La gestión de riesgos empresariales ( ERM , por sus siglas en inglés) en las empresas incluye los métodos y procesos que utilizan las organizaciones para gestionar los riesgos y aprovechar las oportunidades relacionadas con el logro de sus objetivos. ERM proporciona un marco para la gestión de riesgos , que generalmente implica identificar eventos o circunstancias particulares relevantes para los objetivos de la organización (amenazas y oportunidades), evaluarlos en términos de probabilidad y magnitud de impacto, determinar una estrategia de respuesta y monitorear el proceso. Al identificar y abordar de manera proactiva los riesgos y las oportunidades, las empresas comerciales protegen y crean valor para sus partes interesadas, incluidos propietarios, empleados, clientes, reguladores y la sociedad en general.
La ERM también puede describirse como un enfoque basado en el riesgo para la gestión de una empresa, que integra conceptos de control interno , la Ley Sarbanes-Oxley , protección de datos y planificación estratégica . La ERM está evolucionando para abordar las necesidades de diversas partes interesadas, que desean comprender el amplio espectro de riesgos que enfrentan las organizaciones complejas para garantizar que se gestionen adecuadamente. Los reguladores y las agencias de calificación de deuda han aumentado su escrutinio sobre los procesos de gestión de riesgos de las empresas.
Según Thomas Stanton, de la Universidad Johns Hopkins, el objetivo de la gestión del riesgo empresarial no es crear más burocracia, sino facilitar el debate sobre cuáles son los riesgos realmente grandes. [1]
Existen varios marcos de gestión de riesgos empresariales importantes, cada uno de los cuales describe un enfoque para identificar, analizar, responder y monitorear los riesgos y oportunidades dentro del entorno interno y externo que enfrenta la empresa. La gerencia selecciona una estrategia de respuesta al riesgo para los riesgos específicos identificados y analizados, que pueden incluir:
El seguimiento lo realiza normalmente la dirección como parte de sus actividades de control interno, como la revisión de informes analíticos o reuniones del comité de dirección con expertos pertinentes, para entender cómo está funcionando la estrategia de respuesta al riesgo y si se están logrando los objetivos.
En 2003, la Casualty Actuarial Society (CAS) definió la ERM como la disciplina mediante la cual una organización de cualquier industria evalúa, controla, explota, financia y monitorea los riesgos de todas las fuentes con el propósito de aumentar el valor de la organización a corto y largo plazo para sus partes interesadas. [2] La CAS conceptualizó la ERM como un proceso que se desarrolla en las dos dimensiones del tipo de riesgo y los procesos de gestión de riesgos. [2] Los tipos de riesgo y los ejemplos incluyen: [3]
El proceso de gestión de riesgos implica: [4]
El "Marco integrado de gestión de riesgos empresariales" de COSO publicado en 2004 (no se menciona la nueva edición COSO ERM 2017 y la versión de 2004 está desactualizada) define ERM como un "...proceso, efectuado por la junta directiva, la gerencia y otro personal de una entidad, aplicado en el establecimiento de estrategias y en toda la empresa, diseñado para identificar eventos potenciales que puedan afectar a la entidad y gestionar el riesgo para estar dentro de su tolerancia al riesgo , para proporcionar una seguridad razonable con respecto al logro de los objetivos de la entidad". [5]
El marco COSO ERM tiene ocho componentes y cuatro categorías de objetivos. Es una ampliación del marco integrado de control interno COSO publicado en 1992 y modificado en 1994. Los ocho componentes son:
Las cuatro categorías de objetivos (componentes adicionales destacados) son:
La ISO 31000 es una norma internacional para la gestión de riesgos que se publicó el 13 de noviembre de 2009 y se actualizó en 2018. Una norma complementaria, ISO 31010 - Técnicas de evaluación de riesgos, se publicó poco después (el 1 de diciembre de 2009) junto con la Guía ISO 73 del vocabulario de gestión de riesgos actualizada. La norma establece ocho principios basados en el propósito central, que es la creación y protección de valor. [6]
Las organizaciones, por naturaleza, gestionan los riesgos y cuentan con una variedad de departamentos o funciones ("funciones de riesgo") que identifican y gestionan riesgos específicos. Sin embargo, cada función de riesgo varía en cuanto a su capacidad y su coordinación con otras funciones de riesgo. Un objetivo y un desafío central de la gestión de riesgos empresariales es mejorar esta capacidad y coordinación, al tiempo que se integran los resultados para proporcionar una imagen unificada del riesgo para las partes interesadas y mejorar la capacidad de la organización para gestionar los riesgos de manera eficaz.
Las principales funciones de riesgo en las grandes corporaciones que pueden participar en un programa de ERM suelen incluir:
Varias empresas de consultoría ofrecen sugerencias sobre cómo implementar un programa de ERM. [7] Los temas y desafíos comunes incluyen: [8]
Además de la auditoría de tecnología de la información, los auditores internos desempeñan un papel importante en la evaluación de los procesos de gestión de riesgos de una organización y en la promoción de su mejora continua. Sin embargo, para preservar su independencia organizacional y su criterio objetivo, las normas profesionales de auditoría interna indican que la función no debe asumir ninguna responsabilidad directa por la toma de decisiones de gestión de riesgos para la empresa ni por la gestión de la función de gestión de riesgos. [9]
Los auditores internos suelen realizar una evaluación anual de riesgos de la empresa para desarrollar un plan de auditorías para el año siguiente. En la práctica, este plan se actualiza con distintas frecuencias. Esto suele implicar la revisión de las distintas evaluaciones de riesgos realizadas por la empresa (por ejemplo, planes estratégicos, evaluación comparativa competitiva y evaluación de riesgos descendente SOX 404 ), la consideración de auditorías anteriores y entrevistas con diversos miembros de la alta dirección. Está diseñado para identificar proyectos de auditoría, no para identificar, priorizar y gestionar los riesgos directamente para la empresa.
Los procesos de gestión de riesgos de las corporaciones de todo el mundo están bajo un escrutinio cada vez mayor por parte de los reguladores y los sectores privados. El riesgo es una parte esencial de cualquier negocio. Si se gestiona adecuadamente, impulsa el crecimiento y las oportunidades. Los ejecutivos luchan con presiones empresariales que pueden estar parcial o totalmente fuera de su control inmediato, como los mercados financieros en crisis, las fusiones, adquisiciones y reestructuraciones, los cambios tecnológicos disruptivos , las inestabilidades geopolíticas y el aumento del precio de la energía.
La Sección 404 de la Ley Sarbanes-Oxley de 2002 exigía a las empresas estadounidenses que cotizaban en bolsa que utilizaran un marco de control en sus evaluaciones de control interno. Muchas optaron por el Marco de Control Interno COSO , que incluye un elemento de evaluación de riesgos. Además, las nuevas directrices emitidas por la Comisión de Bolsa y Valores (SEC) y la Junta de Supervisión Contable de Empresas Públicas en 2007 pusieron un mayor escrutinio en la evaluación de riesgos de arriba hacia abajo e incluyeron un requisito específico para realizar una evaluación de riesgo de fraude . [10] Las evaluaciones de riesgo de fraude generalmente implican la identificación de escenarios de fraude potencial (o experimentado), exposición relacionada a la organización, controles relacionados y cualquier acción tomada como resultado.
La Bolsa de Valores de Nueva York exige que los comités de auditoría de sus empresas que cotizan en bolsa "analicen las políticas en materia de evaluación y gestión de riesgos ". El comentario relacionado continúa: "Si bien es tarea del director ejecutivo y de la alta dirección evaluar y gestionar la exposición de la empresa al riesgo, el comité de auditoría debe analizar las directrices y políticas que rigen el proceso mediante el cual se gestiona esto. El comité de auditoría debe analizar las principales exposiciones al riesgo financiero de la empresa y las medidas que ha adoptado la dirección para supervisar y controlar dichas exposiciones. No se exige que el comité de auditoría sea el único organismo responsable de la evaluación y gestión de riesgos, pero, como se ha indicado anteriormente, el comité debe analizar las directrices y políticas que rigen el proceso mediante el cual se lleva a cabo la evaluación y gestión de riesgos. Muchas empresas, en particular las financieras, gestionan y evalúan su riesgo a través de mecanismos distintos del comité de auditoría. Los procesos que estas empresas tienen establecidos deben ser revisados de manera general por el comité de auditoría, pero no es necesario que los sustituya". [11]
Standard & Poor's (S&P), la agencia de calificación de deuda, planea incluir una serie de preguntas sobre gestión de riesgos en su proceso de evaluación de empresas. Esto se extenderá a las empresas financieras en 2007. [12] Los resultados de esta investigación son uno de los muchos factores que se tienen en cuenta en la calificación de la deuda, que tiene un impacto correspondiente en las tasas de interés que los prestamistas cobran a las empresas por préstamos o bonos. [13] El 7 de mayo de 2008, S&P también anunció que comenzaría a incluir una evaluación de ERM en sus calificaciones para empresas no financieras a partir de 2009, [14] con comentarios iniciales en sus informes durante el cuarto trimestre de 2008. [15]
Las Normas de Desempeño de la Corporación Financiera Internacional [16] se centran en la gestión de los riesgos e impactos ambientales, sociales, de seguridad y de salud. La tercera edición se publicó el 1 de enero de 2012, tras un proceso de negociación de dos años con el sector privado, los gobiernos y las organizaciones de la sociedad civil. Han sido adoptadas por los Bancos de los Principios del Ecuador, un consorcio de más de 118 bancos comerciales en 37 países.
Las normas sobre privacidad de datos, como el Reglamento General de Protección de Datos de la Unión Europea , prevén cada vez más sanciones significativas por no mantener una protección adecuada de los datos personales de las personas, como nombres, direcciones de correo electrónico e información financiera personal, o alertar a las personas afectadas cuando se vulnere la privacidad de los datos. El reglamento de la UE exige que cualquier organización, incluidas las ubicadas fuera de la UE, designe un responsable de protección de datos que informe al nivel más alto de gestión [17] si maneja datos personales de cualquier persona que viva en la UE.
En 2003, el Comité de Gestión de Riesgos Empresariales de la Casualty Actuarial Society (CAS) publicó su descripción general de la ERM. [18] Este documento expuso la evolución, la justificación, las definiciones y los marcos de la ERM desde la perspectiva actuarial de accidentes, y también incluyó un vocabulario, fundamentos conceptuales y técnicos, prácticas y aplicaciones reales, y estudios de casos. [18]
La CAS tiene objetivos específicos establecidos en materia de gestión de riesgos empresariales, entre ellos, ser "un proveedor líder a nivel internacional de materiales educativos relacionados con la gestión de riesgos empresariales (ERM) en el ámbito de los seguros de daños y responsabilidad civil", [19] y ha patrocinado la investigación, el desarrollo y la capacitación de actuarios de seguros de daños y responsabilidad civil en ese sentido. [20] La CAS se ha abstenido de emitir su propia credencial; en cambio, en 2007, el Consejo de la CAS decidió que la CAS debería participar en la iniciativa para desarrollar una designación global de ERM y tomar una decisión final en una fecha posterior. [21]
En 2007, la Sociedad de Actuarios desarrolló la credencial Chartered Enterprise Risk Analyst (CERA) en respuesta al creciente campo de la gestión de riesgos empresariales. [22] Esta es la primera credencial profesional nueva que introduce la SOA desde 1949. [23] Un CERA estudia cómo se combinan los distintos riesgos, incluidos los operativos, de inversión, estratégicos y de reputación, para afectar a las organizaciones. Los CERA trabajan en entornos que van más allá de los seguros, los reaseguros y los mercados de consultoría, incluidos los servicios financieros más amplios, la energía, el transporte, los medios de comunicación, la tecnología, la fabricación y la atención sanitaria. [23]
Se necesitan aproximadamente de tres a cuatro años para completar el programa de estudios de CERA, que combina la ciencia actuarial básica, los principios de ERM y un curso sobre profesionalismo. Para obtener la credencial de CERA, los candidatos deben realizar cinco exámenes, cumplir con un requisito de experiencia educativa, completar un curso en línea y asistir a un curso presencial sobre profesionalismo. [23]
Inicialmente, todos los CERA eran miembros de la Sociedad de Actuarios [24], pero en 2009 la designación CERA se convirtió en una credencial profesional especializada global, otorgada y regulada por múltiples organismos actuariales; [25] por ejemplo, el Actuario de Riesgo Empresarial Colegiado del Instituto y Facultad de Actuarios .
El objetivo de la gestión de riesgos empresariales no es crear otra capa de burocracia, sino que el director de riesgos facilite las conversaciones y, luego, los debates sobre las prioridades: cuáles son los grandes riesgos que debemos afrontar.
{{cite journal}}: Requiere citar revista |journal=( ayuda ){{cite journal}}: Requiere citar revista |journal=( ayuda ){{cite journal}}: Requiere citar revista |journal=( ayuda ){{cite journal}}: Requiere citar revista |journal=( ayuda ){{cite book}}: Mantenimiento de CS1: falta la ubicación del editor ( enlace ){{cite journal}}: Requiere citar revista |journal=( ayuda )