Upload
others
View
9
Download
0
Embed Size (px)
Citation preview
42 Estrategia Financiera Nº 246 • Enero 2008
Los efectos de laley Sarbanes-Oxley.
Del COSO IC al COSO ERM (II)
Control de Gestión
Los efectos de la ley Sarbanes-Oxley.
Del COSO IC al COSO ERM (II)
42_48_Rev 246_Urrutia.qxd 21/12/07 05:25 Página 42
Nº 246 • Enero 2008 Estrategia Financiera 43
Hace diez años en medio de unas jornadas
de perspectivas de futuro de la auditoría y la
contabilidad, el Profesor Carlos Mallo ex-
puso la necesidad de dar un paso adelante en todo
lo que tenía que ver con los informes financieros y la
auditoría, en su reflexión añadía la necesidad de que
los auditores no sólo debían revisar las cuentas pre-
sentadas al exterior sino a su vez debían revisar si
existían relaciones entre el plan estratégico de la
compañía y sus informaciones financieras, porque de
lo contrario el avance en el proceso de la informa-
ción y toma de decisión no se iba a producir.
Que en Estados Unidos se estén dando estos
avances se debe fundamentalmente a las presiones
que están recibiendo las instituciones relacionadas
con los mercados de valores, porque la confianza
puede aumentar o disminuir en función de cómo
se pueda implantar el plan estratégico. En defini-
tiva, en un país donde los ahorros personales aca-
ban en la adquisición de porfolios de acciones de
empresas, se debe contemplar con muchísimo cui-
dado lo que se hace con ellos. Lo que vislumbraba
el profesor Mallo se ha hecho realidad en la econo-
mía más competitiva del mundo, se está en la si-
tuación de crear un modelo que no sólo se limite a
informar sobre la fiabilidad de los datos del control
interno, sino que permita controlar la estrategia de
la empresa.
El modelo COSO ERM ha sido diseñado con la
idea de mantener la estructura actual de COSO IC y a
su vez añadir más dimensiones, por este motivo hay
una serie de dimensiones del modelo COSO IC – (los
objetivos, los niveles del enfoque y los componentes
de control interno) ( Figura 1) y una serie de mejoras
significativas:
• La primera mejora del modelo ha sido la de ex-
pandir los objetivos del propio modelo, incorpo-
rando la estrategia, además de los que venían de
COSO IC, es decir los objetivos previos de las ope-
raciones, el reporting y el acatamiento.
• La segunda mejora fue ampliar los niveles del en-
foque, así se ha incluido a las actividades de la em-
presa las de las divisiones y las filiales.
• La tercera mejora fue incluir "la valoración del
riesgo", incluyendo en esta dimensión cuatro com-
ponentes: el marco de los objetivos, la identifica-
ción del evento, la valoración del riesgo y la reac-
ción ante el riesgo (Figura 1).
Por este motivo, y como conclusión a lo señalado
hasta ahora, el objetivo principal del modelo COSO
ERM es crear un sistema de control estratégico que
permita gestionar el riesgo empresarial. La filosofía
que soporta la utilidad del modelo para una organi-
zación se basa en la idea de que una organización
tiene un " riesgo implícito" al estar alineado o no con
su estrategia. Las sorpresas en las operaciones se
pueden reducir al identificar a priori aquellos eventos
potenciales que pueden plantear una amenaza para la
organización y por tanto establecer a tiempo las res-
puestas más convenientes. Estas respuestas incluyen
todas las fases de la toma de decisión racional. Final-
mente el modelo COSO ERM incorpora una visión del
portfolio de riesgos, en los que los riesgos no son vis-
tos aisladamente sino que son identificados y lleva-
dos a la estructura organizativa (i).
LA EVALUACIÓN DEL AMBIENTE INTERNO
El primer componente y posiblemente el más re-
volucionario de COSO ERM es la evaluación del am-
w
El riesgo de contar con una baja fiabilidad en los informes financieros puede poner enpeligro el sistema financiero. Sin embargo, para los inversores no sólo se trata de fiabilidadsino también de mejorar la comprensión del negocio. En este sentido COSO ERM permite
gestionar esa variable, hasta ahora desconocida
, Scott Eriksen , Ignacio UrrutiaProfesor de la Universidad de Colorado State (EEUU). Profesor de IESE Business School
Ficha Técnica
H
www.estrategiafinanciera.es[ ]
AUTORES: Eriksen, Scott; Urrutia de Hoyos, Ignacio
TÍTULO: Los efectos de la ley Sarbanes-Oxley. Del COSO IC al COSO ERM (II)
FUENTE: Estrategia Financiera, nº 246. Enero 2008
LOCALIZADOR: 04/ 2008
RESUMEN: El modelo COSO IC ha sido definido como el instrumento de audi-toria utilizado para evaluar los controles internos de las organizaciones. Es ci-tado por la SEC como el modelo más adecuado para la evaluación de la gestiónde los controles internos exigidos por la sección 404 de la ley Sarbanes- Oxley.Pero las necesidades de control han ido cambiando, los inversores no sólo pi-den un modelo que dé fiabilidad a los datos de los informes financieros, sinoque a su vez se pudiera auditar su modelo de control de gestión, no tantodesde la búsqueda del beneficio o la rentabilidad sino del riesgo inherente.Por este motivo COSO ha seguido innovando y lo que había sido un modelo decontrol interno ha pasado a ser un modelo de control estratégico, su nombre esCOSO Enterprise Risk Management (ERM), su característica básica es la de sercompatible con COSO IC, incorporando un componente estratégico, que es elde poder gestionar el riesgo empresarial, porque provee a los consejos de ad-ministración de una herramienta capaz de identificar y evaluar los riesgos denegocio y construir a su vez un programa efectivo para dar respuesta y capa-cidad de decisión a los riesgos identificados.
DESCRIPTORES: Control de gestión, riesgos, Ley Sarbanes & Oxley, COSO IC,Enterprise Risk Management, COSO ERM, ética empresarial, control interno,reporting financiero.(i) This paragraph was taken from COSO’s “Executive Summary of ERM”,
www.coso.org/Publications/ERM/COSO_ERM_ExecutiveSummary.pdf
42_48_Rev 246_Urrutia.qxd 21/12/07 05:25 Página 43
44 Estrategia Financiera Nº 246 • Enero 2008
Los efectos de la Ley Sarbanes-Oxley.Del COSO IC al COSO ERM (II)
biente interno de la organización. Esta evaluación
debe ser buen reflejo del enfoque de la teoría de los
sistemas, moviéndose desde una perspectiva macro
a una micro y siendo considerada como un parte
necesaria del sistema del control de gestión. Para
poder llevar a cabo la evaluación el ambiente interno
se debe incluir una serie de elementos: la filosofía
de la dirección, su estilo de dirección y el riesgo im-
plícito de la organización. Estos elementos deben es-
tar comprendidos desde el Consejo de Administra-
ción y la estructura organizativa, hasta los métodos
de asignación de la autoridad y responsabilidad, se
deben analizar los patrones que se siguen en la di-
rección de recursos humanos y sus influencias ex-
ternas. Todos estos elementos se refieren general-
mente a cómo el sistema de control de gestión
constituye la cultura empresarial, suele tener un
marcado impacto sobre el sentido de control de la
compañía.
La evaluación del ambiente interno es funda-
mental para poder valorar con cierta perspectiva
hacia dónde se dirige la organización, cuando en
las empresas mecanicistas, muy marcadas por las
leyes mercantiles, se producen corruptelas por parte
de la alta dirección sólo hay que esperar unos años
para comprobar que esa degradación se ha trans-
mitido a toda la estructura y por tanto a cada uno
de los componentes de la empresa, lo que provoca
que cada uno persiga su propio beneficio. Casi to-
dos los escándalos corporativos de los últimos años
desde Enron a Parmalat tenían un elemento en co-
mún, la falta de ética de los ejecutivos, que es jus-
tamente lo que se quiere valorar cuando se habla
de analizar el ambiente interno ético. El principal
argumento para demostrar que puede ser muy útil
este análisis nos lo dio Warren Buffet, cuando le
preguntaron qué guía de comportamiento estaba
dando a los directivos de las compañías que adqui-
ría, él respondió que ninguna. Dijo que “el tono de
los de la cima” hacía infinitamente más que todas
las guías éticas. El ejemplo es más importante que
la palabra escrita.
Esta argumentación está en la base de lo que
Galbraith decía que era uno de los grandes proble-
mas de las corporaciones americanas, para él el pro-
blema se encontraba por la separación entre el accio-
nista y la alta dirección: “esta última detenta el poder
en la gran corporación moderna y el rol de los accio-
nistas pasa a ser ceremonial, la alternativa a su poder
es la supervisión eficaz que debería partir del conoci-
miento de los agentes intervinientes en el marco em-
presarial de las multinacionales (1). ¿Puede el modelo
COSO ERM cubrir este hueco? ¿Con la evaluación del
ambiente interno de la compañía se puede llegar a la
conclusión de que la empresa está siendo dirigida con
criterios éticos? Puede alcanzarlo, ahora bien, todo
dependerá de cómo se defina si una organización ac-
túa de forma ética o no, siempre me ha resultado
muy comprensible la definición utilizada por José Ra-
món Ayllón:… “llamamos ética a la elección de la con-
ducta digna, al esfuerzo por obrar bien, a la ciencia y al
arte de conseguirlo”.
Qué complicado se lo ponen a las empresas ame-
ricanas, porque poder decir que estás eligiendo una
conducta digna no sólo es relevante para el devenir
futuro de la organización, sino que debe serlo para
mostrar el espejo en el que se envuelven muchos de
los directivos, porque al deber de elegir se necesita
explicitar las diferentes alternativas a elegir, alternati-
vas que sin el prisma de lo ético ni se habrían podido
contemplar, pero que al explicitar cuál es tu ambiente
interno se debería delimitar.
Poniendo los pies en la tierra cabría preguntarse:
¿es ético que tus productos te los fabriquen unos ni-
El primer componente de COSO ERMdebe reflejar los serios y gravesproblemas que tienen las grandescorporaciones para poder gestionarlasde manera ética
w
Control de Gestión
Figura 1. Valoración del riesgo
Fuente: COSO ERM Integrated Framework
AMBIENTE INTERNO
AJUSTE OBJETIVO
IDENTIFICACIÓN DEL ACONTECIMIENTO
EVALUACIÓN DE RIESGO
RESPUESTA DE RIESGO
ACTIVIDADES DE CONTROL
INFORMACIÓN Y COMUNICACIÓN
SUPERVISIÓN
NIV EL DE EN
TIDADDIVISIÓ
N
UNIDAD DE N
EGOCIO
FILIAL
ESTRA
TÉGICO
OPERACIO
NES
REPORTA
JE
CUMPLI
MIENTO
(1) Muñoz C, Urrutia Ignacio. Los paralelismos del caso Enron y el caso
Parmalat: del escándalo americano al escándalo europeo. Revista AECA.
42_48_Rev 246_Urrutia.qxd 21/12/07 05:25 Página 44
Nº 246 • Enero 2008 Estrategia Financiera 45
ños de doce años?, ¿es ético plantear una reducción
de costes a la compañía mientras el principal ejecu-
tivo vive en un entorno de lujo?, ¿es ético pedir a los
empleados de la empresa más de lo que se habría pe-
dido a otra persona en el pasado?...
Según parece, por el método con el que se está
diseñando COSO ERM, se persigue más la forma que
el fondo por lo que si COSO ERM consigue reducir
los casos de corrupción corporativa es sin duda para
darle una oportunidad, aunque se necesita un mo-
delo mucho más complejo de lo que a ciencia cierta
parece que pregona, porque si repasamos por ejem-
plo lo sucedido en el gobierno corporativo de Par-
malat, podemos observar que la forma la cumplía,
es decir tenía un código de conducta, aunque su có-
digo de conducta sólo se mantenía en la simple teo-
ría, sin embargo los procesos penales en los que está
imputado tienen una amplia relación de los incum-
plimientos de estos códigos. Podrán los auditores
comprobar estos detalles, porque lo que concluimos
en el caso de Enron y Parmalat fue que para enten-
der y analizar los casos de corrupción se deben en-
tender las relaciones que existen entre los actores
que intervienen en el marco de la alta dirección (Fi-
gura 2):
1. El país: su cultura, su legislación y cómo trata
los casos de corrupción dentro y fuera de sus
fronteras.
2. El sector: su madurez, su nivel de riesgo implí-
cito y el nivel de sus directivos.
3. Los paraísos fiscales: la libertad de movimien-
tos con que actúan las empresas.
4. Los mercados financieros: su legislación y fun-
cionamiento.
5. Los propietarios e inversores: con sus prefe-
rencias, intereses y niveles de aversión al riesgo.
Los efectos de la Ley Sarbanes-Oxley.Del COSO IC al COSO ERM (II)
Control de Gestión
Figura 2. Relaciones entre la alta dirección
PaísCultura
Corrupción Gobierno
Sector
Paraìsosfiscales
Culturaempresarial
Codicia
Estilo
honestidad
AprendizajePositivo/Negativo
DepartamentoRRHH
DepartamentoTI/SI
DepartamentoControl
RSC
Altadirección
Sistemasinformación
EstructuraOrganizativa
Procesoscontrol
ReguladorContable
ProfesiónContable
FormaciónContable
EvaluaciónCaptaciónMotivación
Madurez
Nivel Management
MercadosFinancieros
BancosInversión
AnalistasFinancieros
DivisiónConsultoría
MercadosAuditoría
Auditoría Internacional
Propietarios
Stock opc.Fondos
Inversión
Las amenazas externas incluyen elambiente económico, el entorno, la
política, la tecnología y lo social. Lasamenazas internas incluyen lainfraestructura, el personal, los
procesos, y la tecnología.
w
42_48_Rev 246_Urrutia.qxd 21/12/07 05:25 Página 45
46 Estrategia Financiera Nº 246 • Enero 2008
6. Los analistas financieros y las agencias de cla-
sificación de riesgo.
7. Los intereses de los fondos de inversión.
8. Los auditores: con su conocimiento, con su
forma de actuar, con el dimen-
sionamiento de sus despa-
chos a nivel interna-
cional.
9. El reguladorcontable. Deli-
mitando el nivel de
la formación y pro-
fesión contable.
10. El estilo de la alta direc-ción y la seriedad a la que se enfrentan con la
responsabilidad social corporativa.
11. Los controles internos de los sistemas de in-
formación. La participación de los sistemas de
control y departamentos de TI/SI.
12. La cultura empresarial y el aprendizaje orga-
nizativo.
13. La Evaluación de la dirección que practican
los departamentos de RRHH.
14. El funcionamiento de los Consejos de Admi-nistración. (Como parte de la alta dirección)
En este sentido el primer componente de COSOS
ERM debe reflejar los serios y graves problemas que
tienen las grandes corporaciones para poder gestio-
narlas de manera ética, si se audita y no se va a los
puntos clave, el modelo puede quedar muy debilitado.
De nuevo nos podríamos encontrar en el problema de
diferenciar entre lo que una empresa debería ser y lo
que realmente es.
EL MARCO DE LOS OBJETIVOS
El segundo componente
que debe ser evaluado es el
marco de los objetivos. En el
que se incluye desde los
objetivos estratégicos a
los operacionales y su
nivel de cumplimiento.
En el momento en que una
organización diseña y define sus
objetivos ha establecido también su
nivel de riesgo y so-
bre todo cuánto
risk manage-
ment es nece-
sario concebir
para conseguir
cumplir con los
objetivos estable-
cidos. No sólo es
valorar el riesgo por el
riesgo, sino asegurarse de la tolerancia al riesgo de
una organización y cómo debe estar alineado con
su riesgo implícito. Este segundo componente en el
argot de los sistemas de control tiene que ver con el
proceso de control (Figura 3).
LA IDENTIFICACIÓN Y EVALUACIÓN DEL
RIESGO
El tercer componente a ser evaluado es la identi-
ficación de los eventos y sus correspondientes ries-
gos. Los eventos representan las incertidumbres y los
eventos que pueden influir en los objetivos negativa-
mente son las amenazas. Estas amenazas una vez
identificadas, deben ser tasadas y gestionadas. Se de-
ben identificar las amenazas, tanto externas como in-
ternas. Las amenazas externas incluyen el ambiente
económico, el entorno, la política, la tecnología y lo
social. Las amenazas internas incluyen la infraestruc-
tura, el personal, los procesos, y la tecnología. En el
momento en que las amenazas externas e internas
son identificadas, se las valora en relación con su
riesgo inherente y residual junto con su impacto y
probabilidad. El riesgo inherente es el riesgo que
existe antes de que la dirección tome cualquier paso
para controlar su magnitud y la probabilidad de que
se produzca, el riesgo residual es el riesgo que queda
después de que la dirección implemente algún tipo
de respuesta a ese riesgo.
Pasos para la evolución y monitorización de los
eventos potenciales: la valoración de estos riesgos
permite a la entidad percibir cómo los eventos poten-
ciales podrían afectar a sus objetivos.
A. El primer paso para tasar el riesgo es determinar
la magnitud que se puede alcanzar en un evento
w
Los efectos de la Ley Sarbanes-Oxley.Del COSO IC al COSO ERM (II)
Control de Gestión
Figura 3. Proceso de control
Misión
Visión
DAFO
Selección Estrategia
Elaboración Plan Estratégico
Actuación
Planes acción
EstructuraOrganizativa
Desviaciones
Control de Planes acción
ObjetivosEstratégicos
Programas y presupuestos
42_48_Rev 246_Urrutia.qxd 21/12/07 05:25 Página 46
Nº 246 • Enero 2008 Estrategia Financiera 47
potencial, se valora con el objeto de poder priori-
zar, se busca contestar a la pregunta ¿cuál puede
ser el impacto económico de un evento poten-
cial?
B. Junto con esta valoración se considera la proba-
bilidad de que el evento potencial suceda o no.
Esta valoración del riesgo puede ser ilustrada con
siguiente ejemplo. Suponga que el almacén de su or-
ganización es identificado como un lugar donde se
puede producir un fuego, es decir se ha considerado
que el fuego es una amenaza para lograr los objeti-
vos de la entidad. Suponga que la pérdida aproxi-
mada del fuego (existencias, lucro cesante, estante-
rías,…) es de 2.000.000 de euros. Suponga que la
probabilidad anual (dato considerado por el perito
correspondiente) de que el fuego pueda ocurrir es
del 5%. Si se multiplica la pérdida aproximada por la
probabilidad que suceda se determina el riesgo bruto
esperado que en este caso es de 100.000 euros
(2.000.000 x.0,5 = 100.000 euros). Los riesgos pueden
ser priorizados sobre la base de su riesgo bruto espe-
rado. En cuanto las amenazas externas e internas son
tasadas, se debe crear un protocolo para cubrir el
riesgo de dichas amenazas, desarrollando este proto-
colo en función de las posibles respuestas que se
pueden producir.
Pasos para la toma de decisión, hay cuatro res-
puestas posibles para las amenazas que una organi-
zación puede tener y dependen de las dos variables
que hemos comentado anteriormente y que aparecen
más desarrolladas en la Figura 4 , la primera va-
riable es el impacto que tiene la amenaza sobre
los objetivos de la empresa y la segunda varia-
ble es la probabilidad que ocurra:
1. Primera respuesta: si nos posicionamos
en el primer cuadrante en el que valora-
mos la amenaza de manera que puede
tener un impacto alto y probabilidad
alta de que ocurra, la primera res-
puesta es mitigar y controlarla, se de-
ben implantar controles para redu-
cirla.
2. La segunda situación es la de una
amenaza con bajo impacto y alta
probabilidad de que sucede, por
sentido común se debe supervisar
para que el impacto siga siendo lo
que se había considerado.
3. La tercera situación es el com-
partimiento que implica hacer
pareja con alguien (compañía
de seguro) y asegurar y repartir
la amenaza, porque compensa
asegurar el riesgo al contar
con un impacto alto sobre los
objetivos de la organización.
4. La cuarta situación, como se puede observar en
la figura, es la que cuenta con una probabilidad
baja de que sucede y un bajo impacto, lo que pro-
voca que por la propia definición de coste/benefi-
cio se puede asumir y aceptar la amenaza como
respuesta con más sentido económico.
Continuando con el ejemplo anterior podemos
ilustrar un plan de recomendación que usa una or-
ganización cuando ha considerado el fuego como de
impacto alto y de probabilidad alta, como se puede
observar en la Figura 4 se le considera de riesgo alto,
por tanto se debe mitigar y controlar, hay tres tipos
de controles - preventivo, detectivo y correctivo, va-
mos a analizar con el ejemplo cada
uno de ellos.
Como hemos llegado a la
conclusión que es riesgo alto, de-
bemos en un primer momento
asegurar la amenaza - una póliza
de seguro de fuego y la instalación
de un sistema contra-incendio. La
póliza de seguro es un control co-
rrectivo mientras que el sistema con-
tra-incendio es un control preventivo.
Suponga que la compañía puede
comprar una póliza de seguro de
fuego de 40.000 euros cuyo coste
anual es de 2.000 euros. La prima de se-
guro anual es el coste del control co-
rrectivo y 40.000 euros es la exposición
al riesgo reducida debido al control pre-
ventivo. Mientras la pérdida esperada to-
davía es 2.000.000 de euros y el riesgo in-
herente es de 100.000 euros, si contrato
una póliza de seguro contra incendio el
riesgo esperado residual pasa a ser ahora
de 62.000 euros (–100.000 euros + 40.000
euros – 2.000 euros = – 62.000 euros).
Suponga que la instalación de un sis-
tema contra-incendio con una vida de cinco
años puede ser adquirido por un importe anuali-
zado de 20.000 euros, podemos considerar los
20.000 euros como el coste del control preven-
w
Los efectos de la Ley Sarbanes-Oxley.Del COSO IC al COSO ERM (II)
Control de Gestión
Figura 4. Impacto vs. Probabilidad
Alto
Impacto
Bajo
Riesgo alto
Mitigar & Controlar
Riesgo medio
Repartir
Riesgo bajo
Aceptar
Riesgo medio
Controlar
Probabilidad AltaB aja
42_48_Rev 246_Urrutia.qxd 21/12/07 05:25 Página 47
tivo. Si efectivamente este control preventivo fun-
ciona, se nos puede reducir la probabilidad de tener
un fuego que destruya toda la instalación de un 5%
al 2%. Suponga que la compañía de seguros está de
acuerdo con el aumento de su cobertura de 40.000
euros a 50.000 euros si el sistema contra-incendio es
al final instalado. Esto nos lleva a considerar que el
riesgo esperado residual pasa a ser de 12.000 euros
negativos, porque en este caso hemos conseguido ba-
jar el riesgo implícito de 100.000 a 40.000 euros
(2.000.000 x 0,2 = 40.000 euros), si añadimos a la co-
bertura de seguro de 50.000 euros restamos la prima
de seguro anual de 2.000 euros y el coste anual del
sistema de contra incendio de 20.000 euros, pasa a
ser – 12.000 euros, como se resuelve de la siguiente
fórmula (– 40.000 + 50.000 – 2.000 – 20.000 euros).
Como se puede ver, el riesgo esperado residual es
una función dependiente del riesgo bruto esperado
inherente inicial, menos la reducción del riesgo por
algún programa, más los gastos de la respuesta. La
Figura 5 ilustra la visión general del proceso de análi-
sis de riesgo, incluyendo la valoración de riesgo, la
prevención de siniestros, y la observación de riesgo.
LA INFORMACIÓN, LA COMUNICACIÓN Y LA
OBSERVACIÓN
Los tres componentes finales ( figura nº2) del
COSO ERM son las actividades de control típicas, es
decir, la información, la comunicación y la observa-
ción, que coinciden con las del modelo COSO IC. Estas
actividades de control son las políticas y procedimien-
tos que proporcionan la garantía razonable de que los
objetivos de control que la dirección ha definido están
cubiertos y que la respuesta al riesgo se lleva a cabo.
Estas actividades de control pueden dar en toda la or-
ganización, en todos niveles y en todas funciones. La
información y la comunicación se refieren a la identi-
ficación eficaz de los posibles eventos, a la captura y
comunicación de la información en forma y tiempo
que permita a las personas/directivos asumir sus res-
ponsabilidades y que a su vez puedan ser auditadas.
CONCLUSIÓN
La pregunta que cualquier economista se hace al
contemplar hacia dónde se dirigen las herramientas de
control formal es si merece la pena o no invertir en
ellas. Muchas de estas herramientas habían sido asu-
midas como parte de los sistemas de control de las
grandes compañías desde hacía tiempo, pero eran
siempre consideradas como herramientas internas.
Cuando se analiza con un poco de perspectiva histó-
rica los hechos que han sucedido en los últimos años, se
puede entender que el riesgo de contar con una baja
fiabilidad de los informes financieros puede poner en
peligro al sistema financiero, por tanto, el modelo COSO
IC tenía todo el sentido económico implantarlo y exi-
girlo, ahora bien, los inversores no sólo piden fiabilidad
a los datos sino mejorar en la comprensión del negocio,
puede ser interesante considerarlo, en este sentido
COSO ERM ayuda a entender mucho mejor el negocio,
porque permite gestionar la parte de la ecuación del
beneficio que casi nunca se tenía información, estamos
considerando la idea del riesgo. Luego el incluir un mo-
delo de control estratégico es muy beneficioso para la
organización, para las instituciones financieras, para los
auditores,… ¿se podrá implantar? En esta duda nos que-
damos, porque si ya se conocen los efectos que ha te-
nido la implantación de COSO IC, se puede tener una
idea de hacia dónde puede ir COSO ERM, desde luego
sería una temeridad hacer obligatorio para todo tipo de
empresa, aunque a medio plazo se puede entender que
favorecerá a las empresas rigurosas, que no sólo acier-
tan con los incrementos de cash flow o con los de las
ventas, sino también con los riesgos inherentes a ellos.
BIBLIOGRAFÍA
• Ayllón José Ramón. Ética Razonada. Ediciones Pa-
labra. Madrid.2005
• Muñoz C Urrutia I. Los paralelismos del caso Enron
y el caso Parmalat: del escándalo americano al es-
cándalo europeo. Revista AECA.En-Feb.2006 9
Los efectos de la Ley Sarbanes-Oxley.Del COSO IC al COSO ERM (II)
Control de Gestión
Figura 5. Análisis del riesgo
Análisis del riesgo
Identificación Control IT Nivel proceso
Medición Nivel actividadRepartir oTransferir IT
Priorizaciòn Nivel empresaDiversificar oEvitar IT
Valoracióndel riesgo
Prevención deSiniestros
Observacióndel riesgo
48 Estrategia Financiera Nº 246 • Enero 2008
w
42_48_Rev 246_Urrutia.qxd 21/12/07 05:25 Página 48