Caso de aplicación de COSO ERM 2017 a una organización

A continuación, se analiza un caso de una organización,

específicamente del área de compras, para la aplicación del marco de
COSO ERM 2017 y cómo ésta ayuda en la detección de riesgos.

Información de la entidad:

La entidad Piso Azul, S.A, cuenta con más de 60 años de experiencia,

tiene como principal meta la de contribuir al mejoramiento de la calidad
de vida de las personas en Guatemala, ofreciendo como giro habitual o
de negocio, pisos cerámicos, sanitarios, pegamentos de pisos,
porcelanas, lavamanos, etc. Cumpliendo con la legislación local vigente
y comprometidos con el cuidado al medio ambiente.

Diagnóstico De Acuerdo Con La Metodología COSO ERM 2017

Componente 1: Gobierno y cultura

Principio 1: Ejerce la supervisión de riesgos a través del consejo

de administración.

La Junta Directiva asume la responsabilidad principal para la

supervisión de riesgos en la entidad. Sin embargo, de acuerdo a la
indagación realizada se identificó que la Junta no participa de manera
activa en conversaciones con la Gerencia para determinar el valor de
riesgo de la empresa. Por otro lado, de acuerdo a la información
reportada a la Bolsa de Valores, se observar que el perfil de las
personas que son parte de la Junta Directiva de la entidad se encuentra
bien posicionadas para ofrecer experiencia y supervisar la gestión del
riesgo empresarial. Asimismo, de acuerdo a lo conversado con el
auditor interno de la organización, comentó que el Consejo en general
es un ente independiente, y comentó que la independencia es un criterio
básico debido a que mejora la capacidad y evalúa el desempeño y
bienestar de la organización sin generar un conflicto de interés o estar
influenciada indebidamente por partes interesadas.

Principio 2: Establece estructuras operativas

El área de planeamiento estratégico se encarga de establecer

estructuras operativas en la búsqueda de la estrategia y los objetivos de
negocios. A través de la estructura operativa, el personal responsable
se encarga de desarrollar e implementar prácticas para administrar el
riesgo y mantenerse alineado con los valores centrales de la entidad.
De esta manera, la estructura operativa contribuye a gestionar el riesgo
para la estrategia y los objetivos del negocio. Sin embargo, no se tiene
documentado de manera formal los planes estratégicos de cada área
de la organización. Por otro lado, se puede mencionar que la compañía
cuenta formalmente con un manual de políticas y procedimientos en el
cual se establecen los principales lineamientos y procedimientos que
los colaboradores deben efectuar para afrontar diversas situaciones en
las que se pueden ver involucrados.

Principio 3: Define la cultura deseada

En relación a este punto se pudo observar que la cultura de la

organización refleja sus valores, comportamientos y decisiones
centrales. Este principio es la base para saber cómo la organización
aplica este marco, cómo define el riesgo, qué tipo de riesgo acepta y
cómo los administra. Como parte de la definición de la cultura de la
entidad, se debe realizar una evaluación de los factores internos y los
factores externos de la compañía.

Principio 4: Demuestra compromiso con los valores

fundamentales

La gerencia se ha encargado de poner en práctica los valores

institucionales, así como de aplicar sanciones a las acciones que de
acuerdo al criterio de la gerencia que no son aceptables dentro de la
organización. Se ha observado que se enfatiza la importancia del
comportamiento ético y que se demuestra un compromiso con los
valores puesto que considera fundamental reflejar estos en las acciones
y decisiones que se aplican en toda la entidad. Así mismo, la gerencia
documenta las políticas, por otro lado, tiene un código de conducta que
lo refuerza con capacitación al personal y cuenta con programas
alineados con los valores fundamentales. Cabe mencionar que hace un
par de años la compañía tuvo problemas internos. En primer lugar, se
detectó un problema de fraude dentro del área de Suministro que hizo
que se cambiara la gerencia de dicha área de manera inmediata. A raíz
de dicho suceso, la compañía ha venido trabajando en crear un buen
ambiente organizacional y que el personal se sienta parte de la
compañía y muestre compromiso para llevar a cabo con éxito sus
operaciones.

Principio 5: Atrae, desarrolla y mantiene el personal capacitado.

La organización está comprometida a construir capital humano en

alineación con la estrategia y los objetivos comerciales. El área de
recursos humanos es la encargada de ayudar a promover la
competencia al ayudar la administración a desarrollar descripciones de
puestos, roles y responsabilidades, facilitando la capacitación y
evaluando el desempeño individual para evaluar el riesgo. Asimismo,
los costos y beneficios van de acuerdo a la habilidad y la experiencia.
La compañía busca atraer, desarrollar y retener a las personas. A lo
largo de este proceso, se identifican, evalúan y corrigen de manera
oportuna las expectativas de manejo y las responsabilidades de la
administración del riesgo empresarial.

Componente 2: Estrategia y objetivos

Principio 6: Analiza el contexto empresarial

De acuerdo a la evaluación realizada se identificó que la Organización

considera los efectos potenciales del contexto empresarial en el perfil
de riesgo. La Compañía realiza un análisis en base a las categorías y
características del entorno externo y también realiza un análisis del
entorno interno y las partes interesadas (Stakeholders).

Principio 7: Define el apetito al riesgo

Se realizó una comprensión preliminar del apetito al riesgo tomando

como base la misión, visión y los valores fundamentales de la
organización y las estrategias establecidas por ésta misma.

Principio 8: Evalúa las estrategias alternativas.

De acuerdo a la indagación realizada se ha identificado que la
organización no realiza una evaluación de estrategias alternativas como
parte del establecimiento de la estrategia de la compañía.

Principio 9: Formula objetivos de negocio.

La organización desarrolla objetivos comerciales que son específicos,

medibles y relevantes. Los objetivos comerciales proporcionan el
vínculo a las prácticas dentro de la entidad para respaldar el logro de la
estrategia. Cabe mencionar que los objetivos fueron realizados por el
Gerente Comercial.

Actualmente, de acuerdo al diagnóstico realizado se observó que los

objetivos específicos no están establecidos de forma efectiva y
consistente, pues no se tiene definido los criterios de cuantificación ni
se tiene un detalle de cuáles son los recursos necesarios para
alcanzarlos, quiénes son los responsables para su determinación y qué
áreas participan.

Principio 10: Identifica el riesgo.

Actualmente, la Compañía cuenta con su matriz de riesgos por

procesos. Sin embargo, se ha podido identificar que la matriz se
encuentra desactualizada. Asimismo, la compañía tiene los manuales
de los procesos desactualizados y cabe mencionar que la última
actualización se desarrolló en el año 2015.

A través del COSO ERM 2017 y de acuerdo a lo mencionado y realizado

en los principios anteriores, podemos decir que la identificación de los
riesgos partirá de los objetivos y las estrategias definidas. Cabe
mencionar que el proceso seleccionado ha sido el proceso de compras
puesto que según los resultados de las encuestas realizadas se
identificó que este proceso es el que consideran que se encuentra más
expuesto a los temas de fraude.

Principio 11: Evalúa la gravedad del riesgo.

Este principio consiste en evaluar el riesgo para comprender la

gravedad de cada uno de ellos para el logro de la estrategia y de los
objetivos de negocio de la organización. Luego de identificar los riesgos
se procedió a calcular la probabilidad e impacto de los riesgos para
saber cómo podrían influir en la compañía bajo el criterio y experiencia
que el auditor interno.

Principio 12: Prioriza el riesgo.

Las organizaciones priorizan los riesgos con el fin de informar a la toma

de decisiones sobre las respuestas al riesgo y optimizar la asignación
de recursos, teniendo en cuenta los recursos disponibles para una
entidad. La priorización de riesgo se produce en todos los niveles de la
organización, y para todos los riesgos identificados se despliega una
respuesta al riesgo.

Principio 13: Implementa respuestas ante los riesgos

De acuerdo al diagnóstico realizado, se observó que, para todos los

riesgos identificados, la administración selecciona y despliega una
respuesta al riesgo.

Principio 14: Desarrolla una visión a nivel de cartera.

La compañía no ha realizado una evaluación de cartera de riesgo.

Componente 3: Revisión y monitoreo:

Principio 15: Evalúa los cambios significativos.

Los cambios significativos pueden darse tanto a nivel interno o externo.

Ambiente Interno:

· Un cambio significativo fue el proceso de fusión administrativa

con otra entidad en el 2016. Como en todo proceso de fusión, hubo
un importante recorte de personal, y algunos ejecutivos fueron
reubicados en otros cargos.

· El gerente de la compañía Piso Azul S.A, Víctor Girón, presentó

su carta de renuncia, y el personal que tenía a su cargo pasó a
reportar directamente con el nuevo gerente del grupo, Sergio Zarzar.

· El despido del gerente de Supply Chain, debido a que fue

involucrado en hechos fraudulentos.

Estos cambios cambiaron la vista de cartera del riesgo de la entidad o

cómo funciona la gestión de riesgos empresariales.

Ambiente Externo: Un cambio significativo es la evolución del entorno

económico, debido a las últimas implicancias que se ha visto en el
entorno político y el cierre de una de las empresas más importantes en
el rubro de construcción Odebrecht (2016), puesto que sus mayores
ingresos se daban en los grandes proyectos inmobiliarios que tenía esta
empresa.
Principio 16: Revisa el riesgo y el desempeño.

En este principio se busca revisar el riesgo y el desempeño. Se ha

realizado el test de efectividad de los controles que se ha planteado de
acuerdo a los riesgos que se ha identificado y que no se encontraban
dentro de la matriz de riesgos que tiene la compañía.

Existe una deficiencia en el control (Revisión del contenido de la orden

de compra para la liberación y/o aprobación a través del sistema)
generando que exista un mayor riesgo a que se generen órdenes de
compra duplicadas o registradas incorrectamente; o que no se hayan
originado por la solicitud de pedido correspondiente de acuerdo con la
política de compras.

En segundo lugar, si realizamos una cuantificación de la deficiencia

encontrada, esta nos da un monto total de USD 53,497.93 por registros
que no cuentan con las cotizaciones de acuerdo a lo establecido en la
política de compras, por tanto, se pudo evidenciar que no se ha
originado de manera correcta la solitud de pedido. El impacto en los
estados financieros de esta deficiencia sería de USD 96,296.27,
tomando como un 10% de impacto del total de la deficiencia encontrada.

Principio 17: Persigue la mejora de la Gestión de Riesgo

Empresarial

La organización persigue la mejora de la gestión de riesgos mediante la

integración de las evaluaciones continuas en los negocios. De esta
manera la organización puede identificar posibles mejoras sistemáticas
a su práctica de gestión de riesgo empresarial. Por ejemplo, en este
periodo la organización identificó que había un riesgo con las paletas.
El gerente de Supply comentó que los transportistas se llevaban las
paletas y no las devolvían. Es por ello que implementaron un control
automático, en donde se tiene registrado la cantidad de paletas que son
entregadas a los clientes y así se mantiene un control de quién las tiene.
Esta mejora ha ayudado mucho en el control de las paletas, debido a la
gran magnitud de paletas que se usan diariamente se puede ver una
reducción de gastos material.

A partir de esto, se puede concluir la gestión de riesgos empresariales

bajo la herramienta COSO ERM 2017 influye positivamente en la
prevención de fraude en esta empresa, puesto que se ha identificado
hallazgos y se ha determinado no solo el impacto cualitativo, sino
también el cuantitativo. Asimismo, el nivel del desarrollo del COSO ERM
2017 ayudará a gestionar los riesgos.

Componente 4: Información, comunicación y reporte

Principio 18: Persigue la mejora de la Gestión de Riesgo

Empresarial

La entidad tiene información de los riesgos que es más que un

repositorio de datos históricos de riesgos. Esto apoya en la comprensión
y el desarrollo de un perfil de riesgo actual y en evolución completo. La
organización determina que información está disponible para la
administración y qué sistemas y tecnologías de información se utilizan
para capturar esa información.

Principio 19: Comunica Información sobre los riesgos

De acuerdo al diagnóstico realizado se puede decir que la compañía
está empezando a realizar una reestructuración con el fin de obtener
canales disponibles para comunicar datos de riesgo e información a las
partes internas y externas interesadas, así como al personal de toda la
organización, puesto que estos canales permiten a la organización
proporcionar información relevante para su toma de decisiones.

Principio 20 Informa sobre el riesgo, la cultura y el desempeño

De acuerdo a la indagación realizada se ha podido observar que la

compañía no le da la debida importancia a informar al personal de todos
los niveles sobre la comprensión de las relaciones entre el riesgo, la
cultura y el rendimiento, y cómo esto ayuda a mejorar la toma de
decisiones en la estrategia y el establecimiento de objetivos, la
gobernabilidad y las operaciones del día a día. Este nivel de informes
debe alinearse con los informes que son presentados para la alta
gerencia y la junta directiva.