Por Jesús Aisa Díez
Recientemente he tenido la oportunidad de asistir a la 17ª Jornadas de Auditoría promovidas por el Instituto de Auditores Internos de España, celebradas los pasados días 21 y 22 de Noviembre en Madrid, en las que tuve ocasión de escuchar diversas ponencias relacionadas con el ejercicio de nuestra profesión, todas ellas muy interesantes y con enfoques fundamentalmente orientados a la mejora de la eficiencia de la actividad. De ellas, quizás la que más me impactó fue la desarrollada por PWC, titulada “COSO 3. Principales novedades en el Marco de Control Interno actualizado”. A través de la cual se expusieron los cambios que se pretenden introducir en este protocolo, cuya nueva edición se espera aparezca en el primer trimestre del próximo año. Los cuales se identificaron con:
1º) Establecer los objetivos del negocio como condición previa a fijación de los objetivos de Control Interno.
2º) Ampliación del objetivo de reporting, que ya no se limitará exclusivamente a los financieros.
3º) El nuevo Marco actualizado introducirá 17 principios a los que se asocian determinados puntos de enfoque, con los que se producirán cambios en sus 5 componentes, a saber: (i) ambiente de control,
(ii) evaluación de riesgos,
(iii) actividades de control,
(iv) información y comunicaciones y
(v) monitorización, que se mantienen cuantitativamente como en la primera versión, aunque anecdóticamente modificándose el cubo que representa el modelo COSO I, ya que el ambiente de control se encuentra ahora situado en el nivel más alto del paralelepípedo que lo representa.
(ii) evaluación de riesgos,
(iii) actividades de control,
(iv) información y comunicaciones y
(v) monitorización, que se mantienen cuantitativamente como en la primera versión, aunque anecdóticamente modificándose el cubo que representa el modelo COSO I, ya que el ambiente de control se encuentra ahora situado en el nivel más alto del paralelepípedo que lo representa.
Por todo ello lo primero que se puede observar, desde mi perspectiva, es que hay una evidente retroalimentación de ERM, también llamado COSO II, hacia el conocido como COSO I. Lo cual no es de extrañar, ya que esto estaba en el propio ADN de ambos protocolos, dado que ERM se entendía que no anulaba al COSO I, sino que lo ampliaba y perfeccionaba.
Por todo ello, si ahora procede modificar COSO I, denominándolo por los ponentes de PWC que nos lo describieron, como COSO 3, sería de esperar que los cambios que en él se produzcan den pié a una nueva versión del ERM, ¿Podríamos llamarla COSO IV?.
Pero veamos qué cambios se incluyen en COSO 3 que no sean consecuencia de COSO II, y que, por consiguiente, podrían inducir a una próxima versión del protocolo ERM/COSO II, el que anteriormente me he permitido la licencia de aventurar su calificación como COSO IV. De ellos los que podrían ser más significativos son los que afectan a la Evaluación de riesgos recogidos en el principio nº 7, el cual señala que, en lo sucesivo debe tenerse en consideración, aparte de los atributos del impacto y probabilidad, los de la velocidad de expansión de las amenazas, así como su persistencia, ya que estas nuevas características de los riesgos permitirán una mejor evaluación de los mismos, dado que, por ejemplo, no debería ser evaluado de la misma forma el riesgo de incendio de un almacén a través exclusivamente de sus atributos de impacto y probabilidad, dado que si estamos frente a la posibilidad de que se produzca el incendio en un almacén de productos terminados de índole agrícola, o si este se produce en un almacén de productos inflamables, dado que la capacidad de reacción es diferente en ambos casos, aunque coincidan las consecuencias estimadas y la probabilidad de ocurrencia. Por ello, si lo que se modifica en este sentido en COSO I, debiera trasladase a ERM, es de esperar que en breve este protocolo tenga la necesidad de actualizarse recogiendo los cambios conceptuales que se hayan incorporado en el Marco sobre el Control Interno. En este sentido es de esperar que los mapas de riesgo no deberían tener solo dos dimensiones (impacto y probabilidad), sino que habría que pasar al menos a tres: Impacto, probabilidad y velocidad de ocurrencia. Con lo que se habrá introducido una enorme complejidad en la elaboración e interpretación de los mapas de riesgos, que pasarían a ser tridimensiones, lo cual no resultará sencillo de representar, ni de interpretar.
Hasta donde me ha sido posible conocer, esta previsible interrelación y retroalimentación bidireccional entre los protocolos COSO´s relativos a control interno (COSO I) y el correspondiente a la Gestión de Riesgos Empresariales (ERM-COSO II), ya se ha visto materializada en un nuevo documento del Committee of Sponsoring Organizations of the Treadway Commission, de fecha Octubre 2012, denominado “Risk assessment in practice”, en el que, con la participación ahora de Deloitte & Touche, se concluye que en el desarrollo de los criterios de evaluación de los riesgos deben considerarse también otras características como por ejemplo: la vulnerabilidad ante las amenazas y la velocidad de inicio de las mismas.
Por todo ello, dicho estudio concluye entre otras interesantes recomendaciones, como nos temíamos, que la evaluación de los riesgos no es solo dependiente del impacto y la probabilidad, sino que intervienen otras cuestiones, como, por ejemplo: la vulnerabilidad y la velocidad de aparición, así como todas otras variables que determinen el rango de los riesgos
Según el citado documento se entiende por vulnerabilidad la susceptibilidad de la entidad ante un evento de riesgo en términos relacionados con la preparación de la misma ante la amenaza, su agilidad y adaptabilidad. Cuanto más vulnerable sea la entidad al riesgo, mayor será el impacto si el evento ocurre. Si las respuestas al riesgo, incluyendo los controles no están en su lugar y no resultan operativos según lo diseñado, entonces la probabilidad de ocurrencia de los eventos estará en aumento. La evaluación de la vulnerabilidad permite a las entidades medir qué tan bien se están controlando los riesgos. Aspecto este último que me gustaría subrayar ya que entiendo es básico para la conclusión final de mis reflexiones.
Incluyéndose como recomendable el levantamiento del mapa de riesgos según el esquema que seguidamente se reproduce de manera literal:
Sugiriendo que la velocidad de aparición se represente en los mapas dando una adecuada dimensión a los puntos que reflejan los riesgos en una representación de dos dimensiones, de forma que su mayor superficie sea entendida como una mayor correlación con la velocidad de aparición estimada. Sin embargo no se ofrece alternativa aplicable a la vulnerabilidad estimada, que se nos ocurre se podría asociar a la forma asignada al símbolo que represente al riesgo (cuadrada, rectangular, elipsoidal, hexagonal, etc) según el convenio previamente establecido, y así sucesivamente de hacer participar en la evaluación de los riesgos otras características.
Admitiendo la incidencia que estas nuevas variables tienen en una adecuada gestión de los riesgos, modestamente opinamos que estas no deberían ser contempladas en la etapa de Evaluación de los riesgos, puesto que, si volvemos la vista a atrás, y recordamos los cambios en los elementos que componen COSO I y COSO II, hemos de observar que en COSO II la Evaluación de riesgos se complementa incluyendo el correspondiente a Identificación de eventos y Respuestas al riesgo, siendo en este último elemento (Respuesta a los riesgos) en dónde debería tenerse en consideración las nuevas variables citadas (Vulnerabilidad y velocidad de aparición), ya que serán las que validen como apropiadas las medidas de control que se habiliten.
Por lo tanto, estimamos como un gran avance que la gestión/administración de los riesgos contemplen las otras características que los definen, de forma que estas puedan ser tenidas en consideración en la determinación de los controles que se consideren pertinentes u oportunos en base a las características de todo tipo que definirán los riesgos, pero sin que las mismas se hagan intervenir de forma directa en la confección o priorización de los riesgos, puesto que, como no recuerdo quién lo dijo: lo mejor enemigo de lo bueno, y las mejoras que podríamos obtener con este cambio de metodología en la forma de levantar los mapas de riesgos, vendría amortiguada por la dificultad de su confección y su posterior interpretación.
Resumiendo, un sí rotundo a que en la determinación de los controles a implementar se consideren las distintas variables que permitan calificar de forma adecuada a las amenazas que se prevea puedan afectar a los objetivos empresariales, pero que ello no modifique la forma de valorarlas, que sugerimos seguir haciéndolo en base a su impacto y probabilidad, aunque se puedan posteriormente tipificar adecuadamente con las demás características que los definen. Esta posición no es nueva, ya que es evidente que cuando actualmente nos decantamos por un tipo de control, previamente habremos considerado, por ejemplo, cual es el medio en el que tengamos que desenvolvernos, pues no será lo mismo atender a un riesgo en un medio terrestre que otro marítimo. Siendo en ambos casos diferentes las medidas de control que en cada caso adoptemos.
Por Jesús Aisa Díez