COSO el marco de mayor aceptación y adopción en estos temas, ofrece dos enfoques para mitigar los riesgos y asegurar el logro de objetivos: gestión de riesgos y control interno. Aunque son complementarios, cada uno tiene un enfoque particular.
Ambas versiones actualizadas se basan en componentes claves y principios. La premisa, es que para considerar un sistema efectivo de gestión de riesgos, control interno o ambos en la organización, deben estar presenten todos los componentes y principios, y funcionando juntos de manera integrada.
Tener en cuenta que la gestión de riesgos corporativos es más amplia que el control interno. Mientras este último, se centra más en controles operacionales y transaccionales, el primero se centra más en la gestión de riesgos en todos los niveles de la organización, siendo parte integral del proceso de gobierno.
La gestión de riesgos a menudo se considera que aporta una visión más de futuro, teniendo en cuenta el nivel de riesgo que está dispuesta a aceptar la organización, cómo emergen y se mitigan los riesgos en relación con las opciones estratégicas seleccionadas y como pueden impactar los riesgos en la organización. Por otro lado, el control interno se centra en si la organización está mitigando los riesgos para conseguir los objetivos definidos, sin considerar los conceptos de apetito al riesgo, tolerancia, estrategia y objetivos que se establecen dentro de la gestión del riesgo empresarial y que son requisito previo al control interno. En este contexto, el control interno es a menudo más retrospectivo que prospectivo.
Entendido lo anterior, ¿cuál sistema necesita su empresa?
Depende de la madurez de su organización, la complejidad de sus operaciones y el apetito al riesgo.
Si su empresa es pequeña o está en fase de crecimiento, un sistema de control interno puede ser suficiente.
Si es grande o compleja, o tiene un alto apetito al riesgo, un sistema de gestión de riesgos puede ser más adecuado.
“Lo ideal es combinar ambos enfoques para obtener una protección completa. Un sistema de gestión de riesgos proporciona la visión general, mientras que un sistema de control interno implementa medidas específicas en los procesos clave”.