La gestión de riesgos empresariales ( ERM ) en los negocios incluye los métodos y procesos utilizados por las organizaciones para gestionar los riesgos y aprovechar las oportunidades relacionadas con el logro de sus objetivos. ERM proporciona un marco para la gestión de riesgos , que normalmente implica identificar eventos o circunstancias particulares relevantes para los objetivos de la organización (amenazas y oportunidades), evaluarlos en términos de probabilidad y magnitud del impacto, determinar una estrategia de respuesta y monitorear el proceso. Al identificar y abordar proactivamente los riesgos y oportunidades, las empresas protegen y crean valor para sus partes interesadas, incluidos propietarios, empleados, clientes, reguladores y la sociedad en general.
ERM también puede describirse como un enfoque basado en riesgos para gestionar una empresa, integrando conceptos de control interno , la Ley Sarbanes-Oxley , protección de datos y planificación estratégica . ERM está evolucionando para abordar las necesidades de diversas partes interesadas, que desean comprender el amplio espectro de riesgos que enfrentan las organizaciones complejas para garantizar que se gestionen adecuadamente. Los reguladores y las agencias de calificación de deuda han aumentado su escrutinio sobre los procesos de gestión de riesgos de las empresas.
Según Thomas Stanton de la Universidad Johns Hopkins, el objetivo de la gestión de riesgos empresariales no es crear más burocracia, sino facilitar el debate sobre cuáles son los riesgos realmente grandes. [1]
Existen varios marcos importantes de ERM, cada uno de los cuales describe un enfoque para identificar, analizar, responder y monitorear riesgos y oportunidades dentro del entorno interno y externo que enfrenta la empresa. La gerencia selecciona una estrategia de respuesta al riesgo para riesgos específicos identificados y analizados, que puede incluir:
La administración generalmente realiza el monitoreo como parte de sus actividades de control interno, como la revisión de informes analíticos o reuniones del comité de administración con expertos relevantes, para comprender cómo está funcionando la estrategia de respuesta al riesgo y si se están logrando los objetivos.
En 2003, la Casualty Actuarial Society (CAS) definió ERM como la disciplina mediante la cual una organización en cualquier industria evalúa, controla, explota, financia y monitorea los riesgos de todas las fuentes con el fin de aumentar el valor de la organización a corto y largo plazo. [2] La CAS conceptualizó la ERM como un proceso que abarca las dos dimensiones del tipo de riesgo y los procesos de gestión de riesgos. [2] Los tipos de riesgo y los ejemplos incluyen: [3]
El proceso de gestión de riesgos implica: [4]
El COSO "Marco Integrado de Gestión de Riesgos Empresariales" publicado en 2004 (la nueva edición COSO ERM 2017 no se menciona y la versión de 2004 está desactualizada) define ERM como un "...proceso, efectuado por la junta directiva, la administración y otro personal de una entidad". , aplicado en el establecimiento de estrategias y en toda la empresa, diseñado para identificar eventos potenciales que pueden afectar a la entidad y gestionar el riesgo para que esté dentro de su apetito de riesgo , para proporcionar una seguridad razonable con respecto al logro de los objetivos de la entidad". [5]
El Marco COSO ERM tiene ocho componentes y cuatro categorías de objetivos. Es una ampliación del Marco Integrado de Control Interno de COSO publicado en 1992 y modificado en 1994. Los ocho componentes son:
Las cuatro categorías de objetivos (componentes adicionales destacados) son:
ISO 31000 es una norma internacional para la gestión de riesgos que se publicó el 13 de noviembre de 2009 y se actualizó en 2018. Pronto siguió la publicación (1 de diciembre de 2009) una norma adjunta, ISO 31010 - Técnicas de evaluación de riesgos, junto con el vocabulario ISO actualizado de gestión de riesgos. Guía 73. La norma establece ocho principios basados en el propósito central, que es la creación y protección de valor. [6]
Las organizaciones, por naturaleza, gestionan los riesgos y tienen una variedad de departamentos o funciones ("funciones de riesgo") que identifican y gestionan riesgos particulares. Sin embargo, cada función de riesgo varía en capacidad y en cómo se coordina con otras funciones de riesgo. Un objetivo central y un desafío de ERM es mejorar esta capacidad y coordinación, al mismo tiempo que se integra el resultado para proporcionar una imagen unificada del riesgo para las partes interesadas y mejorar la capacidad de la organización para gestionar los riesgos de manera efectiva.
Las principales funciones de riesgo en grandes corporaciones que pueden participar en un programa ERM suelen incluir:
Varias empresas consultoras ofrecen sugerencias sobre cómo implementar un programa de ERM. [7] Los temas y desafíos comunes incluyen: [8]
Además de la auditoría de tecnología de la información, los auditores internos desempeñan un papel importante en la evaluación de los procesos de gestión de riesgos de una organización y en la promoción de su mejora continua. Sin embargo, para preservar su independencia organizacional y su juicio objetivo, los estándares profesionales de Auditoría Interna indican que la función no debe asumir ninguna responsabilidad directa por la toma de decisiones de gestión de riesgos para la empresa o la gestión de la función de gestión de riesgos. [9]
Los auditores internos suelen realizar una evaluación de riesgos anual de la empresa para desarrollar un plan de trabajos de auditoría para el próximo año. Este plan se actualiza con varias frecuencias en la práctica. Por lo general, esto implica la revisión de las diversas evaluaciones de riesgos realizadas por la empresa (por ejemplo, planes estratégicos, evaluaciones comparativas competitivas y evaluación de riesgos de arriba hacia abajo SOX 404 ), consideración de auditorías anteriores y entrevistas con una variedad de altos directivos. Está diseñado para identificar proyectos de auditoría, no para identificar, priorizar y gestionar riesgos directamente para la empresa.
Los procesos de gestión de riesgos de las corporaciones de todo el mundo están bajo un creciente escrutinio regulatorio y privado. El riesgo es una parte esencial de cualquier negocio. Si se gestiona adecuadamente, impulsa el crecimiento y las oportunidades. Los ejecutivos luchan con presiones empresariales que pueden estar total o parcialmente fuera de su control inmediato, como los mercados financieros en dificultades; fusiones, adquisiciones y reestructuraciones; cambio tecnológico disruptivo ; inestabilidades geopolíticas; y el creciente precio de la energía.
La sección 404 de la Ley Sarbanes-Oxley de 2002 exigía que las empresas estadounidenses que cotizan en bolsa utilizaran un marco de control en sus evaluaciones de control interno. Muchos optaron por el Marco de Control Interno de COSO , que incluye un elemento de evaluación de riesgos. Además, las nuevas directrices emitidas por la Comisión de Bolsa y Valores (SEC) y la Junta de Supervisión Contable de las Empresas Públicas en 2007 sometieron a un escrutinio cada vez mayor la evaluación de riesgos de arriba hacia abajo e incluyeron un requisito específico para realizar una evaluación del riesgo de fraude . [10] Las evaluaciones del riesgo de fraude generalmente implican la identificación de escenarios de fraude potencial (o experimentado), la exposición relacionada de la organización, los controles relacionados y cualquier acción tomada como resultado.
La Bolsa de Valores de Nueva York exige a los comités de auditoría de sus empresas que cotizan en bolsa "discutir políticas con respecto a la evaluación y gestión de riesgos ". El comentario relacionado continúa: "Si bien es trabajo del CEO y de la alta dirección evaluar y gestionar la exposición de la empresa al riesgo, el comité de auditoría debe discutir directrices y políticas para regir el proceso mediante el cual se maneja esto. El comité de auditoría debe discutir las principales exposiciones a riesgos financieros de la empresa y las medidas que la dirección ha tomado para monitorear y controlar dichas exposiciones. No se requiere que el comité de auditoría sea el único organismo responsable de la evaluación y gestión de riesgos, pero, como se indicó anteriormente, el comité debe discutir directrices y políticas. para regir el proceso mediante el cual se lleva a cabo la evaluación y gestión de riesgos. Muchas empresas, particularmente las financieras, gestionan y evalúan sus riesgos a través de mecanismos distintos al comité de auditoría. Los procesos que estas empresas tienen implementados deben ser revisados de manera general por el comité de auditoría. comité, pero no necesitan ser reemplazados por el comité de auditoría." [11]
Standard & Poor's (S&P), la agencia de calificación de deuda, prevé incluir una serie de preguntas sobre gestión de riesgos en su proceso de evaluación de empresas. Esto se extenderá a las empresas financieras en 2007. [12] Los resultados de esta investigación son uno de los muchos factores considerados en la calificación de la deuda, que tiene un impacto correspondiente en las tasas de interés que los prestamistas cobran a las empresas por préstamos o bonos. [13] El 7 de mayo de 2008, S&P también anunció que comenzaría a incluir una evaluación del ERM en sus calificaciones para empresas no financieras a partir de 2009, [14] con comentarios iniciales en sus informes durante el cuarto trimestre de 2008. [15]
Las Normas de Desempeño de la Corporación Financiera Internacional [16] se centran en la gestión de riesgos e impactos de salud, seguridad, medio ambiente y social. La tercera edición fue publicada el 1 de enero de 2012 luego de un proceso de negociación de dos años con el sector privado, gobiernos y organizaciones de la sociedad civil. Han sido adoptados por los Bancos de los Principios del Ecuador, un consorcio de más de 118 bancos comerciales en 37 países.
Las normas de privacidad de datos, como el Reglamento General de Protección de Datos de la Unión Europea , prevén cada vez más sanciones importantes por no mantener una protección adecuada de los datos personales de las personas, como nombres, direcciones de correo electrónico e información financiera personal, o alertan a las personas afectadas cuando los datos se viola la privacidad. El reglamento de la UE exige que cualquier organización, incluidas las ubicadas fuera de la UE, designe un Delegado de Protección de Datos que responda al nivel de gestión más alto [17] si maneja datos personales de cualquier persona que viva en la UE.
En 2003, el Comité de Gestión de Riesgos Empresariales de la Casualty Actuarial Society (CAS) publicó su visión general de la ERM. [18] Este documento expuso la evolución, la justificación, las definiciones y los marcos para la ERM desde la perspectiva actuarial de accidentes, y también incluyó un vocabulario, fundamentos conceptuales y técnicos, prácticas y aplicaciones reales, y estudios de casos. [18]
La CAS ha declarado objetivos específicos de ERM, incluido ser "un proveedor líder a nivel internacional de materiales educativos relacionados con la Gestión de Riesgos Empresariales (ERM) en el ámbito de los seguros contra daños a la propiedad" [19] y ha patrocinado la investigación, el desarrollo y la capacitación de actuarios de accidentes en ese aspecto. [20] El TAS se ha abstenido de expedir su propia credencial; en cambio, en 2007, la Junta de la CAS decidió que la CAS debería participar en la iniciativa para desarrollar una designación ERM global y tomar una decisión final en una fecha posterior. [21]
En 2007, la Sociedad de Actuarios desarrolló la credencial Chartered Enterprise Risk Analyst (CERA) en respuesta al creciente campo de la gestión de riesgos empresariales. [22] Esta es la primera credencial profesional nueva introducida por la SOA desde 1949. [23] Un CERA estudia para centrarse en cómo diversos riesgos, incluidos los operativos, de inversión, estratégicos y de reputación, se combinan para afectar a las organizaciones. Los CERA funcionan en entornos más allá de los mercados de seguros, reaseguros y consultoría, incluidos servicios financieros más amplios, energía, transporte, medios, tecnología, manufactura y atención médica. [23]
Se necesitan aproximadamente de tres a cuatro años para completar el plan de estudios de CERA, que combina ciencia actuarial básica, principios de ERM y un curso de profesionalismo. Para obtener la credencial CERA, los candidatos deben realizar cinco exámenes, cumplir un requisito de experiencia educativa, completar un curso en línea y asistir a un curso presencial sobre profesionalismo. [23]
Inicialmente todos los CERA eran miembros de la Sociedad de Actuarios [24] pero en 2009 la designación CERA se convirtió en una credencial profesional especializada global, otorgada y regulada por múltiples organismos actuariales; [25] por ejemplo , Actuario colegiado de riesgos empresariales del Instituto y Facultad de Actuarios .
El objetivo de la gestión de riesgos empresariales no es crear otra capa de burocracia, sino más bien hacer que su director de riesgos facilite las conversaciones y luego las discusiones sobre las prioridades: cuáles son los riesgos realmente grandes con los que tenemos que lidiar.
{{cite journal}}
: Citar diario requiere |journal=
( ayuda ){{cite journal}}
: Citar diario requiere |journal=
( ayuda ){{cite journal}}
: Citar diario requiere |journal=
( ayuda ){{cite journal}}
: Citar diario requiere |journal=
( ayuda ){{cite book}}
: Mantenimiento CS1: falta el editor de la ubicación ( enlace ){{cite journal}}
: Citar diario requiere |journal=
( ayuda )