Machine Translated by Google Comité de Organizaciones Patrocinadoras de la Comisión Treadway Gestión de riesgos empresariales Integración con estrategia y desempeño Resumen ejecutivo junio 2017
Machine Translated by Google Este proyecto fue encargado por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO), que se dedica a brindar liderazgo de pensamiento a través del desarrollo de marcos integrales y orientación sobre control interno, gestión de riesgos empresariales y disuasión del fraude diseñados para mejorar el desempeño organizacional. y supervisión y para reducir el alcance del fraude en las organizaciones. COSO es una iniciativa del sector privado, patrocinada y financiada conjuntamente por: • Asociación Americana de Contabilidad • Instituto Americano de Contadores Públicos Certificados • Internacional de Ejecutivos Financieros • Instituto de Contadores de Gestión • El Instituto de Auditores Internos ©2017 Todos los derechos reservados. Ninguna parte de esta publicación puede ser reproducida, redistribuida, transmitida o exhibida de ninguna forma o por ningún medio sin el permiso por escrito de COSO. P254469-01 0516
Machine Translated by Google Resumen ejecutivo Prefacio De acuerdo con su misión general, la Junta de COSO encargó y publicó en 2004 Enterprise Risk Management—Integrated Framework. Durante la última década, esa publicación ha ganado una amplia aceptación por parte de las organizaciones en sus esfuerzos por gestionar el riesgo. Sin embargo, también durante ese período, la complejidad del riesgo ha cambiado, han surgido nuevos riesgos y tanto las juntas como los ejecutivos han mejorado su conciencia y supervisión de la gestión de riesgos empresariales al tiempo que solicitan una mejor información sobre riesgos. Esta actualización de la publicación de 2004 aborda la evolución de la gestión de riesgos empresariales y la necesidad de que las organizaciones mejoren su enfoque de la gestión de riesgos para satisfacer las demandas de un entorno empresarial en evolución. El documento actualizado, ahora titulado Gestión de riesgos empresariales: integración con la estrategia y el rendimiento, destaca la importancia de considerar el riesgo tanto en el proceso de establecimiento de la estrategia como en el impulso del rendimiento. La primera parte de la publicación actualizada ofrece una perspectiva sobre los conceptos y aplicaciones actuales y en evolución de la gestión de riesgos empresariales. La segunda parte, el Marco, está organizado en cinco componentes fáciles de entender que se adaptan a diferentes puntos de vista y estructuras operativas, y mejoran las estrategias y la toma de decisiones. En resumen, esta actualización: • Proporciona una mayor comprensión del valor de la gestión de riesgos empresariales al establecer y llevando a cabo la estrategia. • Mejora la alineación entre el rendimiento y la gestión de riesgos empresariales para mejorar el establecimiento de objetivos de rendimiento y comprender el impacto del riesgo en el rendimiento. • Se adapta a las expectativas de gobernanza y supervisión. • Reconoce la globalización de los mercados y operaciones y la necesidad de aplicar un sistema común, aunque adaptado, enfoque a través de geografías. • Presenta nuevas formas de ver el riesgo para establecer y lograr objetivos en el contexto de una mayor complejidad empresarial. • Amplía los informes para abordar las expectativas de una mayor transparencia de las partes interesadas. • Acomoda tecnologías en evolución y la proliferación de datos y análisis para respaldar la toma de decisiones. • Establece definiciones, componentes y principios básicos para todos los niveles de gestión involucrados en el diseño, implementación y realización de prácticas de gestión de riesgos empresariales. Los lectores también pueden consultar una publicación complementaria, COSO's Internal Control— Marco Integrado. Las dos publicaciones son distintas y tienen diferentes enfoques; ninguno reemplaza al otro. Sin embargo, se conectan. Control Interno—Marco Integrado abarca el control interno, al que se hace referencia en parte en esta publicación actualizada y, por lo tanto, el documento anterior sigue siendo viable y adecuado para diseñar, implementar, conducir y evaluar el control interno, y para la consiguiente presentación de informes. La Junta de COSO desea agradecer a PwC por sus importantes contribuciones en el desarrollo de la Gestión de riesgos empresariales: integración con la estrategia y el desempeño. Su plena consideración de los aportes proporcionados por muchas partes interesadas y su percepción fueron fundamentales para garantizar que se hayan conservado los puntos fuertes de la publicación original y que el texto se haya aclarado o ampliado donde se consideró útil hacerlo. La Junta de COSO y PwC juntos también quisieran agradecer al Consejo Asesor y a los Observadores por sus contribuciones en la revisión y la retroalimentación. Robert B Hirth Jr. Dennis L Chesley Cátedra COSO Socio líder del proyecto de PwC y líder regulatorio y de riesgos global y de APA junio 2017 iii
Machine Translated by Google Gestión de riesgos empresariales | Integración con estrategia y desempeño Comité de Organizaciones Patrocinadoras de la Comisión Treadway Miembros de la Junta Cámaras de Richard F. Mitchell A. Danaher El Instituto de Auditores Internos Ejecutivos financieros internacionales Robert B Hirth Jr. Cátedra COSO Carlos E Landas douglas f prawitt sandra richtermeyer Instituto Americano de Contadores Públicos Asociación Americana de Contabilidad Certificados Instituto de Gestión contadores PwC—Autor Colaboradores principales Dennis L. Chesley Socio Frank J. Martens principal del proyecto y líder Director principal de proyecto y Millas EA Everson regulatorio y de riesgos global y líder de metodología y marco de Líder de compromiso y líder asesor de la APA riesgo global global y de Asia, el Pacífico y las Columbia Británica, Canadá Américas (APA) Washington DC, Estados Unidos Katie T. Sylvis Nueva York, Estados Unidos Directora Washington DC, EE. UU. matthew bagin helen katz Director Director María Grimshaw Asociado Senior Washington DC, Estados Unidos Nueva York, Estados Unidos Nueva York, Estados Unidos Sallie Jo Perraglia Kathleen Crader Zelnik Gerente Gerente Nueva York, Estados Unidos Washington DC, Estados Unidos IV junio 2017
Machine Translated by Google Resumen ejecutivo El cambiante panorama de riesgos Nuestra comprensión de la naturaleza del riesgo, el arte y la ciencia de la elección, se encuentra en el centro de nuestra economía moderna. Cada elección que hacemos en la búsqueda de objetivos tiene sus riesgos. Desde las decisiones operativas diarias hasta las compensaciones fundamentales en la sala de juntas, lidiar con el riesgo en estas elecciones es parte de la toma de decisiones. Mientras buscamos optimizar un rango de resultados posibles, las decisiones rara vez son binarias, con una respuesta correcta e incorrecta. Es por eso que la gestión de riesgos empresariales puede llamarse tanto un arte como una ciencia. Y cuando el riesgo se considera en la formulación de la estrategia y los objetivos comerciales de una organización, la gestión del riesgo empresarial ayuda a optimizar los resultados. Nuestra comprensión del riesgo y nuestra práctica de gestión de riesgos empresariales han mejorado mucho en las últimas décadas. Pero el margen de error se está reduciendo. El Foro Económico Mundial ha comentado sobre la “volatilidad, complejidad y ambigüedad crecientes del mundo”.1 Ese es un fenómeno que todos reconocemos. Las organizaciones enfrentan desafíos que afectan la confiabilidad, la relevancia y la confianza. Las partes interesadas están más comprometidas hoy en día, buscan una mayor transparencia y responsabilidad para gestionar el impacto del riesgo mientras evalúan críticamente la capacidad del liderazgo para cristalizar oportunidades. Incluso el éxito puede traer consigo un riesgo adicional a la baja: el riesgo de no poder satisfacer una demanda inesperadamente alta o mantener el impulso comercial esperado, por ejemplo. Las organizaciones necesitan ser más adaptables al cambio. Necesitan pensar estratégicamente sobre cómo gestionar la creciente volatilidad, complejidad y ambigüedad del mundo, particularmente en los niveles superiores de la organización y en la sala de juntas donde hay más en juego. Gestión de riesgos empresariales: la integración con la estrategia y el rendimiento proporciona un marco para las juntas y la gestión en entidades de todos los tamaños. Se basa en el nivel actual de gestión de riesgos que existe en el curso normal de los negocios. Además, demuestra cómo la integración de las prácticas de gestión de riesgos empresariales en toda una entidad ayuda a acelerar el crecimiento y mejorar el rendimiento. También contiene principios que se pueden aplicar, desde la toma de decisiones estratégicas hasta el desempeño. A continuación, describimos por qué tiene sentido que la administración y las juntas usen el marco de gestión de riesgos empresariales,2 lo que las organizaciones han logrado al aplicar la gestión de riesgos empresariales y qué beneficios adicionales pueden obtener a través de su uso continuo. Concluimos con una mirada al futuro. Guía de gestión para la gestión de riesgos empresariales La gerencia tiene la responsabilidad general de administrar el riesgo de la entidad, pero es importante que la gerencia vaya más allá: mejore la conversación con la junta directiva y las partes interesadas sobre el uso de la gestión de riesgos empresariales para obtener una ventaja competitiva. Eso comienza con la implementación de capacidades de gestión de riesgos empresariales como parte de la selección y perfeccionamiento de una estrategia. En particular, a través de este proceso, la gerencia obtendrá una mejor comprensión de cómo la consideración explícita del riesgo puede afectar la elección de la estrategia. La gestión de riesgos empresariales enriquece el diálogo de gestión añadiendo perspectiva a las fortalezas y debilidades de una estrategia a medida que cambian las condiciones, y qué tan bien encaja una estrategia con la misión y visión de la organización. Permite que la gerencia se sienta más segura de que ha examinado estrategias alternativas y considerado los aportes de aquellos en su organización que implementarán la estrategia seleccionada. .................................................... .................................................... . 1 1 The Global Risks Report 2016, 11.ª edición, Foro Económico Mundial (2016). 2 El Marco utiliza el término \"junta de directores\" o \"junta\", que abarca el órgano de gobierno, incluida la junta, el consejo de supervisión, el consejo de administración, los socios generales o el propietario. junio 2017
Machine Translated by Google Gestión de riesgos empresariales | Integración con estrategia y desempeño Una vez que se establece la estrategia, la gestión de riesgos empresariales proporciona una forma efectiva para que la gerencia cumpla con su función, sabiendo que la organización está en sintonía con los riesgos que pueden afectar la estrategia y los está administrando bien. La aplicación de la gestión de riesgos empresariales ayuda a crear confianza e inculcar confianza en las partes interesadas en el entorno actual, que exige un mayor escrutinio que nunca antes sobre cómo el riesgo está abordando y gestionando activamente estos riesgos. La guía de la junta para la gestión de riesgos empresariales Cada directorio tiene una función de supervisión, que ayuda a respaldar la creación de valor en una entidad y evita su declive. Tradicionalmente, la gestión de riesgos empresariales ha desempeñado un importante papel de apoyo a nivel de directorio. Ahora, se espera cada vez más que las juntas supervisen la gestión de riesgos empresariales. El Marco proporciona consideraciones importantes para las juntas al definir y abordar sus responsabilidades de supervisión de riesgos. Estas consideraciones incluyen la gobernanza y la cultura; estrategia y establecimiento de objetivos; rendimiento; información, comunicaciones y presentación de informes; y la revisión y revisión de prácticas para mejorar el desempeño de la entidad. El rol de supervisión de riesgos de la junta puede incluir, pero no se limita a: • Revisar, desafiar y estar de acuerdo con la gerencia sobre: – Propuesta de estrategia y apetito de riesgo. – Alineación de la estrategia y los objetivos comerciales con la misión, visión y valores fundamentales – Decisiones comerciales significativas, incluidas adquisiciones de fusiones, asignaciones de capital, financiamiento y decisiones relacionadas con dividendos – Respuesta a fluctuaciones significativas en el desempeño de la entidad o la visión de riesgo de la cartera. – Respuestas a instancias de desviación de los valores fundamentales. Preguntas para la • Aprobar los incentivos y remuneraciones de la gerencia. gerencia • Participar en las relaciones con inversores y accionistas. ¿Puede toda la gerencia, no solo el director de riesgos, articular cómo se considera el riesgo A más largo plazo, la gestión de riesgos empresariales también puede mejorar la resiliencia en la selección de estrategias o decisiones de la empresa: la capacidad de anticipar y responder al cambio. Ayuda a las organizaciones a identificar factores que representan no solo riesgo, sino también cambio, y cómo ese cambio comerciales? ¿Pueden articular claramente el podría afectar el rendimiento y requerir un cambio en la estrategia. Al ver el cambio más apetito por el riesgo de la entidad y cómo podría claramente, una organización puede diseñar su propio plan; por ejemplo, ¿debería retroceder influir en una decisión específica? La conversación defensivamente o invertir en un nuevo negocio? La gestión de riesgos empresariales resultante puede arrojar luz sobre cómo es proporciona el marco adecuado para que las juntas evalúen el riesgo y adopten una realmente la mentalidad para asumir riesgos en la mentalidad de resiliencia. organización. Los directorios también pueden pedirle a Qué gestión de riesgos empresariales Ha logrado la alta gerencia que hable no solo sobre los procesos de riesgo sino también sobre la cultura. COSO publicó Enterprise Risk Management—Integrated Framework en 2004. ¿Cómo permite o inhibe la cultura la asunción El propósito de esa publicación era ayudar a las entidades a proteger mejor y mejorar el valor de las partes interesadas. Su filosofía subyacente era que “el valor se maximiza responsable de riesgos? ¿Qué lente usa la gerencia cuando la administración establece la estrategia y los objetivos para lograr un equilibrio para monitorear la cultura de riesgo y cómo ha óptimo entre las metas de crecimiento y rendimiento y los riesgos relacionados, y despliega cambiado eso? A medida que las cosas cambian, y los recursos de manera eficiente y eficaz en la búsqueda de los objetivos de la entidad.”3 las cosas cambiarán ya sea que estén o no en el radar de la entidad, ¿cómo puede la junta estar segura de una respuesta adecuada y oportuna de la administración? .................................................... .................................................... . 3 Gestión de riesgos empresariales: marco integrado, resumen ejecutivo, COSO (2004). 2 junio 2017
Machine Translated by Google Resumen ejecutivo Desde su publicación, el Marco se ha utilizado con éxito en todo el mundo, en aclarando algunos todas las industrias y en organizaciones de todos los tipos y tamaños para conceptos erróneos identificar riesgos, gestionar esos riesgos dentro de un apetito de riesgo definido y respaldar el logro de objetivos. Hemos escuchado algunos conceptos Sin embargo, aunque muchos han aplicado el Marco en la práctica, tiene el erróneos sobre el Framework original potencial de ser utilizado más ampliamente. Se beneficiaría de examinar ciertos desde que se presentó en 2004. Para dejar aspectos con más profundidad y claridad, y de proporcionar una mayor comprensión de los vínculos entre estrategia, riesgo y rendimiento. En respuesta, las cosas claras: por lo tanto, el Marco actualizado en esta publicación: La gestión de riesgos empresariales no es • Conecta más claramente la gestión de riesgos empresariales con una una función o un departamento. Es la multitud de expectativas de las partes interesadas. cultura, las capacidades y las prácticas que las organizaciones integran con el establecimiento • Posiciona el riesgo en el contexto de una organización de estrategias y aplican cuando llevan a cabo actuación, más que como tema de un ejercicio aislado. esa estrategia, con el propósito de administrar el riesgo en la creación, preservación y • Permite a las organizaciones anticipar mejor el riesgo para que puedan realización de valor. adelantarse a él, con la comprensión de que el cambio crea oportunidades, no simplemente el potencial de las crisis. La gestión de riesgos empresariales es más que una lista de riesgos. Requiere más que Esta actualización también responde al llamado de un mayor énfasis en cómo la hacer un inventario de todos los riesgos dentro gestión de riesgos empresariales informa la estrategia y su desempeño. de la organización. Es más amplio e incluye prácticas que la administración implementa para Beneficios del riesgo empresarial efectivo administrar activamente el riesgo. Gestión La gestión de riesgos empresariales Todas las organizaciones necesitan establecer una estrategia y ajustarla aborda más que el control interno. periódicamente, siempre estando al tanto de las oportunidades en constante cambio para crear valor y los desafíos que se presentarán en la búsqueda de También aborda otros temas, como el ese valor. Para hacer eso, necesitan el mejor marco posible para optimizar la establecimiento de estrategias, la gobernanza, estrategia y el rendimiento. la comunicación con las partes interesadas y la medición del desempeño. Sus principios se Ahí es donde entra en juego la gestión de riesgos empresariales. aplican en todos los niveles de la organización Las organizaciones que integran la gestión de riesgos empresariales y en todas las funciones. en toda la entidad pueden obtener muchos beneficios, incluidos, entre otros: La gestión de riesgos empresariales no es • Aumentar la gama de oportunidades: al considerar todas las posibilidades, una lista de verificación. Es un conjunto de tanto los aspectos positivos como los negativos del riesgo, principios sobre los cuales se pueden la gerencia puede identificar nuevas oportunidades y desafíos únicos construir o integrar procesos para una asociados con las oportunidades actuales. organización en particular, y es un sistema de seguimiento, aprendizaje y mejora del desempeño. • Identificar y administrar el riesgo en toda la entidad: cada entidad enfrenta una miríada de riesgos que pueden afectar muchas partes de la organización. La gestión de riesgos empresariales puede A veces, un riesgo puede originarse en una parte de la entidad pero impactar ser utilizada por organizaciones de cualquier en una parte diferente. En consecuencia, la dirección identifica y gestiona tamaño. Si una organización tiene una misión, estos riesgos de toda la entidad para mantener y mejorar el rendimiento. una estrategia y objetivos, y la necesidad de tomar decisiones que consideren completamente • Aumentar los resultados positivos y la ventaja mientras se reducen el riesgo, entonces se puede aplicar la gestión Sorpresas negativas: La gestión del riesgo empresarial permite a las de riesgos empresariales. Puede y debe ser entidades mejorar su capacidad para identificar riesgos y establecer respuestas utilizado por todo tipo de organizaciones, desde apropiadas, reduciendo las sorpresas y los costos o pérdidas relacionados, pequeñas empresas hasta empresas sociales mientras se benefician de desarrollos ventajosos. comunitarias, agencias gubernamentales y empresas Fortune 500. junio 2017 3
Machine Translated by Google Gestión de riesgos empresariales | Integración con estrategia y desempeño • Reducir la variabilidad del desempeño: para algunos, el desafío es menos con sorpresas y pérdidas y más con la variabilidad en el desempeño. Actuar antes de lo previsto o más allá de las expectativas puede causar tanta preocupación como hacerlo por debajo de lo previsto y de las expectativas. La gestión de riesgos empresariales permite a las organizaciones anticipar los riesgos que afectarían el rendimiento y les permite implementar las acciones necesarias para minimizar las interrupciones y maximizar las oportunidades. • Mejorar el despliegue de recursos: cada riesgo podría considerarse una solicitud de recursos. La obtención de información sólida sobre el riesgo permite a la administración, frente a recursos finitos, evaluar las necesidades generales de recursos, priorizar el despliegue de recursos y mejorar la asignación de recursos. • Mejorar la resiliencia empresarial: la viabilidad a mediano y largo plazo de una entidad depende de su capacidad para anticipar y responder al cambio, no solo para sobrevivir sino también para evolucionar y prosperar. Esto es, en parte, posible gracias a una gestión eficaz del riesgo empresarial. Se vuelve cada vez más importante a medida que se acelera el ritmo del cambio y aumenta la complejidad del negocio. Estos beneficios resaltan el hecho de que el riesgo no debe verse únicamente como una restricción potencial o un desafío para establecer y llevar a cabo una estrategia. Más bien, el cambio que subyace al riesgo y las respuestas organizacionales al riesgo dan lugar a oportunidades estratégicas y capacidades diferenciadoras clave. El papel del riesgo en la selección de estrategias La selección de estrategias consiste en tomar decisiones y aceptar compensaciones. Por lo tanto, tiene sentido aplicar la gestión de riesgos empresariales a la estrategia, ya que es el mejor enfoque para desentrañar el arte y la ciencia de tomar decisiones bien informadas. El riesgo es una consideración en muchos procesos de establecimiento de estrategias. Pero el riesgo a menudo se evalúa principalmente en relación con su efecto potencial sobre una estrategia ya determinada. En otras palabras, las discusiones se centran en los riesgos de la estrategia existente: tenemos una estrategia, ¿qué podría afectar la relevancia y viabilidad de nuestra estrategia? Pero hay otras preguntas que hacer sobre la estrategia, qué organizaciones están mejorando al preguntar: ¿Hemos modelado la demanda del cliente con precisión? ¿Nuestra cadena de suministro entregará a tiempo y dentro del presupuesto? ¿Aparecerán nuevos competidores? ¿Está nuestra infraestructura tecnológica a la altura? Este es el tipo de preguntas con las que los ejecutivos se enfrentan todos los días, y responderlas es fundamental para llevar a cabo una estrategia. Sin embargo, el riesgo para la estrategia elegida es solo un aspecto a considerar. Como enfatiza este Marco, hay dos aspectos adicionales de la gestión del riesgo empresarial que pueden tener un efecto mucho mayor en el valor de una entidad: la posibilidad de que la estrategia no se alinee y las implicaciones de la estrategia elegida. El primero de ellos, la posibilidad de que la estrategia no se alinee con la misión, la visión y los valores fundamentales de una organización, es fundamental para las decisiones que subyacen a la selección de la estrategia. Cada entidad tiene una misión, visión y valores fundamentales que definen lo que está tratando de lograr y cómo quiere realizar negocios. Algunas organizaciones se muestran escépticas acerca de abrazar verdaderamente sus credos corporativos. Pero se ha demostrado que la misión, la visión y los valores fundamentales son importantes, y lo son más cuando se trata de gestionar el riesgo y permanecer resilientes durante los períodos de cambio. 4 junio 2017
Machine Translated by Google Resumen ejecutivo Una estrategia elegida debe apoyar la misión y la visión de la organización. Una estrategia desalineada aumenta la posibilidad de que la organización no cumpla con su misión y visión, o comprometa sus valores, incluso si una estrategia se lleva a cabo con éxito. Por lo tanto, la gestión del riesgo empresarial considera la posibilidad de que la estrategia no esté alineada con la misión y visión de la organización. El otro aspecto adicional son las implicaciones de la estrategia elegida. Cuando la gerencia desarrolla una estrategia y trabaja con alternativas con la junta, toma decisiones sobre las compensaciones inherentes a la estrategia. Cada estrategia alternativa tiene su propio perfil de riesgo: estas son las implicaciones que surgen de la estrategia. La junta directiva y la gerencia deben determinar si la estrategia funciona junto con el apetito de riesgo de la organización y cómo ayudará a impulsar a la organización a establecer objetivos y, en última instancia, a asignar recursos de manera eficiente. Esto es lo importante: la gestión de riesgos empresariales se trata tanto de comprender las implicaciones de la estrategia y la posibilidad de que la estrategia no se alinee como de gestionar los riesgos para establecer objetivos. La siguiente figura ilustra estas consideraciones en el contexto de la misión, la visión, los valores fundamentales y como impulsor de la dirección y el desempeño general de una entidad. nortegramo I II atIO sCmetropagsnorte Y Inorte Y Ot aIIgramo h norte Y r MISIÓN VISIÓN & BI ESTRATEGIA, MEJORADO NEGOCIO Yh RENDIMIENTO VALORES FUNDAMENTALES rF rF OBJETIVOS, & Y RENDIMIENTO RI norte s apara t strat & rF rO metro Y ygramo Ypags O La gestión de riesgos empresariales, tal como se ha practicado habitualmente, ha ayudado a muchas organizaciones a identificar, evaluar y gestionar los riesgos para la estrategia. Pero las causas más significativas de destrucción de valor están integradas en la posibilidad de que la estrategia no apoye la misión y visión de la entidad, y las implicaciones de la estrategia. La gestión de riesgos empresariales mejora la selección de estrategias. Elegir una estrategia requiere una toma de decisiones estructurada que analice el riesgo y alinee los recursos con la misión y la visión de la organización. junio 2017 5
Machine Translated by Google Gestión de riesgos empresariales | Integración con estrategia y desempeño Un marco enfocado Gestión de riesgos empresariales: la integración con la estrategia y el rendimiento aclara la importancia de la gestión de riesgos empresariales en la planificación estratégica y su integración en toda la organización, ya que el riesgo influye y alinea la estrategia y el rendimiento en todos los departamentos y funciones. GESTIÓN DE RIESGOS EMPRESARIALES MISIÓN VISIÓN, ESTRATEGIA NEGOCIO IMPLEMENTACIÓN MEJORADO DESARROLLO OBJETIVO & RENDIMIENTO VALOR & VALORES FUNDAMENTALES FORMULACIÓN Gobernancia estrategia y Rendimiento Revisar Información, & Cultura & Revisión Comunicación, Establecimiento de objetivos e informes El Marco en sí es un conjunto de principios organizados en cinco componentes interrelacionados: 1. Gobierno y cultura: el gobierno establece el tono de la organización, reforzando la importancia y estableciendo responsabilidades de supervisión para la gestión de riesgos empresariales. La cultura se relaciona con los valores éticos, los comportamientos deseados y la comprensión del riesgo en la entidad. 2. Estrategia y establecimiento de objetivos: gestión de riesgos empresariales, estrategia y establecimiento de objetivos trabajar juntos en el proceso de planificación estratégica. Se establece un apetito por el riesgo y se alinea con la estrategia; Los objetivos comerciales ponen en práctica la estrategia y sirven como base para identificar, evaluar y responder al riesgo. 3. Desempeño: Es necesario identificar y evaluar los riesgos que pueden afectar el logro de la estrategia y los objetivos comerciales. Los riesgos se priorizan por gravedad en el contexto del apetito por el riesgo. Luego, la organización selecciona las respuestas al riesgo y toma una vista de cartera de la cantidad de riesgo que ha asumido. Los resultados de este proceso se informan a las principales partes interesadas en el riesgo. 4. Revisión y Revisión: Al revisar el desempeño de la entidad, una organización puede Considere qué tan bien están funcionando los componentes de gestión de riesgos corporativos a lo largo del tiempo y a la luz de cambios sustanciales, y qué revisiones son necesarias. 5. Información, comunicación y elaboración de informes: la gestión de riesgos empresariales requiere un proceso continuo de obtener y compartir la información necesaria, tanto de fuentes internas como externas, que fluye hacia arriba, hacia abajo y en toda la organización. 6 junio 2017
Machine Translated by Google Resumen ejecutivo Los cinco componentes del Marco actualizado están respaldados por un conjunto de principios.4 Estos principios cubren todo, desde la gobernanza hasta el monitoreo. Son manejables en tamaño y describen prácticas que se pueden aplicar de diferentes maneras para diferentes organizaciones, independientemente de su tamaño, tipo o sector. La adhesión a estos principios puede brindar a la gerencia y al directorio una expectativa razonable de que la organización comprende y se esfuerza por administrar los riesgos asociados con su estrategia y objetivos comerciales. Gobernancia estrategia y Rendimiento Revisar Información, & Cultura Establecimiento de objetivos & Revisión Comunicación, e informes 1. Ejerce la Supervisión de Riesgos 6. Analiza Negocios 10. Identifica el riesgo 15. Evalúa Sustancial del Directorio Contexto Cambiar 18. Aprovecha la información y la 11. Evalúa la gravedad tecnología 2. Establece operaciones 7. Define el apetito por el riesgo de Riesgo 16. Revisa el Riesgo y Estructuras 8. Evalúa la alternativa Rendimiento 19. Comunica el riesgo 12. Prioriza los Riesgos Información 3. Define la cultura deseada Estrategias 17. Persigue la mejora en la 4. Demuestra 9. Formula Negocios 13. Implementa Riesgo gestión de riesgos 20. Informes de Riesgo, Respuestas empresariales Cultura y compromiso con Objetivos Actuación los valores fundamentales 14. Desarrolla la vista de cartera 5. Atrae, desarrolla, y retiene capaz Individuos Mirando hacia el futuro No hay duda de que las organizaciones seguirán enfrentando un futuro lleno de volatilidad, complejidad y ambigüedad. La gestión de riesgos empresariales será una parte importante de cómo una organización gestiona y prospera en estos tiempos. Independientemente del tipo y tamaño de una entidad, las estrategias deben mantenerse fieles a su misión. Y todas las entidades deben exhibir rasgos que impulsen una respuesta eficaz al cambio, incluida la toma de decisiones ágil, la capacidad de responder de manera cohesiva y la capacidad de adaptación para pivotar y reposicionarse mientras se mantienen altos niveles de confianza entre las partes interesadas. A medida que miramos hacia el futuro, hay varias tendencias que tendrán un efecto en la gestión de riesgos empresariales. Solo cuatro de estos son: • Lidiar con la proliferación de datos: a medida que haya más y más datos disponibles y aumente la velocidad a la que se pueden analizar nuevos datos, la gestión de riesgos empresariales deberá adaptarse. Los datos provendrán tanto de dentro como de fuera de la entidad, y se estructurarán de nuevas formas. Las herramientas avanzadas de análisis y visualización de datos evolucionarán y serán muy útiles para comprender el riesgo y su impacto, tanto positivo como negativo. • Aprovechar la inteligencia artificial y la automatización: muchas personas sienten que hemos entrado la era de los procesos automatizados y la inteligencia artificial. Independientemente de las creencias individuales, es importante que las prácticas de gestión de riesgos empresariales consideren el impacto de estas y futuras tecnologías, y aprovechen sus capacidades. Se pueden descubrir relaciones, tendencias y patrones previamente irreconocibles, lo que proporciona una rica fuente de información crítica para gestionar el riesgo. • Gestión del costo de la gestión de riesgos: una preocupación frecuente expresada por muchos ejecutivos de negocios es el costo de la gestión de riesgos, los procesos de cumplimiento y las actividades de control en comparación con el valor obtenido. A medida que evolucionan las prácticas de gestión de riesgos empresariales, será importante que las actividades que abarcan el riesgo, el cumplimiento, el control e incluso el gobierno se coordinen de manera eficiente para brindar el máximo beneficio a la organización. Esto puede representar una de las mejores oportunidades para que la gestión de riesgos empresariales redefina su importancia para la organización. .................................................... .................................................... .. 4 Al final de este documento se proporciona una descripción más completa de estos veinte principios. junio 2017 7
Machine Translated by Google Gestión de riesgos empresariales | Integración con estrategia y desempeño • Construir organizaciones más fuertes: A medida que las organizaciones integran mejor la gestión de riesgos empresariales con la estrategia y el desempeño, se presentará una oportunidad para fortalecer la resiliencia. Al conocer los riesgos que tendrán el mayor impacto en la entidad, las organizaciones pueden utilizar la gestión de riesgos empresariales para ayudar a implementar capacidades que les permitan actuar con anticipación. Esto abrirá nuevas oportunidades. En resumen, la gestión de riesgos empresariales deberá cambiar y adaptarse al futuro para proporcionar de manera consistente los beneficios descritos en el Marco. Con el enfoque correcto, los beneficios derivados de la gestión de riesgos empresariales superarán con creces las inversiones y brindarán a las organizaciones confianza en su capacidad para manejar el futuro. 8 junio 2017
Machine Translated by Google Resumen ejecutivo Expresiones de gratitud Un agradecimiento especial a las siguientes empresas y organizaciones por permitir la participación de los miembros y observadores del Consejo Asesor. Miembros del Consejo Asesor observadores Empresas y Organizaciones • Corporación Federal de Seguros de Depósito • Athene USA (Jane Karli) • (Harrison Greene) • Edison International (David J. Heller) • First Data Corporation (Lee Marks) • Georgia-Pacific Oficina de Responsabilidad Gubernamental (James LLC (Paul Sobel) • Invesco Ltd. (Suzanne Dalkin) Christensen) • Microsoft (Jeff Pratt) • • Instituto de Contadores de Gestión Departamento de Comercio de EE. UU. (Karen (Jeff Thompson) • Hardy) • United Technologies Corporation Instituto de Contadores Públicos (Horst (Margaret Boissoneau) • Zurich Insurance Kreisel) Company (James Davenport) • Federación Internacional de Contadores (Vincent Tophoff) • Educación Superior y Asociaciones • Universidad Estatal de Carolina del Norte (Mark ISACA (Jennifer Bayuk) • Sociedad de Gestión de Riesgos (Carol Fox) Beasley) • Universidad de St. John (Paul Walker) • El Instituto de Auditores Internos (Douglas J. Anderson) Empresas de servicios profesionales • Crowe Horwath LLP (William Watts) • Deloitte & Touche LLP (Henry Ristuccia) • Ernst & Young (Anthony J. Carmello) • James Lam & Associates (James Lam) • Grant Thornton LLP (Bailey Jordan) • KPMG LLP Americas (Deon Minnaar) • Mercury Business Advisors Inc. (Patricio Sorbete) • Protiviti Inc. (James DeLoach) Ex miembro de la junta de COSO • Presidente de COSO, 2009–2013 (David asiento de país) junio 2017 9
Machine Translated by Google Gestión de riesgos empresariales | Integración con estrategia y desempeño Componentes y Principios 1. Ejerce la supervisión de riesgos de la junta: la junta directiva supervisa la estrategia y lleva a cabo responsabilidades de gobierno para apoyar a la administración en el logro de la estrategia y los objetivos comerciales. 2. Establece estructuras operativas: la organización establece estructuras operativas en la búsqueda de la estrategia y los objetivos comerciales. 3. Define la Cultura Deseada—La organización define los comportamientos deseados que caracterizan la la cultura deseada de la entidad. 4. Demuestra compromiso con los valores fundamentales: la organización demuestra un compromiso con los valores fundamentales de la entidad. 5. Atrae, desarrolla y retiene a personas capaces: la organización está comprometida con la creación de capital humano en consonancia con la estrategia y los objetivos comerciales. 6. Analiza el contexto empresarial: la organización considera los efectos potenciales del contexto empresarial . sobre el perfil de riesgo. 7. Define el apetito por el riesgo: la organización define el apetito por el riesgo en el contexto de la creación, preservar y realizar el valor. 8. Evalúa estrategias alternativas—La organización evalúa estrategias alternativas y impacto potencial en el perfil de riesgo. 9. Formula los objetivos comerciales: la organización considera el riesgo al establecer los objetivos comerciales en varios niveles que alinean y respaldan la estrategia. 10. Identifica el riesgo: la organización identifica el riesgo que afecta el desempeño de la estrategia y los objetivos comerciales. 11. Evalúa la gravedad del riesgo: la organización evalúa la gravedad del riesgo. 12. Prioriza los riesgos: la organización prioriza los riesgos como base para seleccionar las respuestas a los riesgos. 13. Implementa respuestas al riesgo—La organización identifica y selecciona respuestas al riesgo. 14. Desarrolla una vista de cartera—La organización desarrolla y evalúa una vista de cartera del riesgo. 15. Evalúa el cambio sustancial: la organización identifica y evalúa los cambios que pueden afectan sustancialmente la estrategia y los objetivos comerciales. 16. Revisa el riesgo y el desempeño: la organización revisa el desempeño de la entidad y considera riesgo. 17. Persigue la mejora en la gestión de riesgos empresariales: la organización persigue mejora de la gestión de riesgos empresariales. 18. Aprovecha los sistemas de información—La organización aprovecha la información de la entidad y sistemas tecnológicos para apoyar la gestión de riesgos empresariales. 19. Comunica información sobre riesgos: la organización utiliza canales de comunicación para respaldar la gestión de riesgos empresariales. 20. Informes sobre riesgo, cultura y desempeño—La organización informa sobre riesgo, cultura y desempeño en múltiples niveles y en toda la entidad. 10 junio 2017
Machine Translated by Google
Machine Translated by Google Una versión Empresa Riesgo Gestión—Integración con estrategiay Rendimiento puede ser completa de comprada visitando el sitio web www.coso.org.
Search
Read the Text Version
- 1 - 16
Pages:
