Por Jesús Aisa Díez
Recientemente he tenido la oportunidad de asistir a la 17ª Jornadas de
Auditoría promovidas por el Instituto de Auditores Internos de España,
celebradas los pasados días 21 y 22 de Noviembre en Madrid, en las que tuve
ocasión de escuchar diversas ponencias relacionadas con el ejercicio de nuestra
profesión, todas ellas muy interesantes y con enfoques fundamentalmente
orientados a la mejora de la eficiencia de la actividad. De ellas, quizás la que
más me impactó fue la desarrollada por PWC,
titulada “COSO 3. Principales
novedades en el Marco de Control Interno actualizado”. A través de la cual
se expusieron los cambios que se pretenden introducir en este protocolo, cuya
nueva edición se espera aparezca en el primer trimestre del próximo año. Los
cuales se identificaron con:
1º)
Establecer los objetivos del negocio como condición previa a fijación de los
objetivos de Control Interno.
2º)
Ampliación del objetivo de reporting,
que ya no se limitará exclusivamente a los financieros.
3º) El nuevo
Marco actualizado introducirá 17 principios a los que se asocian determinados
puntos de enfoque, con los que se producirán cambios en sus 5 componentes, a
saber: (i) ambiente de control,
(ii) evaluación de riesgos,
(iii) actividades de control,
(iv) información y comunicaciones y
(v) monitorización, que se mantienen cuantitativamente como en la primera versión, aunque anecdóticamente modificándose el cubo que representa el modelo COSO I, ya que el ambiente de control se encuentra ahora situado en el nivel más alto del paralelepípedo que lo representa.
(ii) evaluación de riesgos,
(iii) actividades de control,
(iv) información y comunicaciones y
(v) monitorización, que se mantienen cuantitativamente como en la primera versión, aunque anecdóticamente modificándose el cubo que representa el modelo COSO I, ya que el ambiente de control se encuentra ahora situado en el nivel más alto del paralelepípedo que lo representa.
Por todo ello
lo primero que se puede observar, desde mi perspectiva, es que hay una evidente
retroalimentación de ERM, también llamado COSO II, hacia el conocido como COSO
I. Lo cual no es de extrañar, ya que esto estaba en el propio ADN de ambos
protocolos, dado que ERM se entendía que no anulaba al COSO I, sino que lo
ampliaba y perfeccionaba.
Por todo
ello, si ahora procede modificar COSO I, denominándolo por los ponentes de PWC que nos lo describieron, como COSO
3, sería de esperar que los cambios que en él se produzcan den pié a una nueva
versión del ERM, ¿Podríamos llamarla COSO IV?.
Pero veamos
qué cambios se incluyen en COSO 3 que no sean consecuencia de COSO II, y que,
por consiguiente, podrían inducir a una próxima versión del protocolo ERM/COSO
II, el que anteriormente me he permitido la licencia de aventurar su
calificación como COSO IV. De ellos los que podrían ser más significativos son
los que afectan a la Evaluación de
riesgos recogidos en el principio nº 7, el cual señala que, en lo sucesivo
debe tenerse en consideración, aparte de los atributos del impacto y
probabilidad, los de la velocidad de expansión de las amenazas, así como su
persistencia, ya que estas nuevas características de los riesgos permitirán una
mejor evaluación de los mismos, dado que, por ejemplo, no debería ser evaluado
de la misma forma el riesgo de incendio de un almacén a través exclusivamente de
sus atributos de impacto y probabilidad, dado que si estamos frente a la
posibilidad de que se produzca el incendio en un almacén de productos terminados
de índole agrícola, o si este se produce en un almacén de productos inflamables,
dado que la capacidad de reacción es diferente en ambos casos, aunque coincidan
las consecuencias estimadas y la probabilidad de ocurrencia. Por ello, si lo que
se modifica en este sentido en COSO I, debiera trasladase a ERM, es de esperar que en
breve este protocolo tenga la necesidad de actualizarse recogiendo los cambios
conceptuales que se hayan incorporado en el Marco sobre el Control Interno. En
este sentido es de esperar que los mapas de riesgo no deberían tener solo dos
dimensiones (impacto y probabilidad), sino que habría que pasar al menos a tres:
Impacto, probabilidad y velocidad de ocurrencia. Con lo que se habrá introducido
una enorme complejidad en la elaboración e interpretación de los mapas de
riesgos, que pasarían a ser tridimensiones, lo cual no resultará sencillo de
representar, ni de interpretar.
Hasta donde
me ha sido posible conocer, esta previsible interrelación y retroalimentación
bidireccional entre los protocolos COSO´s relativos a control interno (COSO I) y
el correspondiente a la Gestión de Riesgos Empresariales (ERM-COSO II), ya se ha
visto materializada en un nuevo documento del Committee of Sponsoring Organizations of the
Treadway Commission, de fecha Octubre 2012, denominado “Risk assessment in
practice”, en el que, con la participación ahora de Deloitte & Touche, se
concluye que en el desarrollo de los criterios de evaluación de los riesgos
deben considerarse también otras características como por ejemplo: la
vulnerabilidad ante las amenazas y la velocidad de inicio de las
mismas.
Por todo
ello, dicho estudio concluye entre otras interesantes recomendaciones, como nos
temíamos, que la evaluación de los riesgos no es solo dependiente del impacto y
la probabilidad, sino que intervienen otras cuestiones, como, por ejemplo: la
vulnerabilidad y la velocidad de aparición, así como todas otras variables que
determinen el rango de los riesgos
Según el
citado documento se entiende por vulnerabilidad la susceptibilidad de la entidad ante un evento de riesgo en
términos relacionados con la preparación de la misma ante la amenaza, su
agilidad y adaptabilidad. Cuanto más vulnerable sea la entidad al
riesgo, mayor será el impacto si el evento ocurre. Si las respuestas al riesgo,
incluyendo los controles no están en su lugar y no resultan operativos según lo
diseñado, entonces la probabilidad de ocurrencia de los eventos estará en
aumento. La evaluación de la vulnerabilidad permite a las entidades medir qué
tan bien se están controlando los riesgos. Aspecto este último que me gustaría
subrayar ya que entiendo es básico para la conclusión final de mis reflexiones.
Incluyéndose como recomendable el levantamiento del mapa de riesgos
según el esquema que seguidamente se reproduce de manera literal:
Sugiriendo que la velocidad de aparición se represente en los mapas
dando una adecuada dimensión a los puntos que reflejan los riesgos en una
representación de dos dimensiones, de forma que su mayor superficie sea
entendida como una mayor correlación con la velocidad de aparición estimada. Sin
embargo no se ofrece alternativa aplicable a la vulnerabilidad estimada, que se
nos ocurre se podría asociar a la forma asignada al símbolo que represente al
riesgo (cuadrada, rectangular, elipsoidal, hexagonal, etc) según el convenio
previamente establecido, y así sucesivamente de hacer participar en la
evaluación de los riesgos otras características.
Admitiendo la incidencia que estas nuevas variables tienen en una
adecuada gestión de los riesgos, modestamente opinamos que estas no deberían ser
contempladas en la etapa de Evaluación de
los riesgos, puesto que, si volvemos la vista a atrás, y recordamos los
cambios en los elementos que componen COSO I
y COSO II, hemos de observar que en COSO II la Evaluación de riesgos se complementa
incluyendo el correspondiente a Identificación de eventos y Respuestas al riesgo, siendo en este
último elemento (Respuesta a los riesgos) en dónde debería tenerse en
consideración las nuevas variables citadas (Vulnerabilidad y velocidad de
aparición), ya que serán las que validen como apropiadas las medidas de control
que se habiliten.
Por lo tanto, estimamos como un gran avance que la
gestión/administración de los riesgos contemplen las otras características que
los definen, de forma que estas puedan ser tenidas en consideración en la
determinación de los controles que se consideren pertinentes u oportunos en base
a las características de todo tipo que definirán los riesgos, pero sin que las
mismas se hagan intervenir de forma directa en la confección o priorización de
los riesgos, puesto que, como no recuerdo quién lo dijo: lo mejor enemigo de lo bueno, y las
mejoras que podríamos obtener con este cambio de metodología en la forma de
levantar los mapas de riesgos, vendría amortiguada por la dificultad de su
confección y su posterior interpretación.
Resumiendo, un sí rotundo a que en la determinación de los controles a
implementar se consideren las distintas variables que permitan calificar de
forma adecuada a las amenazas que se prevea puedan afectar a los objetivos
empresariales, pero que ello no modifique la forma de valorarlas, que sugerimos
seguir haciéndolo en base a su impacto y probabilidad, aunque se puedan
posteriormente tipificar adecuadamente con las demás características que los
definen. Esta posición no es nueva, ya que es evidente que cuando actualmente
nos decantamos por un tipo de control, previamente habremos considerado, por
ejemplo, cual es el medio en el que tengamos que desenvolvernos, pues no será lo
mismo atender a un riesgo en un medio terrestre que otro marítimo. Siendo en
ambos casos diferentes las medidas de control que en cada caso adoptemos.
Por Jesús Aisa Díez
