Gestión de riesgos empresariales

Métodos y procesos de negocio

La gestión de riesgos empresariales ( ERM , por sus siglas en inglés) en las empresas incluye los métodos y procesos que utilizan las organizaciones para gestionar los riesgos y aprovechar las oportunidades relacionadas con el logro de sus objetivos. La ERM proporciona un marco para la gestión de riesgos , que generalmente implica la identificación de eventos o circunstancias particulares relevantes para los objetivos de la organización (amenazas y oportunidades), su evaluación en términos de probabilidad y magnitud de impacto, la determinación de una estrategia de respuesta y el proceso de seguimiento. Al identificar y abordar de manera proactiva los riesgos y las oportunidades, las empresas protegen y crean valor para sus partes interesadas, incluidos los propietarios, los empleados, los clientes, los reguladores y la sociedad en general.

La ERM también puede describirse como un enfoque basado en el riesgo para la gestión de una empresa, que integra conceptos de control interno , la Ley Sarbanes-Oxley , protección de datos y planificación estratégica . La ERM está evolucionando para abordar las necesidades de diversas partes interesadas, que desean comprender el amplio espectro de riesgos que enfrentan las organizaciones complejas para garantizar que se gestionen adecuadamente. Los reguladores y las agencias de calificación de deuda han aumentado su escrutinio sobre los procesos de gestión de riesgos de las empresas.

Según Thomas Stanton, de la Universidad Johns Hopkins, el objetivo de la gestión del riesgo empresarial no es crear más burocracia, sino facilitar el debate sobre cuáles son los riesgos realmente grandes. [1]

Definición de los marcos ERM

Existen varios marcos de gestión de riesgos empresariales importantes, cada uno de los cuales describe un enfoque para identificar, analizar, responder y monitorear los riesgos y oportunidades dentro del entorno interno y externo que enfrenta la empresa. La gerencia selecciona una estrategia de respuesta al riesgo para los riesgos específicos identificados y analizados, que pueden incluir:

  1. Evitación: abandonar las actividades que generan riesgo.
  2. Reducción: tomar medidas para reducir la probabilidad o el impacto relacionado con el riesgo.
  3. Acciones alternativas: decidir y considerar otras medidas factibles para minimizar los riesgos
  4. Compartir o asegurar: transferir o compartir una parte del riesgo, para financiarlo.
  5. Aceptar: no se realiza ninguna acción debido a una decisión de costo/beneficio

El seguimiento lo realiza normalmente la dirección como parte de sus actividades de control interno, como la revisión de informes analíticos o reuniones del comité de dirección con expertos pertinentes, para entender cómo está funcionando la estrategia de respuesta al riesgo y si se están logrando los objetivos.

Marco de la Casualty Actuarial Society

En 2003, la Casualty Actuarial Society (CAS) definió la ERM como la disciplina mediante la cual una organización de cualquier industria evalúa, controla, explota, financia y monitorea los riesgos de todas las fuentes con el propósito de aumentar el valor de la organización a corto y largo plazo para sus partes interesadas. [2] La CAS conceptualizó la ERM como un proceso que se desarrolla en las dos dimensiones del tipo de riesgo y los procesos de gestión de riesgos. [2] Los tipos de riesgo y los ejemplos incluyen: [3]

Riesgo de peligro
Responsabilidad civil extracontractual, Daños materiales, Catástrofes naturales
Riesgo financiero
Riesgo de precios, Riesgo de activos, Riesgo cambiario, Riesgo de liquidez
Riesgo operacional
Satisfacción del cliente, Fallas del producto, Integridad, Riesgo reputacional, Robo interno, Fuga de conocimiento
Riesgos estratégicos
Competencia, Tendencia social, Disponibilidad de capital

El proceso de gestión de riesgos implica: [4]

  1. Establecer el contexto: esto incluye una comprensión de las condiciones actuales en las que opera la organización en un contexto interno, externo y de gestión de riesgos.
  2. Identificación de riesgos: Esto incluye la documentación de las amenazas materiales al logro de los objetivos de la organización y la representación de áreas que la organización puede explotar para obtener ventaja competitiva.
  3. Análisis/cuantificación de riesgos: esto incluye la calibración y, si es posible, la creación de distribuciones de probabilidad de resultados para cada riesgo material.
  4. Integración de riesgos: incluye la agregación de todas las distribuciones de riesgos, reflejando las correlaciones y los efectos de la cartera, y la formulación de los resultados en términos de impacto en las métricas clave de desempeño de la organización.
  5. Evaluación/priorización de riesgos: esto incluye la determinación de la contribución de cada riesgo al perfil de riesgo agregado y la priorización adecuada.
  6. Tratamiento/Explotación de Riesgos: Incluye el desarrollo de estrategias para controlar y explotar los diversos riesgos.
  7. Monitoreo y Revisión: Esto incluye la medición y monitoreo continuo del entorno de riesgo y el desempeño de las estrategias de gestión de riesgos.

Marco COSO ERM

El "Marco integrado de gestión de riesgos empresariales" de COSO publicado en 2004 (no se menciona la nueva edición COSO ERM 2017 y la versión de 2004 está desactualizada) define ERM como un "...proceso, efectuado por la junta directiva, la gerencia y otro personal de una entidad, aplicado en el establecimiento de estrategias y en toda la empresa, diseñado para identificar eventos potenciales que puedan afectar a la entidad y gestionar el riesgo para estar dentro de su tolerancia al riesgo , para proporcionar una seguridad razonable con respecto al logro de los objetivos de la entidad". [5]

El marco COSO ERM tiene ocho componentes y cuatro categorías de objetivos. Es una ampliación del marco integrado de control interno COSO publicado en 1992 y modificado en 1994. Los ocho componentes son:

  • Ambiente interno
  • Establecimiento de objetivos
  • Identificación de eventos
  • Evaluación de riesgos
  • Respuesta al riesgo
  • Actividades de control
  • Información y comunicación
  • Escucha

Las cuatro categorías de objetivos (componentes adicionales destacados) son:

  • Estrategia : objetivos de alto nivel, alineados con la misión de la organización y que la respaldan.
  • Operaciones - uso eficaz y eficiente de los recursos
  • Informes financieros : fiabilidad de los informes operativos y financieros
  • Cumplimiento : cumplimiento de las leyes y regulaciones aplicables

ISO 31000: la nueva norma internacional de gestión de riesgos

La ISO 31000 es una norma internacional para la gestión de riesgos que se publicó el 13 de noviembre de 2009 y se actualizó en 2018. Una norma complementaria, ISO 31010 - Técnicas de evaluación de riesgos, se publicó poco después (el 1 de diciembre de 2009) junto con la Guía ISO 73 del vocabulario de gestión de riesgos actualizada. La norma establece ocho principios basados ​​en el propósito central, que es la creación y protección de valor. [6]

Implementación de un programa de ERM

Objetivos de un programa de ERM

Las organizaciones, por naturaleza, gestionan los riesgos y cuentan con una variedad de departamentos o funciones ("funciones de riesgo") que identifican y gestionan riesgos específicos. Sin embargo, cada función de riesgo varía en cuanto a su capacidad y su coordinación con otras funciones de riesgo. Un objetivo y un desafío central de la gestión de riesgos empresariales es mejorar esta capacidad y coordinación, al tiempo que se integran los resultados para proporcionar una imagen unificada del riesgo para las partes interesadas y mejorar la capacidad de la organización para gestionar los riesgos de manera eficaz.

Funciones de riesgo típicas

Las principales funciones de riesgo en las grandes corporaciones que pueden participar en un programa de ERM suelen incluir:

  • Planificación estratégica: identifica amenazas externas y oportunidades competitivas, junto con iniciativas estratégicas para abordarlas.
  • Marketing: comprende al cliente objetivo para garantizar la alineación del producto/servicio con los requisitos del cliente.
  • Cumplimiento y ética: supervisa el cumplimiento del código de conducta y dirige las investigaciones de fraude.
  • Contabilidad / Cumplimiento financiero: dirige la evaluación de las secciones 302 y 404 de Sarbanes-Oxley, que identifica los riesgos de los informes financieros.
  • Departamento Jurídico: gestiona litigios y analiza tendencias legales emergentes que puedan afectar a la organización.
  • Seguro: garantiza la cobertura de seguro adecuada para la organización.
  • Tesorería: garantiza que haya suficiente efectivo para satisfacer las necesidades comerciales, al tiempo que gestiona el riesgo relacionado con los precios de las materias primas o el tipo de cambio.
  • Garantía de calidad operativa: verifica que el resultado operativo esté dentro de las tolerancias.
  • Gestión de operaciones: garantiza que el negocio funcione día a día y que se detecten las barreras relacionadas para su resolución.
  • Crédito: garantiza que cualquier crédito proporcionado a los clientes sea apropiado a su capacidad de pago.
  • Servicio al cliente: garantiza que las quejas de los clientes se gestionen con prontitud y que las causas fundamentales se informen al departamento de operaciones para su resolución.
  • Auditoría interna: evalúa la eficacia de cada una de las funciones de riesgo mencionadas anteriormente y recomienda mejoras.
  • Seguridad corporativa: identifica, evalúa y mitiga los riesgos que plantean las amenazas a la seguridad física y de la información.

Desafíos comunes en la implementación de ERM

Varias empresas de consultoría ofrecen sugerencias sobre cómo implementar un programa de ERM. [7] Los temas y desafíos comunes incluyen: [8]

  • Identificación de patrocinadores ejecutivos para ERM.
  • Establecer un lenguaje o glosario de riesgos común.
  • Describir el apetito de riesgo de la entidad (es decir, los riesgos que asumirá y los que no)
  • Identificar y describir los riesgos en un “inventario de riesgos”.
  • Implementar una metodología de clasificación de riesgos para priorizar los riesgos dentro y entre funciones.
  • Establecer un comité de riesgos y/o un director de riesgos (CRO) para coordinar ciertas actividades de las funciones de riesgo.
  • Establecer la propiedad de riesgos y respuestas particulares.
  • Demostrar el costo-beneficio del esfuerzo de gestión de riesgos.
  • Desarrollar planes de acción para garantizar que los riesgos se gestionen adecuadamente.
  • Desarrollar informes consolidados para diversas partes interesadas.
  • Monitorear los resultados de las acciones tomadas para mitigar el riesgo.
  • Garantizar una cobertura eficiente de riesgos por parte de auditores internos, equipos de consultoría y otras entidades evaluadoras.
  • Desarrollar un marco técnico de ERM que permita la participación segura de terceros y empleados remotos.

Función de auditoría interna

Además de la auditoría de tecnología de la información, los auditores internos desempeñan un papel importante en la evaluación de los procesos de gestión de riesgos de una organización y en la promoción de su mejora continua. Sin embargo, para preservar su independencia organizacional y su criterio objetivo, las normas profesionales de auditoría interna indican que la función no debe asumir ninguna responsabilidad directa por la toma de decisiones de gestión de riesgos para la empresa ni por la gestión de la función de gestión de riesgos. [9]

Los auditores internos suelen realizar una evaluación anual de riesgos de la empresa para desarrollar un plan de auditorías para el año siguiente. En la práctica, este plan se actualiza con distintas frecuencias. Esto suele implicar la revisión de las distintas evaluaciones de riesgos realizadas por la empresa (por ejemplo, planes estratégicos, evaluación comparativa competitiva y evaluación de riesgos descendente SOX 404 ), la consideración de auditorías anteriores y entrevistas con diversos miembros de la alta dirección. Está diseñado para identificar proyectos de auditoría, no para identificar, priorizar y gestionar los riesgos directamente para la empresa.

Cuestiones actuales en materia de gestión de riesgos empresariales

Los procesos de gestión de riesgos de las corporaciones de todo el mundo están bajo un escrutinio cada vez mayor por parte de los reguladores y los organismos privados. El riesgo es una parte esencial de cualquier negocio. Si se gestiona adecuadamente, impulsa el crecimiento y las oportunidades. Los ejecutivos luchan con presiones empresariales que pueden estar parcial o totalmente fuera de su control inmediato, como los mercados financieros en crisis, las fusiones, adquisiciones y reestructuraciones, los cambios tecnológicos disruptivos , las inestabilidades geopolíticas y el aumento del precio de la energía.

Requisitos de la Ley Sarbanes-Oxley

La Sección 404 de la Ley Sarbanes-Oxley de 2002 exigía a las empresas estadounidenses que cotizaban en bolsa que utilizaran un marco de control en sus evaluaciones de control interno. Muchas optaron por el Marco de Control Interno COSO , que incluye un elemento de evaluación de riesgos. Además, las nuevas directrices emitidas por la Comisión de Bolsa y Valores (SEC) y la Junta de Supervisión Contable de Empresas Públicas en 2007 pusieron un mayor escrutinio en la evaluación de riesgos de arriba hacia abajo e incluyeron un requisito específico para realizar una evaluación de riesgo de fraude . [10] Las evaluaciones de riesgo de fraude generalmente implican la identificación de escenarios de fraude potencial (o experimentado), exposición relacionada a la organización, controles relacionados y cualquier acción tomada como resultado.

Normas de gobernanza corporativa de la Bolsa de Valores de Nueva York

La Bolsa de Valores de Nueva York exige que los comités de auditoría de sus empresas que cotizan en bolsa "analicen las políticas en materia de evaluación y gestión de riesgos ". El comentario relacionado continúa: "Si bien es tarea del director ejecutivo y de la alta dirección evaluar y gestionar la exposición de la empresa al riesgo, el comité de auditoría debe analizar las directrices y políticas que rigen el proceso mediante el cual se gestiona esto. El comité de auditoría debe analizar las principales exposiciones al riesgo financiero de la empresa y las medidas que ha adoptado la dirección para supervisar y controlar dichas exposiciones. No se exige que el comité de auditoría sea el único organismo responsable de la evaluación y gestión de riesgos, pero, como se ha indicado anteriormente, el comité debe analizar las directrices y políticas que rigen el proceso mediante el cual se lleva a cabo la evaluación y gestión de riesgos. Muchas empresas, en particular las financieras, gestionan y evalúan su riesgo a través de mecanismos distintos del comité de auditoría. Los procesos que estas empresas tienen establecidos deben ser revisados ​​de manera general por el comité de auditoría, pero no es necesario que los sustituya". [11]

ERM y calificaciones de deuda corporativa

Standard & Poor's (S&P), la agencia de calificación de deuda, planea incluir una serie de preguntas sobre gestión de riesgos en su proceso de evaluación de empresas. Esto se extenderá a las empresas financieras en 2007. [12] Los resultados de esta investigación son uno de los muchos factores que se tienen en cuenta en la calificación de la deuda, que tiene un impacto correspondiente en las tasas de interés que los prestamistas cobran a las empresas por préstamos o bonos. [13] El 7 de mayo de 2008, S&P también anunció que comenzaría a incluir una evaluación de ERM en sus calificaciones para empresas no financieras a partir de 2009, [14] con comentarios iniciales en sus informes durante el cuarto trimestre de 2008. [15]

Normas de desempeño de la CFI

Las Normas de Desempeño de la Corporación Financiera Internacional [16] se centran en la gestión de los riesgos e impactos ambientales, sociales, de seguridad y de salud. La tercera edición se publicó el 1 de enero de 2012, tras un proceso de negociación de dos años con el sector privado, los gobiernos y las organizaciones de la sociedad civil. Han sido adoptadas por los Bancos de los Principios del Ecuador, un consorcio de más de 118 bancos comerciales en 37 países.

Privacidad de datos

Las normas sobre privacidad de datos, como el Reglamento General de Protección de Datos de la Unión Europea , prevén cada vez más sanciones significativas por no mantener una protección adecuada de los datos personales de las personas, como nombres, direcciones de correo electrónico e información financiera personal, o alertar a las personas afectadas cuando se vulnere la privacidad de los datos. El reglamento de la UE exige que cualquier organización, incluidas las ubicadas fuera de la UE, designe un responsable de la protección de datos que informe al más alto nivel de gestión [17] si maneja datos personales de cualquier persona que viva en la UE.

Respuesta actuarial

Sociedad actuarial de accidentes

En 2003, el Comité de Gestión de Riesgos Empresariales de la Casualty Actuarial Society (CAS) publicó su descripción general de la ERM. [18] Este documento expuso la evolución, la justificación, las definiciones y los marcos de la ERM desde la perspectiva actuarial de accidentes, y también incluyó un vocabulario, fundamentos conceptuales y técnicos, prácticas y aplicaciones reales, y estudios de casos. [18]

La CAS tiene objetivos específicos establecidos en materia de gestión de riesgos empresariales, entre ellos, ser "un proveedor líder a nivel internacional de materiales educativos relacionados con la gestión de riesgos empresariales (ERM) en el ámbito de los seguros de daños y responsabilidad civil", [19] y ha patrocinado la investigación, el desarrollo y la capacitación de actuarios de responsabilidad civil en ese sentido. [20] La CAS se ha abstenido de emitir su propia credencial; en cambio, en 2007, el Consejo de la CAS decidió que la CAS debería participar en la iniciativa para desarrollar una designación global de ERM y tomar una decisión final en una fecha posterior. [21]

Sociedad de Actuarios

En 2007, la Sociedad de Actuarios desarrolló la credencial Chartered Enterprise Risk Analyst (CERA) en respuesta al creciente campo de la gestión de riesgos empresariales. [22] Esta es la primera credencial profesional nueva que introduce la SOA desde 1949. [23] Un CERA estudia cómo se combinan los distintos riesgos, incluidos los operativos, de inversión, estratégicos y de reputación, para afectar a las organizaciones. Los CERA trabajan en entornos que van más allá de los seguros, los reaseguros y los mercados de consultoría, incluidos los servicios financieros más amplios, la energía, el transporte, los medios de comunicación, la tecnología, la fabricación y la atención sanitaria. [23]

Se necesitan aproximadamente de tres a cuatro años para completar el programa de estudios de CERA, que combina la ciencia actuarial básica, los principios de ERM y un curso sobre profesionalismo. Para obtener la credencial de CERA, los candidatos deben realizar cinco exámenes, cumplir con un requisito de experiencia educativa, completar un curso en línea y asistir a un curso presencial sobre profesionalismo. [23]

CERA Global

Inicialmente, todos los CERA eran miembros de la Sociedad de Actuarios [24], pero en 2009 la designación CERA se convirtió en una credencial profesional especializada global, otorgada y regulada por múltiples organismos actuariales; [25] por ejemplo, el Actuario de Riesgo Empresarial Colegiado del Instituto y Facultad de Actuarios .

Véase también

Referencias

  1. ^ Thomas Stanton (18 de febrero de 2017). "Gestión de riesgos empresariales". YouTube . TEDxJHUDC. El objetivo de la gestión de riesgos empresariales no es crear otra capa de burocracia, sino que el director de riesgos facilite las conversaciones y, luego, los debates sobre las prioridades: cuáles son los grandes riesgos que debemos afrontar.
  2. ^ Comité de Gestión de Riesgos Empresariales (mayo de 2003). "Descripción general de la gestión de riesgos empresariales" (PDF) . Casualty Actuarial Society : 8. Consultado el 15 de septiembre de 2008 . {{cite journal}}: Requiere citar revista |journal=( ayuda )
  3. ^ Comité de Gestión de Riesgos Empresariales (mayo de 2003). "Descripción general de la gestión de riesgos empresariales" (PDF) . Casualty Actuarial Society : 9–10 . Consultado el 15 de septiembre de 2008 . {{cite journal}}: Requiere citar revista |journal=( ayuda )
  4. ^ Comité de Gestión de Riesgos Empresariales (mayo de 2003). "Descripción general de la gestión de riesgos empresariales" (PDF) . Casualty Actuarial Society : 11–13 . Consultado el 15 de septiembre de 2008 . {{cite journal}}: Requiere citar revista |journal=( ayuda )
  5. ^ "Gestión de riesgos empresariales: marco integrado: resumen ejecutivo" (PDF) . Comité de Organizaciones Patrocinadoras de la Comisión Treadway . Septiembre de 2004. Archivado desde el original (PDF) el 2016-11-03 . Consultado el 2008-09-16 . {{cite journal}}: Requiere citar revista |journal=( ayuda )
  6. ^ Hopkin, Paul (2022). Fundamentos de la gestión de riesgos: comprensión, evaluación e implementación de una gestión eficaz de los riesgos empresariales. Clive Thompson (6.ª ed.). Londres. ISBN 978-1-3986-0286-1.OCLC 1300754988  .{{cite book}}: Mantenimiento de CS1: falta la ubicación del editor ( enlace )
  7. ^ Asesoramiento para la implementación de ERM
  8. ^ Preguntas frecuentes sobre ERM
  9. ^ El papel de la auditoría interna en la gestión empresarial Archivado el 5 de septiembre de 2013 en Wayback Machine.
  10. ^ Norma de auditoría n.º 5 de la PCAOB Archivado el 27 de junio de 2007 en Wayback Machine
  11. ^ "NYSE Listing Standards Part 7d" (PDF) . Archivado desde el original (PDF) el 2014-06-11 . Consultado el 2017-08-27 .
  12. ^ Artículo sobre calificaciones de S&P: Tesoro y riesgo Archivado el 28 de septiembre de 2007 en Wayback Machine
  13. ^ S&P ERM para instituciones financieras
  14. ^ Preguntas frecuentes sobre el S&P ERM
  15. ^ Anuncio de S&P ERM
  16. ^ "Estándar de desempeño 1".
  17. ^ "Informe de gobernanza del riesgo cibernético de FERMA ECIIA | Ferma". www.ferma.eu . Consultado el 1 de octubre de 2018 .
  18. ^ Comité de Gestión de Riesgos Empresariales (mayo de 2003). "Descripción general de la gestión de riesgos empresariales" (PDF) . Casualty Actuarial Society . Consultado el 15 de septiembre de 2008 . {{cite journal}}: Requiere citar revista |journal=( ayuda )
  19. ^ "Objetivos de ERM SAM" (PDF) . Objetivo del centenario de CAS y objetivos de SAM . Casualty Actuarial Society . Marzo de 2008. Archivado desde el original (PDF) el 2020-05-14 . Consultado el 2008-09-15 .
  20. ^ "Sitio web de gestión de riesgos empresariales". Casualty Actuarial Society . 2008. Archivado desde el original el 15 de agosto de 2020. Consultado el 15 de septiembre de 2008 .
  21. ^ "Resumen ejecutivo: Reunión de la Junta Directiva de CAS" (PDF) . Casualty Actuarial Society . 17 de junio de 2007. Archivado desde el original (PDF) el 27 de junio de 2010 . Consultado el 15 de septiembre de 2008 .
  22. ^ "Descripción general de las credenciales". Sociedad de Actuarios . 2008. Consultado el 15 de septiembre de 2008 .
  23. ^ abc "Datos breves sobre CERA". Sociedad de Actuarios . 2008. Consultado el 15 de septiembre de 2008 .
  24. ^ "Beneficios". Sociedad de Actuarios . 2008. Consultado el 15 de septiembre de 2008 .
  25. ^ "El Tratado CERA". CERA Global. 2009. Archivado desde el original el 12 de enero de 2015. Consultado el 12 de enero de 2015 .
  • Thomas Stanton (18 de febrero de 2017). "Gestión de riesgos empresariales". YouTube . TEDxJHUDC.
  • Airmic / Alarm / IRM (2010) "Un enfoque estructurado para la gestión de riesgos empresariales (ERM) y los requisitos de la norma ISO 31000"
  • Hopkin, Paul "Fundamentos de la gestión de riesgos 2.ª edición" Kogan-Page (2012) ISBN 978-0-7494-6539-1 
Retrieved from "https://en.wikipedia.org/w/index.php?title=Enterprise_risk_management&oldid=1241954853"