Gestión de riesgos empresariales

Métodos y procesos comerciales.

La gestión de riesgos empresariales ( ERM ) en los negocios incluye los métodos y procesos utilizados por las organizaciones para gestionar los riesgos y aprovechar las oportunidades relacionadas con el logro de sus objetivos. ERM proporciona un marco para la gestión de riesgos , que normalmente implica identificar eventos o circunstancias particulares relevantes para los objetivos de la organización (amenazas y oportunidades), evaluarlos en términos de probabilidad y magnitud del impacto, determinar una estrategia de respuesta y monitorear el proceso. Al identificar y abordar proactivamente los riesgos y oportunidades, las empresas protegen y crean valor para sus partes interesadas, incluidos propietarios, empleados, clientes, reguladores y la sociedad en general.

ERM también puede describirse como un enfoque basado en riesgos para gestionar una empresa, integrando conceptos de control interno , la Ley Sarbanes-Oxley , protección de datos y planificación estratégica . ERM está evolucionando para abordar las necesidades de diversas partes interesadas, que desean comprender el amplio espectro de riesgos que enfrentan las organizaciones complejas para garantizar que se gestionen adecuadamente. Los reguladores y las agencias de calificación de deuda han aumentado su escrutinio sobre los procesos de gestión de riesgos de las empresas.

Según Thomas Stanton de la Universidad Johns Hopkins, el objetivo de la gestión de riesgos empresariales no es crear más burocracia, sino facilitar el debate sobre cuáles son los riesgos realmente grandes. ^[1]

Marcos de ERM definidos

Existen varios marcos importantes de ERM, cada uno de los cuales describe un enfoque para identificar, analizar, responder y monitorear riesgos y oportunidades dentro del entorno interno y externo que enfrenta la empresa. La gerencia selecciona una estrategia de respuesta al riesgo para riesgos específicos identificados y analizados, que puede incluir:

1. Evitación: abandonar las actividades que generan riesgo.
2. Reducción: tomar medidas para reducir la probabilidad o el impacto relacionado con el riesgo.
3. Acciones alternativas: decidir y considerar otros pasos factibles para minimizar los riesgos
4. Compartir o Asegurar: transferir o compartir una parte del riesgo, para financiarlo
5. Aceptar: no se toma ninguna medida debido a una decisión de coste/beneficio.

La administración generalmente realiza el monitoreo como parte de sus actividades de control interno, como la revisión de informes analíticos o reuniones del comité de administración con expertos relevantes, para comprender cómo está funcionando la estrategia de respuesta al riesgo y si se están logrando los objetivos.

Marco de la Sociedad Actuarial de Accidentes

En 2003, la Casualty Actuarial Society (CAS) definió ERM como la disciplina mediante la cual una organización en cualquier industria evalúa, controla, explota, financia y monitorea los riesgos de todas las fuentes con el fin de aumentar el valor de la organización a corto y largo plazo. ^[2] La CAS conceptualizó la ERM como un proceso que abarca las dos dimensiones del tipo de riesgo y los procesos de gestión de riesgos. ^[2] Los tipos de riesgo y los ejemplos incluyen: ^[3]

Riesgo de peligro

Agravios de responsabilidad, Daños a la propiedad, Catástrofe natural

Riesgo financiero

Riesgo de precio, Riesgo de activos, Riesgo cambiario, Riesgo de liquidez

Riesgo operacional

Satisfacción del cliente, Fallo del producto, Integridad, Riesgo reputacional; Caza furtiva interna; Fuga de conocimiento

Riesgos estratégicos

Competencia, Tendencia social, Disponibilidad de capital

El proceso de gestión de riesgos implica: ^[4]

1. Establecimiento del contexto: esto incluye una comprensión de las condiciones actuales en las que opera la organización en un contexto interno, externo y de gestión de riesgos.
2. Identificación de riesgos: esto incluye la documentación de las amenazas materiales para el logro de los objetivos de la organización y la representación de áreas que la organización puede explotar para obtener una ventaja competitiva.
3. Análisis/Cuantificación de Riesgos: Esto incluye la calibración y, si es posible, la creación de distribuciones de probabilidad de resultados para cada riesgo material.
4. Integración de riesgos: esto incluye la agregación de todas las distribuciones de riesgos, reflejando correlaciones y efectos de cartera, y la formulación de los resultados en términos de impacto en las métricas clave de desempeño de la organización.
5. Evaluación/Priorización de riesgos: Esto incluye la determinación de la contribución de cada riesgo al perfil de riesgo agregado y la priorización adecuada.
6. Tratamiento/Explotación de Riesgos: Esto incluye el desarrollo de estrategias para controlar y explotar los diversos riesgos.
7. Monitoreo y Revisión: Esto incluye la medición y monitoreo continuo del entorno de riesgo y el desempeño de las estrategias de gestión de riesgos.

Marco COSO ERM

El COSO "Marco Integrado de Gestión de Riesgos Empresariales" publicado en 2004 (la nueva edición COSO ERM 2017 no se menciona y la versión de 2004 está desactualizada) define ERM como un "...proceso, efectuado por la junta directiva, la administración y otro personal de una entidad". , aplicado en el establecimiento de estrategias y en toda la empresa, diseñado para identificar eventos potenciales que pueden afectar a la entidad y gestionar el riesgo para que esté dentro de su apetito de riesgo , para proporcionar una seguridad razonable con respecto al logro de los objetivos de la entidad". ^[5]

El Marco COSO ERM tiene ocho componentes y cuatro categorías de objetivos. Es una ampliación del Marco Integrado de Control Interno de COSO publicado en 1992 y modificado en 1994. Los ocho componentes son:

• Ambiente interno
• Establecimiento de objetivos
• Identificación de eventos
• Evaluación de riesgos
• Respuesta al riesgo
• Actividades de control
• Información y comunicación
• Escucha

Las cuatro categorías de objetivos (componentes adicionales destacados) son:

• Estrategia : objetivos de alto nivel, alineados con la misión de la organización y que la respaldan.
• Operaciones : uso eficaz y eficiente de los recursos.
• Informes financieros : confiabilidad de los informes operativos y financieros
• Cumplimiento : cumplimiento de las leyes y regulaciones aplicables

ISO 31000: la nueva Norma Internacional de Gestión de Riesgos

ISO 31000 es una norma internacional para la gestión de riesgos que se publicó el 13 de noviembre de 2009 y se actualizó en 2018. Pronto siguió la publicación (1 de diciembre de 2009) una norma adjunta, ISO 31010 - Técnicas de evaluación de riesgos, junto con el vocabulario ISO actualizado de gestión de riesgos. Guía 73. La norma establece ocho principios basados ​​en el propósito central, que es la creación y protección de valor. ^[6]

Implementación de un programa de ERM

Objetivos de un programa de ERM

Las organizaciones, por naturaleza, gestionan los riesgos y tienen una variedad de departamentos o funciones ("funciones de riesgo") que identifican y gestionan riesgos particulares. Sin embargo, cada función de riesgo varía en capacidad y en cómo se coordina con otras funciones de riesgo. Un objetivo central y un desafío de ERM es mejorar esta capacidad y coordinación, al mismo tiempo que se integra el resultado para proporcionar una imagen unificada del riesgo para las partes interesadas y mejorar la capacidad de la organización para gestionar los riesgos de manera efectiva.

Funciones de riesgo típicas

Las principales funciones de riesgo en grandes corporaciones que pueden participar en un programa ERM suelen incluir:

• Planificación estratégica: identifica amenazas externas y oportunidades competitivas, junto con iniciativas estratégicas para abordarlas.
• Marketing: comprende al cliente objetivo para garantizar la alineación del producto/servicio con los requisitos del cliente.
• Cumplimiento y Ética: supervisa el cumplimiento del código de conducta y dirige las investigaciones de fraude.
• Cumplimiento contable/financiero: dirige la evaluación de las secciones 302 y 404 de Sarbanes-Oxley, que identifica los riesgos de la información financiera.
• Departamento Legal: gestiona litigios y analiza tendencias legales emergentes que pueden afectar a la organización.
• Seguro: garantiza la cobertura de seguro adecuada para la organización.
• Tesorería: garantiza que el efectivo sea suficiente para satisfacer las necesidades comerciales, al tiempo que gestiona el riesgo relacionado con los precios de las materias primas o el tipo de cambio.
• Garantía de calidad operativa: verifica que la producción operativa esté dentro de las tolerancias.
• Gestión de operaciones: garantiza que el negocio funcione día a día y que las barreras relacionadas surjan para su resolución.
• Crédito: garantiza que cualquier crédito proporcionado a los clientes sea adecuado a su capacidad de pago.
• Servicio al cliente: garantiza que las quejas de los clientes se manejen con prontitud y que las causas fundamentales se informen a operaciones para su resolución.
• Auditoría interna: evalúa la eficacia de cada una de las funciones de riesgo anteriores y recomienda mejoras.
• Seguridad corporativa: identifica, evalúa y mitiga los riesgos que plantean las amenazas a la seguridad física y de la información.

Desafíos comunes en la implementación de ERM

Varias empresas consultoras ofrecen sugerencias sobre cómo implementar un programa de ERM. ^[7] Los temas y desafíos comunes incluyen: ^[8]

• Identificación de patrocinadores ejecutivos para ERM.
• Establecer un lenguaje o glosario común de riesgos.
• Describir el apetito de riesgo de la entidad (es decir, los riesgos que asumirá y los que no asumirá)
• Identificar y describir los riesgos en un "inventario de riesgos".
• Implementar una metodología de clasificación de riesgos para priorizar los riesgos dentro y entre funciones.
• Establecer un comité de riesgos o un Director de Riesgos (CRO) para coordinar ciertas actividades de las funciones de riesgos.
• Establecer propiedad para riesgos y respuestas particulares.
• Demostrar el costo-beneficio del esfuerzo de gestión de riesgos.
• Desarrollar planes de acción para garantizar que los riesgos se gestionen adecuadamente.
• Desarrollar informes consolidados para varias partes interesadas.
• Seguimiento de los resultados de las acciones tomadas para mitigar el riesgo.
• Asegurar una cobertura eficiente de riesgos por parte de auditores internos, equipos de consultoría y otras entidades evaluadoras.
• Desarrollar un marco técnico de ERM que permita la participación segura de terceros y empleados remotos.

Función de auditoría interna

Además de la auditoría de tecnología de la información, los auditores internos desempeñan un papel importante en la evaluación de los procesos de gestión de riesgos de una organización y en la promoción de su mejora continua. Sin embargo, para preservar su independencia organizacional y su juicio objetivo, los estándares profesionales de Auditoría Interna indican que la función no debe asumir ninguna responsabilidad directa por la toma de decisiones de gestión de riesgos para la empresa o la gestión de la función de gestión de riesgos. ^[9]

Los auditores internos suelen realizar una evaluación de riesgos anual de la empresa para desarrollar un plan de trabajos de auditoría para el próximo año. Este plan se actualiza con varias frecuencias en la práctica. Por lo general, esto implica la revisión de las diversas evaluaciones de riesgos realizadas por la empresa (por ejemplo, planes estratégicos, evaluaciones comparativas competitivas y evaluación de riesgos de arriba hacia abajo SOX 404 ), consideración de auditorías anteriores y entrevistas con una variedad de altos directivos. Está diseñado para identificar proyectos de auditoría, no para identificar, priorizar y gestionar riesgos directamente para la empresa.

Problemas actuales en ERM

Los procesos de gestión de riesgos de las corporaciones de todo el mundo están bajo un creciente escrutinio regulatorio y privado. El riesgo es una parte esencial de cualquier negocio. Si se gestiona adecuadamente, impulsa el crecimiento y las oportunidades. Los ejecutivos luchan con presiones empresariales que pueden estar total o parcialmente fuera de su control inmediato, como los mercados financieros en dificultades; fusiones, adquisiciones y reestructuraciones; cambio tecnológico disruptivo ; inestabilidades geopolíticas; y el creciente precio de la energía.

Requisitos de la Ley Sarbanes-Oxley

La sección 404 de la Ley Sarbanes-Oxley de 2002 exigía que las empresas estadounidenses que cotizan en bolsa utilizaran un marco de control en sus evaluaciones de control interno. Muchos optaron por el Marco de Control Interno de COSO , que incluye un elemento de evaluación de riesgos. Además, las nuevas directrices emitidas por la Comisión de Bolsa y Valores (SEC) y la Junta de Supervisión Contable de las Empresas Públicas en 2007 sometieron a un escrutinio cada vez mayor la evaluación de riesgos de arriba hacia abajo e incluyeron un requisito específico para realizar una evaluación del riesgo de fraude . ^[10] Las evaluaciones del riesgo de fraude generalmente implican la identificación de escenarios de fraude potencial (o experimentado), la exposición relacionada de la organización, los controles relacionados y cualquier acción tomada como resultado.

Reglas de gobierno corporativo de la Bolsa de Nueva York

La Bolsa de Valores de Nueva York exige a los comités de auditoría de sus empresas que cotizan en bolsa "discutir políticas con respecto a la evaluación y gestión de riesgos ". El comentario relacionado continúa: "Si bien es trabajo del CEO y de la alta dirección evaluar y gestionar la exposición de la empresa al riesgo, el comité de auditoría debe discutir directrices y políticas para regir el proceso mediante el cual se maneja esto. El comité de auditoría debe discutir las principales exposiciones a riesgos financieros de la empresa y las medidas que la dirección ha tomado para monitorear y controlar dichas exposiciones. No se requiere que el comité de auditoría sea el único organismo responsable de la evaluación y gestión de riesgos, pero, como se indicó anteriormente, el comité debe discutir directrices y políticas. para regir el proceso mediante el cual se lleva a cabo la evaluación y gestión de riesgos. Muchas empresas, particularmente las financieras, gestionan y evalúan sus riesgos a través de mecanismos distintos al comité de auditoría. Los procesos que estas empresas tienen implementados deben ser revisados ​​de manera general por el comité de auditoría. comité, pero no necesitan ser reemplazados por el comité de auditoría." ^[11]

Calificación del ERM y de la deuda corporativa

Standard & Poor's (S&P), la agencia de calificación de deuda, prevé incluir una serie de preguntas sobre gestión de riesgos en su proceso de evaluación de empresas. Esto se extenderá a las empresas financieras en 2007. ^[12] Los resultados de esta investigación son uno de los muchos factores considerados en la calificación de la deuda, que tiene un impacto correspondiente en las tasas de interés que los prestamistas cobran a las empresas por préstamos o bonos. ^[13] El 7 de mayo de 2008, S&P también anunció que comenzaría a incluir una evaluación del ERM en sus calificaciones para empresas no financieras a partir de 2009, ^[14] con comentarios iniciales en sus informes durante el cuarto trimestre de 2008. ^[15]

Estándares de desempeño de la CFI

Las Normas de Desempeño de la Corporación Financiera Internacional ^[16] se centran en la gestión de riesgos e impactos de salud, seguridad, medio ambiente y social. La tercera edición fue publicada el 1 de enero de 2012 luego de un proceso de negociación de dos años con el sector privado, gobiernos y organizaciones de la sociedad civil. Han sido adoptados por los Bancos de los Principios del Ecuador, un consorcio de más de 118 bancos comerciales en 37 países.

Privacidad de datos

Las normas de privacidad de datos, como el Reglamento General de Protección de Datos de la Unión Europea , prevén cada vez más sanciones importantes por no mantener una protección adecuada de los datos personales de las personas, como nombres, direcciones de correo electrónico e información financiera personal, o alertan a las personas afectadas cuando los datos se viola la privacidad. El reglamento de la UE exige que cualquier organización, incluidas las ubicadas fuera de la UE, designe un Delegado de Protección de Datos que responda al nivel de gestión más alto ^[17] si maneja datos personales de cualquier persona que viva en la UE.

Respuesta actuarial

Sociedad actuarial de siniestros

En 2003, el Comité de Gestión de Riesgos Empresariales de la Casualty Actuarial Society (CAS) publicó su visión general de la ERM. ^[18] Este documento expuso la evolución, la justificación, las definiciones y los marcos para la ERM desde la perspectiva actuarial de accidentes, y también incluyó un vocabulario, fundamentos conceptuales y técnicos, prácticas y aplicaciones reales, y estudios de casos. ^[18]

La CAS ha declarado objetivos específicos de ERM, incluido ser "un proveedor líder a nivel internacional de materiales educativos relacionados con la Gestión de Riesgos Empresariales (ERM) en el ámbito de los seguros contra daños a la propiedad" ^[19] y ha patrocinado la investigación, el desarrollo y la capacitación de actuarios de accidentes en ese aspecto. ^[20] El TAS se ha abstenido de expedir su propia credencial; en cambio, en 2007, la Junta de la CAS decidió que la CAS debería participar en la iniciativa para desarrollar una designación ERM global y tomar una decisión final en una fecha posterior. ^[21]

Sociedad de Actuarios

En 2007, la Sociedad de Actuarios desarrolló la credencial Chartered Enterprise Risk Analyst (CERA) en respuesta al creciente campo de la gestión de riesgos empresariales. ^[22] Esta es la primera credencial profesional nueva introducida por la SOA desde 1949. ^[23] Un CERA estudia para centrarse en cómo diversos riesgos, incluidos los operativos, de inversión, estratégicos y de reputación, se combinan para afectar a las organizaciones. Los CERA funcionan en entornos más allá de los mercados de seguros, reaseguros y consultoría, incluidos servicios financieros más amplios, energía, transporte, medios, tecnología, manufactura y atención médica. ^[23]

Se necesitan aproximadamente de tres a cuatro años para completar el plan de estudios de CERA, que combina ciencia actuarial básica, principios de ERM y un curso de profesionalismo. Para obtener la credencial CERA, los candidatos deben realizar cinco exámenes, cumplir un requisito de experiencia educativa, completar un curso en línea y asistir a un curso presencial sobre profesionalismo. ^[23]

CERA Global

Inicialmente todos los CERA eran miembros de la Sociedad de Actuarios ^[24] pero en 2009 la designación CERA se convirtió en una credencial profesional especializada global, otorgada y regulada por múltiples organismos actuariales; ^[25] por ejemplo , Actuario colegiado de riesgos empresariales del Instituto y Facultad de Actuarios .

Ver también

• ciencia actuarial
• Airmic
• Basilea III
• Riesgo de beneficio
• Comité de Organizaciones Patrocinadoras de la Comisión Treadway
• Riesgo de costo
• Riesgo de crédito
• Gestión de riesgos financieros § Finanzas corporativas
• Gestión de la calidad de la información
• ISO 31000
• Riesgo de mercado y planificación estratégica.
• Gestión del riesgo operativo
• Sesgo de optimismo
• Contabilidad de riesgos
• Rentabilidad del capital ajustada al riesgo
• Apetito de riesgo
• Herramientas de gestión de riesgos
• Laboratorio de riesgo
• ISA 400 Evaluaciones de Riesgos y Control Interno
• Evaluación de riesgos de arriba hacia abajo SOX 404
• Tres líneas de defensa
• Gestión de seguridad total
• Gestión de presencia web
• Modelo Gordon-Loeb para inversiones en ciberseguridad
• Certificaciones:
  • Profesional de Riesgos Certificado ( Instituto de Gestión de Riesgos )
  • Actuario colegiado de riesgos empresariales ( Instituto y Facultad de Actuarios )
  • Analista colegiado de riesgos empresariales ( Sociedad de Actuarios )

Referencias

1. Thomas Stanton (18 de febrero de 2017). "Gestión de riesgos empresariales". YouTube . TEDxJHUDC. El objetivo de la gestión de riesgos empresariales no es crear otra capa de burocracia, sino más bien hacer que su director de riesgos facilite las conversaciones y luego las discusiones sobre las prioridades: cuáles son los riesgos realmente grandes con los que tenemos que lidiar.
2. Comité de Gestión de Riesgos Empresariales (mayo de 2003). "Descripción general de la gestión de riesgos empresariales" (PDF) . Sociedad Actuarial de Accidentes : 8 . Consultado el 15 de septiembre de 2008 . {{cite journal}}: Citar diario requiere |journal=( ayuda )
3. Comité de Gestión de Riesgos Empresariales (mayo de 2003). "Descripción general de la gestión de riesgos empresariales" (PDF) . Sociedad actuarial de siniestros : 9–10 . Consultado el 15 de septiembre de 2008 . {{cite journal}}: Citar diario requiere |journal=( ayuda )
4. Comité de Gestión de Riesgos Empresariales (mayo de 2003). "Descripción general de la gestión de riesgos empresariales" (PDF) . Sociedad actuarial de siniestros : 11–13 . Consultado el 15 de septiembre de 2008 . {{cite journal}}: Citar diario requiere |journal=( ayuda )
5. "Gestión de riesgos empresariales: marco integrado: resumen ejecutivo" (PDF) . Comité de Organizaciones Patrocinadoras de la Comisión Treadway . Septiembre de 2004. Archivado desde el original (PDF) el 3 de noviembre de 2016 . Consultado el 16 de septiembre de 2008 . {{cite journal}}: Citar diario requiere |journal=( ayuda )
6. Hopkins, Paul (2022). Fundamentos de la gestión de riesgos: comprensión, evaluación e implementación de una gestión eficaz de riesgos empresariales. Clive Thompson (6ª ed.). Londres. ISBN 978-1-3986-0286-1. OCLC  1300754988.{{cite book}}: Mantenimiento CS1: falta el editor de la ubicación ( enlace )
7. Consejos para la implementación de ERM
8. Preguntas frecuentes sobre ERM
9. Papel de la auditoría interna en ERM Archivado el 5 de septiembre de 2013 en la Wayback Machine.
10. Norma de auditoría PCAOB n.º 5 Archivado el 27 de junio de 2007 en Wayback Machine.
11. "Estándares de cotización de la Bolsa de Nueva York, parte 7d" (PDF) . Archivado desde el original (PDF) el 11 de junio de 2014 . Consultado el 27 de agosto de 2017 .
12. S&P Ratings - Artículo sobre tesorería y riesgo Archivado el 28 de septiembre de 2007 en Wayback Machine.
13. S&P ERM para instituciones financieras
14. Preguntas frecuentes sobre S&P ERM
15. Anuncio de S&P ERM
16. "Estándar de rendimiento 1".
17. "Informe de gobernanza del riesgo cibernético de FERMA ECIIA | Ferma". www.ferma.eu . Consultado el 1 de octubre de 2018 .
18. Comité de Gestión de Riesgos Empresariales (mayo de 2003). "Descripción general de la gestión de riesgos empresariales" (PDF) . Sociedad Actuarial de Accidentes . Consultado el 15 de septiembre de 2008 . {{cite journal}}: Citar diario requiere |journal=( ayuda )
19. "Objetivos de ERM SAM" (PDF) . Meta del Centenario del CAS y Metas del SAM . Sociedad Actuarial de Accidentes . Marzo de 2008. Archivado desde el original (PDF) el 14 de mayo de 2020 . Consultado el 15 de septiembre de 2008 .
20. "Sitio web de gestión de riesgos empresariales". Sociedad Actuarial de Accidentes . 2008. Archivado desde el original el 15 de agosto de 2020 . Consultado el 15 de septiembre de 2008 .
21. "Resumen ejecutivo: reunión de la junta directiva de CAS" (PDF) . Sociedad Actuarial de Accidentes . 17 de junio de 2007. Archivado desde el original (PDF) el 27 de junio de 2010 . Consultado el 15 de septiembre de 2008 .
22. "Descripción general de credenciales". Sociedad de Actuarios . 2008 . Consultado el 15 de septiembre de 2008 .
23. "Datos básicos de CERA". Sociedad de Actuarios . 2008 . Consultado el 15 de septiembre de 2008 .
24. "Beneficios". Sociedad de Actuarios . 2008 . Consultado el 15 de septiembre de 2008 .
25. "El Tratado CERA". CERA Global. 2009. Archivado desde el original el 12 de enero de 2015 . Consultado el 12 de enero de 2015 .

Enlaces externos

• Thomas Stanton (18 de febrero de 2017). "Gestión de riesgos empresariales". YouTube . TEDxJHUDC.
• Airmic / Alarm / IRM (2010) "Un enfoque estructurado para la Gestión de Riesgos Empresariales (ERM) y los requisitos de ISO 31000"
• Hopkin, Paul "Fundamentos de la gestión de riesgos, segunda edición" Kogan-Page (2012) ISBN 978-0-7494-6539-1