ISO 9001:2015 Gestión de Riesgos y COSO

• Ambiente de control.
• Evaluación de Riesgos.
• Actividades de control.
• Información y comunicación.
• Supervisión.

En 2004, se publica COSO II o estándar Enterprise Risk Management – Integrated Framework (ERM). Lo podemos conocer como Marco Integrado de Riesgos, el cual amplió el concepto de control interno de COSO I a la gestión de riesgos en la que se implica a todo el personal de la organización.

De los cinco componentes anteriores de COSO I, COSO II pasa a tener ocho, siendo:

• Ambiente de control.

Se trata de los valores y la filosofía de la organización, este aspecto influye en la visión de los trabajadores de los riesgos y sus actividades de control. Es la base de sobre la que se sitúan el resto de elementos, e influye significativamente en los objetivos y en la estrategia.

• Establecimiento de objetivos.

Se establecen objetivos tanto estratégicos como operativos, de información y de cumplimiento. Deben establecerse con anterioridad a la identificación de posibles acontecimientos que dificulten su consecución. Deben alinearse con la estrategia de la organización.

• Identificación de eventos.

Nos interesa cualquier evento que pueda tener impacto sobre el cumplimiento de objetivos, pudiendo ser tanto positivos como negativos.

• Evaluación de Riesgos.

Consiste en la identificación y análisis de los riesgos significativos en la consecución de objetivos. Es necesario para poder establecer el efecto que podrían tener, de materializarse, en la consecución de objetivos. Se combinarán técnicas cuantitativas y cualitativas. La evaluación del riesgo primero se centrará en el riesgo inherente y, posteriormente, en el riesgo residual.

• Respuesta a los Riesgos.

La respuesta al riesgo será evaluada en función de cuatro categorías: evitar, reducir, compartir y aceptar. Cuando se tenga la respuesta al riesgo más adecuada para una situación en cuestión, se efectuará una reevaluación del riesgo residual.

• Actividades de control.

Se trata de políticas y procedimientos que garantizan la correcta ejecución de acciones contra riesgos. Estas actividades serán establecidas en toda la organización, a todos los niveles y funciones.

• Información y comunicación.

La información debe estar disponible para todos los niveles de la organización, para no cometer errores en la identificación, evaluación y respuesta al riesgo y no comprometa la consecución de objetivos.

• Supervisión.

Consiste en el seguimiento de la metodología, para asegurar que funciona correctamente y que está ofreciendo datos de calidad.

COSO II constituye una metodología capaz de abordar la gestión de riesgos en las organizaciones desde un enfoque integrador y que signifique una oportunidad real para crear valor para sus partes interesadas o stakeholders.

COSO II define la gestión de riesgos corporativos del siguiente modo: “La gestión de riesgos corporativos es un proceso efectuado por el consejo de administración de una entidad, su dirección y restante personal, aplicable a la definición de estrategias en toda la empresa y diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos”.

Esta definición se caracteriza por:

• Ser un proceso continuo.
• Se traslada a todos los niveles de la organización.
• Estar diseñada para identificar peligros potenciales y gestionar los riesgos.
• Proporciona seguridad.
• Se orienta hacia la consecución de unos objetivos.

En este contexto, el modelo clasifica los objetivos de cualquier organización en cuatro:

• Objetivos estratégicos.

Son los objetivos establecidos desde el nivel más alto de la organización y están relacionados con la misión y visión de la misma.

• Objetivos operativos.

Son aquellos relacionados con la eficacia y eficiencia de las operaciones de la organización, sin olvidar los relativos al desempeño y la rentabilidad.

• Objetivos relativos a la información suministrada a terceros.

Se trata de objetivos que afectan a la efectividad del reporting de la información suministrada.

• Objetivos relativos al cumplimiento regulatorio.

Incluye todos aquellos objetivos relacionados con el cumplimiento, por parte de la organización, de todos los requisitos legales, reglamentarios y normativos aplicables.

COSO II interrelaciona cada uno de los objetivos descritos anteriormente con los ocho elementos que lo componen y que definimos más arriba.

Por último es necesario nombrar los beneficios que aporta la aplicación de este modelo, cabe destacar:

• Permite obtener un conocimiento íntegro de los riesgos de la organización.
• Ofrece una gestión eficaz del control sobre los riesgos.
• Identificación proactiva y aprovechamiento de oportunidades.
• Permite una respuesta más rápida y mejor a los cambios del entorno, a los mercados y a las partes interesadas.
• Ayuda a las exigencias normativas en la gestión y control de riesgos.
• Asigna mejor y más eficientemente los recursos para la gestión de riesgos y oportunidades.
• Hace de la toma de decisiones un proceso más seguro.
• Permite prever mejor los impactos de los riesgos que afectan a una organización.
• Proporciona un notable aumento de la credibilidad y confianza entre los mercados y grupos de interés.
• Mejora la reputación de la organización.
• Aumenta la probabilidad de éxito en la implantación de la estrategia.

Como hemos visto, COSO II se enfoca en la gestión del riesgo, tema que preocupa ahora en el mundo de la calidad. La norma ISO 9001 versión 2015 no nos obligará a usar ninguna metodología en cuestión para este tema, por lo que podremos evaluar esta opción entre otras y adoptar la que más nos convenga.