Interpretacin del modelo COSO ERM Armando Miguel Casal Julian Laski El Sistema de Administracin de Riesgos (ERM), consta

ta de cuatro (4) objetivos (Estrategia- Strategic; Operaciones- Operations; Presentacin de informes- Reporting; Cumplimiento- Compliance) y ocho (8) componentes (Ambiente o entorno interno- Internal Environment; Establecimiento o definicin de objetivos- Objective Setting; Identificacin de acontecimientos o eventos- Event Identification; Evaluacin o valoracin del riesgo- Risk Assessment; Respuesta al riesgo- Risk Response; Actividades de controlControl Activities; Informacin y comunicacin- Information and Communication; Supervisin y seguimiento- Monitoring). El ERM es un proceso sistemtico de identificacin y administracin de los riesgos empresariales o de emprendimientos. Sobre todo, las grandes empresas estn llevando a cabo, dentro de su planeamiento estratgico, una identificacin y ponderacin de los impactos de los riesgos y de los cursos de accin adecuados para reducir sus efectos. La Comisin Treadway puso en conocimiento de la comunidad profesional y de negocios, el Modelo de la Administracin de Riesgos Empresarios (2004). Este nuevo modelo, representa un avance con respecto al Modelo de Control Interno (COSO I), en el cual encuentra su fundamento, y cuya aplicacin se ha extendido en todo el mundo, tanto en el sector privado como en el pblico. La Estructura Conceptual de la Administracin de Riesgos Empresarios (Enterprise Risk Managemente Framework- ERM), es tambin un informe del Committee Of Sponsoring Organizations Of the Treadway Commission (COSO II). Consta de un Resumen Ejecutivo y de un documento adjunto Estructura Conceptual. Considerando que la administracin de todos los entes (con fines o sin fines de lucro, privados o pblicos, pequeos, medianos o grandes) deberan desarrollar procesos para identificar y manejar los riesgos, se proveen principios integrados, una terminologa comn y una gua prctica para implementar los programas relacionados, sirviendo esta estructura o marco conceptual para los gerentes, directores, reguladores, acadmicos y otros , para comprender mejor la Administracin del Riesgo, as como sus beneficios y limitaciones, proporcionando una comunicacin efectiva sobre los temas en discusin. Los elementos del ERM, incluyen la definicin, componentes y principios, los beneficios y limitaciones, roles y responsabilidades de las partes. Todas las entidades deben proveer valor a las partes que son afectadas por las actividades de la entidad, que en potencia, pueden accionar contra la empresa o stakeholders (incluidos sus accionistas/propietarios o shareholders, la comunidad en la cual la entidad opera, sus empleados, clientes y proveedores) y operan en ambientes donde factores como la globalizacin, tecnologa, regulaciones, reestructuraciones, cambios del mercado y competencia, crean incertidumbre, emanada de las no habilidades para determinar la probabilidad de los potenciales acontecimientos que pueden ocurrir y los resultados asociados. La incertidumbre y la creacin del valor Las entidades enfrentan incertidumbre, siendo un desafo para la administracin la determinacin de qu tanta incertidumbre est el emprendimiento preparado para aceptar y hacer crecer el valor del stakeholder, considerando que dicha falta de certidumbre ofrece tanto riesgos como oportunidades, con el potencial de erosionar o enriquecer el valor Este valor puede ser preservado, generado o erosionado por las decisiones de la administracin, variando desde la definicin de estrategias hasta la operacin diaria del ente. La administracin debera considerar informacin sobre ambientes internos y externos, desplegar los recursos y volver a analizar las actividades empresariales frente a las circunstancias cambiantes:

- Los accionistas de las empresas privadas realizan el valor cuando reconocen su generacin a partir del crecimiento del valor de las acciones; - En las entidades del gobierno, el valor se realiza cuando los usuarios reconocen la prestacin de buenos servicios a un costo razonable; - Las entidades sin fines de lucro, realizan el valor cuando los stakeholders (los que, en potencia, pueden accionar contra la entidad) reconocen recibir aceptables beneficios sociales Beneficios del ERM Considerando que ninguna entidad opera en un entorno libre de riesgos, la Administracin del Riesgo Empresario le permite a la administracin operar ms efectivamente en ambientes complejos, pudiendo sealarse los siguientes beneficios que le competen: - Alinear la apetencia por el riesgo (grado de riesgo dispuesto a aceptar) y la estrategia, estableciendo objetivos alineados con la misma. - Vincular el crecimiento, riesgo y retorno esperado proporcional al riesgo. - Enriquecer las decisiones de respuestas alternativas: evitar (avoidance), reducir (reduction), compartir (sharing) o aceptar (acceptance) el riesgo. - Minimizar las sorpresas y los costos o prdidas operacionales. - Identificar y administrar los riesgos a travs de la empresa, entendiendo los riesgos individuales y los impactos interrelacionados. - Proveer respuestas integradas para los riesgos mltiples, considerando que los procesos de negocio conllevan muchos riesgos inherentes. - Reconocer la incidencia de las oportunidades, y no solamente los riesgos, considerando el entendimiento de los eventos potenciales. - Racionalizar el capital evaluando su necesidad y mejorando su asignacin. Definicin del ERM El ERM es definido como un proceso, efectuado por la junta de directores, gerencia y otro personal de una entidad, aplicado en el establecimiento de la estrategia y a travs del emprendimiento, diseado para identificar los acontecimientos potenciales que pueden afectar a dicha entidad, y para administrar los riesgos que se encuentren dentro de su apetencia por el riesgo, para proveer una seguridad razonable en relacin con el logro de sus objetivos. Esta definicin refleja ciertos conceptos fundamentales sobre el ERM: ES - Un proceso (un medio y no un fin en s mismo). - Efectuado por personas en todos los niveles de una organizacin. - Aplicado en el establecimiento de la estrategia. - Aplicado a travs de la empresa en todos los niveles y unidades. - Diseado para identificar los riesgos que potencialmente afectan a la entidad y para administrar los riesgos (dentro de su apetencia por el riesgo).

- Provee una seguridad razonable a la junta y administracin de una entidad (la incertidumbre y el riesgo se relacionan con el futuro, el cual no puede predecirse con certeza). - Una herramienta para el logro de objetivos en una o ms categoras separadas pero que se sobreponen unas con otras. Componentes del IRM Los componentes interrelacionados del ERM son los siguientes: . Ambiente Interno (Internal Environment): filosofa de administracin de riesgos; cultura de riesgos; junta de directores; integridad y valores ticos; compromiso para con la competencia; filosofa y estilo de operacin de la administracin; apetencia por el riesgo; estructura organizacional; asignacin de autoridad y responsabilidad; polticas y prcticas de recursos humanos. . Establecimiento de Objetivos (Objective Setting) : objetivos estratgicos; objetivos relacionados; objetivos seleccionados; apetencia por el riesgo; tolerancia al riesgo. . Identificacin de Acontecimientos (Event Identification): eventos; factores que influyen en la estrategia y en los objetivos; metodologas y tcnicas; interdependencia entre los eventos; categoras de eventos; riesgos y oportunidades. . Evaluacin del Riesgo (Risk Assessment): riesgo inherente y residual; probabilidad de impacto; metodologas y tcnicas; correlacin. . Respuesta al Riesgo (Risk Response): identificacin de las respuestas al riesgo; evaluacin de las posibles respuestas al riesgo; seleccin de respuestas; punto de vista de portafolio (cartera). . Actividades de Control (Control Activities): integracin con la respuesta al riesgo; tipos de actividades de control; controles generales (general controls); controles de aplicacin (application controls); especficos de la entidad. . Informacin y Comunicacin (Information and Communication): informacin; sistemas estratgicos e integrados; comunicacin. . Supervisin y Seguimiento (Monitoring): evaluaciones separadas (ocurren luego de los hechos); evaluaciones ongoing (contnuas, en tiempo real); evaluaciones combinadas. Entorno interno El ambiente o entorno interno es el fundamento de todos los otros componentes del ERM, e influye en la manera como se establecen la estrategia y los objetivos, cmo se estructuran las actividades del negocio, y cmo se identifican, se evalan y se acta sobre los riesgos. Influye en el diseo y en el funcionamiento de las actividades de control, de los sistemas de informacin y comunicacin, y del monitoreo de las actividades. Comprende varios elementos, incluyendo valores ticos de la entidad, competencia y desarrollo del personal, estilo de operacin de la administracin, y la forma como sta asigna autoridad y responsabilidad. La junta de directores es una parte crtica de dicho entorno e influye significativamente en los otros elementos. Como parte del ambiente interno, la administracin establece una filosofa de administracin del riesgo, determina la apetencia (apetito o impulso) que por el riesgo tiene la entidad; forma una cultura de riesgo (conjunto de actitudes, valores y prcticas compartidos) e integra el ERM con las iniciativas relacionadas. Cuando las entidades no definen de manera explcita su filosofa de riesgo, puede derivarse en culturas de riesgo significativamente diferentes al interior de una entidad y dentro de una unidad de negocios, funcin o departamento en particular.

Definicin de objetivos En el contexto de la misin/ visin establecida, la administracin establece objetivos estratgicos, selecciona estrategias y determina objetivos relacionados, a travs del emprendimiento, alineados y vinculados con la estrategia. Los objetivos tienen que existir con antelacin a que la administracin pueda identificar los acontecimientos o eventos que potencialmente afectan su logro. El ERM asegura que dicha administracin tiene en funcionamiento un proceso para establecer objetivos y para alinearlos con la misin/visin de la entidad y un tema importante, que sean consistentes con el "apetito de riesgo" que tiene la entidad. La categorizacin de los objetivos del ente (estrategia; operaciones; presentacin de informes; cumplimiento), le permite a la administracin y a la junta de directores (o equivalentes) centrarse en los aspectos separados del ERM. Algunas entidades utilizan otra categora de objetivos: salvaguarda de activos, que trata de la prevencin de prdidas de activos o recursos del ente a causa de robo, desperdicio, ineficiencia, malas decisiones de negocios (falla en mantener a personal clave; incurrir en pasivos no previstos, ventas a precios no rentables, etctera). El concepto aplica a la prevencin o deteccin oportuna de la adquisicin, el uso, o la disposicin no autorizada de los activos de la entidad. Identificacin de eventos La administracin reconoce que existen incertidumbres relacionadas con cundo y cmo ocurrir un acontecimiento, y en caso de ocurrir, su resultado. Formando parte de la identificacin de eventos, la administracin considera los factores externos (incluyen factores econmicos, de negocios, ambiente natural, polticos, sociales y tecnolgicos) e internos (tales como, infraestructura, personal, procesos, tecnologa) que afectan la ocurrencia de los mismos. Las tcnicas de identificacin de eventos miran tanto al pasado (historias de cesacin de pagos, cambios en los precios de los productos, prdidas de tiempo por accidente, etc.) como al futuro (cambios demogrficos, mercados nuevos, acciones de los competidores, por ejemplo). Potencialmente, los eventos tienen un impacto negativo, un impacto positivo, o ambos: los eventos que tienen un impacto negativo representan riesgos, lo cual requiere evaluacin (valoracin) y respuesta por parte de la administracin. El riesgo se define como la posibilidad de que ocurrir un acontecimiento (evento) y afectar de manera adversa al logro de los objetivos de la entidad. Evaluacin del riesgo La valoracin del riesgo le posibilita a una entidad considerar cmo los acontecimientos potenciales pueden afectar el logro de los objetivos antedichos. La administracin evala los eventos a partir de dos perspectivas: a) probabilidad de ocurrencia; b) impacto debido a su ocurrencia. Se determinan usando datos de sucesos pasados observables, basados en la propia experiencia de la entidad y datos obtenidos de fuentes externas, haciendo tambin ciertas predicciones. La metodologa de evaluacin del riesgo de una entidad normalmente comprende una combinacin de tcnicas cualitativas y cuantitativas (son ms precisas y se usan en actividades complejas y sofisticadas para complementar las tcnicas cualitativas). La administracin emplea a menudo medidas de desempeo para determinar la extensin en que se estn alcanzando los objetivos. Adems, puede valorar la manera como se correlacionan los acontecimientos, en los que se combinan e interactan eventos para crear probabilidades o impactos significativamente diferentes. Cuando los eventos potenciales no estn directamente relacionados, los valora individualmente; en otros

casos, puede ser preciso agruparlos en categoras comunes. La valoracin del riesgo se aplica en primer lugar al riesgo inherente (riesgo para la entidad en ausencia de cualquier accin que la administracin pueda tomar para al alterar la probabilidad y/o el impacto del riesgo). Una vez que se han desarrollado respuestas frente al riesgo, la administracin usa tcnicass de valoracin para determinar el riesgo residual (riesgo que permanece luego de la accin de la administracin para alterar la probabilidad o el impacto del riesgo). Respuesta al riesgo Una vez que los riesgos han sido identificados y clasificados, la administracin evala las posibles respuestas y sus efectos. Se espera que la misma seleccione respuestas que se espere conduzcan la probabilidad y el impacto del riesgo dentro de la tolerancia al riesgo que tiene la entidad. Las respuestas al riesgo caen dentro de las categoras de evitar, reducir, compartir y aceptar el riesgo: - Respuestas de evitar el riesgo: colocan la accin en salir de las actividades que dan origen a los riesgos; - Respuestas de reduccin del riesgo: disminuyen la probabilidad del riesgo, el impacto, o ambos; - Respuestas de compartir el riesgo: reducen la probabilidad o el impacto del riesgo, mediante el transferirlo o de otra manera compartir una parte del riesgo; - Respuestas de aceptacin del riesgo: no realizan accin alguna para afectar la probabilidad o el impacto. Despus de seleccionar una respuesta al riesgo, la administracin vuelve a medir el riesgo sobre una base residual, considerando el riesgo desde una perspectiva de la entidad como un todo o cartera (portafolio), debiendo reconocer que siempre existir algn nivel de riesgo residual, porque los recursos son limitados y a causa de la incertidumbre futura inherente y de las limitaciones inherentes a todas las actividades. Actividades de control Las actividades de control son las polticas y procedimientos que ayudan a asegurar que se estn ejecutando de manera apropiada las respuestas al riesgo y ocurren a travs de la organizacin, en todos los niveles y en todas las funciones. Se requieren controles sobre los sistemas significativos, usando dos agrupamientos de las actividades de control de los sistemas de informacin: a) los controles generales, que aplican generalmente a todos los sistemas de aplicacin y ayudan a asegurar su operacin continuada adecuada (incluyen controles sobre administracin de tecnologa de informacin, infraestructura de tecnologa de informacin; administracin de seguridad, y adquisicin, desarrollo y mantenimiento de software) b) los controles de aplicacin, que incluyen los pasos computadorizados dentro del programa (software) de aplicacin para controlar la aplicacin de la tecnologa. Combinados con otros controles manuales para los procesos, cuando es necesario, esos controles aseguran razonablemente la integridad, la exactitud y la validez de la informacin (de los datos que se capturan y del procesamiento de las transacciones). Informacin y comunicacin En todos los niveles de una organizacin se requiere informacin (proveniente de fuentes internas y externas; en formas cuantitativas y cualitativas) para identificar, valorar y responder a los riesgos, as como para operar la entidad y lograr sus objetivos. Resulta un desafo el establecer una infraestructura de sistemas de informacin para obtener, capturar, procesar, analizar y reportar informacin significativa. Estos sistemas de informacin, usualmente computadorizados - pero que tambin implican inputs (entradas) o interfases manuales - generalmente son percibidos en el contexto del proceso de datos generados internamente relacionados con las transacciones u

operaciones de la entidad. El papel de los sistemas de informacin para dar soporte a la estrategia del negocio, se vuelve crtico cuando los negocios requieren cambiar y la tecnologa crea nuevas oportunidades para obtener una ventaja competitiva. Para apoyar el ERM, una entidad debe capturar y usar datos histricos y actuales. La informacin es una base para la comunicacin, la cual debe satisfacer las expectativas de los grupos e individuos, para permitirles llevar a cabo sus responsabilidades de una manera efectiva. Entre los canales de comunicacin ms crticos se encuentra el que se da entre la alta gerencia y la junta de directores. La administracin tiene la obligacin de mantener actualizada a la junta de directores (o sus equivalentes) sobre el desempeo, los desarrollos de los negocios, los riesgos y el funcionamiento del ERM; y sobre todos los otros acontecimientos y asuntos importantes. De igual manera, la junta debe comunicar a la administracin qu informacin requiere y proveerle retroalimentacin y direccin. La administracin debe proveer una comunicacin especfica y orientada, direccionando las expectativas de comportamiento y las responsabilidades del personal. La comunicacin debe procurar que se tome conciencia sobre la necesidad de una efectiva Administracin de Riesgos Empresarios, comunicar el apetito por el riesgo y las tolerancias al riesgo que tiene la entidad, implementar y apoyar un lenguaje comn sobre los riesgos, y dar consejo y apoyo al personal sobre sus roles y responsabilidades. Los canales de comunicacin tambin debe permitir que el personal pueda comunicar informacin basada en riesgos, a travs de las unidades de negocio, procesos o componentes funcionales. Adems, los canales de comunicacin externos pueden proveer retroalimentacin significativa sobre el diseo o la calidad de los productos y de los servicios prestados por el ente, as como sobre el funcionamiento del ERM. La administracin debe asegurarse que no asume, inadvertidamente, demasiado riesgo en sus interacciones de negocio con clientes, proveedores y socios (alianzas). Monitoreo La supervisin y seguimiento, asegura que el ERM se est aplicando en todos los niveles, constituyendo un proceso que valora tanto la presencia como el funcionamiento de sus componentes y la calidad de su desempeo en el tiempo. El monitoreo se puede efectuar de dos maneras: a) mediante actividades ongoing; b) a travs de evaluaciones separadas. El monitoreo ongoing se construye en las actividades de operacin normales o recurrentes, de una entidad. Se desempea en una base de tiempo real, reaccionando de una manera dinmica frente a las condiciones cambiantes, siendo ms efectivo. Las evaluaciones separadas ocurren luego de los hechos. Tambin, existen combinaciones entre ambos tipos. El alcance de la documentacin del ERM, que constituye un proceso dinmico, vara con el tamao de la entidad, su complejidad y factores similares. Las deficiencias (condicin que llama la atencin) de la Administracin del Riesgo Empresario que afectan la habilidad del ente para desarrollar e implementar su estrategia y para lograr los objetivos establecidos, se deben informar a quienes se encuentran en posicin para tomar la accin necesaria (grupo activante). Una deficiencia puede representar una falla percibida, potencial o real, o una oportunidad para fortalecer el proceso, a fin de aumentar la probabilidad de que se alcanzarn los objetivos de la entidad. La informacin que se genera en el curso de las actividades de operacin usualmente se informa a travs de los canales de comunicacin normales. Tambin, deben existir otros canales alternativos para reportar informacin sensible (actos ilegales o fraudes).

Objetivos del IRM Los objetivos estn representados por las siguientes categoras: . Estrategia (Strategic): relacionados con los objetivos o metas de alto nivel, alineados y apoyando la misin/visin del ente. . Operaciones (Operations): vinculados con la eficacia y eficiencia de las operaciones de la entidad, incluyendo las metas de desempeo y de rentabilidad. Varan segn las opciones seleccionadas por la administracin sobre estructura y desempeo. . Presentacin de informes (Reporting): referidos a la efectividad de la presentacin de informes (reportes) de la entidad, que incluyen la presentacin de informes internos y externos, y pueden implicar informacin financiera o no financiera. . Cumplimiento (Compliance): conectados con el cumplimiento del ente con las leyes y regulaciones aplicables. Hay una relacin directa entre los 4 objetivos, los cuales son los que la entidad trata de alcanzar, y los 8 componentes del ERM, los cuales representan lo que es necesario hacer para alcanzarlos. En una matriz tridimensional se puedes adicionar: - Nivel de la entidad - Divisin - Unidad de negocio - Subsidiaria Efectividad del ERM y aplicacin a las PyMEs La determinacin de si el ERM es efectivo, representa un juicio subjetivo, resultando de la evaluacin de si todos los componentes estn presentes y funcionan apropiadamente. Si bien constituye un proceso, su efectividad es un estado o condicin en un punto en el tiempo. Los conceptos de esta estructura conceptual aplican a todas las empresas, con independencia de su tamao. Si bien algunas pequeas y medianas empresas (PyMEs) pueden implementar los factores componentes de manera distinta a como lo hacen las grandes entidades, pueden tambin tener una efectiva administracin de riesgos del emprendimiento. La metodologa para cada componente probablemente sea menos formal y menos estructurada en las pequeas empresas que en las grandes, pero los conceptos bsicos que se expresan deben estar presentes en cada entidad, independientemente de su tamao, naturaleza o condicin. Modelo de Control Interno COSO y su relacin con el IRM El Control Interno (Internal Control) es parte integral de la Administracin de Riesgos Empresarios (ERM). Este ltimo abarca el control interno, dando forma a una conceptualizacin y a una herramienta ms fuerte para la administracin. El objetivo de Reporting del IRM, relativos a la efectividad de la informacin de la entidad, incluye informacin interna y externa, y puede representar tanto informacin financiera como informacin no financiera (non-financial information). Los objetivos de Operaciones y Cumplimiento son definidos de la misma manera que en el ICI. Otra categora de objetivo que es agregada, se refiere a los objetivos Estratgicos, los cuales operan en el ms alto nivel, y estn alineados para soportar la misin y visin de la entidad. El Control Interno es definido y descripto en la Estructura Conceptual del Control Interno (Internal Control- Integrated Framework). Dado que el ICI es la base para las reglas, regulaciones y leyes existentes, ese documento se mantiene como la definicin y la estructura conceptual para el control interno. Especifica como hemos dicho, tres categoras de objetivos: Operaciones, Informacin Financiera (Financial

Reporting) y Cumplimiento. La totalidad de la Estructura Conceptual del Control Interno se incorpora por referencia en el ERM. Limitaciones del IRM Un ERM efectivo ayuda a la administracin a alcanzar los objetivos pero lgicamente no constituye una panacea (remedio para curar todos los problemas). Una efectiva administracin de riesgos empresario, no importa lo bien que est diseada y operada, no asegura el xito de un emprendimiento. El logro de los objetivos es afectado por las limitaciones inherentes a todos los procesos administrativos, como ser: - Los cambios en la poltica o programas de gobierno, las acciones de los competidores o las condiciones econmicas pueden estar fuera del control de la administracin; - La toma de decisiones de las personas puede ser imperfecta, pudiendo ocurrir rupturas a consecuencia de fallas humanas, tales como errores o equivocaciones; - El ERM no puede cambiar a un administrador inherentemente pobre en uno bueno; - Se pueden eludir los controles por colusin entre dos o ms personas; - La administracin tiene la habilidad para pasar por encima del proceso ERM, incluyendo las respuestas al riesgo y controles; - Su diseo tiene que reflejar la realidad de las restricciones de los recursos y los beneficios se deben considerar en relacin con sus costos. Responsabilidad por el ERM En una organizacin tienen responsabilidad por el ERM, la junta de directores (Board of Directors); la administracin (Management); el ejecutivo de riesgo (Risk Officer); los auditores internos (Internal Auditors) y todo otro personal (Other Personnel). Tambin a menudo, partes externas contribuyen a alcanzar los objetivos de una entidad, tales como los auditores externos (External auditors); reguladores (Regulators); Clientes (Customers), y otros que realizan transacciones con la empresa, pero no son responsables del ERM. Las acciones que se deben tomar como resultado del ERM dependen de la posicin y del papel (rol) de las partes involucradas. Informacin en apndices En anexos del ERM se tratan los siguientes temas: Anexo A: Objetivos y Metodologa Anexo B: Relaciones entre el ERM (Enterprise Risk Management) y el ICI (Internal Control-Integrated Framework) Anexo C: Bibliografa seleccionada Anexo D: Consideraciones de cartas con comentarios del pblico Anexo E: Glosario de trminos seleccionados ------------------------------------------------------------------------------------------------------------------------------------