Vous êtes sur la page 1sur 22

ADMINISTRACIN DEL RIESGO EMPRESARIAL (ENTERPRISE RISK MANAGEMENT - ERM) DEFINICIN DE ERM ERM es un conjunto de acciones (proceso) llevadas

a cabo por el directorio, la gerencia y el resto del personal de una entidad, aplicado en la definicin de la estrategia y que abarca a toda la empresa, destinado a identificar acontecimientos eventuales que puedan afectar a la entidad y a procurar que los riesgos estn dentro del nivel de riesgo aceptado para proveer una seguridad razonable con respecto al logro de los objetivos de la entidad. Esta definicin refleja ciertos conceptos fundamentales. ERM es un proceso, un conjunto de acciones, es un medio para lograr un fin y no un fin en s mismo ERM es realizada por la gente. No son meramente polticas, encuestas y formularios sino que es un proceso que involucra a la gente en todos los niveles de una organizacin ERM es aplicada en la definicin de la estrategia ERM es aplicada a lo largo y ancho de la empresa, en todos los niveles y en todas las unidades e incluye tomar una visin conjunta de los riesgos ERM est destinada a identificar acontecimientos que afecten eventualmente a la entidad y a administrar el riesgo dentro del nivel de riesgo aceptado ERM provee seguridad razonable a la gerencia y al directorio de una entidad ERM est orientada al logro de objetivos en una o ms categoras separadas pero superpuestas de objetivos Esta definicin es intencionalmente amplia por varias razones. Abarca conceptos fundamentales con respecto a cmo las compaas y otras organizaciones administran el riesgo, proveyendo una base para su aplicacin a diferentes tipos de organizaciones, ramos de actividad y sectores. Se centra directamente en el logro de los objetivos de la entidad. Y la definicin provee una base para definir la eficacia de la ERM. Un proceso ERM no es un acontecimiento o circunstancia sino una serie de acciones que penetran las actividades de una entidad. Estas acciones son invasivas e inherentes a la forma como se administran los negocios.

ERM difiere de la perspectiva de algunos observadores que la ven como algo agregado a las actividades de la entidad, o como una carga necesaria. Esto no quiere decir que para ser eficaz, ERM no requiera un esfuerzo adicional. Por ejemplo, la apreciacin de riesgos puede requerir esfuerzos adicionales para desarrollar los modelos requeridos y hacer los anlisis y clculos necesarios. Sin embargo, estos y otros mecanismos de ERM estn entrelazados con las actividades operativas de la entidad y existen por razones empresariales fundamentales. ERM adquiere la mayor eficacia cuando estos mecanismos son construidos dentro de la infraestructura de la entidad y forman parte de la esencia de la empresa. De esta forma, una entidad puede directamente influir en su capacidad para implantar su estrategia y lograr su visin o misin. La ERM creada in situ (building in ERM) presenta tambin importantes implicancias en la contencin de costos, especialmente en los mercados altamente competitivos en los que muchas empresas operan. El agregar nuevos procedimientos a los ya existentes aumenta los costos. Centrndose en las operaciones existentes y su contribucin a una eficaz ERM e integrando la administracin de riesgos en las actividades operativas bsicas, una empresa puede evitar procedimientos y costos innecesarios. Adems, la prctica de construir ERM en el tejido de operaciones ayuda a identificar nuevas oportunidades a ser aprovechadas para el crecimiento de los negocios. Realizado por la gente La ERM es realizada por el directorio, la gerencia y el resto del personal. Es efectuada por la gente de la organizacin, por lo que ellos hacen y dicen. La gente establece la misin/visin de la entidad, la estrategia y los objetivos de la entidad y pone en funcionamiento los mecanismos de la ERM. De la misma forma, ERM influye en las acciones de la gente. ERM reconoce que la gente no siempre comprende, se comunica o acta de manera semejante. Cada individuo contribuye con sus propios conocimientos y habilidades y tiene diferentes necesidades y prioridades. Estas realidades afectan y son afectadas por ERM. Cada persona tiene un punto de referencia nico que influye en cmo se identifica, aprecia y responde al riesgo. ERM provee los mecanismos necesarios para ayudar a la gente a comprender el riesgo en el contexto de los objetivos de la entidad. La gente debe conocer sus responsabilidades y lmites de autoridad. Consecuentemente, es necesario que exista una clara y estrecha conexin entre las obligaciones de la gente y la forma como son cumplidas as como con la estrategia y los objetivos de la entidad. Al referirnos a la gente de una organizacin nos referimos al directorio, la gerencia y el resto del personal. Aunque los directores proveen principalmente supervisin, tambin proveen orientacin y aprueban la estrategia y ciertas transacciones y polticas. Como tales, los directorios son un elemento importante de ERM.

Aplicado en la eleccin de la estrategia Una entidad establece su misin o visin y los objetivos estratgicos, que son las metas de alto nivel alineadas con y que respaldan su visin o misin. Una entidad establece una estrategia para lograr sus objetivos estratgicos. Tambin fija los objetivos relacionados que desea lograr, fluyendo desde la estrategia en direccin a las unidades de negocios, las divisiones y los procesos. Al fijar la estrategia, la gerencia considera los riesgos relacionados con las estrategias alternativas. Que abarca toda la empresa Para aplicar exitosamente ERM, una entidad debe considerar la totalidad del conjunto de sus actividades. ERM considera las actividades en todos los niveles de la organizacin, desde actividades a nivel de empresa tales como la planeacin estratgica y la asignacin de recursos, a actividades de las unidades de negocios tales como mercadeo y recursos humanos, a procesos de negocios tales como produccin y revisin del crdito a nuevos clientes. ERM tambin puede ser aplicada a proyectos especiales y nuevas iniciativas que podran no tener todava un lugar asignado en la jerarqua o en el diseo organizacional de la entidad. ERM requiere que una entidad adopte una visin conjunta del riesgo (portfolio view of risk). Esto podra significar que cada gerente responsable por una unidad operativa, una funcin, un proceso u otra actividad realizara una apreciacin del riesgo para la unidad. La apreciacin puede ser cuantitativa o cualitativa. Con una visin compuesta a cada nivel de la organizacin , la direccin superior est en condiciones de determinar si el perfil de riesgo global de la entidad est en consonancia con el nivel de riesgo aceptado. La gerencia considera riesgos interrelacionados desde una perspectiva conjunta a nivel de la entidad. Es necesario identificar los riesgos interrelacionados y actuar sobre ellos a efectos de considerar el riesgo en su totalidad dentro del nivel de riesgo aceptado. El riesgo correspondiente a las unidades operativas de la entidad puede estar dentro de las tolerancias de riesgo de la unidad pero tomado en su conjunto puede exceder el nivel de riesgo aceptado para la entidad en su conjunto. El nivel global de riesgo aceptado se refleja en una entidad a travs de las tolerancias al riesgo establecidas para objetivos especficos. Nivel de riesgo aceptado Es la cantidad de riesgo que una entidad est dispuesta a aceptar en la bsqueda de valor. Las entidades a menudo consideran el nivel de riesgo aceptado en forma cualitativa, con categoras tales como alta, moderada o baja o pueden aplicar un enfoque cuantitativo reflejando y buscando un equilibrio entre las metas de crecimiento, rendimiento y riesgo. El nivel de riesgo aceptado est directamente relacionado con la estrategia de una entidad. Es considerado al momento de establecer la estrategia, donde el rendimiento deseado de

una estrategia debe estar alineado con el nivel de riesgo aceptado por la entidad. Diferentes estrategias expondrn a la entidad a diferentes riesgos. El aplicar ERM a la definicin de la estrategia ayuda a la gerencia a elegir una estrategia compatible con el nivel de riesgo aceptado de la entidad. El nivel de riesgo aceptado por una entidad orienta la asignacin de recursos. La gerencia asigna recursos entre las unidades de negocios tomando en cuenta el nivel de riesgo aceptado por la entidad y la estrategia de las unidades de negocios individuales para generar el rendimiento deseado de los recursos asignados. La gerencia considera su nivel de riesgo aceptado segn el mismo sea compatible con su organizacin, su gente y sus procesos y destina la infraestructura necesaria para responder y monitorear eficazmente los riesgos. El nivel aceptable de variacin con respecto al logro de objetivos determina las tolerancias al riesgo. Al definir tolerancias al riesgo especficas, la gerencia considera la importancia relativa de los objetivos relacionados y pone en lnea las tolerancias al riesgo con el nivel de riesgo aceptado. El operar dentro de las tolerancias al riesgo permite a la gerencia una mayor seguridad de que la entidad permanecer dentro de su nivel de riesgo aceptado y, a la vez, provee mayor grado de comodidad con respecto a que la entidad lograr sus objetivos. Provee razonable seguridad Una ERM bien diseada y ejecutada puede proveer a la gerencia y al directorio una seguridad razonable con respecto al logro de los objetivos de una entidad. Como producto de una ERM eficaz, en cada una de las categoras de objetivos de la entidad, el directorio y la gerencia lograrn seguridad razonable de que: Comprenden la medida en que los objetivos estratgicos de la entidad estn siendo logrados. Comprenden la medida en que los objetivos operativos de la entidad estn siendo logrados, La elaboracin de informacin por parte de la entidad es confiable, y Se est cumpliendo con las leyes y regulaciones aplicables.

El concepto de seguridad razonable refleja la nocin de que la incertidumbre y el riesgo se refieren al futuro, el cual nadie puede predecir con certeza. Existen adems limitaciones que surgen de que realmente: a) El juicio humano en la toma de decisiones puede fallar. b) Las decisiones sobre respuestas a los riesgos y establecimiento de controles deben tener en cuenta los costos y beneficios. c) Pueden ocurrir fracasos debido a fallas humanas tales como simples errores o equivocaciones.

d) Los controles pueden ser burlados a travs de colusin de dos o ms personas. e) La gerencia tiene la posibilidad de ignorar las decisiones de ERM. Estas limitaciones impiden al directorio y a la gerencia tener una absoluta seguridad de que los objetivos sern logrados. Logro de objetivos Se espera que una ERM eficaz provea seguridad razonable de lograr los objetivos relacionados con la confiabilidad de la elaboracin de informacin y con el cumplimiento de las leyes y las regulaciones. El logro de estas categoras de objetivos est bajo el control de la entidad y depende de cun bien se desarrollan las actividades relacionadas de la entidad. Sin embargo, el logro de los objetivos estratgicos y operativos no siempre est bajo el control de la entidad. Para estos objetivos, ERM puede solamente proveer seguridad razonable de que la gerencia y el directorio en su rol de supervisin, sern puestos en conocimiento, oportunamente, de la medida en que la entidad est avanzando hacia el logro de los objetivos. IMPORTANCIA DE ERM La premisa subyacente de ERM es que toda entidad, tenga o no fines de lucro o sea una entidad gubernamental, existe para proveer valor a sus grupos de inters (stakeholders). Toda entidad enfrenta la incertidumbre y el desafo para la gerencia es determinar cuanta incertidumbre la entidad est dispuesta a aceptar en su esfuerzo por aumentar el valor para sus grupos de inters. La incertidumbre presenta tanto riesgos como oportunidades, y puede generar tanto deterioro como crecimiento del valor. ERM provee un marco para que la gerencia pueda manejar eficazmente la incertidumbre y los riesgos y oportunidades asociados y as aumentar su capacidad de generar valor. Las empresas actan en mbitos donde factores tales como la globalizacin, la tecnologa, las normas, las reestructuras, los mercados cambiantes y la competencia crean incertidumbre. La incertidumbre proviene de la dificultad de determinar con precisin la probabilidad de ocurrencia de acontecimientos eventuales y sus consecuencias asociadas. BENEFICIOS DE ERM Ninguna entidad opera en un mbito libre de riesgos y ERM no crea tal mbito. Ms bien permite a los administradores operar ms eficazmente en un mbito pleno de riesgos. ERM aumenta la capacidad para: Alinear el nivel de riesgo aceptado (risk appetite) con la estrategia.- El nivel de riesgo aceptado es la cantidad de riesgo, en un sentido amplio, que una compaa u otra entidad est dispuesta a aceptar en procura de lograr sus metas. La gerencia considera el nivel de riesgo aceptado en primer trmino al evaluar las alternativas

estratgicas, luego al establecer los objetivos alineados con la estrategia elegida y al desarrollar mecanismos para administrar los riesgos relacionados. Unir crecimiento, riesgo y rendimiento.- Las entidades aceptan el riesgo como parte de la creacin y preservacin del valor y esperan un rendimiento acorde con el riesgo. ERM aumenta la capacidad para identificar y apreciar riesgos y para establecer niveles aceptables de riesgo compatibles con los objetivos de crecimiento y rendimiento. Mejorar las decisiones de respuesta al riesgo.- ERM provee rigurosidad para identificar y elegir entre las posibles alternativas de respuestas al riesgo, eludir, reducir, compartir y aceptar. ERM provee mtodos y tcnicas para tomar estas decisiones. Minimizar sorpresas y prdidas operativas.- En la medida que las entidades mejoran su capacidad para identificar acontecimientos eventuales, apreciar riesgos y establecer respuestas, reducen la ocurrencia de sorpresas y sus correspondientes costos o prdidas. Identificar y administrar riesgos a nivel de la entidad.- Cada entidad enfrenta una gran cantidad de riesgos que afectan las diferentes partes de la organizacin. La gerencia necesita no solamente manejar los riesgos individuales sino tambin comprender los impactos interrelacionados. Proveer respuestas integradas a riesgos mltiples.- Los procesos de negocios presentan muchos riesgos que les son inherentes. ERM provee soluciones integradas para la administracin de los riesgos. Aprovechar oportunidades.- La gerencia no slo considera exclusivamente los riesgos sino tambin los acontecimientos eventuales y al considerar un amplio espectro de acontecimientos, puede entender cmo ciertos acontecimientos representan oportunidades. Racionalizar el uso de recursos.- Cuanto ms robusta sea la informacin con respecto a los riesgos totales de la entidad, ms eficazmente podr la gerencia apreciar las necesidades generales de capital y mejorar su distribucin.

ERM no es un fin en s mismo sino ms bien un medio importante. No puede y por ello no opera en forma aislada en una entidad, siendo ms bien un facilitador del proceso de gestin. ERM est asociado al gobierno empresarial (corporate governance) en la medida que provee informacin a la direccin superior con respecto a los riesgos ms significativos y a la forma como los mismos estn siendo administrados. Tambin est asociada a la administracin del desempeo al proveer medidas ajustadas al riesgo y al control interno, el que es parte integrante de la ERM. ERM ayuda a una entidad a lograr sus objetivos de desempeo y rentabilidad y a prevenir la prdida de recursos. Tambin ayuda a asegurar la eficacia del proceso de elaboracin de

informacin. Finalmente, ayuda a asegurar que la entidad cumpla con leyes y regulaciones, evitando que su reputacin se vea perjudicada y otras consecuencias. En resumen, ERM ayuda a una entidad a alcanzar lo que busca y a evitar errores y sorpresas durante el camino. COMPONENTES DE LA ERM La ERM comprende ocho componentes interrelacionados. Estos derivan de la forma como la gerencia conduce los negocios y estn integrados con el proceso gerencial. Los componentes son: 1.-mbito interno El mbito interno de la entidad, al proveer disciplina y estructura, es el fundamento para todos los dems componentes de la ERM. El mbito interno influye en la forma como se establecen la estrategia y los objetivos, como se estructuran las actividades de negocios y como se identifican, aprecian y tratan los riesgos. Tambin influye en el diseo y funcionamiento de las actividades de control, los sistemas de informacin y comunicacin y en las actividades de monitoreo. El mbito interno comprende muchos elementos, incluyendo valores ticos de la entidad, competencia y desarrollo del personal, estilo operativo de la gerencia y en la forma como sta asigna responsabilidad y autoridad. El directorio es una parte crtica del mbito interno e influye significativamente en los otros elementos del mbito interno. Como parte del mbito interno, la gerencia establece una filosofa gerencial del riesgo, establece el nivel de riesgo aceptado, desarrolla una cultura de riesgo e integra ERM con iniciativas relacionadas. Una filosofa de ERM que es comprendida por todo el personal acrece la habilidad de los empleados de reconocer y administrar eficazmente el riesgo. La filosofa.- las creencias de la entidad con respecto al riesgo y cmo la misma escoge conducir sus actividades y tratar el riesgo refleja el valor que la entidad procura de la ERM e influye en la forma como los elementos de la ERM sern aplicados. La gerencia comunica su filosofa de ERM a los empleados a travs de las declaraciones de polticas y otras comunicaciones. En gran medida, la gerencia refuerza la filosofa no solamente con palabras sino tambin con acciones cotidianas. El nivel de riesgo aceptado, establecido por la gerencia y revisado por el directorio, es un punto de referencia en la definicin de la estrategia. Generalmente alguna de entre una cantidad de estrategias diferentes puede estar destinada a lograr las metas deseadas en cuanto a crecimiento y rendimiento, teniendo cada una diferentes riesgos asociados. La aplicacin de ERM en la definicin de la estrategia ayuda a los administradores a seleccionar una estrategia compatible con el nivel de riesgo aceptado. La gerencia procura alinear la organizacin, la gente, los procesos y la infraestructura para facilitar la

implantacin de una estrategia exitosa y permitir a la entidad permanecer dentro de su nivel de riesgo aceptado. La cultura de riesgo es el conjunto de actitudes, valores y prcticas compartidas que delinean la manera como una entidad considera el riesgo en sus actividades cotidianas. Para muchas compaas, la cultura de riesgo fluye de la filosofa de riesgo y del nivel de riesgo aceptado de la entidad. Para aquellas compaas que no definen explcitamente su filosofa de riesgo, la cultura de riesgo puede construirse al azar, dando lugar a culturas de riesgo significativamente diferentes dentro de una empresa o an dentro de una unidad operativa, funcin o departamento en particular. 2.-Fijacin de objetivos En el contexto de la misin o visin establecidas, la gerencia establece los objetivos estratgicos, selecciona la estrategia y establece los objetivos relacionados fluyendo a travs de la empresa y alineados con y ligados a la estrategia. Los objetivos deben existir antes de que la gerencia pueda identificar acontecimientos que eventualmente puedan afectar el logro de los mismos. ERM asegura que los administradores tengan instalado un proceso para definir objetivos y alinearlos con la misin y la visin de la entidad y para que sean compatibles con el nivel de riesgo aceptado. Los objetivos de la entidad pueden ser vistos en el contexto de cuatro categoras: Estratgicos relacionados con las metas de alto nivel, alineados con y siendo soporte de la misin/visin de la entidad. Referidos a las operaciones relacionados con la eficacia y eficiencia en las operaciones de la entidad incluyendo metas de desempeo y rentabilidad. Ellos varan en funcin de las elecciones de la gerencia en relacin con la estructura y desempeo. Referidos a la elaboracin de informacin relacionados con la eficacia del proceso de elaboracin de informacin. Incluyen elaboracion de informacin interna y externa y pueden involucrar informacin financiera o no financiera. Referidos al cumplimiento relacionados con el cumplimiento de la entidad con las leyes y regulaciones que le sean aplicables.

Esta categorizacin de los objetivos de la entidad le permite a la gerencia y al directorio centrarse en distintos aspectos de ERM. Estas categoras diferentes pero superpuestas un objetivo particular puede estar comprendido en ms de una categora abordan diferentes necesidades de la entidad y pueden estar bajo la responsabilidad directa de distintos ejecutivos. Esta categorizacin tambin permite distinguir qu es posible esperar para cada una de las categoras de objetivos.

Algunas entidades usan otra categora de objetivos, salvaguardia de recursos, a veces referida como salvaguardia de activos. Visto en forma amplia, stos tienen que ver con la prevencin de prdida de los activos o recursos de una entidad, ya sea por robo, desperdicio, ineficiencia o simplemente por malas decisiones de negocios tales como vender productos a un precio demasiado bajo, fracaso en la retencin de empleados clave o prevenir infracciones relacionadas con patentes o incurrir en obligaciones inesperadas. Esta extendida categora de salvaguardia de activos puede ser reducida a efectos de delimitar responsabilidades, limitando el concepto de salvaguardia a la prevencin o deteccin oportuna de adquisiciones, usos o disposiciones no autorizados de activos. 3.-Identificacin de acontecimientos Los administradores reconocen que existen incertidumbres que no se puede conocer con certeza si un acontecimiento ocurrir y cundo y cules sern sus resultados en caso de ocurrir. Como parte de la identificacin de acontecimientos, los administradores consideran factores internos y externos que afectan la ocurrencia de un acontecimiento. Los factores externos incluyen factores econmicos, empresariales, ambientales, polticos, sociales y tecnolgicos. Los factores internos reflejan las opciones tomadas por la gerencia e incluyen asuntos tales como infraestructura, personal, procesos y tecnologa. La metodologa de identificacin de acontecimientos de una entidad puede comprender una combinacin de tcnicas y herramientas de respaldo. Las tcnicas de identificacin de acontecimientos estn pendientes tanto del pasado como del futuro. Las tcnicas que se centran en acontecimientos y tendencias pasados consideran asuntos tales como historias de cesacin de pagos, cambios en los precios de los productos comercializables (commodities) y prdidas de tiempo provocadas por accidentes. Las tcnicas que se centran en futuros posibles escenarios consideran asuntos tales como cambios demogrficos, nuevos mercados y acciones de los competidores. Puede ser til agrupar los eventuales acontecimientos en categoras. Agrupando los acontecimientos horizontalmente a travs de una entidad y verticalmente entre unidades operativas, la gerencia puede comprender las interrelaciones entre los acontecimientos, obteniendo mayor y mejor informacin como base para la apreciacin de riesgos. Los acontecimientos pueden tener eventualmente un impacto positivo, uno negativo o ambos. Los acontecimientos que tienen un impacto eventualmente negativo representan riesgos que requieren apreciacin y respuesta de la gerencia. En funcin de ello, riesgo es definido como la posibilidad de que ocurra un acontecimiento y que afecte adversamente el logro de objetivos. Los acontecimientos con un impacto eventualmente positivo representan oportunidades o reduccin del impacto negativo de riesgos. Los acontecimientos que representan oportunidades son canalizados hacia los procesos gerenciales de definicin de la estrategia

o de los objetivos, a efectos de que puedan formularse acciones para aprovechar las oportunidades. Los acontecimientos que eventualmente reduzcan el impacto negativo de los riesgos son considerados en la apreciacin de y respuesta a los riesgos por parte de la gerencia. 4.-Apreciacin de riesgos La apreciacin de riesgos permite a una entidad considerar cmo los acontecimientos eventuales podran afectar el logro de los objetivos. La gerencia aprecia los acontecimientos desde dos perspectivas: probabilidad e impacto. La probabilidad representa la posibilidad de que un acontecimiento dado ocurra, mientras que el impacto representa su efecto en caso de que ocurriera. Las estimaciones de probabilidad e impacto de riesgo a menudo son determinados usando datos sobre acontecimientos pasados observables, los que pueden proveer una base ms objetiva que las estimaciones exclusivamente subjetivas. Los datos generados internamente basados en la propia experiencia de una entidad pueden reflejar menos prejuicios personales subjetivos y proveer mejores resultados que datos de procedencia externa. Sin embargo, an cuando los datos generados internamente son un insumo importante, los datos externos pueden ser tiles como un punto de control o para fortalecer el anlisis. Los usuarios deben ser cautelosos cuando utilizan acontecimientos pasados para hacer predicciones sobre el futuro ya que los factores que influyen en los acontecimientos cambian con el transcurso del tiempo. La metodologa de apreciacin del riesgo de una entidad normalmente comprende una combinacin de tcnicas cuantitativas y cualitativas. La gerencia a menudo utiliza tcnicas de apreciacin cualitativa cuando los riesgos no se prestan a la cuantificacin o cuando los datos confiables y en cantidad suficiente requeridos para la apreciacin cuantitativa no estn en la prctica disponibles o cuando el proceso de obtencin y anlisis de datos no es costo-beneficioso. Las tcnicas cuantitativas normalmente tienen ms precisin y son utilizadas en actividades ms complejas y sofisticadas para complementar las tcnicas cualitativas. No es necesario que una entidad utilice tcnicas de apreciacin comunes en todas las unidades de negocios. Por el contrario, la eleccin de tcnicas debe reflejar la necesidad de precisin y la cultura de la unidad de negocios. En cualquier caso, los mtodos utilizados por las unidades de negocios individuales deben facilitar la apreciacin global de los riesgos de la entidad. La gerencia a menudo utiliza medidas de desempeo para determinar el grado en que los objetivos estn siendo alcanzados. Puede ser til utilizar la misma unidad de medida al considerar el impacto eventual de un riesgo en el logro de un objetivo especfico. Cuando existen cadenas de acontecimientos que se combinan e interactan dando lugar a probabilidades e impactos significativamente distintos, la gerencia puede apreciar cmo se relacionan los acontecimientos. Mientras que el impacto de un acontecimiento aislado podra ser leve, una

secuencia de acontecimientos podra tener un impacto ms significativo. En caso que los acontecimientos eventuales no estn directamente relacionados, la gerencia los aprecia individualmente; en caso que la ocurrencia de riesgos sea probable en mltiples unidades de negocios, la gerencia puede apreciar y agrupar los acontecimientos identificados en categoras comunes. Existe normalmente un rango de posibles resultados asociados a un acontecimiento eventual y la gerencia los considera como una base para desarrollar una respuesta al riesgo. A travs de la apreciacin del riesgo, la gerencia considera las consecuencias positivas y negativas de los acontecimientos eventuales, individualmente o por categora, a travs de la entidad. En virtud de que los riesgos son apreciados en el contexto de la estrategia y de los objetivos de una entidad, la gerencia a menudo tiende a centrarse en riesgos con horizontes temporales de corta a mediana duracin. Sin embargo, algunos elementos de la orientacin y de los objetivos estratgicos se extienden hasta el largo plazo. Como consecuencia, la gerencia necesita tener conocimiento de marcos temporales ms largos y no ignorar riesgos que podran estar ms lejanos en el tiempo. La apreciacin de riesgos es aplicada en primera instancia al riesgo inherente el riesgo para la entidad en ausencia de cualesquiera acciones que la gerencia podra tomar para modificar la probabilidad del riesgo o su impacto. Una vez que se han desarrollado las respuestas al riesgo, la gerencia utiliza tcnicas de apreciacin de riesgo para determinar el riesgo residual el riesgo remanente luego de la accin de la gerencia para modificar la probabilidad o impacto del riesgo. 5.-Respuesta al riesgo La gerencia identifica opciones de respuesta al riesgo y considera su efecto sobre la probabilidad y el impacto del acontecimiento, con relacin a las tolerancias al riesgo y a la relacin costo-beneficio y disea e implanta opciones de respuesta. La consideracin de respuestas al riesgo y la seleccin e implantacin de una respuesta al riesgo integran la ERM. Una ERM eficaz requiere que la gerencia seleccione una respuesta de la que pueda esperarse que coloque a la probabilidad del riesgo y a su impacto dentro de la tolerancia al riesgo de la entidad. Las respuestas al riesgo corresponden a las categoras de evitar, reducir, compartir y aceptar el riesgo. Las respuestas evitar actan para abandonar las actividades que generan riesgos. Las respuestas reducir reducen la probabilidad del riesgo, el impacto del mismo o ambos. Las respuestas compartir reducen la probabilidad o el impacto del riesgo transfiriendo o compartiendo de otro modo una porcin del riesgo. Las respuestas aceptar no actan de forma alguna para modificar la probabilidad o el impacto del riesgo. Como parte de la ERM, una entidad considera las eventuales respuestas para cada riesgo significativo a partir

de un rango de categoras de respuestas. Esto le otorga suficiente profundidad a la seleccin de respuestas y tambin desafa el status quo. Luego de haber seleccionado una respuesta al riesgo, la gerencia vuelve a medir el riesgo sobre una base residual. El riesgo es considerado desde una perspectiva conjunta. La gerencia puede adoptar un enfoque en el cual el gerente responsable de cada departamento, funcin o unidad operativa desarrolle una apreciacin compuesta de riesgos y respuestas al riesgo para esa unidad. Esta visin refleja el perfil de riesgo de la unidad con relacin a sus objetivos y a sus tolerancias al riesgo. Con una visin del riesgo para unidades individuales, se designa al gerente con mayor experiencia en la empresa para que adopte una visin conjunta, para determinar si el perfil de riesgo de la entidad est en consonancia con su nivel global de riesto aceptado en relacin con sus objetivos. La gerencia debe reconocer que siempre existe algn nivel de riesgo residual, no slo porque los recursos son limitados sino tambin por la incertidumbre sobre el futuro y las limitaciones inherentes a todas las actividades. 6.-Actividades de control Las actividades de control son las polticas y procedimientos que ayudan a asegurar que las respuestas al riesgo sean ejecutadas adecuadamente. Las actividades de control tienen lugar en toda la organizacin, a todos los niveles y en todas las funciones. Las actividades de control son parte del proceso a travs del cual una empresa procura lograr sus objetivos de negocios. Generalmente involucran dos elementos: una poltica estableciendo qu debe hacerse y los procedimientos para ejecutar la poltica. La confianza generalizada en los sistemas informticos hace necesarios los controles sobre los sistemas significativos. Se pueden utilizar dos grandes grupos de actividades de control sobre los sistemas informticos. El primero se refiere a controles generales, los que se aplican a muchos si no a todos los sistemas de aplicacin y ayudan a asegurar su continua y adecuada operacin. El segundo se refiere a los controles sobre aplicaciones, los que incluyen pasos computarizados dentro de los programas informticos de la aplicacin para controlar la tecnologa de la misma. Combinados con otros controles procesados en forma manual, en caso de ser necesarios, estos controles aseguran la integridad, exactitud y validez de la informacin. Los controles generales incluyen controles sobre administracin de la infraestructura de la tecnologa de la informacin, administracin de la seguridad y adquisicin, desarrollo y mantenimiento de aplicaciones informticas. Estos controles pueden aplicarse a todos los sistemas desde ambientes informticos mainframe a redes y desktop. Los controles generales incluyen controles sobre la administracin de la tecnologa y los servicios de informacin, abordando el proceso de su supervisin, contingencia, las actividades de monitoreo y de elaboracin de informacin sobre tecnologa de la informacin e iniciativas de mejoramiento de los negocios.

Los controles a nivel de las aplicaciones estn destinados a asegurar integridad, exactitud, autorizacin y validez de la captura de datos,del procesamiento de transacciones y de la entrega de informacin. Los controles a nivel de las aplicaciones incluyen, administracin de roles para la segregacin de funciones de ingreso y autoriacin, edicin de los datos de ingreso, validaciones a nivel de las interfaces, registracin en log de las acciones realizadas en las aplicaciones, totales de control de los procesos, controles a posteriori sobre la integridad de las registraciones en bases de datos y controles sobre la generacin y distribucin de reportes. Debido a que cada entidad posee su propio conjunto de objetivos y enfoques de implantacin, existirn diferencias en objetivos, estructura y actividades de control relacionadas. Aunque dos entidades tuvieran objetivos y estructuras idnticos, sus actividades de control probablemente seran diferentes. Cada entidad es gestionada por personas diferentes que en el momento de efectuar control interno, utilizan sus juicios individuales. Adems, los controles reflejan el entorno y el ramo de actividad en los cuales las entidades operan as como la complejidad de su organizacin, su historia y su cultura. 7.-Informacin y comunicacin La informacin apropiada de procedencia externa e interna debe ser identificada, capturada y comunicada de un modo y en un marco temporal que le permita al personal cumplir con sus cometidos. La comunicacin eficaz tambin se realiza en un amplio sentido, fluyendo hacia abajo, hacia arriba y hacia los costados en la entidad. Tambin existe comunicacin eficaz e intercambio de informacin importante con terceros, tales como consumidores, proveedores, reguladores y grupos de inters. Se necesita informacin en todos los niveles de una organizacin para identificar, apreciar y responder a los riesgos y para administrar la entidad y lograr sus objetivos. Se utiliza una variedad de informacin, importante para una o ms categoras de objetivos. La informacin proviene de varias fuentes externa e interna y en forma cuantitativa y cualitativa y permite respuestas de ERM a condiciones cambiantes en tiempo real. El desafo para la gerencia consiste en procesar y refinar grandes volmenes de datos en informacin utilizable. Se cumple este desafo mediante el establecimiento de infraestructuras de sistemas de informacin para que determinen la fuente, capturen, procesen, analicen y comuniquen la informacin relevante. Estos sistemas de informacin generalmente computarizados pero que tambin involucran procesos manuales e interfaces a menudo son vistos en el contexto del procesamiento de datos generados internamente y relacionados con las transacciones. Los sistemas de informacin por mucho tiempo han sido diseados y utilizados para respaldar la estrategia de la empresa. Este rol se vuelve crtico cuando las necesidades de la empresa cambian y la tecnologa crea nuevas oportunidades de ventajas estratgicas.

Para respaldar una ERM eficaz, una entidad captura y utiliza datos histricos y actuales. Los datos histricos le permiten a la entidad comparar el desempeo real con metas, planes y expectativas. Revela cmo se desempe la entidad bajo condiciones variantes, permitiendo a la gerencia identificar correlaciones y tendencias y proyectar el desempeo futuro. Los datos histricos tambin pueden proveer advertencias oportunas sobre acontecimientos eventuales que ameriten la atencin de la gerencia. Los datos actuales le permiten a una entidad apreciar sus riesgos en un momento especfico y permanecer dentro de las tolerancias al riesgo establecidas. Los datos actuales permiten a la gerencia observar en tiempo real los riesgos inherentes existentes en un proceso, funcin o unidad e identificar variaciones con respecto a las expectativas. Esto otorga una visin del perfil de riesgo de la entidad, permitiendo a la gerencia modificar las actividades como sea necesario para adaptarlas a su nivel de riesgo aceptado. La informacin constituye una base para la comunicacin que debe satisfacer las expectativas de grupos e individuos, permitindoles cumplir eficazmente con sus cometidos. Entre los canales de comunicacin ms crticos se encuentra el que conecta a la alta gerencia con el directorio. La gerencia debe mantener al directorio al tanto del desempeo, desarrollos, riesgos y operacin de la ERM y otros acontecimientos y asuntos importantes. Cuanto mejor sea la comunicacin, ms eficazmente podr cumplir el directorio con sus responsabilidades de supervisin, actuar como una caja de resonancia en asuntos crticos y proveer asesoramiento, consejo y orientacin. Del mismo modo, el directorio debe comunicar a la gerencia qu informacin necesita y proveer retroalimentacin (feedback) y orientacin. La gerencia provee comunicacin especfica y direccionada abordando expectativas de comportamiento y las responsabilidades del personal. Esto incluye una clara declaracin con respecto a la filosofa y el enfoque de ERM de la entidad y a la delegacin de autoridad. La comunicacin con relacin a procesos y procedimientos debe estar alineada con y respaldar la cultura de riesgo deseada. Adicionalmente, la comunicacin debe ser apropiadamente formulada la presentacin de informacin puede afectar significativamente la manera como es interpretada y cmo son visualizados los riesgos y oportunidades asociados. La comunicacin debe concientizar sobre la importancia y relevancia de una ERM eficaz, comunicar el nivel de riesgo aceptado por la entidad y las tolerancias al riesgo, implantar y respaldar un lenguaje comn sobre riesgo y asesorar al personal sobre sus roles y responsabilidades con relacin a la ejecucin y soporte de los componentes de la ERM. Los canales de comunicacin deben tambin asegurar que el personal pueda comunicar la informacin sobre riesgos a travs de las unidades operativas, procesos o reas funcionales. En la mayora de los casos, los canales apropiados de comunicacin en una organizacin

son las lneas normales de autoridad. En algunas circunstancias, sin embargo, se necesitan lneas de comunicacin diferentes a efectos de servir como un mecanismo libre de fallas en caso que los canales normales no estn operativos. En todos los casos, es importante que el personal comprenda que no se tomarn represalias por la comunicacin de informacin relevante. Los canales de comunicacin externa pueden proveer insumos altamente significativos con relacin al diseo o calidad de los productos o servicios. La gerencia considera cmo su nivel de riesgo aceptado y sus tolerancias al riesgo se alinean con los de sus consumidores, proveedores y socios, asegurndose de no tomar inadvertidamente demasiado riesgo a travs de sus interacciones comerciales. La comunicacin por partede terceros externos a menudo provee informacin importante sobre el funcionamiento de la ERM. 8.-Monitoreo La ERM es monitoreada un proceso que aprecia tanto la presencia como el funcionamiento de sus componentes y la calidad de su desempeo a lo largo del tiempo. El monitoreo puede ser realizado de dos formas: a travs de actividades continuas o deevaluaciones independientes. El monitoreo continuo y el independiente aseguran que la ERM contine siendo aplicada a todos los niveles y a travs de toda la entidad. El monitoreo continuo se construye sobre la base de las actividades operativas normales y recurrentes de una entidad. El monitoreo continuo es ejecutado sobre la base de tiempo real, reacciona dinmicamente a los cambios en las condiciones y est arraigado en la entidad. Consecuentemente, es ms eficaz que las evaluaciones independientes. Mientras que las evaluaciones independientes tienen lugar luego de ocurridos los hechos, a menudo los problemas sern identificados ms rpidamente por las rutinas de monitoreo continuo. No obstante, muchas entidades con slidas actividades de monitoreo continuo, realizan evaluaciones independientes de la ERM. La frecuencia de las evaluaciones independientes es un asunto de juicio de la gerencia. Al hacer esta determinacin, se considera:
La

naturaleza y el alcance de los cambios en los acontecimientos tanto internos como externos y sus riesgos asociado. La competencia y experiencia del personal que implanta las respuestas a los riesgos y los correspondientes controles

Los resultados del monitoreo continuo. Generalmente, algn tipo de combinacin de monitoreo continuo y evaluaciones independientes asegurar que la ERM mantenga su eficacia a lo largo del tiempo.

La magnitud de la documentacin de la ERM de una entidad vara segn su dimensin, complejidad y otros factores similERMs. El hecho de que los elementos de la ERM no estn documentados no significa que no sean eficaces o que no puedan ser evaluados. Sin embargo, un nivel apropiado de documentacin generalmente hace que el monitoreo sea ms eficaz y eficiente. En caso que la gerencia desee hacer una declaracin a terceros en relacin a la eficacia de la ERM, debe considerarse el desarrollo y mantenimiento de documentacin que respalde dicha declaracin. Todas las deficiencias de la ERM que afecten la capacidad de una entidad de desarrollar e implantar su estrategia y lograr sus objetivos establecidos deben ser informadas a quienes tengan la autoridad para tomar las acciones necesarias. La naturaleza de los asuntos a ser comunicados variar dependiendo de la autoridad de los individuos para abordar las circunstancias que surjan y de las actividades de supervisin de los superiores. El trmino deficiencia alude a una condicin del proceso de ERM que amerite ser atendido. Por lo tanto, una deficiencia puede representar un defecto percibido, eventual o real o una oportunidad de fortalecer el proceso para aumentar la probabilidad de que los objetivos de la entidad sean alcanzados. La informacin generada en el curso de las actividades operativas generalmente es elevada a travs de canales normales. Tambin deben existir canales de comunicacin alternativos para trasmitir informacin sensible como actos ilegales o incorrectos. Resulta crtico proporcionar, exactamente a quien corresponda, la informacin necesaria sobre las deficiencias de la ERM. Deben establecerse protocolos para definir qu informacin es necesaria a un nivel particular para que la toma de decisiones sea eficaz. Dichos protocolos reflejan la regla general que un gerente debe recibir la informacin que afecte las acciones o el comportamiento del personal bajo su responsabilidad as como la informacin necesaria para lograr sus objetivos especficos. RELACIONAMIENTO ENTRE OBJETIVOS Y COMPONENTES Existe un directo relacionamiento entre objetivos, cuyo logro constituye el fin de los esfuerzos de la entidad y los componentes de la ERM, que representan lo que se necesita para lograrlos. La Figura 1 describe este relacionamiento en una matriz tridimensional.

Las cuatro categoras de objetivos estratgicos, operativos, elaboracin de informacin y cumplimiento estn representados por las columnas verticales Los ocho componentes estn representados por las filas horizontales. La entidad y sus unidades organizacionales estn representadas por la tercera dimensin de la matriz.

Significado de las expresiones en ingls insertas en la figura: Strategic Estratgicos Operating Operativos Reporting Elaboracin de informacin Compliance Cumplimiento Internal environment mbito interno Objective setting Establecimiento de objetivos Event identification Identificacin de acontecimientos Risk assesment Apreciacin de riesgos Risk response Respuesta al riesgo Control activities Actividades de control Information & communication Informacin y comunicacin Monitoring Monitoreo Entity-level Nivel de entidad

Division Divisin Business unit Unidad de negocios Subsidiary Subsidiaria Debe entenderse que las cuatro columnas representan categoras de objetivos de una entidad y no partes o unidades de la entidad. De acuerdo con ello, al considerar la categora de objetivos relacionados con la elaboracin de informacin, por ejemplo, se necesita conocer una amplia gama de informacin con respecto a las operaciones de la entidad. Pero en ese caso, se focaliza en la columna centro-derecha del modelo objetivos asociados a la elaboracin de informacin en vez de hacerlo en la categora de objetivos asociados a las operaciones. La Figura 2 expande las filas componentes del cubo para mostrar los elementos clave de cada componente, as como cules componentes representan un proceso de flujo.

Eficacia Si bien la ERM es un proceso, su eficacia es un estado o condicin en un momento determinado. Para determinar si ERM es eficaz es necesario realizar un juicio subjetivo en base a una apreciacin con respecto a la presencia de los ocho componentes y de la adecuacin de su funcionamiento. Para que ERM sea considerada eficaz, todos los ocho componentes deben estar presentes y funcionando. Sin embargo, esto no significa que cada uno de los componentes debe funcionar en forma idntica, o an al mismo nivel, en diferentes entidades y pueden existir compensaciones (trade-offs) entre componentes. En virtud de que las tcnicas de ERM pueden servir a una variedad de propsitos, las tcnicas aplicadas en relacin a un componente pueden servir uno de los propsitos que podran estar presentes en otro. Adicionalmente, las respuestas al riesgo pueden diferir en el grado en que ellas encaran un riesgo particular, de modo que respuestas complementarias al riesgo, cada una de ellas con efectos limitados, en conjunto puedan ser satisfactorias. Los conceptos comentados aqu aplican a todas las entidades, independientemente del tamao. Aunque algunas entidades pequeas y medianas pueden implantar factores de componentes de manera diferente que las grandes, de todos modos pueden tener una ERM eficaz. La metodologa para cada componente es probablemente menos formal y menos estructurada en las entidades ms pequeas que en las ms grandes, pero los conceptos bsicos delineados deben estar presentes en cualquier entidad, independientemente de su tamao. ERM debe ser considerada en el contexto de una empresa como un todo, o una o ms unidades individuales. Al considerar ERM para una unidad de negocios en particular, todos los ocho componentes deben ser usados a efectos comparativos. Una compaa puede tener joint ventures, sociedades u otras inversiones, cuyas operaciones no estn bajo el control directo de aqulla. Al considerar la eficacia de la ERM de la compaa, se observara en qu grado la compaa conjuntamente con su asociada ha aplicado adecuadamente cada uno de los ocho componentes, a la luz de la estrategia y de los correspondientes objetivos de la entidad. Vnculo con el control interno El control interno es una parte integrante de ERM. Esta estructura de ERM abarca al control interno construyendo una conceptualizacin y una herramienta de administracin ms fuerte. El control interno es definido y descrito en Control Interno Estructura Integrada. En virtud de que Control Interno, Estructura Integrada es la base para normas, leyes y regulaciones existentes, este documento permanece vigente como definicin y estructura del control interno. La totalidad de Control Interno

Estructura Integrada se incorpora como referencia a esta estructura. Limitaciones de la ERM Una ERM eficaz ayuda a la gerencia a conseguir objetivos. Pero, independientemente de lo bien que est diseada y operada, la ERM no asegura el xito de la entidad. La consecucin de objetivos est afectada por las limitaciones inherentes a todo proceso gerencial. Cambios en polticas o programas de gobierno, acciones de los competidores o las condiciones de la economa pueden estar fuera del control de la gerencia. La toma de decisiones humanas pueden tener fallas y pueden producirse daos derivados de fallas humanas tales como errores y equivocaciones. ERM no puede cambiar un gerente mediocre por uno bueno. Adicionalmente, los controles pueden ser burlados por la colusin de dos o ms personas y la gerencia tiene la posibilidad de ignorar el proceso de ERM, incluyendo respuestas a riesgos y controles. El diseo de la ERM debe reflejar la realidad de restriccin de recursos y los beneficios de administrar los riesgos deben ser considerados en su relacin con los correspondientes costos. Entonces, si bien ERM puede ayudar a la gerencia a lograr sus objetivos, no es una panacea. Roles y responsabilidades Cada uno en una organizacin tiene responsabilidaes en ERM. Directorio La gerencia debe rendir cuentas al directorio, el que provee gobierno, orientacin y supervisin. Al seleccionar a la gerencia, el mayor rol corresponde al directorio al definir sus expectativas en cuanto a integridad moral y valores ticos y puede confirmar sus expectativas a travs de las actividades de supervisin. Igualmente, al reservar para s la autoridad para ciertas decisiones clave, el directorio juega un rol al establecer la estrategia, al formular los objetivos de alto nivel y los lineamientos generales en relacin a la asignacin de recursos. El directorio provee supervisin con respecto a ERM , Conociendo la medida en que la gerencia ha establecido una ERM eficaz en la organizacin Estando enterado y de acuerdo con el nivel de riesgo aceptado de la entidad Revisando la visin conjunta de riesgos de la entidad y considerndola en relacin con el nivel de riesgo aceptado por la entidad.

Estando al tanto de los riesgos ms importantes y si la gerencia est respondiendo apropiadamente a los mismos

El directorio es una parte del componente mbito interno y para que ERM sea eficaz, debe satisfacer requisitos en cuanto a composicin y enfoque. Gerencia El gerente general es en ltima instancia el responsable y debe asumir la propiedad de la ERM. Ms que cualquier otra persona, el gerente general da la tnica al mximo nivel que afecta la honestidad y los valores ticos y los otros factores del mbito interno. En una empresa grande, el gerente general cumple este cometido liderando y orientando a los gerentes veteranos y revisando la manera como ellos manejan el negocio. Los gerentes veteranos, a su vez, asignan responsabilidad por el establecimiento de polticas y procedimientos de administracin de riesgos ms especficos al personal responsable de las funciones individuales de las unidades. En una empresa ms chica, la influencia del gerente general, con frecuencia un propietario-gerente, es usualmente ms directa. En cualquier caso, en un marco de responsabilidades decrecientes, un gerente es efectivamente un gerente general de su esfera de responsabilidad. Tambin son importantes los lderes de funciones de apoyo como cumplimiento, finanzas, recursos humanos y tecnologa de la informacin, cuyas actividades de monitoreo y control atraviesan horizontal y verticalmente las unidades operativas y de otro tipo de una empresa. Gerente de riesgo (Risk officer) Un gerente de riesgo con denominaciones diversas segn las organizaciones (chief risk officer o risk manager) trabaja con otros gerentes estableciendo y manteniendo una eficaz administracin de riesgos en sus reas de responsabilidad. El gerente de riesgo tambin puede tener la responsabilidad de monitorear el progreso y de dar asistencia a otros gerentes en trasmitir informacin importante sobre riesgos hacia arriba, abajo y horizontalmente y puede ser un miembro de un comit interno de administracin de riesgos. Auditores internos Los auditores internos juegan un rol importante en el monitoreo de la ERM y de la calidad del desempeo como parte de sus cometidos regulERMs o respondiendo a especiales requerimientos de la alta gerencia o ejecutivos de divisiones o subsidiarias. Pueden dar asistencia tanto a la gerencia como al directorio o comit de auditora monitoreando, examinando, evaluando, informando al respecto y recomendando mejoras con relacin a la adecuacin y eficacia de los procesos gerenciales de ERM.

Otros miembros del personal ERM es, en alguna medida, responsabilidad de todos los integrantes de una entidad y en consecuencia debe ser una parte explcita o implcita de la descripcin del trabajo de cada uno de ellos. Virtualmente todo el personal produce informacin usada en ERM o realiza otras acciones necesarias para administrar riesgos. Adems, todo el personal es responsable por comunicar hacia arriba con respecto a riesgos, como problemas en las operaciones, incumplimientos del cdigo de conducta, violaciones de otras polticas o acciones ilegales. Una cantidad de terceras partes contribuyen a menudo al logro de los objetivos de una entidad. Los auditores externos, aportando un visin independiente y objetiva, contribuyen directamente a travs de la auditora de los estados contables y de las revisiones del control interno e indirectamente proveyendo informacin adicional til para el cumplimiento de sus cometidos por parte de la gerencia y el directorio. Otros que proveen informacin til a la entidad para realizar la ERM son las agencias reguladoras, consumidores y otros que realizan transacciones comerciales con la entidad, analistas financieros, calificadores de bonos y los medios de difusin. Los terceros externos, sin embargo, no son responsables por la ERM de la entidad.