El GRC integra componentes ya existentes en las organizaciones, con el objetivo de formalizarlos y armonizarlos en un solo modelo. Ahora bien, ¿cuáles son las bases programáticas que hay que analizar?
Riesgo: es la exposición a una situación en la que existe la posibilidad de sufrir un daño o de encontrarse en peligro. Es la vulnerabilidad o amenaza de que ocurra un evento cuyos efectos sean negativos y puedan afectar a alguien o algo. Cuando se dice que un sujeto está en riesgo, se considera que se encuentra en desventaja frente a algo más, ya sea por su ubicación o posición, y que es susceptible de recibir una amenaza sin importar cuál sea su índole.
Análisis de riesgos:
• Proceso sistemático.
• Identificar y evaluar riesgos.
• Administrar y monitorizar los riesgos del negocio.
• Probar y administrar controles.
• Priorizar y racionalizar riesgos y controles.
• La segregación funcional es un conjunto de riesgos.
Gobierno empresarial: el gobierno corporativo es el entramado de estructuras, normas, procedimientos y prácticas que permiten dirigir una empresa. El concepto abarca los vínculos que se establecen entre el directorio, la gerencia, los accionistas y otras partes interesadas en la gestión de la compañía.
Elementos que debe determinar el Gobierno Empresarial:
• Alineamiento estratégico
• Estructura y efectividad organizacional
• Definir roles y responsabilidades, reducir o eliminar silos
• Identificar procesos clave que sustenten el cumplimiento de objetivos estratégicos y la adecuada gestión de riesgos estratégicos.
• Propietarios de los procesos (riesgos, controles).
• Procesos GRC viables y útiles (pruebas, autoevaluaciones).
CUMPLIMIENTO: el cumplimiento normativo o compliance es una función de las empresas para garantizar el cumplimiento de las normas y leyes vigentes. Esta función asesora, supervisa y monitoriza los riesgos de posibles incumplimientos.
Elementos del cumplimiento
Tener un proceso definido, unificar esfuerzos y aprovechar las sinergias con la gestión de riesgos.
El riesgo es no cumplir.
Los empleados y los accionistas se adhieren y cumplen con las políticas, los procedimientos, las leyes y las regulaciones que les aplican.
Ahora bien, ¿qué sucede cuando hay desconocimiento de nuevos riesgos?
Elementos:
• Falta de capacitación del talento humano: nuevos riesgos que afectan a la industria o empresa. – Riesgo de cumplimiento debido a cambios permanentes en la regulación.
Definiciones inconsistentes de riesgos
• Falta de programa de cumplimiento.
• Diferentes mediciones y percepción del grado de riesgo dentro de la organización
• Ineficiencias tecnológicas.
• Falta de integración funcional/integración de los sistemas.
• Costes adicionales (aprox. un 15 %) de los programas de administración de riesgos y cumplimiento. Dificultad para tener una visión integral.
• Informes manuales: se gasta aproximadamente el 35 % del tiempo en informes manuales por falta de automatización.
• Soluciones parciales por falta de visión organizativa.
• Relación costes/beneficios: muy pocas organizaciones conocen exactamente: — El coste interno de las actividades necesarias para cumplir con las exigencias regulatorias. – El beneficio estratégico logrado por los programas de riesgo y cumplimiento.
• Necesidad de GRC: el modelo de negocio de un programa de GRC debe identificar las correlaciones entre diferentes tipos de riesgos, agentes internos de la compañía y entes reguladores, teniendo en cuenta que el entorno es dinámico y que tanto los riesgos como los requerimientos de cumplimiento están evolucionando permanentemente.
COSO ERM (2022) – Componentes. Un nuevo enfoque en el desempeño
El Consejo del Committee of Sponsoring Organizations of the Treadway Commission (COSO) publicó el documento Enterprise Risk Management—Integrating with Strategy and Performance (ERM 2017), una actualización de la primera versión de 2004.
El capital humano es la primera línea de defensa.
Las personas que están en la operación diaria de las organizaciones son la primera línea de defensa en la gestión de riesgos. Al estar inmerso en los procesos, controles internos y actividades cotidianas, el capital humano debe tener un mayor conocimiento y capacitación sobre el riesgo para poder identificarlo y prevenir afectaciones al negocio.
Gobierno corporativo y cultura
El gobierno fija el tono de la organización, reforzando la importancia y estableciendo responsabilidades de supervisión del ERM. La cultura se refiere a los valores éticos, las conductas deseables y la comprensión del riesgo en la organización.
La agilidad es una prioridad cada vez mayor para los órganos de dirección y gobierno.
La agilidad se ha convertido en algo imprescindible en el entorno empresarial actual, propenso a repetidos impactos asociados con eventos como la pandemia y otros factores geopolíticos, como la invasión rusa de Ucrania.
Las organizaciones que pueden reaccionar rápidamente ante estos riesgos y aprovechar las oportunidades pueden superar a sus competidores en estas condiciones. Por este motivo, el desarrollo de la agilidad se ha convertido en una prioridad cada vez mayor para los órganos de dirección y gobierno.
Al respecto, resulta de utilidad adoptar un enfoque práctico, es decir, que las comisiones de auditoría adopten un enfoque de gobernanza adaptativo. Por ejemplo, que incorporen en sus agendas aspectos relacionados con la gestión dinámica de riesgos. Esto exigirá que las funciones de riesgos les presenten sus metodologías para implementar conexiones estratégicas «ágiles», cuestionar los modelos comerciales heredados, revisar las principales evaluaciones de riesgos de forma más periódica utilizando datos externos y evaluar posibles escenarios que determinen cuándo la estrategia y el modelo de negocio podrían estar en riesgo.
Las organizaciones que pueden reaccionar rápidamente ante estos riesgos y aprovechar las oportunidades pueden superar a sus competidores en estas condiciones.
Igualmente, es fundamental incorporar las principales cuestiones de la metodología «Agile» aplicable a la gestión de riesgos y auditoría interna en el plan de formación o en sesiones monográficas para estos órganos de gobierno y alta dirección, y descendiendo a todos los niveles de la organización.
Las prácticas de gestión de riesgos deben alinearse con el enfoque ágil de la organización.
Una de las premisas para la alta dirección y los órganos de gobierno de las organizaciones en relación con la agilidad de los cambios es que no basta con moverse rápido, sino que hay que tener un sentido de dirección.
Es imperativo que las prácticas de ERM estén alineadas con el enfoque ágil de la organización para ayudarles a alcanzar sus objetivos y crear más valor a medida que persiguen su misión y estrategias en un mundo que cambia rápidamente. El marco COSO ERM proporciona algunas pautas para reflexionar sobre cómo y dónde se debe considerar el riesgo a medida que las empresas se vuelven más ágiles. Entre estas claves se destaca:
• Evaluar periódicamente el entorno y la capacidad del enfoque estratégico para tener éxito en él.
• Asumir riesgos, pero nunca a ciegas.
• Tener en cuenta la velocidad del cambio, los riesgos y la disrupción en nuevos modelos de negocio.
• Ser consciente de que la agilidad puede mitigar algunos riesgos, pero también puede introducir otros nuevos.
• Recopilar y comprender el «ruido» del mercado y su efecto en el modelo de negocio y las operaciones, así como construir un sistema de alerta temprana.
• Realizar evaluaciones periódicas del ERM, así como de su propósito, misión y alineación con el entorno actual, el enfoque estratégico y las unidades de negocio.
Para poder llevar a cabo estas tareas y, a la vez, dar cumplimiento a los requerimientos anteriores de los órganos de gobierno, puede ser beneficioso utilizar soluciones como el Dynamic Risk Assessment (DRA), que pueden ayudar a evolucionar los tradicionales modelos de gestión de riesgos, incrementando su conectividad dinámica y presentando informes relevantes que permitan una mejor toma de decisiones y hacer seguimiento de los riesgos en tiempo real.
¿Qué es el modelo COSO de control interno?
El modelo COSO de control interno es un conjunto de principios, componentes y elementos.
¿Cuáles son los componentes del modelo COSO de control interno?
El modelo COSO de control interno está compuesto por cinco componentes interrelacionados que se aplican a todos los niveles y actividades de la organización. Estos componentes son:
Ambiente de control: Se refiere al conjunto de factores que influyen en la cultura y el comportamiento de la organización respecto al control interno. Entre estos aspectos se incluyen la integridad, los valores éticos, la competencia, el compromiso, la estructura organizativa, la asignación de autoridad y responsabilidad, la política de recursos humanos y el ambiente de trabajo.
Evaluación de riesgos: Se refiere al proceso de identificar y analizar los riesgos internos y externos que pueden impedir o dificultar la consecución de los objetivos de la organización. Este proceso incluye la definición de los objetivos, la identificación de los eventos potenciales que pueden afectarlos, la estimación de su probabilidad e impacto, y la determinación de las respuestas adecuadas para mitigarlos o aprovecharlos.
Actividades de control: se refiere a las acciones que se llevan a cabo para garantizar que las respuestas a los riesgos se ejecuten de manera efectiva.
Información y comunicación: Se refieren a las acciones que se llevan a cabo para garantizar que las respuestas a los riesgos se ejecuten de manera efectiva. Incluyen aspectos como las políticas, los procedimientos, las normas, las prácticas, los controles preventivos y detectivos, las revisiones independientes, la segregación de funciones y la supervisión.
Monitoreo: proceso de evaluar el diseño y la efectividad del sistema de control interno a lo largo del tiempo.
Se refiere al proceso de evaluar el diseño y la efectividad del sistema de control interno a lo largo del tiempo. Incluye actividades continuas o periódicas de supervisión, evaluaciones internas o externas del control interno, informes sobre deficiencias o debilidades encontradas y acciones correctivas implementadas.
¿Cómo se aplica el modelo COSO en la práctica?
Para aplicar el modelo COSO en la práctica se requiere seguir una serie de pasos que implican un compromiso por parte de toda la organización. Estos pasos son:
Establecer los objetivos: se trata de definir claramente los objetivos estratégicos, operativos, de reporte y de cumplimiento que se quieren alcanzar con el control interno.
Identificar los riesgos: se trata de identificar los eventos potenciales que pueden afectar el logro de los objetivos y evaluar su probabilidad e impacto.
Diseñar las respuestas: se trata de determinar las acciones que se van a realizar para mitigar o aprovechar los riesgos identificados, así como los responsables de su ejecución.
Implementar las actividades de control: se trata de poner en marcha las políticas, los procedimientos, las normas, las prácticas y los controles que se han diseñado para asegurar que las respuestas a los riesgos se ejecuten efectivamente.
Generar y comunicar la información: se trata de generar, capturar, procesar, distribuir y compartir la información relevante para el control interno, tanto interna como externamente.
Monitorear y mejorar el sistema: se trata de evaluar el diseño y la efectividad del sistema de control interno a lo largo del tiempo, reportar las deficiencias o debilidades encontradas y tomar las acciones correctivas necesarias.