COSO ERM 2017

COSO ERM 2017
Componente: Desempeño
Agosto de 2021
1
Contenido
1. Componente desempeño
2. Principio 10 – Identifica riesgos
3. Principio 11 - Evalúa la severidad de los riesgos
4. Principio 12 - Priorización de los riesgos
5. Principio 13 - Implementa las respuestas al riesgo
6. Principio 14 - Desarrolla un portafolio de riesgos
7. Preguntas y comentarios
8. Ejercicio práctico
2
01 Componente desempeño
Copyright © 2018 Deloitte & Touche Ltda. All rights reserved. 3

COSO ERM 2017

Componente Desempeño
Aspectos generales
Las organizaciones 1 • Identifica riesgos

Evalúa la severidad
del riesgo, con un 2
utilizan su estructura nuevos y entendimiento de
emergentes para cómo el riesgo puede
operativa para que la gerencia cambiar dependiendo
desarrollar una práctica pueda desplegar las
respuestas a los
de las decisiones de la
entidad.
que: riesgos de manera
oportuna.
Desarrolla
una visión de Prioriza los riesgos,
portafolio para permitiendo a la
mejorar la gerencia optimizar la 3
capacidad de asignación de
articular el riesgo recursos en
asumido en la respuesta a los
búsqueda de la mismos.
estrategia y los
5 objetivos de
negocio
Identifica y selecciona las

respuestas a los riesgos.
4
COSO ERM 2017
Componente II Evaluación de Componente III Desempeño Componente II Estrategia y objetivos
Riesgos
6.Especifica objetivos Principio 9: Formula los objetivos

empresariales
7.Identifica y analiza el riesgo Principio 10 – Identifica riesgos
Principio 11 - Evalúa la severidad de los riesgos
8.Valora el riesgo de fraude Componente III Revisión
Principio 15 - Evalúa los cambios

9.Identifica y analiza cambios
sustanciales
significativos
Principio 12 - Priorización de los riesgos
Componente III Actividades de

control
Principio 13 - Implementa las respuestas al
Principio 11: Selecciona y
desarrolla actividades de control riesgo
Principio 14 - Desarrolla un portafolio de

riesgos

02 Principio 10 – Identifica riesgos
7
Copyright
Copyright © 2021
© 2018 Deloitte
Deloitte & Touche&Ltda.
Touche Ltda.
All rights All rights
reserved. reserved. 7
Principio 10 – Identifica riesgos
Identificando riesgos
Los riesgos nuevos, emergentes y cambiantes incluyen aquellos que:
1 2 3 4 5
Surgen de un cambio en
los objetivos de negocio
(por ejemplo, la entidad Surgen de un cambio en
adopta una nueva el contexto empresarial
estrategia apoyada por los (por ejemplo, cambios en
objetivos de negocio o Surge de un cambio en el
las preferencias de los contexto empresarial
modifica un objetivo de consumidores por
negocio existente). que puede no haber sido Se desconocían
productos ecológicos u aplicado previamente a anteriormente (por
orgánicos que tienen un la entidad (por ejemplo, ejemplo, el descubrimiento Se han identificado
impacto potencialmente un cambio en las de una susceptibilidad a la previamente, pero desde
adverso en las ventas de regulaciones que resulte en corrosión en las materias entonces han sido
los productos de la nuevas obligaciones para primas utilizadas en el alterados debido a un
empresa). con la entidad). proceso de fabricación de la cambio en el contexto
empresa). empresarial, el apetito de
riesgo o los supuestos de
apoyo (Un incremento
positivo e inesperado en las
proyecciones de ventas
afecta la capacidad de
producción)

Identificando riesgos
Tecnología
emergente
Las organizaciones desean
identificar aquellos riesgos Expansión de
que probablemente Ambiente Big Data y Data
político Analytics
perturbarán las operaciones e
impactarán la expectativa
razonable de alcanzar la
estrategia y los objetivos de
Algunos
negocio. Cambios en ejemplos de
Agotamiento de
recursos
estilo de vida riesgos
naturales
emergentes
Estos riesgos representan un
cambio significativo en el
perfil de riesgo y pueden ser
acontecimientos específicos Auge de
Escasez de
o circunstancias mano de obra entidades
virtuales
cambiantes. Los siguientes
son algunos ejemplos:
Movilidad de la
fuerza de trabajo

Riesgos emergentes
Metodologías básicas: Fuentes potenciales
Los riesgos emergentes se consideran generalmente como "exógenos", externos a la organización. La mayoría de las
evaluaciones de riesgos potenciales pueden agruparse según fuentes probables para ayudar a crear las clasificaciones:
• Política
gubernamental • Cambio de
• Regulaciones régimen
• Terrorismo Medioambiental
- social
Económico
Tecnología
Político
Geopolítico -
económico
• Relacionadas
• Problemas con el clima
fiscales • Ataques
• Catástrofes
• La caída de cibernéticos
los precios • Tecnología
obsoleta

Evaluando la severidad de los riesgos a diferentes niveles de la entidad
La figura ilustra como los El riesgo impacta en diferentes niveles

riesgos impactan en
diferentes niveles de la
entidad:
• Riesgo 1 impacta
potencialmente y Estrategia
directamente la
estrategia.
• Riesgo 2: impacta a los Objetivo de negocio Objetivo de negocio de
objetivos de negocio a de la entidad 1 la entidad 2
nivel de entidad
• Riesgo 3: impacta a
varios objetivos de Objetivos de Objetivos de Objetivos de
negocio que se agregan e negocio 1 negocio 2 negocio 3
impactan a los objetivos
a nivel de entidad.
• Riesgo 4: impacta a un Riesgo 1 Riesgo 2 Riesgo 3 Riesgo 4
solo objetivo de negocio,
el cual también impacta a
los objetivos a nivel de Para que las prácticas de evaluación de riesgos sean completas, una evaluación de
entidad. arriba hacia abajo considera aquellos riesgos identificados y evaluados a niveles más
bajos.

Utilizando un inventario de riesgos
Ejemplo
Area de El área de Riesgos (Nivel 1) es el más
alto nivel del grupo de riesgos Operaciones de Negocio
riesgo
de agrupaciones de riesgo desglosadas & Infraestructura
por la importancia estratégica para el
logro de los objetivos de negocio de la
empresa.
Categoría Una "Categoría de riesgo" (Nivel 2) es

Relaciones con terceras partes
de Riesgo una agrupación de riesgos
& Subcontratación
relacionados, que tienen características
similares, como fuente, proceso, dueño
o mitigación. Los informes a la junta
serán a nivel de categoría de riesgo.
Incumplimiento por parte de

Un “Riesgo” (Nivel 3) es un evento potencial
Riesgo los CRO de resultados que
o una condición que podría impactar el logro
conducen a un retraso
de los objetivos de negocio dela compañía.
significativo en los ensayos
clínicos

Modelo de Riesgos
Clasificación de Riesgos (Ejercicio)
Tomaremos 5 minutos para identificar los riesgos que corresponden al área de riesgo “Estratégico” en cada una de sus 3
categorías.
ESTRATÉGICO
Gobierno Corporativo Modelo de Negocios Político y/o Econômico
FINANCIERO
FINANCEIRO OPERACIONAL
OPERACIONAL REGULACION
Información
Información yy
Crédito
Crédito Mercado
Mercado Liquidez
Liquidez Proceso
Proceso RRHH
RRHH Medio Ambiente Regulación
Tecnologia
Tecnologia
Canales de Obligaciones Acesso y Resíduos, Contábilidad y
Costo de vertimientos y
Concentración Tasa de Cambio Capacitación Confidenciali-dad
Oportunidad distribución contractuales emisiones Finanzas
Disponibilidad de Capacidad Concentración de Recursos Legal
Garantia “Commodities” Tercerización Confiabilidad
Capital Operacional personal Naturale
Eficacia y Perdida y/o Limite de Seguridad Laboral
Incumplimiento Derivados Flujo de caja Disponibilidad
Eficiencia obsolescencia Autoridad industrial y SO
Falla de Producto Seguridad Retención de Tributário / Fiscal
Tasa de interés / Servicio Integridad
Patrimonial Talentos
Civil
Suministro Prácticas
Participación
Comerciales Ambiental
Modelo de Riesgos
Clasificación de Riesgos (Ejercicio)
Solución sugerida
ESTRATÉGICO
Gobierno Corporativo Modelo de Negocios Político y/o Econômico
Adherencia a las Comunicacion y Relación con Competencia y Estructura Fusión y Inovación

Cambio de gobierno
reglas Divulgación Accionista Mercado Organizacional Aquisiciones Tecnológica
Incentivos de Reputación e Responsabiliidad Planeación y Continuidade de Gestión del Satisfación del
Escenario Económico
Desempeño Imagen Social Presupuesto Negócios Conocimento Cliente
Conduta Anti-ética Desarrollo de Inversiones y Indicadores de
Sucesión Produtos / Marcas y Patentes Desempeño y Política Pública
/ Fraude Servicios proyectos Riesgos
FINANCIERO
FINANCEIRO OPERACIONAL
OPERACIONAL REGULACION
Información
Información yy
Crédito
Crédito Mercado
Mercado Liquidez
Liquidez Proceso
Proceso RRHH
RRHH Medio Ambiente Regulación
Tecnologia
Tecnologia
Canales de Obligaciones Acesso y Resíduos, Contábilidad y
Costo de vertimientos y
Concentración Tasa de Cambio Capacitación Confidenciali-dad
Oportunidad distribución contractuales emisiones Finanzas
Disponibilidad de Capacidad Concentración de Recursos Legal
Garantia “Commodities” Tercerización Confiabilidad
Capital Operacional personal Naturale
Eficacia y Perdida y/o Limite de Seguridad Laboral
Incumplimiento Derivados Flujo de caja Disponibilidad
Eficiencia obsolescencia Autoridad industrial y SO
Falla de Producto Seguridad Retención de Tributário / Fiscal
Tasa de interés / Servicio Integridad
Patrimonial Talentos
Civil
Suministro Prácticas
Participación
Comerciales Ambiental
Copyright © 2021 Deloitte & Touche Ltda. All rights reserved.
Describiendo los riesgos con precisión
Otras consideraciones Descripciones de riesgo imprecisas Descripciones de Riesgo Preferidas
• Falta de capacitación aumenta el riesgo de que se • El riesgo de que los errores de procesamiento afecten
produzcan errores de procesamiento e incidentes la calidad de las unidades de fabricación.
Causas Raíces
Potenciales • La baja moral del personal contribuye al riesgo de • El riesgo de perder empleados clave y una alta rotación
que los empleados clave se retiren, creando una de personal, impactando los objetivos de retención del
alta rotación. personal.
• El nuevo producto es más exitoso que lo planificado,

la capacidad de producción lucha por mantenerse al
día con el aumento de la demanda, lo que resulta en
retrasos en la entrega, clientes insatisfechos y • El riesgo de que la demanda supere el objetivo de
Impactos potenciales efectos adversos en la reputación de la empresa producción afectando el servicio al cliente.
asociados a la ocurrencia • El riesgo de ataques de denegación de servicio debido • El riesgo de ataques de denegación de servicio que
de los riesgos a sistemas legacy de TI que dan como resultado afectan la capacidad de retener la confidencialidad
filtración de datos de clientes, sanciones de los datos del cliente
reglamentarias, pérdida de clientes y noticias
negativas.
• El riesgo de que las conciliaciones bancarias no

• El riesgo de pagos incorrectos a los clientes que
identifiquen pagos incorrectos a los clientes.
Efectos potenciales de afectan los resultados financieros de la entidad.
• El riesgo de que los controles de calidad no
implementar respuestas • El riesgo de que los defectos del producto afecten los
detecten los defectos del producto antes de la
de riesgo pobremente. objetivos de calidad y seguridad.
distribución.

Beneficios
Permite a la organización gestionar efectivamente el inventario de

riesgos y entendimiento relacionando estos con la estrategia de negocios,
objetivos y desempeño.
Permite a la organización a evaluar con mayor exactitud la

severidad de los riesgos en el contexto de los objetivos de negocios.
Ayuda la organización a identificar las causas raíz frecuente y sus

impactos, y por lo tanto selecciona y despliega las respuesta de
riesgos más apropiada.
Permite la organización entender la interdependencia entre los

riesgos y los objetivos transversales de negocios.
Soporta la agregación de riesgos para producir una vista del portafolio

de riesgos.

04 Principio 11 - Evalúa la severidad de los
riesgos
Copyright
Copyright © 2021
© 2018 Deloitte
Touche Ltda.
Principio 11 – Evalúa la severidad de los riesgos
Los riesgos identificados La severidad del riesgo se evalúa en múltiples niveles de la entidad, ya que no será
e incluidos en el universo la misma en todas las divisiones, funciones y unidades operativas.
de riesgos de una
entidad se evalúan con
el fin de comprender la
severidad de cada Estrategia
riesgo para el logro de la
estrategia y los objetivos
de negocio de la entidad. Objetivo de negocio Objetivo de negocio de
de la entidad 1 la entidad 2
Dada la severidad de los

riesgos identificados, la Objetivos de Objetivos de Objetivos de
gerencia decide sobre los negocio 1 negocio 2 negocio 3
recursos y
capacidades a
desplegar para que los Riesgo 1 Riesgo 2 Riesgo 3 Riesgo 4
riesgos permanezcan
dentro del apetito de
riesgo de la entidad. Para que las prácticas de evaluación de riesgos sean completas, una evaluación de
arriba hacia abajo considera aquellos riesgos identificados y evaluados a niveles más
bajos.
Estas figuras ilustran cuatro escenarios comunes:

El riesgo a nivel de los objetivos de negocio
disminuye en severidad a niveles más altos
mantiene la severidad a niveles más altos
Objetivos de negocio de la
Riesgo 1
En el escenario 1, la organización reconoce que el riesgo
podría afectar tanto al objetivo de negocio como al
objetivo a nivel de la entidad. Objetivo de negocio 1 Riesgo 2
entidad
Riesgo 1 Objetivo de negocio 2 Riesgo 3
Objetivo de negocio 1 Riesgo 2

entidad

En el escenario 2, un riesgo disminuye en severidad a
niveles más altos de la entidad, lo que indica que no
presenta el mismo impacto potencial para la entidad en su
conjunto.
Por ejemplo, un error de seguridad en un proceso de Por ejemplo, un retraso en las transacciones puede suponer un
fabricación puede, dada su magnitud, afectar a la entidad en riesgo para la unidad operativa que gestiona el procesamiento,
su conjunto. pero puede no tener un impacto significativo en el objetivo
general del negocio y a nivel de la entidad.

aumenta en severidad a niveles más altos En el escenario 3, dos riesgos tienen individualmente
una evaluación de severidad moderada, pero juntos
impactan más significativamente en el objetivo de
Riesgo 1
negocio y en la entidad, y por lo tanto se evalúan como
más severos.
entidad
Por ejemplo, la incapacidad de contratar empleados para

funciones de apoyo comunes, como la pericia jurídica,
Objetivo de negocio 2 Riesgo 3 representa un bajo riesgo para cada unidad operativa,
pero empieza a afectar a la entidad de forma más
significativa a nivel de objetivo empresarial.
Riesgo 1
disminuye en severidad a niveles más bajos
En el escenario 4, ciertos riesgos afectan a toda la

entidad. Por ejemplo, el riesgo de una oferta pública de
entidad
adquisición por parte de los competidores afecta a la
estrategia de la entidad en su conjunto, pero puede no Objetivo de negocio 2 Riesgo 3
afectar individualmente a los objetivos a nivel
empresarial.

Selección de criterios de medida de severidad
La gerencia selecciona Generalmente, estas medidas se alinean

medidas para evaluar la con el tamaño, naturaleza y
severidad del riesgo. complejidad de la entidad y su apetito
de riesgo.
También pueden utilizarse diferentes

umbrales en distintos niveles de
una entidad para la que se está
evaluando el riesgo.
Los montos aceptables de

riesgo para el rendimiento Los umbrales utilizados para evaluar la
financiero, por ejemplo, pueden gravedad de un riesgo se adaptan al
ser mayores a nivel de la nivel de evaluación, por entidad o
entidad que a nivel de la unidad unidad operativa.
operativa.
La severidad del riesgo es determinada por la gerencia con el fin de seleccionar una respuesta apropiada al riesgo, asignar
recursos y apoyar la toma de decisiones y el desempeño de la gerencia. Las medidas pueden incluir:
Impacto: Probabilidad
Resultado o efecto de un La posibilidad de que ocurra un riesgo. Esto

riesgo. Puede haber una serie de puede expresarse en términos de posibilidad o
posibles impactos asociados con un frecuencia de ocurrencia:
riesgo.
• Cualitativa: "La probabilidad de ocurrencia del
El impacto de un riesgo puede ser riesgo (dentro del horizonte de tiempo
positivo o negativo en relación contemplado por el objetivo), es remota”.
con la estrategia o los objetivos del
negocio. • Cuantitativa: "La probabilidad de ocurrencia
del riesgo (dentro del horizonte de tiempo
Importante considerar el impacto contemplado por el objetivo), es del 80%".
en los grupos de interés en los
grupos de interés en la • Frecuencia: "La probabilidad de ocurrencia del
organización. riesgo (dentro del horizonte de tiempo
contemplado por el objetivo), es una vez cada
12 meses".
Como parte del proceso de evaluación de la severidad, se consideran combinaciones entre impacto y
probabilidad.
El riesgo emana de múltiples fuentes y tiene como resultado diferentes impactos. Las causa raíz pueden tener un impacto
positivo o negativo en la evaluación de un riesgo.
La gráfica muestra la variedad de resultados que pueden ocurrir desde diferentes fuentes.
• Negativo: Disminución del retorno

• Negativo: Insuficiente testing sobre la inversión para nuevos
y QA productos
El riesgo de variación en
las ventas en
• Negativo: Pobre • Negativo: Inhabilidad de cumplir las
comparación con el
entendimiento de las órdenes de los clientes en una forma
necesidades de los clientes
objetivo de ventas para oportuna
el nuevo software resulta
por: • Negativo: Impacto adverso en
• Positivo: Campaña publicitaria
participación de mercado o en la
de gran alcance
reputación

Las medidas de severidad deben alinearse con el riesgo, la estrategia y los objetivos del negocio.
Tipo de Objetivos de Medida de severidad

Riesgo identificado Target y tolerancia
objetivo negocio Impacto Probabilidad
Objetivos de Seguir La posibilidad de que la • Target: 8 productos en desarrollo en Impacto Posible
negocio desarrollando entidad no desarrolle todo momento. moderado
para Snacks productos nuevos productos que para la
(unidad nuevos e superen las expectativas • Tolerancia: Número de nuevos satisfacción
operativa) innovadores de los clientes. productos en desarrollo entre 6 y 12 del
que interesan y en todo momento. consumidor.
estimulan a los
consumidores.
Objetivo de Reclutar y La posibilidad de que la • Target: Reclutar 50 gerentes de Impacto Posible
negocio entrenar entidad sea incapaz de producto. menor para
para HHRR gerentes de identificar candidatos operaciones
producto en el calificados para la ser • Tolerancia: La entidad recluta entre y RRHH
próximo año. gerentes de producto. 35 y 50 gerentes producto en el
próximo año.
La posibilidad de que la • Target: Entrenar el 95% de los Improbable
entidad sea incapaz de gerentes de producto.
programar
entrenamientos para • Tolerancia: La entidad entrena
nuevos gerentes de como mínimo un 85%de los gerentes
producto. de producto en el próximo año.

Riesgo inherente, objetivo y residual
Como parte de la evaluación de riesgos, la administración considera el riesgo inherente, el riesgo residual
objetivo y el riesgo residual real:
Riesgo inherente Riesgo residual objetivo Controles Riesgo residual
• Mecanismos
Corresponde a la
establecidos para la
Es el riesgo para una cantidad de riesgo que Es el riesgo restante
mitigación de los
entidad en ausencia de una entidad prefiere después de que la
riesgos de la entidad.
cualquier acción directa asumir en la búsqueda administración haya
o focalizada por parte de la estrategia sus tomado medidas para
• Acciones directas o
de la administración objetivos de negocio, modificar su severidad
enfocadas para
para alterar su para esto definirá
alterar la severidad
severidad. acciones para reducir la
del riesgo.
severidad de los riesgos.
. .
. .

Representación de los resultados de la evaluación
Los resultados de la evaluación se muestran a menudo utilizando un "mapa de calor" u otra representación gráfica para
destacar la severidad relativa de cada uno de los riesgos para la consecución de una determinada estrategia u objetivo de
negocio.
Los riesgos identificados se grafican en el mapa de calor
Calificación de probabilidad
utilizando las medidas de severidad seleccionadas por la

4 entidad.
El código de colores se alinea con un resultado de severidad

3 Calificación
particular y refleja el apetito de riesgo de la entidad.
de riesgo
inherente
En la figura de la izquierda, la entidad tiene cuatro
2 clasificaciones de severidad de riesgo. Las diversas
combinaciones de probabilidad e impacto (medidas de
severidad), dado el apetito de riesgo, están codificadas por
1 Calificación de Calificación de riesgo
colores para reflejar un nivel particular de severidad.
riesgo residual residual objetivo
Impacto
1 2 3 4
Calificación de impacto
Las entidades pueden personalizar su mapa

de calor teniendo en cuenta su apetito al
riesgo.

Representación de los resultados de la evaluación – Perfil de riesgo
La gerencia puede utilizar el perfil de riesgo en su a la evaluación para:
• Confirmar que el desempeño está dentro de una

variación aceptable.
• Confirmar que el riesgo está dentro del apetito

de riesgo.
• Comparar la severidad de un riesgo con varios

puntos de la curva.
• Evaluar el punto de interrupción en la curva, en

el cual la cantidad de riesgo excede
ampliamente el apetito de la entidad e
impacta su desempeño o el logro de su estrategia
y objetivos de negocio.

Identificar los factores desencadenantes para la reevaluación
La organización se esfuerza por identificar

los factores desencadenantes que
provocarán una reevaluación de la
severidad cuando sea necesario. Los factores desencadenantes son típicamente
cambios en el contexto empresarial, pero
también pueden ser cambios en el apetito de
riesgo.
Un desencadenante puede ser un incremento en las

La organización selecciona
quejas de clientes, un cambio adverso en un
desencadenantes que ayudan a demostrar
indicador económico, una caída en ventas o un
la sensibilidad de un riesgo a un cambio en
aumento significativo en la rotación de empleados.
el contexto empresarial o que pueden actuar
como un indicador de alerta temprana de
cambios en los supuestos en los que se basa la
evaluación de la severidad.
La severidad de los riesgos y la frecuencia a
la que puede cambiar, proporciona una
estimación de cada cuánto tiempo debe realizarse
la evaluación.
05 Principio 12 - Priorización de los riesgos
Copyright
Copyright © 2021
© 2018 Deloitte
Touche Ltda.
reserved. reserved. 30 30
Se deben considerar los siguientes focos:
a) Establecimiento de los criterios.

12. Prioriza los riesgos
b) Priorizar el riesgo.
La organización prioriza los
riesgos como una base para c) Utilización del apetito al riesgo para priorizar los
seleccionar respuestas al riesgo. riesgos.
d) Priorización a todos los niveles.
e) Sesgo en la priorización
Copyright
Copyright © 2021
© 2018
2021 Deloitte
Touche Ltda.
Las prioridades se determinan aplicando los criterios acordados como los que se detallan a continuación:
Adaptabilidad
Complejidad
Velocidad
Persistencia
Recuperación
Copyright
Copyright © 2021
© 2018
2021 Deloitte
Touche Ltda.
Las prioridades se determinan aplicando los criterios acordados. Los ejemplos de estos criterios incluyen:
La capacidad de una entidad para adaptarse

y responder a los riesgos, por ejemplo:
Adaptabilidad - Responder a datos cambiantes demográficos,
como la edad de la población y al impacto en
los objetivos comerciales relacionados con la
innovación de productos
Complejidad
Velocidad
Persistencia
Recuperación
Copyright
Copyright © 2021
© 2018 Deloitte
Touche Ltda.
 Tamaño
 $ Valor de la cartera.
 Recursos involucrados (internos/externos).
 Número de programas estratégicos.
 Alcance
Adaptabilidad  Grado de cambios fundamentales a la
El alcance y la organización.
naturaleza del riesgo  Rango en tamaño de Proyecto y duración.
del éxito de la entidad.  Grado de influencia transfronteriza(geográfica,
La interdependencia de unidad de negocio, función).
Complejidad
los riesgos generalmente  Alcance a través de la cadena de valor.
aumentará su  Grupos de interés tanto internos como
complejidad (Ej. riesgos externos.
de obsolescencia del
Velocidad producto y bajas ventas a  Composición del programa
los objetivos de una  Nuevo Mercado/Servicios/Productos.
empresa de ser líder del  Introducción de tecnologías no probadas.
mercado en tecnología y  Influencia de las partes interesadas externas.
Persistencia satisfacción del cliente)  Desempeño histórico de proyectos / inversiones
similares-
 Interrelaciones
Recuperación  Entre proyectos.
 Entre unidades de negocios-
 Partes interesadas, tanto internas como
Copyright
Copyright © 2021
© 2018 Deloitte
Touche Ltda.
reserved. reserved. externas 34
Adaptabilidad
Complejidad Ejemplo
La velocidad a la que un riesgo
Velocidad de inicio
afecta a una entidad. La velocidad
El tiempo que tarda un evento
puede alejar a la entidad de la
de riesgo en manifestarse. El
Velocidad variación aceptable en el rendimiento
tiempo que transcurre entre la
(por ejemplo, el riesgo de
ocurrencia de un evento y el
interrupciones debido a las huelgas de
punto en el que la Compañía
los funcionarios de aduanas y puertos
primero siente sus efectos
que afectan el objetivo relacionado
Persistencia • Rápido (6 meses o menos)
con la gestión eficiente de la cadena
• Moderado (1-2 años)
de suministro).
• Lento (2-5 años)
Recuperación
Copyright
Copyright © 2021
© 2018 Deloitte
Touche Ltda.
Adaptabilidad
Complejidad
Velocidad
Por cuánto tiempo un riesgo afecta a una
entidad (la persistencia de una cobertura de
medios adversa y el impacto en los objetivos de
Persistencia ventas después de posibles fallas en los frenos y
posteriores retiros globales de automóviles)
Recuperación
Copyright
Copyright © 2021
© 2018 Deloitte
Touche Ltda.
Adaptabilidad
Complejidad
Velocidad
Persistencia
La capacidad de una entidad para devolver
la tolerancia (por ejemplo, continuar con las
funciones después de una inundación grave u
otro desastre natural) la recuperación excluye el
Recuperación
tiempo necesario para regresar a la tolerancia, lo
que se considera parte de la persistencia, no de
la recuperación
Copyright
Copyright © 2021
© 2018 Deloitte
Touche Ltda.
Ejemplo
Tomar Acciones
A Gama de productos
A B Colaboración y Asociaciones
E Tomar C Talento
acciones
D D Cultura
F
C B E Riesgo cibernético
Potential Impact
F Salud digital / evidencia del mundo real

I H G Realizar un plan
M G Fusión Empresa B
Realizar H Biosimilares
un plan
I Geopolítico / Macroeconómico
K
N J J Modelo de negocio híbrido
K Identidad de la empresa A
Monitorear
Monitorear
M Entorno regulatorio
N Dirección estratégica
O Consolidación y convergencia
Low Medium High Very High
Copyright
Copyright © 2021
© 2018 Deloitte
Touche Ltda.
Vulnerability
Ejemplo
Probablemente United Airlines había pensado en los diferentes riesgos relacionados con el servicio al cliente, la venta de
vuelos y la necesidad de mover a las tripulaciones. Como compañía, pensaron en la gravedad de:
- La cancelación de un vuelo porque no había una tripulación disponible,
- De tener que negarle un asiento a un pasajero porque el vuelo estaba sobrevendido, y
- Qué hacer para que los clientes se ofrezcan voluntarios para evitar un impacto negativo de destruir un avión y
relación con el cliente.
Sin embargo, supongo que no habían actualizado esa evaluación de riesgo para el aumento de la velocidad de las
experiencias negativas de los clientes.
Hace una década, tales experiencias se comunicaban a familiares y amigos y tal vez incluso impactaban la decisión de una
empresa sobre el uso de un proveedor.
Hace cinco años, esas experiencias podrían ser informadas en palabras a través de Yelp u otras vías en línea, pero al
menos todavía tenía tiempo para reaccionar.
Hoy, los videos, tal vez incompletos y sesgados, se publican y pueden volverse virales en minutos. Como todos sabemos
ahora, la velocidad de las malas experiencias de los clientes es muy diferente hoy en día que hace solo un par de
años, y United no había ajustado su prioridad de riesgo para dar cuenta de ese cambio.
La conclusión es que todos los aspectos de la gestión de riesgos nunca se “terminan”. Incluso si su negocio,
productos, proveedores y empleados no han cambiado, el mundo a su alrededor si y usted necesita pensar en cómo
ese mundo ha impactado los riesgos que su empresa se enfrenta y cómo priorizas y reaccionas ante ellos
Prioritizing Risk Posted: May 8, 2017 | Author: industry issues | Filed under: Industry Issues |Leave a comment
Copyright
Copyright © 2021
© 2018 Deloitte
Touche Ltda.
Usando el apetito al riesgo para priorizar riesgos
La gerencia también debe comparar el apetito por el riesgo al priorizar los riesgos. Los riesgos resultado de que la
entidad se acerque al apetito de riesgo para un objetivo de negocio específico que generalmente recibe mayor
prioridad.
Ejemplo: La misión de una empresa de servicios públicos es ser el proveedor de electricidad más confiable en su región. Un
aumento reciente en la frecuencia y la persistencia de los cortes de energía indica que la compañía se está acercando a
su riesgo y es menos probable que logre sus objetivos comerciales de brindar un servicio confiable. Esta situación desencadena
una mayor prioridad para el riesgo. Un cambio en la prioridad puede resultar en la revisión de la respuesta de riesgo.
Implementando respuestas adicionales, y asignando más recursos para reducir la posibilidad de que el riesgo
rompa el apetito de riesgo de las organizaciones.
A través de la priorización de la gestión de riesgos, también existe el riesgo de que la entidad elija aceptar, es
decir, algunos ya se consideran administrados a una cantidad aceptable para la entidad y para los cuales no
se contemplará una respuesta de riesgo adicional.
Copyright
Copyright © 2021
© 2018 Deloitte
Touche Ltda.
06 Principio 13 - Implementa las respuestas al
riesgo
Copyright
Copyright © 2021
© 2018 Deloitte
Touche Ltda.
Principio 13 - Implementa las respuestas al riesgo
Selección de respuestas al riesgo
Aceptar: No se toman medidas que afecten a la severidad del riesgo. Esta respuesta es apropiada cuando el riesgo ya está dentro
1 del apetito de riesgo. Un riesgo que está fuera del apetito de riesgo de la entidad y que la gerencia busca aceptar generalmente
requerirá la aprobación de la junta u otros órganos de supervisión.
Evitar: Se toman medidas para eliminar el riesgo, lo que puede significar el cese de una línea de productos, el
2
rechazo a expandirse a un nuevo mercado geográfico o la venta de una división.
Perseguir: Se toman medidas que aceptan un mayor riesgo para lograr un mayor rendimiento. Esto puede
3 implicar la adopción de estrategias de crecimiento más agresivas, la expansión de las operaciones o el desarrollo de
nuevos productos y servicios.
Reducir: Se toman medidas para reducir la severidad del riesgo. Esto implica cualquiera de
las innumerables decisiones comerciales cotidianas que reducen el riesgo residual a una
4
cantidad de severidad alineada con el perfil de riesgo residual y el apetito de riesgo objetivo.
5 Compartir: Se toman medidas para reducir la gravedad del riesgo transfiriendo o compartiendo
una parte del mismo. Las técnicas comunes incluyen la subcontratación a proveedores de servicios
especializados, la compra de productos de seguros y la realización de operaciones de cobertura.

Selección de respuestas al riesgo
Estas categorías de respuestas de riesgo asumen que el riesgo puede ser manejado dentro del apetito de riesgo de
la organización y dentro de una variación aceptable en el desempeño.
En otros casos, la gerencia puede necesitar considerar otro curso de acción, incluyendo el siguiente:
Revisar el objetivo del Revisar la estrategia:

negocio:
La organización decide revisar el La organización decide revisar la

objetivo del negocio dada la estrategia dada la severidad de los
severidad de los riesgos riesgos identificados y el apetito de
identificados y la variación riesgo de la entidad.
aceptable en el desempeño.
.
Las organizaciones también pueden optar por superar el apetito de riesgo si se percibe que el efecto de permanecer
dentro del apetito es mayor que la exposición potencial por excederlo.

Selección e implementación de respuestas al riesgo
Costos y beneficios
Los costos y beneficios previstos son
generalmente proporcionales a la
Contexto de negocio severidad y priorización del riesgo.
Las respuestas a los riesgos

se seleccionan o se adaptan Obligaciones y
a la industria, la presencia expectativas
geográfica, el entorno La respuesta al riesgo se
normativo, el modelo refiere a las normas de la
La gerencia
operativo u otros factores. industria generalmente
selecciona y
despliega las aceptadas, las expectativas
respuestas a de las partes interesadas y
la alineación con la misión y
los riesgos
la visión de la entidad.
teniendo en
cuenta los
siguientes
factores:
Severidad al riesgo Priorización de riesgos

La respuesta al riesgo debe La prioridad asignada al
reflejar el tamaño, alcance y Apetito al riesgo riesgo influye en la asignación de
naturaleza del riesgo y su La respuesta al riesgo implica recursos. Las respuestas de
impacto en la entidad. un riesgo dentro del apetito de reducción de riesgos que tienen
riesgo de la entidad o bien grandes costos deben ser
Copyright
Copyright © 2021
© 2018 Deloitte
Touche Ltda.
reserved. reserved.
mantiene su situación actual. evaluadas. 44
Consideración de costos y beneficios de las respuestas al riesgo
• La gerencia también es responsable de las

respuestas al riesgo que abordan cualquier Ejemplo: Una compañía de seguros implementa respuestas de
obligación regulatoria, que también puede riesgo para hacer frente a los nuevos requisitos
no ser óptima desde el punto de vista de reglamentarios en todo el sector de los seguros.
los costos y los beneficios, pero que
cumplen con obligaciones legales o de Estas respuestas requerirán que la empresa realice inversiones
otro tipo. adicionales en su infraestructura tecnológica, que cambie sus
procesos actuales y que aumente su personal para ayudar a con
• Al seleccionar la respuesta adecuada, la la implementación y lograr sus objetivos relacionados con el
dirección debe tener en cuenta las cumplimiento normativo.
expectativas de los grupos de interés, como
los accionistas, los reguladores y los clientes.

Consideraciones adicionales
La selección de una respuesta Por otra parte, la selección de una respuesta al

al riesgo puede introducir riesgo puede presentar nuevas oportunidades no
nuevos riesgos que no se han consideradas previamente. La gerencia puede
identificado previamente o que identificar respuestas innovadoras que, si bien
pueden tener consecuencias no encajan con las categorías de respuesta descritas
deseadas. anteriormente, pueden ser totalmente nuevas para
la entidad o incluso para una industria.
En el ejemplo del agricultor, el
riesgo de que las
inundaciones dañaran los
cultivos se reducía al Estas oportunidades pueden surgir cuando
comprar un seguro; sin las opciones de respuesta al riesgo
embargo, ahora el agricultor existentes alcanzan el límite de la eficacia, y
puede correr el riesgo de cuando es probable que los refinamientos
tener un flujo de caja bajo. adicionales sólo proporcionen cambios
marginales en la gravedad de un riesgo.
En el caso de los riesgos

recientemente identificados, la
gerencia debe evaluar la severidad y La gerencia canaliza las nuevas
la prioridad correspondiente, y oportunidades hacia el establecimiento
determinar la eficacia de la respuesta de la estrategia.
al riesgo propuesta.
Copyright
Copyright © 2021
© 2018 Deloitte
Touche Ltda.
07 Principio 14 - Desarrolla un portafolio de
riesgos
Copyright
Copyright © 2021
© 2018 Deloitte
Touche Ltda.
Principio 14 - Desarrolla una vista de portafolio de riesgos
Introducción
La gestión del riesgo empresarial permite a la organización considerar las implicaciones potenciales para el perfil de riesgo
desde una perspectiva de toda la entidad (perspectiva de portafolio).
Identificar riesgos que son severos a tanto a nivel de

La administración primero considera entidad como los riesgos transaccionales
1 el riesgo en relación con cada
división, unidad operativa o
función. Identificar los riesgos son menores que el apetito por
el riesgo de la entidad y motivar a los Gerentes a
Una vista aceptar un mayor riesgo para mejorar el valor de la
de entidad
portafolio
Cada unidad desarrolla una
permite Identificar si el mismo riesgo en las diferentes
evaluación de los riesgos y refleja
2 el perfil de riesgo residual de la unidades puede ser aceptable para algunas unidades
unidad en relación con sus operativas, pero en conjunto puede dar una imagen
diferente.
objetivos de negocio y la
tolerancia.
Identificar cuando el riesgo puede exceder el apetito
de riesgo de la entidad como un todo, en cuyo caso se
necesitan respuestas de riesgo adicionales o diferentes
Considerar el tipo, la severidad y las

interdependencias de los riesgos y cómo pueden
afectar el desempeño
Copyright
Copyright © 2021
© 2018 Deloitte
Touche Ltda.
Principio 14 - Desarrolla un portafolio de riesgos
Desarrollar un portafolio de riesgos
Una vista del riesgo se puede desarrollar en los siguientes cuatro niveles:
Mínima integración
vista de riesgo
Integración limitada
Vista por categoría
Integración parcial
Vista perfil de riesgos
Integración total-
Vista de portafolio
Copyright
Copyright © 2021
© 2018 Deloitte
Touche Ltda.
Desarrollar un portafolio de riesgos- Mínima integración
Mínima La vista se centra en el riesgo, la entidad identifica y evalúa los

integración riesgos. El enfoque está en el evento de riesgo más que en el
objetivo.
vista de riesgo
Ejemplo: el riesgo de que una infracción afecte el cumplimiento de la
entidad con las regulaciones locales.
Vista por categoría
Integración total-
Vista de portafolio
Copyright
Copyright © 2021
© 2018 Deloitte
Touche Ltda.
Desarrollar un portafolio de riesgos- Integración limitada
Mínima integración Esta vista utiliza el inventario de riesgos y los organiza

vista de riesgo mediante categorías u otro esquema de clasificación. Las
categorías de riesgo a menudo reflejan la estructura operativa de
la entidad e informan sobre los roles y responsabilidades.
Ejemplo: Un departamento de cumplimiento, tendrá
Vista por categoría responsabilidades para ayudar a la organización a gestionar sus
riesgos relacionados con el cumplimiento.
FINANCIERO
Integración total- Crédito Mercado Liquidez
Vista de portafolio Costo de

Concentración Tasa de Cambio
Oportunidad
Disponibilidad de
Garantia “Commodities”
Capital
Incumplimiento Derivados Flujo de caja
Tasa de interés
Participación
Copyright
Copyright © 2021
© 2018 Deloitte
Touche Ltda.
Desarrollar un portafolio de riesgos- Integración parcial
Mínima
integración
vista de riesgo Adopta una vista más integrada, una organización se enfoca en
los objetivos de negocios y los riesgos que se alinean con esos
Integración objetivos (por ejemplo, todos los objetivos potencialmente
limitada impactados por los riesgos relacionados con el cumplimiento).
Vista por categoría Además, se identifican y se consideran las dependencias que pueden
existir entre los objetivos del negocio.
Integración parcial Ejemplo, un objetivo de mejorar la excelencia operativa puede ser un
requisito previo para fortalecer el balance y aumentar la participación
de mercado.
Integración total-
Vista de portafolio
Copyright
Copyright © 2021
© 2018 Deloitte
Touche Ltda.
Desarrollar un portafolio de riesgos Integración total.
En este nivel, el enfoque se desplaza a

la estrategia general de la entidad y los
objetivos de negocio permite identificar,
evaluar, responder y revisar riesgos en
los niveles apropiados para la toma de
decisiones.
Las juntas y la administración centran una
mayor atención en el logro de la
estrategia, mientras que la
responsabilidad y la gestión de los
objetivos comerciales y los riesgos
individuales dentro de la cascada de
inventario de riesgos en toda la entidad.
Copyright
Copyright © 2021
© 2018 Deloitte
Touche Ltda.
Analizar la vista del portafolio de riesgos
Para evaluar la vista del portafolio del riesgo , la organización puede usar técnicas cualitativas y cuantitativas.
Incluyen modelos de
Incluyen análisis regresión y otros
de escenarios y medios de análisis
evaluación estadístico para
comparativa. comprender la
Cualitativas Cuantitativas sensibilidad del
portafolio a los
cambios y las crisis
¿Qué evaluar? Eficacia de las

Supuestos que respaldan la respuestas de riesgo
evaluación de la severidad del existentes.
riesgo.
Interdependencias de riesgos
Comportamientos de riesgos dentro de la vista de portafolio.
individuales en condiciones de
estrés.
Copyright
Copyright © 2021
© 2018 Deloitte
Touche Ltda.
07 Ejercicio práctico
56
Copyright
Copyright © 2021
© 2018 Deloitte
Touche Ltda.
Nota: Deloitte se refiere a una o más de las firmas miembros de Deloitte Touche Tohmatsu Limited, una compañía privada del Reino Unido limitada por garantía, y su red de firmas miembros, cada una como una
entidad única e independiente y legalmente separada. Una descripción detallada de la estructura legal de Deloitte Touche Tohmatsu Limited y sus firmas miembros puede verse en el sitio web
www.deloitte.com/about.
Deloitte presta servicios de auditoría, impuestos, consultoría y asesoramiento financiero a organizaciones públicas y privadas de diversas industrias. Con una red global de firmas miembros en más de 150 países,
Deloitte brinda sus capacidades de clase mundial y su profunda experiencia local para ayudar a sus clientes a tener éxito donde sea que operen. Los 200.000 profesionales de Deloitte se han comprometido a
convertirse en estándar de excelencia.
© 2021 Deloitte Touche Tohmatsu Limited.

COSO ERM 2017 - Cuarta Sesión Desempeñov4

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

COSO ERM 2017 - Cuarta Sesión Desempeñov4

Cargado por

Copyright:

Formatos disponibles

2. Principio 10 – Identifica riesgos

3. Principio 11 - Evalúa la severidad de los riesgos

4. Principio 12 - Priorización de los riesgos

5. Principio 13 - Implementa las respuestas al riesgo

6. Principio 14 - Desarrolla un portafolio de riesgos

Copyright © 2018 Deloitte & Touche Ltda. All rights reserved. 3

Copyright © 2021 Deloitte & Touche Ltda. All rights reserved. 4

Las organizaciones 1 • Identifica riesgos

Identifica y selecciona las

6.Especifica objetivos Principio 9: Formula los objetivos

7.Identifica y analiza el riesgo Principio 10 – Identifica riesgos

Principio 11 - Evalúa la severidad de los riesgos

8.Valora el riesgo de fraude Componente III Revisión

Principio 15 - Evalúa los cambios

Principio 12 - Priorización de los riesgos

Componente III Actividades de

Principio 14 - Desarrolla un portafolio de

Copyright © 2021 Deloitte & Touche Ltda. All rights reserved. 6

Copyright © 2021 Deloitte & Touche Ltda. All rights reserved. 8

Copyright © 2021 Deloitte & Touche Ltda. All rights reserved. 9

Copyright © 2021 Deloitte & Touche Ltda. All rights reserved. 10

La figura ilustra como los El riesgo impacta en diferentes niveles

Copyright © 2021 Deloitte & Touche Ltda. All rights reserved. 11

Categoría Una "Categoría de riesgo" (Nivel 2) es

Incumplimiento por parte de

Copyright © 2021 Deloitte & Touche Ltda. All rights reserved. 12

Gobierno Corporativo Modelo de Negocios Político y/o Econômico

Gobierno Corporativo Modelo de Negocios Político y/o Econômico

Adherencia a las Comunicacion y Relación con Competencia y Estructura Fusión y Inovación

Otras consideraciones Descripciones de riesgo imprecisas Descripciones de Riesgo Preferidas

• El nuevo producto es más exitoso que lo planificado,

• El riesgo de que las conciliaciones bancarias no

Copyright © 2021 Deloitte & Touche Ltda. All rights reserved. 15

Permite a la organización gestionar efectivamente el inventario de

Permite a la organización a evaluar con mayor exactitud la

Ayuda la organización a identificar las causas raíz frecuente y sus

Permite la organización entender la interdependencia entre los

Soporta la agregación de riesgos para producir una vista del portafolio

Copyright © 2021 Deloitte & Touche Ltda. All rights reserved. 16

Dada la severidad de los

Estas figuras ilustran cuatro escenarios comunes:

Riesgo 1 Objetivo de negocio 2 Riesgo 3

Objetivo de negocio 1 Riesgo 2

Objetivo de negocio 2 Riesgo 3

El riesgo a nivel de los objetivos de negocio

Por ejemplo, la incapacidad de contratar empleados para

El riesgo a nivel de los objetivos de negocio

En el escenario 4, ciertos riesgos afectan a toda la

Copyright © 2021 Deloitte & Touche Ltda. All rights reserved. 20

La gerencia selecciona Generalmente, estas medidas se alinean

También pueden utilizarse diferentes

Los montos aceptables de

Resultado o efecto de un La posibilidad de que ocurra un riesgo. Esto

• Negativo: Disminución del retorno

Copyright © 2021 Deloitte & Touche Ltda. All rights reserved. 23

Tipo de Objetivos de Medida de severidad

Copyright © 2021 Deloitte & Touche Ltda. All rights reserved. 24

Riesgo inherente Riesgo residual objetivo Controles Riesgo residual

Copyright © 2021 Deloitte & Touche Ltda. All rights reserved. 25

utilizando las medidas de severidad seleccionadas por la

El código de colores se alinea con un resultado de severidad

Las entidades pueden personalizar su mapa