La gestión de riesgos en Ecuador: una aproximación evolutiva desde el control interno

Risk Management in Ecuador: An Evolutionary Approach from Internal Control

RESUMEN

La gestión de riesgos ha evolucionado a través de los años hasta promover el aseguramiento razonable del cumplimiento de los objetivos organizacionales, desde su concepción como componente del control interno en cualquier ámbito. En consecuencia, el objetivo del presente trabajo consiste en presentar los resultados de la revisión bibliográfica efectuada sobre la temática y reflexiones realizadas al respecto. Fueron utilizados métodos teóricos como el histórico-lógico, el análisis-síntesis, la inducción-deducción y el tránsito de lo abstracto a lo concreto. Los fundamentos teóricos tratados reafirman que la gestión de los riesgos favorece el cumplimiento de las metas y constituye una vía para propiciar la sostenibilidad en cualquier organización. ]]>
Palabras clave: control, objetivos organizacionales, riesgos.

ABSTRACT

Risk management has evolved over the years to promote reasonable assurance of compliance with organizational objectives, from its conception as a component of internal control in any field. Consequently, the objective of this work is to present the results of the literature review carried out on the subject and reflections made in this regard. Theoretical methods were used, such as the historical-logical, the analysis-synthesis, the induction-deduction and the transition from the abstract to the concrete. The theoretical foundations treated reaffirm that the management of risks favors the fulfillment of the goals and constitutes a way to promote sustainability in any organization.

Keywords: control, organizational objectives, risks.

INTRODUCCIÓN

La gestión de riesgos constituye una condición fundamental para garantizar, de manera razonable, el cumplimiento de los objetivos institucionales. En el contexto internacional, las investigaciones relacionadas con la temática han estado lideradas por el Committee of Sponsoring Organizations of the Treadway Commission (COSO), organización que, durante años, se ha dedicado a proporcionar liderazgo mediante el desarrollo de marcos y orientaciones generales que se han propuesto el mejoramiento del desempeño de las empresas, de manera que ha sido notable la evolución y el desarrollo constante de las concepciones y planteamientos acerca del tema.

Se reconoce que, en el ambiente de negocios vigente, "gestionar los riesgos" eficientemente constituye una preocupación de la alta gerencia. El proceso se facilita cuando las entidades desarrollan sus actividades sobre la base de sistemas de control interno regidos según las exigencias actuales (Vera, 2008). En consecuencia, en el informe "Control Interno-Marco Integrado" actual se afirma que:

La gestión de riesgos corporativos es más amplia que el control interno, profundiza en mayor medida en el control interno y se centra más directamente en el riesgo. El control interno es una parte clave de la gestión de riesgos corporativo, mientras que la gestión de riesgos corporativos en una parte del proceso general de gobierno. (COSO, 2013, p. 205)
]]> A pesar de la actualización realizada al marco vigente (COSO III), donde se plantean mejoras y aclaraciones destinadas a facilitar su aplicación, este establece una relación complementaria con su antecesor "Gestión de riesgos corporativos-Marco Integrado" (ERM-Marco, COSO II). Ello reafirma que aún se adecua al diseño, implementación, ejecución y evaluación de la gestión de riesgos corporativos (COSO, 2013). Al respecto, Hernández (2015) asevera que, como sistema de gestión, proporciona una sofisticada disciplina en ese sentido, para lo cual se hace necesario:

" El desarrollo de un ambiente de control interno.
" Una cultura que acepte una misma visión de la gestión de riesgos.
" Una estrategia de riesgos que formalice su gestión y se alinee con la estrategia de la empresa.
" Prácticas de gobierno que promocionen y defiendan un efectivo sistema de gestión de riesgos para su correcta identificación, evaluación y gestión.

A pesar de la amplia aceptación que ha tenido el ERM-Marco (COSO II) (2004) por parte de las organizaciones, la complejidad del riesgo ha cambiado y se ha impuesto la necesidad de que las instituciones mejoren su enfoque de gestión del riesgo para satisfacer las exigencias de un entorno de negocio en continua evolución. Las incertidumbres que rodean la gestión de las empresas y su creciente dificultad exigen una respuesta estratégica adecuada, cuyo traslado eficiente a todas las fases de la gestión empresarial debe ser garantizado por las gerencias, desde la planificación estratégica y de negocio hasta la ejecución operacional y el control de los procesos. Todo ello motivó que el Consejo de COSO emitiera el informe "Gestión del Riesgo Empresarial-Integrando Estrategia y Desempeño" (COSO, 2017).

Estos elementos demuestran que, sin dudas, actualmente se le concede un lugar preponderante a la gestión de riesgos. ]]>
En Ecuador se ha logrado avanzar hacia la implantación de controles internos que propicien la consecución de los objetivos en las organizaciones. Con la expedición de la Constitución de la República del Ecuador (CRE) en el año 2008, quedó establecido que la Contraloría General del Estado (CGE) es el organismo técnico encargado del control de la utilización de los recursos estatales, además de dirigir el sistema de control administrativo, que se compone de auditoría interna, externa y del control interno de las entidades del sector público y de las privadas que dispongan de recursos públicos (Asamblea Nacional Constituyente, 2008).

Estos cambios a la legislación ecuatoriana, unidos a las reformas realizadas a la Ley Orgánica de la CGE y a los avances y mejores prácticas en la administración pública moderna, impulsaron la actualización de las normas de control interno en Ecuador.

Con las reformas al marco regulador del control interno, la CGE dispuso que cada institución del Estado debía dictar las normas, políticas y manuales específicos que consideraran necesarios para su gestión. Los documentos desarrollados debían incluir normas generales y otras específicas relacionadas con la administración financiera gubernamental, el talento humano, la tecnología de la información y la administración de proyectos, y recoger la utilización del marco COSO, que propone cinco componentes interrelacionados e integrados al proceso de administración, con la finalidad de ayudar a las entidades a lograr sus objetivos.

Teniendo en cuenta las cuestiones referidas, en el artículo se presentan los resultados de la revisión bibliográfica realizada sobre el tema y las reflexiones derivadas de dicho estudio.

1. Antecedentes de la gestión de riesgos en el contexto internacional ]]>
El riesgo es conocido como la incertidumbre de que ocurra un acontecimiento que pudiera afectar o beneficiar el logro de un objetivo (ISO 31000:2009). Varios autores afirman que está vinculado a la probabilidad de un evento y las consecuencias que este puede acarrear, tanto cualitativas como cuantitativas, para el alcance de los objetivos institucionales o del proceso (Rodríguez et al., 2011; Pérez y García, 2012; Milans del Bosch, 2012).

En el contexto empresarial, la necesidad de gestionar los riesgos que se enfrentan para cumplir las metas se difunde cada día más a nivel mundial, como propuesta disciplinada y estructurada que alinea las estrategias, los procesos, las personas, las tecnologías y los conocimientos, y se sitúa en el marco de los sistemas de control interno de las organizaciones. Sin embargo, cabe señalar que la gestión de riesgos y el control interno no siempre han sido percibidos de esta manera, pues han cambiado a medida que se han transformado el entorno y las estructuras organizacionales.

El control interno tal como se manifiesta en la actualidad ya era conocido en épocas remotas. Afirman Collins y Valin (1979) que esta noción es tan antigua como la contabilidad. Su primera generación se basó en acciones empíricas desarrolladas a partir de procedimientos de ensayo y error (Mantilla, 2013). En sus inicios, varios autores lo definieron como un "conjunto de medios, medidas organizativas y procedimientos establecidos para proteger los bienes patrimoniales, promover la eficiencia en el trabajo de los empleados y asegurar el cumplimiento de las políticas y directivas constitucionales" (Montgomery, 1949, p. 65).

Por otro lado, Cook y Winkle (2006) aseguran que, después de la Revolución Industrial, el alcance y complejidad de los negocios aumentaron notablemente y, en tal sentido, el crecimiento de las compañías conllevó el incremento del número de empleados, sus sistemas contables se volvieron mucho más desarrollados y fue posible dividir las tareas. Así, las funciones de custodia de activos y su registro fueron separadas y se establecieron los controles internos para proteger los activos y detectar los desfalcos.

En plena globalización neoliberal, el gobierno de los Estados Unidos identificó una serie de problemas que comenzaron con el caso Watergate en la década de los 70 y continuaron con las dificultades financieras del sistema de ahorro y crédito en los 80, de manera que la comisión del senado de los EE. UU. (Treadway Comission) gestionó la formación de COSO. ]]>
El Comité realizó una investigación sobre el conocimiento, la aplicación y mejora de los criterios de control interno en las grandes corporaciones y las pequeñas y medianas empresas, incluyendo temas relacionados con el mejoramiento técnico y el alcance de las funciones de diseño, implantación y evaluación de los controles internos integrados de las organizaciones. COSO quedó conformado por organismos de profesionales estadounidenses que iniciaron la investigación en 1986. Posteriormente, en septiembre de 1992, se publicó la versión en inglés, denominada Informe COSO.

Concebir el control interno como un proceso fue una concepción que se alejó del enfoque tradicional y se llevó a cabo a través de la implementación de cinco componentes, entre los que se incluyó la "evaluación de riesgos". A partir de esta nueva configuración, las actividades de control interno constituyen procesos efectivos incorporados a la infraestructura de una entidad y forman parte de su esencia. Esto las convierte en miembros de un sistema integrado de materiales, equipos, procedimientos y personas que proporcionan una seguridad razonable en el logro de los objetivos.

Díaz (2015) plantea que, a partir de la divulgación del Informe COSO, se han creado diversos modelos de control, así como numerosos lineamientos para un mejor gobierno corporativo. Entre los más conocidos se hallan el canadiense COCO (Criteria of Control) y el inglés CADBURY. Asimismo, Montes et al. (2014) se refieren al australiano CRITERIA y al colombiano MECI. Por su parte, en el contexto cubano, las Normas del Sistema de Control Interno se formalizan a través de la Resolución 60 del 2011 [Contraloría General de la República de Cuba (CGRC), 2011].

Cabe mencionar que los avances tecnológicos han representado un elemento crítico para el éxito y la supervivencia de las organizaciones. En tal sentido, el impacto en los recursos de tecnología informática es destacado en el marco referencial de control interno COBIT. Este modelo ayuda a salvar las brechas existentes entre riesgos de negocio, necesidades de control y aspectos técnicos [Information Systems Audit and Control (ISACA), 1998]. Al respecto, Blanco (2011) afirma que, en la actual etapa de desarrollo humano, caracterizada por la revolución informática y las comunicaciones, los sistemas de control interno se tienen que adaptar a las tecnologías imperantes.

Otro aspecto significativo es el hecho de que, a pesar de los modelos de control interno promulgados, en julio del 2002 el Congreso de Estados Unidos emitió la Ley Sarbanes-Oxley (SOX), debido a los casos de fraude contable y corporativo en empresas de clase mundial ubicadas, principalmente, en ese país y en Europa. Sin embargo, el daño más grave fue la pérdida de confianza de los inversionistas. A raíz de estos sucesos, se realizó una profunda reforma legislativa dirigida por el Congreso de ese país y la Comisión de Valores (SEC por sus siglas en inglés), destinada a restablecer la confianza en los informes financieros corporativos (Joya et al., 2012). ]]>
Lo anterior permitió evidenciar que la práctica de la gestión de riesgos realizada en la mayoría de las empresas públicas y privadas que implementaron COSO no se basaba en una visión integral.

Consecuentemente, Treadway Comission realizó una propuesta metodológica para la gestión integral de los riesgos y los controles en las organizaciones, conocida como ERM o COSO II (Carmona, 2004).
"ERM-Marco Integrado" define la gestión de riesgos como:

Un proceso llevado a cabo por el consejo de administración, la dirección y demás personal de una organización, que se aplica en la fijación de la estrategia y a los distintos niveles de la organización, que está diseñado para identificar eventos que puedan afectar a la organización, para gestionar los riesgos, y proporcionar una seguridad razonable de que se conseguirán los objetivos de la organización. (COSO, 2004, p. 6)

Posteriormente, el reconocimiento de que los negocios son cada vez más globales, complicados y tecnológicos, con lo cual se impone una mayor transparencia respecto a los sistemas de control interno, entre otros elementos, motivaron que COSO presentara, en mayo del 2013, la versión actualizada de "Control Interno-Marco Integrado".
]]> COSO considera que este nuevo marco permitirá a las organizaciones desarrollar y mantener, eficiente y efectivamente, sistemas de control interno que puedan aumentar la probabilidad de cumplimiento de los objetivos. En este modelo, se conserva la definición básica de control interno y de sus cinco componentes. No obstante, se incluyen mejoras y aclaraciones destinadas a facilitar su aplicación.

Una de las más significativas es la presentación de los conceptos básicos como principios que se asocian a los cinco componentes, para facilitar su diseño e implementación. Asimismo, como se había mencionado anteriormente, este marco y el ERM son complementarios entre sí.

Tal como se expresó previamente, el Consejo de COSO, en un intento de mejorar el enfoque de gestión de riesgos, llevó a cabo la actualización del ERM-Marco Integrado publicado en el 2004, como una manera de crear, preservar, mantener y generar valor en la organización. El nuevo "Marco Gestión del Riesgo Empresarial-Integrando Estrategia y Desempeño" no solo conlleva una actualización del nombre, sino que profundiza en el nivel actual de gestión de riesgos que existe en el curso ordinario de las actividades de negocio. Demuestra cómo la integración de las prácticas de gestión del riesgo empresarial en toda la entidad contribuye a acelerar el crecimiento y a mejorar el desempeño. Además, contiene principios que pueden aplicarse en la práctica, desde la toma de decisiones estratégicas hasta la consecución de resultados (COSO, 2017).

Se considera que el control interno y la gestión de riesgos, como componentes, han evolucionado a través de los años hasta promover el aseguramiento razonable del cumplimiento de los objetivos organizacionales. En esta época de cambios constantes causados por la globalización, la tecnología, entre otros factores, la nueva propuesta para la gestión de riesgos es un paradigma a seguir en cualquier contexto.

2. La gestión de riesgos y su evolución desde el control interno en Ecuador
]]> En Ecuador, el control interno también ha evolucionado, de manera que ha transitado por distintos planteamientos conceptuales y legales, de acuerdo a las normativas emitidas por la CGE.

La Ley Orgánica de Hacienda fue reemplazada, en 1977, por la Ley Orgánica de Administración Financiera y Control. Esta regulación quedó concebida bajo el enfoque sistemático de los componentes de la administración financiera. En ella, se señalan los parámetros fundamentales sobre los que la CGE debía formular las Normas Técnicas de Control Interno, como parte de las normas secundarias de los sistemas de contabilidad y de control. En consecuencia, se dictaron las primeras, que fueron posteriormente actualizadas en 1994.

A partir de los años 90, eventos ocurridos en el escenario internacional, relacionados con el control interno y con la emisión del informe COSO, también marcaron una etapa importante el desarrollo del control interno en el contexto ecuatoriano. Así, con el propósito de asegurar la correcta y eficiente administración de los recursos y bienes de las entidades y organismos del sector público, la CGE emitió nuevas Normas Técnicas de Control Interno en el 2002.

Esas políticas, atemperadas a los pronunciamientos del informe COSO, constituyeron lineamientos orientados al cumplimiento de los objetivos (CGE, 2002), de modo que la evaluación de los riesgos de control se considera, por primera vez, como uno de los componentes del control interno en Ecuador. Su evaluación implica la identificación, el análisis y manejo de los riesgos relacionados con los procesos gerenciales y la existencia de la entidad, así como con la elaboración de estados financieros que pueden incidir en el logro de los objetivos del control interno. Estos riesgos incluyen eventos o circunstancias que pueden afectar el registro, procesamiento y reporte de información financiera, así como las representaciones de la gerencia en los estados financieros. En tal sentido, los elementos que forman parte de la evaluación del riesgo son: los objetivos que deben ser establecidos y comunicados, la identificación de riesgos internos y externos, la gestión del cambio y la evaluación de los objetivos y los riesgos (CGE, 2002). Es notable que, aunque se asume la nueva filosofía de control interno, aún se manifiesta con mayor énfasis hacia los riegos relacionados con la información financiera.

A continuación, la CGE consideró necesaria la actualización de las normas de control interno, frente a los cambios en la legislación ecuatoriana que se produjeron a partir de la emisión de la nueva Constitución de la República del Ecuador, las reformas a la Ley Orgánica de la CGE y otras disposiciones legales, las normativas para diferentes sectores y los avances y mejores prácticas en la administración pública moderna emitidos por las organizaciones internacionales encargadas de su investigación y divulgación.
]]> A partir de esta normativa, se considera la "evaluación del riesgo" como uno de los componentes del control interno y se puntualiza que "la máxima autoridad establecerá los mecanismos necesarios para identificar, analizar y tratar los riesgos a los que está expuesta la organización para el logro de sus objetivos" (CGE, 2009, p. 8). Este proceso implica una metodología, estrategias, técnicas y procedimientos, a través de los cuales las unidades administrativas identificarán, analizarán y tratarán los potenciales eventos que pudieran afectar la ejecución de sus procesos y el logro de sus objetivos. Además, se incluyen las normas: Identificación de riesgos, Plan de mitigación de riesgos, Valoración de los riesgos y Respuesta al riesgo (CGE, 2009). Cabe señalar que, a pesar de que fueron reformadas en los años 2010, 2014 y 2016, para aspectos puntuales continúan vigentes las antes emitidas.

Se considera que, en Ecuador, el control interno y la gestión de riesgos han evolucionado según los momentos históricos y las imposiciones sociales. En la actualidad, constituye un imperativo legal para cada institución del Estado, incluyendo las de educación superior (IES), crear las condiciones para el diseño e implantación de los sistemas de control interno, así como ejercer el debido autocontrol para garantizar su eficacia.

Sin dudas, la gestión de riesgos es una piedra angular que tributa al cumplimiento de los objetivos en las organizaciones.

CONCLUSIONES

Internacionalmente, la gestión de riesgos, como componente de los sistemas de control interno, ha tenido un desarrollo irrefutable y ha sido liderada por COSO. Así, en los informes emitidos por la organización, se han definido las bases conceptuales y metodológicas para su desarrollo, con un enfoque moderno y actual. ]]>
En Ecuador, el control interno y la gestión de riesgos han evolucionado y, en ese sentido, los fundamentos teóricos tratados en el estudio reafirman su papel en el cumplimiento de los objetivos organizacionales y el hecho de que constituyen medios que propician la sostenibilidad en cualquier organización.

REFERENCIAS BIBLIOGRÁFICAS

ASAMBLEA NACIONAL CONSTITUYENTE (2002): "Ley Orgánica de la Contraloría General del Estado, reformas y reglamentos", Registro oficial 595, junio de 2002, Quito.

ASAMBLEA NACIONAL CONSTITUYENTE (2008): Constitución de la República del Ecuador, Decreto s/n, Registro oficial 449, octubre de 2008, Quito.
]]>
BLANCO, L. (2011): La informática en la dirección de empresas, Félix Varela, La Habana.

BUZO, J. (2014): "2014, año de transición al nuevo COSO 2013", <http://www.pwc.com/estrcture.elaborado> [29/11/2016].

CARMONA, M. (2004): "Nuevo paradigma del control interno y su impacto en la gestión pública", material inédito, Universidad de Pinar del Río, Cuba.

COLLINS, L. y G. VALIN (1979): Audit et controle interne, Principes, objetifs e pratiques, Dalloz, París.

COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO) (2004): "Gestión de riesgos corporativos-Marco Integrado (ERM-Marco). Técnicas de aplicación", Instituto de Auditores Internos de España, Madrid.
]]>
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO), (2013): "Control Interno - Marco Integrado", Instituto de Auditores Internos de España, Madrid.

COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO), (2017): "Gestión del Riesgo Empresarial-Integrando Estrategia y Desempeño", Instituto de Auditores Internos de España, Madrid.

CONTRALORÍA GENERAL DE LA REPÚBLICA DE CUBA (CGRC) (2011): "Resolución n.° 60. Normas del Sistema de Control Interno", Gaceta Oficial de la República de Cuba (extraordinaria), n.° 13, La Habana.

CONTRALORÍA GENERAL DEL ESTADO (CGE) (2002): "Normas de Control Interno", Quito.

CONTRALORÍA GENERAL DEL ESTADO (CGE) (2009): "Normas de Control Interno", Quito.

CONTRALORÍA GENERAL DEL ESTADO (CGE) (2010): "Normas de Control Interno de la Contraloría General del Estado", Quito.

CONTRALORÍA GENERAL DEL ESTADO (CGE) (2014): "Normas de Control Interno", Quito.

CONTRALORÍA GENERAL DEL ESTADO (CGE) (2016): "Normas de Control Interno", Quito.

COOK, J. W. y G. M. WINKLE (2006): Auditoría, tomos I y II, Félix Varela, La Habana.

DÍAZ, J. (2015): "El sistema de control interno con un enfoque de procesos", en L. A. Contreras Durán (coord.), Referencias de Contabilidad y Auditoría. Enfoques México-Cuba, Universidad Veracruzana-Universidad de La Habana, pp. 239-250.
]]>
HERNÁNDEZ, R., (2015): "Los riesgos de las entidades aseguradoras en el marco del Enterprise Risk Management (ERM) y el control interno", <http://www.redalyc.org/articulo.oa?id=81842948006> [20/10/2016].

INFORMATION SYSTEMS AUDIT AND CONTROL (ISACA) (1998): "COBIT". <http://www.isaca.org> [8/11/ 2016].

JOYA, R. et al. (2012): "Control interno y normatividad", <https://www.retos.reduc.edu.cu/index.php/retos/article/view/73> [8/11/2016].

MANTILLA, S. A. (2013): Auditoría del control interno, Ecoe Ediciones, Bogotá .

MILANS DEL BOSCH, A. (2012): "La gestión del riesgo en la empresa familiar de Cantabria", <http://spainbeta.marsh.com/Portals/52/Documents/Estudio%20Marsh%20Gesti%C3%B3n%20del%20Riesgo%20Empresa%20Familiar%20Cantabria%20Marsh.pdf> [8/11/2016].

MONTES, C. et al., (2014): Control y evaluación de la gestión organizacional, Alfaomega Colombiana S.A., Bogotá .

MONTGOMERY, R. (1949): Auditing, Ronald Press Co., Nueva York.

ORGANIZACIÓN INTERNACIONAL DE NORMALIZACIÓN (ISO) (2009): "31000. Sistemas de gestión de la calidad-requisitos", Ginebra.

PÉREZ, K. y D. GARCÍA (2012): "Metodología para la administración del riesgo empresarial", <http://www.eumed.net/cursecon/ecolat/cu/2012/> [28/7/2017].

RODRÍGUEZ, E. et al. (2011): "Guía para la administración del riesgo", <http://www.funcionpublica.gov.co/documents/418537/506911/1592.pdf/73e5a159-2d8f-41aa-8182-eb99e8c4f3ba> [28/7/2017].

VERA, R. (2008): "Metodología para el tratamiento de los riesgos empresariales", <http://revistas.unjbg.edu.pe/index.php/CYD/article/view/304> [18/7/2017].

Recibido: 4/12/2017

Aceptado: 20/1/2018 ]]>

Rosa Maricela Cedeño Zambrano, Universidad Técnica de Manabí, Ecuador, Correo electrónico: rmcedeno@utm.edu.ec
Luisa María Morell González, Universidad Agraria de La Habana, Cuba, Correo electrónico: luisa_maria@unah.edu.cu