Tema 6.
las organizaciones pueden o no decidir que necesitan apoyo
Integrar ERM en el tejido
empresarial de la
organización
Como se articula en la definición de MTC de COSO,
riesgo empresarial
la administración es un proceso que se aplica en toda la
organización. Es un proceso de gestión, en última
instancia, propiedad del director ejecutivo e involucra a
personas de todos los niveles de la organización. La
naturaleza integral del proceso de ERM y su
omnipresencia en toda la organización y su gente
proporciona la base para su eficacia.
ERM no se puede ver o implementar como una función o
unidad de personal independiente fuera de los procesos
institucionales básicos de la organización. En algunas
empresas e industrias, como los grandes bancos, es
común ver una unidad de gestión de riesgos
empresariales dedicada a apoyar el esfuerzo general
de ERM, incluido el establecimiento de políticas y
prácticas de ERM para sus unidades de negocio. Sin
embargo, debido a que ERM es un proceso,
I. Pasos y objetivos de la acción inicial
Basándose en las "Claves del éxito", esta sección del
documento de reflexión detalla un plan de acción inicial
y los pasos para apoyar el desarrollo de una
iniciativa de MTC a medida. El plan refleja algunos
pasos simples y básicos para la implementación del
MTC, incluido el paso clave de realizar una evaluación
inicial del riesgo. En el Apéndice B – "Por dónde
empezar: Proyecto de plan de acción para una
iniciativa de MTC" – hemos incluido un
ejemplo de plan de acción, que puede adaptarse
aún más para su uso por las organizaciones. Y en el
Apéndice C – "Preguntas frecuentes sobre el MTC" –
hemos incluido respuestas a algunas preguntas
comunes relacionadas con el MTC que los directores
y la alta dirección deberían encontrar útiles.
Paso 1.
Buscar liderazgo, participación y
supervisión de la Junta Directiva y
la Alta Dirección
El consejo de administración y la alta dirección
establecen el
tono para la cultura de riesgo de la organización. Su
participación, liderazgo y supervisión son esenciales
para el éxito de cualquier esfuerzo de MTC.
dedicado e independiente para sus actividades de
gestión de recursos hídricos.
Independientemente de si existe o no una unidad de
gestión de riesgos, una clave para el éxito es vincular o
integrar el proceso de ERM en sus procesos de negocio
principales y estructuras de la organización. Algunas
organizaciones, por ejemplo, han ampliado sus planes
estratégicos y procesos de presupuestación para incluir la
identificación y discusión de los riesgos relacionados
con sus planes y presupuestos.
Tema 7.
Proporcionar actualizaciones continuas de ERM
y educación continua para directores y
prácticas, procesos e información de ERM de
alta dirección
para evolucionar. Por lo tanto, es importante para los
directores y senior
ejecutivos para asegurarse de que están recibiendo
actualizaciones apropiadas, nuevas versiones y educación
continua sobre ERM, incluida la información sobre los
requisitos reglamentarios y las mejores prácticas. Esta
información brinda la oportunidad a los directores y a la
alta dirección de actualizar sus procesos de gestión
de riesgos a medida que toman conciencia de las
prácticas nuevas o en desarrollo. Este proceso de
mejora continua es particularmente importante con
el mayor enfoque en el MTC por parte de los
reguladores, las agencias de calificación y la SEC.
Un reciente documento de reflexión de la COSO, Effective
Enterprise Risk Management: The Role of the
Board of Directors, señala que;
"La junta directiva de una entidad
desempeña un papel fundamental en la
supervisión de un enfoque del riesgo en toda
la empresa.
Administración. Debido a que la administración es
responsable ante la junta directiva, el enfoque de la
junta en la supervisión efectiva es fundamental
para establecer el tono y la cultura hacia una
gestión de riesgos efectiva a través del
establecimiento de estrategias, la formulación de
objetivos de alto nivel y la aprobación de
asignaciones de recursos de base amplia". 1
La junta directiva y la alta dirección deben ponerse de
acuerdo sobre sus objetivos iniciales con respecto al MTC,
sus beneficios y sus expectativas de éxito del MTC. A un
alto nivel, debe haber un acuerdo claro y una
alineación de las expectativas, el calendario y los
resultados esperados de la junta y de la alta
dirección. Esto debería incluir un acuerdo sobre los
recursos que se pondrán a disposición y las fechas
previstas para el esfuerzo. La junta también debe
considerar el momento y el nivel de presentación de
informes de situación que se requerirán para supervisar
y supervisar eficazmente el esfuerzo del MTC.
1
Descargue el documento de reflexión Effective Enterprise Risk Management: The Role of the Board of
Directors de COSO del sitio web de COSO (www.coso.org).
Este es también un momento apropiado para Para proporcionar un fuerte respaldo a su esfuerzo de MTC, una
sentar las bases de la cultura de riesgo de la organización debe considerar la creación de un Comité de Gestión
organización, incluida la mejor manera de de Riesgos de alto nivel o un Grupo de Trabajo como el vehículo a
comunicar el deseo de una gestión de riesgos más través del cual el líder de riesgo designado puede implementar la
eficaz. Esta comunicación inicial puede centrarse en los iniciativa de MTC.
ejecutivos de alto nivel para enfatizar la importancia del
esfuerzo inicial de ERM y la naturaleza crítica de estas
actividades. Las comunicaciones posteriores pueden
dirigirse a describir el esfuerzo de ERM en términos más
generales para un público más amplio en toda la
organización.

Paso 2.
Seleccionar un líder fuerte para impulsar la
iniciativa de ERM Encontrar un líder para dirigir el
proyecto inicial de ERM también es fundamental para el
éxito. La administración debe identificar a un líder con los
atributos correctos (consulte el cuadro a continuación)
para encabezar el esfuerzo de ERM. Esta persona no
necesita ser un "CRO" (Chief Risk Officer). A
menudo, es mejor utilizar inicialmente los recursos
existentes, por ejemplo, el director ejecutivo de auditoría
o el director financiero, para que esta función inicie el
mtc. Este líder no será necesariamente la persona que
dirigirá ERM a largo plazo, sino la persona para poner en
marcha la iniciativa y asumir la responsabilidad de
mover las actividades de ERM de la organización al
siguiente nivel.

Es fundamental que el líder de riesgos tenga la estatura

suficiente y esté en un nivel de alta dirección
adecuado en la organización para tener una
perspectiva estratégica rica de la organización y
sus riesgos y para ser visto como un par por otros
miembros de la alta dirección. Es necesario integrar
ERM en el tejido empresarial de la organización.
Tener un líder de riesgo que pueda ser visto como un par
por los miembros de la alta dirección es vital para el éxito
de la iniciativa ERM.

Atributos de los líderes eficaces de la gestión de riesgos

empresariales
Amplio conocimiento del negocio y sus estrategias principales
Relaciones sólidas con los directores y la dirección ejecutiva
Fuertes habilidades de comunicación y facilitación
Conocimiento de los riesgos de la organización
Amplia aceptación y credibilidad en toda la organización

Paso 3.
Establecer una gestión
Comité de Riesgos o Grupo de Trabajo
Si bien el uso de un comité o grupo de evaluación es una mirada de arriba hacia abajo a los riesgos
trabajo además del líder de riesgo que potencialmente podrían ser más significativos para
puede ser visto como opcional, estos la organización y su capacidad para lograr sus
comités han sido utilizados por los objetivos de negocio. Si bien cualquier organización se
líderes de riesgo como un medio efectivo enfrenta a muchos riesgos, el punto de partida es obtener
para involucrar a las personas una lista manejable de lo que colectivamente se consideran
adecuadas en toda la organización para los riesgos más significativos. Aquí, los miembros del
garantizar el éxito de sus esfuerzos de comité de riesgos o del grupo de trabajo pueden ser más
ERM. útiles compartiendo sus puntos de vista o identificando
a las personas de la organización que deben
Idealmente, tales comités o grupos de participar en la evaluación de riesgos.
trabajo incluirían ejecutivos de nivel "C-
suite", así como líderes clave de Si bien no hay una mejor manera de llevar a cabo
unidades de negocios para garantizar una evaluación de riesgos, muchas
que los esfuerzos de ERM de la organizaciones comienzan por obtener una
organización estén firmemente visión de arriba hacia abajo de las exposiciones
integrados dentro de las actividades de riesgo más importantes de los ejecutivos
comerciales principales de la clave de toda la organización. Esto es
organización. La participación de altos Normalmente se logra comenzando con una discusión de la
ejecutivos en este nivel también
garantiza que ERM reciba la atención y el
apoyo adecuados y puede ser muy útil
para construir y comunicar la cultura
de riesgo en toda la organización. Y
proporciona la parte superior
ejecutivos con la oportunidad de
compartir sus ideas sobre los tipos de
riesgos que podrían impedir la capacidad
de la organización para lograr sus
objetivos de negocio, que serán
información importante durante la
evaluación inicial de riesgos.

Por lo general, el líder del MTC de la

organización, como se describe en
el paso 2 anterior, encabezaría este
comité y lo utilizaría como un foro
principal para la implementación del
MTC. Alternativamente, una
organización podría crear un comité
y utilizar el
Comité únicamente con el fin de aplicar el
MTC. Con este enfoque, un líder de riesgo o
director de riesgos podría ser nombrado en
un momento posterior a medida que la
organización madura sus procesos de
ERM y decide que necesita un líder
dedicado.

Paso 4.
Llevar a cabo la inicial en toda la empresa
Evaluación de riesgos & Desarrollo de un plan de
acción
En muchos sentidos, este paso es el corazón
del proceso inicial de ERM. El enfoque aquí es
obtener una comprensión y un acuerdo
sobre los principales riesgos de la
organización y cómo se administran. La
 pensamiento liderazgo en MTC | abrazador empresa riesgo Administración: práctico Enfoques para Conseguir
Comenzó | 5

la estrategia de negocio de la organización y sus inicial con un número manejable de riesgos o

componentes y luego identificar los principales riesgos que eventos de riesgo potenciales. A medida que
impedirían su capacidad para alcanzar sus objetivos la organización madura sus procesos de ERM,
estratégicos. Una alternativa es discutir las puede investigar los niveles más finos de
estrategias y riesgos de cada una de sus principales detalle sobre otros riesgos o, con un mayor
unidades de negocio. Para ayudar en estas discusiones, conocimiento de las actividades de gestión
algunas organizaciones preparan una lista de las de riesgos, evolucionar su evaluación de
principales categorías de riesgo, como operativas, riesgos de riesgos inherentes a riesgos
financieras, legales, de mercado y luego discuten las residuales. Tenga en cuenta, sin embargo,
exposiciones a esa categoría de riesgo para el negocio que centrarse en demasiados detalles o
en general o cada unidad de negocio significativa. demasiados riesgos en las primeras etapas
de la adopción del MTC puede impedir el
A menudo es más simple y más efectivo para una progreso en el esfuerzo más amplio del
organización llevar a cabo esta evaluación de riesgos MTC.
inicial, de arriba hacia abajo, con un puñado de
líderes clave de la unidad de negocio y miembros de
la "C-suite". Más individuos a través y más lejos dentro de
la organización se pueden agregar más adelante a
medida que el proceso de evaluación de riesgos
madura. Esta recopilación de datos podría lograrse a
través de entrevistas, encuestas, grupos de discusión
facilitados
o reuniones de comités. (Véase el Apéndice D del
presente documento para ver algunos ejemplos de
preguntas a tener en cuenta para esta evaluación
inicial del riesgo.)

A continuación, la organización debe considerar la

posibilidad de priorizar o clasificar los riesgos
identificados. Este paso podría lograrse mediante una
simple clasificación del nivel percibido de riesgo
inherente o mediante
una evaluación más detallada de la probabilidad y el
impacto de cada riesgo. Considere el uso de una
escala básica de alto, medio y bajo para cada
riesgo inherente como punto de partida en lugar de
cuantificación o modelado. Una vez más, durante esta
evaluación inicial, muchas organizaciones encuentran
útil una buena discusión y clasificaciones simples.

Como resultado de algunos de los riesgos grandes e

inesperados que se han manifestado últimamente, algunas
organizaciones ahora están ampliando sus evaluaciones
de impacto y probabilidad para incluir otros factores.
Algunos ejemplos de estos nuevos factores son la
evaluación de la velocidad de un riesgo o el nivel de
preparación de la organización para ese riesgo. Para
obtener un ejemplo de una evaluación de riesgos
ampliada, consulte el Ejemplo de perfil estratégico de
riesgos después del paso 6.

Cualquiera que sea el enfoque específico que se adopte,

la información recopilada debe compilarse en una lista

www.coso.org
 pensamiento liderazgo en MTC | abrazador empresa riesgo Administración: práctico Enfoques para Conseguir
La organización también necesita evaluar
Comenzó | 6 sus respuestas de procesos maduran.
riesgo relacionadas con los riesgos identificados y desarrollar
planes de acción para abordar cualquier brecha que esté
más allá de las aceptables.
Por lo general, los planes de acción derivados de la evaluación
inicial del riesgo identificarían las lagunas en los procesos de
gestión de riesgos existentes en relación con los riesgos
identificados y detallarían formas específicas de abordar esas
deficiencias.

El ejercicio inicial de evaluación de riesgos también es un

momento para iniciar discusiones sobre el apetito de riesgo de
la organización en relación con los riesgos identificados. A
algunos ejecutivos les resulta difícil
articular mucho menos discutir su organización de riesgo apetito. Para
superar este desafío, considere la posibilidad de centrarse inicialmente
en cualitativo o descripciones narrativas del apetito por el riesgo, (p.
ej... el organización Mayo have cero tolerancia para cualquier cosa
relacionado Para seguridad del cliente o del empleado). La gestión
puede facilitar la discusión de la apetito de riesgo mediante la
identificación de tipos de actividades o productos que emprenderán o
no debido a la riesgos percibidos. Alternativamente, pueden discutir
cómo riesgo agresivo o conservador Ellos querer Para ser Comparado
Para su Compañeros o Competidores.
Aurea
Paso 5.
Inventariar las prácticas de gestión de riesgos existentes
Durante el proceso de evaluación de riesgos, la organización
también debería hacer un inventario de sus prácticas actuales
de gestión de riesgos para determinar las áreas de fortaleza
sobre las que construir y las áreas de debilidad que abordar. Este
inventario se convierte en información valiosa para la
administración para ayudar a mejorar los procesos de gestión de
riesgos.

En primer lugar, permite a la organización identificar las brechas

en sus procesos actuales de gestión de riesgos en relación con
sus riesgos más importantes y significativos a medida que se
identifican. A menudo, las actividades de gestión de riesgos se
centran en las operaciones existentes y los riesgos de
cumplimiento, en lugar de los riesgos externos, emergentes o
estratégicos significativos. A medida que se identifican nuevos
riesgos en
el proceso de evaluación de riesgos, los conocimientos adquiridos a
partir de un inventario exhaustivo de las actividades de gestión
de riesgos existentes ayudarán a la organización a evaluar las
conexiones entre los procesos de gestión de riesgos existentes
y el
los riesgos más críticos a nivel empresarial para que la
administración pueda determinar si hay lagunas en la forma
en que están gestionando los riesgos más importantes.
Además, ayuda a la organización a mapear los riesgos a los
objetivos subyacentes.

En segundo lugar, el inventario constituye una línea de base para la

organización a medida que continúa desarrollando y mejorando sus
procesos de gestión de recursos institucionales. Ayuda a la
administración a demostrar el progreso y los beneficios de ERM
al servir como punto de comparación a medida que los

www.coso.org
Una Guía de alineación de la gestiónderiesgos, como
Las tres últimas columnas incluirían información sobre
el ejemplo que se muestra a continuación, puede
las medidas necesarias para fortalecer la supervisión de
ayudar a facilitar la compilación y documentación de
los riesgos y determinar la gestión y la supervisión de
un inventario de alto nivel de las actividades de
la junta en relación con el riesgo. En la práctica, las
gestión de riesgos de la organización. La guía se
organizaciones han encontrado la finalización
puede desarrollar en dos pasos. En primer lugar, la
de la columna sobre el Propietario del Riesgo para
administración enumeraría los principales riesgos en
que sea un ejercicio útil para asegurarse de que
la columna Categoría de riesgo, que se identificaría
tienen un propietario del riesgo identificado y
durante su evaluación inicial del riesgo, tal como se
reconocido para cada riesgo importante. La
describe en la página anterior.
Gestión de Riesgos
A continuación, la administración se aseguraría de
La Guía dealineación, una vez completada, también
haber identificado a un propietario del riesgo,
sirve como una forma concisa y útil de comunicar las
articulado alguna forma de apetito de riesgo
prácticas generales de gestión de riesgos de la
relevante para ese riesgo y haber considerado qué
organización a un alto nivel para la junta directiva y
procesos existentes están en su lugar para monitorear la alta dirección.
el riesgo a lo largo del tiempo, si los hay.

Ejemplo de guía de alineación de gestión de riesgos

Cat Prop Métrica Plane Super Supe
egorí ietarios s de apetito monitoriza s de visión rvisión
a de de de riesgo ción acció de la de la
riesg riesgo n empr Junta
o esa
Riesgo co Política que Comunicac Aprobado Comité Pe
de ns incluye iones & Ejecuti nsi
rep ej métricas Corporativa Actualiz vo ón
utac er específicas s ado co
o aprobadas xx/xx/x m
ión xx/xx/xx x
del ple
eg ta
ad
o
Riesgo arr Métricas de Supervisión e Planes Gestión de Comi
de ull operaciones informes establecido riesgos téde
ope o diarias en diarios de s para Riesgo
raci todas las gestión de cada Auditoría s
divisiones punto de
one operaciones
activación Interna
operativas
s
Riesgo Ct Políticas que Monitoreo Planes de Comité Comité
de la o incluyen diario de los contingenc operativo de
tecnologí métricas de estándares ia y Audito
a de la rendimiento respaldo Auditoría
diarias para la
de
establecido ría
inform desempeño Interna
seguridad, s y
ación copia de
establecidos
probados Pen
seguridad y periódicam sió
recuperación ente n
co
m
ple
ta
Riesgo
4
Paso 6.
El siguiente ejemplo de un perfil de riesgo
Desarrolle sus informes de riesgo iniciales estratégico (consulte la página siguiente) incluye
A continuación, la organización necesita desarrollar su
tres categorías de riesgo estratégico principales en
enfoque inicial para la presentación de informes de
las filas de la tabla (Operaciones, reputación y
riesgos, incluidos sus procesos de comunicación,
tecnología dela información) y cuatro posibles
audiencias objetivo y formatos de presentación de
informes. Las organizaciones deben comenzar por factores de riesgoen las columnas de la tabla
mantener las cosas simples, claras y concisas. No
(Probabilidad, Impacto, Velocidad y Preparación). El
los riesgos estratégicos se enumeran en orden de su
obstante, debe señalarse que, independientemente del
prioridad general y los símbolos de preparación rojos,
formato de presentación de informes específico empleado,
amarillos y verdes ayudan a los lectores a centrarse en
los informes deben reflejar claramente la importancia
los riesgos que son más críticos (porejemplo, los
relativa o la importancia de cada riesgo. Con este fin,
resaltados en rojo).
muchas organizaciones utilizan listas simples, con sus
principales riesgos enumerados en orden de clasificación.
Este ejemplo de un perfil de riesgo estratégico se
Otros utilizan colores o gráficos junto con su clasificación
presenta únicamente con fines ilustrativos. Las
para ayudar a centrar la atención en el más organizaciones deben probar varios formatos,
significativo de los riesgos que se reportan. Considere enfoques y factores de riesgo de informes de riesgo,
también qué informes de estado y seguimiento necesita además de hablar con directores y ejecutivos sobre
para monitorear el progreso en sus planes de acción con el nivel de detalle necesario y los formatos que
el fin de abordar las brechas en los procesos de riesgo o encuentran más útiles.
las respuestas de riesgo identificadas durante la
implementación del MTC.
Ejemplo de perfil de riesgo estratégico

Riesgo Descripción del riesgo probabi impa veloc prepar prior

Estratégico lidad cto idad ación idad
Riesgo Supply Chain Disruptions;
de Eventos de responsabilidad Bajo Alto Alto 1
operac del producto
iones
Riesgo Daño a la reputación causado por
de acciones de la empresa y/o Medio Alto Alto 2
reputa acciones de socios
ción
Riesgo de la Responsabilidad para alcanzar los
tecnología de objetivos debido a fallas en la Medio Alto Alto 3
la tecnología habilitadora
informació
n
Riesgo 4 4
Riesgo 5 5

Paso 7.
La finalización del plan de acción inicial del MTC es también
Desarrollar la siguiente fase de
un momento oportuno para que el líder de riesgos y el
los planes de acción y las grupo de trabajo del MTC transmitan el estatus y los
comunicaciones en curso beneficios logrados al consejo de administración y a la
La implementación de ERM es un proceso evolutivo alta dirección. El líder de riesgos también debe
que considerar qué tipos de ofertas de educación continua y
toma tiempo para desarrollarse. En un espíritu de mejora comunicaciones deben implementarse en toda la
continua, una vez que se haya completado el plan de organización para continuar fortaleciendo la cultura de
acción inicial del MTC, el grupo de trabajo o el líder de riesgo y las capacidades de ERM de la organización.
riesgos debe realizar una evaluación crítica de los
logros hasta la fecha y elaborar una serie de planes de
acción para la siguiente etapa de aplicación. Siguiendo el
enfoque incremental, el líder debe identificar los
próximos pasos en el despliegue del MTC que fomentarán
mejoras adicionales y, como resultado,
proporcionarán beneficios tangibles.