El marco COSO IV -también conocido como Enterprise Risk Management-Integrating with Strategy and Performance (ERM 2017)- es un sistema de gestión de riesgo y control interno para cualquier organización. 

Se basa en un marco cuyo objetivo es diagnosticar problemas, generar los cambios necesarios para gestionarlos y evaluar la efectividad de los mismos. Sus siglas se refieren al Committee of Sponsoring Organizations of the Treadway Commission, una institución dedicada a guiar a los ejecutivos y las entidades de gobierno en aspectos relevantes del gobierno corporativo, ética empresarial, control interno, gestión de riesgos empresariales, fraude e informes financieros.

Este proyecto inició en el 2001 con la implantación de los principios del COSO I. En el 2004 se modificó para una versión mejorada: el COSO II o COSO ERM (Enterprise Risk Management). En el 2013 se lanzó el COSO III con mejoras por componente y, finalmente, en el 2017, salió el COSO IV. Esta es una versión actualizada y superior  a sus predecesores. En él, se destaca la importancia de evaluar el riesgo tanto en las operaciones de la empresa, como en el desempeño de la administración y el establecimiento de estrategias. 

El COSO IV brinda una serie de beneficios, entre los cuales se pueden destacar:

• Identifica y gestiona el riesgo en toda la empresa. 

• Incrementa los resultados positivos y reduce los imprevistos negativos. 

• Amplía el panorama de oportunidades para la organización. 

• Mejora la inserción de recursos y potencia la resiliencia empresarial. 

• Disminuye la variabilidad en el desempeño. 

Esta última versión mantiene el mismo enfoque financiero; sin embargo, presenta cambios en su estructura que permite que sea implementado en cualquier tipo de actividad. El COSO VI se divide en 5 pilares:  

Gobierno y Cultura

El Gobierno es quien debe establecer las responsabilidades y los objetivos que se esperan alcanzar con la supervisión, y fortalecer el compromiso de la fuerza laboral con el proceso. En cuanto a la cultura, se refiere a las conductas deseadas, los valores éticos y el conocimiento del riesgo en la organización. 

Estrategia y establecimiento de objetivos 

Se busca definir el apetito al riesgo para luego alinearlo con la estrategia. Por su parte, los objetivos de negocio serán los encargados de ejecutar las estrategias y servirán como sustento para identificar, analizar y responder al riesgo. 

Desempeño 

Los riesgos que puedan poner en peligro los objetivos del negocio son identificados y evaluados, para luego ser priorizados según su gravedad. Posterior a ello, la empresa registra y calcula los peligros que ha enfrentado y -con esta información- decide qué hará para afrontarlos.  

Revisar y ajustar 

Al monitorear el desempeño, se puede evaluar el rendimiento de los componentes del COSO IV en la organización. Con la información obtenida es posible identificar qué ajustes o actualizaciones se deben realizar en el proceso para obtener mejores resultados. 

Información, comunicación y reporte

El ERM 2017 aprovecha la información, obtenida a través de fuentes internas y externas, y la tecnología para comunicar los resultados sobre el riesgo, la cultura y el desempeño de la empresa en todos los niveles de la organización sin excepción. 

Es importante considerar que los tipos de riesgo varían según las compañías en las que aparezcan y el tipo de actividad que realicen. Es por ello que se necesita un control bajo un marco global que permita administrarlos. Solo así se asegurará el éxito de una organización en todo nivel.

Si quieres aprender más, participa en los Programas en Gestión de Proyectos de ESAN. 

Fuentes:

Mindomo. "Diferencias COSO I, II, III y IV".

EALDE Business School. "Qué es el marco COSO de Gestión de Riesgos y cómo surge".

PwC. "Actualización COSO ERM 2017".