COSO ERM
Componentes y Principios
www.auditool.org 1
� COSO ERM: PRINCIPIOS Y COMPONENTES
Entre los cambios del nuevo Marco está el de su representación gráfica, que ya no será el
conocido cubo empleado tanto en el COSO correspondiente al Control Interno, como en el
ERM, pasando ahora a un par de esquemas de dos dimensiones.
En COSO ERM 2004, los objetivos empresariales incluían los estratégicos, es decir, los
asociados con la estrategia elegida, debiéndose identificar y administrar los riesgos que la
pudieran afectar. Adicionalmente, la estrategia elegida debe constatarse previamente que
esté alineada con la Misión, la Visión y los Valores asumidos por la entidad, pues si no
fuese así se podrían tener buenos resultados operativos, pero se habría incumplido con la
finalidad de lo que se pretendía conseguir.
Una vez respetada la misión, la visión y los valores, con los cuales establecer la estrategia
a implementar, esta debe ser desarrollada de forma que permita conseguir el desempeño
de la organización esperado, o incluso mejorarlo. Siendo este el objetivo prioritario del
nuevo Marco, pero obviamente condicionado a la aplicación de un adecuado Control
Interno.
El nuevo esquema identifica 5 Componentes y 20 Principios, los cuales serán -a
continuación- objeto de su correspondiente descripción.
Los 5 nuevos componentes:
• Gobierno y Cultura
• Estrategia y establecimiento de objetivos
• Desempeño
• Evaluación y Revisión
• Información, Comunicación y Reporte
Los cuales son entendidos de la siguiente manera:
• Gobierno y cultura: El gobierno corporativo (gobernanza) y la cultura forman la base
para todos los demás componentes de la gestión del riesgo empresarial. La gobernanza
establece el tono de la entidad, reforzando la importancia de la gestión del riesgo
empresarial y estableciendo responsabilidades de supervisión para ella. La cultura se
refiere a los valores éticos, comportamientos deseados y comprensión del riesgo en la
entidad.
www.auditool.org 2
�• Estrategia y establecimiento de objetivos: La gestión de riesgos empresariales se
integra en el plan estratégico de la entidad a través del proceso de establecer la
estrategia y los objetivos de negocio. Con una comprensión del contexto empresarial,
la organización puede obtener una visión de los factores internos y externos, y su efecto
sobre el riesgo. Una organización fijará su apetito de riesgo en conjunto con el
establecimiento de estrategias. Los objetivos empresariales permiten poner en práctica
la estrategia y dar forma a las operaciones y prioridades diarias de la entidad.
• Desempeño: La organización identifica y evalúa los riesgos que pueden afectar la
capacidad de la entidad para alcanzar su estrategia y los objetivos empresariales.
Como parte de esa búsqueda, la organización debe identificar y evaluar los riesgos que
pueden afectar el logro de su estrategia y los objetivos de negocio, priorizando los
riesgos según su gravedad y considerando el apetito al riesgo de la entidad. Luego, la
organización selecciona las respuestas de riesgo y monitorea el desempeño para el
cambio.
• Evaluación y revisión: Al revisar las capacidades y prácticas de gestión de los riesgos
empresariales, así como el desempeño de la entidad en relación con sus objetivos, la
organización puede considerar hasta qué punto las capacidades y prácticas de gestión
de riesgos empresariales han incrementado el valor con el tiempo y si seguirán
impulsando el valor a la luz de cambios sustanciales acometidos.
• Información, Comunicación y Reporte: La comunicación es el proceso continuo e
iterativo de obtener información y compartirla en toda la entidad. La administración
utiliza información relevante de fuentes internas y externas para apoyar la gestión de
riesgos empresariales. La organización aprovecha los sistemas de información para
capturar, procesar y administrar datos e información. Mediante el uso de información
que se aplica a todos los componentes, la organización informa sobre el riesgo, la
cultura y el rendimiento.
En estos 5 componentes, de una forma distinta a la recogida en el viejo esquema
representado por el conocido cubo, se contemplan actividades que se recomendaban
efectuar en la implantación del ERM del 2004, haciendo falta, no obstante, el que entre los
objetivos empresariales no se citen los correspondientes a: (i) Fiabilidad de información, (ii)
Eficiencia y eficacia de las operaciones y (iii) el Cumplimiento normativo, los cuales sí se
ubican en el Marco sobre Control Interno, COSO I, por lo que siguen siendo viables y
adecuados para diseñar, implementar, conducir y evaluar el control interno de la
organización y para la notificación consiguiente.
www.auditool.org 3
�Motivo que justifica lo señalado respecto a que el nuevo Marco ERM y el correspondiente
al Control Interno, son dos publicaciones que proporcionan enfoques diferentes pero
complementarios. Complementariedad que no podría afirmarse entre el viejo ERM y el
relativo al Control Interno, ya que se ha entendido que este se integraba totalmente en el
ERM, por lo que, en nuestra opinión, como más adelante comentaremos, el nuevo Marco
ERM no sustituye y reemplaza al ERM 2004, sino que lo complementa, mejorando y
especificando la forma de elegir y gestionar la estrategia, pero manteniéndose válida la
forma descrita para gestionar adecuadamente los riesgos.
ASPECTOS CONCEPTUALES MÁS SIGNIFICATIVOS EN LOS QUE SE APOYA EL
NUEVO COSO ERM
También se ha modificado la definición de la Gestión de Riesgos Empresarial, pues antes
se hacía énfasis para conceptuarlo como un proceso, en el que debía participar toda la
organización, con la finalidad de poder obtener una seguridad razonable respecto al logro
de los 4 objetivos: Estratégicos, Operaciones, Reportaje y Cumplimiento. Mientras que
ahora se corresponde con la cultura, las capacidades y operativas desarrolladas por las
empresas con la finalidad de incrementar su valor o desempeño.
Definición acertada, pero siempre que se respeten los objetivos reflejados en la versión del
2004, referentes a: fiabilidad de la información y al cumplimiento de leyes y normas, pues,
de no ser así, podríamos encontrarnos con estar dando validez, si el objetivo empresarial
fuese solo mejorar los resultados económicos a actuaciones indebidas como lo es el fraude
fiscal, del que se derivarían mejoras en la cuenta de resultados. Por lo que insistimos en la
complementariedad entre el COSO ERM 2004 y el nuevo Marco COSO 2017.
Pero nos puede surgir una duda cuando señalamos como finalidad incrementar el valor o
el desempeño, ¿a qué nos estamos refiriendo exactamente? Pues en el primer caso, al
conjunto de elementos materiales, inmateriales y humanos que integran o constituyen la
empresa. Se trata de la cuantía o montante del conjunto de la empresa como organización,
que incluye no solo el valor en el presente de los diferentes bienes, derechos y obligaciones
integrantes de su patrimonio, sino también las expectativas acerca de los beneficios que se
espera que la empresa genere en el futuro.
La creación de valor depende del tipo de entidad. Las entidades con fines de lucro crean
valor implementando decisiones estratégicas que equilibren las oportunidades de mercado
frente a los riesgos de esas oportunidades.
www.auditool.org 4
�Las entidades sin fines de lucro y gubernamentales pueden crear valor mediante la entrega
de bienes o servicios que equilibren sus oportunidades de servir a la comunidad en general
contra cualquier riesgo. Independientemente del tipo de entidad, la aplicación de prácticas
de gestión de riesgos empresariales crea confianza e inculca confianza con las partes
interesadas.
Una estrategia bien definida impulsa la asignación eficiente de recursos y la toma de
decisiones eficaces. También proporciona una hoja de ruta para establecer los objetivos de
negocio. En tanto que, si nos referimos al desempeño, este es el resultado acumulado de
todas las actividades de la empresa.
ESTRUCTURA DEL MARCO COSO ERM. INTEGRACIÓN CON LA ESTRATEGIA Y LOS
RIESGOS
A los cinco componentes ya enumerados hay que vincularlos con 20 Principios, distribuidos
de la siguiente forma:
Componente I: Gobierno y Cultura
Señala que la gobernanza establece el tono de la organización, reforzando su importancia
y estableciendo las responsabilidades de supervisión en la gestión del riesgo empresarial.
En tanto que la cultura se refiere a los valores éticos, conductas deseadas y comprensión
del riesgo en la organización.
A este componente le corresponden los siguientes 5 Principios:
1°. Ejercicios de supervisión del riesgo por el Consejo/Junta. La Junta debe
supervisar la estrategia y llevar a cabo las responsabilidades de gobierno de los
riesgos para apoyar la gestión de la Administración en la consecución de la estrategia
establecida y los objetivos del negocio.
2°. Establecer estructuras operativas. La organización ha de establecer el gobierno y
las estructuras operativas en el logro de la estrategia y objetivos del negocio.
3°. Definir la cultura deseada. La organización define los comportamientos deseados
que caracterizan los valores fundamentales y actitudes hacia el riesgo.
www.auditool.org 5
� 4°. Demostrar compromiso con los valores fundamentales. La organización debe
demostrar un compromiso con la integridad y los valores éticos.
5°. Atraer, desarrollar y retener a las personas capaces. La organización debe
comprometerse en la construcción del capital humano en alineación con los objetivos
de la estrategia y de los negocios.
Como vemos, todos ellos se corresponden con las responsabilidades del primer nivel de la
organización, los cuales se adscriben al Directorio, Junta o Consejo de Administración,
según sea la terminología que apliquemos.
Componente II: Estrategia y establecimiento de objetivos
La gestión del riesgo empresarial, la estrategia y la determinación de los objetivos, es un
trabajo conjunto en el proceso de planificación estratégica. El apetito al riesgo se establece
y debe alinearse con la estrategia; los objetivos del negocio implementan la estrategia, a la
vez que sirven de base para identificar, evaluar y responder al riesgo.
Los principios asociados a este componente se refieren a las siguientes materias:
6°. Analizar el contexto empresarial. La organización ha de considerar los efectos
potenciales del negocio en el contexto del perfil de riesgo.
7°. Definir el apetito al riesgo. La organización define el apetito al riesgo en el contexto
de la creación, la preservación y la realización de valor.
8°. Evaluar las estrategias alternativas y su impacto en el perfil de riesgo.
9º. Formular los objetivos del negocio. La organización considera el riesgo en el
establecimiento de los objetivos de negocio en los distintos niveles que alinean y
apoyan la estrategia de la empresa. Pudiendo observar por sus descripciones la
visible inter-relación entre los riesgos, la estrategia y los objetivos, que hemos querido
reflejar en la figura que acompaña la pantalla.
www.auditool.org 6
�Componente III: Desempeño
La creación, la preservación, la realización y la minimización de la erosión del valor de una
entidad se posibilitan identificando, evaluando y respondiendo a los riesgos que puedan
afectar a la implantación de la estrategia y a la consecución de los objetivos del negocio.
Necesitan ser identificados y evaluados.
Los principios asociados a este componente se refieren a las siguientes materias:
10°. Identificar el Riesgo. La organización identificará el riesgo que afecta el
desempeño de la estrategia y los objetivos de negocio.
11°. Evaluar la severidad del riesgo. La organización ha de evaluar la gravedad del
riesgo.
12°. Priorizar los riesgos. La organización prioriza los riesgos como base para la
selección de las respuestas a los mismos.
13°. Implementar respuestas a los riesgos. La organización identifica y selecciona las
respuestas al riesgo.
14°. Desarrollar un portafolio de riesgo. La organización desarrolla y evalúa su
portafolio de riesgos.
Componente IV: Evaluación y Revisión
La estrategia, los objetivos empresariales, las prácticas y capacidades de gestión de los
riesgos empresariales de una entidad pueden cambiar con el tiempo a medida que la
entidad se adapta al contexto empresarial variable.
Además, el contexto empresarial en el que opera la entidad también puede cambiar,
resultando prácticas o procesos que ya no se aplican o son insuficientes para apoyar el
logro de los objetivos del negocio actuales o actualizados. Cuando sea necesario, la
organización debe revisar sus prácticas o las complementa.
Los principios asociados a este componente se refieren a las siguientes materias:
15°. Evaluar cambios sustanciales. La organización identificará y evaluará los cambios
que pueden afectar sustancialmente la estrategia y los objetivos empresariales.
www.auditool.org 7
� 16°. Revisar riesgos y el desempeño. La organización ha de revisar el desempeño de
la entidad y considera el riesgo.
17. Perseguir el mejoramiento de la gestión de riesgos. La organización debe
perseguir la mejora de la gestión de riesgos empresariales.
Las empresas pueden verse afectadas por los entornos en los que desarrollan su actividad,
ya que no se debe actuar de la misma manera si nuestros clientes desean atender sus
necesidades alimentarias de forma rápida o de forma saludable.
Componente V: Información, Comunicación y Reporte
Es importante que las organizaciones proporcionen la información que sea fiable, en la
forma correcta, al nivel adecuado de detalle, a las personas adecuadas, y al tiempo justo.
Para ello deberá aprovechar los sistemas de información y la tecnología.
Los principios de este componente son:
18°. Aprovechar la información y tecnología. La organización aprovechará los
sistemas de información y la tecnología de la entidad para apoyar la gestión de
riesgos empresariales.
19°. Comunicar información del riesgo. La organización utilizará canales de
comunicación para apoyar la gestión de riesgos empresariales.
20°. Informar sobre los riesgos, cultura y desempeño. La organización debe informar
sobre el riesgo, la cultura y el rendimiento en múltiples niveles y en toda la entidad.
Por lo que hemos leído y comentando, aparte del cambio en la definición del concepto de
Gestión de Riesgo Empresarial empleado por el nuevo Marco, existe una modificación
cuantitativa, pero también cualitativa, de los componentes, ya que, si comparamos los 5
actuales con los 8 del COSO II, podríamos señalar que:
▪ Gobierno y cultura. Se asemeja al correspondiente, al denominado “Ambiente de
Control”, identificando como máximo responsable de su adecuada implementación al
Directorio/Junta y la alta dirección.
www.auditool.org 8
� ▪ Estrategia y establecimiento de objetivos. Este nuevo componente se enfoca a la
interrelación que existe, y que debe gestionarse adecuadamente, entre la estrategia
a aplicar, los riesgos que pueden afectarla o que ella pudiera generar, y los objetivos
que se pretenden alcanzar. Por lo que las actuaciones que sean precisas desarrollar
se encontrarán condicionadas por la estrategia que hayamos seleccionado.
▪ Desempeño. Su amplio alcance podría considerarse que integra a los componentes
de COSO ERM relativos a: Establecimiento de objetivos, Identificación de eventos,
Evaluación de Riesgos, Respuestas al Riesgo y Actividades de control, referentes al
cumplimiento de la estrategia y de los objetivos de la organización.
Hace falta algo muy significativo en este componente, los condicionantes a cumplir
por dichos objetivos empresariales, que entendemos deberían enumerarse, como
hacía COSO II, los cuales estaban circunscritos a cumplir, entre otros, con el
cumplimiento de leyes y normas, evitando así que entre la forma de actuar, por
ejemplo, se pueda dar por válido el fraude fiscal o la adulteración de los estados
financieros. Amenazas que existen, y que deben ser objeto de supervisión y denuncia
por parte de un adecuado Sistema de Gestión de Riesgos.
Aspecto que hace necesario, en nuestra opinión, considerar al nuevo Marco COSO II
como complemento del ERM 2004, no sustituyéndolo, pues este último sigue siendo
totalmente necesario, cubriendo los aspectos relativos al cumplimiento de las leyes y
normas, y fiabilidad de la información.
▪ Información de riesgos, comunicación y reporte. Equivalente a los componentes
Monitoreo e Información y Comunicación anterior.
www.auditool.org 9
