ISO VS COSO Antecedentes La serie de normativas ISO, es el resultado de acciones y necesidad que surgieron a partir de la II Guerra Mundial, ante

la ausencia de controles de procesos y productos en el Reino Unido, esto deton la implantacin y adopcin de normativas, la normalizacin se inicio con procedimientos en los procesos de fabricacin, elaboracin y realizacin. Una vez ya establecidos estos procedimientos agentes de gobierno verifican la efectividad de los mismos. Esta forma de inspeccionar despus de la II Guerra Mundial era incipiente, ya en la dcada de los 50 se da un nuevo giro de Inspeccionar, es as que los Estados Unidos desarrolla un esquema de requerimientos denominado Quality Program Requirements esta fue usada por el sistema militar la cual establece los requerimientos que deben cumplir los proveedores. Para la dcada de los 60, la Administracin Nacional Aeronutica (NASA), promueve un cambio de inspeccin a sistemas y procesos para asegurar la calidad. La primera edicin de las Normas ISO 9000 se bas en las normas de inglesas de la British Standards, denominada BS5702 Gestin de Calidad publicadas en 1979. En el ao 1987 la norma ISO 9001 era la norma que especificaba los requisitos para la implementacin de un sistema de aseguramiento de calidad (dentro de las normas ISO 9000). A diferencia de lo que hay ahora haba tres modelos de sistemas y las organizaciones segn deban seleccionar el modelo que aplicaba a sus operaciones. Los tres modelos que en el ao de 1987 aparecieron para la estandarizacin de sistemas de aseguramiento de calidad fueron especificados como:

ISO 9001, modelo para el aseguramiento de la calidad en diseo, desarrollo, produccin, instalacin y servicio. ISO 9002, modelo para el aseguramiento de la calidad en produccin, instalacin y servicio. ISO 9003, modelo para el aseguramiento de la calidad en inspecciones y pruebas1.

http://iso9001calidadparatodos.com

ISO VS COSO Antes de ver la diferencias entre COSO vs ISO, vamos a analizar por separado cada uno de ellos, primeramente analizaremos las Normas ISO, su concepto, componentes, clasificacin y principios. ISO 9000 es un conjunto de normas sobre calidad y gestin de calidad, establecidas por la Organizacin Internacional de Normalizacin (ISO). Se pueden aplicar en cualquier tipo de organizacin o actividad orientada a la produccin de bienes o servicios. Las normas recogen tanto el contenido mnimo como las guas y herramientas especficas de implantacin como los mtodos de auditora. El ISO 9000 especifica la manera en que una organizacin opera sus estndares de calidad, tiempos de entrega y niveles de servicio. Existen ms de 20 elementos en los estndares de esta ISO que se relacionan con la manera en que los sistemas operan 2. Los elementos o componentes son los siguientes:

1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15.

Responsabilidad de la direccin Sistema de calidad Revisin de contrato Control de diseo Control de documentos y datos Compras Control de los productos suministrados por el cliente Identificacin y trazabilidad del producto Control del proceso Inspeccin y ensayo Control de los equipos de inspeccin, medicin y ensayo Estado de inspeccin y ensayo Control de los productos no conformes Acciones correctivas y preventivas Manipulacin, Almacenamiento, Embalaje, Conservacin y Entrega 16. Control de los registros de calidad 17. Auditoras Internas De La Calidad 18. Formacin 19. Servicio Postventa 19. Tcnicas Estadsticas

www.wikipedia.org

En ISO tenemos dentro de las mismas tres tipos de Iso como detallamos a continuacin.

ISO 9001: Sistemas de la Calidad. Modelo para el aseguramiento de la calidad en el diseo, el desarrollo, la produccin, la instalacin y el servicio postventa. ISO 9002: Sistemas de la Calidad. Modelo para el aseguramiento de la Calidad en la produccin, la instalacin y el servicio postventa. ISO 9003: Sistemas de la Calidad. Modelo para el aseguramiento de la Calidad en la inspeccin y los ensayos finales3. ISO 9004: Sistemas de gestin de calidad - Instrucciones para mejorar el rendimiento. Esta norma, que no est diseada con fines contractuales sino para uso interno, se centra particularmente en la mejora constante del rendimiento. ISO 10011: Instrucciones para auditar gestiones de calidad y/o sistemas de gestin del entorno4.

La propia evolucin del mercado condiciona la necesidad de optar por sistemas de calidad en la empresa, ya que con estas normas se podrn detectar errores y mejorar procesos, mejorar la comunicacin con clientes y reforzar la confianza que estos tengan en la empresa. En este sentido, las exigencias del cliente son mayores a cada paso y la propia demanda es menor que la oferta. Estas normas nos ayudan a tener beneficios tecnolgicos, econmicos y sociales, ayudan a armonizar las especificaciones tcnicas de los productos y servicios que hacen la industria ms eficiente y eliminar las barreras al comercio internacional. Las Normas Internacionales ayudan a tranquilizar a los consumidores que los productos son seguros, eficaces y buenos para el medio ambiente. Las normas internacionales son herramientas y directrices estratgicas para ayudar a las empresas hacer frente a algunos de los retos ms exigentes de las empresas modernas. Se aseguran de que las operaciones comerciales sean lo ms eficientes posible, aumentar la productividad y ayudan a las empresas acceder a nuevos mercados5.

3 4 5

emprenda.org es.kioskea.net www.iso.org

Dentro de los beneficios del negocio al incrementar ISO es, tener acceso a nuevos mercados, satisfaccin del cliente, as como varios beneficios ambientales. La importancia de ISO 9000 es la importancia de la calidad. Muchas compaas ofrecen productos y servicios, pero solo son aquellas compaas que ofrecen los mejores productos y servicios las que tienen xito. Con ISO 9000, una organizacin puede identificar la raz del problema, y en consecuencia encontrar la solucin. Mejorando la eficacia se puede maximizar la ganancia6.

Los principios fundamentales en la elaboracin de normas 7. 1. Normas ISO responden a una necesidad en el mercado. ISO no decide cundo debe desarrollar un nuevo estndar. En cambio, ISO responde a una solicitud de la industria o de otras partes interesadas, como las asociaciones de consumidores. Tpicamente, un sector de la industria o grupo comunica la necesidad de un estndar a su miembro nacional que se pone en contacto ISO. Informacin de contacto para los miembros nacionales se encuentran en la lista de miembros. 2. Las normas ISO se basan en la opinin mundial de expertos. Las normas ISO son desarrolladas por grupos de expertos de todo el mundo, que forman parte de grupos ms grandes llamados comits tcnicos. Estos expertos negociar todos los aspectos de la norma, incluyendo su mbito de aplicacin, definiciones y contenidos clave. Los detalles se pueden encontrar en la lista de los comits tcnicos. 3. Las normas ISO son desarrolladas a travs de un proceso de mltiples partes interesadas. Los comits tcnicos estn formados por expertos de la industria en cuestin, sino tambin de las asociaciones de consumidores, instituciones acadmicas, organizaciones no gubernamentales y gubernamentales. Lea ms acerca de quin desarrolla las normas ISO. 4. Las normas ISO estn basados en un consenso. El desarrollo de las normas ISO es un enfoque basado en el consenso y los comentarios de los interesados se tienen en cuenta.

6 7

www.pjr.com Los principios estn tomados de www.iso.org

COSO El Sistema de Integrado de Control Interno, proporciona un estndar mediante el cual las organizaciones pueden evaluar y mejorar su sistema de control, este es efectuado por el consejo de accionistas, la gerencia, o personal designado para proporcionar una seguridad razonable con respecto al logro de objetivos.

OBJETIVO El objetivo principal del modelo COSO ERM es crear un sistema de control estratgico que permita gestionar el riesgo empresarial. La filosofa que soporta la utilidad del modelo para una organizacin se basa en la idea de que una organizacin tiene un " riesgo implcito" al estar alineado o no con su estrategia. Las sorpresas en las operaciones se pueden reducir al identificar a priori aquellos eventos potenciales que pueden plantear una amenaza para la organizacin y por tanto establecer a tiempo las respuestas ms convenientes. Estas respuestas incluyen todas las fases de la toma de decisin racional. Finalmente el modelo COSO ERM incorpora una visin del portfolio de riesgos, en los que los riesgos no son vistos aisladamente sino que son identificados y llevados a la estructura organizativa8.

COMPONENTES El control consta de cinco componentes interrelacionados que se derivan de la forma cmo la administracin maneja el negocio, y estn integrados a los procesos administrativos. Los componentes son: Ambiente de control Evaluacin de riesgos

Actividades de control Informacin y comunicacin Supervisin y seguimiento del sistema de control.

Efectos de la ley Sarbanes Oxley, del COSO IC al COSO ERM. Scott Eriksen, Ignacio Urrutia.

El control interno, no consiste en un proceso secuencial, en donde algunos de los componentes afectan slo al siguiente, sino en un proceso multidireccional repetitivo y permanente, en el cual ms de un componente influye en los otros. Los cinco componentes forman un sistema integrado que reacciona dinmicamente a las condiciones cambiantes9.

COSO VS ISO

La forma en que las organizaciones gestionan alcanzar eficientemente los objetivos estratgicos establecidos, cumpliendo as las expectativas de las partes interesadas que en ellas participan, es un proceso de mejora continua sometido a cambios permanentes en el modo de desarrollarlo. Actualmente el COSO, es una tcnica consolidada que se realiza a travs de la gestin de riesgos, sin embargo lo que en el COSO haca falta es determinar cmo hacerlo, por este motivo la Organizacin Internacional de Normalizacin (ISO) ha emitido las Normas ISO 31. 000 y la 31.010, para complementar su adecuada implementacin y empleo. Las organizaciones han de desarrollar, implementar y mejorar de manera continuada un marco de trabajo cuyo objetivo sea integrar el proceso de gestin de riesgo en los procesos de gobierno, de estrategia, de gestin y de elaboracin de informes, as como en las polticas, los valores y en la cultura de toda la organizacin. Aqu la idea bsica que subyace en la ISO 31.000 respecto de que la gestin de riesgos no es algo asilado e inconexo con el resto de los procesos de la organizacin, sino que, por el contrario, est totalmente relacionado con ellos al ser una parte de los mismos Aunque las organizaciones ya hayan adoptado un proceso formal de gestin de riesgos para riesgos particulares o de circunstancias, deberan hacer una revisin crtica de sus prcticas y procesos existentes a la vista de lo expresado por la ISO 31.000. El proceso de gestin de riesgos debe estar sometido a una revisin permanente que permita su mejora continua 10.

COSO nos ense en lo que consista la Gestin de Riesgos Corporativos, definindolo como: Un proceso efectuado por el directorio, la administracin y las personas de la organizacin, aplicado desde la definicin estratgica hasta las actividades del da a da, diseado para identificar eventos potenciales que
9 10

www.gerencie.com www.auditool.org

pueden afectar a la organizacin y administrar los riesgos dentro de su apetito, a objeto de proveer una seguridad razonable respecto del logro de los objetivos de la organizacin; la Norma ISO 31.000 incide fundamentalmente en los principios y las directrices necesarias para una implementacin eficiente de dicho proceso, es decir, en el cmo hacerlo bien desde el principio a travs de su adecuada planificacin, en tanto que la Norma 31.010 se enfoca al desarrollo de esta planificacin, seleccionando y programando la forma prctica de hacerlo11. ISO 31.000 y 31.010 no anulan ninguno de los apartados de COSO ERM, nicamente los perfeccionan y aportan directrices de gran utilidad para los responsables empresariales que pretendan implantar una gestin de riesgos en sus organizaciones e, incluso, si ya disponen de ello, de ofrecer la posibilidad de comparar los mtodos que estn aplicando con las mejores prcticas que se recogen en ambas Normas. Segn COSO son eventos potenciales aquellos hechos que, de ocurrir, afectaran a la entidad, determinado si representan oportunidades o si pueden afectar negativamente a la capacidad de la empresa para implantar la estrategia y lograr los objetivos con xito. Los eventos con impacto positivo seran oportunidades, mientras que los que tengan un impacto negativo se considerarn riesgos. Mientras que para ISO, el riesgo se define como: Efecto de la incertidumbre sobre la consecucin de los objetivos, aclarando en la Nota 1, que un efecto es una desviacin, positiva y/o negativa, respecto de lo previsto. Por lo que la definicin debera quedar de la siguiente forma: Riesgo: Desviacin positiva y/o negativa en la consecucin de los objetivos, consecuencia de la incertidumbre12. Las Normas ISO aludidas en estas lneas no contradicen, invalidan o cuestionan lo establecido por COSO ERM, pues lo que hacen es complementar sus planteamientos, aportando un enfoque con el que posibilitar una implantacin menos dificultosa del proceso de gestin de riesgos, guiando los pasos para hacerlo de una forma sistemtica y debidamente planificada, as como tambin apoyar a la funcin de auditora interna en su doble responsabilidad, aportando una referencia que permita objetivar sus conclusiones.

11 12

www.auditool.org Jess Aisa Dez www.auditool.org

Segn el Dr. Erickson Javier Gonzlez considera que el COSO ERM es muy complejo y de difcil implementacin, mientras que la norma ISO 31000 es ms gil y permite regularizar a las entidades de forma rpida. El sistema COSO ERM es una metodologa compleja cuya implementacin aun no est clara en la mayora de empresas, muchos expertos consideran que los riesgos son tratados de una manera muy general e informal, la norma ISO 31000 es una norma ms gil al permitir regular cualquier tiempo de riesgo cualquiera sea su naturaleza causa u origen. Las estadsticas tambin muestran que el sistema COSO ERM es el ms difundido, conocido y generalizado lo que permite una estandarizacin ms amplia al compararse con otros pases, esto facilita que una compaa pueda tener comparables ms fcilmente, por el contrario la norma ISO 31000 no posee tanta extensin lo que la asla en la comparacin con otras entidades, a menudo las empresas que poseen dicha metodologa poseen dificultades al demostrar su manejo y control de riesgo ante miembros de otro grupo, la norma ISO es relativamente joven aun y la metodologa COSO carece de fuerza estructural esas son nuestras principales conclusiones, quedara a uso de las compaas, la astucia para sacarle el mayor provecho a ambas13.

13

COSO ERM versus ISO 31000, Erickson Javier Gonzlez, Divisin de Auditora, Boletin 3, 2013.

CONCLUSIONES ISO 9000 es una norma creada para lograr la calidad, productos consistentes de una manera ms fcil mediante la provisin de pasos especficos para el desarrollo de un sistema de gestin de la calidad de una organizacin. El propsito de este sistema de gestin de la calidad es el de supervisar el progreso de un producto o servicio mientras pasa por cada etapa de la produccin, desde el desarrollo, la prueba, el ensamble y la retroalimentacin del cliente. De cierta manera ninguna compaa debiera estar satisfecha con las condiciones de un proceso, siempre debieran estar buscando maneras de hacer que los procesos sean ms eficientes y efectivos. ISO 9000 fue escrita con el deseo insaciable en mente de la excelencia en los negocios a nivel mundial. Es por esto que la mejora continua es un requisito de la norma que inspira al progreso y a la bsqueda de la perfeccin.