miércoles, 19 de abril de 2017

ISO 9001:2015, COSO COMO METODOLOGÍA DE GESTIÓN DE RIESGO


En la norma ISO 9001:2015 la innovación que más está llamando la atención a los usuarios del Sistema de Gestión de Calidad es la gestión de riesgos.
Numerosos profesionales se preparan para hacer frente a este nuevo proyecto de norma y puede ser que estén revisando estándares para la gestión de cualquier riesgo. En este artículo hablaremos de uno de estos estándares de riesgo, este es COSO.

Podemos desglosar COSO como el Committee os Sponsoring Organization og Treadway Commission, y se crea en 1985 como consecuencia de las malas prácticas empresariales y los años anteriores de crisis. Lo que se pretendía con esta iniciática era llevar a cabo un liderazgo intelectual para la gestión de riesgo empresarial, la disuasión del fraude y el control interno.

En el año 1992, se publica el denominado COSO I con el fin de ayudar a las organizaciones a evaluar y mejorar sus sistemas de control interno. Dicho informe definió al control interno como un proceso generado por la dirección y demás trabajadores de una entidad y diseñado para proporcionar un grado de seguridad adecuado para la consecución de objetivos respecto a:

  • Confiabilidad de cualquier información financiera de la organización.
  • Cumplimiento de la normativa aplicable.
  • Eficacia y eficiencia en operaciones.

Dicho estándar se disponía dividido en 5 capítulos, siendo éstos:

  • Ambiente de control.
  • Evaluación de Riesgos.
  • Actividades de control.
  • Información y comunicación.
  • Supervisión.

En 2004, se publica COSO II o también, Enterprise Risk Management – Integrated Framework (ERM). Nosotros lo conocemos como Marco Integrado de Riesgos, el que extendió el concepto de control interno de COSO I a la gestión de riesgos en la que se implica a la totalidad de la plantilla de la entidad.

La metodología COSO II cuenta con 8 componentes a tener en cuenta para la gestión de riesgo.

Pasamos a tener de 5 componentes en COSO I, a 8 en COSO II, siendo éstos:
  • Ambiente de control.
Trata de los valores y filosofía de la entidad, este aspecto influye en la visión de los empleados de los riesgos y sus actividades de control. Es la base de sobre la que posicionan al resto de elementos, e influye fundamentalmente en los objetivos y en la estrategia.
  • Establecimiento de objetivos.
Se lleva a cabo el establecimiento de objetivos tanto estratégicos como operativos, de información y de cumplimiento. Tiene que establecerse antes de la identificación de posibles acontecimientos que dificulten su consecución. Tienen que alinearse con la estrategia de la empresa.
  • Identificación de eventos.
Nos interesa todo evento que pueda tener impacto sobre el cumplimiento de objetivos, pudiendo ser tanto negativos como positivos.
  • Evaluación de Riesgos.
Se basa en la identificación y análisis de los riesgos fundamentales en la consecución de objetivos. Es necesario para poder determinar el efecto que podrían tener, de materializarse, en la consecución de objetivos. Se llevaran a cabo técnicas cuantitativas y cualitativas. La evaluación del riesgo primero se centrará en el riesgo inherente y, a continuación de éste, en el riesgo residual.
  • Respuesta a los Riesgos.
La respuesta al riesgo será evaluada en base a cuatro clases: evitar, reducir, compartir y aceptar. En el momento que se tenga la respuesta al riesgo más correcta para una situación en cuestión, se efectuará otra evaluación del riesgo residual.
  • Actividades de control.
Se trata de políticas y procedimientos que aseguran la adecuada ejecución de acciones contra riesgos. Dichas actividades serán generadas en toda la entidad, a todos los niveles y funciones.
  • Información y comunicación.
La información tiene que estar disponible para la totalidad de niveles de la empresa, para no cometer errores en la identificación, evaluación al riesgo y no comprometa la consecución de objetivos.
  • Supervisión.
La supervisión consiste en el seguimiento de la metodología con el fin de garantizar que funciona adecuadamente y que está ofreciendo datos de calidad.

COSO II es una metodología capaz de abordar la gestión de riesgos en las empresas desde un enfoque integrador y que signifique una gran oportunidad para crear valor para sus partes interesadas o stakeholders.

COSO II define la gestión de riesgos corporativos de la siguiente manera: “La gestión de riesgos corporativos es un proceso efectuado por el consejo de administración de una entidad, su dirección y restante personal, aplicable a la definición de estrategias en toda la organización y diseñado para identificar eventos potenciales que puedan perjudicar a ésta, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos”.

La definición se caracteriza por:
  • Proporciona seguridad.
  • Ser un proceso continuo.
  • Se orienta hacia la consecución de unos objetivos.
  • Estar diseñada para identificar peligros potenciales y gestionar los riesgos.
  • Se traslada a todos los niveles de la organización.
En este ámbito, el modelo clasifica los objetivos de toda entidad en cuatro:
  • Objetivos estratégicos.
Son los objetivos generados desde el mayor nivel de la empresa y están conectados con la misión y visión de la misma.
  • Objetivos operativos.
Los objetivos operativos son aquellos relacionados con la eficacia y eficiencia de las operaciones de la entidad, sin olvidar los relativos al desempeño y la rentabilidad.
  • Objetivos relativos a la información suministrada a terceros.
Son objetivos que perjudican a la efectividad del reporting de información suministrada.
  • Objetivos relativos al cumplimiento regulatorio.
Incluye cualquier objetivo relacionado con el cumplimiento, por parte de la empresa, de todos los requisitos legales, reglamentarios y normativos y aplicables.

COSO II interrelaciona cada uno de los objetivos antes descritos con los ocho elementos que lo llevan a cabo y que más arriba definimos.

En último lugar es necesario nombrar los beneficios que aporta la aplicación de este modelo, cabe destacar:
  • Ayuda a las exigencias normativas en la gestión y control de riesgos.
  • Permite una respuesta más rápida y mejor a los cambios del entorno, a los mercados y a las partes interesadas.
  • Permite obtener un conocimiento íntegro de los riesgos de la organización.
  • Mejora la reputación de la organización.
  • Aumenta la probabilidad de éxito en la implantación de la estrategia.
  • Proporciona un notable aumento de la credibilidad y confianza entre los mercados y grupos de interés.
  • Hace de la toma de decisiones un proceso más seguro.
  • Asigna mejor y más eficientemente los recursos para la gestión de riesgos y oportunidades.
  • Ofrece una gestión eficaz del control sobre los riesgos.
  • Identificación proactiva y aprovechamiento de oportunidades.
  • Permite prever mejor los impactos de los riesgos que afectan a una organización.
Como hemos podido observar, COSO II se orienta a la gestión del riesgo, materia que preocupa en el mundo de la calidad. La norma ISO9001:2015 no nos impondrá a usar ninguna metodología para este tema, por lo que evaluaremos esta opción entre otras y adoptaremos la que más nos convenga.


Tomado de: https://www.isotools.org/

No hay comentarios.: