORATIVOS MARCO INTEGRADO

Relacin entre objetivos y componentes

Las cuatro categoras de objetivos

Inclusin del Control Interno

RIESGOS CORPORATIVOS MARCO INTEGRADO

ra asumir su titularidad. Otros directivos apoyan la filosofa de gestin de riesgos de

Estructura de este Documento

Uso de este Informe

Resumen del captulo: Todas las entidades se enfrentan a la ausencia de

RIESGOS CORPORATIVOS MARCO INTEGRADO

Alinear el riesgo aceptado y la estrategia

Reducir sorpresas y prdidas operativas

RIESGOS CORPORATIVOS MARCO INTEGRADO

Mejorar la aplicacin de capital

Eventos Riesgos y Oportunidades

Definicin de la Gestin de Riesgos Corporativos

La gestin de riesgos corporativos es un proceso efectuado por el consejo de

Esta definicin refleja algunos conceptos fundamentales de la gestin de riesgos corporativos:

RIESGOS CORPORATIVOS MARCO INTEGRADO

Realizado por Personas

Aplicado al Establecimiento de la Estrategia

La gestin de riesgos corporativos se aplica durante el proceso del establecimiento

Aplicado en toda la Empresa

RIESGOS CORPORATIVOS MARCO INTEGRADO

Proporciona una Seguridad Razonable

palabras, incluso una gestin eficaz de riesgos corporativos puede experimentar el

RIESGOS CORPORATIVOS MARCO INTEGRADO

cumplimiento de leyes y normas. La consecucin de estas categoras de objetivos

Componentes de la Gestin de Riesgos Corporativos

reducir o compartir. La direccin selecciona un conjunto de acciones para poner en

Relacin entre Objetivos y Componentes

RIESGOS CORPORATIVOS MARCO INTEGRADO

(Grfico del cubo)

RIESGOS CORPORATIVOS MARCO INTEGRADO

Inclusin del Control Interno

Gestin de Riesgos Corporativos y Proceso de Direccin

El ambiente interno constituye la base de todos los dems componentes de la gestin

RIESGOS CORPORATIVOS MARCO INTEGRADO