ISO 9001:2015, metodología COSO III para la gestión de riesgos

ISO 9001:2015

La nueva norma ISO 9001:2015 habla especialmente acerca de la gestión de riesgos, que es una de las novedades más destacadas en los círculos profesionales de la calidad.

En artículos anteriores hemos comentado de una de los mecanismos o metodologías que podremos emplear para llevar a cabo esta gestión, haciendo referencia a COSO I y COSO II.

La tercera versión, COSO III, se publicó en el año 2013. Este renovado Marco Integrado de Gestión de Riesgos incluye novedades como estas:

• Aumenta la confianza en cuanto a la eliminación de riesgos y consecución de objetivos.
• Mejora la agilidad de los Sistemas de Gestión de Riesgos en su adaptación con los entornos.
• Aporta mayor claridad referente a la comunicación y la información.

Dicho Marco Integrado COSO III, proporciona mayor cobertura de riesgos en las entidades. Las modificaciones más significativas son las que cuenta, desde COSO II son, estructuradas por componentes:

• Entorno de control.

– Nos encontramos con cinco principios que detallan: la importancia de la integridad y valores éticos, la importancia del modo de operar de la administración y su filosofía, la relevancia de contar con una estructura organizativa, una adecuada asignación de responsabilidades y el valor de las políticas de recursos humanos.

– Se aclaran las relaciones entre los elementos que componen el control interno para subrayar la relevancia del entorno de control.

– Se incrementa la información sobre el gobierno corporativo de una entidad, apreciando diferencias en estructuras, requisitos, sectores y tipos de entidades.

– Se refuerza la supervisión del riesgo, así como la relación entre el riesgo y su respuesta.

• Evaluación de riesgos.

– Se amplía la categoría de objetivos de reporte.

– Se señala que la evaluación de riesgos incluye: identificación, análisis y respuesta a los riesgos.

– Se incluyen conceptos como velocidad y persistencia de riesgos, como criterios de evaluación.

– Se tiene en cuenta la tolerancia al riesgo en la evaluación de niveles aceptables de riesgo.

– Se considera el tipo de riesgo conectado a las fusiones, adquisiciones y externalizaciones.

– Se amplía la consideración de riesgo al fraude.

• Actividades de control.

– Se señala que las actividades de control vienen determinadas por procedimientos y políticas.

– Se tiene en cuenta el rápido cambio y la evolución de la tecnología.

– Se acentúa la diferenciación entre controles automáticos y controles generales de tecnología.

• Información y comunicación.

– Se puntualiza la importancia de la calidad de la información dentro del sistema de control interno.

– Se penetra en la necesidad de información y comunicación entre la entidad y terceras partes.

– Se exalta el impacto de los requisitos legales sobre seguridad y protección de la información.

– Se muestra el impacto de la tecnología y otros medios de comunicación en la rapidez y calidad del flujo de información.

• Actividades de monitoreo y supervisión.

– Se hace más clara la terminología, a través de la definición de dos categorías de actividades de monitoreo: evaluaciones independientes y evaluaciones continuas.

– Se ahonda en la relevancia del uso de proveedores de servicios externos y la tecnología.

La administración de riesgos en la versión anterior era uno de los elementos básicos del control interno con el que podíamos alcanzar una eficacia y eficiencia de las operaciones, el cumplimiento de las leyes, normas y/o reglamentos y la confiabilidad de los reportes. Esto es porque el sistema de Gestión de Riesgos no es independiente del sistema de control interno, ya que se encuentran integrados. Esto se podría decir también en sentido inverso.

COSO III se publica 9 años después de COSO II, una versión actualizada y mejorada. Esta revisión de la metodología admite cualquier cambio y mejora que se introdujeron en COSO II, salvo que los elementos quedan reducidos a cinco, por lo que dejan de hacer referencia explícita a:

• Establecimiento de objetivos.
• Identificación de eventos.
• Respuesta a los riesgos.

Sin embargo, el elemento correspondiente a evaluación de riesgos, sí admite de forma indiscutible que la dicha evaluación tendrá que incluir:

• Identificación de cada uno de los riesgos.
• Análisis de riesgos.
• Respuesta precisa a los riesgos.

Asimismo, como elemento novedoso, se da protagonismo a conceptos como puede ser la tolerancia al riesgo en la evaluación de niveles aceptables de riesgo, y se incluyen otros como la velocidad y persistencia de los riesgos, siendo motivos para evaluar la criticidad de los mismos.

Por otra parte, cuando se hablan de mejoras de este Marco actualizado, se manifiesta que se encuentra acompañado de dos nuevos documentos: el relativo al control interno de la información financiera externa (ICEFR) y los mecanismos de evaluación a utilizar para poder valorar la eficacia del control interno.

Esto último parece olvidar que en 2006 COSO publicó el documento “Control Interno para la información financiera para pequeñas y medianas empresas cotizadas”, así como en 2009, la “Guía para la Supervisión de Sistemas de Control Interno”.

Las empresas que se encuentren  trabajando con COSO tienen que saber que esta versión de la metodología de gestión de riesgos es la vigente en la actualidad, quedando derogadas las versiones anteriores, del mismo modo que las entidades al implementar ISO 9001:2015 quieran utilizar este mecanismo para aplicar la gestión de riesgos que exige la norma.

Sistema de Gestión de la Calidad

Los Sistemas de Gestión de la Calidad suelen certificarse bajo el estándar ISO 9001, para conocer otras normas relativas a la calidad, puedes visitar: https://www.isotools.us/normas/calidad/