Guía

COSO ERM 2017

COSO ERM 2017

Evolución en los protocolos COSO. Recordando las diferencias entre

COSO 1 (Control Interno) y COSO 2 (ERM. Gestión de Riesgos
Empresariales)

Recordemos que con COSO I se establecieron las pautas para conseguir un adecuado
control interno, entendiendo por ello: El proceso que involucra a todos los integrantes
de la organización sin excepción, y diseñado para dar un grado razonable de apoyo en
cuanto a la obtención de los objetivos en las siguientes categorías:

ü Eficacia y eficiencia de las operaciones.

ü Fiabilidad de la información financiera y operativa.
ü Cumplimiento de las leyes y normas que sean aplicables.

En tanto que, de acuerdo con lo recogido en el Marco correspondiente a la Gestión de

Riesgos Empresariales (COSO II): “La administración de riesgos corporativos es
también un proceso efectuado por el directorio, la administración y las personas de la
organización, siendo aplicado desde la definición estratégica hasta las actividades del
día a día, diseñado para identificar eventos potenciales que pueden afectar a la
organización y administrar los riesgos dentro de su apetito, al objeto de proveer una
seguridad razonable respecto del logro de los objetivos de la organización”.

Como se puede observar comparando ambos esquemas, COSO II, es decir el ERM,
está configurado por el sistema de control interno, es decir por COSO I, al que se le ha
añadido la sistemática necesaria para poder gestionar adecuadamente los riesgos que
puedan influenciar en la consecución de los objetivos empresariales perseguidos.

GUÍA COSO ERM 2017 |



Lo anterior es lógico, ya que no sería posible conseguir los objetivos empresariales

establecidos sin que se cumpla una condición sine qua non, que es la de disponer de
un adecuado control interno dentro de la organización. La situación inversa también es
preceptiva, puesto que no sería posible disponer de un adecuado control interno, sin
que dispusiéramos de un mecanismo adecuado de gestión de los riesgos que pudiera
impedirlo u afectarlo.

La estructura de COSO II consta de los siguientes ocho componentes:

1. Ambiente de control: son los valores y la filosofía de la organización, influye en

la visión de los trabajadores ante los riesgos y las actividades de control de los
mismos.
2. Establecimiento de objetivos: estratégicos, operativos, de información y de
cumplimiento.
3. Identificación de eventos que pueden tener impacto en el cumplimiento de los
objetivos.
4. Evaluación de riesgos: identificación y análisis de los riesgos relevantes para
la consecución de los objetivos.
5. Respuesta a los riesgos: determinación de las acciones frente a los riesgos.
6. Actividades de control: políticas y procedimientos que aseguran que se llevan
a cabo acciones contra los riesgos.

GUÍA COSO ERM 2017 |



7. Información y comunicación eficaz en contenido y tiempo, para permitir a los

trabajadores cumplir con sus responsabilidades.
8. Monitoreo o supervisión para realizar el seguimiento de las actividades.

A pesar de que con base en lo que recogen ambos protocolos, ya deberíamos saber
cómo tendríamos que actuar en ambos escenarios, tanto en el correspondiente al
control interno, como en la gestión de riesgos, esto no nos asegura el éxito
empresarial, ya que el entorno de los negocios actualmente presenta muchos retos
no resueltos, por lo que los riesgos y su adecuada administración ocupan un lugar
fundamental en los procesos de las compañías. Por otra parte, los negocios
evolucionan, lo cual ha traído consigo nuevos riesgos, no considerados previamente,
y por consiguiente no gestionados.

La capacidad de las organizaciones para anticiparse a las amenazas, responder y

adaptarse continuamente a estas, depende más que nunca de la idoneidad de su
proceso de administración de riesgos. De lo que se derivará que puedan alcanzar el
éxito, o sucumbir en el intento de conseguirlo.

Las empresas deben estar preparadas para adaptarse a las situaciones actuales con
las que conviven, o de otro modo tendrán que resignarse a desaparecer. Por ello, el
gerenciamiento estratégico involucra decidir el “camino a seguir” y lo que se requiere
para conseguirlo, siendo preciso analizar el ambiente de la empresa, con el fin de
evaluar las oportunidades y amenazas futuras, así como formular objetivos y
establecer metas y planes precisos a fin de alcanzarlos.

Por ello, según los especialistas en la materia, hoy en día la gestión integral del riesgo
es un imperativo para cualquier empresa que quiera sobrevivir y triunfar en un mundo
interconectado y en constante cambio. Una gestión de riesgos eficaz, integrada con
la estrategia general de la compañía, es un pilar clave para la protección,
sostenibilidad, competitividad y resiliencia de las organizaciones puesto que: ayudará
a manejar la volatilidad frente al cumplimiento de objetivos, agregará valor al proteger
la imagen, la reputación, los activos, balances y procesos de la organización;
combatiendo la incertidumbre de un mundo cada vez más complejo.

GUÍA COSO ERM 2017 |



Entre las causas del éxito, o en caso del fracaso de las organizaciones, entendemos
que las primeras son aquellas que asumen que deben estar en constante renovación,
han sabido reinventarse y han demostrado mayor capacidad de adaptación a los
continuos y acelerados cambios del ecosistema actual lo que implica cambios en su
estrategia empresarial, a la cual debemos adaptarnos.

Antes de entrar en la descripción del contenido del nuevo Marco COSO ERM, que
como vemos en su propio título, está enfocado en la estrategia y en los rendimientos,
por lo que entendemos conveniente aclarar algunos aspectos básicos relacionados
con la estrategia.

En primer lugar, ¿qué es la estrategia? pudiendo considerarla como el camino con

el que se pretende llegar al objetivo que nos hayamos marcado. Evidentemente ese
camino y forma de recorrerlo dependerá del punto en el que nos encontremos; tal y
como vemos en el ejemplo del plano de itinerarios alternativos para llegar a la ciudad
de Santiago de Compostela a visitar la tumba del apóstol Santiago, debiendo elegir
entre todos los posibles aquel que incluya el punto en el que nos encontremos.

GUÍA COSO ERM 2017 |



Según James Brian Quinn, reconocido especialista sobre el tema “Una estrategia
adecuadamente formulada ayuda a poner orden y asignar, con base tanto en sus
atributos como en sus deficiencias internas, los recursos de una organización, con el
fin de lograr una situación viable y original, así como anticipar los posibles cambios
en el entorno y las acciones imprevistas de los oponentes inteligentes.”

Por lo que, como Estrategia empresarial o estrategia corporativa, debemos

considerar el conjunto de acciones que alinean las metas y objetivos de una
organización, señalando la forma en que se quieren conseguir, el tiempo que se
tardará y cómo se conseguirán.

La segunda cuestión previa que consideramos oportuna comentar, es si la estrategia

una vez elegida ¿es algo ya definitivo o puede/debe ser cambiante?

La respuesta la encontramos en el comentario de Charles Darwin que aparece en la

pantalla, puesto que, dado que nuestro entorno empresarial cambia
permanentemente, ello nos obligará a adaptarnos a él de forma permanente, tal y
como señaló Jack Welch. CEO de General Electric, en su afirmación “Si el ritmo de
cambio de una empresa es inferior al de su entorno, el final de dicha empresa está a
la vista”.

Adicionalmente, la mayoría de los estudios de investigación empírica sobre el éxito

empresarial desde un enfoque estratégico, coinciden que únicamente cuando una
compañía desarrolla una estrategia acorde con las condiciones del entorno (y de sus
cambios), y lo hace con una estructura organizativa adecuada, tiene éxito. Es decir,
debe producirse la conjunción de las denominadas tres “e” (estrategia, estructura, y
entorno), lo cual nos debe posicionar ante las dificultades en conseguirlo. Pero nadie
dijo que fuera sencillo.

Por consiguiente, la estrategia se marca desde un inicio. Ahora bien, no es algo que
no se pueda cambiar, sino que lo correcto es adaptarla a las circunstancias y, si fuese
necesario, se debe cambiar por completo.

GUÍA COSO ERM 2017 |



El tercer aspecto que entendemos determinante, es que si la estrategia debe ser

considerada un pilar básico para la concreción de los resultados, debemos admitir
que implantarla no está exenta de dificultades; no siendo suficiente solo con
desarrollar la estrategia, ya que, según Robert Kaplan, de diez planes estratégicos
formulados adecuadamente sólo uno se implementará exitosamente, y que entre las
causas más comunes de los fracasos estaría el adormecimiento de los niveles
gerenciales, la falta de visión, las actitudes gerenciales de conformismo y sus
escasas competencias para inspirar, motivar e entusiasmar a sus colaboradores.

Formular la estrategia empresarial y luego implementarla, es por consiguiente un

proceso dinámico, complejo, continuo e integrado, que requiere de mucha evaluación
y ajustes.

Adicionalmente, con la llegada de la crisis en el ya lejano año 2008, todavía no

totalmente acabada, se hizo evidente que muchas empresas se vieron afectadas y
perjudicadas, bien porque habían fallado en la aplicación de los Marcos COSO, o
porque no los habían aplicado en absoluto, o también porque había habido riesgos
que, por muchas medidas que se hubiesen tomado, no fueron considerados y nos
tomaron por sorpresa, como sucedió con los riesgos sistémicos.

De igual forma, el éxito de una estrategia está estrechamente relacionada al

entendimiento y dominio de los riesgos con los que ésta conviva.

GUÍA COSO ERM 2017 |



En este contexto, el Committe se hizo la siguiente pregunta: ¿Se podría mejorar la

gestión de los riesgos empresariales para evitar los errores cometidos? En su opinión
la respuesta es afirmativa, ya que la forma correcta de hacerlo es observando a los
riesgos a través de la estrategia desde varias perspectivas diferentes.

La integración de los riesgos con la estrategia, es la visión que contempla la

actualización del Marco COSO ERM, llamado ahora “Gestión del Riesgo
Empresarial-Integración con la estrategia y el rendimiento”, lo que nos da una idea
muy clara, de que ahora, lo que se pretende es brindar a los Consejos de
Administración y a la Alta Dirección, principios para administrar el riesgo desde la
selección y establecimiento de la estrategia hasta su ejecución, reconociendo la
importante conexión existente entre la estrategia elegida y el desempeño obtenido.

GUÍA COSO ERM 2017 |