ENTERPRISE RISK MANAGEMENT

GESTIÓN DE RIESGOS EMPRESARIALES

 COSO ERM (COSO IV)
Es un Marco de Gestión de Riesgos Empresariales

Actualización del ERM de 2004

Posee 20 principios son de apoyo a la gestión de riesgos

asociados a la estrategia y objetivos empresariales
 OBJETIVO

• Identificar áreas de mayor riesgo y establecer planes de acción para mitigar los riesgos
existentes.
• Contribuir para obtener los objetivos establecidos por las principales áreas de cada
empresa.
• Obtener una mayor comprensión de la estrategia y del papel que desempeña la gestión del
riesgo en el establecimiento y ejecución de la misma

Al integrar las técnicas de gestión del riesgo empresarial en todos

los niveles:
•Mejora la toma de decisiones.
•Mejora el desempeño.
•Crea, preserva y consigue el valor.
 La gestión del riesgo empresarial afecta al valor:
• El valor se crea cuando los beneficios derivados de los recursos empleados superan al coste de esos
recursos.

• El valor se preserva cuando el valor de los recursos empleados en las operaciones del día a día,
sostienen los beneficios creados.

• El valor se erosiona cuando la dirección implanta una estrategia que no genera los resultados
esperados o no ejecutan las tareas diarias.

• El valor se materializa cuando las partes interesadas (stakeholders) perciben los beneficios
generados por la entidad. (Riesgo Reputacional)
 Misión
Definir el propósito principal de la entidad, que establece lo que

quiere lograr y su razón de ser

Visión
Aspiraciones de la entidad de cara al futuro

Valores clave
Creencias e ideales de la entidad sobre lo que es bueno o malo, aceptable o inaceptable, que
influyen en el comportamiento de la organización
 Estrategia
Plan para lograr la misión y visión, considerando sus valores clave

Gestión del desempeño

• Se centra en desplegar los recursos eficientemente

• Mide las acciones, tareas y funciones con respecto a objetivos determinados, para
determinar si se están logrando esos objetivos.
 Gestión del riesgo empresarial
• Aumenta la gama de oportunidades disponibles.
• Aumenta los resultados positivos y las ventajas a la vez que se reducen las
sorpresas negativas.
• Identifica y gestiona el riesgo en toda la entidad.
• Reduce la variabilidad del desempeño.
• Mejora la implantación de recursos.
• Provee de una expectativa razonable de que se pueden lograr la estrategia
global y los objetivos del negocio.
• Informa sobre los riesgos asociados a las estrategias alternativas consideradas y
de la estrategia adoptada.
 Las auditorías normalmente se enfocan en hacer estudios dirigidos en la protección del patrimonio
y en el cumplimientos del marco normativo, pero actualmente deben ir más enfocadas a medir la
eficiencia y eficacia de las operaciones para informar a la administración si existen deficiencias para corregirlas
 Una empresa planifica lo que va a hacer, ejecuta lo planeado y lleva un control interno
El control debe medir si lo que se ejecutó se hizo de acuerdo a lo planificado o si hubo desviaciones que se deban corregir.

En Costa Rica en lo que son las Instituciones públicas hay un Plan Nacional de Desarrollo que lo define el Gobierno de la República.
Cada institución define un plan estratégico institucional que siempre debe ir de acuerdo al plan nacional de desarrollo y de ahí se desarrollan
planes anuales operativos que siempre estén relacionados con el plan estratégico institucional o en entidades muy grandes pueden definir planes
anuales regionales, pero todo esto debe ir en cadena.
LA GESTIÓN DE RIESGOS siempre debe ir ligada a estos objetivos operativos pero principalmente a los que están vinculados con la estrategia de
la empresa.
El marco normativo de COSO dice que
la misión es lo que hoy es la empresa y
Visión es lo que quiere llegar a ser.

El puente representa el camino que

debe recorrer la empresa para lograr sus
objetivos.

La estrategia va a definir en tiempo

y forma qué es lo que la empresa debe hacer
de manera segura, utilizando los planes estratégicos
antes definidos.

Los riesgos van a ir enfocados a que la empresa

pase por ese puente sin caerse hasta llegar
a lograr esa visión que fue definida y planificada.

Los riesgos siempre van enfocados al cumplimiento

de la estrategia.
 CONTEXTO ESTRATÉGICO
COSO ERM

Este marco estratégico parte de la Misión, Visión y Valores clave de la empresa y los
mezcla con los objetivos estratégicos
para mejorar el desempeño
 Perfil del riesgo
Relación entre el riesgo y el desempeño

Se debe tener clara la relación entre

el riesgo y el desempeño.

Cada empresa define el nivel de riesgo

aceptable, algunas aceptan niveles de
riesgo más grandes y otras son más
conservadoras.
 COMPONENTES Y PRINCIPIOS
El COSO ERM define este
esquema de cintas
entrelazadas, pero no
sustituyen al cubo de
control interno, ya que
El COSO 3 sigue vigente
con el cubo de los 5
componentes.
Este es un modelo que
complementa toda la
metodología de control interno
y está enfocada en el riesgo.

Cada cinta tiene un color

(mencionar cada uno)

Intentaremos explicar cada uno

de manera puntual para poder
entender a grandes rasgos cada
uno
GOBIERNO Y CULTURA
 Gobierno y cultura
Esto está enfocado con el
primer componente del
control interno
Que es el ambiente
de control.

Principio 01:
Ejercer la supervisión de riesgos a través del Consejo de Administración.
• Rendición de cuentas y responsabilidad:
El consejo tiene la responsabilidad principal de la supervisión del riesgo (incluso fiduciaria). (El
control del riesgo no se le puede delegar a cualquier persona, ya que hay que tener muy claro para qué
sirve, y el valor que agrega a la empresa en relación con la estrategia de la empresa)
• Habilidades, experiencia y conocimiento de negocio:
La supervisión de riesgos solo es posible cuando el consejo de administración comprende la
estrategia y el sector en el que opera la entidad.
 Gobierno y cultura

Principio 01: Ejercer la supervisión de riesgos a través del Consejo de

Administración.
• Independencia.
• Idoneidad de la gestión del riesgo: Entendimiento de la complejidad de la entidad,
comprensión de los riesgos y alineación con la estrategia.
• Sesgo de la organización.
 Gobierno y cultura

Principio 02: Establece estructuras operativas.

• Estructuras de la organización y líneas de reporte.
• Estructuras de gestión del riesgo empresarial: Comité de riesgos.
• Facultades y responsabilidades.
• Gestión del riesgo empresarial en una entidad en continuo cambio.

Se debe tener un comité de riesgos, un departamento de personas dedicadas a este tema

que es muy importante para el logro de los objetivos estratégicos de la empresa
 Gobierno y cultura
Principio 03: Define la cultura deseada
• Cultura y comportamientos deseados
• Juicio profesional
• Influencia cultural
Debemos definir que
Tipo de empresa
Somos, si tenemos aversión
Riesgo o si somos más arriesgados
Y en esto influye la cultura, el juicio
profesional y la influencia cultural
donde se desarrolla la empresa
 Gobierno y cultura

Principio 03: Define la cultura deseada.

Alineación de valores clave, toma de decisiones y comportamientos:

• Velar por el cumplimiento de las normas (internas y externas) por

parte de la dirección.
El personal de la empresa
• Los mandos intermedios y la gerencia deben estar alineados con la Debe ponerse la camiseta
misión, visión y estrategia de la empresa. De la empresa, pero a veces
• Evitar que el consejo y la alta dirección no actúen con una cultura No saben ni cual es la misión
Y visión de la empresa
adecuada.
• Establecer una política clara de comunicación para escalar riesgos y
aspectos clave relacionados con el desempeño.
 Gobierno y cultura

Es decir que debe

Principio 04: Demuestra compromiso con los valores clave. existir una coherencia
entre la parte estratégica
• Trasladar los valores clave a toda la organización con los valores y los
• Adopción de una cultura consciente del riesgo riesgos para identificar
si hay desviaciones que
• Reforzar que el director general asuma la responsabilidad de gestionar los se deban corregir
riesgos a los que se enfrenta la entidad.
• Mantener la comunicación abierta y exenta de represalias.
• Responder ante conductas inadecuadas e incumplimiento de los valores
clave
• Asunción de responsabilidades propias
 Gobierno y cultura

Principio 05: Atrae, desarrolla y retiene a profesionales

capacitados.
• Establecimiento de competencias.
• Atraer, desarrollar, evaluar y retener profesionales.
• Recompensar el desempeño.
• Preparación de la sucesión (Por ejemplo en personas que se van a
pensionar)

Prever y monitorear todo este tipo de situaciones de manera ordenada

ESTRATEGIA Y ESTABLECIMIENTO
DE OBJETIVOS
 Estrategia y objetivos

Principio 06: Analiza el contexto empresarial.

• Tendencias, relaciones y factores que influyen en la estrategia actual y
futura; y en sus objetivos.
• Dinámico: Surgen riesgos en cualquier momento.
• Complejidad: Muchas interconexiones e interdependencias. (Es
decir con quien se relacional la empresa)
• Impredecible: Cambios a gran velocidad e imprevistos.
 Estrategia y objetivos

Principio 06: Analiza el contexto empresarial

El entorno externo y stakeholders: (partes interesadas):
• Afectadas por la entidad (clientes, proveedores, competidores, etc).
• Influyen en la entidad (gobierno, reguladores, etc).
• Inciden en la reputación, marca y confianza de la entidad (comunidades, grupos sociales,
etc).
El entorno interno y stakeholders:
Todo lo que afecta su capacidad para alcanzar la estrategia y objetivos del negocio (miembros
del consejo, directorio y otro personal involucrado).
 Estrategia y objetivos

Cómo afecta el contexto empresarial al perfil del riesgo:

Se puede ver en tres fases: pasado, presente y futuro.

Tres cosas que la empresa debe definir:

1. Apetito
2. Tolerancia
3. Capacidad del riesgo
 Estrategia y objetivos

• Apetito de riesgo: es el riesgo que se está dispuesto a

aceptar para conseguir que la misión/visión de la
entidad se cumplan. Lo decide cada organización.
• Tolerancia al riesgo: Se define como el nivel aceptable
de variación en los resultados o actuaciones de la
compañía relativas a la consecución o logro de sus
objetivos. Es la cantidad máxima de riesgo que una
organización está dispuesta a aceptar para logar su
objetivo.
• Capacidad de riesgo: Hace referencia en cambio a la
cantidad y tipo de riesgo máximo que una organización
es capaz de soportar en la persecución de sus objetivos.
 Estrategia y objetivos

Principio 07: Definir el apetito al riesgo

Aplicación del apetito al riesgo:

• Se puede considerar en términos cualitativos o

cuantitativos.

• Centrándose en equilibrar crecimiento, rentabilidad y

riesgo.

• Debe reflejar la cultura de la entidad.

Para definir el apetito de riesgo se debe hacer una valoración entre la
meta que se persigue, el riesgo que tolera y el desempeño
 Estrategia y objetivos

Principio 07: Definir el apetito al riesgo

• Definición del apetito al riesgo:
La dirección y el consejo de la administración eligen un apetito al
riesgo con un entendimiento y conocimiento de los pro y contras
de ese apetito.
• Articular el apetito al riesgo.
• Uso del apetito al riesgo:
Al asignar los recursos entre las unidades operativas, se
considerará el apetito al riesgo y los planes de creación de valor.
 Estrategia y objetivos

Principio 08: Evalúa estrategias alternativas

• La importancia de alinear la estrategia:
Debe apoyar la misión, visión y alinearse con los valores clave de la entidad y el apetito al
riesgo.
• Comprender las consecuencias resultantes de la estrategia elegida:
Identificar y comprender los riesgos y oportunidades potenciales de cada estrategia
considerada aunque no se hayan elegido.
• Alineación de la estrategia con el apetito al riesgo:
De lo contrario, podrían haber objetivos que entren en conflicto o crearse tensiones sobre
el tipo y nivel del riesgo reflejado en laCada
toma de decisiones.
objetivo estratégico tiene que ir analizado desde
el punto de vista del apetito de riesgo para que todo lleve una coherencia
• Cambios en la estrategia. razonable, ver también si hay cambios en la estrategia, analizar los riesgos
• Mitigar el sesgo y mitigar el sesgo eventualmente
 Estrategia y objetivos

Principio 09: Establece los objetivos del negocio.

Deben ser: Muchas veces en los planes estratégicos
Se ponen objetivos muy abstractos o irreales
• Específicos Y esto conlleva a muchos problemas, pero si
• Medibles u observables Se establecen objetivos así como se especifica aquí
Eso va a ayudar mucho a medirlo, monitorearlo y a
• Alcanzables Identificar todos los riesgos
• Relevantes
 Estrategia y objetivos

Principio 09: Establece los objetivos del negocio

Alineación de los objetivos del negocio:
• Los objetivos alineados con la estrategia y el apetito al riesgo, para ayudar a
lograr la misión y visión.
• Si un objetivo excede el apetito al riesgo, podrá ser modificado o eliminado.
• Si alguno de los objetivo están dentro del apetito al riesgo, pero
desalineados con la estrategia, se deberá revisar la estrategia o el perfil del
riesgo.
• Comprender las implicaciones a la hora de seleccionar los objetivos del
negocio.
• Categorizar los objetivos del negocio.
 Estrategia y objetivos

Principio 09: Establece los objetivos del negocio

Establecimiento de medidas de desempeño y metas:
• Una meta agresiva puede provocar un incremento en el riesgo para ese objetivo
determinado.
• Una meta conservadora podría estar dentro del perfil del riesgo, pero desalineado con la
estrategia.
 Estrategia y objetivos

Principio 09: Establece los objetivos del negocio

Entender la tolerancia:

El apetito al riesgo es general, la tolerancia es táctica y

concentrada.

La tolerancia debe expresarse en unidades medibles

(idealmente, las mismas de los objetivos).

Medidas de desempeño y tolerancias:

Pueden ser cuantitativas y cualitativas.

Desempeño
 Desempeño

Principio 10: Identifica el riesgo.

• Identificación del riesgo:

• Se identifican riesgos nuevos, emergentes y cambiantes para lograr la estrategia y

los objetivos.
• La identificación de oportunidades está integrada en la identificación del riesgo.

La empresa debe identificar los riesgos y estar

monitoreándolos para ver si han cambiado o
han surgido nuevos riesgos
 Desempeño

Principio 10: Identifica el riesgo.

Uso del apetito al riesgo:

• Inventario de riesgos, por categorías y
subcategorías.
Hay riesgos que son a nivel estratégico como el riesgo 1
Hay otros riesgos que están a un nivel intermedio como el riesgo 2
Y otros como el 3 y 4 están más a nivel operativo

Todos son importantes pero siempre deben estar separados en

categorías y
subcategorías
 Desempeño

Principio 10: Identifica el riesgo.

Enfoques para identificar el riesgo:
• Permite a la organización gestionar más eficazmente el inventario
de riesgos y comprender su relación con la estrategia.
• Permite a la organización evaluar con mayor precisión la gravedad
del riesgo.
• Se identifica mejor las causas raíz e impactos habituales.
• Permite a la organización comprender las interdependencias entre
riesgos y objetivos de negocio.
• Ayuda a agregar los riesgos para obtener una visión de los mismos a
nivel de cartera.
 Desempeño

Principio 10: Identifica el riesgo.

Enfoques para identificar el riesgo:
1. La posibilidad de (describir circunstancia) y los impactos asociados sobre (describir
objetivos de negocio).
Ejemplo: La posibilidad de que se produzca una variación en los tipos de cambio y los impactos sobre los
ingresos.
2. El riesgo de (describir categoría) en relación con (describir circunstancia) y (describir el
impacto).
Ejemplo: El riesgo para el desempeño financiero en relación con una posible variación de los tipos de cambio y
su impacto en los ingresos.
• Enmarcar el riesgo, plantearlo de manera que sea fácil de comprender, para agilizar la
gestión y el proceso de mitigación.
 Desempeño

Principio 11: Evalúa la

gravedad del riesgo.
• Evaluación del riesgo.
• Evaluación de la gravedad a
diferentes niveles de la entidad.

Hay riesgos que son más graves o más importantes que otros,
no importa sin son estratégicos, de mando intermedio o si son operativos,
por ejemplo en la ilustración el riesgo 4 está en rojo y corresponde al novel operativo,
A este esquema se le aplicó un mapa de calor, y vemos el riesgo 1 y 3 en amarillo, y el
riesgo 2 es verde (bajo) señalando así su nivel de importancia
 Desempeño

Principio 11: Evalúa la gravedad del riesgo.

Selección de medidas de gravedad:
• Definir su impacto y probabilidad (cualitativa, cuantitativa o
frecuencial).
Enfoques de evaluación: Esto fue definido en
El COSO II donde hablaba de
• Cualitativos y cuantitativos (probabilísticos y no Mapas de calor y de portafolios de
probabilísticos). Riesgo pero en este coso se enfoca
Más en este tipo de conceptos
 Desempeño

Principio 11: Evalúa la gravedad del riesgo.

• Riesgo inherente, objetivo y residual.
• Representación de resultados de evaluación:
• Mapas de calor.
• Identificación de desencadenantes para la reevaluación.
• Sesgo en la evaluación.
 Desempeño

Principio 12: Prioriza riesgos (Ver cuales riesgos son más importantes que otros)
• Establecimiento de criterios:
Adaptabilidad, complejidad, velocidad, persistencia y recuperación.
• Priorización del riesgo:
Los riesgos con evaluaciones similares de gravedad (por ejemplo, dos medios);
pueden priorizarse de modo diferente según los anteriores criterios.

Para priorizar riesgos se toma en cuenta:

• Uso del apetito al riesgo para priorizar los riesgos.
• Priorización a todos los niveles.
• Sesgos en la priorización.
 Desempeño

Principio 13: Implementar respuestas ante los riesgos.

(Tiene que ver con las medidas de mitigación y los planes de contingencia)
• Elegir las respuestas a los riesgos.
Aceptar, evitar, perseguir, reducir o compartir.
• Selección e implantación de respuestas al riesgo.
• Consideración de costes y beneficios de las respuestas al riesgo.
• Consideraciones adicionales.
 Desempeño

Principio 14: Desarrollar una visión a nivel de cartera.

• Entendimiento de la visión a nivel de cartera.
• Desarrollo de una visión a nivel de cartera.
*Integración mínima * Integración limitada
*Integración parcial * Integración completa
• Análisis de la visión de cartera (Puede ser gerencial, departamental,
etc)
Revisión y monitorización de la
gestión de riesgos
 Revisión y Monitoreo

Principio 15: Evalúa los cambios significativos.

• Integración de las revisiones en las técnicas de negocio.
• El entorno interno:
Rápido crecimiento, innovación o cambios sustanciales en el
equipo de dirección.
• El entorno externo:
Cambios en el entorno regulatorio o económico.
 Revisión y Monitoreo

Principio 16: Revisa el riesgo y el desempeño.

Integración de las revisiones en las prácticas de negocio:
• ¿El rendimiento de la organización ha sido acorde a lo esperado y ha alcanzado su
objetivo? (En caso de que no ver cuales son las discrepancias y sugerir soluciones)
• ¿Qué riesgos están ocurriendo que puedan afectar al desempeño?
• ¿Estaba la entidad asumiendo el riesgo suficiente para alcanzar su meta?
• ¿Ha sido precisa la estimación del riesgo?
 Revisión y Monitoreo

Principio 16: Revisa el riesgo y el desempeño.

Integración de las revisiones en las prácticas de negocio:
• Revisar los objetivos. * Revisar la estrategia.
• Revisar la cultura. * Reevaluar la meta.
• Reevaluar la gravedad de los resultados del riesgo.
• Revisar como se priorizan los riesgos.
• Reevaluar las respuestas a los riesgos.
• Reevaluar el apetito al riesgo.
 Revisión y Monitoreo

Principio 17: Persigue la mejora de la gestión del riesgo empresarial.

Buscando la mejora:
• Nuevas tecnologías. * Deficiencias históricas.
• Cambios organizativos. * Apetito al riesgo.
• Categorías de riesgo. * Comunicaciones.
• Comparación entre entidades análogas.
• Ritmo de cambio.
Información y comunicación
 Información y comunicación

Principio 18: Aprovecha la información y la tecnología.

• Uso de información relevante:
• Que genere alta calidad, exactitud y reportes completos.
• Evolución de la información:
• Muchas veces las fuentes de información están estructuradas en un 20% y no en un 80%

Fuentes estructuradas: Se refiere a Sistemas de gestión de riesgos, bases de datos y fuentes

donde la información es fácil de extraer.

Fuentes no estructuradas:
Contratos, reglamentos, información que está dispersa y hay que recopilarla para analizarla,
esta es más compleja pero no se puede dejar de lado.
 Información y comunicación

Principio 19: Comunica información sobre riesgos

• Comunicación con las partes interesadas

• Comunicación con el consejo.
• Métodos de comunicación.
 Información y comunicación

Principio 20: Informar sobre riesgo, la cultura y el desempeño.

• Identificar cuales son los usuarios de la información y sus funciones ya que la
información es confidencial.
• Atributos de los informes de riesgo
• Tipos de informes de riesgo y a quien van dirigidos
• Informar sobre riesgos al consejo.
• Informar sobre la cultura de la empresa
• Indicadores clave.
Muchas veces lo que sucede en las organizaciones es que no se tiene claro para que es la gestión de riesgos, entonces ponen cualquier riesgo que no está relacionado con el plan estratégico de la
empresa, entonces el departamento que recibe la información talvez no cuestiona esa parte y le da trámite y se pasa a otro departamento y así se va generando información sobre riesgos que a un
final no sirve para nada porque la gente no tiene claro para qué es la gestión de riesgos y lo ven como un trámite más y no tienen clara su importancia en cuanto a conseguir que la empresa logre
sus objetivos de manera exitosa y que se cumpla la estrategia inicial pasando de la misión a la visión como lo vimos anteriormente en la imagen del puente.. Todo este tipo de cosas es necesario
tenerlas claras para generar una gestión de riesgos ágil, útil y que realmente colabore con la empresa, sino no tiene caso llevar una gestión de riesgos.
GRACIAS!!
Esto fue un resumen del COSO ERM ya que
es un documento muy amplio.
Las personas que trabajan en auditoría
operativa tienen que tener muy claro esto,
para poder vincular los riesgos con la
estrategia de la empresa y ver si reamente se
están gestionando los riesgos de manera
adecuada, de modo que la administración
pueda identificar las debilidades detectadas y
poder corregirlas de manera oportuna.