COSO ERM: Gestión de riesgos empresariales
Conozca qué es COSO ERM, sus componentes, beneficios y cómo aplicarlo en empresas y organizaciones peruanas para fortalecer el control interno, la toma de decisiones y el cumplimiento.
¿Qué es COSO ERM y por qué es clave en la gestión empresarial?
En un entorno empresarial cada vez más cambiante, las organizaciones enfrentan riesgos financieros, operativos, tributarios, legales, tecnológicos y reputacionales. En ese contexto, COSO ERM se ha convertido en uno de los marcos más reconocidos para gestionar riesgos de manera integral y alineada con la estrategia del negocio.
COSO ERM corresponde a Enterprise Risk Management, es decir, Gestión de Riesgos Empresariales. Su propósito no es eliminar todos los riesgos, sino ayudar a la organización a identificarlos, evaluarlos, responder a ellos y monitorearlos de forma consistente, buscando generar y proteger valor.
Para empresas peruanas, asociaciones, fundaciones, cooperativas y ONGs, aplicar COSO ERM permite fortalecer el sistema de control interno, mejorar la toma de decisiones y anticiparse a contingencias que pueden afectar la continuidad de las operaciones.
¿Qué es el marco COSO ERM?
El marco COSO fue desarrollado por el Committee of Sponsoring Organizations of the Treadway Commission. En su evolución, el enfoque ERM amplió la visión tradicional del control interno para integrar la gestión de riesgos con la estrategia y el desempeño.
Mientras el modelo COSO de control interno se enfoca en asegurar operaciones, información y cumplimiento, COSO ERM incorpora una visión más amplia: cómo los riesgos impactan los objetivos estratégicos y cómo la organización puede responder de manera oportuna.
En términos prácticos, COSO ERM ayuda a responder preguntas como:
- ¿Cuáles son los riesgos más relevantes que enfrenta la organización?
- ¿Qué tan probable es que ocurran y cuál sería su impacto?
- ¿Qué controles o respuestas deben implementarse?
- ¿Quién es responsable de gestionarlos?
- ¿Cómo se monitorean y reportan?
Diferencia entre COSO Control Interno y COSO ERM
Es frecuente confundir ambos enfoques. Aunque están relacionados, no son exactamente lo mismo.
| Aspecto | COSO Control Interno | COSO ERM |
|---|---|---|
| Enfoque principal | Fortalecer controles internos | Gestionar riesgos a nivel empresarial |
| Objetivo | Lograr eficiencia operativa, confiabilidad de la información y cumplimiento | Alinear riesgo, estrategia y desempeño |
| Alcance | Procesos y controles | Toda la organización y su modelo de negocio |
| Aplicación | Más orientada a actividades de control | Más orientada a decisiones estratégicas |
| Resultado esperado | Reducción de errores e incumplimientos | Mejor capacidad para anticipar y responder a riesgos |
En una empresa peruana mediana, por ejemplo, el control interno puede establecer autorizaciones para pagos y conciliaciones bancarias. En cambio, COSO ERM analiza además riesgos como la dependencia de un solo cliente, cambios regulatorios de SUNAT, ciberataques o volatilidad del tipo de cambio.
Principios y componentes de COSO ERM
El enfoque moderno de COSO ERM se estructura alrededor de componentes que conectan la gestión de riesgos con la estrategia y el desempeño organizacional.
1. Gobierno y cultura
La gestión de riesgos empieza desde la alta dirección y el gobierno corporativo. La organización debe promover una cultura donde el riesgo se discuta de manera abierta, con roles y responsabilidades definidos.
Esto incluye:
- Supervisión del directorio, consejo directivo o gerencia general.
- Definición de valores éticos y conducta organizacional.
- Asignación de responsabilidades sobre riesgos.
- Desarrollo de competencias del personal.
En el caso de una ONG peruana que administra fondos de cooperación internacional, el consejo directivo debe conocer riesgos como uso indebido de fondos, incumplimiento de convenios o debilidades en rendiciones de cuentas.
2. Estrategia y establecimiento de objetivos
COSO ERM plantea que antes de evaluar riesgos, la organización debe tener claro qué busca lograr. Los objetivos estratégicos, operativos, de información y de cumplimiento deben estar definidos y alineados con el apetito de riesgo.
El apetito de riesgo es el nivel de riesgo que la organización está dispuesta a aceptar para alcanzar sus objetivos.
Por ejemplo, una empresa comercial en Lima puede aceptar cierto riesgo de incobrabilidad para expandirse, pero no debería aceptar riesgos tributarios derivados de facturación indebida o sustentos incompletos de gasto.
3. Desempeño
En esta etapa se identifican y evalúan riesgos que podrían afectar el logro de objetivos. Luego se priorizan y se define la respuesta correspondiente.
Las respuestas al riesgo pueden incluir:
- Evitar el riesgo.
- Reducir el riesgo mediante controles.
- Compartir el riesgo, por ejemplo con seguros o contratos.
- Aceptar el riesgo cuando esté dentro del nivel tolerable.
Una empresa de distribución, por ejemplo, puede identificar como riesgo relevante el robo de mercadería en ruta. La respuesta podría incluir GPS en unidades, pólizas de seguro, rutas seguras y revisión del proceso logístico.
4. Revisión y monitoreo
Los riesgos cambian. Por ello, COSO ERM exige revisar periódicamente si los riesgos identificados siguen siendo vigentes, si aparecieron nuevos riesgos y si las respuestas implementadas son efectivas.
Esto puede realizarse mediante:
- Indicadores clave de riesgo.
- Reportes periódicos a gerencia.
- Auditoría interna.
- Evaluaciones independientes.
5. Información, comunicación y reporte
La gestión de riesgos solo funciona si la información relevante llega a tiempo a quienes toman decisiones. Esto implica contar con reportes claros, canales de comunicación adecuados y documentación suficiente.
En una entidad sin fines de lucro, por ejemplo, es indispensable que la dirección reciba información periódica sobre ejecución presupuestal, cumplimiento de restricciones del donante y observaciones de control.
Beneficios de implementar COSO ERM
Aplicar COSO ERM no debe verse como una carga administrativa, sino como una herramienta para mejorar la sostenibilidad del negocio.
Entre sus principales beneficios destacan:
- Mejora la toma de decisiones, al evaluar riesgos antes de actuar.
- Fortalece el control interno, al vincular riesgos con controles específicos.
- Reduce pérdidas y contingencias, financieras, operativas y legales.
- Mejora el cumplimiento tributario, laboral, societario y contractual.
- Protege la reputación de la organización.
- Facilita la continuidad del negocio frente a eventos adversos.
- Genera confianza en socios, donantes, bancos, inversionistas y reguladores.
En Perú, esto resulta especialmente relevante en sectores con alta fiscalización o exposición regulatoria, como construcción, salud, educación, servicios financieros, comercio exterior y organizaciones receptoras de cooperación internacional.
Riesgos empresariales más frecuentes en el contexto peruano
Una adecuada implementación de COSO ERM requiere reconocer los riesgos más comunes según la realidad de cada organización. Algunos ejemplos frecuentes en Perú son:
| Tipo de riesgo | Descripción | Ejemplo en Perú |
|---|---|---|
| Tributario | Incumplimientos con SUNAT, reparos o multas | Gastos sin sustento fehaciente o uso incorrecto del crédito fiscal IGV |
| Financiero | Problemas de liquidez, endeudamiento o tipo de cambio | Empresa con ventas en soles y deudas en dólares |
| Operativo | Fallos en procesos, errores humanos o interrupciones | Falta de segregación de funciones en tesorería |
| Legal | Incumplimientos normativos o contractuales | Contingencias laborales por mala contratación de personal |
| Tecnológico | Ciberseguridad, pérdida de datos o sistemas ineficientes | Ataque de ransomware a servidores contables |
| Reputacional | Daño a la imagen institucional | Denuncias por uso inadecuado de fondos en una ONG |
| Fraude | Apropiación indebida, colusión o manipulación de información | Pagos a proveedores vinculados no revelados |
Relación de COSO ERM con auditoría y normas internacionales
La gestión de riesgos empresariales está estrechamente vinculada con el trabajo de auditoría interna y auditoría externa. Un sistema robusto de identificación y evaluación de riesgos mejora la calidad del control interno y, por tanto, reduce la probabilidad de errores materiales o incumplimientos.
Desde la perspectiva de auditoría, destacan las siguientes normas:
- NIA 315 – Identificación y valoración de los riesgos de incorrección material mediante el conocimiento de la entidad y de su entorno. Esta norma exige comprender el sistema de control interno y los riesgos relevantes de la entidad.
- NIA 330 – Respuestas del auditor a los riesgos valorados. Establece cómo el auditor diseña procedimientos en respuesta a los riesgos identificados.
- NIA 240 – Responsabilidades del auditor en la auditoría de estados financieros con respecto al fraude. Releva la importancia de evaluar riesgos de fraude y la respuesta de la organización frente a ellos.
Asimismo, en materia contable, la gestión de riesgos puede tener impacto en estimaciones, provisiones, deterioro y revelaciones en los estados financieros bajo NIIF.
Marco legal y cumplimiento en Perú
Aunque COSO ERM no es una ley peruana, su implementación contribuye al cumplimiento de diversas obligaciones legales y regulatorias. Por ejemplo:
- La Ley General de Sociedades, Ley N.° 26887, establece responsabilidades de los administradores en la conducción diligente de la sociedad. En particular, el artículo 171 regula la responsabilidad de los directores por daños y perjuicios derivados de acuerdos contrarios a la ley, al estatuto o realizados con dolo, abuso de facultades o negligencia grave.
- El Código Tributario, aprobado por Decreto Supremo N.° 133-2013-EF, dispone en su Norma VIII del Título Preliminar la interpretación de las normas tributarias y sustancia económica, lo cual exige especial cuidado en operaciones con impacto fiscal. Además, diversos deberes formales y sustanciales hacen necesario contar con controles y gestión de riesgos tributarios.
- La Ley N.° 30424, Ley que regula la responsabilidad administrativa de las personas jurídicas, y sus modificatorias, ha reforzado la importancia de modelos de prevención y controles frente a delitos como cohecho, lavado de activos y financiamiento del terrorismo.
En consecuencia, una organización que gestiona adecuadamente sus riesgos no solo mejora su eficiencia, sino que también fortalece su posición frente a fiscalizaciones, litigios y revisiones de terceros.
¿Cómo implementar COSO ERM en una empresa u ONG?
La implementación debe adaptarse al tamaño, complejidad y recursos de cada organización. No se trata de copiar formatos, sino de construir un sistema útil y realista.
1. Definir objetivos y alcance
Primero, la organización debe definir qué objetivos desea proteger: crecimiento, liquidez, cumplimiento tributario, ejecución de proyectos, continuidad operativa, entre otros.
2. Identificar riesgos
Se pueden usar talleres, entrevistas, revisión documental, análisis de procesos y revisión de incidentes previos. Es importante involucrar a gerencia, finanzas, operaciones, tecnología y asesoría legal.
3. Evaluar probabilidad e impacto
Cada riesgo debe medirse según su probabilidad de ocurrencia y su impacto económico, operativo o reputacional. Esto ayuda a priorizar.
4. Diseñar respuestas y controles
Para cada riesgo significativo deben establecerse medidas concretas: políticas, autorizaciones, revisiones, seguros, automatización, planes de contingencia o capacitación.
5. Asignar responsables
Todo riesgo relevante debe tener un dueño. Si nadie es responsable, el riesgo queda sin gestión real.
6. Monitorear y reportar
La organización debe revisar periódicamente su mapa de riesgos y reportar resultados a la alta dirección o al órgano de gobierno.
Ejemplo práctico
Caso 1: Empresa comercial con riesgo tributario y de fraude
Una empresa comercial de Lima con ventas anuales de S/ 12 millones detecta diferencias recurrentes entre inventario físico y kardex, además de observaciones de SUNAT por comprobantes de pago mal sustentados.
Riesgos identificados:
- Pérdida de inventarios por sustracción interna.
- Reparos tributarios por documentación incompleta.
- Pagos a proveedores sin adecuada validación.
Respuesta bajo COSO ERM:
- Implementar conteos cíclicos de inventario.
- Segregar funciones entre compras, almacén y tesorería.
- Validar proveedores y sustento tributario antes del pago.
- Establecer indicadores mensuales de diferencias de inventario y observaciones tributarias.
Resultado esperado: reducción de pérdidas operativas, menor exposición a multas y mejor confiabilidad de la información financiera.
Caso 2: ONG con fondos restringidos
Una ONG que ejecuta proyectos en regiones recibe fondos del exterior por S/ 3 millones. El donante exige reportes financieros por componente y evidencia documentaria estricta.
Riesgos identificados:
- Uso de fondos en conceptos no permitidos.
- Rendiciones fuera de plazo.
- Falta de trazabilidad entre gasto, presupuesto y entregable del proyecto.
Respuesta bajo COSO ERM:
- Diseñar centros de costo por proyecto y componente.
- Revisar mensualmente la ejecución presupuestal.
- Establecer controles previos para validar elegibilidad del gasto.
- Asignar responsables por rendición y archivo documentario.
Resultado esperado: cumplimiento con el convenio, menor riesgo de observaciones del donante y mejor transparencia institucional.
Errores frecuentes al aplicar COSO ERM
En la práctica, muchas organizaciones dicen gestionar riesgos, pero cometen errores que limitan la efectividad del sistema.
- Ver la gestión de riesgos como un trámite y no como una herramienta de gestión.
- No involucrar a la alta dirección.
- Elaborar matrices de riesgo genéricas que no reflejan la realidad de la organización.
- No asignar responsables ni plazos.
- No actualizar el mapa de riesgos ante cambios del entorno.
- Concentrarse solo en riesgos operativos y olvidar los estratégicos, tecnológicos o reputacionales.
Un sistema de COSO ERM efectivo debe ser dinámico, documentado y útil para la toma de decisiones, no solo para mostrar cumplimiento en una auditoría.
¿Cuándo conviene fortalecer la gestión de riesgos?
Si bien toda organización debería contar con una gestión de riesgos mínima, existen momentos en los que resulta especialmente recomendable revisar o implementar COSO ERM:
- Cuando la empresa está creciendo rápidamente.
- Cuando se detectan fraudes, errores o pérdidas recurrentes.
- Antes de una auditoría financiera o de control interno.
- Cuando existen observaciones de SUNAT, donantes o reguladores.
- Al implementar nuevos sistemas o procesos.
- Cuando hay cambios importantes en la dirección o estructura organizacional.
Conclusión
COSO ERM es mucho más que una metodología teórica. Es una herramienta práctica para que empresas, ONGs y otras organizaciones peruanas gestionen sus riesgos de forma integral, fortalezcan su control interno y mejoren la calidad de sus decisiones.
Su valor está en conectar la estrategia con la realidad operativa, identificar amenazas relevantes a tiempo y diseñar respuestas concretas para proteger los recursos, la reputación y la sostenibilidad institucional.
En un entorno como el peruano, donde existen riesgos tributarios, operativos, tecnológicos y regulatorios cada vez más complejos, implementar un enfoque de gestión de riesgos como COSO ERM puede marcar una diferencia sustancial entre una organización reactiva y una organización preparada.
Si su empresa, ONG o institución desea fortalecer su sistema de control interno y su gestión de riesgos empresariales, puede escribirnos a auditor@carloslingan.pe para una evaluación especializada.
