Beruflich Dokumente
Kultur Dokumente
Gestión
de Riesgos
Corporativos
Marco Integrado
Resumen Ejecutivo
Marco
septiembre 2004
PricewaterhouseCoopers LLP
AUTORÍA
Richard M. Steinberg Miles E.A. Everson
Anterior Socio responsable de Gobierno Corporativo Socio responsable de Servicios Financieros
(Actualmente, en Steinberg Governance Advisors) Finanzas, Operaciones, Riesgos y Cumplimiento Normativo
Nueva York
4
INFORME COSO-OKJ 25/5/05 18:14 Página 5
ÍNDICE
PRÓLOGO
Luis Aranaz Zuza y José Luis Madariaga Gandarias ................................................ 7
INTRODUCCIÓN
John J. Flaherty y Toni Maki ..................................................................................... 9
MARCO
1. Definición ...................................................................................................... 25
2. Ambiente interno ........................................................................................... 39
3. Establecimiento de objetivos ........................................................................ 47
4. Identificación de eventos .............................................................................. 55
5. Evaluación de riesgos ................................................................................... 63
6. Respuesta a los riesgos ................................................................................ 71
7. Actividades de control .................................................................................. 77
8. Información y comunicación ......................................................................... 85
9. Supervisión ................................................................................................... 93
10. Roles y responsabilidades ............................................................................ 101
11. Limitaciones de la gestión de riesgos corporativos ..................................... 111
12. Qué hacer ...................................................................................................... 115
ANEXOS
A Objetivos y Metodología ............................................................................... 121
B Resumen de principios clave ........................................................................ 125
C Relación entre Gestión de riesgos corporativos – Marco integrado
y Control interno – Marco integrado ............................................................. 135
D Bibliogafía seleccionada ............................................................................... 139
E Consideración a los comentarios ................................................................. 141
F Glosario ......................................................................................................... 147
G Agradecimientos ........................................................................................... 151
5
INFORME COSO-OKJ 25/5/05 18:14 Página 6
INFORME COSO-OKJ 25/5/05 18:14 Página 7
PRÓLOGO
7
INFORME COSO-OKJ 25/5/05 18:14 Página 8
Mayo 2005
8
INFORME COSO-OKJ 25/5/05 18:14 Página 9
INTRODUCCIÓN
9
INFORME COSO-OKJ 25/5/05 18:14 Página 10
Entre los retos más críticos a los que se enfrentan los directivos de hoy está el deter-
minar cuánto riesgo está dispuesta a aceptar la entidad y cuánto riesgo acepta a medi-
da que se esfuerza en crear valor. Este informe les ayudará a enfrentarse mejor a este
reto.
10
INFORME COSO-OKJ 25/5/05 18:14 Página 11
INFORME COSO-OKJ 25/5/05 18:14 Página 12
INFORME COSO-OKJ 25/5/05 18:14 Página 13
Gestión
de Riesgos Corporativos -
Marco Integrado
Resumen
Ejecutivo
INFORME COSO-OKJ 25/5/05 18:14 Página 14
INFORME COSO-OKJ 25/5/05 18:14 Página 15
RESUMEN EJECUTIVO
15
INFORME COSO-OKJ 25/5/05 18:14 Página 16
16
INFORME COSO-OKJ 25/5/05 18:14 Página 17
RESUMEN EJECUTIVO
Consecución de Objetivos
Dentro del contexto de misión o visión establecida en una entidad, su dirección esta-
blece los objetivos estratégicos, selecciona la estrategia y fija objetivos alineados que
fluyen en cascada en toda la entidad. El presente Marco de gestión de riesgos cor-
porativos está orientado a alcanzar los objetivos de la entidad, que se pueden clasi-
ficar en cuatro categorías:
• Estrategia: Objetivos a alto nivel, alineados con la misión de la entidad y dándole
apoyo
• Operaciones: Objetivos vinculados al uso eficaz y eficiente de recursos
• Información: Objetivos de fiabilidad de la información suministrada
• Cumplimiento: Objetivos relativos al cumplimiento de leyes y normas aplicables
Esta clasificación de los objetivos de una entidad permite centrarse en aspectos dife-
renciados de la gestión de riesgos corporativos. Estas categorías distintas, aunque
solapables –un objetivo individual puede incidir en más de una categoría– se dirigen
a necesidades diferentes de la entidad y pueden ser de responsabilidad directa de
diferentes ejecutivos. También permiten establecer diferencias entre lo que cabe
esperar de cada una de ellas. Otra categoría utilizada por algunas entidades es la sal-
vaguarda de activos.
Dado que los objetivos relacionados con la fiabilidad de la información y el cumpli-
miento de leyes y normas están integrados en el control de la entidad, puede esperar-
se que la gestión de riesgos corporativos facilite una seguridad razonable de su con-
secución. El logro de los objetivos estratégicos y operativos, sin embargo, está sujeto
a acontecimientos externos no siempre bajo control de la entidad; por tanto, respecto
a ellos, la gestión de riesgos corporativos puede proporcionar una seguridad razonable
de que la dirección, y el consejo de administración en su papel de supervisión, estén
siendo informados oportunamente del progreso de la entidad hacia su consecución.
17
INFORME COSO-OKJ 25/5/05 18:14 Página 18
• Evaluación de riesgos
Los riesgos se analizan considerando su probabilidad e impacto como base para
determinar cómo deben ser gestionados y se evalúan desde una doble perspecti-
va, inherente y residual.
• Respuesta a los riesgos
La dirección selecciona las posibles respuestas - evitar, aceptar, reducir o compar-
tir los riesgos - desarrollando una serie de acciones para alinearlos con el riesgo
aceptado y las tolerancias al riesgo de la entidad.
• Actividades de control
Las políticas y procedimientos se establecen e implantan para ayudar a asegurar
que las respuestas a los riesgos se llevan a cabo eficazmente.
• Información y comunicación
La información relevante se identifica, capta y comunica en forma y plazo adecua-
do para permitir al personal afrontar sus responsabilidades. Una comunicación efi-
caz debe producirse en un sentido amplio, fluyendo en todas direcciones dentro de
la entidad.
• Supervisión
La totalidad de la gestión de riesgos corporativos se supervisa, realizando modifi-
caciones oportunas cuando se necesiten. Esta supervisión se lleva a cabo median-
te actividades permanentes de la dirección, evaluaciones independientes o ambas
actuaciones a la vez.
La gestión de riesgos corporativos no constituye estrictamente un proceso en serie,
donde cada componente afecta sólo al siguiente, sino un proceso multidireccional e
iterativo en que casi cualquier componente puede influir en otro.
18
INFORME COSO-OKJ 25/5/05 18:14 Página 19
RESUMEN EJECUTIVO
Eficacia
La afirmación de que la gestión de riesgos corporativos de una entidad es “eficaz” es
un juicio resultante de la evaluación de si los ocho componentes están presentes y
funcionan de modo eficaz. Así, estos componentes también son criterios para esti-
mar la eficacia de dicha gestión. Para que estén presentes y funcionen de forma ade-
cuada, no puede existir ninguna debilidad material y los riesgos necesitan estar den-
tro del nivel de riesgo aceptado por la entidad.
Cuando se determine que la gestión de riesgos es eficaz en cada una de las cuatro
categorías de objetivos, respectivamente, el consejo de administración y la dirección
tendrán la seguridad razonable de que conocen el grado de consecución de los obje-
tivos estratégicos y operativos de la entidad, que su información es fiable y que se
cumplen las leyes y la normas aplicables.
Los ocho componentes no funcionan de modo idéntico en todas las entidades. Su
aplicación en las pequeñas y medianas empresas, por ejemplo, puede ser menos
formal y estructurada. Sin embargo, estas entidades podrían poseer una gestión efi-
caz de riesgos corporativos, siempre que cada componente esté presente y funcione
adecuadamente.
Limitaciones
Aunque la gestión de riesgos corporativos proporciona ventajas importantes, también
presenta limitaciones. Además de los factores comentados anteriormente, las limita-
ciones se derivan de hechos como que el juicio humano puede ser erróneo durante
la toma de decisiones, que las decisiones sobre la respuesta al riesgo y el estableci-
miento de controles necesitan tener en cuenta los costes y beneficios relativos, que
pueden darse fallos por error humano, que pueden eludirse los controles mediante
connivencia de dos o más personas y que la dirección puede hacer caso omiso a las
decisiones relacionadas con la gestión de riesgos corporativos. Estas limitaciones
impiden que el consejo o la dirección tengan seguridad absoluta de la consecución
de los objetivos de la entidad.
Roles y Responsabilidades
Todas las personas que integran una entidad tienen alguna responsabilidad en la ges-
tión de riesgos corporativos. El consejero delegado es su responsable último y debe-
19
INFORME COSO-OKJ 25/5/05 18:14 Página 20
• Consejo de Administración
El consejo debería comentar con la alta dirección el estado de la gestión de riesgos
corporativos de la entidad y aportar su supervisión según se necesite. Asimismo,
debería asegurarse de que es informado de los riesgos más significativos, de las
acciones que la dirección está realizando y cómo ésta asegura una gestión eficaz
de riesgos.
• Alta dirección
Este documento sugiere que el consejero delegado evalúe las capacidades de ges-
tión de riesgos corporativos de la organización. Por ejemplo, un consejero delega-
do reúne a los responsables de unidad de negocio y al personal clave del staff para
comentar una evaluación inicial de las capacidades y eficacia de la gestión de ries-
gos corporativos. Sea cual sea su forma, esta evaluación inicial debería determinar
si existe la necesidad de otra evaluación más profunda y amplia y, en caso afirma-
tivo, cómo proceder a realizarla.
• Otro personal de la entidad
Los directivos y demás personal deberían considerar cómo están desempeñando
sus responsabilidades a la luz del presente Marco y comentar sus ideas con res-
20
INFORME COSO-OKJ 25/5/05 18:14 Página 21
RESUMEN EJECUTIVO
21
INFORME COSO-OKJ 25/5/05 18:14 Página 22
INFORME COSO-OKJ 25/5/05 18:14 Página 23
Gestión
de Riesgos Corporativos -
Marco Integrado
Marco
INFORME COSO-OKJ 25/5/05 18:14 Página 24
INFORME COSO-OKJ 25/5/05 18:14 Página 25
1. Definición
Un objetivo clave del presente Marco es ayudar a las direcciones de empresas y otras
entidades a enfrentarse mejor al riesgo en su intento por alcanzar sus objetivos. Pero la
gestión de riesgos corporativos tiene diferentes significados para personas distintas,
porque presenta una amplia gama de definiciones y contenidos que impiden una com-
prensión común. Por esto, un objetivo importante es integrar los diferentes conceptos
de la gestión de riesgos en un marco en el que se establezca una definición común, se
identifiquen los componentes y se describan los conceptos claves. Este marco integra
la mayoría de perspectivas posibles y proporciona un punto de partida para la evalua-
ción y mejora de cada entidad y para futuras iniciativas regulatorias y educativas.
Incertidumbre y Valor
25
INFORME COSO-OKJ 25/5/05 18:14 Página 26
26
INFORME COSO-OKJ 25/5/05 18:14 Página 27
DEFINICIÓN
27
INFORME COSO-OKJ 25/5/05 18:14 Página 28
28
INFORME COSO-OKJ 25/5/05 18:14 Página 29
DEFINICIÓN
Un Proceso
29
INFORME COSO-OKJ 25/5/05 18:14 Página 30
Una entidad fija su misión o visión y establece los objetivos estratégicos, que son las
metas de alto nivel que están en línea con aquella y la apoyan. Para alcanzar sus
objetivos estratégicos, la entidad establece una estrategia y también fija los objetivos
conexos que desea realizar y se derivan de ella, fluyendo en cascada hacia las uni-
dades de negocio, divisiones y procesos.
30
INFORME COSO-OKJ 25/5/05 18:14 Página 31
DEFINICIÓN
Riesgo Aceptado
El riesgo aceptado es el volumen de riesgo, a un nivel amplio, que una entidad está
dispuesta a aceptar en su búsqueda de valor. Refleja la filosofía de gestión de ries-
gos de la entidad y, por consiguiente, influye en su cultura y estilo operativo. Muchas
entidades consideran el riesgo aceptado de manera cualitativa, calificándolo como
31
INFORME COSO-OKJ 25/5/05 18:14 Página 32
alto, moderado o bajo, mientras existen otras que adoptan un enfoque cuantitativo,
reflejando y equilibrando los objetivos de crecimiento, rendimiento y riesgo. Una
empresa con un riesgo aceptado alto puede estar dispuesta a asignar una gran parte
del capital a áreas de alto riesgo, como son los mercados emergentes. Por el contra-
rio, una compañía con un riesgo aceptado bajo podría optar por limitar su riesgo a
corto plazo de amplias pérdidas de capital, invirtiendo sólo en mercados maduros y
estables.
El riesgo aceptado se relaciona directamente con la estrategia de una entidad y se
tiene en cuenta para establecerla, ya que diferentes estrategias exponen a una enti-
dad a riesgos distintos. La gestión de riesgos corporativos ayuda a la dirección a ele-
gir una estrategia que ponga en línea la creación anticipada de valor con el riesgo
aceptado por la entidad.
El riesgo aceptado orienta la asignación de recursos, pues la dirección dota de recur-
sos a las diferentes unidades de negocio e iniciativas teniendo en cuenta el riesgo
aceptado por la entidad y los planes de cada unidad para generar el rendimiento
deseado a partir de los recursos invertidos. La dirección considera su riesgo acepta-
do al alinear la organización, personal y procesos y diseña la infraestructura necesa-
ria para supervisar eficazmente los riesgos y responder a ellos.
Las tolerancias al riesgo están relacionadas con los objetivos de la entidad. La tole-
rancia al riesgo es el nivel aceptable de variación relativa al logro de un objetivo con-
creto y a menudo se mide mejor en las mismas unidades usadas para medir dicho
objetivo.
Al fijar la tolerancia al riesgo, la dirección considera la importancia relativa del objeti-
vo correspondiente y alinea las tolerancias al riesgo con el riesgo aceptado. Operar
dentro de las tolerancias al riesgo ayuda a asegurar que la entidad se mantenga den-
tro de su riesgo aceptado y, por consiguiente, que la entidad consiga sus objetivos.
32
INFORME COSO-OKJ 25/5/05 18:14 Página 33
DEFINICIÓN
Consecución de Objetivos
33
INFORME COSO-OKJ 25/5/05 18:14 Página 34
34
INFORME COSO-OKJ 25/5/05 18:14 Página 35
DEFINICIÓN
Existe una relación directa entre los objetivos que una entidad intenta alcanzar y los
componentes de la gestión de riesgos corporativos, que representan lo que hace falta
para lograr aquellos. Esta relación se muestra a través de la matriz tridimensional en
forma de cubo que se muestra en la figura 1.1.
35
INFORME COSO-OKJ 25/5/05 18:14 Página 36
Figura 1.1
• Las cuatro categorías de objetivos –estrategia, operaciones, información y cumplimiento– están represen-
tadas por las columnas verticales.
• Los ochos componentes están representados por las filas horizontales.
• La entidad y sus unidades están representadas por la tercera dimensión del cubo.
Cada fila con un componente cruza y afecta a las cuatro categorías de objetivos. Por
ejemplo, los datos financieros y no financieros generados desde fuentes internas y
externas, que forman parte del componente de información y comunicación, son
necesarios para fijar la estrategia, gestionar eficazmente las operaciones del nego-
cio, informar adecuadamente y determinar si la entidad cumple o no las leyes apli-
cables.
Asimismo, si observamos las categorías de objetivos, los ocho componentes son
relevantes para cualquiera de ellas. Tomando una categoría, por ejemplo, la eficacia
y eficiencia operativa, le resultan aplicables los ocho componentes, que son impor-
tantes para su consecución.
Debería reconocerse que las cuatro columnas representan categorías de objetivos de
una entidad y no partes o unidades de ésta. De acuerdo con esto, cuando se consi-
dere la categoría de objetivos relativos a la información, por ejemplo, será necesario
conocer una amplia gama de datos sobre las operaciones de la entidad. Pero en este
caso, el foco está en la segunda columna desde la derecha en la cara horizontal
superior –“información de objetivos”– y no en la tercera –“operaciones”– como podría
parecer.
Eficacia
36
INFORME COSO-OKJ 25/5/05 18:14 Página 37
DEFINICIÓN
sentes los ocho componentes y funcionan eficazmente. Así, los componentes tam-
bién constituyen criterios para una gestión eficaz de riesgos corporativos. Para que
los componentes estén presentes y funcionen adecuadamente, no puede haber debi-
lidades materiales y los riesgos deben haberse encajado dentro del riesgo aceptado
por la entidad.
Cuando se determine que la gestión de riesgos corporativos es eficaz en cada una
de las cuatro categorías de objetivos, respectivamente, el consejo de administración
y la dirección tendrán una seguridad razonable de que:
• Se conoce el grado de consecución de los objetivos estratégicos de la entidad
• Se conoce el grado de consecución de los objetivos operativos de la entidad
• La información de la entidad es fiable
• Se cumplen las leyes y normas aplicables
Aunque para que la gestión de riesgos corporativos pueda considerarse eficaz, los
ocho componentes deben estar presentes y funcionar correctamente – aplicando los
principios descritos en capítulos siguientes -, pueden existir entre ellos algunos con-
flictos. Dado que las técnicas de gestión de riesgos corporativos sirven para una
variedad de propósitos, algunas de las que se aplican a un determinado componen-
te también pueden cubrir el propósito de técnicas normalmente aplicables a otros.
Adicionalmente, las respuestas a los riesgos pueden diferir en su grado de atención
a uno concreto, por lo que las respuestas y controles complementarios, cada uno de
efecto limitado, pueden ser satisfactorios en conjunto.
Los conceptos que comentamos aquí son aplicables a todas las entidades, sea cual
sea su dimensión. Aunque algunas pequeñas y medianas empresas puedan implan-
tar factores de componentes en forma diferente a otras más grandes, también pue-
den conseguir una gestión eficaz de riesgos corporativos. La metodología para cada
componente probablemente sea menos formal y estructurada en las entidades
pequeñas que en las grandes, pero los conceptos básicos deberán estar presentes
en todas ellas.
Normalmente, la gestión de riesgos corporativos se considera dentro del contexto de
una entidad en su conjunto, lo que implica considerar su aplicación a las unidades
significativas de negocio. Sin embargo, puede haber circunstancias en las que la efi-
cacia de dicha gestión deba ser evaluada de modo individual en una determinada uni-
dad de negocio. En tales casos, para que exista eficacia en la gestión en esta unidad,
los ocho componentes tienen que estar presentes y funcionar eficazmente en ella.
Así, por ejemplo, como contar con un consejo de administración con características
específicas forma parte del ámbito interno, la gestión de riesgos corporativos de una
especifica unidad de negocio sólo podrá juzgarse como eficaz cuando dicha unidad
tenga un consejo de administración u organismo similar que funcione adecuadamen-
te (o cuando el consejo de administración de la entidad lleve a cabo una adecuada
supervisión directa sobre la unidad de negocio). De forma similar, debido a que el
componente de respuesta a los riesgos se describe desde una perspectiva de carte-
ra de riesgos, para que la gestión de riesgos corporativos en dicha unidad de nego-
cio pueda considerarse eficaz, también debería aplicarse en ella este tipo de pers-
pectiva.
37
INFORME COSO-OKJ 25/5/05 18:14 Página 38
Como la gestión de riesgos corporativos forma parte del proceso de dirección, los
componentes del presente Marco se comentan dentro del contexto de lo que hace la
gerencia al dirigir una empresa u otro tipo de entidad. Por el contrario, no todo lo que
hace la dirección de una entidad forma parte de la gestión de riesgos corporativos y
así, muchos juicios aplicados en la toma de decisiones directivas y otras acciones
asociadas, aunque constituyan parte del proceso de dirección, no forman parte de
esa gestión. Por ejemplo:
• Constituye un componente crítico de la gestión de riesgos corporativos el que exis-
ta un proceso apropiado para fijar objetivos en la entidad, pero determinados obje-
tivos seleccionados por la dirección no forman parte de dicha gestión.
• Responder a los riesgos, desde una adecuada evaluación suya, forma parte de la
gestión de riesgos corporativos, pero no así determinadas respuestas al riesgo
seleccionadas y la correspondiente asignación de recursos de la entidad.
• Establecer y ejecutar actividades de control para ayudar a asegurar que se llevan a
cabo de modo eficaz las respuestas a los riesgos que la dirección selecciona, forma
parte de la gestión de riesgos corporativos, pero no así las particulares actividades
de control seleccionadas.
En general, la gestión de riesgos corporativos implica a aquellos elementos del pro-
ceso de dirección que permiten a la gerencia tomar decisiones informadas basadas
en el riesgo, pero determinadas decisiones seleccionadas dentro de una gama de
opciones apropiadas no sirven para establecer si la gestión de riesgos corporativos
es eficaz o no. Sin embargo, aunque los objetivos, respuestas al riesgo y actividades
de control elegidas sean temas a juicio de la dirección, la selección efectuada debe
dar como resultado la reducción del riesgo a un nivel aceptable, determinado por el
riesgo aceptado y una seguridad razonable respecto a la consecución de los objeti-
vos de la entidad.
38
INFORME COSO-OKJ 25/5/05 18:14 Página 39
2. Ámbiente interno
39
INFORME COSO-OKJ 25/5/05 18:14 Página 40
40
INFORME COSO-OKJ 25/5/05 18:14 Página 41
AMBIENTE INTERNO
Esta filosofía se refleja en casi todo el quehacer de la dirección para gestionar la enti-
dad y se plasma en las declaraciones de políticas, las comunicaciones verbales y escri-
tas y la toma de decisiones. Tanto si la dirección pone su énfasis en las políticas escri-
tas, normas de conducta, indicadores de rendimiento e informes de excepción, como
si prefiere operar más informalmente mediante contactos personales con los directivos
claves, lo críticamente importante es que desde ella se potencie la filosofía, no sólo con
palabras, sino con acciones diarias.
Riesgo Aceptado
El riesgo aceptado es el volumen de riesgo, a un nivel amplio, que una entidad está dis-
puesta a aceptar en su búsqueda de valor. Refleja la filosofía de gestión de riesgo de la
entidad e impacta a su vez en su cultura y estilo operativo.
El riesgo aceptado debe tenerse en cuenta al fijar la estrategia, pues el rendimiento
deseado de la estrategia debe estar alineado con el riesgo aceptado de la entidad.
Diferentes estrategias expondrán a la entidad a niveles diferentes de riesgo y la gestión
de riesgos corporativos, aplicada en esta fase de fijación de estrategias, ayuda a la
dirección a seleccionar una estrategia coherente con el riesgo aceptado.
Las entidades pueden considerar el riesgo aceptado de un modo cualitativo, usando
categorías como alto, moderado o bajo, o bien optar por un enfoque cuantitativo, que
refleje los objetivos de crecimiento y rendimiento y los equilibre con los riesgos.
El Consejo de Administración
El consejo de administración de una entidad es una parte crítica del ámbito interno e
influye de modo significativo en sus elementos. Su independencia frente a la dirección,
la experiencia y reputación de sus miembros, su grado de implicación y supervisión de
las actividades y la adecuación de sus acciones juegan un papel muy importante. Otras
características son el alcance con que se plantean y persiguen, junto con la dirección,
cuestiones difíciles relativas a estrategias, planes y rendimientos y su interacción o la
del comité de auditoría con los auditores internos y externos.
Un consejo de administración u organismo similar activo e implicado debería poseer una
adecuada experiencia directiva, técnica y de otro tipo, junto con la necesaria mentalidad
para llevar a cabo sus responsabilidades de supervisión. Esto es crítico para un entorno
eficaz de gestión de riesgos corporativos. Y, dado que el consejo tiene que estar prepa-
rado para cuestionar y fiscalizar las actividades de la dirección, presentar enfoques alter-
nativos y actuar frente a prácticas ilícitas, debería contar con consejeros externos.
Los miembros de la alta dirección pueden ser partícipes eficaces en el consejo, apor-
tando su conocimiento profundo de la empresa. Sin embargo, debe existir un número
suficiente de miembros externos independientes que no sólo faciliten consejo y orien-
tación razonables, sino que también sirvan como una necesaria verificación y supervi-
sión de la dirección. Se puede concluir que, para que el ámbito interno sea eficaz, el
consejo debe tener al menos una mayoría de miembros externos independientes.
Los consejos de administración eficaces aseguran que la dirección mantiene una ade-
cuada gestión de riesgos corporativos. Aunque una empresa podría históricamente no
41
INFORME COSO-OKJ 25/5/05 18:14 Página 42
42
INFORME COSO-OKJ 25/5/05 18:14 Página 43
AMBIENTE INTERNO
tácticas agresivas de venta, las negociaciones sin piedad, las ofertas tácitas de sobor-
nos, por ejemplo, pueden provocar reacciones con efectos inmediatos (e, incluso, dura-
deros).
Otros incentivos para implicarse en prácticas de información fraudulentas o cuestiona-
bles y, por extensión, en otras formas de conducta no ética, pueden incluir recompen-
sas altamente dependientes de la información facilitada, financiera y no financiera, par-
ticularmente respecto a los resultados a corto plazo.
Eliminar o reducir los incentivos y tentaciones inadecuadas supone un buen camino
hacia la eliminación de conductas no deseadas. Como se ha sugerido, esto puede con-
seguirse siguiendo prácticas empresariales sólidas y rentables. Por ejemplo, los incen-
tivos sobre el funcionamiento –acompañados de controles adecuados– pueden ser una
técnica muy útil de gestión siempre que los objetivos de rendimiento sean realistas.
Fijar objetivos de este tipo constituye una buena práctica de motivación, que reduce
tensiones contraproducentes y el interés por presentar información fraudulenta. De
forma similar, un sistema bien controlado de información puede servir de protección
contra la tentación de presentar erróneamente los datos de la entidad.
Otra causa de prácticas cuestionables es la ignorancia. Los valores éticos no sólo
deben ser comunicados, sino también acompañados por una orientación explícita de lo
que está bien y mal. Los códigos formales de conducta corporativa son importantes y
sirven de base para un programa eficaz de ética. Los códigos tratan una variedad de
temas de conducta, tales como integridad y ética, conflictos de interés, pagos ilegales
o inadecuados y acuerdos contra la libre competencia. También son importantes los
canales ascendentes de comunicación, para que los empleados se sientan cómodos
aportando información relevante.
La existencia de un código escrito de conducta, de documentación donde conste que
los empleados lo han recibido y entendido y un adecuado canal de comunicaciones no
aseguran por sí mismos que el código se esté cumpliendo. También son importantes
para su cumplimiento las sanciones resultantes para los empleados que lo violen, los
mecanismos que animen al personal a denunciar presuntas violaciones y las acciones
disciplinarias contra empleados que conscientemente no denuncien las infracciones.
Sin embargo, el cumplimiento de las normas éticas, formalizadas o no en un código
escrito, está igualmente, si no más, asegurado eficazmente por las acciones de la alta
dirección y su ejemplo. Es probable que los empleados desarrollen las mismas actitu-
des hacia lo correcto e incorrecto -y acerca de los riesgos y controles- que las exhibi-
das por la alta dirección. Los mensajes transmitidos por las acciones de la dirección se
incorporan rápidamente a la cultura corporativa. El conocimiento de que el consejero
delegado ha “hecho lo correcto” éticamente cuando se ha enfrentado a una decisión
empresarial ardua, difunde un mensaje poderoso por toda la entidad.
43
INFORME COSO-OKJ 25/5/05 18:14 Página 44
La dirección establece los niveles de competencia para trabajos concretos y los trans-
forma en conocimientos y habilidades requeridos. A su vez, éstos pueden depender de
la inteligencia, formación y experiencia del individuo. Los factores a tener en cuenta en
el desarrollo de niveles de conocimiento y habilidad incluyen la naturaleza y grado del
juicio a aplicar en un trabajo concreto. A menudo, existe un conflicto entre el grado de
supervisión y el nivel de competencia requerido del individuo.
Estructura Organizativa
44
INFORME COSO-OKJ 25/5/05 18:14 Página 45
AMBIENTE INTERNO
45
INFORME COSO-OKJ 25/5/05 18:14 Página 46
Implicaciones
46
INFORME COSO-OKJ 25/5/05 18:14 Página 47
3. Establecimiento de objetivos
47
INFORME COSO-OKJ 25/5/05 18:14 Página 48
Objetivos Estratégicos
Objetivos Relacionados
48
INFORME COSO-OKJ 25/5/05 18:14 Página 49
ESTABLECIMIENTO DE OBJETIVOS
sario de los objetivos de la entidad, en cuanto se relacionan con el ámbito del indivi-
duo. Todos los empleados deben tener una comprensión mutua de lo que se ha de
lograr y de los medios para medir lo que se consiga.
• Objetivos operativos
Se corresponden con la eficacia y eficiencia de las operaciones de la entidad, inclu-
yendo los objetivos de rendimiento y rentabilidad y de salvaguarda de recursos fren-
te a pérdidas. Varían según las opciones de la dirección respecto a estructura y ren-
dimiento.
• Objetivos de información
Relativos a la fiabilidad de la información. Incluyen información interna y externa e
implican la financiera y no financiera.
• Objetivos de cumplimiento
Se refieren al cumplimiento de leyes y normas relevantes. Dependen de factores
externos y tienden a ser similares entre entidades, en algunos casos, y sectorial-
mente, en otros.
Ciertos objetivos dependen del tipo de negocio de la entidad. Algunas empresas, por
ejemplo, remiten información a agencias medioambientales y otras que cotizan en
bolsa la remiten a los reguladores de los mercados de valores. Estos requisitos exter-
nos se establecen por leyes o normas y se incluyen en las categorías de información
o cumplimiento o, como en estos ejemplos, en ambas.
Por contra, los objetivos operativos, así como los relativos a la información interna de
gestión, se basan más en las preferencias, juicios y estilo de la dirección. Varían
mucho entre entidades, simplemente porque personas capaces y honestas pueden
seleccionar objetivos diferentes. Respecto al desarrollo de productos, por ejemplo,
una entidad decide adaptarse inmediatamente a los cambios, otra prefiere hacerlo
con cierta rapidez y otra, incluso, con cierta lentitud. Estas opciones afectan a la
estructura, competencias, equipo humano y controles de la función de investigación
y desarrollo. Por tanto, no existe una fórmula óptima de establecimiento de objetivos
para todas las entidades.
Objetivos Operativos
49
INFORME COSO-OKJ 25/5/05 18:14 Página 50
Objetivos de Información
Objetivos de Cumplimiento
Las entidades deben llevar a cabo sus actividades y a menudo acciones concretas
de acuerdo con las leyes y normas relevantes. Estos requisitos pueden referirse al
mercado, precios e impuestos, medioambiente, bienestar de los empleados y
comercio exterior. Las leyes y normas aplicables establecen pautas mínimas de
conducta, que la entidad integra en sus objetivos de cumplimiento. Por ejemplo, las
normas sobre higiene y salud laboral hacen que una empresa defina uno de sus
objetivos como “Empaquetar y etiquetar todas los productos químicos según
normativa”. En este caso, las políticas y procedimientos se dirigen a los programas
de comunicación, inspecciones in situ y formación. El historial del cumplimiento de
una entidad puede afectar de modo significativo –positiva o negativamente– a su
reputación en la comunidad y el mercado.
Subcategorías
Las categorías de objetivos forman parte del lenguaje común establecido por este
Marco y facilitan la comprensión y la comunicación. Una entidad puede, sin embar-
go, encontrar útil plantear un subconjunto de una o más de estas categorías, para
facilitar la comunicación interna y externa sobre un tema más específico. Una empre-
sa podría optar por comunicar la eficacia de una parte de la categoría de información,
por ejemplo la gestión de riesgos corporativos en la información externa o quizás sólo
en la información externa de índole financiera. Actuando así, permite que la comuni-
cación se mantenga dentro del contexto del presente Marco para dicha gestión y, a
su vez, permite las comunicaciones sobre determinados subconjuntos de categorías.
50
INFORME COSO-OKJ 25/5/05 18:14 Página 51
ESTABLECIMIENTO DE OBJETIVOS
Sobreposición de Objetivos
Un objetivo de una categoría puede reforzar a otro objetivo de otra o solaparse con
él. La categoría en que incide un objetivo depende a veces de las circunstancias. Por
ejemplo, proporcionar información fiable a la dirección de una unidad de negocio
para que gestione y controle sus actividades de producción, puede servir para alcan-
zar objetivos operativos y de información. Incluso, si esta información sirve para
comunicar datos medioambientales a la Administración, también se están alcanzan-
do objetivos de cumplimiento.
Algunas entidades usan otra categoría de objetivos, la “salvaguarda de recursos”, a
veces denominada “salvaguarda de activos”, que se solapa con las otras categorías
de objetivos. Vista con amplitud, la salvaguarda de activos trata de prevenir la pérdi-
da de activos o recursos de una entidad por robo, despilfarro, ineficiencia o lo que
resulta ser simplemente malas decisiones empresariales - como la venta de produc-
tos a un precio demasiado bajo, la ausencia de retención de empleados claves, no
haber prevenido la violación de patentes o incurrir en pasivos no previstos. Son prin-
cipalmente objetivos operativos, aunque algunos aspectos de la salvaguarda de acti-
vos pueden incluirse en otras categorías. Sin embargo, cuando se aplican requisitos
legales o de normas, se convierten en objetivos de cumplimiento. Por otro lado, el
reflejo adecuado de las pérdidas de activos en los estados financieros de la entidad
representa un objetivo de información.
Considerada conjuntamente con la información pública, se usa a menudo una defini-
ción más estrecha de la salvaguarda de activos, que trata de la oportuna prevención
o detección de la adquisición, uso o disposición no autorizada de los activos de una
entidad. Para más información sobre esta categoría de objetivos, hay que referirse al
documento Control Interno – Marco Integrado, que incluye el módulo Addenda a la
información para terceros.
Consecución de Objetivos
51
INFORME COSO-OKJ 25/5/05 18:14 Página 52
otros– cuya existencia no esté bajo su control. Incluso, es posible que la entidad haya
contemplado alguno de dichos eventos en el proceso de fijación de objetivos, tra-
tándolos como si su probabilidad fuera remota y elaborando un plan de contingencia
para el caso en que tuviesen lugar. Sin embargo, tal plan sólo mitiga el impacto de los
eventos externos y no asegura que los objetivos se vayan a alcanzar.
La gestión de riesgos corporativos sobre las operaciones se centra principalmente en
el desarrollo de una coherencia de objetivos y metas en toda la organización, en la
identificación de factores de éxito y riesgos claves, en la evaluación de riesgos y la
formulación de respuestas acertadas, en las respuestas adecuadas a los riesgos, en
el establecimiento de los controles necesarios y en la información oportuna del fun-
cionamiento y expectativas. En cuanto a los objetivos estratégicos y operativos, la
gestión de riesgos corporativos puede proporcionar seguridad razonable de que la
dirección y el consejo, en su papel de supervisión, estén informados oportunamente
del progreso de la entidad en su camino hacia el logro de dichos objetivos.
Objetivos Seleccionados
Como parte de la gestión de riesgos corporativos, la dirección no sólo elige los obje-
tivos y considera cómo apoyan la misión de la entidad, sino que también asegura que
estén alineados con el riesgo aceptado por la entidad. Un error en dicha alineación
podría dar como resultado una aceptación insuficiente del riesgo existente en el logro
de objetivos o, por el contrario, una aceptación de un riesgo excesivo. Una gestión
eficaz de riesgos corporativos no dicta los objetivos que la dirección debe elegir, pero
le proporciona un proceso para alinear los objetivos estratégicos con la misión de la
entidad y asegurar que éstos, junto con sus correspondientes objetivos conexos,
concuerdan con el riesgo aceptado por la entidad.
Riesgo Aceptado
El riesgo aceptado, establecido por la dirección bajo control del consejo de adminis-
tración, es una orientación para establecer los objetivos. Las empresas pueden
expresar su riesgo aceptado como un equilibrio adecuado entre crecimiento, riesgo
y rendimiento o como unas medidas de adición de valor para el accionista, ajustadas
a su propio nivel de riesgo. Algunas entidades, como son las organizaciones sin
ánimo de lucro, expresan su riesgo aceptado como el nivel de riesgo que aceptarían
a cambio de crear valor para sus grupos de interés.
Existe una relación entre el riesgo aceptado de una entidad y su estrategia.
Normalmente se pueden diseñar muchas estrategias diferentes para conseguir los
objetivos deseados de crecimiento y rendimiento, cada uno con riesgos diferentes.
La gestión de riesgos corporativos, aplicada al establecimiento de la estrategia,
ayuda a la dirección a seleccionar una estrategia consecuente con su riesgo acepta-
do. Si el riesgo asociado a la estrategia no está alineado con el riesgo aceptado por
la entidad, se revisa la estrategia, lo que puede ocurrir cuando la dirección formule
inicialmente una estrategia que exceda del riesgo aceptado por la entidad o cuando
dicha estrategia no contemple riesgo suficiente para permitir que la entidad alcance
sus objetivos estratégicos y su misión.
52
INFORME COSO-OKJ 25/5/05 18:14 Página 53
ESTABLECIMIENTO DE OBJETIVOS
Tolerancias al Riesgo
Las tolerancias al riesgo son los niveles aceptables de desviación relativa a la conse-
cución de objetivos. Pueden medirse, y a menudo resulta mejor, con las mismas uni-
dades que los objetivos correspondientes.
Las medidas de rendimiento se usan para ayudar a asegurar que los resultados rea-
les se ciñen a las tolerancias al riesgo establecidas. Por ejemplo, una empresa fija un
objetivo del 98% de puntualidad para sus entregas, con una desviación aceptable
entre el 97% y el 100%; fija como objetivo de formación una nota de aprobado del
90%, con un rendimiento aceptable mínimo del 75%; y espera que el personal res-
ponda a todas las reclamaciones de los clientes en un plazo de 24 horas, aunque
acepta que hasta un 25% de ellas se atiendan entre 24 y 36 horas.
Al fijar las tolerancias al riesgo, la dirección tiene en cuenta la importancia relativa de
los objetivos correspondientes y alinea aquellas con el riesgo aceptado. Operar den-
tro de las tolerancias al riesgo proporciona a la dirección una mayor confianza en que
la entidad permanece dentro de su riesgo aceptado, que, a su vez, proporciona una
seguridad más elevada de que la entidad alcanzará sus objetivos.
53
INFORME COSO-OKJ 25/5/05 18:14 Página 54
INFORME COSO-OKJ 25/5/05 18:14 Página 55
4. Identificación de eventos
Eventos
55
INFORME COSO-OKJ 25/5/05 18:14 Página 56
Factores Influyentes
Son muchos los factores externos e internos que provocan eventos que afectan a la
implantación de la estrategia y la consecución de objetivos. Como parte de la gestión
de riesgos corporativos, la dirección reconoce la importancia de entender dichos fac-
tores y el tipo de evento que puede derivarse de ellos. Los factores externos, junto
con ejemplos de eventos relacionados y sus implicaciones, incluyen los siguientes:
• Económicos
Eventos tales como los cambios de precios, la disponibilidad de capital o unas
menores barreras a la entrada de la competencia, que generan mayores o menores
costes de capital y competidores nuevos.
• Medioambientales
Incluyen las inundaciones, incendios y terremotos, que provocan daños a las insta-
laciones o edificios, un acceso restringido a las materias primas o la pérdida de
capital humano.
• Políticos
Incluyen la elección de gobiernos con nuevos programas políticos, leyes y normas,
que provocan, por ejemplo, nuevas restricciones o aperturas en el acceso a merca-
dos extranjeros o impuestos mayores o menores.
• Sociales
Relacionados con los cambios demográficos, costumbres sociales, estructuras
familiares, prioridades trabajo/ocio y actividades terroristas, que tienen como resul-
tado cambios en la demanda de productos y servicios, nuevos puntos de venta,
aspectos relacionados con recursos humanos y paros en la producción.
• Tecnológicos
Relativos a los nuevos medios de comercio electrónico, que generan una mayor dis-
ponibilidad de datos, reducciones de costes de infraestructura y un mayor aumen-
to en la demanda de servicios basados en la tecnología.
Los eventos también se derivan de las decisiones de la dirección respecto a cómo se
producirán. La aptitud y capacidad de una entidad para reflejar las decisiones previas
56
INFORME COSO-OKJ 25/5/05 18:14 Página 57
IDENTIFICACIÓN DE EVENTOS
57
INFORME COSO-OKJ 25/5/05 18:14 Página 58
• Inventarios de eventos
Son relaciones detalladas de acontecimientos potenciales comunes a empresas de un sector deter-
minado o a un proceso o actividad específica que se da en diversos sectores. Las aplicaciones de
software pueden generar relaciones relevantes de eventos genéricos potenciales, que algunas enti-
dades usan como punto de partida para la identificación de eventos. Por ejemplo, una empresa que
esté acometiendo un proyecto de desarrollo de software elaborará un inventario que describa even-
tos genéricos relativos a este tipo de proyecto.
• Análisis interno
Puede llevarse a cabo como parte de un proceso rutinario del ciclo de planificación empresarial,
normalmente mediante reuniones del personal de la unidad de negocio. El análisis interno utiliza a
veces la información procedente de grupos de interés de dicha unidad (clientes, proveedores y otras
unidades de negocio) o de expertos en el tema ajenos a ella (expertos funcionales internos o exter-
nos o la auditoría interna). Por ejemplo, una empresa que esté considerando introducir un nuevo
producto, usa su propia experiencia histórica, junto con investigación externa de mercado que iden-
tifique eventos que hayan afectado al éxito de productos de los competidores.
• Dispositivos de escala o umbral
Estos dispositivos alertan a la dirección respecto a áreas con problemas comparando transaccio-
nes o eventos actuales con criterios predefinidos. Una vez que suena la alarma, es posible que un
evento exija una evaluación ulterior o una respuesta inmediata. Por ejemplo, la dirección de una
empresa hace un seguimiento del volumen de ventas en mercados seleccionados con vista a nue-
vos programas de marketing o publicidad y reorienta los recursos según los resultados. La direc-
ción de otra empresa sigue las estructuras de precios de los competidores y contempla cambios en
sus propios precios cuando se franquea un determinado umbral.
• Talleres de trabajo y entrevistas
Estas técnicas identifican los eventos aprovechando el conocimiento y la experiencia acumulada de
la dirección, el personal y los grupos de interés, a través de discusiones estructuradas. Un monitor
lidera y facilita la discusión sobre los eventos que pueden afectar a la consecución de objetivos de
58
INFORME COSO-OKJ 25/5/05 18:14 Página 59
IDENTIFICACIÓN DE EVENTOS
la entidad o alguna de sus unidades. Por ejemplo, un controller financiero dirige un taller de traba-
jo con miembros del equipo contable, para identificar eventos que puedan afectar a los objetivos de
información financiera externa. Al combinar los conocimientos y la experiencia de los miembros del
equipo, se identifican eventos importantes que de otro modo podrían haberse olvidado.
• Análisis del flujo del proceso
Esta técnica considera la combinación de inputs, tareas, responsabilidades y outputs de un proce-
so. Al considerar los factores internos y externos que afectan en cierto proceso a los inputs de las
actividades o a estas mismas, una entidad identifica los eventos que podrían afectar a la consecu-
ción de los objetivos. Por ejemplo, un laboratorio médico elabora mapas de los procesos de recep-
ción y análisis de muestras de sangre. Utilizándolos, se considera la gama de factores que podrían
afectar a los elementos del proceso citados anteriormente, identificando así riesgos relativos al eti-
quetado de muestras, transferencias en el proceso y cambios de turno del personal.
• Indicadores de eventos importantes
Supervisando datos correlacionados con los eventos, las entidades identifican la existencia de con-
diciones que podrían dar lugar a un acontecimiento. Por ejemplo, las instituciones financieras reco-
nocen desde hace mucho tiempo la correlación entre la demora en el pago de préstamos y su even-
tual impago futuro, así como el efecto positivo de una intervención anticipada. Por ello, el control
de las pautas de pago permite mitigar el impago mediante acciones oportunas anticipadas.
• Metodologías para datos de eventos con pérdidas
Los archivos de datos sobre eventos individuales con pérdidas en el pasado son una fuente útil de
información para identificar las tendencias y causas principales. Una vez que se identifica una de
éstas, la dirección puede averiguar qué es más efectivo, si evaluarla y tratarla o afrontar los even-
tos individuales. Por ejemplo, una empresa que explota una gran flota de coches mantiene una base
de datos de las reclamaciones por accidentes y, mediante su análisis, averigua que un porcentaje
desproporcionado de ellos, tanto en número como en importe, se vincula a conductores del equipo
en ciertas unidades, localizaciones geográficas y franjas de edad. Este análisis capacita a la direc-
ción para identificar las causas principales de los eventos y tomar acciones.
Figura 4.1
Interdependencias
59
INFORME COSO-OKJ 25/5/05 18:14 Página 60
tes operativos. Una decisión para ampliar la formación en marketing puede mejorar
las capacidades de venta y la calidad de servicio, lo que dará lugar a un aumento de
la frecuencia y volumen de los pedidos recurrentes de clientes. Una decisión para
entrar en una nueva línea de negocio, con incentivos importantes vinculados al ren-
dimiento, puede incrementar los riesgos de error en la aplicación de principios con-
tables y de que se genere una información fraudulenta.
Categorías de Eventos
Puede ser útil agrupar los eventos potenciales en categorías. Al agregarlos horizon-
talmente en toda la entidad y verticalmente dentro de las unidades operativas, la
dirección desarrolla un entendimiento de las relaciones entre eventos, obteniendo
una mejor información como base para la evaluación los riesgos. Mediante esta agre-
gación de eventos similares, la dirección puede determinar mejor las oportunidades
y riesgos.
La clasificación de eventos por categorías también permite a la dirección considerar
la totalidad de los esfuerzos aplicados a su identificación. Por ejemplo, una empresa
puede haber clasificado los eventos relacionados con los cobros de deudores en una
única categoría denominada impago de deudores. Si la dirección estudia los eventos
relacionados con esta categoría, puede evaluar si se han identificado todos los posi-
bles eventos significativos relacionados con dicho impago.
Algunas empresas desarrollan categorías de eventos basadas en la clasificación de
sus objetivos por categorías, usando una jerarquía que empieza con los objetivos de
alto nivel y luego, en cascada hasta los objetivos relevantes para las unidades orga-
nizativas, funciones o procesos de negocio.
La figura 4.2 ilustra un enfoque usado para establecer las categorías de eventos den-
tro de un contexto de amplios factores internos y externos.
60
INFORME COSO-OKJ 25/5/05 18:14 Página 61
IDENTIFICACIÓN DE EVENTOS
Categorías de eventos
Factores externos Factores internos
Económicos Infraestructura
• Disponibilidad del capital • Disponibilidad de activos
• Emisión de deuda, impago • Capacidad de los activos
• Concentración • Acceso al capital
• Liquidez • Complejidad
• Mercados financieros
• Desempleo
• Competecia
• Fusiones/Adquisiciones
Medioambientales Personal
• Emisiones y residuos • Capacidad del personal
• Energía • Actividad fraudulenta
• Catástrofes naturales • Seguridad e higiene
• Desarrollo sostenible
Políticos Procesos
• Cambios de gobierno • Capacidad
• Legislación • Diseño
• Políticas públicas • Ejecución
• Regulación • Proveedores/Subordinados
Sociales Tecnología
• Demografía • Integridad de datos
• Comportamiento del consumidor • Disponibilidad de datos y sistemas
• Responsabilidad social corporativa • Selección de sistemas
• Privacidad • Desarrollo
• Terrorismo • Despliegue
• Mantenimiento
Tecnológicos
• Interrupciones
• Comercio electrónico
• Datos externos
• Tecnología emergente
Figura 4.2
61
INFORME COSO-OKJ 25/5/05 18:14 Página 62
62
INFORME COSO-OKJ 25/5/05 18:14 Página 63
5. Evaluación de riesgos
Los factores externos e internos determinan qué eventos pueden ocurrir y hasta qué
punto afectarán a los objetivos de una entidad. Aunque algunos factores son comu-
nes a empresas de un mismo sector, los eventos resultantes son a menudo únicos
63
INFORME COSO-OKJ 25/5/05 18:14 Página 64
para una entidad determinada, debido a sus objetivos establecidos y sus decisiones
anteriores. En la gestión de riesgos, la dirección tiene en cuenta la mezcla de poten-
ciales eventos futuros relevantes para la entidad y sus actividades, dentro del con-
texto de los aspectos que conforman el perfil de riesgo de la entidad, como son su
dimensión, la complejidad de sus operaciones y el grado de regulación de sus activi-
dades.
Al evaluar los riesgos, la dirección considera los eventos esperados e inesperados.
Muchos de éstos son rutinarios y recurrentes y ya se contemplan en los programas
de gestión y presupuestos operativos, pero otros son inesperados. La dirección eva-
lúa el riesgo de los eventos potenciales inesperados y, si todavía no lo ha hecho, los
eventos esperados que puedan tener un impacto significativo en la entidad.
Aunque el término “evaluación de riesgos” se aplica a veces en relación con una acti-
vidad puntual, en el contexto de la gestión de riesgos corporativos su componente
con esa misma denominación constituye una continua e iterativa interacción de
acciones que tienen lugar a través de la entidad.
64
INFORME COSO-OKJ 25/5/05 18:14 Página 65
EVALUACIÓN DE RIESGOS
Fuentes de Datos
Perspectivas
65
INFORME COSO-OKJ 25/5/05 18:14 Página 66
psicológicas indican que las personas que toman decisiones a varios niveles de
capacidad, incluyendo los directivos de empresa, tienen demasiada confianza en su
capacidad de estimación y no reconocen el volumen de incertidumbre que realmen-
te existe. Los estudios muestran un marcado sesgo de confianza excesiva, que lleva
a intervalos de confianza inadecuadamente estrechos respecto a las estimaciones o
probabilidades, tal como se aplican, por ejemplo, en las metodologías del valor en
riesgo. Esta inclinación hacia el exceso de confianza al estimar la incertidumbre
puede minimizarse mediante el uso eficaz de datos empíricos generados interna o
externamente. En ausencia de éstos, una aguda conciencia de la penetración de los
sesgos puede ayudar a mitigar los efectos de ese exceso de confianza.
Las tendencias humanas respecto a la toma de decisiones se muestran de otra
forma, pues no es infrecuente que las personas tomen diferentes opciones en bús-
queda de ganancias antes que en evitar pérdidas. Al reconocer estas tendencias, los
directivos pueden estructurar la información para reforzar el riesgo aceptado y el
comportamiento hacia el riesgo en toda la entidad. La manera de presentar la infor-
mación puede afectar de modo significativo a su interpretación y cómo se perciben
los riesgos y oportunidades asociados, tal como se expone en la Figura 5.1
Los individuos tienen reacciones diferentes ante pérdidas potenciales que frente a ganancias poten-
ciales. La manera de enmarcar un riesgo –enfocando hacia lo positivo (una ganancia potencial) o lo
negativo (una pérdida potencial)- influirá a menudo en la respuesta. La teoría de la prospección, que
explora la toma de decisiones del ser humano, dice que los individuos no son neutrales ante el riesgo
y de hecho, una respuesta a pérdidas tiende a ser más extrema que otra frente a ganancias. Y con
esto surge una inclinación hacia la mala interpretación de las probabilidades y las reacciones hacia la
mejor solución. A modo ilustrativo, un individuo se enfrenta a dos conjuntos de opciones:
1. Aceptar una ganancia segura de 240 u.m. o bien una posibilidad del 25% de ganar 1.000 u.m. más
la restante probabilidad del 75% de no ganar nada.
2. Aceptar una pérdida segura de 750 u.m. o bien una posibilidad del 75% de perder 1.000 u.m. más
la restante probabilidad del 25% de no perder nada.
En el primer conjunto de opciones, la mayoría de las personas selecciona una “ganancia segura de
240”, debido a la inclinación a evitar riesgos en las ganancias y a las preguntas planteadas de forma
positiva. En contraste, la mayoría de las personas selecciona una “posibilidad del 75% de perder
1.000”, debido a la inclinación a asumir riesgos en las pérdidas y a las preguntas planteadas de modo
negativo. La teoría de la prospectiva mantiene que las personas no quieren arriesgar lo que ya tienen
o piensan que pueden tener, pero tendrán mayores tolerancias al riesgo cuando crean que pueden
minimizar pérdidas.
Figura 5.1
Técnicas de Evaluación
66
INFORME COSO-OKJ 25/5/05 18:14 Página 67
EVALUACIÓN DE RIESGOS
• Benchmarking
Es un proceso comparativo entre entidades, que enfoca eventos o procesos concretos, compara
medidas y resultados mediante métricas comunes e identifica oportunidades de mejora. Se des-
arrollan datos sobre dichos eventos y procesos y mediciones para comparar el funcionamiento.
Algunas empresas usan esta técnica para evaluar la probabilidad e impacto de eventos en un sec-
tor determinado.
• Modelos probalísticos
Sobre la base de ciertas hipótesis, los modelos probabilísticos relacionan una gama de eventos con
su probabilidad de ocurrencia e impacto resultante. Ambos conceptos se evalúan a partir de datos
históricos o resultados simulados que reflejen hipótesis de comportamiento futuro. Se usan mode-
los probabilísticos para evaluar el valor en riesgo, el flujo de caja en riesgo y los resultados en ries-
go y también para desarrollar distribuciones de pérdidas operacionales y crediticias. Los modelos
probabilísticos pueden usarse con diferentes horizontes de tiempo para estimar resultados tales
como la franja de valores de los instrumentos financieros a lo largo del tiempo y también, para eva-
luar resultados medios o esperados frente a impactos extremos o inesperados.
• Modelos no probalísticos
Los modelos no probabilísticos aplican hipótesis subjetivas para estimar el impacto de eventos sin
una probabilidad asociada cuantificada. La evaluación del impacto de eventos se basa en datos his-
tóricos o simulados e hipótesis de comportamiento futuro. Ejemplos de este tipo de modelos son las
medidas de sensibilidad, las pruebas de carga y los análisis de escenarios.
Figura 5.2
67
INFORME COSO-OKJ 25/5/05 18:14 Página 68
Cuando los eventos potenciales no están relacionados entre sí, la dirección los eva-
lúa individualmente. Por ejemplo, una empresa con unidades de negocio expuestas
a diferentes fluctuaciones de precios –tales como el de la pasta de papel o el de
monedas extranjeras– evaluaría los riesgos independientemente de los movimientos
del mercado. Pero cuando exista correlación entre los eventos o éstos se combinen
e interaccionen para crear probabilidades o impactos significativamente diferentes, la
dirección los evaluará en conjunto. Aunque el impacto de un solo evento pueda ser
ligero, el impacto de una secuencia o combinación de eventos puede ser más signi-
ficativo.
Cuando sea probable que los riesgos afecten a múltiples unidades de negocio, la
dirección puede agruparlos en categorías comunes de eventos y después, conside-
rarlos primero según unidad y luego conjuntamente para toda la entidad. Por ejem-
plo, las unidades de una empresa de servicios están sujetas al riesgo de modificación
del tipo de interés oficial y su dirección evalúa este riesgo no sólo en cada unidad,
sino también de una forma combinada global. Una empresa industrial tiene muchas
unidades de negocio, cada una expuesta a las fluctuaciones en el precio del oro, por
lo que la dirección agrega el riesgo de los cambios potenciales en dicho precio en una
única medida que muestra el efecto neto de un cambio de 1 u.m. por onza del metal
sobre su inventario total de oro.
La naturaleza de los eventos y el hecho de que estén relacionados o no, puede afec-
tar a las técnicas de evaluación utilizadas. Por ejemplo, al evaluar el impacto de even-
tos que podrían tener un efecto extremo, la dirección puede usar pruebas de “stress
testing”, mientras que para evaluar el efecto de eventos múltiples, la dirección puede
encontrar más útil el uso de simulaciones o análisis de escenarios.
68
INFORME COSO-OKJ 25/5/05 18:14 Página 69
EVALUACIÓN DE RIESGOS
69
INFORME COSO-OKJ 25/5/05 18:14 Página 70
INFORME COSO-OKJ 25/5/05 18:14 Página 71
Resumen del capítulo: Una vez evaluados los riesgos relevantes, la dirección
determina cómo responder a ellos. Las respuestas pueden ser las de evitar,
reducir, compartir y aceptar el riesgo. Al considerar su respuesta, la dirección
evalúa su efecto sobre la probabilidad e impacto del riesgo, así como los cos-
tes y beneficios, y selecciona aquella que sitúe el riesgo residual dentro de las
tolerancias al riesgo establecidas. La dirección identifica cualquier oportuni-
dad que pueda existir y asume una perspectiva del riesgo globalmente para la
entidad o bien una perspectiva de la cartera de riesgos, determinando si el
riesgo residual global concuerda con el riesgo aceptado por la entidad.
71
INFORME COSO-OKJ 25/5/05 18:14 Página 72
• Reducir
Implica llevar a cabo acciones para reducir la probabilidad o el impacto del riesgo
o ambos conceptos a la vez. Esto implica típicamente a algunas de las muchas
decisiones empresariales cotidianas.
• Compartir
La probabilidad o el impacto del riesgo se reducen trasladando o, de otro modo,
compartiendo una parte del riesgo. Las técnicas comunes incluyen la contratación
de seguros, la realización de operaciones de cobertura o la externalización de una
actividad.
• Aceptar
No se emprende ninguna acción que afecte a la probabilidad o el impacto del riesgo.
La figura 6.1 muestra ejemplos de cómo se aplican dichas respuestas a los riesgos.
• Evitar
Una organización sin ánimo de lucro identificó y evaluó los riesgos generados por el suministro
directo de servicios médicos a sus miembros y decidió no aceptar los riesgos correspondientes,
decidiendo facilitar en su lugar un servicio de referencia a terceros.
• Reducir
Una empresa dedicada a la compensación de valores bursátiles identificó y evaluó el riesgo de que
sus sistemas no estuvieran disponibles durante más de tres horas y concluyó que no podía aceptar
el impacto de tal evento. La empresa invirtió en tecnología y mejoró sus sistemas de autodetección
de fallos y seguridad, reduciendo así la probabilidad de que no estuviesen disponibles.
• Compartir
Una universidad identificó y evaluó el riesgo asociado a la gestión de sus residencias de estudian-
tes y concluyó que no tenía la capacidad interna suficiente para gestionar eficazmente dichas impor-
tantes instalaciones residenciales. La universidad externalizó la gestión de las residencias a una
empresa de gestión inmobiliaria, con la consiguiente reducción del impacto y probabilidad de los
riesgos correspondientes.
• Aceptar
Una agencia gubernamental identificó y evaluó los riesgos de incendio de sus infraestructuras en
varias regiones geográficas y también evaluó el coste de compartir su impacto mediante una póliza
de seguros. Concluyó que el coste adicional del seguro y las franquicias correspondientes excedían
del coste probable de reposición y decidió aceptar el riesgo.
Figura 6.1
72
INFORME COSO-OKJ 25/5/05 18:14 Página 73
Los riesgos inherentes se analizan y las respuestas a ellos se evalúan con el propó-
sito de conseguir un nivel de riesgo residual en línea con las tolerancias al riesgo de
la entidad. A menudo, cualquiera de las diversas respuestas posibles situará dicho
riesgo residual dentro del marco de esas tolerancias y, a veces, una combinación de
ellas proporcionará el resultado óptimo. Por otro lado, a veces una respuesta afecta-
rá a múltiples riesgos, en cuyo caso la dirección puede decidir que no se precisan
acciones adicionales para tratar un riesgo determinado.
Los recursos siempre presentan restricciones y las entidades pueden considerar los
costes y beneficios derivados de opciones alternativas de respuesta a este tipo de
riesgo. Las medidas de coste/beneficio para la puesta en práctica de respuestas se
realizan con varios niveles de precisión. Generalmente, es más fácil tratar los costes,
73
INFORME COSO-OKJ 25/5/05 18:14 Página 74
Respuestas Seleccionadas
Una vez evaluados los efectos de las respuestas alternativas a los riesgos, la direc-
ción decide cómo pretende gestionar los riesgos, seleccionando una respuesta o una
74
INFORME COSO-OKJ 25/5/05 18:14 Página 75
combinación de ellas diseñada para situar la probabilidad e impacto del riesgo den-
tro de las tolerancias establecidas. Sin embargo, cuando una respuesta a los riesgos
pudiera desembocar en que el riesgo residual superará la tolerancia establecida, la
dirección tiene que volver sobre sus pasos y revisar su respuesta o, bajo ciertas cir-
cunstancias, reconsiderar la tolerancia al riesgo establecida. Por tanto, el equilibrio
entre riesgo y tolerancia al riesgo puede implicar un proceso iterativo.
Evaluar las respuestas alternativas a los riesgos inherentes requiere tener en cuenta
los riesgos adicionales que pueden derivarse de cada respuesta, lo que puede iniciar
un proceso iterativo en que la dirección, antes de tomar su decisión, considere dichos
riesgos adicionales, incluyendo aquellos que pudieran no ser evidentes de modo
inmediato.
Una vez que la dirección selecciona una respuesta, es posible que necesite desarro-
llar un plan de implantación para ejecutarla. Una parte crítica de dicho plan es el esta-
blecimiento de acciones de control (presentadas en el capítulo siguiente) para ase-
gurar que se lleva a cabo la respuesta a los riesgos.
La dirección reconoce que siempre existirá algún nivel de riesgo residual, no sólo por
las limitaciones de los recursos, sino también por la incertidumbre del futuro y demás
limitaciones inherentes a todas las actividades.
75
INFORME COSO-OKJ 25/5/05 18:14 Página 76
facilitar información útil para la reasignación del capital entre unidades y la modifica-
ción de la orientación estratégica.
Un ejemplo es una empresa industrial que aplica una perspectiva de carteras de ries-
gos en el contexto de su objetivo de resultados operativos. La dirección aplica las
categorías comunes de eventos para captar riesgos en todas las unidades de nego-
cio. A continuación, elabora un gráfico que muestra, por categoría y unidad de nego-
cio, la probabilidad de riesgo en términos de frecuencia en un horizonte temporal y
los impactos relativos sobre resultados. El resultado es una perspectiva compuesta,
o de carteras, del riesgo al que se enfrenta la empresa, con la dirección y el consejo
de administración en situación de considerar la naturaleza, probabilidad y dimensión
relativa de los riesgos y cómo pueden afectar a los resultados.
Otro ejemplo es una entidad financiera que requiera de sus unidades de negocio que
establezcan objetivos, tolerancias al riesgo y medidas de rendimiento, todo en térmi-
nos de rendimiento del capital ajustado al riesgo. Esta métrica, consistentemente
aplicada, ayuda a la dirección a englobar las evaluaciones combinadas de riesgo de
las unidades en una perspectiva de carteras de riesgos para la entidad en su conjun-
to y le permite considerar los riesgos de las unidades por objetivo y determinar si la
entidad está dentro de su riesgo aceptado.
Cuando se mira el riesgo desde una perspectiva de carteras, la dirección está en
posición de considerar si permanece dentro del riesgo aceptado establecido.
Además, puede volver a evaluar la naturaleza y tipo del riesgo que desea asumir. En
casos donde la perspectiva de carteras contemple significativamente menores ries-
gos que el riesgo aceptado por la entidad, la dirección puede decidir motivar a los
directores de unidades individuales de negocio para que acepten un mayor riesgo en
áreas seleccionadas, esforzándose en mejorar el crecimiento y rendimiento global de
la entidad.
76
INFORME COSO-OKJ 25/5/05 18:14 Página 77
7. Actividades de control
Resumen del capítulo: Las actividades de control son las políticas y proce-
dimientos que ayudan a asegurar que se llevan a cabo las respuestas de la
dirección a los riesgos. Las actividades de control tienen lugar a través de la
organización, a todos los niveles y en todas las funciones. Incluyen una gama
de actividades –tan diversas como aprobaciones, autorizaciones, verificacio-
nes, conciliaciones, revisiones del funcionamiento operativo, seguridad de los
activos y segregación de funciones.
Las actividades de control son las políticas y procedimientos. Estos últimos son las
acciones de las personas para implantar las políticas, directamente o a través de la
aplicación de tecnología, y ayudar a asegurar que se llevan a cabo las respuestas de
la dirección a los riesgos. Las actividades de control pueden ser clasificadas por la
naturaleza de los objetivos de la entidad con la que están relacionadas: estrategia,
operaciones, información y cumplimiento.
77
INFORME COSO-OKJ 25/5/05 18:14 Página 78
78
INFORME COSO-OKJ 25/5/05 18:14 Página 79
ACTIVIDADES DE CONTROL
dirección necesita tomar medidas para asegurar que se consiguen los objetivos de
venta. Las actividades de control sirven como mecanismos para gestionar la conse-
cución de tal objetivo.
79
INFORME COSO-OKJ 25/5/05 18:14 Página 80
una capacidad insuficiente para completar los procesos claves puede significar que los objetivos
tengan una menor probabilidad de alcanzarse. El uso de esta información por los directivos –sólo
para decisiones operativas o también para seguir los resultados inesperados en los sistemas de
información– determina si el análisis de los indicadores de rendimiento sólo tienen efectos operati-
vos o también de control sobre la información.
• Segregación de funciones
Las funciones se dividen o segregan entre diferentes personas para reducir el riesgo de error o frau-
de. Por ejemplo, están segregadas las responsabilidades para autorizar transacciones, registrarlas y
manejar el activo correspondiente. Un director que autoriza las ventas a crédito no puede ser res-
ponsable del mantenimiento de las cuentas a cobrar o la custodia de los cobros. Asimismo, el per-
sonal comercial no tendrá capacidad para modificar los ficheros de precio de productos o los por-
centajes de comisión.
Figura 7.1
A menudo, se pone en marcha una combinación de controles para tratar las corres-
pondientes respuestas al riesgo. Por ejemplo, la dirección de una empresa fija los
límites de transacción para gestionar los riesgos relativos a una cartera de inversión
y establece actividades de control diseñadas para ayudar a asegurar que no se supe-
ran los límites de contratación. Las actividades de control incluyen controles preven-
tivos, para frenar ciertas transacciones antes de su ejecución, y controles de detec-
ción, para identificar otras oportunamente. Las actividades de control combinan con-
troles informáticos y manuales, incluyendo aquellos automatizados que aseguran la
captación correcta de la información, y procedimientos de autorización y aprobación
de las decisiones de inversión por parte de las personas responsables.
Políticas y procedimientos
Las actividades de control normalmente implican dos componentes: una política que
establece lo que debe hacerse y procedimientos para llevarla a cabo. Por ejemplo,
una política podría exigir la revisión de las actividades de contratación de clientes por
parte de un director de oficina de una entidad de gestión bursátil. El procedimiento lo
constituye dicha revisión en sí misma, realizada de manera oportuna y con atención
a los factores establecidos en la política, tales como la naturaleza y volumen de los
valores contratados y su relación con el patrimonio y edad del cliente.
Muchas veces, las políticas se comunican verbalmente. Las políticas no escritas pue-
den ser eficaces cuando la política lleve años en vigor y constituya una práctica bien
comprendida y en organizaciones reducidas donde los canales de comunicación
impliquen pocos niveles directivos y una interacción estrecha, junto con la supervi-
sión del personal. Pero independientemente de si está escrita o no, una política debe-
ría implantarse de forma meditada, consciente y consecuente. Un procedimiento no
será útil si se lleva a cabo mecánicamente y sin un enfoque claro y continuo sobre las
condiciones a las que se orienta la política. Posteriormente, es esencial investigar las
condiciones identificadas como resultado del procedimiento y adoptar las acciones
correctivas necesarias. Las acciones de seguimiento podrían variar según la dimen-
sión y estructura organizativa de una empresa. Pueden abarcar desde procesos for-
males de información de una empresa grande –donde las unidades de negocio expli-
can por qué no se alcanzan los objetivos y qué acciones se están adoptando para
80
INFORME COSO-OKJ 25/5/05 18:14 Página 81
ACTIVIDADES DE CONTROL
Con una dependencia importante de los sistemas de información para operar una
empresa y alcanzar los objetivos de información y cumplimiento, hacen falta contro-
les sobre dichos sistemas. Pueden usarse dos amplios grupos de actividades de con-
trol de los sistemas de información. El primero lo forman los controles generales, que
se aplican a muchos de esos sistemas, si no a todos, y ayudan a asegurar que siguen
funcionando continua y adecuadamente. El segundo son los controles de aplicación,
que incluyen fases informatizadas dentro del software para controlar el proceso.
Ambos tipos de controles, combinados con controles manuales de proceso cuando
sea necesario, operan juntos para asegurar la integridad, exactitud y validez de la
información.
Controles Generales
81
INFORME COSO-OKJ 25/5/05 18:14 Página 82
Figura 7.2
Controles de Aplicación
Figura 7.3
82
INFORME COSO-OKJ 25/5/05 18:14 Página 83
ACTIVIDADES DE CONTROL
83
INFORME COSO-OKJ 25/5/05 18:14 Página 84
INFORME COSO-OKJ 25/5/05 18:14 Página 85
8. Información y comunicación
85
INFORME COSO-OKJ 25/5/05 18:14 Página 86
Cada empresa identifica y capta una amplia gama de información, relativa a los even-
tos y actividades tanto externos como internos, relevantes para dirigir la entidad. Esta
información se facilita al personal de una forma y en un marco de tiempo que le per-
mitan llevar a cabo su gestión de riesgos corporativos y demás responsabilidades.
Información
86
INFORME COSO-OKJ 25/5/05 18:14 Página 87
INFORMACIÓN Y COMUNICACIÓN
Como las empresas se han hecho más colaboradoras con los clientes, proveedores
y socios de negocio y se integran más con ellos, la división entre la arquitectura de
los sistemas de información de una entidad y la de los terceros es cada vez más
ténue. Como resultado, el procesamiento y la gestión de datos a menudo llega a ser
una responsabilidad compartida de múltiples entidades. En tales casos, la arquitec-
tura de los sistemas de información de una organización debe ser suficientemente
flexible y ágil como para integrarse eficazmente con los terceros vinculados.
El diseño de una arquitectura de sistemas de información y la adquisición de la tec-
nología son aspectos importantes de la estrategia de una entidad y las decisiones
respecto a la tecnología pueden resultar críticas para lograr los objetivos. Las deci-
siones sobre la selección e implantación de tecnología dependen de muchos facto-
res, incluyendo objetivos organizativos, necesidades del mercado y exigencias com-
petitivas. Aunque los sistemas de información sean fundamentales para una gestión
eficaz de riesgos corporativos, también las técnicas empleadas en esta gestión pue-
den ayudar a tomar decisiones tecnológicas.
Desde hace mucho tiempo, los sistemas de información se diseñan y aplican para
apoyar la estrategia de negocio. Este papel se hace crítico a medida que las necesi-
dades del negocio cambian y la tecnología crea nuevas oportunidades para aprove-
char una ventaja estratégica. En algunos casos, los cambios tecnológicos han redu-
cido la ventaja adquirida en el despliegue inicial, al impulsar un nuevo rumbo estra-
tégico. Por ejemplo, los sistemas de reserva de las líneas aéreas que facilitaron a los
agentes de viajes un acceso fácil a la información de vuelo, luego se desplazaron
hacia el cliente –enfrentándose a sistemas de reserva por Internet, reduciendo o eli-
minando de modo significativo la implicación de la agencia de viajes tradicional.
87
INFORME COSO-OKJ 25/5/05 18:14 Página 88
88
INFORME COSO-OKJ 25/5/05 18:14 Página 89
INFORMACIÓN Y COMUNICACIÓN
Calidad de la Información
89
INFORME COSO-OKJ 25/5/05 18:14 Página 90
Comunicación
Comunicación Interna
90
INFORME COSO-OKJ 25/5/05 18:14 Página 91
INFORMACIÓN Y COMUNICACIÓN
Los empleados de línea que tratan los temas operativos críticos cada día son a menu-
do los mejor situados para reconocer los problemas cuando surgen y los canales de
comunicación deberían asegurar que el personal puede comunicar la información
basada en el riesgo a todas las unidades de negocio, procesos o funciones, además
de enviarla a sus superiores. Por ejemplo, los representantes comerciales o los gesto-
res de cuenta pueden enterarse de las necesidades importantes del cliente sobre el
diseño de un producto, el personal de producción puede conocer unas deficiencias
costosas de proceso y el personal de compras puede encontrarse con incentivos
inadecuados procedentes de los proveedores. Los fallos de comunicación pueden
ocurrir cuando se disuade a personas o unidades de negocio de que faciliten infor-
mación importante a otras personas o unidades o bien cuando aquellas no tienen
herramientas para hacerlo. El personal podría ser consciente de los riesgos importan-
tes, pero puede estar poco dispuesto a informar de ellos o ser incapaz de hacerlo.
Para que tal información sea informada, debe haber canales abiertos de comunica-
ción y una clara disposición de escucha. El personal debe creer que sus superiores
realmente quieren conocer los problemas y tratarlos eficazmente. La mayoría de los
directivos reconocen intelectualmente que deberían evitar la reacción de “matar al
mensajero”. Sin embargo, al calor del momento, pueden ser poco receptivos a las
personas que aportan problemas legítimos. El personal absorbe rápidamente las
señales orales o no orales cuando un superior no tiene el tiempo ni el interés para tra-
tar los problemas detectados. Y para colmo, el directivo poco receptivo es el último
en saber que el canal de comunicaciones ha sido efectivamente sellado.
En la mayoría de los casos, las líneas normales de información de una organización son
los canales adecuados de comunicación. En algunas circunstancias, sin embargo,
hacen falta líneas de comunicación independientes que sirvan como mecanismo de
seguridad en caso de que los canales normales no sean operativos. Junto con la super-
visión del consejo o del comité de auditoría, muchas empresas proporcionan, y hacen
que los empleados lo sepan, un canal directo al responsable de auditoría interna, al
asesor legal o a otro alto directivo con acceso al consejo de administración y las leyes
y normas exigen cada vez más que las compañías establezcan estos mecanismos.
Debido a su importancia, una gestión eficaz de riesgos corporativos requiere dicho
canal alternativo de comunicaciones. Sin ambos canales de comunicación abiertos y
sin disposición a escuchar, el flujo ascendente de información puede bloquearse.
Es importante que el personal entienda que no habrá represalias por comunicar infor-
mación relevante. Se envía un mensaje claro con la existencia de mecanismos que
animen a los empleados a informar de las violaciones sospechadas del código de
conducta de una entidad o por el trato que se dé al personal que presente denuncias.
Puede potenciarse estos mensajes importantes con un código de conducta integral y
relevante, sesiones de formación del personal, mecanismos corporativos permanentes
de comunicaciones y retroalimentación y un ejemplo adecuado de la alta dirección.
Entre los canales más críticos de comunicación está aquél entre la alta dirección y el
consejo de administración. La dirección debe mantener al día al consejo sobre el fun-
cionamiento de la entidad, los riesgos que afronta, la gestión corporativa de estos
últimos y demás eventos o temas relevantes. Cuanto mejor sean las comunicaciones,
más eficaz será el consejo en llevar a cabo sus responsabilidades supervisoras
–actuando como una caja de resonancia para la dirección en temas críticos, siguien-
do sus actividades y facilitando consejos y orientación. Del mismo modo, el consejo
91
INFORME COSO-OKJ 25/5/05 18:14 Página 92
Comunicación Externa
Medios de Comunicación
92
INFORME COSO-OKJ 25/5/05 18:14 Página 93
9. Supervisión
La gestión de riesgos corporativos de una entidad cambia con el tiempo. Las res-
puestas a los riesgos que antaño eran eficaces pueden llegar a ser irrelevantes, las
actividades de control pueden resultar menos eficaces o inexistentes o los objetivos
de la entidad pueden cambiar. Esto puede ser debido a la llegada de nuevo personal,
93
INFORME COSO-OKJ 25/5/05 18:14 Página 94
94
INFORME COSO-OKJ 25/5/05 18:14 Página 95
SUPERVISIÓN
• Los directivos que revisan los informes operativos, usados para gestionar las operaciones de modo
permanente, pueden detectar inexactitudes o excepciones relativas a los resultados esperados. Por
ejemplo, los directores de ventas, compras y producción al nivel de división, filial y entidad que están
en contacto con las operaciones pueden cuestionar los informes que discrepen significativamente
de su conocimiento de las operaciones. Una información oportuna y completa y la resolución de
dichas excepciones mejoran la eficacia del proceso.
• Los cambios en la información incluida en los modelos de valor en riesgo usados para evaluar los
impactos de los movimientos potenciales del mercado sobre la posición financiera de la entidad se
refieren a las transacciones financieras comunicadas, centrándose en las relaciones esperadas.
• Los reguladores se comunican con la dirección sobre temas de cumplimiento u otros que reflejan el
funcionamiento de la gestión de riesgos corporativos.
• Los auditores y asesores internos y externos facilitan periódicamente recomendaciones para refor-
zar la gestión de riesgos corporativos. Los auditores pueden prestar una atención considerable a los
riesgos claves, las respuestas a ellos y el diseño de las actividades de control. Pueden identificarse
debilidades potenciales y recomendarse a la dirección acciones alternativas, acompañadas de infor-
mación útil para efectuar determinaciones sobre coste-beneficio. Los auditores internos y otro per-
sonal que desarrolle funciones similares de revisión pueden ser particularmente eficaces en la super-
visión de las actividades de la entidad.
• Los seminarios de formación, sesiones de planificación y otras reuniones proporcionan una retroa-
limentación importante a la dirección sobre si la gestión de riesgos corporativos está siendo eficaz.
Junto a problemas particulares que pueden indicar la presencia de temas de riesgo, a menudo se
hace patente la consciencia de los participantes respecto al riesgo y el control interno.
• Durante el transcurso normal de la gestión del negocio, los directivos comentan con el personal
temas tales como su entendimiento del código de conducta de la identidad, cómo identifican los
riesgos y asuntos relacionados con el control de las actividades. Estos comentarios confirman el
funcionamiento correcto de los componentes de la gestión de riesgos corporativos o sacan a la
superficie cuestiones que requieren atención.
Figura 9.1
Evaluaciones Independientes
95
INFORME COSO-OKJ 25/5/05 18:14 Página 96
Alcance y Frecuencia
Quién Evalúa
A menudo, las evaluaciones tienen la forma de autoevaluaciones, en las que los res-
ponsables de una determinada unidad o función establecen la eficacia de la gestión
de riesgos corporativos en sus actividades. Por ejemplo, el consejero delegado de
una división dirige la evaluación de sus actividades de gestión de riesgos.
Personalmente, evalúa las actividades relativas a las decisiones estratégicas y los
objetivos de alto nivel, junto al componente de ámbito interno, mientras que las per-
sonas responsables de las diversas actividades operativas de la división evalúan la
eficacia de los componentes de la gestión de riesgos relacionados con sus respecti-
vas áreas de responsabilidad. Los directores de línea se centran en los objetivos ope-
rativos y de cumplimiento y el controller de la división afronta los objetivos de infor-
mación. A continuación, la alta dirección considera las evaluaciones de la división,
junto con las de otras divisiones de la empresa.
Los auditores internos normalmente realizan evaluaciones como parte de sus funcio-
nes normales o a petición expresa de la alta dirección, el consejo de administración
o los directivos de filiales y divisiones. Asimismo, la dirección puede utilizar informa-
ción de los auditores externos para considerar la eficacia de la gestión de riesgos
corporativos. Se puede aplicar una combinación de esfuerzos a la realización de los
procedimientos de evaluación que la dirección estime necesarios.
Proceso de Evaluación
96
INFORME COSO-OKJ 25/5/05 18:14 Página 97
SUPERVISIÓN
Metodología
Documentación
97
INFORME COSO-OKJ 25/5/05 18:14 Página 98
Información de Deficiencias
Fuentes de Información
De qué se Informa
¿Qué es lo que se debería informar?. Aunque no sea posible una respuesta universal,
hay ciertos parámetros que pueden delimitarse.
Todas las deficiencias identificadas de gestión de riesgos corporativos que afectan a
la capacidad de la entidad para desarrollar e implantar su estrategia y establecer y
alcanzar sus objetivos deberían comunicarse a quienes se encuentran en posición de
98
INFORME COSO-OKJ 25/5/05 18:14 Página 99
SUPERVISIÓN
tomar las medidas necesarias. La naturaleza de los temas a comunicar variará según
la autoridad individual para abordar las circunstancias que surjan y las actividades de
supervisión de sus superiores. Al considerar qué se necesita comunicar, es preciso
observar las implicaciones de los resultados. No sólo es esencial que se informe de
una transacción o evento determinado, sino también que se vuelvan a evaluar aque-
llos procedimientos potencialmente defectuosos.
Se puede argumentar que no existe ningún problema tan insignificante que no merez-
ca una investigación de sus implicaciones. Que un empleado coja un poco de dinero
de la caja para su uso personal, por ejemplo, no es un hecho significativo en sí mismo
y probablemente ni en términos del importe total manejado en dicha caja. Así que la
investigación podría no valer la pena. Sin embargo, la aparente aprobación del uso
personal del dinero de la entidad que esa inacción supondría, transmitiría un mensa-
je equivocado a los empleados.
Junto a las deficiencias, también debería informarse de las oportunidades identifica-
das que puedan aumentar la probabilidad de conseguir los objetivos de la entidad.
A quién se Informa
Directrices de Información
99
INFORME COSO-OKJ 25/5/05 18:14 Página 100
Los altos directivos deberían ser informados de las deficiencias en la gestión de ries-
gos y de control que afecten a sus unidades. Ejemplos de ellas son las circunstan-
cias en que los activos con un determinado valor monetario no están protegidos ade-
cuadamente, donde la competencia de los empleados es insuficiente o cuando no se
llevan a cabo correctamente las conciliaciones financieras. Los directivos deberían
ser informados de las deficiencias en sus unidades, con niveles de detalle en aumen-
to cuanto más se desciende por la estructura organizativa.
Los supervisores definen los protocolos de información para sus subordinados. El
grado de especificidad variará, aumentando normalmente en los niveles inferiores de
la organización. Aunque dichos protocolos puedan impedir una información eficaz si
se definen de modo demasiado restrictivo, ésta se puede mejorar proporcionándole
flexibilidad suficiente.
Las partes interesadas a las que hay que comunicar las deficiencias a veces propor-
cionan directrices concretas respecto a lo que debería comunicarse. Un consejo de
administración o comité de auditoría, por ejemplo, puede solicitar a la dirección o a
los auditores internos o externos que comuniquen sólo aquellas deficiencias que
alcancen un determinado umbral de importancia.
100
INFORME COSO-OKJ 25/5/05 18:14 Página 101
Resumen del capítulo: Todo el personal de una entidad tiene alguna respon-
sabilidad en la gestión de riesgos corporativos. El consejero delegado es res-
ponsable en último lugar y debería asumir su “titularidad”. Otros directivos apo-
yan la filosofía de gestión de riesgos, promocionan el cumplimiento del riesgo
aceptado y gestionan los riesgos dentro de sus áreas de responsabilidad, en
coherencia con las tolerancias al riesgo. Otras personas son responsables de
desarrollar la gestión de riesgos corporativos según las directivas y protocolos
establecidos. El consejo de administración proporciona una importante super-
visión de dicha gestión. Algunos terceros facilitan a menudo información útil
para llevarla a cabo, aunque no sean responsables de su eficacia.
Personal de la Entidad
Consejo de Administración
101
INFORME COSO-OKJ 25/5/05 18:14 Página 102
La Dirección
102
INFORME COSO-OKJ 25/5/05 18:14 Página 103
ROLES Y RESPONSABILIDADES
103
INFORME COSO-OKJ 25/5/05 18:14 Página 104
Responsable de Riesgos
104
INFORME COSO-OKJ 25/5/05 18:14 Página 105
ROLES Y RESPONSABILIDADES
Algunas empresas asignan este papel a otro alto directivo, tales como el director
financiero, el máximo responsable legal, el director de auditoría interna o el director
de cumplimiento. Otras han decidido que la importancia y amplitud del alcance de
esta función requieren una asignación funcional y recursos diferenciados.
Las empresas han visto que este papel tiene más éxito cuando se establecen clara-
mente sus responsabilidades como función de apoyo –proporcionando soporte y
ayuda a los directores de línea. Para que la gestión de riesgos corporativos sea efi-
caz, los directores de línea deben asumir la responsabilidad primordial de dicha ges-
tión en sus áreas respectivas.
Las responsabilidades del director de riesgos pueden incluir lo siguiente:
• Establecer las políticas de la gestión de riesgos corporativos, incluyendo la defini-
ción de papeles y responsabilidades, y participar en la formulación de objetivos
para su implantación
• Enmarcar la autoridad y responsabilidad de la gestión de riesgos corporativos en
las unidades de negocio
• Promover las capacidades de gestión de riesgos corporativos en toda la entidad,
facilitando el desarrollo de pericia técnica en dicha gestión y ayudando a los direc-
tivos a alinear las respuestas a los riesgos con las tolerancias a ellos y la aplicación
de adecuados controles
• Guiar la integración de la gestión de riesgos corporativos con otras actividades de
planificación del negocio y de gestión
• Establecer un lenguaje común para la gestión de riesgos que incluya la unificación
de medidas de su probabilidad e impacto y de las categorías de riesgo
• Ayudar a los directivos a desarrollar protocolos de información, incluyendo umbra-
les cuantitativos y cualitativos, y a supervisar el proceso de distribución de informes
• Informar al consejero delegado sobre el progreso y las excepciones resultantes, así
como de las acciones necesarias recomendadas
Directivos Financieros
Los controllers y directores financieros, con sus equipos, son particularmente impor-
tantes para las actividades de gestión de riesgos corporativos, pues sus actividades
propias inciden ascendente y descendentemente en todas las unidades operativas y
de negocio. Con mucha frecuencia, estos directivos están implicados en el desarrollo
de presupuestos y planes globales de la entidad, al mismo tiempo que siguen y ana-
lizan su funcionamiento, a menudo desde una perspectiva operativa, de cumplimien-
to y de información. Estas actividades usualmente forman parte de una organización
central o “corporativa”, aunque normalmente también tienen una responsabilidad
“autorizativa” para supervisar las actividades de divisiones, filiales y demás unidades.
El director financiero, el director de contabilidad, el controller y otros responsables de
la función financiera son esenciales en el modo con que la dirección ejerce la gestión
de riesgos corporativos. Todos juegan un papel importante en la prevención y detec-
ción de la información fraudulenta y, además, el director financiero, como parte de la
alta dirección, ayuda a establecer el talante de conducta ética de la organización, es
105
INFORME COSO-OKJ 25/5/05 18:14 Página 106
Auditores Internos
106
INFORME COSO-OKJ 25/5/05 18:14 Página 107
ROLES Y RESPONSABILIDADES
Terceros
Auditores Externos
107
INFORME COSO-OKJ 25/5/05 18:14 Página 108
dicha gestión. Sin embargo, cuando las leyes o normas exigen que el auditor evalúe
las declaraciones de una empresa relativas a su control interno sobre la información
financiera y los fundamentos en que se apoyan dichas declaraciones, el alcance del
trabajo dirigido a dichas áreas será más amplio y se obtendrá información y seguri-
dad adicionales.
Legisladores y Reguladores
Los clientes, proveedores, socios de negocio y otros terceros que colaboran en los
negocios de una entidad son una fuente importante de información usada en las acti-
vidades de gestión de riesgos corporativos. La información puede ser variada, desde
la demanda emergente de productos o servicios nuevos, discrepancias sobre envíos
y facturas, temas de calidad o acciones de empleados que desbordan las fronteras
del comportamiento ético. Esta información puede ser muy importante para la enti-
dad en el logro de sus objetivos estratégicos, operativos, de información y de cum-
plimiento. La entidad debe disponer de mecanismos para recibir tal información y
tomar las acciones adecuadas. Estas últimas no sólo implican abordar la situación de
la que se ha informado, sino también investigar el origen subyacente del problema y
remediarlo.
108
INFORME COSO-OKJ 25/5/05 18:14 Página 109
ROLES Y RESPONSABILIDADES
Además de los clientes y proveedores, otros terceros, tales como los acreedores,
pueden facilitar una supervisión respecto a la consecución de objetivos de la entidad.
Un banco, por ejemplo, puede solicitar informes sobre el cumplimiento por parte de
una entidad de ciertos acuerdos sobre la deuda. También puede recomendar indica-
dores de funcionamiento u otros objetivos o controles deseados.
109
INFORME COSO-OKJ 25/5/05 18:14 Página 110
INFORME COSO-OKJ 25/5/05 18:14 Página 111
Resumen del capítulo: Una eficaz gestión de riesgos corporativos, sin impor-
tar su grado de buen diseño y ejecución, sólo proporciona una seguridad
razonable a la dirección y al consejo de administración respecto a la conse-
cución de objetivos de la entidad. Esta consecución está afectada por las limi-
taciones inherentes a cualquier proceso de gestión, que incluyen los factores
de que el juicio humano en la toma de decisiones puede ser defectuoso y que
pueden ocurrir problemas por causa de fallos humanos como simples errores
o equivocaciones. Adicionalmente, cabe considerar que los controles pueden
evadirse con la connivencia de dos o más personas y la dirección tiene capa-
cidad para obviar el proceso de gestión de riesgos corporativos, incluyendo
las decisiones de respuesta a los riesgos y las actividades de control. Otro
factor limitativo es la necesidad de considerar los costes y beneficios relativos
a las respuestas a los riesgos
111
INFORME COSO-OKJ 25/5/05 18:14 Página 112
Juicios
Fracasos
Una gestión de riesgos corporativos bien diseñada puede fallar. Es posible que el per-
sonal no entienda bien las instrucciones y que cometa errores de juicio o por desidia,
distracción o fatiga. Un supervisor de un departamento de contabilidad que sea res-
ponsable de la investigación de incidencias sencillamente puede olvidarse de hacer
el seguimiento o fallar al no continuar la investigación hasta el punto conveniente
donde efectuar correcciones adecuadas. El personal temporal que realiza funciones
de control supliendo a empleados de baja por enfermedad o vacaciones puede des-
empeñar mal su cometido. Los cambios de sistema pueden haberse implantado
antes de formar al personal para que reaccione adecuadamente ante los signos de
funcionamiento incorrecto.
Connivencia
Las situaciones de connivencia entre dos o más individuos pueden provocar fallos en
la gestión de riesgos corporativos. Las personas que actúan colectivamente para per-
petrar y ocultar un acto a menudo pueden alterar datos financieros u otra información
de gestión de una forma que no pueda ser identificada por el proceso de gestión de
riesgos corporativos. Por ejemplo, puede haber confabulación entre un empleado
que realiza una importante función de control y un cliente, un proveedor u otro emple-
ado. A un nivel distinto, varios niveles de la dirección de ventas o de otra división
podrían conspirar para eludir controles y conseguir que los resultados a informar
coincidan o superen los objetivos presupuestados o fijados como incentivo.
112
INFORME COSO-OKJ 25/5/05 18:14 Página 113
Costes y Beneficios
Imposición de la Dirección
La gestión de riesgos corporativos es tan eficaz como lo sean las personas respon-
sables de su funcionamiento. Incluso en entidades gestionadas y controladas eficaz-
mente –aquellas con niveles generalmente altos de integridad y conciencia de los
riesgos y del control, canales alternativos de comunicaciones y un consejo de admi-
nistración activo e informado que posea un adecuado proceso de gobierno corpora-
tivo– un directivo todavía podría hacer caso omiso de la gestión de riesgos corpora-
tivos. Ningún sistema de control o gestión es infalible y aquellas personas con inten-
ciones delictivas se empeñarán en burlar los sistemas. Sin embargo, una gestión efi-
caz de riesgos corporativos mejorará la capacidad de la entidad para prevenir y
detectar aquellas actividades que hagan caso omiso de ella.
El término “imposición de la dirección” se usa aquí con el significado de hacer caso
omiso de las políticas o procedimientos estipulados con fines no legítimos – tales
como el enriquecimiento personal o la presentación mejorada de la posición finan-
ciera o del nivel cumplimiento de una entidad. Un director de una división o unidad o
un miembro de la alta dirección pueden prescindir de la gestión de riesgos corpora-
tivos por muchas razones: aumentar los ingresos informados para cubrir una reduc-
ción inesperada de cuota de mercado, alterar los resultados informados a fin de
alcanzar presupuestos no realistas, incrementar el valor de mercado de la entidad
antes de una oferta publica de venta, lograr las proyecciones de ventas o resultados
113
INFORME COSO-OKJ 25/5/05 18:14 Página 114
114
INFORME COSO-OKJ 25/5/05 18:14 Página 115
Las acciones que podrían llevarse a cabo como consecuencia de este documento
dependen de la posición y papel de las partes implicadas.
115
INFORME COSO-OKJ 25/5/05 18:14 Página 116
• Asociaciones profesionales
Las asociaciones profesionales que establecen reglas y otras profesionales que
facilitan orientación sobre la gestión financiera, auditoría y temas relacionados
deberían examinar sus normas y orientaciones a la luz de este Marco. En la medi-
da en que se elimine la diversidad en conceptos y terminología, todas las partes se
beneficiarán.
• Educadores
Este Marco debería estar sujeto a la investigación y análisis universitario, para ver
dónde se pueden hacer futuras mejoras. En la idea de que este documento llegue
a aceptarse como una base común de comprensión y entendimiento, sus concep-
tos y términos deberían encontrar su lugar en los planes de estudios universitarios.
Creemos que su contenido ofrece numerosos beneficios. Con esta base de entendi-
miento mutuo, todas las partes podrán hablar un lenguaje común y comunicarse más
eficazmente. Los directivos estarán en posición de evaluar los procesos de gestión
de riesgos corporativos respecto a una norma, potenciando el proceso y dirigiendo
sus empresas hacia los objetivos establecidos. La investigación futura puede apo-
yarse sobre una base sólida. Los legisladores y reguladores podrán conseguir un
incremento de su comprensión acerca de la gestión de riesgos corporativos, sus
beneficios y limitaciones. Con todas las partes implicadas utilizando un marco común
para dicha gestión, se conseguirán beneficios para todos.
116
INFORME COSO-OKJ 25/5/05 18:14 Página 117
INFORME COSO-OKJ 25/5/05 18:14 Página 118
INFORME COSO-OKJ 25/5/05 18:14 Página 119
Gestión
de Riesgos Corporativos -
Marco Integrado
Anexos
INFORME COSO-OKJ 25/5/05 18:14 Página 120
INFORME COSO-OKJ 25/5/05 18:14 Página 121
Anexo A
Objetivos y metodología
121
INFORME COSO-OKJ 25/5/05 18:14 Página 122
1. Evaluación
2. Visión
3. Construcción y Diseño
En esta fase, el equipo refinó el Marco y desarrolló en mayor amplitud las técnicas de
aplicación, revisándolas con los directivos de varias empresas, que facilitaron retroa-
limentación sobre su valor y utilidad.
5. Finalización
Esta fase abarcó la presentación del volumen del Marco para información pública
durante noventa días y comprobaciones de campo en varias empresas. Una vez
recogidos los comentarios, el equipo de proyecto los revisó y analizó, identificando
las modificaciones necesarias. El equipo finalizó el Marco y las Técnicas de
Aplicación y remitió los textos definitivos al Consejo Asesor y la Junta del COSO para
su revisión y aprobación.
122
INFORME COSO-OKJ 25/5/05 18:14 Página 123
123
INFORME COSO-OKJ 25/5/05 18:14 Página 124
INFORME COSO-OKJ 25/5/05 18:14 Página 125
Anexo B
Resumen de principios claves
ÁMBIENTE INTERNO
Riesgo aceptado
• El riesgo aceptado por la entidad refleja su filosofía de gestión de riesgos e influye
en la cultura y estilo operativo
• Se tiene en consideración en el establecimiento de la estrategia, que queda en línea
con el riesgo aceptado
Consejo de Administración
• El consejo es activo y posee una adecuada experiencia directiva y técnica y de otro
tipo, junto con la mentalidad necesaria para realizar sus funciones supervisoras
125
INFORME COSO-OKJ 25/5/05 18:14 Página 126
Estructura organizativa
• La estructura organizativa define las áreas clave de responsabilidad
• Establece las líneas de información
• Se desarrolla teniendo en cuenta la dimensión de la entidad y la naturaleza de sus
actividades
• Permite una gestión eficaz de riesgos corporativos
126
INFORME COSO-OKJ 25/5/05 18:14 Página 127
ESTABLECIMIENTO DE OBJETIVOS
Objetivos estratégicos
• Los objetivos estratégicos de la entidad establecen objetivos de alto nivel, en línea
con su misión / visión y dando apoyo a ésta
• Reflejan las decisiones estratégicas de la dirección respecto a cómo la entidad pre-
tenderá crear valor para sus grupos de interés
• La dirección identifica los riesgos asociados a las decisiones estratégicas y consi-
dera sus implicaciones
Objetivos conexos
• Los objetivos conexos apoyan la estrategia seleccionada, relativa a todas las acti-
vidades de la entidad
• Cada nivel de objetivos está vinculado a objetivos más específicos que fluyen en
cascada por toda la organización
• Los objetivos son fácilmente comprensibles y medibles
• Están en línea con el riesgo aceptado
Objetivos seleccionados
• La dirección tiene un proceso que alinea los objetivos estratégicos con la misión de
la entidad, asegurando que los objetivos estratégicos y relacionados son conse-
cuentes con el riesgo aceptado por la entidad
127
INFORME COSO-OKJ 25/5/05 18:14 Página 128
Riesgo aceptado
• El riesgo aceptado por la entidad es la guía principal para establecer la estrategia
• Orienta la dotación de recursos
• Alinea a la organización, personas, procesos e infraestructura
Tolerancias al riesgo
• Las tolerancias al riesgo son medibles, preferiblemente en las mismas unidades que
los objetivos conexos
• Están en línea con el riesgo aceptado
IDENTIFICACIÓN DE EVENTOS
Eventos
• La dirección identifica los eventos potenciales que afectan a la implantación de la
estrategia o a la consecución de los objetivos – aquéllos que pueden tener un
impacto positivo o negativo o de ambos tipos
• Se tienen en cuenta incluso los eventos con una posibilidad de ocurrencia relativa-
mente baja siempre que su impacto sobre la consecución de algún objetivo sea
importante
Factores influyentes
• La dirección reconoce la importancia de entender los factores internos y externos y
el tipo de eventos que pueden emanar de ellos
• Se identifican los eventos tanto a nivel de entidad como de actividad
Interdependencias
• La dirección entiende cómo los eventos se relacionan entre sí
128
INFORME COSO-OKJ 25/5/05 18:14 Página 129
EVALUACIÓN DE RIESGOS
Técnicas de evaluación
• La dirección usa una combinación de técnicas cualitativas y cuantitativas
• Las técnicas apoyan el desarrollo de una evaluación compuesta de los riesgos
RESPUESTA AL RIESGO
129
INFORME COSO-OKJ 25/5/05 18:14 Página 130
Respuestas seleccionadas
• Las respuestas elegidas por la dirección están diseñadas para enmarcar la proba-
bilidad de riesgo esperada y el impacto dentro de las tolerancias de riesgo
• La dirección considera los riesgos adicionales que pueden derivarse de una res-
puesta
ACTIVIDADES DE CONTROL
Políticas y procedimientos
• Las políticas se implantan de forma meditada, consciente y coherente
130
INFORME COSO-OKJ 25/5/05 18:14 Página 131
• Los procedimientos se llevan a cabo con un enfoque claro y permanente sobre las
condiciones hacia las que se orienta la política
• Las condiciones identificadas como resultado del procedimiento son investigadas y
se toman las acciones correctoras adecuadas
Controles informáticos
• Se implantan adecuados controles generales y de aplicaciones
INFORMACIÓN Y COMUNICACIÓN
Información
• La información relevante se obtiene de fuentes internas y externas
• La entidad capta y usa los datos históricos y actuales, según necesidad, para apo-
yar una gestión eficaz de riesgos corporativos
• La infraestructura de información convierte los datos no tratados en información
relevante que ayuda al personal a realizar su gestión de riesgos corporativos y otras
responsabilidades. La información se facilita con profundidad, forma y marco tem-
poral adecuados para que resulte disponible, utilizable y vinculada a responsabili-
dades definidas –incluyendo la necesidad de identificar y evaluar el riesgo y res-
ponder al mismo
• Los datos e información fuente son fiables y facilitados a tiempo en el lugar ade-
cuado para permitir una toma eficaz de decisiones
• La oportunidad del flujo de información es coherente con el ritmo de cambios en los
entornos externos e internos de la entidad
• Los sistemas de información cambian según se necesite para apoyar a los objeti-
vos nuevos
Comunicación
• La dirección proporciona una comunicación específica y directa relativa a las
expectativas de comportamiento y responsabilidades del personal, incluyendo una
nítida exposición de la filosofía y enfoque de gestión de riesgos corporativos de la
entidad y una clara delegación de autoridad
• La comunicación sobre procesos y procedimientos está en línea con la cultura
deseada y se ajusta a ella
• Todo el personal recibe un mensaje claro desde la alta dirección de que la gestión
de riesgos corporativos ha de tomarse en serio
• El personal sabe cómo sus actividades se relacionan con el trabajo de los demás,
permitiéndoles reconocer los problemas, determinar sus causas y tomar acciones
correctoras
131
INFORME COSO-OKJ 25/5/05 18:14 Página 132
SUPERVISIÓN
Evaluaciones independientes
• Las evaluaciones independientes se centran directamente en la eficacia de la ges-
tión de riesgos corporativos y proporcionan una oportunidad para considerar la
efectividad de las actividades de supervisión permanente.
• El evaluador entiende cada una de las actividades de la entidad y cada componen-
te de la gestión de riesgos corporativos que está siendo abordado
• El evaluador analiza el diseño de la gestión de riesgos corporativos de la entidad y
los resultados de las pruebas realizadas frente al trasfondo de normas establecidas
por la dirección, determinando si dicha gestión proporciona una seguridad razona-
ble respecto a los objetivos fijados
132
INFORME COSO-OKJ 25/5/05 18:14 Página 133
Información de deficiencias
• Las deficiencias informadas desde fuentes internas o externas se consideran cui-
dadosamente por sus implicaciones para la gestión de riesgos corporativos y se
adoptan las acciones correctoras adecuadas
• Todas las deficiencias identificadas que afectan a la capacidad de la entidad para
desarrollar e implantar su estrategia y alcanzar sus objetivos establecidos se comu-
nican a aquellas personas en posición de efectuar las acciones necesarias
• No sólo se informa de las transacciones o eventos investigados y corregidos, sino
que también se vuelven a evaluar los procedimientos subyacentes potencialmente
defectuosos
• Se establecen protocolos para identificar qué información es necesaria a un nivel
determinado para tomar decisiones eficazmente
ROLES Y RESPONSABILIDADES
Consejo de Administración
• El consejo sabe hasta qué punto la dirección ha establecido una gestión eficaz de
riesgos corporativos en la organización
• Es consciente del riesgo aceptado por la entidad y está de acuerdo con él
• Revisa la perspectiva de carteras de riesgos y la contrasta con el riesgo aceptado
• Está informado de los riesgos más significativos y si la dirección está respondien-
do adecuadamente
Dirección
• El consejero delegado tiene la última responsabilidad de la gestión de riesgos cor-
porativos
• Asegura la presencia de un ámbito interno positivo y que todos los componentes
de la gestión de riesgos corporativos están implantados
• Los altos directivos a cargo de las unidades organizativas tienen la responsabilidad
de gestionar los riesgos relacionados con los objetivos de sus unidades
• Guía la aplicación de la gestión de riesgos corporativos, asegurando que su aplica-
ción es coherente con las tolerancias al riesgo
• Cada directivo es responsable ante el nivel superior inmediato de su parte de ges-
tión de riesgos corporativos, siendo el consejero delegado el último responsable
ante el consejo de administración
133
INFORME COSO-OKJ 25/5/05 18:14 Página 134
134
INFORME COSO-OKJ 25/5/05 18:14 Página 135
Anexo C
Relación entre Gestión de
riesgos corporativos – Marco
integrado y Control interno –
Marco integrado
Control Interno – Marco Integrado
En 1992, el Committee of Sponsoring Organizations of the Treadway Commission
(COSO) emitió Control interno – Marco integrado, que establece un marco para el con-
trol interno y proporciona herramientas de evaluación que las empresas y otras entida-
des pueden usar para evaluar sus sistemas de control. Dicho marco identifica y descri-
be cinco componentes interrelacionados, necesarios para un control interno eficaz.
Control interno – Marco integrado define al control interno como un proceso, efec-
tuado por el consejo de administración, la dirección y demás personal de una enti-
dad, diseñado para facilitar una seguridad razonable respecto de la consecución de
objetivos en las siguientes categorías:
• Eficacia y eficiencia de las operaciones
• Fiabilidad de la información financiera
• Cumplimiento de leyes y normas aplicables
El presente anexo presenta la relación entre los respectivos marcos del control inter-
no y de la gestión de riesgos corporativos.
Categorías de Objetivos
El Control interno – Marco integrado especifica tres categorías de objetivos –opera-
ciones, información financiera y cumplimiento– y, a su vez, la gestión de riesgos cor-
porativos contiene también tres categorías casi iguales– operaciones, información y
135
INFORME COSO-OKJ 25/5/05 18:14 Página 136
Perspectiva de Carteras
Componentes
Ambiente Interno
136
INFORME COSO-OKJ 25/5/05 18:14 Página 137
ANEXO C - RELACIÓN ENTRE GESTIÓN DE RIESGOS CORPORATIVOS – MARCO INTEGRADO Y CONTROL INTERNO – MARCO INTEGRADO
actitudes compartidas que caracterizan cómo la entidad contempla los riesgos, refle-
ja sus valores e impacta en su cultura y estilo operativo. Según lo descrito antes,
dicho marco abarca el concepto del riesgo aceptado de una entidad, que está apo-
yado en tolerancias al riesgo más específicas.
Dada la importancia crítica del consejo de administración y su composición, el marco
de gestión de riesgos corporativos amplía la necesidad establecida en el marco del
control interno de tener una masa crítica mínima de miembros independientes –nor-
malmente, al menos dos miembros independientes- y establece que, para que sea
eficaz la gestión de riesgos corporativos, el consejo deberá tener al menos una mayo-
ría de miembros externos e independientes.
Identificación de Eventos
Los marcos de la gestión de riesgos corporativos y del control interno reconocen que
los riesgos existen en cualquier nivel de la entidad y que resultan de una variedad de
factores internos y externos. Ambos marcos consideran la identificación de los ries-
gos en el contexto del impacto potencial sobre la consecución de objetivos.
El primero de estos dos marcos plantea el concepto de eventos potenciales, defi-
niendo un evento como un incidente o acontecimiento emanado de fuentes internas
o externas que afecta a la implantación de la estrategia o al logro de objetivos. Los
potenciales eventos de impacto positivo representan oportunidades, mientras que los
de impacto negativo representan riesgos. La gestión de riesgos corporativos implica
la identificación de eventos potenciales, usando una combinación de técnicas que
contemplan tanto el pasado como las tendencias emergentes, y qué los provoca.
Evaluación de Riesgos
137
INFORME COSO-OKJ 25/5/05 18:14 Página 138
Actividades de Control
Ambos marcos presentan las actividades de control como una ayuda para asegurar
que las respuestas al riesgo de la dirección se llevan a cabo. El marco de gestión de
riesgos corporativos hace ver explícitamente que en algunos casos las mismas acti-
vidades de control sirven de respuesta a los riesgos.
Información y Comunicación
Roles y Responsabilidades
138
INFORME COSO-OKJ 25/5/05 18:14 Página 139
Anexo D
Bibliografía seleccionada
American Institute of Certified Public Accountants and The Canadian Institute of Chartered
Accounts, Managing Risk in the New Economy, New York AICP. 2000
Banham, Russ. A High Level of Intolerance. CFO, The Magazine for Senior Financial Executives.
April 2000.
Barton, Thomas L., William G. Shenkir and Paul L. Walker. Making Enterprise Risk Management
Pay Off: How Leading Companies Implement Risk Management. Financial Executive. 2001.
Bazerman, Max H. Judgement in Managerial Decision Making. New York. John Wiley & Sons.
2001
Committee of Sponsoring Organization of the Treadway Commission (COSO). Internal Control
– Integrated Framework. New York AICPA. 1992.
Crouhy, Michael, Dan Galai and Robert Mark. Risk Management. New York. McGraw-Hill. 2001.
Davidson, Clive. Lofty Ambitions for Measuring Global Risk. Securities Industry News. June 5,
2000.
DeLoach, James W. Enterprise-Wide Risk Management: Strategies for Linking Risk and
Opportunity. London. Financial Times Prentice Hall. 2000.
DiPiazza, Samuel A., Jr. y Robert G. Eccles. Building Public Trust: the Future of Corporate
Reporting. New York. John Wiley & Sons. 2002
Everson, Miles. Creating an Operational Risk-Sensitive Culture. The RMA Journal. March 1, 2002.
Economist Intelligence Unit, en colaboración con Arthur Andersen & Co. Managing Business
Risk – An Integrated Approach. The Economist Intelligence Unit. 1995.
Economist Intelligence Unit, en colaboración con MCC Enterprise Risk. Enterprise Risk
Management – Implementing New Solutions. The Economist Intelligence Unit. 2001.
FEI Research Foundation, en colaboración con Andersen. Risk Management: An Enterprise
Perspective. Financial Executive. 2002.
Haubenstock, Michael and John Gontero. Operational Risk Management: The Next Frontier.
New York. RMA. 2001.
Institute of Chartered Accountants in England and Wales. Internal Control Guidance for
Directors on the Combined Code. London. ICAEW. 1999.
Institute of Directors in Southern Africa. King Report on Corporate Governance for South Africa
2001. The Institute of Directors in Southern Africa. 2001.
International Organisation for Standardization. ISO/IEC Guide 73. 2002.
Lam, James. The CRO is Here to Stay. Risk Management. April 2001.
National Commission on Fraudulent Financial Información. Report of the National Commission
on Fraudulent Financial Información. 1987.
139
INFORME COSO-OKJ 25/5/05 18:14 Página 140
140
INFORME COSO-OKJ 25/5/05 18:14 Página 141
Anexo E
Consideración a los comentarios
Oportunidades
El borrador describía como la gestión de riesgos corporativos implica identificar y
abordar los eventos potenciales que tengan un impacto negativo sobre una entidad,
denominados riesgos, y los eventos de impacto positivo, denominados oportunida-
des. Algunas de las personas que respondieron han dicho que, dada la importancia
de la identificación de oportunidades, la definición del riesgo debería ampliarse para
incluir este concepto. Unas personas argumentaban que excluir a las oportunidades
como parte de la definición del riesgo podría llevar al lector a no ver a dicho concep-
to como parte de la gestión de riesgos corporativos, socavando así la relevancia del
Marco. Por contra, algunas otras sugirieron que se eliminara del informe final toda
referencia a las oportunidades.
141
INFORME COSO-OKJ 25/5/05 18:14 Página 142
Un proceso
El borrador definía la gestión de riesgos corporativos como un proceso y establecía
componentes que pueden verse como elementos de un proceso. Algunas respuestas
aludían a que el término “proceso” implicaba de forma inadecuada la realización
secuencial de pasos o tareas predefinidas.
El informe ha sido revisado para potenciar el concepto de que la gestión de riesgos
corporativos no se realiza necesariamente de modo secuencial, sino que constituye
una interacción permanente e iterativa de acciones llevadas a cabo en toda la enti-
dad.
142
INFORME COSO-OKJ 25/5/05 18:14 Página 143
Seguridad razonable
Algunos comentarios recibidos sugerían que el concepto de seguridad razonable
debería definirse de forma más precisa.
Se decidió que la discusión en torno a dicho término es adecuada y que una mayor
precisión en su definición excedería del alcance de este proyecto.
Categorías de objetivos
Algunas respuestas decían que establecer cuatro categorías de objetivos de una enti-
dad no ayuda y complica innecesariamente el marco.
El documento final mantiene todas estas categorías, sobre la base de que esa clasi-
ficación permite centrarse en distintos aspectos de la gestión de riesgos corporati-
vos, facilita la distinción entre lo que puede esperarse de cada categoría de objetivos
y apoya el uso de un lenguaje común en dicha gestión.
Consecución de objetivos
Algunas personas que respondieron preguntaban por qué la seguridad razonable se
aplica sólo a la amplitud con que se están consiguiendo los objetivos estratégicos y
operativos, antes bien que a su consecución real.
Se pensó que la distinción entre lo que puede esperarse de la gestión de riesgos cor-
porativos respecto al alcance de objetivos estratégicos y operativos, en relación con
los objetivos de información y cumplimiento, continuaba siendo adecuada por las
razones expuestas en el documento, centradas en si dicha consecución está dentro
o fuera del control de la entidad.
Eficacia
Algunas respuestas exponían que la eficacia de la gestión de riesgos corporativos
debería definirse en relación con los resultados logrados, medidos en términos de
realizaciones que el proceso está intentando alcanzar, antes que en un juicio subjeti-
vo sobre si los ocho componentes están presentes y funcionan adecuadamente.
Los criterios de eficacia –la presencia y funcionamiento eficaz de cada componente-
permanecen en el documento final. Se llegó a la conclusión de que el principio des-
arrollado en el marco del control interno y extendido al marco de gestión de riesgos
corporativos es lógico y sirve para mejorar las necesidades de los usuarios - que
cuando los ocho componentes estén presentes y funcionen eficazmente (y no exista
ninguna debilidad material), el resultado o producto es que la dirección y el consejo
de administración obtengan una seguridad razonable de la consecución de los obje-
tivos establecidos. El documento final mantiene dicho principio y destaca además
143
INFORME COSO-OKJ 25/5/05 18:14 Página 144
que la contención de los riesgos dentro del riesgo aceptado por la entidad es un ele-
mento necesario para una eficaz gestión de riesgos. Se ha eliminado el concepto de
juicio subjetivo, como el de la presencia y funcionamiento de los ocho componentes,
sobre la base de que los juicios pueden ser objetivos y estar basados en los princi-
pios de este Marco.
Información y comunicación
Algunos comentarios se referían a la importancia de un canal de comunicaciones
ajeno a las líneas normales de información y sugerían que era un elemento necesario
de la gestión de riesgos corporativos.
El informe final refleja este enfoque y afirma que, para que la gestión de riesgos cor-
144
INFORME COSO-OKJ 25/5/05 18:14 Página 145
porativos sea eficaz, una entidad debe mantener un canal de comunicaciones de ese
tipo.
Roles y responsabilidades
Algunas respuestas planteaban que se necesitaba una mayor claridad respecto a las
diferentes responsabilidades en la gestión de riesgos corporativos por parte del con-
sejo de administración, la dirección, otro personal de la entidad y terceros.
El informe final amplía este aspecto y clarifica los respectivos roles y responsabilida-
des de cada una de estas partes.
Otras consideraciones
Forma y presentación
Algunas personas que respondieron aludían a la extensión, formato y estilo del borra-
dor y expresaban una variedad de perspectivas sobre cómo se podría organizar y
perfeccionar el informe.
Se llegó a la conclusión de que el informe debería reorganizarse y depurarse, para
mejorar su legibilidad y claridad y eliminar redundancias. El Resumen Ejecutivo del
borrador ha sido sustituido por un resumen más breve. El capítulo 1 del borrador, La
relevancia de la gestión de riesgos corporativos ha sido eliminado, incorporando los
conceptos más importantes en el capítulo 1 definitivo del informe, Definición. Se han
reducido las redundancias, se han eliminado o abreviado los planteamientos menos
importantes y se ha simplificado el estilo.
145
INFORME COSO-OKJ 25/5/05 18:14 Página 146
146
INFORME COSO-OKJ 25/5/05 18:14 Página 147
Anexo F
Glosario
Categoría de objetivos.
Cada una de las cuatro categorías de objetivos de la entidad – estrategia, eficacia y
eficiencia de las operaciones, fiabilidad de la información y cumplimiento de leyes y
normas aplicables. Las categorías se solapan, de modo que un objetivo determinado
puede incidir en más de una categoría.
Componente.
Hay ocho componentes en la gestión de riesgos corporativos: ambiente interno de la
entidad, establecimiento de objetivos, identificación de eventos, evaluación de ries-
gos, respuesta a los riesgos, actividades de control, información y comunicación, y
supervisión.
Control.
1. Sustantivo que indica un concepto. Por ejemplo, existencia de un control – una
política o procedimiento que forma parte del control interno. Un control puede
existir en cualquiera de los ocho componentes.
2. Sustantivo que indica un estado o condición. Por ejemplo, efectuar control – el
resultado de políticas y procedimientos diseñados para controlar. Este resultado
puede ser o no un control interno eficaz.
3. Verbo como palabra derivada. Por ejemplo, controlar – regular. Establecer o
implantar una política que efectúe el control
Controles de aplicación.
Procedimientos programados en el software de aplicación y procedimientos manua-
les relacionados con ellos, diseñados para ayudar a asegurar la integridad y fiabilidad
del procesamiento de la información. Los ejemplos incluyen las comprobaciones
informatizadas de edición, verificaciones de secuencia numérica y procedimientos
manuales para seguir temas identificados en los informes de incidencias.
Controles generales.
Políticas y procedimientos que ayudan a asegurar el funcionamiento adecuado y per-
manente de los sistemas de información. Se incluyen en este concepto los controles
de gestión de la tecnología de información, de la infraestructura de la tecnología
informática, de la gestión de la seguridad y de la adquisición, desarrollo y manteni-
miento del software. Los controles generales apoyan el funcionamiento de los con-
troles de aplicación programados. Otros términos similares son controles generales
informáticos y controles de tecnología informática.
147
INFORME COSO-OKJ 25/5/05 18:14 Página 148
Control interno.
Un proceso, efectuado por el consejo de administración, la dirección y demás perso-
nal de una entidad, diseñado para proporcionar una seguridad razonable respecto a
la consecución de objetivos en las siguientes categorías:
• Eficacia y eficiencia de las operaciones
• Fiabilidad de la información financiera
• Cumplimiento de leyes y normas aplicables
Controles manuales.
Controles realizados manualmente y no por ordenador.
Criterios.
Un conjunto de normas frente a las que se puede medir la gestión de riesgos corpora-
tivos al determinar su eficacia. Los ocho componentes de la gestión de riesgos corpo-
rativos, tomados en el contexto de las limitaciones inherentes a dicha gestión, repre-
sentan criterios de eficacia de ella para cada una de sus cuatro categorías de objetivos.
Cumplimiento.
Término usado en relación con el concepto “objetivos” y que tiene que ver con el
cumplimiento de leyes y normas aplicables a la entidad.
Deficiencia.
Una condición dentro de la gestión de riesgos corporativos merecedora de atención,
que puede representar una debilidad percibida, potencial o real, o una oportunidad
para potenciar dicha gestión y propiciar una mayor probabilidad de que se alcancen
los objetivos de la entidad.
Diseño
1. Intención. Según aparece en su propia definición, la gestión de riesgos corporati-
vos intenta identificar los eventos potenciales que puedan afectar a la entidad y
gestionar los riesgos dentro del riesgo aceptado, proporcionando una seguridad
razonable del logro de objetivos.
1. Plan. La manera como se espera que funcione un proceso, que puede contrastar
con la realidad de cómo funciona.
Efectuado.
Se usa en la gestión de riesgos corporativos: concebido y mantenido.
Entidad.
Una organización de cualquier dimensión establecida para servir un propósito deter-
minado. Una entidad, por ejemplo, puede ser una empresa, una organización sin
ánimo de lucro, un organismo gubernamental o una institución universitaria. Otros
términos sinónimos son organización y empresa.
Estratégico.
Término usado en relación con el concepto “objetivos”. Tiene que ver con los objetivos
de alto nivel que están alineados con la misión (o visión) de la entidad y que la apoyan.
148
INFORME COSO-OKJ 25/5/05 18:14 Página 149
ANEXO F - GLOSARIO
Evento.
Un incidente o acontecimiento, derivado de fuentes internas o externas a la entidad,
que afecta a la consecución los objetivos.
Grupos de interés.
Conjunto de personas físicas o jurídicas que colaboran con una entidad o están afec-
tados por ella, tales como accionistas, comunidad en que opera, empleados, clientes
y proveedores.
Impacto.
El resultado o efecto de un evento. Puede existir una gama de posibles impactos aso-
ciados a un evento. El impacto de un evento puede ser positivo o negativo sobre los
objetivos relacionados de la entidad.
Imposición de la dirección.
Las acciones de la dirección para saltarse las políticas o procedimientos con propó-
sitos ilegítimos de enriquecimiento personal o de presentación alterada de las condi-
ciones financieras de la entidad o su cumplimiento de normas. Este concepto con-
trasta con el de Intervención de la dirección.
Incertidumbre.
La incapacidad de saber anticipadamente la probabilidad e impacto exactos de even-
tos futuros.
Información.
Término usado en relación con el concepto “objetivos”. Tiene que ver con la integri-
dad y fiabilidad de la información de la entidad, incluyendo la interna y externa y la
financiera y no financiera.
Integridad.
La calidad o condición de tener principios morales sólidos, de poseer virtud, honra-
dez y sinceridad, de desear hacer lo correcto y de profesar y vivir una serie de valo-
res y expectativas.
Intervención de la dirección.
Las acciones de la dirección para saltarse las políticas o procedimientos prescritos
por razones legítimas. Esta intervención es normalmente necesaria para abordar
transacciones no habituales ni recurrentes o eventos que de otro modo podrían ser
manejados incorrectamente por el sistema. Este concepto contrasta con el de
Imposición de la dirección.
Limitaciones inherentes.
Las limitaciones en la gestión de riesgos corporativos relativas a los límites del juicio
humano, las restricciones de los recursos, la necesidad de tener en cuenta el coste
de los controles respecto a los beneficios esperados, la realidad de que los fallos
pueden ocurrir y la posibilidad de que la dirección prescinda de los controles o esté
en connivencia para incumplirlos.
Operaciones.
Término usado en relación con el concepto “objetivos”. Tiene que ver con la eficacia
y eficiencia de las actividades de una entidad, incluyendo metas de rendimiento y
rentabilidad, y con la salvaguarda de recursos frente a pérdidas.
149
INFORME COSO-OKJ 25/5/05 18:14 Página 150
Oportunidad.
La posibilidad de que un evento ocurra y afecte positivamente a la consecución de
objetivos.
Política.
Las directrices de la dirección de lo que debería hacerse para efectuar el control. Una
política sirve como base para la implantación de procedimientos.
Probabilidad.
La posibilidad de que un evento dado ocurra. Los términos a veces adquieren con-
notaciones más específicas y, así, “probabilidad” tanto puede indicar dicha posibili-
dad en términos cualitativos como alto, medio y bajo o derivados de otras escalas de
juicio o bien indicarla mediante una medida cuantitativa, como porcentaje, frecuencia
u otra métrica numérica.
Procedimiento.
Una acción para poner en práctica una política.
Proceso de gestión.
La serie de acciones tomadas por la dirección para conducir una entidad. La gestión
de riesgos corporativos es una parte del proceso de gestión y está integrada en él.
Riesgo.
La posibilidad de que un evento ocurra y afecte adversamente a la consecución de
objetivos.
Riesgo aceptado.
La cuantía, en sentido amplio del riesgo, que una entidad está dispuesta a asumir
para realizar su misión (o visión).
Riesgo inherente.
El riesgo al que se somete una entidad en ausencia de acciones de la dirección para
alterar o reducir su probabilidad de ocurrencia e impacto.
Riesgo residual.
El riesgo remanente después de que la dirección haya llevado a cabo una acción para
modificar la probabilidad o impacto de un riesgo.
Seguridad razonable.
El concepto de que la gestión de riesgos corporativos, por muy bien diseñada y ope-
rativa que esté, no puede proporcionar una garantía de la consecución de objetivos
de la entidad, debido a las Limitaciones Inherentes a dicha gestión.
Tolerancia al riesgo.
La variación aceptable en la consecución de un objetivo.
150
INFORME COSO-OKJ 25/5/05 18:14 Página 151
Anexo G
Agradecimientos
151
INFORME COSO-OKJ 25/5/05 18:14 Página 152