Académique Documents
Professionnel Documents
Culture Documents
Prefacio
De acuerdo con su misión general, la Junta de COSO encargó y publicó en 2004
Enterprise Risk Management-Integrated Framework. En la última década, esa
publicación ha ganado amplio aceptación por parte de las organizaciones en sus
esfuerzos por gestionar los riesgos. Sin embargo, también a través de ese período, el
la complejidad del riesgo ha cambiado, han surgido nuevos riesgos, y tanto los
consejos como los ejecutivos han mejorado su conocimiento y supervisión de la
gestión del riesgo empresarial a la vez que solicitó un mejor informes de riesgo. Esta
actualización de la publicación de 2004 aborda la evolución del riesgo empresarial la
gestión y la necesidad de que las organizaciones mejoren su enfoque de gestión del
riesgo para cumplir demandas de un entorno empresarial en evolución.
El documento actualizado, ahora titulado Enterprise Risk Management-Integrating
with Strategy and Rendimiento, destaca la importancia de considerar el riesgo tanto
en el proceso de establecimiento de la estrategia como en el rendimiento de
conducción. La primera parte de la publicación actualizada ofrece una perspectiva de
la actualidad y Conceptos y aplicaciones en evolución de la gestión de riesgos
empresariales. La segunda parte, el Marco, está organizado en cinco componentes
fáciles de entender que se adaptan a diferentes puntos de vista y estructuras
operativas y mejorar las estrategias y la toma de decisiones. En resumen, esta
actualización:
• Proporciona una mayor comprensión del valor de la gestión del riesgo empresarial
al establecer y llevando a cabo la estrategia.
• Mejora la alineación entre el rendimiento y la gestión del riesgo empresarial para
mejorar y establecer los objetivos de rendimiento y comprender el impacto del riesgo
en el rendimiento.
• Acomoda las expectativas de gobernabilidad y supervisión.
• Reconoce la globalización de los mercados y las operaciones y la necesidad de
aplicar un enfoque común, aunque adaptado, enfoque a través de las geografías.
Presenta nuevas formas de ver el riesgo de establecer y alcanzar objetivos en el
contexto de una mayor complejidad del negocio.
• Amplía los informes para abordar las expectativas de una mayor transparencia de
las partes interesadas.
• Acomoda las tecnologías en evolución y la proliferación de datos y análisis en apoyo
Toma de decisiones.
• Establece definiciones, componentes y principios básicos para todos los niveles de
gestión involucrados en el diseño, la implementación y la realización de prácticas de
gestión de riesgos empresariales.
Los lectores también pueden desear consultar una publicación complementaria,
COSO's Internal Control-Marco Integrado. Las dos publicaciones son distintas y tienen
diferentes enfoques; ninguno reemplaza al otro. Sin embargo, se conectan. Marco
Integrado de Control Interno abarca el control interno, al que se hace referencia en
parte en esta publicación actualizada, y por lo tanto el documento anterior sigue
siendo viable y adecuado para el diseño, implementación, conducción y evaluando el
control interno, y para el informe consiguiente.
El Consejo de COSO desea agradecer a PwC por sus importantes contribuciones en el
desarrollo de Enterprise Gestión de riesgos: integración con estrategia y rendimiento.
Su plena consideración de la entrada proporcionado por muchas partes interesadas y
su visión fue instrumental para garantizar que los puntos fuertes de la publicación
original se han conservado, y ese texto se ha aclarado o ampliado donde se consideró
útil hacerlo. El Consejo COSO y PwC juntos también quisieran agradecer Consejo
Asesor y Observadores por sus contribuciones en la revisión y la retroalimentación.
Una vez que se establece la estrategia, la gestión del riesgo empresarial proporciona
una forma efectiva para que la administración cumpla su función, sabiendo que la
organización está en sintonía con los riesgos que pueden afectar la estrategia y que
los está administrando bien. La aplicación de la gestión del riesgo empresarial ayuda
a crear confianza e infundir confianza en las partes interesadas en el entorno actual,
lo que exige un mayor escrutinio que nunca antes sobre cómo el riesgo está
abordando y gestionando activamente estos riesgos.
Preguntas para
administración
¿Puede toda la gerencia -no solo el director de riesgos- articular cómo se considera el
riesgo en la selección de la estrategia o las decisiones comerciales? ¿Pueden articular
claramente el apetito de riesgo de la entidad y cómo podría influir en una decisión
específica? La conversación resultante puede arrojar luz sobre cómo realmente es la
mentalidad de asumir riesgos en la organización.
Los consejos también pueden pedirle a la alta dirección que hable no solo sobre los
procesos de riesgo sino también sobre la cultura. ¿Cómo la cultura permite o inhibe
la toma de riesgos responsable? ¿Qué lentes usa la administración para monitorear
la cultura del riesgo, y cómo ha cambiado eso? A medida que las cosas cambian -y las
cosas cambiarán ya sea que estén o no en el radar de la entidad- ¿cómo puede la
junta confiar en una respuesta apropiada y oportuna de la gerencia?
Desde su publicación, el Marco ha sido utilizado con éxito en todo el mundo, en todas
las industrias y en organizaciones de todo tipo y tamaño para identificar riesgos,
administrar esos riesgos dentro de un apetito de riesgo definido y apoyar el logro de
los objetivos. Sin embargo, si bien muchos han aplicado el Marco en la práctica, tiene
el potencial de ser utilizado de forma más extensa. Sería beneficioso examinar ciertos
aspectos con mayor profundidad y claridad, y proporcionar una mayor comprensión
de los vínculos entre la estrategia, el riesgo y el rendimiento. En respuesta, por lo
tanto, el Marco actualizado en esta publicación:
•
Conecta más claramente la gestión del riesgo empresarial con una multitud de
expectativas de las partes interesadas.
•
Las posiciones se arriesgan en el contexto del desempeño de una organización, en
lugar de ser el tema de un ejercicio aislado.
•
Permite a las organizaciones anticiparse mejor al riesgo para poder adelantarse,
entendiendo que el cambio crea oportunidades, no simplemente el potencial de
crisis.
Esta actualización también responde a la solicitud de un mayor énfasis en cómo la
gestión del riesgo empresarial informa la estrategia y su rendimiento.
Limpiando algunos
conceptos erróneos
Hemos escuchado algunos conceptos erróneos sobre el Framework original desde
que se introdujo en 2004. Para dejar las cosas claras:
La gestión de riesgos empresariales no es una función o departamento. Es la cultura,
las capacidades y las prácticas que las organizaciones integran con el establecimiento
de estrategias y las aplican cuando llevan a cabo esa estrategia, con el propósito de
administrar los riesgos al crear, preservar y realizar el valor.
La gestión de riesgos empresariales es más que una lista de riesgos. Requiere más que
hacer un inventario de todos los riesgos dentro de la organización. Es más amplio e
incluye las prácticas que la administración pone en marcha para gestionar
activamente el riesgo.
La gestión de riesgos empresariales aborda más que el control interno. También
aborda otros temas tales como el establecimiento de estrategias, la gobernanza, la
comunicación con las partes interesadas y la medición del desempeño. Sus principios
se aplican en todos los niveles de la organización y en todas las funciones.
La gestión de riesgos empresariales no es una lista de verificación. Es un conjunto de
principios sobre los cuales los procesos pueden ser construidos o integrados para una
organización en particular, y es un sistema de monitoreo, aprendizaje y mejora del
desempeño.
La gestión de riesgos empresariales puede ser utilizada por organizaciones de
cualquier tamaño. Si una organización tiene una misión, una estrategia y objetivos, y
la necesidad de tomar decisiones que consideren totalmente el riesgo, entonces se
puede aplicar la gestión del riesgo empresarial. Puede y debe ser utilizado por todo
tipo de organizaciones, desde pequeñas empresas hasta empresas sociales basadas
en la comunidad, agencias gubernamentales y compañías Fortune 500.
Un marco enfocado
Enterprise Risk Management: la integración con Strategy and Performance aclara la
importancia de la gestión del riesgo empresarial en la planificación estratégica y la
incorpora a toda la organización, ya que el riesgo influye y alinea la estrategia y el
rendimiento en todos los departamentos y funciones.
El Marco en sí es un conjunto de principios organizados en cinco componentes
interrelacionados:
1.
Gobernanza y Cultura: la gobernanza establece el tono de la organización, lo que
refuerza la importancia de, y el establecimiento de responsabilidades de supervisión
para, la gestión del riesgo empresarial. La cultura se relaciona con los valores éticos,
los comportamientos deseados y la comprensión del riesgo en la entidad.
2.
Estrategia y establecimiento de objetivos: gestión de riesgos empresariales,
estrategia y
establecer objetivos juntos en el proceso de planificación estratégica. Se establece un
apetito de riesgo y se alinea con la estrategia; los objetivos comerciales ponen en
práctica la estrategia mientras sirven como base para identificar, evaluar y responder
al riesgo.
3.
Desempeño: los riesgos que pueden afectar el logro de la estrategia y los objetivos
comerciales deben ser identificados y evaluados. Los riesgos se priorizan por
gravedad en el contexto del apetito por el riesgo. La organización luego selecciona las
respuestas de riesgo y toma una vista de cartera de la cantidad de riesgo que ha
asumido. Los resultados de este proceso se informan a las partes interesadas de
mayor riesgo.
4.
Revisión y Revisión: Al revisar el desempeño de la entidad, una organización puede
considerar cuán bien funcionan los componentes de gestión de riesgos de la empresa
a lo largo del tiempo y a la luz de los cambios sustanciales, y qué revisiones son
necesarias.
5.
Información, comunicación y generación de informes: la administración de riesgos
empresariales requiere un proceso continuo de obtención y distribución de la
información necesaria, tanto de fuentes internas como externas, que fluye hacia
arriba, hacia abajo y en toda la organización.
MEJORA DE LA VALORACIÓN, VISIÓN Y VALORES BÁSICOSBUSINESS
OBJETIVOEFORMULATIONSTRATEGYDESARROLLO DE MEJORAMIENTO Y
DESEMPEÑO EN LA GESTIÓN DE RIESGOS DE LA EMPRESA Revisión y
revisiónInformación, comunicación y presentación de
informesRendimientoEstrategia y fijación de objetivosGobernanza y
culturaAdministración de riesgos empresariales | Integración con Estrategia y
Desempeño Junio de 2017
Los cinco componentes del Marco actualizado están respaldados por un conjunto de
principios.4 Estos principios cubren todo, desde la gobernanza hasta la supervisión.
Son manejables en tamaño, y describen prácticas que se pueden aplicar de diferentes
maneras para diferentes organizaciones, independientemente del tamaño, tipo o
sector. La adhesión a estos principios puede proporcionar a la gerencia y al consejo
una expectativa razonable de que la organización comprenda y se esfuerce por
administrar los riesgos asociados con su estrategia y objetivos comerciales.
xpresiones de gratitud
Un agradecimiento especial a las siguientes empresas y organizaciones por permitir
la participación de miembros y observadores del Consejo Asesor.
Miembros del Consejo Asesor
Empresas y organizaciones
•
Athene EE. UU. (Jane Karli)
•
Edison International (David J. Heller)
•
First Data Corporation (Lee Marks)
•
Georgia-Pacific LLC (Paul Sobel)
•
Invesco Ltd. (Suzanne Christensen)
•
Microsoft (Jeff Pratt)
•
Departamento de Comercio de EE. UU. (Karen Hardy)
•
United Technologies Corporation (Margaret Boissoneau)
•
Compañía de seguros de Zurich (James Davenport)
Educación superior y asociaciones
•
Universidad Estatal de Carolina del Norte (Mark Beasley)
•
Universidad de San Juan (Paul Walker)
•
El Instituto de Auditores Internos
(Douglas J. Anderson)
Firmas de servicio profesional
•
Crowe Horwath LLP (William Watts)
•
Deloitte & Touche LLP (Henry Ristuccia)
•
Ernst & Young (Anthony J. Carmello)
•
James Lam y asociados (James Lam)
•
Grant Thornton LLP (Bailey Jordan)
•
KPMG LLP Americas (Deon Minnaar)
•
Mercury Business Advisors Inc. (Patrick Stroh)
•
Protiviti Inc. (James DeLoach)
Ex miembro de la Junta de COSO
•
Cátedra COSO, 2009-2013 (David Landsittel)
Observadores
•
Corporación Federal de Seguros de Depósitos (Harrison Greene)
•
Oficina de Responsabilidad Gubernamental (James Dalkin)
•
Instituto de contadores administrativos (Jeff Thompson)
•
Institut der Wirtschaftsprüfer (Horst Kreisel)
•
Federación Internacional de Contadores (Vincent Tophoff)
•
ISACA (Jennifer Bayuk)
•
Risk Management Society (Carol Fox) Ejecutivo
Componentes y principios
1.
Ejercicios Supervisión del riesgo de la Junta: la junta directiva supervisa la estrategia
y lleva a cabo las responsabilidades de gobierno para ayudar a la administración a
alcanzar la estrategia y los objetivos comerciales.
2.
Establece Estructuras Operativas-La organización establece estructuras operativas en
la búsqueda de objetivos estratégicos y comerciales.
3.
Define Cultura Deseada: la organización define los comportamientos deseados que
caracterizan la cultura deseada de la entidad.
4.
Demuestra compromiso con los valores centrales: la organización demuestra un
compromiso con los valores centrales de la entidad.
5.
Atrae, desarrolla y retiene individuos capaces: la organización se compromete a
construir capital humano en alineación con la estrategia y los objetivos comerciales.
6.
Analiza el contexto empresarial: la organización considera los efectos potenciales del
contexto empresarial en el perfil de riesgo.
7.
Define el apetito de riesgo: la organización define el apetito de riesgo en el contexto
de crear, preservar y realizar valor.
8.
Evalúa estrategias alternativas: la organización evalúa estrategias alternativas e
impacto potencial en el perfil de riesgo.
9.
Formula objetivos comerciales: la organización considera el riesgo al establecer los
objetivos comerciales en varios niveles que se alinean y respaldan la estrategia.
10.
Identifica el riesgo: la organización identifica el riesgo que afecta el rendimiento de la
estrategia y los objetivos comerciales.
11.
Evalúa la gravedad del riesgo: la organización evalúa la gravedad del riesgo.
12.
Prioriza los riesgos: la organización prioriza los riesgos como base para seleccionar las
respuestas a los riesgos.
13.
Implementa respuestas de riesgo: la organización identifica y selecciona respuestas
de riesgo.
14.
Desarrolla la vista de cartera: la organización desarrolla y evalúa una vista de riesgo
del portafolio.
15.
Evalúa el cambio sustancial: la organización identifica y evalúa los cambios que
pueden afectar sustancialmente la estrategia y los objetivos comerciales.
dieciséis.
Revisiones Riesgo y rendimiento: la organización revisa el rendimiento de la entidad
y considera el riesgo.
17.
Persigue la mejora en la gestión del riesgo empresarial: la organización persigue la
mejora de la gestión del riesgo empresarial.
18.
Aprovecha los sistemas de información: la organización aprovecha los sistemas de
información y tecnología de la entidad para respaldar la gestión de riesgos
empresariales.
19.
Comunica información de riesgos: la organización utiliza canales de comunicación
para respaldar la gestión de riesgos empresariales.
20.
Informes sobre riesgo, cultura y rendimiento: la organización informa sobre el riesgo,
la cultura y el rendimiento en múltiples niveles y en toda la entidad.