Conoce la importancia de la definición y manejo de los riesgos en las organizaciones, así como las novedades que presenta el reconocido enfoque del Marco Integrado para la Administración de Riesgos Empresariales (ERM) COSO ERM 2017.

Por Johana Cano Hoyos, asistente de investigación contable del INCP

El Instituto de Auditores Internos (IIA), en su publicación Auditoría interna: servicios de aseguramiento y consultoría, realiza una descripción general de la gestión de riesgos. Según el IIA, la palabra riesgo (risk, en inglés) proviene del vocablo “Riscare” o atreverse; entendido como “una elección bajo condiciones inciertas” y de cuya  afirmación se destaca el concepto de incertidumbre. Y es que ciertamente la falta de certeza sobre la ocurrencia o no de ciertos hechos, puede tener un impacto significativo sobre el logro de los objetivos de la empresa, por tanto, su adecuada gestión es uno de los retos principales de la alta dirección.

A nivel mundial, el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO, por sus siglas en inglés) es un reconocido referente que desarrolla marcos y da orientación sobre la gestión del riesgo empresarial, el control interno y la disuasión del fraude. Para COSO: “el riesgo es la posibilidad de que ocurra un incidente que afecte negativamente el logro de un objetivo”. Por tanto, el riesgo inicia con la formulación de estrategias y definición de objetivos y tales riesgos suponen barreras para alcanzar dichas metas.

El documento señala que los riesgos no deben ser presentados como una estimación puntual y única sino como “una gama de resultados posibles”. Al estar frente a una variedad de consecuencias que podrían materializarse; se crea incertidumbre, y es por ello que el riesgo debe ser abordado a fin de “evitar que sucedan cosas negativas o garantizar que ocurran eventos positivos”. Además, allí mismo se señala que “los riesgos son inherentes a todos los aspectos de la vida, es decir, siempre que hay incertidumbre, hay uno o más riesgos”.

Como resultado, la presencia de riesgos hace que sea imprescindible contar con un proceso para entenderlos y gestionarlos. Por esta razón, COSO ha desarrollado diferentes enfoques durante las últimas décadas. Recientemente ha publicado el Marco Integrado para la Administración de Riesgos Empresariales (ERM) – COSO ERM 2017, actualizando de esta manera el marco anterior, correspondiente a 2004. En él proporciona un sistema orientado a la organización, sobre auditoría interna, para identificar, evaluar y manejar los riesgos de la actividad empresarial.

Según el comité:

Un ERM es un proceso que lleva a cabo el consejo de la administración, la dirección y otro personal de la entidad, que se aplica en la definición de estrategias, en toda la empresa, el cual está diseñado para identificar incidentes potenciales que puedan afectar a la entidad y gestionar el riesgo, para que se este se mantenga dentro del grado de aceptación proporcionando aseguramiento razonable respecto al logro de los objetivos de la entidad.

Novedades COSO ERM 2017

Con relación a ERM, COSO emitió el Enterprise Risk Management – Integrated Framework, el cual fue actualizado con el lanzamiento en 2017 de COSO ERM 2017. Allí se destaca la importancia de considerar los riesgos tanto en el proceso de establecimiento de la estrategia como en el rendimiento. A continuación, mostramos las novedades que trae dicho documento a partir de la presentación oficial, ofrecida en la página oficial de COSO con el nombre de Enterprise Risk Management Framework: Integrating with Strategy and Performance.

10 cosas clave que debes saber sobre el COSO ERM 2017

1.   Proporciona una nueva estructura del documento

  • Marco enfocado en menos componentes, de ocho en 2004 a cinco en 2017:
  1. Gobierno y cultura.
  2. Estrategia y fijación de objetivos.
  3. Desempeño.
  4. Evaluación y revisión.
  5. Información, comunicación e informe.
  • Utiliza ejemplos que sugieren un enfoque específico para enfatizar los puntos.
  • Sigue el modelo de negocio frente al proceso de gestión de riesgo aislado.

  1. Introducción de Principios

  • 20 principios clave dentro de cada uno de los componentes:

  1. Incorporación de nuevas gráficas

  • Las gráficas tienen lazos más fuertes con el modelo comercial.

  1. Se enfoca en la integración

  • Integración de las practicas de negocio para obtener los siguientes resultados:
    • Mejor información.
    • Toma de decisiones y mejorar el rendimiento.
    • Anticipar riesgos.
    • Mejorar la colaboración y confiabilidad de la información.

  1. Énfasis en el valor

  • Crear, preservar y realizar los valores.
  • Incorporación del valor en todo el marco conceptual.

  1. Enlaces a la estrategia

  • Explora la estrategia desde tres (3) diferentes perspectivas:
    • La posibilidad de que la estrategia y los objetivos del negocio no estén alineados con la misión, visión y valores.
    • Las implicaciones de la estrategia escogida.
    • Riesgos de ejecutar la estrategia.

  1. Enlaces al desempeño

  • Permite el logro de la estrategia mediante el manejo activo de los riesgos y desempeño.
  • Se enfoca en cómo el riesgo es integral para el desempeño:
    • Explorando cómo las prácticas de gestión del riesgo empresarial apoyan la identificación y evaluación de los riesgos que impactan el desempeño.
    • Discutiendo la tolerancia a las variaciones en el rendimiento.
  • Gestiona el riesgo en el contexto de la consecución de objetivos estratégicos y empresariales, no como riesgos individuales.
  • Presenta una nueva descripción referida como un perfil de riesgo.
  • Incorpora riesgo, rendimiento, apetito de riesgo, resistencia de riesgo.
  • Ofrece una visión integral del riesgo y permite una toma de decisiones más consciente del riesgo.

 Reconoce la importancia de la cultura

  • Aborda el enfoque, atención e importancia de la cultura dentro de la gestión del riesgo empresarial.
  • Explora los posibles efectos de la cultura en la toma de decisiones.
  • Explora la alineación de la cultura entre el comportamiento individual y de la entidad.

  1. Enfoque en la toma de decisiones

  • Explora cómo la gestión del riesgo empresarial maneja la toma de decisiones consientes de los riesgos.
  • Destaca cómo la conciencia de riesgo optimiza y alinea las decisiones que impactan el rendimiento.

  1. Construye enlaces a los controles internos

  • El documento NO reemplaza el marco integrado de controles internos.
  • Los dos marcos son distintos y complementarios.
  • Ambos utilizan como estructura: componentes y principios.
  • No se repiten los aspectos del control interno a la gestión de riesgo empresarial.
  • Algunos aspectos de controles internos se desarrollan más en este documento.