Los marcos de COSO proporcionan liderazgo intelectual y orientación a las organizaciones en lo que respecta a los controles internos, la gestión de riesgos empresariales (ERM), la disuasión del fraude y la gobernanza. El cumplimiento de estos marcos detallados puede ser un reto y complejo, y no siempre es fácil de incorporar a los procesos empresariales. En este blog, analizamos cómo la implementación del software GRC adecuado puede agilizar su camino hacia el cumplimiento de COSO en las áreas de control interno y gestión de riesgos empresariales. Exploramos los principios fundamentales de la orientación proporcionada por COSO y explicamos cómo los marcos de mejores prácticas, los flujos de trabajo, las plantillas y los formularios proporcionados por el software GRC pueden ayudar a las organizaciones a operar en consonancia con la orientación y proporcionar pruebas adecuadas de cumplimiento.
¿Qué es el marco de control interno de COSO?
El Committee of Sponsoring Organizations of the Treadway Commission (COSO) publicó por primera vez una guía sobre los controles internos en 1992, y el marco se revisó y se publicó de nuevo en mayo de 2013 para ayudar a las empresas a diseñar e implementar controles internos para reducir el fraude. Según la Association of Certified Fraud Examiners (ACFE), los controles internos débiles o deficientes son responsables de casi la mitad de todos los fraudes. Para asegurarse de que no se convierten en un blanco fácil para los estafadores, muchas organizaciones optan por adoptar el modelo de control interno de COSO, reconocido a nivel mundial, para asegurarse de que cuentan con controles internos eficaces para reducir el riesgo y el fraude.
El marco de control interno de COSO describe los requisitos para un sistema de control interno eficaz, enumera cinco principios y explica cómo deben integrarse en un proceso que forma parte de las operaciones empresariales. Los controles internos sólidos abarcan los conjuntos de procesos, normas y estructuras que ayudan a detectar y prevenir el fraude interno, incluidas las políticas, los valores éticos corporativos, la estructura organizativa y el compromiso de emplear a empleados competentes y éticos, y, por supuesto, la comprobación sólida de los datos operativos y transaccionales.
El marco de COSO consta de cinco componentes interrelacionados:
Entorno de control: este componente establece el tono en la parte superior de la organización y establece la base para el control interno. Abarca factores como el compromiso del liderazgo con la integridad y los valores éticos, la estructura organizativa, la asignación de autoridad y responsabilidad, y la cultura de la organización.
Evaluación de riesgos: las organizaciones deben identificar y analizar los riesgos que pueden impedirles alcanzar sus objetivos. Este componente implica la evaluación de los riesgos tanto internos como externos, la evaluación de su impacto potencial y la determinación de cómo gestionarlos o mitigarlos.
Actividades de control: las actividades de control son las políticas, los procedimientos y las prácticas que las organizaciones implementan para mitigar los riesgos y alcanzar sus objetivos. Estas actividades pueden incluir la segregación de funciones, los procesos de autorización, aprobación y escalamiento, los controles físicos, los controles de tecnología de la información, las revisiones del rendimiento empresarial y la formación de los empleados.
Información y comunicación: los sistemas de control interno eficaces se basan en información oportuna y relevante y en canales de comunicación claros. Este componente implica garantizar que la información relevante se identifique, se capture y se comunique a las personas adecuadas dentro de la organización para apoyar la toma de decisiones informadas y la rendición de cuentas.
Actividades de supervisión: las actividades de supervisión son esenciales para evaluar la eficacia de los controles internos a lo largo del tiempo. Este componente implica la supervisión continua de las actividades de control, las evaluaciones periódicas del rendimiento del sistema de control interno y la notificación de las deficiencias o debilidades para la adopción de medidas correctivas.
El marco de control interno de COSO es un enfoque integral para la gestión de los controles internos que ayuda a las organizaciones a reducir el fraude y a alcanzar sus objetivos, al tiempo que gestionan el riesgo de forma eficaz. El marco está diseñado para aplicarse en todos los sectores y organizaciones, independientemente de su tamaño o complejidad.
¿Qué deben hacer las organizaciones para cumplir con el marco de control interno de COSO?
Para implementar el marco de control interno de COSO, una organización debe embarcarse en un proceso sistemático que implique los siguientes pasos clave que requieren el compromiso y el apoyo del consejo de administración, la alta dirección y los empleados de todos los niveles.
Evaluar sus sistemas de control interno existentes con respecto a los componentes del marco de COSO.
Identificar las carencias o las áreas de mejora en su entorno de control interno, las actividades de control, las prácticas de información y comunicación y los mecanismos de supervisión.
Implementar cambios o mejoras para modificar sus sistemas de control interno con el fin de alinearlos con los principios y objetivos del marco de COSO.
Supervisar y evaluar la eficacia de sus sistemas de control interno y ajustarlos según sea necesario para abordar los riesgos cambiantes y los cambios en el entorno empresarial.
¿Cómo puede el software GRC ayudar a una organización a cumplir con los requisitos de control interno de COSO?
El desarrollo de un sistema de control interno bien pensado puede ser un proceso desalentador y que requiere mucho tiempo, y las hojas de cálculo y los procesos manuales a menudo carecen de la automatización y el gobierno de datos necesarios. Las plataformas GRC ofrecen marcos, plantillas, flujos de trabajo y formularios de mejores prácticas listos para usar que permiten a las empresas estructurar sus procesos de control interno en línea con el marco de control interno de COSO.
Los equipos de GRC pueden configurar la supervisión automatizada de los controles dentro de la plataforma GRC. La supervisión de los controles permite a las organizaciones gestionar el riesgo de forma proactiva mediante el uso de controles basados en reglas preestablecidas para detectar el riesgo en grandes conjuntos de datos y notificar al interesado pertinente. Desde las transacciones irregulares y las comprobaciones de control fallidas hasta el incumplimiento y los fallos de auditoría, los riesgos y problemas potenciales se pueden detectar en función de reglas predeterminadas y se envían alertas a las partes interesadas, lo que les permite tomar las medidas necesarias.
Los controles se pueden configurar para señalar las áreas de preocupación en todo su programa de GRC, incluidos los plazos incumplidos, las anomalías en los datos operativos y transaccionales, los sobrecostes presupuestarios, los incidentes críticos para el negocio o cuando los KPI o los indicadores clave de riesgo (KRI) alcanzan niveles intolerables. Este nivel de automatización detecta los riesgos que de otro modo habrían pasado desapercibidos y proporciona una capa adicional de garantía para los equipos de riesgo.
Además, la supervisión de los controles es un componente fundamental del cumplimiento de la ley SOX, ya que permite a las empresas mantener controles internos eficaces sobre la información financiera, identificar y subsanar las debilidades o deficiencias en su marco de control, y proporciona la garantía de que su información financiera es precisa y fiable. Los controles internos proporcionan una supervisión en tiempo real de los procesos financieros clave, como el reconocimiento de ingresos, las cuentas por pagar y la nómina, detectando los problemas de forma temprana y reduciendo el riesgo. El software GRC automatiza todo el proceso de control interno, creando una capa de defensa automatizada y eliminando las largas comprobaciones manuales. El proceso de escalamiento y resolución también se automatiza mediante el uso de flujos de trabajo predefinidos para facilitar los procesos paso a paso, incluidas las escalaciones, las aprobaciones, las firmas y las notificaciones. El software mantiene un registro de auditoría completo de cómo se establecen, gestionan, escalan y resuelven los controles, lo que proporciona una prueba del cumplimiento de las directrices de control interno de COSO.
La funcionalidad de cumplimiento y auditoría del software GRC también se puede utilizar para mantener el cumplimiento de las directrices de COSO. Las empresas pueden crear una “biblioteca de obligaciones” que incluya todos los requisitos establecidos en el marco de COSO y supervisar el cumplimiento de cada aspecto. Cualquier auditoría interna de los requisitos de COSO también se puede llevar a cabo en la plataforma.
¿Qué es el marco de gestión de riesgos empresariales de COSO?
Actualizado por última vez en 2017, el marco de gestión de riesgos empresariales (ERM) de COSO proporciona una guía detallada para las empresas en lo que respecta a la gestión de riesgos empresariales que se integra con la estrategia y el rendimiento. Está diseñado para ayudar a las organizaciones a ser más adaptables al cambio y a pensar estratégicamente sobre cómo el riesgo podría afectar a su éxito, estrategia y rendimiento a largo plazo.
El marco de gestión de riesgos empresariales de COSO exige que las organizaciones implementen un programa de ERM de mejores prácticas para gestionar el riesgo con un registro de riesgos activo, controles, indicadores clave de riesgo (KRI), evaluaciones de riesgos periódicas y supervisión e información de riesgos continuas. Pero, además de la gestión de riesgos tradicional, el marco de gestión de riesgos empresariales de COSO se centra en gran medida en la vinculación del riesgo con los objetivos estratégicos y el rendimiento empresarial para apoyar la toma de decisiones a nivel del consejo de administración.
El marco de gestión de riesgos de COSO describe claramente la participación del consejo de administración en el establecimiento de la estrategia, el apetito de riesgo y la alineación de la estrategia y los objetivos con la misión, la visión y los valores de la empresa. Aborda la forma en que el consejo de administración debe gestionar las fluctuaciones del rendimiento empresarial y su participación en las decisiones empresariales importantes, como las fusiones y adquisiciones, los incentivos para los empleados, la remuneración, la asignación de capital y la financiación de proyectos.
El marco consta de principios organizados en cinco componentes conectados:
Gobernanza y cultura: las empresas deben implementar una buena gobernanza para establecer el tono de la organización, haciendo hincapié en la importancia de establecer responsabilidades de supervisión para la gestión de riesgos empresariales. Las empresas también deben establecer una buena cultura que se relacione con los valores éticos, los comportamientos deseados y la concienciación sobre los riesgos dentro de la entidad.
Estrategia y establecimiento de objetivos: la gestión de riesgos empresariales, la estrategia y el establecimiento de objetivos deben integrarse en el proceso de planificación estratégica. Se debe definir un apetito de riesgo y alinearlo con la estrategia, mientras que los objetivos empresariales y la estrategia deben servir de base para identificar, evaluar y responder a los riesgos.
Rendimiento: se deben identificar y evaluar los riesgos que podrían afectar al logro de los objetivos estratégicos y empresariales. Los riesgos deben priorizarse en función de la gravedad en relación con el apetito de riesgo. La organización debe seleccionar las respuestas de riesgo adecuadas y adoptar una visión global del riesgo general asumido. Los resultados de este proceso se comunican a las principales partes interesadas.
Revisión y modificación: las organizaciones deben revisar el rendimiento de la ERM. COSO estipula que una organización debe evaluar la eficacia de los componentes de la gestión de riesgos empresariales a lo largo del tiempo y comprender cómo fluctúan los niveles de riesgo en función de las decisiones empresariales y los cambios operativos, determinando las modificaciones necesarias.
Información, comunicación e informes: COSO afirma que una gestión de riesgos empresariales eficaz requiere la recopilación y el intercambio continuos de información relevante de fuentes tanto internas como externas, una buena comunicación debe garantizar que fluya hacia arriba, hacia abajo y a través de la organización.
El marco de gestión de riesgos empresariales de COSO garantiza que una organización tenga una visión holística y coherente de los riesgos que pueden afectar a sus objetivos, operaciones, reputación y partes interesadas. También apoya la alineación de la gestión de riesgos con la estrategia, la visión y los valores de la organización. El marco de gestión de riesgos empresariales de COSO está diseñado para mejorar la información, la medición del rendimiento y la toma de decisiones, proporcionando a las partes interesadas la garantía de que la organización está gestionando sus riesgos de forma eficaz.
¿Qué deben hacer las organizaciones para cumplir con el marco de gestión de riesgos empresariales de COSO?
Para implementar el marco de gestión de riesgos empresariales de COSO, una organización debe implementar un programa de ERM de mejores prácticas vinculado a sus objetivos estratégicos y al rendimiento empresarial. Esto les permitirá comprender fácilmente el impacto del riesgo en el rendimiento operativo y en el rendimiento empresarial general, y realizar los cambios necesarios. Estos son los 5 procesos clave que una empresa puede implementar para cumplir con los requisitos de gestión de riesgos empresariales de COSO.
Establecer un proceso de gestión de riesgos de mejores prácticas que incluya el establecimiento de un registro de riesgos, la realización de evaluaciones de riesgos periódicas, el establecimiento de indicadores clave de riesgo, la definición de un apetito de riesgo y la operación dentro de él, el establecimiento de estrategias de respuesta y mitigación de riesgos, la supervisión de los niveles de riesgo y la resolución de problemas, y la presentación de informes detallados sobre el riesgo.
Establecer controles suficientes para reducir el riesgo y supervisar y probar los controles con regularidad para garantizar su eficacia.
Definir una estrategia que se alinee con la misión y los valores de la organización y establecer pasos claros para lograr la estrategia, gestionando cuidadosamente cualquier riesgo estratégico.
Vincular el rendimiento empresarial al riesgo, lo que les permite comprender el impacto del riesgo en el rendimiento empresarial general.
Crear una cultura consciente del riesgo en toda la organización con una estructura de gobernanza establecida, una formación adecuada y unas directrices claras para la participación del consejo de administración.
¿Cómo puede el software GRC ayudar a una organización a cumplir con los requisitos de gestión de riesgos empresariales de COSO?
El aprovechamiento de las plataformas de software GRC consolida los procesos, los sistemas y las fuentes de datos de riesgo dispares en una visión holística, proporcionando una visión profunda del perfil de riesgo, el estado y el rendimiento de una organización. Las organizaciones pueden utilizar la plataforma para configurar un registro de riesgos en línea completo, donde varios departamentos pueden registrar directamente el riesgo y asumir la responsabilidad del mismo. Los equipos pueden utilizar plantillas y cuestionarios de evaluación de riesgos en línea para calcular la probabilidad, la gravedad y el impacto del riesgo y generar calificaciones de riesgo. Los datos transaccionales y operativos se pueden incorporar a la solución desde otros sistemas y fuentes de datos a través de conexiones API, lo que permite a los equipos establecer indicadores clave de riesgo (KRI) y definir las tolerancias al riesgo en función de datos reales. Esto permite a las organizaciones definir un marco de apetito de riesgo y operar dentro de él.
Una vez que el sistema está establecido y el registro de riesgos se ha completado, los equipos pueden establecer controles para supervisar el riesgo de forma continua y se envían notificaciones y alertas automatizadas cuando el grado de riesgo alcanza un nivel intolerable. Los equipos pueden ejecutar informes instantáneos y ver paneles de control en vivo para obtener una visión completa de su perfil de riesgo y profundizar en los detalles para abordar las áreas problemáticas.
El software involucra a toda la organización en el proceso de gestión de riesgos y garantiza que todas las partes interesadas de la empresa puedan asumir la responsabilidad del riesgo. Esto hace que la gestión de riesgos sea más accesible, responsable, rastreable y resoluble, proporcionando visibilidad de la exposición al riesgo a los equipos de liderazgo de acuerdo con el marco de gestión de riesgos de COSO. Los flujos de trabajo automatizados ahorran tiempo y valiosos recursos y aceleran el proceso de remediación de riesgos. Las plataformas GRC descubren posibles oportunidades de crecimiento. En lugar de simplemente utilizar la herramienta para mitigar el riesgo, la plataforma utiliza las capacidades de análisis para sopesar los posibles resultados, lo que permite la asunción de riesgos calculados.
Además de permitir a las empresas implementar procesos de ERM de mejores prácticas, muchas plataformas GRC modernas permiten a las empresas asignar el riesgo a los objetivos estratégicos y al rendimiento empresarial para alinear aún más sus procesos con los requisitos del marco de gestión de riesgos empresariales de COSO. Las empresas pueden utilizar las capacidades de planificación estratégica de las plataformas GRC para trazar sus planes estratégicos. Las plataformas GRC con capacidades de planificación estratégica permiten a las organizaciones desglosar sus objetivos y metas estratégicas generales en programas, proyectos, tareas y acciones más pequeños, que pueden distribuirse en toda la empresa a varias partes interesadas. A cada tarea se le asigna un propietario, un calendario, un presupuesto, SLA y KPI para garantizar su finalización.
A medida que se introduce la información y se completan las tareas, el progreso se puede rastrear fácilmente en todos los niveles de la estrategia. Las vistas de árbol sencillas ayudan a los líderes a visualizar el progreso y las notificaciones automatizadas señalan los plazos incumplidos y las acciones incompletas. Cuando se completan las tareas, los flujos de trabajo notifican a las personas pertinentes para que puedan pasar a la siguiente etapa de la estrategia, lo que les permite continuar con la tarea posterior. Estas herramientas garantizan que los empleados de todos los niveles comprendan su papel en el logro de la estrategia de la organización, lo que permite a los líderes supervisar el progreso y abordar los problemas, y simplifica el proceso de cascada de los cambios estratégicos. Las empresas que gestionan el riesgo y la estrategia en la misma plataforma integrada pueden asignar fácilmente el riesgo a sus objetivos estratégicos, lo que les permite controlar cualquier riesgo estratégico que pueda afectar a su estrategia y asumir riesgos calculados en la búsqueda de sus objetivos estratégicos. Esta funcionalidad permite a las organizaciones alinear fácilmente sus procesos con los requisitos de gestión de riesgos empresariales de COSO.
Las plataformas GRC modernas ofrecen una amplia variedad de integraciones de API que les permiten extraer datos transaccionales y operativos de otras hojas de cálculo y sistemas a la plataforma GRC. Esto permite a las empresas comprender el impacto del riesgo en el rendimiento operativo; por ejemplo, si el nivel de riesgo era alto, ¿disminuyó el rendimiento? Si asumir un riesgo no afectó al rendimiento, es posible que la organización desee asumir riesgos similares en el futuro. O si un riesgo era alto y el rendimiento disminuyó significativamente, es probable que deseen introducir más controles para reducir el riesgo. Vincular el riesgo y el rendimiento empresarial ayuda a los equipos de liderazgo a tomar las decisiones correctas para hacer crecer la organización, ayuda con las decisiones relativas a la asignación de presupuestos y recursos, y descubre oportunidades en las que la recompensa supera el riesgo. Mapear estas 2 áreas puede ser difícil cuando los datos están dispersos en diferentes departamentos, pero al integrar los datos de riesgo y rendimiento en una plataforma holística, las empresas pueden mapear estas áreas interconectadas y ejecutar fácilmente informes sobre cómo los niveles de riesgo están impactando el rendimiento empresarial tanto positiva como negativamente.
Descubra cómo la adopción de los marcos COSO podría ayudar a su organización
En el entorno empresarial actual, que evoluciona rápidamente, seguir las directrices de los marcos COSO para los controles internos y la gestión de riesgos empresariales es una excelente manera para que cualquier organización opere de manera eficaz y responsable. Riskonnect ofrece una plataforma integrada para simplificar la implementación y la gestión de los principios COSO. Alinee a la perfección el riesgo con los objetivos empresariales, al tiempo que garantiza una gestión de riesgos y unos controles internos sólidos. Solicite una demostración hoy mismo para saber cómo Riskonnect puede ayudar a su organización a alinear sus operaciones con los requisitos de COSO y lograr el cumplimiento.
