Guía COSO ERM 2017

COSO ERM 2017 – Módulo 3

¿Por qué se justifican los cambios introducidos en 2017?

La actualización del Marco COSO II

publicado en el año 2004
(Administración de Riesgos del
Negocio “Enterprise Risk
Management–Integrated
Framework), se materializó con la
reciente difusión del documento
definitivo que actualizó el borrador
previo sometido a comentarios
públicos.

Los comentarios sobre la propuesta

pasaron a formar parte de un
registro público y estuvieron
disponibles en la página web de
COSO hasta el 31 de diciembre de
2016. Durante el cuarto trimestre del
año 2016 y el primer trimestre de
2017 se actuó para incorporar los
comentarios al nuevo Marco. Por
último, en septiembre de 2017 se ha
difundido la versión definitiva del
Marco, que es el que vamos a
comentar.

El conocimiento detallado del contenido del nuevo Marco definitivo, nos permitirá
identificar cuáles son los cambios en la gestión de riesgos sugeridos por el
Committee, a fin de aprovechar las ventajas que la nueva versión nos pueda aportar,
e ir avanzando en el diseño de su implementación, familiarizando y capacitándonos
con las nuevas técnicas, o dicho de otra manera, si ya sabemos lo que hay que
cambiar, actuemos en sintonía con las metodologías propuestas por los expertos, sin
mayores dilaciones, por lo que no lo demoremos más, “manos a la obra” ya.

A título de resumen de lo aportado por el nuevo Marco, y de acuerdo con lo

reconocido por el propio Committee, los objetivos de esta actualización son, en
concreto:

 Proporcionar una mayor comprensión del papel de la gestión de los riesgos

empresariales al establecer y ejecutar la estrategia.
 Mejorar la alineación entre el desempeño y la gestión de riesgos empresariales.

GUÍA COSO ERM 2017 |

  Presentar nuevas formas de ver el riesgo en la fijación y el logro de objetivos
en el contexto de una mayor complejidad empresarial.
 Ampliar la información para abordar las expectativas de una mayor
transparencia hacia las partes interesadas.
 Apoyarse en las nuevas tecnologías en constante evolución y el crecimiento de
la analítica de datos para apoyar la toma de decisiones.

Debido a lo cual, todas las organizaciones deben establecer y ajustar periódicamente

su estrategia dentro de un contexto de oportunidades siempre cambiantes de crear valor
y, al mismo tiempo, de los desafíos con los que se enfrentarán en la búsqueda de ese
valor, por lo que se necesitará gestionar adecuadamente los riesgos empresariales para
optimizar la estrategia y el rendimiento.

Las estrategias que no son inamovibles, pues han de ser cambiantes en función de los
riesgos y oportunidades que vayan surgiendo; dependiendo de ellas, y de la forma de
ejecutarlas, los resultados de la gestión empresarial también serán diferentes.

Lo hemos de tener claro, o nos renovamos o moriremos, puesto que los cambios en el
entorno de las empresas plantean a éstas la necesidad de adaptarse a las nuevas
condiciones para evolucionar o, cuando menos, sobrevivir.

GUÍA COSO ERM 2017 |

Los métodos de dirección tradicional, centrados más en las circunstancias operativas y
estáticas, resultan poco válidos para enfrentarse a un entorno de cambios. Al cambiar
las circunstancias, cambian también los fines de la empresa, con lo que se plantea la
necesidad de influir sobre el entorno, a la vez que dotarse de una configuración lo
suficientemente flexible como para poder adaptarse a esos cambios.

Un aspecto básico subyacente en la filosofía aplicada en el desarrollo del nuevo Marco

ERM, es que la estrategia es también un factor de riesgo que debe contemplarse como
posible amenaza en la consecución de los objetivos o el desempeño organizacional,
pues si la elegimos o aplicamos mal, no conseguiremos lo que pretendemos alcanzar,
al haber elegido o tomado un camino equivocado.

Pero no solo esto, aunque la estrategia esté bien seleccionada, también hay riesgos que
afectan al propio cumplimiento de la estrategia, impidiendo que ésta pueda ser
desarrollada en la forma prevista.

Este es ahora el nuevo ámbito a gestionar, pero sin olvidar los temas desarrollados por
el anterior Marco ERM 2004 sobre Gestión de Riesgos Empresariales, ya que, en
nuestra opinión, el del año 2017 no lo anula y sustituye, puesto que lo complementa y
amplía, dado que no solo debemos preocuparnos en implantar la estrategia establecida,
con los que conseguir los resultados pretendidos (lo que implicaría operar eficaz y
eficientemente), sino que también atender los requerimientos del control interno
“exigibles” a las organizaciones, tales como: fiabilidad de la información financiera y
operativa, y el cumplimiento de las leyes y normas, para lo cual debemos administrar
adecuadamente los riesgos, tal y como nos enseñó COSO II.

GUÍA COSO ERM 2017 |

Dado que, por ejemplo, no sería viable que para conseguir los resultados pretendidos
(alcanzar un determinado nivel de beneficios), el que la estrategia a seguir previera
incumplimientos fiscales, pues éste es uno de los objetivos de la gestión de riesgos
empresariales (el correspondiente al cumplimiento de leyes y normas), que debemos
considerar al establecer y desarrollar la estrategia.

De acuerdo con lo señalado expresamente por el Marco ERM (COSO II) del año 2004:
“Dentro del contexto de la misión o visión establecida en una entidad, su dirección
establece los objetivos estratégicos, selecciona la estrategia y fija objetivos alineados
que fluyen en cascada en toda la entidad. Por lo que la gestión de riesgos corporativos
está orientada a alcanzar los objetivos de la entidad, que se pueden clasificar en cuatro
categorías:

Estratégicos: Objetivos a alto nivel, alineados con la misión de la entidad y dándole

apoyo.
Operaciones: Objetivos vinculados al uso eficaz y eficiente de recursos de Información.
Reporte: Objetivos de fiabilidad de la información suministrada.
Cumplimiento: Objetivos relativos al cumplimiento de leyes y normas aplicables”.

De donde se podría deducir que la estrategia es un dato de partida sobre el cual

desarrollar la gestión de riesgos empresariales.

Sin embargo, como acabamos de comentar, la premisa sobre la que se desarrolla el

nuevo Marco es la de considerar a la estrategia como un factor de riesgo que debe ser
considerado antes de elegirla y aplicarla, puesto que de ella se pueden derivar varias
amenazas.

Si observamos el gráfico que recoge la pantalla se puede concluir que: una vez
establecida la Misión, la Visión y los Valores de la organización, se debe definir la
estrategia con la cual alcanzar los objetivos perseguidos, mejorando el desempeño,
entendiendo por:

GUÍA COSO ERM 2017 |

Misión: Lo que somos y lo que queremos ser.
¿Qué hacemos?, ¿cuál es nuestro negocio?, ¿a qué nos dedicamos?, ¿cuál es nuestra
razón de ser?, ¿quiénes son nuestro público objetivo?, ¿cuál es nuestro ámbito
geográfico de acción?, ¿cuál es nuestra ventaja competitiva?, ¿qué nos diferencia de
nuestros competidores? Etc.

Visión: Lo que queremos conseguir.

¿Qué quiero lograr?, ¿dónde quiero estar en el futuro?, ¿para quién lo haré?, ¿ampliaré
mi zona de actuación? Etc.

Valores: Nuestros referentes de actuación.

Son los principios éticos sobre los que se asienta la cultura de nuestra empresa, y nos
permiten crear nuestras pautas de comportamiento.

Considerando estos tres conceptos, y con base en ellos, lo que procede seguidamente
es que analicemos los riesgos que puedan asociarse con la estrategia que queramos
aplicar, pero valorando los riesgos que de ella se deriven en tres categorías diferentes:

1º. Los riesgos al ejecutar la estrategia, es decir los riesgos identificados durante la
ejecución que amenazan al desarrollo de la propia estrategia. Estos riesgos afectan a la
estrategia y deben considerarse, y en su caso analizar nuevamente la viabilidad de la
estrategia elegida. Es decir, estaríamos ante los motivos que impedirían ejecutar la
estrategia seleccionada. En muchas organizaciones el gap entre la estrategia y su
ejecución es cada vez más significativa, trayendo consigo un aumento en su exposición
al riesgo y posibles pérdidas de clientes e interrupciones en sus cadenas de suministro
o aumento en sus costos, lo que generará una disminución en el valor de la
organización.

2º. Los riesgos que derivan de la estrategia elegida. Cada estrategia potencialmente
aplicable tiene un perfil de riesgo, que son los riesgos que emanan de la propia
estrategia, por lo que se debe considerar cómo cada una de ellas encaja en el apetito
al riesgo de la empresa y cómo cada posible alternativa llevará a la empresa a establecer
sus objetivos, distribuir recursos y desarrollar coherentemente sus capacidades. Por
ejemplo, la deslocalización de la actividad puede ser una estrategia a contemplar, pero
su aplicación comporta riesgos que debemos evaluar y gestionar adecuadamente; por
último.

3º Los riesgos de no alinear la estrategia. Son los riesgos propios de la estrategia

que no permiten que la organización realice su razón de ser, al no estar alineada a la
misión y visión de la organización, aumentando la posibilidad de que, a pesar de ser
ejecutada satisfactoriamente, la organización no logre su misión y visión. Como
sucedería si nos pronunciamos como empresa sostenible y elegimos como forma de
obtener materias primas la deforestación.

GUÍA COSO ERM 2017 |

Es en estos riesgos donde el nuevo Marco introduce su primera novedad, ya que la
estrategia no es un aspecto apriorístico indiscutible con el que ha de trabajar la
organización en el desarrollo de su actividad, sino que ésta debe decidirse después de
comprobar que está alineada con la Misión, la Visión y el Valor previamente decididos.

Una vez respetada la misión, la visión y los valores, con los que establecer la estrategia
a implementar, ésta debe ser desarrollada de forma que permita conseguir el
desempeño de la organización esperado, o incluso mejorarlo. Siendo este el objetivo
prioritario del nuevo Marco, pero condicionado a la aplicación de un adecuado control
interno.

Veamos un ejemplo real, evidentemente la

situación que reflejan los dos recuadros que
aparecen en esta página no son coherentes, ya
que el objetivo de la empresa, el ser la compañía
más utilizada por los pasajeros; no se
corresponde con la grave crisis de la que se ha
hecho eco; sin embargo, los medios de
comunicación, poniendo de manifiesto que la
aerolínea ha tenido que cancelar recientemente
400.000 pasajes como consecuencia del
abandono masivo de sus pilotos, ya que, entre
otras razones, Ryanair obliga a sus pilotos a
tributar en Irlanda y a abrir su propia empresa
contribuyendo como autónomos, no como
empleados de la aerolínea.

GUÍA COSO ERM 2017 |

El riesgo puesto de manifiesto, por no estar bien controlado, podríamos incluirle en el
grupo de los que derivan de la estrategia que ha sido seleccionada, conseguir las tarifas
más económicas, de la que se han derivado insatisfacciones laborales de sus pilotos.

Entre los cambios del nuevo Marco, está el de su representación gráfica, que ya no será
el conocido cubo empleado tanto en el COSO correspondiente al Control Interno, como
en el ERM, pasando ahora a un par de esquemas de dos dimensiones. El primero de
ellos, el que hemos expuesto hace un par de Slide cuando describíamos la relación
biunívoca entre la estrategia y los resultados.

Como ya hemos comentado, en COSO ERM 2004, los objetivos empresariales incluían
los estratégicos, es decir los asociados con la estrategia elegida, debiéndose identificar
y administrar los riesgos que la pudieran afectar. Adicionalmente, la estrategia elegida
debe constatarse previamente que este alineada con la Misión, la Visión y los Valores
asumidos por la entidad, pues si no fuese así podríamos tener unos buenos resultados
operativos, pero habríamos incumplido con la finalidad de lo que pretendíamos
conseguir.

Una vez respetada la misión, la visión y los valores, con los cuales establecer la
estrategia a implementar, ésta debe ser desarrollada de forma que permita conseguir el
desempeño de la organización esperado, o incluso mejorarlo. Siendo este el objetivo
prioritario del nuevo Marco, pero obviamente condicionado a la aplicación de un
adecuado Control Interno.

GUÍA COSO ERM 2017 |

El nuevo esquema identifica 5 Componentes y 20 Principios, los cuales serán a
continuación objeto de su correspondiente descripción.

Los 5 nuevos Componentes:

 Gobierno y Cultura.
 Estrategia y establecimiento de objetivos.
 Desempeño.
 Evaluación y Revisión.
 Información, Comunicación y Reporte.

Los cuales son entendidos de la siguiente manera:

 Gobierno y cultura: El gobierno corporativo (gobernanza) y la cultura forman la

base para todos los demás componentes de la gestión del riesgo empresarial.
La gobernanza establece el tono de la entidad, reforzando la importancia de la
gestión del riesgo empresarial y estableciendo responsabilidades de supervisión
para ella. La cultura se refiere a los valores éticos, comportamientos deseados y
comprensión del riesgo en la entidad.

 Estrategia y establecimiento de objetivos: La gestión de riesgos

empresariales se integra en el plan estratégico de la entidad a través del proceso
de establecer la estrategia y los objetivos de negocio. Con una comprensión del
contexto empresarial, la organización puede obtener una visión de los factores
internos y externos, y su efecto sobre el riesgo. Una organización fijará su apetito
de riesgo en conjunto con el establecimiento de estrategias. Los objetivos
empresariales permiten poner en práctica la estrategia y dar forma a las
operaciones y prioridades diarias de la entidad.

 Desempeño: La organización identifica y evalúa los riesgos que pueden afectar

la capacidad de la entidad para alcanzar su estrategia y los objetivos
empresariales.

Como parte de esa búsqueda, la organización debe identificar y evaluar los

riesgos que pueden afectar el logro de su estrategia y los objetivos de negocio,
priorizando los riesgos según su gravedad y considerando el apetito al riesgo de
la entidad. La organización luego selecciona las respuestas de riesgo y
monitorea el desempeño para el cambio.

 Evaluación y revisión: Al revisar las capacidades y prácticas de gestión de los

riesgos empresariales, así como el desempeño de la entidad en relación con sus
objetivos, la organización puede considerar hasta qué punto las capacidades y
prácticas de gestión de riesgos empresariales han incrementado el valor con el
tiempo y si seguirán impulsando el valor a la luz de cambios sustanciales
acometidos.

GUÍA COSO ERM 2017 |

  Información, Comunicación y Reporte: La comunicación es el proceso
continuo e iterativo de obtener información y compartirla en toda la entidad. La
administración utiliza información relevante de fuentes internas y externas para
apoyar la gestión de riesgos empresariales. La organización aprovecha los
sistemas de información para capturar, procesar y administrar datos e
información. Mediante el uso de información que se aplica a todos los
componentes, la organización informa sobre el riesgo, la cultura y el rendimiento.

En estos 5 componentes, de una forma distinta a la recogida en el viejo esquema

representado por el conocido cubo, se contemplan actividades que se recomendaban
efectuar en la implantación del ERM del 2004, haciendo falta, no obstante, el que entre
los objetivos empresariales no se citen los correspondientes a: (i) Fiabilidad de
información, (ii) Eficiencia y eficacia de las operaciones y (iii) el Cumplimiento normativo,
los cuales sí se ubican en el Marco sobre Control Interno, COSO I, por lo que siguen
siendo viables y adecuados para diseñar, implementar, conducir y evaluar el control
interno de la organización y para la notificación consiguiente.

Motivo que justifica lo señalado respecto a que el nuevo Marco ERM y el

correspondiente al Control Interno, son dos publicaciones que proporcionan enfoques
diferentes pero complementarios. Complementariedad que no podría afirmarse entre el
viejo ERM y el relativo al Control Interno, ya que se ha entendido que éste se integraba
totalmente en el ERM, por lo que, en nuestra opinión, como más adelante
comentaremos, el nuevo Marco ERM no sustituye y reemplaza al ERM 2004, sino que
lo complementa, mejorando y especificando la forma de elegir y gestionar la estrategia,
pero manteniéndose válida la forma descrita para gestionar adecuadamente los riesgos.

GUÍA COSO ERM 2017 |