1. Comité de Organizaciones Patrocinadoras de la Comisión Treadway
Gestión de riesgos empresariales
Integración con estrategia y desempeño
junio 2017
Resumen ejecutivo
Machine Translated by Google
3. Marco Integrado. Las dos publicaciones son distintas y tienen diferentes enfoques; ninguno reemplaza al otro. Sin
embargo, se conectan. Control Interno—Marco Integrado
Dennis L Chesley
Cátedra COSO
Los lectores también pueden consultar una publicación complementaria, COSO's Internal Control—
Robert B Hirth Jr.
La Junta de COSO desea agradecer a PwC por sus importantes contribuciones en el desarrollo de la Gestión de riesgos
empresariales: integración con la estrategia y el desempeño. Su plena consideración de los aportes proporcionados por
muchas partes interesadas y su percepción fueron fundamentales para garantizar que se hayan conservado los puntos fuertes
de la publicación original y que el texto se haya aclarado o ampliado donde se consideró útil hacerlo. La Junta de COSO y
PwC juntos también quisieran agradecer al Consejo Asesor y a los Observadores por sus contribuciones en la revisión y la
retroalimentación.
Socio líder del proyecto de PwC y líder
regulatorio y de riesgos global y de APA
abarca el control interno, al que se hace referencia en parte en esta publicación actualizada y, por lo tanto, el documento
anterior sigue siendo viable y adecuado para diseñar, implementar, conducir y evaluar el control interno, y para la consiguiente
presentación de informes.
El documento actualizado, ahora titulado Gestión de riesgos empresariales: integración con la estrategia y el rendimiento,
destaca la importancia de considerar el riesgo tanto en el proceso de establecimiento de la estrategia como en el impulso del
rendimiento. La primera parte de la publicación actualizada ofrece una perspectiva sobre los conceptos y aplicaciones actuales
y en evolución de la gestión de riesgos empresariales. La segunda parte, el Marco, está organizado en cinco componentes
fáciles de entender que se adaptan a diferentes puntos de vista y estructuras operativas, y mejoran las estrategias y la toma de
decisiones. En resumen, esta actualización:
De acuerdo con su misión general, la Junta de COSO encargó y publicó en 2004 Enterprise Risk Management—Integrated
Framework. Durante la última década, esa publicación ha ganado una amplia aceptación por parte de las organizaciones en sus
esfuerzos por gestionar el riesgo. Sin embargo, también durante ese período, la complejidad del riesgo ha cambiado, han surgido
nuevos riesgos y tanto las juntas como los ejecutivos han mejorado su conciencia y supervisión de la gestión de riesgos
empresariales al tiempo que solicitan una mejor información sobre riesgos. Esta actualización de la publicación de 2004 aborda
la evolución de la gestión de riesgos empresariales y la necesidad de que las organizaciones mejoren su enfoque de la gestión
de riesgos para satisfacer las demandas de un entorno empresarial en evolución.
junio 2017
Prefacio
iii
• Mejora la alineación entre el rendimiento y la gestión de riesgos empresariales para mejorar el establecimiento de objetivos de
rendimiento y comprender el impacto del riesgo en el rendimiento.
• Presenta nuevas formas de ver el riesgo para establecer y lograr objetivos en el contexto de una mayor complejidad empresarial.
llevando a cabo la estrategia.
aunque adaptado, enfoque a través de geografías.
• Proporciona una mayor comprensión del valor de la gestión de riesgos empresariales al establecer y
• Acomoda tecnologías en evolución y la proliferación de datos y análisis para respaldar la toma de decisiones.
• Reconoce la globalización de los mercados y operaciones y la necesidad de aplicar un sistema común,
• Se adapta a las expectativas de gobernanza y supervisión.
• Establece definiciones, componentes y principios básicos para todos los niveles de gestión involucrados en el diseño,
implementación y realización de prácticas de gestión de riesgos empresariales.
• Amplía los informes para abordar las expectativas de una mayor transparencia de las partes interesadas.
Resumen ejecutivo
Machine Translated by Google
4. Miembros de la Junta
Colaboradores principales
Washington DC, Estados Unidos
Líder de compromiso y líder asesor
global y de Asia, el Pacífico y las
Américas (APA)
Gerente
Asociación Americana de Contabilidad
Nueva York, Estados Unidos
Director
Gerente
Washington DC, Estados Unidos
Instituto Americano de Contadores Públicos
Certificados
Washington DC, Estados Unidos
contadores
Columbia Británica, Canadá
Director
El Instituto de Auditores Internos
Nueva York, Estados Unidos
Nueva York, Estados Unidos
Asociado Senior
Instituto de Gestión
Cátedra COSO
Nueva York, Estados Unidos
Comité de Organizaciones Patrocinadoras de la
Comisión Treadway
PwC—Autor
IV
sandra richtermeyer
Katie T. Sylvis
Directora
Washington DC, EE. UU.
helen katz
douglas f prawitt
Sallie Jo Perraglia María Grimshaw
Carlos E Landas
Millas EA Everson
Cámaras de Richard F.
Frank J. Martens
Director principal de proyecto y
líder de metodología y marco de
riesgo global
matthew bagin
Kathleen Crader Zelnik
Robert B Hirth Jr. Mitchell A. Danaher
Ejecutivos financieros internacionales
Dennis L. Chesley Socio
principal del proyecto y líder
regulatorio y de riesgos global y
de la APA
Gestión de riesgos empresariales | Integración con estrategia y desempeño
junio 2017
Machine Translated by Google
5. Las organizaciones necesitan ser más adaptables al cambio. Necesitan pensar estratégicamente sobre cómo
gestionar la creciente volatilidad, complejidad y ambigüedad del mundo, particularmente en los niveles superiores de
la organización y en la sala de juntas donde hay más en juego.
Nuestra comprensión del riesgo y nuestra práctica de gestión de riesgos empresariales han mejorado mucho en las
últimas décadas. Pero el margen de error se está reduciendo. El Foro Económico Mundial ha comentado sobre la
“volatilidad, complejidad y ambigüedad crecientes del mundo”.1 Ese es un fenómeno que todos reconocemos. Las
organizaciones enfrentan desafíos que afectan la confiabilidad, la relevancia y la confianza. Las partes interesadas
están más comprometidas hoy en día, buscan una mayor transparencia y responsabilidad para gestionar el impacto del
riesgo mientras evalúan críticamente la capacidad del liderazgo para cristalizar oportunidades. Incluso el éxito puede
traer consigo un riesgo adicional a la baja: el riesgo de no poder satisfacer una demanda inesperadamente alta o
mantener el impulso comercial esperado, por ejemplo.
Nuestra comprensión de la naturaleza del riesgo, el arte y la ciencia de la elección, se encuentra en el centro de
nuestra economía moderna. Cada elección que hacemos en la búsqueda de objetivos tiene sus riesgos. Desde las
decisiones operativas diarias hasta las compensaciones fundamentales en la sala de juntas, lidiar con el riesgo en
estas elecciones es parte de la toma de decisiones.
Mientras buscamos optimizar un rango de resultados posibles, las decisiones rara vez son binarias, con una
respuesta correcta e incorrecta. Es por eso que la gestión de riesgos empresariales puede llamarse tanto un arte
como una ciencia. Y cuando el riesgo se considera en la formulación de la estrategia y los objetivos comerciales de
una organización, la gestión del riesgo empresarial ayuda a optimizar los resultados.
A continuación, describimos por qué tiene sentido que la administración y las juntas usen el marco de gestión
de riesgos empresariales,2 lo que las organizaciones han logrado al aplicar la gestión de riesgos empresariales y
qué beneficios adicionales pueden obtener a través de su uso continuo. Concluimos con una mirada al futuro.
En particular, a través de este proceso, la gerencia obtendrá una mejor comprensión de cómo la consideración
explícita del riesgo puede afectar la elección de la estrategia. La gestión de riesgos empresariales enriquece el
diálogo de gestión añadiendo perspectiva a las fortalezas y debilidades de una estrategia a medida que cambian
las condiciones, y qué tan bien encaja una estrategia con la misión y visión de la organización. Permite que la
gerencia se sienta más segura de que ha examinado estrategias alternativas y considerado los aportes de aquellos
en su organización que implementarán la estrategia seleccionada.
Gestión de riesgos empresariales: la integración con la estrategia y el rendimiento proporciona un marco
para las juntas y la gestión en entidades de todos los tamaños. Se basa en el nivel actual de gestión de riesgos
que existe en el curso normal de los negocios. Además, demuestra cómo la integración de las prácticas de gestión
de riesgos empresariales en toda una entidad ayuda a acelerar el crecimiento y mejorar el rendimiento. También
contiene principios que se pueden aplicar, desde la toma de decisiones estratégicas hasta el desempeño.
La gerencia tiene la responsabilidad general de administrar el riesgo de la entidad, pero es importante que la
gerencia vaya más allá: mejore la conversación con la junta directiva y las partes interesadas sobre el uso de la
gestión de riesgos empresariales para obtener una ventaja competitiva. Eso comienza con la implementación de
capacidades de gestión de riesgos empresariales como parte de la selección y perfeccionamiento de una estrategia.
Guía de gestión para la gestión de riesgos empresariales
El cambiante panorama de riesgos
junio 2017
.................................................... .................................................... .
1
Resumen ejecutivo
1 The Global Risks Report 2016, 11.ª edición, Foro Económico Mundial (2016).
2 El Marco utiliza el término "junta de directores" o "junta", que abarca el órgano de gobierno, incluida la junta, el consejo de supervisión, el consejo de
administración, los socios generales o el propietario.
Machine Translated by Google
6. Gestión de riesgos empresariales | Integración con estrategia y desempeño
junio 2017
Gestión de riesgos empresariales: marco integrado, resumen ejecutivo, COSO (2004).
– Respuesta a fluctuaciones significativas en el desempeño de la entidad o la visión de riesgo de la cartera.
valores fundamentales
¿Puede toda la gerencia, no solo el director
de riesgos, articular cómo se considera el riesgo
en la selección de estrategias o decisiones
comerciales? ¿Pueden articular claramente el
apetito por el riesgo de la entidad y cómo podría
influir en una decisión específica? La conversación
resultante puede arrojar luz sobre cómo es
realmente la mentalidad para asumir riesgos en la
organización.
Los directorios también pueden pedirle a
la alta gerencia que hable no solo sobre los
procesos de riesgo sino también sobre la cultura.
– Decisiones comerciales significativas, incluidas adquisiciones de fusiones, asignaciones de capital, financiamiento y
Una vez que se establece la estrategia, la gestión de riesgos empresariales proporciona una forma efectiva para que la gerencia cumpla
con su función, sabiendo que la organización está en sintonía con los riesgos que pueden afectar la estrategia y los está administrando
bien. La aplicación de la gestión de riesgos empresariales ayuda a crear confianza e inculcar confianza en las partes interesadas en el
entorno actual, que exige un mayor escrutinio que nunca antes sobre cómo el riesgo está abordando y gestionando activamente estos
riesgos.
– Propuesta de estrategia y apetito de riesgo.
• Participar en las relaciones con inversores y accionistas.
A más largo plazo, la gestión de riesgos empresariales también puede mejorar la resiliencia
de la empresa: la capacidad de anticipar y responder al cambio. Ayuda a las organizaciones
a identificar factores que representan no solo riesgo, sino también cambio, y cómo ese cambio
podría afectar el rendimiento y requerir un cambio en la estrategia. Al ver el cambio más
claramente, una organización puede diseñar su propio plan; por ejemplo, ¿debería retroceder
defensivamente o invertir en un nuevo negocio? La gestión de riesgos empresariales
proporciona el marco adecuado para que las juntas evalúen el riesgo y adopten una
mentalidad de resiliencia.
– Alineación de la estrategia y los objetivos comerciales con la misión, visión y
COSO publicó Enterprise Risk Management—Integrated Framework en 2004.
El propósito de esa publicación era ayudar a las entidades a proteger mejor y mejorar
el valor de las partes interesadas. Su filosofía subyacente era que “el valor se maximiza
cuando la administración establece la estrategia y los objetivos para lograr un equilibrio
óptimo entre las metas de crecimiento y rendimiento y los riesgos relacionados, y despliega
los recursos de manera eficiente y eficaz en la búsqueda de los objetivos de la entidad.”3
El rol de supervisión de riesgos de la junta puede incluir, pero no se limita a:
• Aprobar los incentivos y remuneraciones de la gerencia.
Cada directorio tiene una función de supervisión, que ayuda a respaldar la creación de valor en una entidad y evita su declive.
Tradicionalmente, la gestión de riesgos empresariales ha desempeñado un importante papel de apoyo a nivel de directorio. Ahora, se
espera cada vez más que las juntas supervisen la gestión de riesgos empresariales.
decisiones relacionadas con dividendos
El Marco proporciona consideraciones importantes para las juntas al definir y abordar sus responsabilidades de supervisión de
riesgos. Estas consideraciones incluyen la gobernanza y la cultura; estrategia y establecimiento de objetivos; rendimiento; información,
comunicaciones y presentación de informes; y la revisión y revisión de prácticas para mejorar el desempeño de la entidad.
– Respuestas a instancias de desviación de los valores fundamentales.
¿Cómo permite o inhibe la cultura la asunción
responsable de riesgos? ¿Qué lente usa la gerencia
para monitorear la cultura de riesgo y cómo ha
cambiado eso? A medida que las cosas cambian, y
las cosas cambiarán ya sea que estén o no en el
radar de la entidad, ¿cómo puede la junta estar
segura de una respuesta adecuada y oportuna de la
administración?
2
.................................................... .................................................... .
3
• Revisar, desafiar y estar de acuerdo con la gerencia sobre:
Ha logrado
Qué gestión de riesgos empresariales
La guía de la junta para la gestión de riesgos empresariales
Preguntas para la
gerencia
Machine Translated by Google
7. Resumen ejecutivo
junio 2017
Las organizaciones que integran la gestión de riesgos empresariales
en toda la entidad pueden obtener muchos beneficios, incluidos, entre otros:
También aborda otros temas, como el
establecimiento de estrategias, la gobernanza,
la comunicación con las partes interesadas y la
medición del desempeño. Sus principios se
aplican en todos los niveles de la organización
y en todas las funciones.
Hemos escuchado algunos conceptos
erróneos sobre el Framework original
desde que se presentó en 2004. Para dejar
las cosas claras:
Desde su publicación, el Marco se ha utilizado con éxito en todo el mundo, en
todas las industrias y en organizaciones de todos los tipos y tamaños para
identificar riesgos, gestionar esos riesgos dentro de un apetito de riesgo definido
y respaldar el logro de objetivos.
La gestión de riesgos empresariales no es
una lista de verificación. Es un conjunto de
principios sobre los cuales se pueden
construir o integrar procesos para una
organización en particular, y es un sistema de
seguimiento, aprendizaje y mejora del desempeño.
La gestión de riesgos empresariales no es
una función o un departamento. Es la
cultura, las capacidades y las prácticas que las
organizaciones integran con el establecimiento
de estrategias y aplican cuando llevan a cabo
esa estrategia, con el propósito de administrar
el riesgo en la creación, preservación y
realización de valor.
Sin embargo, aunque muchos han aplicado el Marco en la práctica, tiene el
potencial de ser utilizado más ampliamente. Se beneficiaría de examinar ciertos
aspectos con más profundidad y claridad, y de proporcionar una mayor
comprensión de los vínculos entre estrategia, riesgo y rendimiento. En respuesta,
por lo tanto, el Marco actualizado en esta publicación:
La gestión de riesgos empresariales puede
ser utilizada por organizaciones de cualquier
tamaño. Si una organización tiene una misión,
una estrategia y objetivos, y la necesidad de
tomar decisiones que consideren completamente
el riesgo, entonces se puede aplicar la gestión
de riesgos empresariales. Puede y debe ser
utilizado por todo tipo de organizaciones, desde
pequeñas empresas hasta empresas sociales
comunitarias, agencias gubernamentales y
empresas Fortune 500.
La gestión de riesgos empresariales es más
que una lista de riesgos. Requiere más que
hacer un inventario de todos los riesgos dentro
de la organización. Es más amplio e incluye
prácticas que la administración implementa para
administrar activamente el riesgo.
Todas las organizaciones necesitan establecer una estrategia y ajustarla
periódicamente, siempre estando al tanto de las oportunidades en constante
cambio para crear valor y los desafíos que se presentarán en la búsqueda de
ese valor. Para hacer eso, necesitan el mejor marco posible para optimizar la
estrategia y el rendimiento.
Ahí es donde entra en juego la gestión de riesgos empresariales.
La gestión de riesgos empresariales
aborda más que el control interno.
Esta actualización también responde al llamado de un mayor énfasis en cómo la
gestión de riesgos empresariales informa la estrategia y su desempeño.
3
multitud de expectativas de las partes interesadas.
• Aumentar los resultados positivos y la ventaja mientras se reducen
• Aumentar la gama de oportunidades: al considerar todas las posibilidades,
tanto los aspectos positivos como los negativos del riesgo,
• Posiciona el riesgo en el contexto de una organización
Sorpresas negativas: La gestión del riesgo empresarial permite a las
entidades mejorar su capacidad para identificar riesgos y establecer respuestas
apropiadas, reduciendo las sorpresas y los costos o pérdidas relacionados,
mientras se benefician de desarrollos ventajosos.
actuación, más que como tema de un ejercicio aislado.
la gerencia puede identificar nuevas oportunidades y desafíos únicos
asociados con las oportunidades actuales.
• Permite a las organizaciones anticipar mejor el riesgo para que puedan
adelantarse a él, con la comprensión de que el cambio crea oportunidades,
no simplemente el potencial de las crisis.
• Identificar y administrar el riesgo en toda la entidad: cada entidad enfrenta una
miríada de riesgos que pueden afectar muchas partes de la organización.
• Conecta más claramente la gestión de riesgos empresariales con una
A veces, un riesgo puede originarse en una parte de la entidad pero impactar
en una parte diferente. En consecuencia, la dirección identifica y gestiona
estos riesgos de toda la entidad para mantener y mejorar el rendimiento.
conceptos erróneos
Gestión
aclarando algunos
Beneficios del riesgo empresarial efectivo
Machine Translated by Google
8. junio 2017
Gestión de riesgos empresariales | Integración con estrategia y desempeño
4
• Mejorar el despliegue de recursos: cada riesgo podría considerarse una solicitud de
• Mejorar la resiliencia empresarial: la viabilidad a mediano y largo plazo de una entidad
• Reducir la variabilidad del desempeño: para algunos, el desafío es menos con sorpresas y
pérdidas y más con la variabilidad en el desempeño. Actuar antes de lo previsto o más allá de
las expectativas puede causar tanta preocupación como hacerlo por debajo de lo previsto y de
las expectativas. La gestión de riesgos empresariales permite a las organizaciones anticipar
los riesgos que afectarían el rendimiento y les permite implementar las acciones necesarias
para minimizar las interrupciones y maximizar las oportunidades.
recursos. La obtención de información sólida sobre el riesgo permite a la administración, frente
a recursos finitos, evaluar las necesidades generales de recursos, priorizar el despliegue de
recursos y mejorar la asignación de recursos.
depende de su capacidad para anticipar y responder al cambio, no solo para sobrevivir sino
también para evolucionar y prosperar. Esto es, en parte, posible gracias a una gestión eficaz
del riesgo empresarial. Se vuelve cada vez más importante a medida que se acelera el ritmo
del cambio y aumenta la complejidad del negocio.
El papel del riesgo en la selección de estrategias
Estos beneficios resaltan el hecho de que el riesgo no debe verse únicamente como una restricción
potencial o un desafío para establecer y llevar a cabo una estrategia. Más bien, el cambio que subyace al
riesgo y las respuestas organizacionales al riesgo dan lugar a oportunidades estratégicas y capacidades
diferenciadoras clave.
El riesgo es una consideración en muchos procesos de establecimiento de estrategias. Pero el riesgo a
menudo se evalúa principalmente en relación con su efecto potencial sobre una estrategia ya determinada.
En otras palabras, las discusiones se centran en los riesgos de la estrategia existente: tenemos una estrategia,
¿qué podría afectar la relevancia y viabilidad de nuestra estrategia?
Pero hay otras preguntas que hacer sobre la estrategia, qué organizaciones están mejorando al preguntar:
¿Hemos modelado la demanda del cliente con precisión? ¿Nuestra cadena de suministro entregará a tiempo y
dentro del presupuesto? ¿Aparecerán nuevos competidores? ¿Está nuestra infraestructura tecnológica a la
altura? Este es el tipo de preguntas con las que los ejecutivos se enfrentan todos los días, y responderlas es
fundamental para llevar a cabo una estrategia.
La selección de estrategias consiste en tomar decisiones y aceptar compensaciones. Por lo tanto,
tiene sentido aplicar la gestión de riesgos empresariales a la estrategia, ya que es el mejor enfoque para
desentrañar el arte y la ciencia de tomar decisiones bien informadas.
El primero de ellos, la posibilidad de que la estrategia no se alinee con la misión, la visión y los valores
fundamentales de una organización, es fundamental para las decisiones que subyacen a la selección de la estrategia.
Cada entidad tiene una misión, visión y valores fundamentales que definen lo que está tratando de lograr y
cómo quiere realizar negocios. Algunas organizaciones se muestran escépticas acerca de abrazar
verdaderamente sus credos corporativos. Pero se ha demostrado que la misión, la visión y los valores
fundamentales son importantes, y lo son más cuando se trata de gestionar el riesgo y permanecer resilientes
durante los períodos de cambio.
Sin embargo, el riesgo para la estrategia elegida es solo un aspecto a considerar. Como enfatiza este Marco,
hay dos aspectos adicionales de la gestión del riesgo empresarial que pueden tener un efecto mucho mayor en
el valor de una entidad: la posibilidad de que la estrategia no se alinee y las implicaciones de la estrategia elegida.
Machine Translated by Google
9. norte
t
F
R
t
t
B
r
I
a
&
t
para
norte
gramo
r
metro
gramo
I
pags
r
I
O
t
Y
I
I I
O
I
s
Y
Y
norte
ESTRATEGIA,
MISIÓN VISIÓN &
VALORES FUNDAMENTALES
NEGOCIO MEJORADO
OBJETIVOS, &
Resumen ejecutivo
RENDIMIENTO
RENDIMIENTO
a
r
C
gramo
F
O
norte
I
metro
I
I
junio 2017
Y
r
h
F
h
La gestión de riesgos empresariales, tal como se ha practicado habitualmente, ha ayudado a muchas
organizaciones a identificar, evaluar y gestionar los riesgos para la estrategia. Pero las causas más
significativas de destrucción de valor están integradas en la posibilidad de que la estrategia no apoye la misión
y visión de la entidad, y las implicaciones de la estrategia.
La gestión de riesgos empresariales mejora la selección de estrategias. Elegir una estrategia requiere una
toma de decisiones estructurada que analice el riesgo y alinee los recursos con la misión y la visión de la
organización.
Una estrategia elegida debe apoyar la misión y la visión de la organización. Una estrategia desalineada
aumenta la posibilidad de que la organización no cumpla con su misión y visión, o comprometa sus
valores, incluso si una estrategia se lleva a cabo con éxito. Por lo tanto, la gestión del riesgo empresarial
considera la posibilidad de que la estrategia no esté alineada con la misión y visión de la organización.
Esto es lo importante: la gestión de riesgos empresariales se trata tanto de comprender las
implicaciones de la estrategia y la posibilidad de que la estrategia no se alinee como de gestionar los riesgos
para establecer objetivos. La siguiente figura ilustra estas consideraciones en el contexto de la misión, la
visión, los valores fundamentales y como impulsor de la dirección y el desempeño general de una entidad.
El otro aspecto adicional son las implicaciones de la estrategia elegida. Cuando la gerencia desarrolla
una estrategia y trabaja con alternativas con la junta, toma decisiones sobre las compensaciones inherentes
a la estrategia. Cada estrategia alternativa tiene su propio perfil de riesgo: estas son las implicaciones que
surgen de la estrategia. La junta directiva y la gerencia deben determinar si la estrategia funciona junto con el
apetito de riesgo de la organización y cómo ayudará a impulsar a la organización a establecer objetivos y, en
última instancia, a asignar recursos de manera eficiente.
y
I
I
a
s
5
Y
Y
a
r
s
norte
O
pags
Y
Machine Translated by Google
10. 2. Estrategia y establecimiento de objetivos: gestión de riesgos empresariales, estrategia y
establecimiento de objetivos trabajar juntos en el proceso de planificación estratégica. Se establece
un apetito por el riesgo y se alinea con la estrategia; Los objetivos comerciales ponen en práctica la
estrategia y sirven como base para identificar, evaluar y responder al riesgo.
Considere qué tan bien están funcionando los componentes de gestión de riesgos corporativos a lo
largo del tiempo y a la luz de cambios sustanciales, y qué revisiones son necesarias.
3. Desempeño: Es necesario identificar y evaluar los riesgos que pueden afectar el logro de la
estrategia y los objetivos comerciales. Los riesgos se priorizan por gravedad en el contexto del
apetito por el riesgo. Luego, la organización selecciona las respuestas al riesgo y toma una vista de
cartera de la cantidad de riesgo que ha asumido. Los resultados de este proceso se informan a las
principales partes interesadas en el riesgo.
1. Gobierno y cultura: el gobierno establece el tono de la organización, reforzando la importancia y
estableciendo responsabilidades de supervisión para la gestión de riesgos empresariales. La cultura
se relaciona con los valores éticos, los comportamientos deseados y la comprensión del riesgo en la
entidad.
5. Información, comunicación y elaboración de informes: la gestión de riesgos empresariales
requiere un proceso continuo de obtener y compartir la información necesaria, tanto de
fuentes internas como externas, que fluye hacia arriba, hacia abajo y en toda la organización.
4. Revisión y Revisión: Al revisar el desempeño de la entidad, una organización puede
Un marco enfocado
& Revisión Comunicación,
estrategia y Revisar
& Cultura
Rendimiento
Gobernancia
e informes
Información,
Establecimiento de objetivos
Gestión de riesgos empresariales | Integración con estrategia y desempeño
junio 2017
& RENDIMIENTO
NEGOCIO
VALOR
MISIÓN VISIÓN, IMPLEMENTACIÓN MEJORADO
DESARROLLO
FORMULACIÓN
ESTRATEGIA
OBJETIVO
& VALORES FUNDAMENTALES
6
GESTIÓN DE RIESGOS EMPRESARIALES
El Marco en sí es un conjunto de principios organizados en cinco componentes interrelacionados:
Gestión de riesgos empresariales: la integración con la estrategia y el rendimiento aclara la
importancia de la gestión de riesgos empresariales en la planificación estratégica y su integración en toda
la organización, ya que el riesgo influye y alinea la estrategia y el rendimiento en todos los departamentos
y funciones.
Machine Translated by Google
11. .................................................... .................................................... ..
Los cinco componentes del Marco actualizado están respaldados por un conjunto de principios.4 Estos principios
cubren todo, desde la gobernanza hasta el monitoreo. Son manejables en tamaño y describen prácticas que se
pueden aplicar de diferentes maneras para diferentes organizaciones, independientemente de su tamaño, tipo o
sector. La adhesión a estos principios puede brindar a la gerencia y al directorio una expectativa razonable de que la
organización comprende y se esfuerza por administrar los riesgos asociados con su estrategia y objetivos comerciales.
A medida que miramos hacia el futuro, hay varias tendencias que tendrán un efecto en la gestión de riesgos
empresariales. Solo cuatro de estos son:
No hay duda de que las organizaciones seguirán enfrentando un futuro lleno de volatilidad, complejidad y
ambigüedad. La gestión de riesgos empresariales será una parte importante de cómo una organización gestiona
y prospera en estos tiempos. Independientemente del tipo y tamaño de una entidad, las estrategias deben
mantenerse fieles a su misión. Y todas las entidades deben exhibir rasgos que impulsen una respuesta eficaz al
cambio, incluida la toma de decisiones ágil, la capacidad de responder de manera cohesiva y la capacidad de
adaptación para pivotar y reposicionarse mientras se mantienen altos niveles de confianza entre las partes interesadas.
• Aprovechar la inteligencia artificial y la automatización: muchas personas sienten que hemos entrado
• Lidiar con la proliferación de datos: a medida que haya más y más datos disponibles y aumente la velocidad
a la que se pueden analizar nuevos datos, la gestión de riesgos empresariales deberá adaptarse. Los
datos provendrán tanto de dentro como de fuera de la entidad, y se estructurarán de nuevas formas. Las
herramientas avanzadas de análisis y visualización de datos evolucionarán y serán muy útiles para
comprender el riesgo y su impacto, tanto positivo como negativo.
la era de los procesos automatizados y la inteligencia artificial. Independientemente de las creencias
individuales, es importante que las prácticas de gestión de riesgos empresariales consideren el impacto de
estas y futuras tecnologías, y aprovechen sus capacidades. Se pueden descubrir relaciones, tendencias y
patrones previamente irreconocibles, lo que proporciona una rica fuente de información crítica para gestionar
el riesgo.
• Gestión del costo de la gestión de riesgos: una preocupación frecuente expresada por muchos ejecutivos de
negocios es el costo de la gestión de riesgos, los procesos de cumplimiento y las actividades de control en
comparación con el valor obtenido. A medida que evolucionan las prácticas de gestión de riesgos
empresariales, será importante que las actividades que abarcan el riesgo, el cumplimiento, el control e
incluso el gobierno se coordinen de manera eficiente para brindar el máximo beneficio a la organización.
Esto puede representar una de las mejores oportunidades para que la gestión de riesgos empresariales
redefina su importancia para la organización.
Resumen ejecutivo
4 Al final de este documento se proporciona una descripción más completa de estos veinte principios.
Mirando hacia el futuro
7
junio 2017
Cambiar
19. Comunica el riesgo
3. Define la cultura deseada
14. Desarrolla la vista de
cartera
e informes
& Revisión
8. Evalúa la alternativa
y retiene capaz
Información,
Rendimiento
10. Identifica el riesgo
13. Implementa Riesgo
Información
2. Establece operaciones 16. Revisa el Riesgo y
6. Analiza Negocios
Estrategias 20. Informes de Riesgo,
Objetivos
12. Prioriza los Riesgos
18. Aprovecha la información y la
tecnología
Gobernancia
15. Evalúa Sustancial
estrategia y
11. Evalúa la gravedad
4. Demuestra
compromiso con
los valores fundamentales
7. Define el apetito por el riesgo
Revisar
Comunicación,
Respuestas
Cultura y
Actuación
Contexto
Rendimiento
Estructuras
Individuos
de Riesgo
Establecimiento de objetivos
1. Ejerce la Supervisión de Riesgos
del Directorio
17. Persigue la mejora en la
gestión de riesgos
empresariales
& Cultura
5. Atrae, desarrolla,
9. Formula Negocios
Machine Translated by Google
12. En resumen, la gestión de riesgos empresariales deberá cambiar y adaptarse al futuro para
proporcionar de manera consistente los beneficios descritos en el Marco. Con el enfoque correcto,
los beneficios derivados de la gestión de riesgos empresariales superarán con creces las
inversiones y brindarán a las organizaciones confianza en su capacidad para manejar el futuro.
Gestión de riesgos empresariales | Integración con estrategia y desempeño
junio 2017
8
• Construir organizaciones más fuertes: A medida que las organizaciones integran mejor la
gestión de riesgos empresariales con la estrategia y el desempeño, se presentará una
oportunidad para fortalecer la resiliencia. Al conocer los riesgos que tendrán el mayor
impacto en la entidad, las organizaciones pueden utilizar la gestión de riesgos empresariales
para ayudar a implementar capacidades que les permitan actuar con anticipación. Esto abrirá
nuevas oportunidades.
Machine Translated by Google
13. 9
Un agradecimiento especial a las siguientes empresas y organizaciones por permitir la participación de los
miembros y observadores del Consejo Asesor.
Resumen ejecutivo
Educación Superior y Asociaciones
Ex miembro de la junta de COSO
Empresas y Organizaciones
Empresas de servicios profesionales
junio 2017
Expresiones de gratitud
Miembros del Consejo Asesor observadores
Kreisel)
• Federación Internacional de Contadores
• Protiviti Inc. (James DeLoach)
(Harrison Greene) •
Oficina de Responsabilidad Gubernamental (James
• Crowe Horwath LLP (William Watts)
• Deloitte & Touche LLP (Henry Ristuccia) • Ernst &
Young (Anthony J. Carmello) • James Lam &
Associates (James Lam) • Grant Thornton LLP
(Bailey Jordan) • KPMG LLP Americas (Deon
Minnaar) • Mercury Business Advisors Inc. (Patricio
Dalkin)
• Instituto de Contadores de Gestión
• Microsoft (Jeff Pratt) •
Departamento de Comercio de EE. UU. (Karen
Hardy) • United Technologies Corporation
(Margaret Boissoneau) • Zurich Insurance
Company (James Davenport)
• Universidad Estatal de Carolina del Norte (Mark
Beasley) • Universidad de St. John (Paul
Walker) • El Instituto de Auditores Internos
(Douglas J. Anderson)
• Corporación Federal de Seguros de Depósito
• Sociedad de Gestión de Riesgos (Carol Fox)
• Presidente de COSO, 2009–2013 (David
asiento de país)
• Athene USA (Jane Karli) •
Edison International (David J. Heller) • First
Data Corporation (Lee Marks) • Georgia-Pacific
LLC (Paul Sobel) • Invesco Ltd. (Suzanne
Christensen)
(Jeff Thompson) •
Instituto de Contadores Públicos (Horst
Sorbete)
(Vincent Tophoff) •
ISACA (Jennifer Bayuk)
Machine Translated by Google
14. 8. Evalúa estrategias alternativas—La organización evalúa estrategias alternativas y
15. Evalúa el cambio sustancial: la organización identifica y evalúa los cambios que pueden
20. Informes sobre riesgo, cultura y desempeño—La organización informa sobre riesgo, cultura y
13. Implementa respuestas al riesgo—La organización identifica y selecciona respuestas al riesgo.
7. Define el apetito por el riesgo: la organización define el apetito por el riesgo en el contexto de la creación,
sistemas tecnológicos para apoyar la gestión de riesgos empresariales.
11. Evalúa la gravedad del riesgo: la organización evalúa la gravedad del riesgo.
6. Analiza el contexto empresarial: la organización considera los efectos potenciales del contexto empresarial .
mejora de la gestión de riesgos empresariales.
afectan sustancialmente la estrategia y los objetivos comerciales.
riesgo.
objetivos comerciales en varios niveles que alinean y respaldan la estrategia.
4. Demuestra compromiso con los valores fundamentales: la organización demuestra un compromiso con los valores
fundamentales de la entidad.
desempeño en múltiples niveles y en toda la entidad.
19. Comunica información sobre riesgos: la organización utiliza canales de comunicación para respaldar la gestión de
riesgos empresariales.
14. Desarrolla una vista de cartera—La organización desarrolla y evalúa una vista de cartera del riesgo.
1. Ejerce la supervisión de riesgos de la junta: la junta directiva supervisa la estrategia y lleva a cabo responsabilidades
de gobierno para apoyar a la administración en el logro de la estrategia y los objetivos comerciales.
preservar y realizar el valor.
3. Define la Cultura Deseada—La organización define los comportamientos deseados que caracterizan la
impacto potencial en el perfil de riesgo.
18. Aprovecha los sistemas de información—La organización aprovecha la información de la entidad y
sobre el perfil de riesgo.
12. Prioriza los riesgos: la organización prioriza los riesgos como base para seleccionar las respuestas a los riesgos.
5. Atrae, desarrolla y retiene a personas capaces: la organización está comprometida con la creación de capital
humano en consonancia con la estrategia y los objetivos comerciales.
10. Identifica el riesgo: la organización identifica el riesgo que afecta el desempeño de la estrategia y los objetivos
comerciales.
17. Persigue la mejora en la gestión de riesgos empresariales: la organización persigue
9. Formula los objetivos comerciales: la organización considera el riesgo al establecer los
la cultura deseada de la entidad.
16. Revisa el riesgo y el desempeño: la organización revisa el desempeño de la entidad y considera
2. Establece estructuras operativas: la organización establece estructuras operativas en la búsqueda de la estrategia y
los objetivos comerciales.
junio 2017
Gestión de riesgos empresariales | Integración con estrategia y desempeño
10
Componentes y Principios
Machine Translated by Google
16. Empresa Gestión—Integración con Rendimiento
Riesgo
Una versión
completa de comprada visitando el sitio web www.coso.org.
estrategiay puede ser
Machine Translated by Google