Anda di halaman 1dari 6

Para hablar del origen de Coso ERM necesariamente hay que remontarse al Marco de Control

Interno publicado por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway


(Coso).

Robert Moeller señala en su libro ‘Coso, gestión de riesgo empresarial. El establecimiento de


procesos de gobernanza, riesgo y cumplimiento efectivos’ que el estándar hacía referencia a áreas
relacionadas en las cuales no existían conceptos unánimes en industrias y profesiones, entre ellos
la gestión de riesgos. En consecuencia Coso contrató en 2001 con una de las grandes firmas de
auditoría el adelanto de una definición de gestión de riesgos, cuyo resultado fue Coso ERM.

Coso ERM define que ‘‘la gestión del riesgo empresarial es un proceso efectuado por la junta
directiva de la entidad, gerencia y otro personal, aplicado en el establecimiento de estrategias en
toda la empresa, diseñado para identificar eventos potenciales que pueden afectar a la entidad, y
gestionar que el riesgo de se encuentre acorde con su apetito al riesgo, para proporcionar una
seguridad razonable en cuanto a la consecución de los objetivos de la entidad’’.

La anterior definición también se puede adaptar para el caso LA/FT y quedaría así: la gestión del
riesgo empresarial es un proceso efectuado por la junta directiva de la entidad, el oficial de
cumplimiento, la gerencia y otro personal, aplicado en el establecimiento de estrategias en toda la
empresa, diseñado para identificar eventos potenciales LA/FT que puedan tener un impacto legal,
reputacional, operativo y contagio en la entidad, y gestionar que el riesgo LA/FT se encuentre
acorde con su apetito al riesgo, para proporcionar un cumplimiento en cuanto a la consecución de
los objetivos de evitar y detectar situaciones de riesgo LA/FT.

Según Moeller, de la definición se puede rescatar que el ERM es un proceso y un grupo de


acciones para lograr un resultado. A continuación se explican varios aspectos clave de Coso ERM
dentro de la organización propuesto por Moeller y comparados a su vez con la gestión de riesgo
LA/FT:

ERM es un proceso, gestión del riesgo LA/FT también

Al remontarse al concepto de proceso se quiere decir que el ERM tiene que ser dinámico y a su vez
flexible. Con respecto a la flexibilidad ERM espera que los procesos no se basen en un conjunto de
reglas estrictas que descarten de antemano la toma de decisiones que impliquen algún tipo de
riesgo, en lugar de esto se debe traducir en una serie de pasos para
evaluar y revisar los riesgos potenciales de tomar esa decisión.

Por su parte la gestión del riesgo LA/FT está enmarcado en varias etapas que son identificación,
medición o evaluación, control y monitoreo (Ver numeral 4.1 del Sarlaft). Dichas etapas, con otro
nombre, constituyen parte del ‘Proceso para la gestión del riesgo’ (ver capítulo 5 de la NTC-ISO
31000), el cual esta compuesto por las etapas de: comunicación y consulta, establecimiento del
contexto, valoración del riesgo, tratamiento del riesgo y monitoreo, y revisión.

Implementado por personal interno

Dicho proceso debe ser implementado o “aterrizado” por personas al interior de la organización y
no limitarse a una serie de políticas y directrices impuestas por órganos e instancias superiores
que en la práctica no se adaptan a la toma de decisiones que enfrenta la empresa.

Tener en cuenta las estrategias

Es este punto Robert Moeller indica que las entidades deben adoptar el ERM para establecer las
estrategias alternativas dependiendo de las acciones futuras que tienen pensado realizar. Dichas
acciones pueden ser una mezcla de actividades de alto y bajo riesgo.

No existe apetito de riesgo en términos de LA/FT

Moeller define apetito de riesgo como ‘‘(…) la cantidad de riesgo, a un nivel general, que una
empresa y sus gerentes están dispuestos a aceptar para obtener valor’’. Posteriormente el autor
indica que cada gerente o persona relevante y la organización como tal deben tener un
determinado nivel de apetito al riesgo. Dicho apetito se puede medir de una forma cualitativa que
puede ser baja, media y alta.

Sin embargo, al menos formalmente, para el caso del riesgo LA/FT no existe un apetito de riesgo,
pues ninguna entidad está dispuesta a aceptar de forma voluntaria y totalmente informada que la
utilicen para lavar o financiar el terrorismo. Este apetito e riesgo es diferente al apetito al riesgo
del negocio del cual se hace referencia en el anterior párrafo.

El cumplimiento de objetivos

Según Moeller, la aplicación del ERM dentro de la organización –sin importar que tan bien esté
planeado e implementado- no es garantía del cumplimiento de los objetivos de la organización,
pues las organizaciones están expuestas a eventos fortuitos que impiden el cumplimento del 100%
de sus objetivos. Tener esto en cuenta es útil para fijar las expectativas del ERM dentro la
organización.

Toda organización debe cumplir unos objetivos, como por ejemplo mantener una reputación
positiva, proveer información financiera confiable y cumplir con las regulaciones. Según el autor la
aplicación de Coso ERM debe ayudar a cumplir con los objetivos de la organización.

Actualmente en Colombia existen varias normas de prevención LA/FT vigentes. El siguiente cuadro
muestra los objetivos para tres de las normas:

Norma Autoridad Objetivo del Sistema

Circular 100 – 5 de 2014 Superintendencia de Sociedades El sistema de autocontrol y


gestión del riesgo LA/FT tiene por objeto fundamental minimizar la posibilidad de que a través de
las distintas actividades de la empresa se introduzcan recursos provenientes del lavado de activos
o se financie el terrorismo.

Parte I Título IV Capítulo IV de la Circular Básica JurídicaSuperintendencia Financiera de Colombia


El Sarlaft tiene la finalidad de prevenir que las entidades vigiladas sean utilizadas para dar
apariencia de legalidad a activos provenientes de actividades delictivas o para la canalización de
recursos hacia la realización de actividades terroristas.

Circular Externa 170 de 2002 Dirección de Impuestos y Aduanas Nacionales (Dian) El Sipla que
implementen las empresas destinatarias de la Circular debe contener medidas de control
apropiadas y suficientes orientadas a evitar que la realización de cualquier operación cambiaria o
de comercio exterior sea utilizada como instrumento para el ocultamiento, manejo, inversión o
aprovechamiento, en cualquier forma, de dinero u otros bienes provenientes de actividades
delictivas, para darle apariencia de legalidad a las transacciones y fondos vinculados con las
mismas.

El marco de Coso ERM/LA/FT

El marco de Coso ERM puede ser representado a partir de un cubo tridimensional con los
siguientes componentes, los cuales son explicados por Moeller y complementados por infolaft así:

Cuatro columnas verticales que representan los objetivos estratégicos del riesgo empresarial los
cuales se puede asociar de la siguiente forma con la gestión del riesgo laft.

Objetivos de la administración de riesgos Equivalente con la gestión del riesgo LA/FT

Estrategia El cumplimiento de la normatividad laft se antepone al cumplimiento de las metas


comerciales.

Operaciones Es necesario contar con una infraestructura tecnológica.

Información La normatividad solicita una información mínima para poder desarrollar las
actividades de gestión de riesgo LA/FT.

Cumplimiento Existe un marco jurídico LA/FT aplicable para la entidad.

Ocho componentes horizontales de riesgo

 Componentes del riesgo Equivalente con la gestión del riesgo LA/FT


 Ambiente interno Políticas de la entidad en materia LA/FT
 Establecimiento de objetivos Funciones del oficial o empleado de cumplimiento
 Identificación de eventos Etapa de identificación: levantamiento de eventos de
riesgo LA/FT
 Evaluación de riesgos Etapa de medición: medición o evaluación del riesgo LA/FT
 Respuesta a los riesgos Etapa de control: aplicación de controles obligatorios
Actividades de control

Información y comunicación Reportes internos y reportes externos

Supervisión Etapa de monitoreo: seguimiento del sistema

Varios niveles de la compañía, desde la casa matriz hasta las subsidiarias.

Componentes a nivel de entidad y unidad Equivalente con la gestión del riesgo LA/FT

Entidad Políticas de la entidad en materia LA/FT

DivisiónOficial o empleado de cumplimiento

Unidad de Negocio

Filial

ERM dentro de la empresa

Según Moeller, sumado a la necesidad de nombrar o designar una persona encargada de velar por
la administración del riesgo de la organización, CRO o director de riesgos, es necesario que el ERM
sea administrado y comunicado a un grupo representativo de personas al interior de la
organización. Adicionalmente, bajo el liderazgo del CRO se deben desarrollar políticas y estándares
de riesgo que sean seguidas por las áreas de la organización.

De acuerdo con el autor, para implementar una cultura de riesgo al interior de la organización es
necesario cumplir los siguientes pasos:
Construir una cultura de conciencia del riesgo: la compañía puede comunicar y circular
documentos, para crear conciencia de los riesgos, que vayan dirigidos tanto a ciertas funciones o
riesgos externos. El objetivo es hacer que la exposición al riesgo de la empresa puede ser limitado
a través de concientización y participan de los empleados en el programa de administración de
riesgos. Para el caso de la prevención del riesgo LA/FT, la normatividad solicita a las entidades que
realicen actividades de capacitación con determinadas condiciones.

Creando la organización que administra riesgo: además del CRO es necesario contar con un grupo
de personas que brinden apoyo a labor realiza por esta persona. Idealmente este debe estar
conformado por profesionales que entiendan los riesgos que impactan la organización en
determinada área y su técnicas para mitigarlo. En este caso la normatividad colombiana en
materia LA/FT designa a un responsable para la administración de los sistemas de administración
de riesgo laft o de los sistemas integrales, y también asigna funciones a otras personas
relacionadas con la entidad.

Políticas y estándares del ERM: se deben implementar y comunicar políticas y estándares en toda
la organización. Dichos controles deben ser comunicados a todos los niveles de la organización y
que las transacciones que realiza la empresa traen consigo riesgos asociados, y que por política la
realización de esas transacciones no deben superar la tolerancia el riesgo de la empresa. Para el
caso del riesgo LA/FT algunas normatividades en la materia proponen el uso de un manual de
procedimientos el cual debe contener las políticas y estándares.

Conclusiones

Al realizar la comparación entre el sistema Coso ERM y algunos aspectos de la normatividad LA/FT
es posible indicar que ambos no son incompatibles y por ello las organizaciones pueden
administrar el riesgo LA/FT empleando Coso ERM.

A partir del trabajo conjunto entre la gestión del riesgo LA/FT y Coso ERM se pueden derivar varios
tipos de sinergias. Infolaft propone a continuación algunas:

Aplicación de las metodologías de Coso ERM en las etapas de gestión del riesgo LA/FT.

En caso de que la organización esté empleando un software para la administración del riesgo
enfocado a Coso ERM, existe la posibilidad de que este también se pueda emplear para el riesgo
LA/FT.

El recurso humano involucrado en Coso ERM que colabore en la identificación de riesgos y


aplicación de medidas correctivas también puede ser involucrado dentro del proceso de gestión
de riesgo LA/FT.

Anda mungkin juga menyukai