- Mejora la agilidad de los Sistemas de Gestión de Riesgos en su adaptación con los entornos.
- Aumenta la confianza en cuanto a la eliminación de riesgos y consecución de objetivos.
- Aporta mayor claridad referente a la comunicación y la información.
Este Marco Integrado COSO III, aporta mayor cobertura de riesgos en las organizaciones. Los cambios más significativos con los que cuenta, desde COSO II son, clasificados por componentes:
- Entorno de control.
- Aparecen cinco principios que recogen: la importancia de la integridad y valores éticos, la importancia del modo de operar de la administración y su filosofía, la relevancia de contar con una estructura organizativa, una correcta asignación de responsabilidades y el valor de las políticas de recursos humanos.
- Se aclaran las relaciones entre los elementos que componen el control interno para subrayar la relevancia del entorno de control.
- Aumenta la información sobre el gobierno corporativo de una organización, apreciando diferencias en estructuras, requisitos, sectores y tipos de entidades.
- Se refuerza la supervisión del riesgo, así como la relación entre el riesgo y su respuesta.
- Evaluación de riesgos.
- Se amplía la categoría de objetivos de reporte.
- Se señala que la evaluación de riesgos incluye: identificación, análisis y respuesta a los riesgos.
- Se añaden conceptos como velocidad y persistencia de riesgos, como criterios de evaluación.
- Se tiene en cuenta la tolerancia al riesgo en la evaluación de niveles aceptables de riesgo.
- Se considera el tipo de riesgo ligado a las fusiones, adquisiciones y externalizaciones.
- Se extiende la consideración de riesgo al fraude.
- Actividades de control.
- Se señala que las actividades de control vienen establecidas por procedimientos y políticas.
- Se tiene en cuenta el cambio rápido y la evolución de la tecnología.
- Se acentúa la diferenciación entre controles automáticos y controles generales de tecnología.
- Información y comunicación.
- Se resalta la importancia de la calidad de la información dentro del sistema de control interno.
- Se penetra en la necesidad de información y comunicación entre la organización y terceras partes.
- Se exalta el impacto de los requisitos legales sobre seguridad y protección de la información.
- Se muestra el impacto de la tecnología y otros medios de comunicación en la rapidez y calidad del flujo de información.
- Actividades de monitoreo y supervisión.
- Se hace más clara la terminología, mediante la definición de dos categorías de actividades de monitoreo: evaluaciones independientes y evaluaciones continuas.
- Se ahonda en la relevancia del uso de proveedores de servicios externos y la tecnología.
La administración de riesgos era, en la versión anterior, uno de los elementos básicos del control interno con el que podíamos lograr una eficacia y eficiencia de las operaciones, el cumplimiento de leyes, normas y/o reglamentos y la confiabilidad de los reportes. Esto se debe a que el sistema de gestión de riesgos no es independiente del sistema de control interno, están integrados. Esto también podríamos decirlo en sentido inverso.
Así que 9 años después de COSO II se publica COSO III, una versión actualizada y mejorada. Esta revisión de la metodología admite todos los cambios y mejoras que se introdujeron en COSO II, excepto que los elementos quedan reducidos a cinco, dejan de hacer referencia explícita a:
- Establecimiento de objetivos.
- Identificación de eventos.
- Respuesta a los riesgos.
No obstante el elemento correspondiente a evaluación de riesgos, sí admite de manera indiscutible que la evaluación de riesgos deberá incluir:
- Identificación de cada uno de los riesgos.
- Análisis de riesgos.
- Respuesta precisa a los riesgos.
Además, como elemento novedoso, se da protagonismo a conceptos como la tolerancia al riesgo en la evaluación de niveles aceptables de riesgo, y se incluyen otros como la velocidad y persistencia de los riesgos, siendo razones para evaluar la criticidad de los mismos.
Por otro lado, cuando se hablan de mejoras de este Marco actualizado, se manifiesta que va acompañado de dos nuevos documentos: el relativo al control interno de la información financiera externa (ICEFR) y las herramientas de evaluación a emplear para poder valorar la eficacia del control interno.
Esto último parece haber olvidado que en 2006 COSO publicó el documento “Control Interno para la información financiera para pequeñas empresas cotizadas”, así como en 2009, la “Guía para la Supervisión de Sistemas de Control Interno”
Las organizaciones que estén trabajando con COSO deben saber que esta versión de la metodología de gestión de riesgos es la vigente actualmente, quedando derogadas las versiones anteriores, al igual que las entidades que al implantar ISO 9001:2015 quieran usar esta herramienta para aplicar la gestión de riesgos que pide la norma.