Este proyecto fue encargado por el Comité de Organizaciones Patrocinadoras de la

Comisión Treadway (COSO), que se dedica a proporcionar liderazgo intelectual a

través del desarrollo de marcos integrales y orientación sobre control interno, gestión
de riesgos empresariales y disuasión del fraude diseñados para mejorar el desempeño
organizacional y supervisión y para reducir el alcance del fraude en las organizaciones.
COSO es una iniciativa del sector privado, patrocinada y financiada conjuntamente
por:
•Asociación Americana de Contabilidad
•Instituto Americano de Contadores Públicos Certificados
•Ejecutivos financieros internacionales
•Instituto de Contadores Administrativos
•El Instituto de Auditores Internos

Prefacio
De acuerdo con su misión general, la Junta de COSO encargó y publicó en 2004
Enterprise Risk Management-Integrated Framework. En la última década, esa
publicación ha ganado amplio aceptación por parte de las organizaciones en sus
esfuerzos por gestionar los riesgos. Sin embargo, también a través de ese período, el
la complejidad del riesgo ha cambiado, han surgido nuevos riesgos, y tanto los
consejos como los ejecutivos han mejorado su conocimiento y supervisión de la
gestión del riesgo empresarial a la vez que solicitó un mejor informes de riesgo. Esta
actualización de la publicación de 2004 aborda la evolución del riesgo empresarial la
gestión y la necesidad de que las organizaciones mejoren su enfoque de gestión del
riesgo para cumplir demandas de un entorno empresarial en evolución.
El documento actualizado, ahora titulado Enterprise Risk Management-Integrating
with Strategy and Rendimiento, destaca la importancia de considerar el riesgo tanto
en el proceso de establecimiento de la estrategia como en el rendimiento de
conducción. La primera parte de la publicación actualizada ofrece una perspectiva de
la actualidad y Conceptos y aplicaciones en evolución de la gestión de riesgos
empresariales. La segunda parte, el Marco, está organizado en cinco componentes
fáciles de entender que se adaptan a diferentes puntos de vista y estructuras
operativas y mejorar las estrategias y la toma de decisiones. En resumen, esta
actualización:
• Proporciona una mayor comprensión del valor de la gestión del riesgo empresarial
al establecer y llevando a cabo la estrategia.
• Mejora la alineación entre el rendimiento y la gestión del riesgo empresarial para
mejorar y establecer los objetivos de rendimiento y comprender el impacto del riesgo
en el rendimiento.
• Acomoda las expectativas de gobernabilidad y supervisión.
• Reconoce la globalización de los mercados y las operaciones y la necesidad de
aplicar un enfoque común, aunque adaptado, enfoque a través de las geografías.
Presenta nuevas formas de ver el riesgo de establecer y alcanzar objetivos en el
contexto de una mayor complejidad del negocio.
• Amplía los informes para abordar las expectativas de una mayor transparencia de
las partes interesadas.
• Acomoda las tecnologías en evolución y la proliferación de datos y análisis en apoyo
Toma de decisiones.
• Establece definiciones, componentes y principios básicos para todos los niveles de
gestión involucrados en el diseño, la implementación y la realización de prácticas de
gestión de riesgos empresariales.
Los lectores también pueden desear consultar una publicación complementaria,
COSO's Internal Control-Marco Integrado. Las dos publicaciones son distintas y tienen
diferentes enfoques; ninguno reemplaza al otro. Sin embargo, se conectan. Marco
Integrado de Control Interno abarca el control interno, al que se hace referencia en
parte en esta publicación actualizada, y por lo tanto el documento anterior sigue
siendo viable y adecuado para el diseño, implementación, conducción y evaluando el
control interno, y para el informe consiguiente.
El Consejo de COSO desea agradecer a PwC por sus importantes contribuciones en el
desarrollo de Enterprise Gestión de riesgos: integración con estrategia y rendimiento.
Su plena consideración de la entrada proporcionado por muchas partes interesadas y
su visión fue instrumental para garantizar que los puntos fuertes de la publicación
original se han conservado, y ese texto se ha aclarado o ampliado donde se consideró
útil hacerlo. El Consejo COSO y PwC juntos también quisieran agradecer Consejo
Asesor y Observadores por sus contribuciones en la revisión y la retroalimentación.

Comité de Organizaciones Patrocinadoras de la Comisión Treadway Miembros de la

Junta Robert B. Hirth Jr. Silla COSO Richard F. Chambers El Instituto de Auditores
Internos Mitchell A. Danaher Ejecutivos financieros internacionales Charles E. Landes
Instituto Americano de Certificado Público Contadores Douglas F. Prawitt Asociación
Americana de Contabilidad Sandra Richtermeyer Instituto de Gestión Contadores
PwC-Autor Colaboradores Principales Miles E.A. Everson Líder de compromiso y
global y Asia, Pacífico y América (APA) Líder asesor Nueva York, Estados Unidos Dennis
L. Chesley Project Lead Partner y Global y APA Risk and Regulatory Líder Washington
DC, EE. UU. Frank J. Martens Director Principal del Proyecto y Global Marco de riesgo
y metodología Líder
Columbia Británica, Canadá
Matthew Bagin
Director
Washington DC, EE. UU.
Hélène Katz
Director
Nueva York, Estados Unidos
Katie T. Sylvis
Director
Washington DC, EE. UU.
Sallie Jo Perraglia
Gerente
Nueva York, Estados Unidos
Kathleen Crader Zelnik
Gerente
Washington DC, EE. UU.
Maria Grimshaw
Asociado Senior
Nueva York, Estados Unidos
iv

El cambiante paisaje de riesgo

Nuestra comprensión de la naturaleza del riesgo, el arte y la ciencia de elección, se
encuentra en el núcleo de nuestra economía moderna. Cada elección que hacemos
en la búsqueda de objetivos tiene sus riesgos. Desde las decisiones operativas
cotidianas hasta las compensaciones fundamentales en la sala de juntas, abordar el
riesgo en estas elecciones es una parte de la toma de decisiones.
A medida que tratamos de optimizar un rango de resultados posibles, las decisiones
raramente son binarias, con una respuesta correcta e incorrecta. Es por eso que la
gestión del riesgo empresarial se puede llamar arte y ciencia. Y cuando se considera
el riesgo en la formulación de la estrategia y los objetivos comerciales de una
organización, la gestión del riesgo empresarial ayuda a optimizar los resultados.
Nuestra comprensión del riesgo y nuestra práctica de gestión del riesgo empresarial
han mejorado mucho en las últimas décadas. Pero el margen de error se está
reduciendo. El Foro Económico Mundial ha comentado sobre "la creciente volatilidad,
complejidad y ambigüedad del mundo". 1 Ese es un fenómeno que todos
reconocemos. Las organizaciones enfrentan desafíos que afectan la confiabilidad, la
relevancia y la confianza. Las partes interesadas están más comprometidas hoy en
día, buscan una mayor transparencia y responsabilidad para manejar el impacto del
riesgo y, al mismo tiempo, evalúan críticamente la capacidad del liderazgo para
cristalizar oportunidades. Incluso el éxito puede conllevar un riesgo bajista adicional:
el riesgo de no poder satisfacer una demanda inesperadamente alta o mantener el
impulso comercial esperado, por ejemplo.
Las organizaciones necesitan ser más adaptables al cambio. Necesitan pensar
estratégicamente sobre cómo manejar la creciente volatilidad, complejidad y
ambigüedad del mundo, particularmente en los niveles superiores de la organización
y en la sala de juntas donde hay mucho en juego.
Enterprise Risk Management: la integración con Strategy and Performance
proporciona un Framework para juntas y administración en entidades de todos los
tamaños. Se basa en el nivel actual de gestión de riesgos que existe en el curso normal
de los negocios. Además, demuestra cómo la integración de las prácticas de gestión
del riesgo empresarial en una entidad ayuda a acelerar el crecimiento y mejorar el
rendimiento. También contiene principios que pueden aplicarse, desde la toma de
decisiones estratégicas hasta el rendimiento.
A continuación, describimos por qué tiene sentido que la administración y las juntas
utilicen el marco de gestión de riesgos de la empresa, 2 qué organizaciones han
logrado aplicando la gestión de riesgos de la empresa y qué otros beneficios pueden
obtener gracias a su uso continuo. Concluimos con una mirada hacia el futuro.

Guía de gestión para la gestión de riesgos empresariales

La administración tiene la responsabilidad general de administrar el riesgo para la
entidad, pero es importante que la gerencia vaya más allá: mejore la conversación
con la junta y las partes interesadas sobre el uso de la gestión de riesgos
empresariales para obtener una ventaja competitiva. Esto comienza implementando
capacidades de gestión de riesgos empresariales como parte de la selección y el
perfeccionamiento de una estrategia.
En particular, a través de este proceso, la gerencia obtendrá una mejor comprensión
de cómo la consideración explícita del riesgo puede afectar la elección de la
estrategia. La gestión de riesgos empresariales enriquece el diálogo de gestión al
agregar una perspectiva a las fortalezas y debilidades de una estrategia a medida que
cambian las condiciones, y hasta qué punto una estrategia se ajusta a la misión y
visión de la organización. Le permite a la gerencia sentirse más segura de que han
examinado estrategias alternativas y han considerado las opiniones de aquellos en su
organización que implementarán la estrategia seleccionada.

Una vez que se establece la estrategia, la gestión del riesgo empresarial proporciona
una forma efectiva para que la administración cumpla su función, sabiendo que la
organización está en sintonía con los riesgos que pueden afectar la estrategia y que
los está administrando bien. La aplicación de la gestión del riesgo empresarial ayuda
a crear confianza e infundir confianza en las partes interesadas en el entorno actual,
lo que exige un mayor escrutinio que nunca antes sobre cómo el riesgo está
abordando y gestionando activamente estos riesgos.

La Guía de la Junta para la Gestión de Riesgos Empresariales

Cada junta tiene un rol de supervisión, lo que ayuda a respaldar la creación de valor
en una entidad y evitar su declive. Tradicionalmente, la gestión del riesgo empresarial
ha jugado un fuerte papel de apoyo a nivel de la junta. Ahora, se espera cada vez más
que las juntas supervisen la gestión del riesgo empresarial.
El Marco proporciona consideraciones importantes para los consejos al definir y
abordar sus responsabilidades de supervisión de riesgos. Estas consideraciones
incluyen gobernabilidad y cultura; estrategia y fijación de objetivos; actuación;
información, comunicaciones e informes; y la revisión y revisión de prácticas para
mejorar el desempeño de la entidad.
La función de supervisión de riesgos de la junta puede incluir, pero no se limita a:
•
Revisar, desafiar y concurrir con la administración en:
-
Estrategia propuesta y apetito por el riesgo.
-
Alineación de la estrategia y los objetivos comerciales con la misión, visión y valores
centrales establecidos de la entidad
-
Decisiones comerciales importantes, incluidas adquisiciones de fusiones,
asignaciones de capital, financiación y decisiones relacionadas con dividendos
-
Respuesta a fluctuaciones significativas en el desempeño de la entidad o la visión de
riesgo de la cartera.
-
Respuestas a instancias de desviación de los valores centrales.
Aprobar incentivos de gestión y remuneración.
•
Participando en relaciones de inversionistas y partes interesadas.
A largo plazo, la gestión del riesgo empresarial también puede mejorar la capacidad
de recuperación de la empresa: la capacidad de anticipar y responder al cambio.
Ayuda a las organizaciones a identificar los factores que representan no solo el riesgo,
sino también el cambio, y cómo ese cambio podría afectar el rendimiento y requerir
un cambio en la estrategia. Al ver el cambio más claramente, una organización puede
diseñar su propio plan; por ejemplo, ¿debería retroceder defensivamente o invertir
en un nuevo negocio? La gestión de riesgos empresariales proporciona el marco
adecuado para que los consejos evalúen los riesgos y adopten una actitud de
resiliencia.
Qué gestión de riesgos empresariales
Ha logrado
COSO publicó Enterprise Risk Management-Integrated Framework en 2004. El
objetivo de esa publicación era ayudar a las entidades a proteger mejor y aumentar
el valor para las partes interesadas. Su filosofía subyacente era que "el valor se
maximiza cuando la administración establece la estrategia y los objetivos para
alcanzar un equilibrio óptimo entre los objetivos de crecimiento y retorno y los riesgos
relacionados, y despliega recursos de manera eficiente y efectiva en la búsqueda de
los objetivos de la entidad" 3.

Preguntas para
administración
¿Puede toda la gerencia -no solo el director de riesgos- articular cómo se considera el
riesgo en la selección de la estrategia o las decisiones comerciales? ¿Pueden articular
claramente el apetito de riesgo de la entidad y cómo podría influir en una decisión
específica? La conversación resultante puede arrojar luz sobre cómo realmente es la
mentalidad de asumir riesgos en la organización.
Los consejos también pueden pedirle a la alta dirección que hable no solo sobre los
procesos de riesgo sino también sobre la cultura. ¿Cómo la cultura permite o inhibe
la toma de riesgos responsable? ¿Qué lentes usa la administración para monitorear
la cultura del riesgo, y cómo ha cambiado eso? A medida que las cosas cambian -y las
cosas cambiarán ya sea que estén o no en el radar de la entidad- ¿cómo puede la
junta confiar en una respuesta apropiada y oportuna de la gerencia?

Desde su publicación, el Marco ha sido utilizado con éxito en todo el mundo, en todas
las industrias y en organizaciones de todo tipo y tamaño para identificar riesgos,
administrar esos riesgos dentro de un apetito de riesgo definido y apoyar el logro de
los objetivos. Sin embargo, si bien muchos han aplicado el Marco en la práctica, tiene
el potencial de ser utilizado de forma más extensa. Sería beneficioso examinar ciertos
aspectos con mayor profundidad y claridad, y proporcionar una mayor comprensión
de los vínculos entre la estrategia, el riesgo y el rendimiento. En respuesta, por lo
tanto, el Marco actualizado en esta publicación:
•
Conecta más claramente la gestión del riesgo empresarial con una multitud de
expectativas de las partes interesadas.
•
Las posiciones se arriesgan en el contexto del desempeño de una organización, en
lugar de ser el tema de un ejercicio aislado.
•
Permite a las organizaciones anticiparse mejor al riesgo para poder adelantarse,
entendiendo que el cambio crea oportunidades, no simplemente el potencial de
crisis.
Esta actualización también responde a la solicitud de un mayor énfasis en cómo la
gestión del riesgo empresarial informa la estrategia y su rendimiento.

Beneficios de un riesgo empresarial efectivo

administración
Todas las organizaciones necesitan establecer una estrategia y ajustarla
periódicamente, siempre conscientes de las oportunidades en constante cambio para
crear valor y los desafíos que se presentarán en la búsqueda de ese valor. Para hacer
eso, necesitan el mejor marco posible para optimizar la estrategia y el rendimiento.
Ahí es donde la gestión del riesgo empresarial entra en juego. Las organizaciones que
integran la gestión del riesgo empresarial en toda la entidad pueden obtener muchos
beneficios, que incluyen, entre otros, los siguientes:
•
Aumentar el rango de oportunidades: al considerar todas las posibilidades, tanto
aspectos positivos como negativos de la gestión de riesgos, se pueden identificar
nuevas oportunidades y desafíos únicos asociados con las oportunidades actuales.
•
Identificación y administración de riesgos a nivel de toda la entidad: cada entidad
enfrenta una miríada de riesgos que pueden afectar a muchas partes de la
organización. A veces, un riesgo puede originarse en una parte de la entidad pero
tener un impacto en una parte diferente. En consecuencia, la administración
identifica y gestiona estos riesgos de toda la entidad para mantener y mejorar el
rendimiento.
•
Aumentando los resultados positivos y la ventaja a la vez que se reducen las sorpresas
negativas: la gestión de riesgos empresariales permite a las entidades mejorar
su capacidad para identificar riesgos y establecer respuestas apropiadas,
reduciendo sorpresas y costos o pérdidas relacionados, a la vez que se
benefician de desarrollos ventajosos.

Limpiando algunos
conceptos erróneos
Hemos escuchado algunos conceptos erróneos sobre el Framework original desde
que se introdujo en 2004. Para dejar las cosas claras:
La gestión de riesgos empresariales no es una función o departamento. Es la cultura,
las capacidades y las prácticas que las organizaciones integran con el establecimiento
de estrategias y las aplican cuando llevan a cabo esa estrategia, con el propósito de
administrar los riesgos al crear, preservar y realizar el valor.
La gestión de riesgos empresariales es más que una lista de riesgos. Requiere más que
hacer un inventario de todos los riesgos dentro de la organización. Es más amplio e
incluye las prácticas que la administración pone en marcha para gestionar
activamente el riesgo.
La gestión de riesgos empresariales aborda más que el control interno. También
aborda otros temas tales como el establecimiento de estrategias, la gobernanza, la
comunicación con las partes interesadas y la medición del desempeño. Sus principios
se aplican en todos los niveles de la organización y en todas las funciones.
La gestión de riesgos empresariales no es una lista de verificación. Es un conjunto de
principios sobre los cuales los procesos pueden ser construidos o integrados para una
organización en particular, y es un sistema de monitoreo, aprendizaje y mejora del
desempeño.
La gestión de riesgos empresariales puede ser utilizada por organizaciones de
cualquier tamaño. Si una organización tiene una misión, una estrategia y objetivos, y
la necesidad de tomar decisiones que consideren totalmente el riesgo, entonces se
puede aplicar la gestión del riesgo empresarial. Puede y debe ser utilizado por todo
tipo de organizaciones, desde pequeñas empresas hasta empresas sociales basadas
en la comunidad, agencias gubernamentales y compañías Fortune 500.

Reducción de la variabilidad del rendimiento: para algunos, el desafío es menos con

sorpresas y pérdidas y más con la variabilidad en el rendimiento. Llevar a cabo antes
de lo previsto o más allá de las expectativas puede causar tanta preocupación como
no cumplir con la programación y las expectativas. La gestión de riesgos empresariales
permite a las organizaciones anticipar los riesgos que afectarían el rendimiento y les
permite implementar las acciones necesarias para minimizar las interrupciones y
maximizar las oportunidades.
•
Mejora de la implementación de recursos: cada riesgo puede considerarse una
solicitud de recursos. La obtención de información sólida sobre el riesgo permite a la
administración, frente a los recursos limitados, evaluar las necesidades generales de
recursos, priorizar el despliegue de recursos y mejorar la asignación de recursos.
•
Mejora de la resiliencia empresarial: la viabilidad de una entidad a mediano y largo
plazo depende de su capacidad para anticiparse y responder al cambio, no solo para
sobrevivir, sino también para evolucionar y prosperar. Esto es, en parte, habilitado
por la gestión eficaz del riesgo empresarial. Se vuelve cada vez más importante a
medida que se acelera el ritmo del cambio y aumenta la complejidad del negocio.
Estos beneficios resaltan el hecho de que el riesgo no debe verse únicamente como
una limitación o desafío potencial para establecer y llevar a cabo una estrategia. Más
bien, el cambio que subyace al riesgo y las respuestas organizacionales al riesgo dan
lugar a oportunidades estratégicas y capacidades diferenciadoras clave.

El papel del riesgo en la selección de la estrategia

La selección de estrategia consiste en tomar decisiones y aceptar concesiones. Por lo
tanto, tiene sentido aplicar la gestión del riesgo empresarial a la estrategia, ya que es
el mejor enfoque para desentrañar el arte y la ciencia de tomar decisiones bien
informadas.
El riesgo es una consideración en muchos procesos de establecimiento de estrategias.
Pero el riesgo a menudo se evalúa principalmente en relación con su efecto potencial
en una estrategia ya determinada. En otras palabras, las discusiones se centran en los
riesgos para la estrategia existente: tenemos una estrategia establecida, ¿qué podría
afectar la relevancia y viabilidad de nuestra estrategia?
Pero hay otras preguntas que hacer acerca de la estrategia, que las organizaciones
están mejorando al preguntar: ¿Hemos modelado la demanda del cliente con
precisión? ¿Nuestra cadena de suministro entregará a tiempo y dentro del
presupuesto? ¿Surgirán nuevos competidores? ¿Nuestra infraestructura tecnológica
está a la altura de la tarea? Este es el tipo de preguntas con las que lidian los ejecutivos
todos los días, y responder a ellas es fundamental para llevar a cabo una estrategia.
Sin embargo, el riesgo para la estrategia elegida es solo un aspecto a considerar.
Como este Marco enfatiza, hay dos aspectos adicionales a la gestión del riesgo
empresarial que pueden tener un efecto mucho mayor sobre el valor de una entidad:
la posibilidad de que la estrategia no se alinee y las implicaciones de la estrategia
elegida.
El primero de ellos, la posibilidad de que la estrategia no se alinee con la misión, visión
y valores centrales de una organización, es fundamental para las decisiones que
subyacen a la selección de estrategias. Cada entidad tiene una misión, visión y valores
centrales que definen lo que está tratando de lograr y cómo quiere hacer negocios.
Algunas organizaciones son escépticas sobre la posibilidad de abrazar
verdaderamente sus credos corporativos. Pero se ha demostrado que la misión, la
visión y los valores centrales son importantes, y son más importantes cuando se trata
de controlar el riesgo y mantenerse resistente durante los períodos de cambio.

Una estrategia elegida debe respaldar la misión y la visión de la organización. Una

estrategia desalineada aumenta la posibilidad de que la organización no se dé cuenta
de su misión y visión, o puede comprometer sus valores, incluso si una estrategia se
lleva a cabo con éxito. Por lo tanto, la gestión del riesgo empresarial considera la
posibilidad de que la estrategia no se alinee con la misión y la visión de la organización.
El otro aspecto adicional son las implicaciones de la estrategia elegida. Cuando la
gerencia desarrolla una estrategia y trabaja a través de alternativas con la junta,
toman decisiones sobre las concesiones inherentes a la estrategia. Cada estrategia
alternativa tiene su propio perfil de riesgo: estas son las implicaciones derivadas de la
estrategia. La junta directiva y la gerencia deben determinar si la estrategia funciona
en conjunto con el apetito por el riesgo de la organización y cómo ayudará a impulsar
a la organización a establecer objetivos y, en última instancia, asignar recursos de
manera eficiente.
Esto es lo importante: la gestión del riesgo empresarial se trata tanto de comprender
las implicaciones de la estrategia y la posibilidad de que la estrategia no se alinee
como de gestionar los riesgos para establecer los objetivos. La siguiente figura ilustra
estas consideraciones en el contexto de la misión, la visión, los valores centrales y
como un impulsor de la dirección y el desempeño general de una entidad.

La gestión de riesgos empresariales, como se ha practicado habitualmente, ha

ayudado a muchas organizaciones a identificar, evaluar y gestionar los riesgos de la
estrategia. Pero las causas más importantes de la destrucción del valor están
arraigadas en la posibilidad de que la estrategia no respalde la misión y visión de la
entidad, y las implicaciones de la estrategia.
La gestión de riesgos empresariales mejora la selección de estrategias. La elección de
una estrategia requiere una toma de decisiones estructurada que analice los riesgos
y alinee los recursos con la misión y la visión de la organización.

Un marco enfocado
Enterprise Risk Management: la integración con Strategy and Performance aclara la
importancia de la gestión del riesgo empresarial en la planificación estratégica y la
incorpora a toda la organización, ya que el riesgo influye y alinea la estrategia y el
rendimiento en todos los departamentos y funciones.
El Marco en sí es un conjunto de principios organizados en cinco componentes
interrelacionados:
1.
Gobernanza y Cultura: la gobernanza establece el tono de la organización, lo que
refuerza la importancia de, y el establecimiento de responsabilidades de supervisión
para, la gestión del riesgo empresarial. La cultura se relaciona con los valores éticos,
los comportamientos deseados y la comprensión del riesgo en la entidad.
2.
Estrategia y establecimiento de objetivos: gestión de riesgos empresariales,
estrategia y
establecer objetivos juntos en el proceso de planificación estratégica. Se establece un
apetito de riesgo y se alinea con la estrategia; los objetivos comerciales ponen en
práctica la estrategia mientras sirven como base para identificar, evaluar y responder
al riesgo.
3.
Desempeño: los riesgos que pueden afectar el logro de la estrategia y los objetivos
comerciales deben ser identificados y evaluados. Los riesgos se priorizan por
gravedad en el contexto del apetito por el riesgo. La organización luego selecciona las
respuestas de riesgo y toma una vista de cartera de la cantidad de riesgo que ha
asumido. Los resultados de este proceso se informan a las partes interesadas de
mayor riesgo.
4.
Revisión y Revisión: Al revisar el desempeño de la entidad, una organización puede
considerar cuán bien funcionan los componentes de gestión de riesgos de la empresa
a lo largo del tiempo y a la luz de los cambios sustanciales, y qué revisiones son
necesarias.
5.
Información, comunicación y generación de informes: la administración de riesgos
empresariales requiere un proceso continuo de obtención y distribución de la
información necesaria, tanto de fuentes internas como externas, que fluye hacia
arriba, hacia abajo y en toda la organización.
MEJORA DE LA VALORACIÓN, VISIÓN Y VALORES BÁSICOSBUSINESS
OBJETIVOEFORMULATIONSTRATEGYDESARROLLO DE MEJORAMIENTO Y
DESEMPEÑO EN LA GESTIÓN DE RIESGOS DE LA EMPRESA Revisión y
revisiónInformación, comunicación y presentación de
informesRendimientoEstrategia y fijación de objetivosGobernanza y
culturaAdministración de riesgos empresariales | Integración con Estrategia y
Desempeño Junio de 2017

Los cinco componentes del Marco actualizado están respaldados por un conjunto de
principios.4 Estos principios cubren todo, desde la gobernanza hasta la supervisión.
Son manejables en tamaño, y describen prácticas que se pueden aplicar de diferentes
maneras para diferentes organizaciones, independientemente del tamaño, tipo o
sector. La adhesión a estos principios puede proporcionar a la gerencia y al consejo
una expectativa razonable de que la organización comprenda y se esfuerce por
administrar los riesgos asociados con su estrategia y objetivos comerciales.

Mirando hacia el futuro

No hay duda de que las organizaciones continuarán enfrentando un futuro lleno de
volatilidad, complejidad y ambigüedad. La gestión del riesgo empresarial será una
parte importante de cómo una organización gestiona y prospera en estos tiempos.
Independientemente del tipo y tamaño de una entidad, las estrategias deben
mantenerse fieles a su misión. Y todas las entidades deben exhibir rasgos que
impulsen una respuesta efectiva al cambio, incluida la toma de decisiones ágil, la
capacidad de responder de manera cohesiva y la capacidad de adaptación para
pivotar y reposicionarse mientras se mantienen altos niveles de confianza entre las
partes interesadas.
A medida que miramos hacia el futuro, hay varias tendencias que tendrán un efecto
en la gestión del riesgo empresarial. Solo cuatro de estos son:
•
Tratar con la proliferación de datos: a medida que se disponga de más y más datos y
aumente la velocidad a la que se pueden analizar nuevos datos, será necesario
adaptar la gestión del riesgo empresarial. Los datos provendrán de dentro y fuera de
la entidad y se estructurarán de formas nuevas. Las herramientas avanzadas de
análisis y visualización de datos evolucionarán y serán muy útiles para comprender el
riesgo y su impacto, tanto positivos como negativos.
•
Aprovechamiento de la inteligencia artificial y la automatización: muchas personas
sienten que hemos entrado en la era de los procesos automatizados y la inteligencia
artificial. Independientemente de las creencias individuales, es importante que las
prácticas de gestión de riesgos empresariales consideren el impacto de estas y las
tecnologías futuras y aprovechen sus capacidades. Se pueden descubrir relaciones,
tendencias y patrones previamente irreconocibles, que brindan una fuente de
información valiosa para la gestión del riesgo.
•
Administrar el costo de la administración de riesgos: una preocupación frecuente
expresada por muchos ejecutivos de empresas es el costo de la gestión de riesgos, los
procesos de cumplimiento y las actividades de control en comparación con el valor
obtenido. A medida que evolucionen las prácticas de gestión de riesgos
empresariales, será importante que las actividades que abarcan los riesgos, el
cumplimiento, el control e incluso la gobernanza se coordinen de manera eficiente
para proporcionar el máximo beneficio a la organización. Esto puede representar una
de las mejores oportunidades para que la gestión de riesgos empresariales redefina
su importancia para la organización.
Construcción de organizaciones más fuertes: a medida que las organizaciones
mejoran la integración de la gestión del riesgo empresarial con la estrategia y el
desempeño, se presentará una oportunidad para fortalecer la resiliencia. Al conocer
los riesgos que tendrán el mayor impacto en la entidad, las organizaciones pueden
usar la gestión de riesgos empresariales para ayudar a implementar capacidades que
les permitan actuar con anticipación. Esto abrirá nuevas oportunidades.
En resumen, la gestión del riesgo empresarial deberá cambiar y adaptarse al futuro
para proporcionar consistentemente los beneficios descritos en el Marco. Con el
enfoque correcto, los beneficios derivados de la gestión del riesgo empresarial
superan con creces las inversiones y brindan a las organizaciones confianza en su
capacidad para manejar el futuro.

xpresiones de gratitud
Un agradecimiento especial a las siguientes empresas y organizaciones por permitir
la participación de miembros y observadores del Consejo Asesor.
Miembros del Consejo Asesor
Empresas y organizaciones
•
Athene EE. UU. (Jane Karli)
•
Edison International (David J. Heller)
•
First Data Corporation (Lee Marks)
•
Georgia-Pacific LLC (Paul Sobel)
•
Invesco Ltd. (Suzanne Christensen)
•
Microsoft (Jeff Pratt)
•
Departamento de Comercio de EE. UU. (Karen Hardy)
•
United Technologies Corporation (Margaret Boissoneau)
•
Compañía de seguros de Zurich (James Davenport)
Educación superior y asociaciones
•
Universidad Estatal de Carolina del Norte (Mark Beasley)
•
Universidad de San Juan (Paul Walker)
•
El Instituto de Auditores Internos
(Douglas J. Anderson)
Firmas de servicio profesional
•
Crowe Horwath LLP (William Watts)
•
Deloitte & Touche LLP (Henry Ristuccia)
•
Ernst & Young (Anthony J. Carmello)
•
James Lam y asociados (James Lam)
•
Grant Thornton LLP (Bailey Jordan)
•
KPMG LLP Americas (Deon Minnaar)
•
Mercury Business Advisors Inc. (Patrick Stroh)
•
Protiviti Inc. (James DeLoach)
Ex miembro de la Junta de COSO
•
Cátedra COSO, 2009-2013 (David Landsittel)
Observadores
•
Corporación Federal de Seguros de Depósitos (Harrison Greene)
•
Oficina de Responsabilidad Gubernamental (James Dalkin)
•
Instituto de contadores administrativos (Jeff Thompson)
•
Institut der Wirtschaftsprüfer (Horst Kreisel)
•
Federación Internacional de Contadores (Vincent Tophoff)
•
ISACA (Jennifer Bayuk)
•
Risk Management Society (Carol Fox) Ejecutivo

Componentes y principios
1.
Ejercicios Supervisión del riesgo de la Junta: la junta directiva supervisa la estrategia
y lleva a cabo las responsabilidades de gobierno para ayudar a la administración a
alcanzar la estrategia y los objetivos comerciales.
2.
Establece Estructuras Operativas-La organización establece estructuras operativas en
la búsqueda de objetivos estratégicos y comerciales.
3.
Define Cultura Deseada: la organización define los comportamientos deseados que
caracterizan la cultura deseada de la entidad.
4.
Demuestra compromiso con los valores centrales: la organización demuestra un
compromiso con los valores centrales de la entidad.
5.
Atrae, desarrolla y retiene individuos capaces: la organización se compromete a
construir capital humano en alineación con la estrategia y los objetivos comerciales.
6.
Analiza el contexto empresarial: la organización considera los efectos potenciales del
contexto empresarial en el perfil de riesgo.
7.
Define el apetito de riesgo: la organización define el apetito de riesgo en el contexto
de crear, preservar y realizar valor.
8.
Evalúa estrategias alternativas: la organización evalúa estrategias alternativas e
impacto potencial en el perfil de riesgo.
9.
Formula objetivos comerciales: la organización considera el riesgo al establecer los
objetivos comerciales en varios niveles que se alinean y respaldan la estrategia.
10.
Identifica el riesgo: la organización identifica el riesgo que afecta el rendimiento de la
estrategia y los objetivos comerciales.
11.
Evalúa la gravedad del riesgo: la organización evalúa la gravedad del riesgo.
12.
Prioriza los riesgos: la organización prioriza los riesgos como base para seleccionar las
respuestas a los riesgos.
13.
Implementa respuestas de riesgo: la organización identifica y selecciona respuestas
de riesgo.
14.
Desarrolla la vista de cartera: la organización desarrolla y evalúa una vista de riesgo
del portafolio.
15.
Evalúa el cambio sustancial: la organización identifica y evalúa los cambios que
pueden afectar sustancialmente la estrategia y los objetivos comerciales.
dieciséis.
Revisiones Riesgo y rendimiento: la organización revisa el rendimiento de la entidad
y considera el riesgo.
17.
Persigue la mejora en la gestión del riesgo empresarial: la organización persigue la
mejora de la gestión del riesgo empresarial.
18.
Aprovecha los sistemas de información: la organización aprovecha los sistemas de
información y tecnología de la entidad para respaldar la gestión de riesgos
empresariales.
19.
Comunica información de riesgos: la organización utiliza canales de comunicación
para respaldar la gestión de riesgos empresariales.
20.
Informes sobre riesgo, cultura y rendimiento: la organización informa sobre el riesgo,
la cultura y el rendimiento en múltiples niveles y en toda la entidad.