Este pasado mes de mayo, después de
varios años de preparación, ha sido publicado el Marco sobre Control Interno
actualizado, pasando a identificarse de forma coloquial como COSO III. Dando
así continuidad a la saga de los COSO´s,
iniciada en 1992 con el Marco ahora actualizado (COSO I), y posteriormente
ampliada con el Enterprice
Risk
Management (ERM), año
2004, o COSO II.
Desde mi perspectiva, si bien COSO
I dedicaba toda su atención a la forma de entender, y atender, el control
interno de las organizaciones, con el documento del año 2004, es decir con el
ERM, se seguía manteniendo la preocupación por el control interno, pero se
incidía y ampliaba un aspecto básico para conseguirlo, en concreto, la
descripción del proceso de gestión de los riesgos, por lo que se
detallaban, como nuevos elementos: (I) el establecimiento de los objetivos
empresariales, (ii) la identificación de eventos que pudiesen afectarles y
(iii) las respuestas a los riesgos. Aparte de considerar que los objetivos
deben ser consecuentes con la estrategia fijada por la Organización.
Con esta ampliación, creo, que los
que tuvimos oportunidad de apoyarnos en estos protocolos, entendimos que la
administración de riesgos era uno de los elementos fundamentales del Sistema de
Control Interno con el que lograr la eficacia y eficiencia de las operaciones,
la confiabilidad de los reportes y el cumplimiento de leyes, normas y
reglamentos, ya que dichos sistemas de gestión de riesgos no son independientes
del Sistema de Control Interno, sino que forman parte integral del mismo. En
sentido inverso la afirmación contraria también es cierta, ya que no puede
existir una adecuada gestión de los riesgos, si en la empresa no impera un buen
control interno. Por ello la versión de COSO relativa a la Gestión de Riesgos
Empresariales, ERM por sus siglas en inglés, la entendimos que era COSO I,
ampliado con un sistema de gestión de riesgos. Es decir, que mejorándolo, lo
anulaba y sustituía, a todos los efectos.
Por todo ello, esta ampliación del
año 2004 permitió “corregir” algunos de los aspectos del Marco original que
necesitaban mejorarse, por ejemplo: que los objetivos del control interno no
debían limitarse a la “fiabilidad de la información
financiera”,
sino que debía darse cabida a todo tipo de información, no solo la financiera.
También que el orden de los elementos, fuesen 5 u 8, debían partir del “entorno
de control”,
situándolo en el nivel más alto del cubo que gráficamente lo representaba,
reconociendo así la validez del criterio “Tone
at the
top”,
que nos indicaba que un buen tono en la parte superior se consideraba como un
requisito previo para conseguir un adecuado y sólido gobierno corporativo.
Adicionalmente se consideró oportuno señalar que los objetivos, fuesen estos
operacionales, de reporting
o de cumplimiento normativo, debían fijarse de forma coherente con los
objetivos estratégicos previamente definidos, los cuales derivaban de la
estrategia de la Organización, que era lo primero que había que conocer.
Hasta aquí, al menos, lo que yo
entendí, pero debía estar equivocado, puesto que 9 años después de publicarse
ERM, se difunde una nueva versión de COSO I, actualizada y mejorada. En ella se
admiten todos los cambios/mejoras ya introducidas por COSO II, salvo que los
elementos vuelven a quedar reducidos a 5, no haciendo referencia explícita al:
Establecimiento de objetivos, Identificación de eventos y Respuesta a los
riesgos; aunque el correspondiente a “evaluación
de riesgos”
sí admite de manera inequívoca que la evaluación de riesgos
debe incluir la identificación de los riesgos, su análisis y la respuesta que
sea precisa. Adicionalmente
se da entrada a los conceptos de la tolerancia al riesgo en la
evaluación de los niveles aceptables de riesgo, e incluyendo como novedad,
ahora sí, los conceptos de:
velocidad y persistencia de los riesgos como criterios para evaluar la
criticidad de los mismos.
Además cuando se citan las mejoras
que acompañan al nuevo Marco actualizado, se comenta que este ahora viene
acompañado de dos nuevos y novedosos documentos: el correspondiente al Control Interno
sobre la información financiera externa (ICEFR) y las herramientas
de evaluación a emplear para valorar la eficacia del control interno;
olvidándose, al parecer, que en el año 2006 el propio COSO publicó el documento
“Control
Interno para la información financiera para Pequeñas empresas cotizadas”, y
en el 2009,
la Guía para la Supervisión de Sistemas de Control Interno”.
Adicionalmente se expone que se
habilita un proceso de transición para la entrada en vigor del nuevo Marco de
18 meses, fijándose esta en el 15 de Diciembre del 2014, siendo efectiva hasta ese momento COSO I.
Algo, o su totalidad, no he debido
interpretar adecuadamente, pues: (i) si los cambios son necesarios, por qué el
periodo de transición de 18 meses, (ii) desde cuando COSO es de obligado
cumplimiento en la gestión del Control Interno/ Sistemas de gestión de Riesgos
para que haya que informar si hemos actuado según COSO I o COSO III, (iii) es
realmente útil y, sobre todo factible, empezar a emplear mapas de riesgos
multidimensionales.
Por último, no sé si los cambios
de COSO III conducirán a que pronto
aparecerá un nuevo COSO IV, que sería el COSO II con los cambios que se deriven
de la nueva versión del Marco Integrado
de Control Interno, o que ERM desaparece por haber sido subsumido en COSO III.
Si alguien me lo puede explicar,
por favor, le ruego que me lo aclare. Hasta entonces, o al menos hasta el 15 de
Diciembre de 2014, seguiré evaluando los riesgos según el método clásico
midiendo “solo” su impacto y probabilidad.
Un saludo.
Jesús Aisa Díez
24 de octubre de 2013
No hay comentarios:
Publicar un comentario