Por: Equipo Auditool
Guía práctica para aplicarlo sin morir en el intento
Seamos honestos: ¿cuántos auditores pueden explicar COSO ERM 2017 sin recurrir a diagramas genéricos o frases vacías como "gestión integral de riesgos empresariales"?
El marco COSO ERM (Enterprise Risk Management) actualizado en 2017 representa una evolución fundamental respecto a su versión de 2004. Sin embargo, muchos profesionales siguen aplicando conceptos obsoletos o, peor aún, mencionan COSO en sus informes sin comprender realmente cómo evaluarlo. Este artículo le ofrece una guía práctica y directa para dominar este marco y aplicarlo con confianza en sus auditorías.
¿Qué cambió en 2017 y por qué debería importarle?
La versión 2017 no fue una simple actualización cosmética. COSO transformó radicalmente el enfoque al vincular explícitamente la gestión de riesgos con la estrategia y el desempeño organizacional. Ya no se trata solo de identificar y mitigar riesgos; ahora el marco exige que las organizaciones consideren el riesgo como parte integral de la toma de decisiones estratégicas.
Evolución de COSO ERM: 2004 vs. 2017
| Aspecto | COSO ERM 2004 | COSO ERM 2017 |
|---|---|---|
| Enfoque principal | Control de riesgos | Integración con estrategia y desempeño |
| Estructura | 8 componentes (cubo) | 5 componentes y 20 principios |
| Visión del riesgo | Principalmente negativo | Incluye riesgo como oportunidad |
| Rol del Consejo | Supervisión general | Supervisión activa de riesgos estratégicos |
| Cultura | Implícita | Componente explícito y fundamental |
Los 5 componentes: desmitificados y con ejemplos reales
COSO ERM 2017 se estructura en cinco componentes interrelacionados que abarcan desde la gobernanza hasta el monitoreo continuo. Veamos cada uno con ejemplos prácticos que puede aplicar en su próxima auditoría:
1. Gobernanza y Cultura
Este componente establece el tono desde la cima. Evalúa si el Consejo de Administración supervisa activamente los riesgos estratégicos y si existe una cultura organizacional que promueve la conciencia de riesgos.
✓ Ejemplo práctico: Durante una auditoría, revise las actas del Comité de Auditoría de los últimos 12 meses. ¿Se discuten riesgos estratégicos o solo se revisan informes financieros? Si el 80% del tiempo se dedica a temas operativos, hay una brecha de gobernanza.
⚡ Pregunta clave para el auditor: ¿Los valores organizacionales declarados se reflejan en las decisiones de riesgo que toma la administración?
2. Estrategia y Establecimiento de Objetivos
Aquí radica el cambio más significativo de 2017: el riesgo debe considerarse antes de definir la estrategia, no después. La organización debe entender su apetito de riesgo y asegurar que los objetivos estratégicos sean alcanzables dentro de ese apetito.
✓ Ejemplo práctico: Una empresa planea expandirse a un nuevo mercado. Bajo COSO ERM 2017, debería existir documentación que demuestre que se evaluaron los riesgos de esa expansión (regulatorios, competitivos, operativos) antes de aprobar la estrategia, no como un ejercicio posterior.
⚡ Pregunta clave para el auditor: ¿El plan estratégico incluye un análisis de riesgos o los riesgos se identificaron después de aprobada la estrategia?
3. Desempeño
Este componente aborda la identificación, evaluación y priorización de riesgos que podrían afectar el logro de los objetivos. Incluye el desarrollo de respuestas al riesgo y la gestión del portafolio de riesgos.
✓ Ejemplo práctico: Solicite la matriz de riesgos de la organización. Verifique si incluye riesgos emergentes como ciberseguridad, cambio climático o disrupciones en la cadena de suministro. Una matriz que solo contiene riesgos operativos tradicionales indica un enfoque inmaduro.
⚡ Pregunta clave para el auditor: ¿La organización tiene definido un apetito de riesgo cuantificable o solo declaraciones genéricas como "tolerancia moderada"?
4. Revisión y Monitoreo
La gestión de riesgos no es un ejercicio anual; requiere monitoreo continuo y revisión periódica para identificar cambios significativos. Este componente evalúa si la organización tiene mecanismos para detectar cuándo el perfil de riesgo ha cambiado.
✓ Ejemplo práctico: Pregunte con qué frecuencia se actualiza la evaluación de riesgos. Si la respuesta es "una vez al año durante la planeación", existe una debilidad. Las organizaciones maduras tienen indicadores de riesgo clave (KRIs) que se monitorean mensualmente.
⚡ Pregunta clave para el auditor: ¿Existen KRIs definidos con umbrales de alerta? ¿Qué sucede cuando se superan esos umbrales?
5. Información, Comunicación y Reporte
La información de riesgos debe fluir en todas las direcciones: hacia arriba al Consejo, hacia abajo a los operadores, y lateralmente entre funciones. Los reportes deben ser oportunos, relevantes y accionables.
✓ Ejemplo práctico: Revise un reporte de riesgos presentado al Consejo. ¿Incluye tendencias, no solo el estado actual? ¿Muestra la relación entre riesgos y objetivos estratégicos? Un reporte que solo lista riesgos sin contexto estratégico no cumple con COSO ERM 2017.
⚡ Pregunta clave para el auditor: ¿El personal operativo conoce los principales riesgos de la organización o solo la alta dirección tiene esa información?
Los 20 principios: su lista de verificación para auditorías
COSO ERM 2017 define 20 principios distribuidos en los cinco componentes. Estos principios son la base para evaluar la madurez de la gestión de riesgos:
| Componente | Principios | Aspectos Clave a Evaluar |
|---|---|---|
| Gobernanza y Cultura | 1-5 | Supervisión del Consejo, estructuras operativas, cultura deseada, compromiso con valores, atracción y retención de talento |
| Estrategia y Objetivos | 6-9 | Análisis del contexto, definición de apetito de riesgo, evaluación de estrategias alternativas, formulación de objetivos |
| Desempeño | 10-14 | Identificación de riesgos, evaluación de severidad, priorización, implementación de respuestas, visión de portafolio |
| Revisión y Monitoreo | 15-17 | Evaluación de cambios sustanciales, revisión de riesgos y desempeño, mejora continua |
| Información y Reporte | 18-20 | Aprovechamiento de sistemas de información, comunicación de riesgos, reporte sobre cultura y desempeño |
Errores comunes que debe evitar al evaluar COSO ERM
En nuestra experiencia, estos son los errores más frecuentes que cometen los auditores al evaluar la implementación de COSO ERM:
- Confundir cumplimiento con madurez: Que exista una matriz de riesgos no significa que la organización tenga una gestión de riesgos madura. Evalúe la calidad, no solo la existencia de documentos.
- Ignorar la cultura: COSO 2017 enfatiza que sin una cultura de riesgos sólida, los procesos formales son insuficientes. Observe comportamientos, no solo políticas.
- Evaluar componentes aisladamente: Los cinco componentes están interrelacionados. Una debilidad en Gobernanza afectará inevitablemente el Desempeño y el Monitoreo.
- Olvidar los riesgos de oportunidad: COSO ERM 2017 reconoce que el riesgo no es solo negativo. Las organizaciones maduras también gestionan el riesgo de perder oportunidades.
- No vincular riesgos con estrategia: Si su evaluación de riesgos no menciona los objetivos estratégicos de la organización, está aplicando el marco de 2004, no el de 2017.
Herramienta práctica: Evaluación rápida de madurez
Utilice esta escala para evaluar rápidamente el nivel de madurez de la gestión de riesgos en las organizaciones que audita:
| Nivel de Madurez | Características |
|---|---|
| Nivel 1: Inicial | No existe un proceso formal de gestión de riesgos. Los riesgos se manejan de forma reactiva. |
| Nivel 2: Repetible | Existen procesos básicos pero no están estandarizados. Depende de individuos específicos. |
| Nivel 3: Definido | Procesos documentados y estandarizados. La gestión de riesgos está formalizada pero no integrada. |
| Nivel 4: Gestionado | Gestión de riesgos integrada con la estrategia. Métricas y KRIs definidos y monitoreados. |
| Nivel 5: Optimizado | Mejora continua. El riesgo es parte de la cultura y todas las decisiones lo consideran. |
Conclusión: De conocer a dominar COSO ERM
COSO ERM 2017 no es un marco teórico para mencionar en informes; es una herramienta poderosa para agregar valor en cada auditoría. Cuando domina este marco, puede evaluar si las organizaciones realmente integran el riesgo en su toma de decisiones o si simplemente cumplen con un requisito formal.
La próxima vez que revise una matriz de riesgos, no se limite a verificar que exista. Pregunte: ¿Esta matriz influyó en alguna decisión estratégica? ¿El Consejo la utilizó para asignar recursos? ¿Los riesgos identificados están alineados con los objetivos del plan estratégico? Las respuestas a estas preguntas revelarán el verdadero nivel de madurez de la organización.
"El riesgo bien gestionado no es un obstáculo para el éxito; es el camino hacia él."
Y luego Agregar a la pantalla de inicio.
Escribir un comentario