Selección del grupo de componentes de la gestión La organización articula sus trabajo. del riesgo empresarial. objetivos, Sensibilización y La gobernanza del riesgo Define los parámetros para capacitación. establece el tono de la gestionar el riesgo del Elaboración del pan de entidad. proceso. trabajo. La cultura se relaciona con Establece el alcance y los Recursos disponibles que los valores éticos, los criterios del riesgo para el garanticen la sostenibilidad comportamientos resto del proceso. de la metodología en el deseados y la comprensión tiempo. del riesgo en la entidad. La Sistema de administración cultura se refleja en la de riesgos maduros. toma de decisiones. Planeación estratégica. Identificación de riesgos estratégicos. Priorización de riesgos estratégicos.
La gestión del riesgo Eficacia del marco de Definición del mecanismo de
empresarial se integra en el referencia para la gestión, monitoreo plan estratégico: en todos los niveles de la Comprensión del contexto organización. Que se va a monitorear. empresarial, Ver los diversos niveles y Cómo monitorear. Obtener información sobre en contextos específicos de Información que utiliza la los factores internos y la organización. empresa para monitorear externos. El marco garantiza que la los riesgos. Establecer su apetito de información se utilice como riesgo. base para la toma de Los objetivos comerciales decisiones. permiten poner en práctica la estrategia. La administración utiliza los costos y esfuerzos Recolección de la información información relevante. involucrados en la creación La organización aprovecha de los registros; Estrategia de busqueda. los sistemas de las necesidades legales y Búsqueda de la información para operativas para los información. administrar datos. registros; Organización de la El proceso de identificar los métodos de acceso y los información. qué información con el fin medios de Registro de información. de aplicar las prácticas de almacenamiento; gestión de riesgos la sensibilidad de la empresariales. información.
Una taxonomía de gestión Las decisiones con respecto Análisis de la información
de riesgo empresarial a la creación, conservación proporciona la base para y tratamiento de la Generación de informes. respaldar datos e información documentada Identificación de nuevos información de riesgo. deberían tener en cuenta, indicadores claves de La administración y otro pero no limitarse a su uso, riesgo (actualización). personal pueden identificar la sensibilidad de la Identificación de fallas de qué fuentes de información información y los contextos controles actuales. se necesitan para respaldar externo e interno. Comparar resultados los componentes de la El informe es una parte objetivos iniciales . gestión de riesgos de la integral de la gobernanza Relación de indicadores empresa: de la organización. claves de riesgo (un solo La comunicación y la • Gobernanza y cultura del indicador no es suficiente consulta de los intereses riesgo. para analizar tendencias). con las partes involucradas. Analizar tendencias de Estrategia y Establecimiento de La comunicación y la cambios. objetivos. consulta deberían facilitar Detección de los intercambios de • Identificación, evaluación y oportunidades, amenazas, información veraz, respuesta del riesgo. fortalezas y debilidades. pertinente, precisa y fácil de entender. • Supervisión del rendimiento de la gestión de riesgos empresariales.
Los objetivos de negocio y El tratamiento del Toma de decisiones
los componentes de la riesgo implica un gestión de riesgo proceso cíclico de: Presentación de la empresarial pueden valoración del información a las personas cambiar con el tiempo a tratamiento del riesgo; que toman las decisiones medida que la entidad se decisión sobre si los en la organización. adapta a los cambios en los niveles de riesgo Estrategias emergentes. entornos internos y residual son tolerables; Estrategias contigententes. externos. valoración de la Eliminación de estrategias. Los riesgos se priorizan eficacia de dicho según su gravedad y tratamiento. teniendo en cuenta el Las opciones para el apetito de riesgo de la tratamiento del riesgo entidad. La organización no necesariamente luego selecciona las son mutuamente respuestas de riesgo y excluyentes ni monitorea el desempeño. adecuadas en todas las circunstancias.