GESTION DE RIESGOS CORPORATIVO

COSO ERM 2017

ARMANDO VILLACORTA
MG, CIA, CFSA, CGAP, CRMA, CCSA

CE Gestión del Riesgo y Compliance

Sesión 04
 Antes de empezar… por favor, ten en cuenta
lo siguiente:
Respetar las opiniones
Poner el Micrófono de los demás.
en modo silencio,
para no interrumpir
el desarrollo de la
sesión.
Asimismo, bloquear
la opción de video
Fuente de imagen: https://emek aonline.wordpress.com/
Confusiones sobre Gestión del Riesgo
Empresarial
La gestión del riesgo empresarial
• No es una función o departamento.
• Es más que una lista de riesgos.
• Es más que gestión del control
interno.
• No es una lista de chequeo.
• Puede ser utilizada por empresas de
cualquier tamaño.
NUEVO MARCO NORMATIVO
✓ Considera el riesgo de 2017
forma explícita en la
estrategia.

✓ Reformula el riesgo en
términos de performance.

✓ Define una cultura de

riesgo sostenible

✓ Integración con control

interno
NUEVO MARCO NORMATIVO Definición de ERM
Gestión del riesgo empresarial se define como:
• La cultura, capacidades y prácticas, integradas
con el establecimiento de la estrategia y su
ejecución, en las que, las organizaciones confían
para manejar el riesgo en la creación,
preservación y obtención de valor.

Estrate gia, los

obje tivos de
MISIÓ N, VISIÓN Y R ENDIMIENTO
ne gocios, Y
VALO R ES MEJO R ADO
R ENDIMIENTO
FUNDAMENTALES

y
NUEVO MARCO NORMATIVO

Definición de ERM
Una más profunda mirada a la definición de la gestión de
riesgos empresarial hace hincapié en su enfoque de la gestión
de riesgos a través de:
• El reconocimiento de la cultura y capacidades.
• La aplicación de prácticas.
• La integración con del establecimiento de la estrategia y su
ejecución.
• La gestión del riesgo estratégicos y los objetivos de negocios.
• La vinculación a la creación, preservación y obtención de valor.
• Focalizado en cinco componentes
Integrar la Gestión del Riesgo
Empresarial
en toda la organización

Mejora la toma de decisiones en el gobierno, la estrategia, el

establecimiento de objetivos y las operaciones del día a día.

Ayuda a potenciar el desempeño.

Proporciona a una entidad un camino claro para crear, preservar y

materializar valor.
 Roles en la Gestión del Riesgo
Empresarial
Rol de supervisión
Gobierno y cultura
Estrategia y objetivos
Desempeño Miembro del
Apetito al riesgo
Consejo

Dirección de la Responsable de la gestión de riesgos

Entidad Para:
Obtener ventajas competitivas
Considerar riesgo al elegir estrategias
Medir impacto de riesgos en la estrategia
NUEVO MARCO NORMATIVO
Principios COSO ERM 2017
Gobierno y Cultura Desempeño

1. Ejerce la función de supervisión 10. Identifica riesgos

los riesgos a través del consejo
2. Establece estructuras operativas
3. Define la cultura deseada
4. Demuestra compromiso con los
valores básicos
5. Atrae, desarrolla y retiene al
personal capacitado
11. Evalúa la gravedad del riesgo
12. Prioriza los riesgos
13. Implementa las respuestas
ante los riesgos
14. Desarrolla una visión a nivel de
cartera

Estrategia y definición de objetivos
6. Analiza el contexto empresarial
7. Define el apetito de riesgo
8. Evalúa estrategias alternativas
9. Formula objetivos de negocios
Análisis y Revisión
15. Evalúa cambios significativos
16. Revisa el riesgo y el
desempeño
17. Persigue la mejorar de la
Gestión de riesgos empresariales

Información, comunicación y presentación de informes

18. Aprovecha la información y la tecnología

19. Comunica información sobre riesgos
20. Informa sobre el riesgo, cultura y desempeño
 NUEVO MARCO NORMATIVO

Fuente: COSO
AGENDA

LOS PRINCIPIOS
Principios de la Gestión del Riesgo Empresarial
Desarrollo de los 20 Principios
Principio No 1: Ejerce la Supervisión de Riesgos a través del Consejo de
Administración

La junta directiva supervisa la estrategia y lleva a cabo las

responsabilidades de gobierno para apoyar la gerencia en la consecución
de la estrategia y los objetivos del negocio.

1. Respondabilidad (Accountability) en Riesgos

2. Habilidades, experiencias y conocimiento del negocio.
3. Independencia
4. Diseño Idoneo del ERM
5. Sesgo en la Organización (optima o predilecta)
En relación al sesgo, podemos comentar: pensamiento
grupal, personalidades dominantes, exceso de confianza en
los números, desprecio de la información contraria,
ponderación desproporcionada de los acontecimientos
recientes y tendencias hacia la prevención de riesgos o la
asunción de riesgos en cualquier organización.
Desarrollo de los 20 Principios
Principio No 2: Organización establezca estructura
Operativa

1. Estructura operativa y líneas de reporte

2. Estructura de ERM (uso de comités)
3. Autoridad y responsabilidad (Empoderamiento)
4. ERM dentro de la evolución de la entidad.

Principio No 3: Organización establece la cultura deseada

1. Cultura y comportamientos deseados

2. Aplicación del juicio. El juicio es una función de las
experiencias personales, el apetito por el riesgo, las
capacidades y el nivel de información disponible, y
la organización bias.
3. Efecto de la Cultura
4. Alineación de valores centrales, toma de decisiones y
Comportamientos.
5. Cambio de cultura (nuevos lideres o filosofía)
Desarrollo de los 20 Principios
Principio No 4: Organización demuestra compromiso con los valores
fundamentales
1. Reflejando los valores fundamentales en toda la
organización
2. Abrazar una cultura consciente del riesgo
3. Hacer cumplir la Respondabilidad
4. Hacerse responsable de las evaluaciones en cascada.
5. Mantener la comunicación abierta y libre de represalias
6. Respondiendo a las desviaciones en los valores centrales y
comportamientos

Principio No 5: Atraer, desarrollar y retener personal capacitado.

1. Establecer y evaluar la competencia

2. Atraer, Desarrollar y Retener Individuos
3. Recompensar el desempeño
4. Direccionar la presión.
5. Preparar la sucesión
Desarrollo de los 20 Principios

Principio No 6: Analiza el contexto del Negocio

1. Comprender el contexto empresarial

2. Considerando el ambiente externo y los stakeholders
3. Considerando el ambiente interno y los stakeholders
4. Cómo afecta el contexto empresarial al perfil de riesgo

Principio No 7: Definición del apetito de riesgos

1. Aplicando el apetito de riesgos

2. Determinación del apetito de riesgos
3. Articulando el apetito de riesgos.
4. Usando el apetito de riesgos
Desarrollo de los 20 Principios
Principio No 8: Evalúa estrategias alternativas

1. La importancia de alinear la estrategia

2. Comprender las implicaciones de la estrategia elegida
3. Alineando la estrategia con el apetito de riesgo
4. Haciendo cambios a la estrategia
5. Mitigando el sesgo

Principio No 9: Formula objetivos de negocios

1. Alineando la estrategia con el apetito de riesgo
2. Alineación de objetivos de negocios
3. Comprender las implicaciones de los objetivos de
negocios elegidos
4. Categorizar los objetivos de negocios
5. Establecer medidas de rendimiento y objetivos
6. Comprender la tolerancia
7. Medidas de rendimiento y tolerancias establecidas
 Establecimiento de objetivos de negocio
(SMART)

La organización desarrolla objetivos de

negocio que son:
• específicos,
• medibles u observables,
• alcanzables y
• relevantes
• tiempo
 Tipo de empresa -- Hotel de montaña
Meta definida
Analicen está Lograr que la tasa de ocupación del 80% durante el periodo
comprendido entre enero y diciembre 2022
definición de
una meta • Específica ?
• Medible ?
• Relevante ?
• Delimitada en tiempo ?
• Alcanzable ?
Desarrollo de los 20 Principios
Principio No 10: Identificar riesgos

1. Identificar riesgos
2. Usando un inventario de riesgos
3. Enfoques para identificar el riesgo
4. Enmarcando o focalizando el riesgo

Principio No 11: Evalúa gravedad de riesgos

1. Evaluación de riesgos
2. Evaluar la severidad a diferentes niveles de la entidad
3. Seleccionar medidas de severidad
4. Enfoques de evaluación
5. Riesgo Inherente, objetivo y riesgo residual
6. Representando los resultados de la evaluación
(heap map)
7. Identificación de los desencadenantes para reevaluar
8. Sesgo en la evaluación
Uso de un inventario de
riesgos (perfil)

⚫ Una lista de los riesgos a los que se

enfrenta la entidad
⚫ Pueden agruparse en categorías y
subcategorías
⚫ Se actualiza para reflejar los cambios
Uso de un inventario de
riesgos

Captar todos los riesgos

independientemente de
dónde se identifiquen

Identificar los riesgos y

oportunidades en todas las
funciones y niveles.
Enfoques para identificar
el riesgo
⚫ Dependen del
• Tamaño, la extensión geográfica y la complejidad de una entidad.
• Naturaleza y tipo de riesgos.
⚫ Se puede obtener información de otras organizaciones del mismo sector o
región.
⚫ Enfoques útiles para identificar diferentes tipos de riesgos:
 Previsiones en la descripción de los
eventos de riesgo
Concepto a precisar Descripciones imprecisas Descripciones aceptables

En la descripción de la • La falta de formación aumenta el riesgo de • El riesgo de que los errores de

causa raíz del riesgo que se produzcan errores de procesamiento impacten en la
procesamiento e incidencias. calidad de las unidades de
fabricación.

• El descenso de la motivación entre los • • El riesgo de perder empleados

empleados contribuye al riesgo de que los clave y tener una alta rotación, que
empleados clave dejen la organización, repercuta en los objetivos de
provocando una alta rotación. retención de los empleados.
Desarrollo de los 20 Principios
Principio No 12: Prioriza Riesgos
1. Estableciendo los Criterios
2. Priorizando Riesgos
3. Usar el apetito de riesgo para priorizar los riesgos
4. Priorización en todos los niveles
5. Sesgo en Priorización
Principio No 13: Implementa respuesta al riesgo
1. Elegir respuestas de riesgo (aceptar, reducir , persuadir,
Compartir y evitar)
2. Seleccionar e implementar respuestas de riesgo
3. Considerar los costos y beneficios de las respuestas
de riesgo
4. Consideraciones adicionales (extender las acciones sobre
una respuesta.
Principio No 14: Desarrolla portafolio
1. Comprender una vista de portafolio
2. Desarrollar una visión de portafolio
3. Analizando la visión de portafolio
Desarrollo de los 20 Principios
Principio No 15: Evalúa cambio sustancial

1. Revisiones integrales dentro de las practicas de negocios

2. Ambiente Interno
3. Ambiente externo

Principio No 16: Revisa riesgo y desempeño

1. Revisiones integrales dentro de las practicas de negocios

2. Considerando las capacidades de la entidad

Principio No 17: Persigue mejoramiento de gestión de

riesgos
1. Perseguir la mejora
Desarrollo de los 20 Principios
Principio No 18: Apalanca Información y tecnología

1. Poniendo información relevante para uso

2. Información evolutiva
3. Fuente de datos
4. Categorizando información de riesgos
5. Gestionando datos
6. Usando tecnología para soportar la información
7. Cambiando requerimientos

Principio No 19: Comunica información de riesgo

1. Comunicación con Stakeholders

2. Comunicación con el Directorio o Board
3. Métodos de comunicación

Principio No 20: Información sobre riesgo, cultura y desempeño

1. Identificación de usuarios de reporte y sus roles 5. Reportando Cultura
2. Atributos de los reportes 6. Indicadores Claves (KRI)
3. Tipos de reportes 7. Frecuencia de reporte y calidad
4. Reportando riesgos al Directorio o Board
COSO ERM 2017

30
COSO ERM 2017
 ¿Qué es riesgo estratégico?

• Asunciones incorrectas acerca de los factores externos y/o internos, planes de

negocio inapropiados (p. e. muy agresivos, mal enfocados), ejecución inefectiva de
la estrategia del negocio, ó

• Falla para responder de manera oportuna a cambios en la regulación, entorno

macroeconómico o competencia, tales como ciclos del negocio, acciones de los
competidores, preferencias cambiantes de los clientes, obsolescencia del producto
/ servicio y desarrollos tecnológicos.

Fuente: COSO ERM 2017 y la Generación de Valor (2017)

Los Típicos programas de ERM no están
enfocados en los riesgos correctos

Fuente: COSO ERM 2017 y la Generación de Valor (2017)

 COSO ERM 2017
Enlaces al rendimiento

Fuente: COSO ERM 2017 y la Generación de Valor (2017)

 COSO ERM 2017
Enlaces al rendimiento
• Permite el logro de la Estrategia mediante la gestión activa del
riesgo y el rendimiento.
• Explora como las prácticas de gestión del riesgo respaldan la
identificación y evaluación de los riesgos que afectan al rendimiento.
• Introduce una nueva descripción denominada perfil de riesgo
• Incorpora:
- Riesgo
- Actuación
- Apetito de Riesgo
- Capacidad
- Tolerancia por variaciones en el rendimiento
• Ofrece una visión integral del riesgo y permite una toma de
decisiones más consciente de los riesgos
• El marco proporciona una descripción completa de cómo construir
un perfil de riesgo en un apéndice

Fuente: COSO ERM 2017 y la Generación de Valor (2017)

 COSO ERM 2017
Enlaces al rendimiento – Perfil de Riesgo

• Medidas financieras, como el retorno de las inversiones, los ingresos o la

rentabilidad.
• Medidas operativas, como horas de funcionamiento, volúmenes de producción
número de estudiantes o porcentaje de capacidad.
• Medidas de obligación, como el cumplimiento de acuerdos de nivel de servicio o
requisitos de cumplimiento normativo.
• Medidas de proyectos, como el lanzamiento de un nuevo producto en un plazo
determinado.
• Medidas de crecimiento, como la ampliación de la cuota de mercado en un
mercado emergente.
• Medidas de las partes interesadas, como la formación y habilidades laborales
básicas para la población activa que se encuentra en desempleo y necesita mejorara
sus competencias.
 CASO PRACTICO UNIVERSIDAD

Fuente: COSO ERM 2017 PWC

 CASO PRACTICO UNIVERSIDAD

Fuente: COSO ERM 2017 PWC

 CASO PRACTICO UNIVERSIDAD
Riesgos identificados para el logro del
objetivo de aumentar la matrícula estudiantil
❑Financiamiento insuficiente.
❑Bajo interés estudiantil.
❑Falta de profesores.
❑Escasez de aula.
¿Cómo comienza la universidad la conversación entre el riesgo y el rendimiento
para determinar la cantidad de riesgo que deben asumir en pos de su objetivo
de convertirse en la universidad de elección? Fuente: COSO ERM 2017 PWC
 CASO PRACTICO UNIVERSIDAD

Fuente: COSO ERM 2017 PWC

Rendimiento: Incremento de la matrícula estudiantil
CASO PRACTICO UNIVERSIDAD

Fuente: COSO ERM 2017 PWC

CASO PRACTICO UNIVERSIDAD

Fuente: COSO ERM 2017 PWC

CASO PRACTICO UNIVERSIDAD

Fuente: COSO ERM 2017 PWC

CULTURA – COSO ERM 2017
CULTURA – COSO ERM 2017
CULTURA – COSO ERM 2017
Factores que influyen en la cultura y
comportamientos

Factores internos:
• Nivel de juicios de valor y de autonomía que se proporciona al personal
• Cómo interactúan los empleados entre si y con sus jefes
• Las normas y reglas
• La disposición física del lugar de trabajo
• El sistema de retribución establecido
Factores externos:
• Requisitos regulatorios
• Expectativas de los clientes, inversores y otros elementos
 CULTURA – COSO ERM 2017

Reconoce la importancia de la cultura

• Aborda el creciente enfoque, atención e importancia de la
cultura dentro de la gestión del riesgo empresarial
• Influye en todos los aspectos de la gestión del riesgo
empresarial
• Explora la cultura dentro del contexto más amplio
• Describe el comportamiento de la cultura dentro de un espectro
de riesgo
• Explora los posibles efectos de la cultura en la toma de
decisiones
• Explora la alineación de la cultura entre el comportamiento
individual y de la entidad
 EJEMPLOS DE CULTURA DE RIESGO
Ejemplo: Dos puntos extremos en el continuo de riesgos
Cultura de aversión al riesgo: una planta de energía nuclear probablemente tendrá una cultura de aversión al riesgo
en su operaciones diarias. (El desastre nuclear de TEPCO Fukushima Daiichi ilustra por qué esto es importante). Tanto
la gerencia como las partes interesadas externas esperan decisiones con respecto a nuevas tecnologías y sistemas
para priorizar la seguridad y la fiabilidad de la planta. Una planta de energía nuclear consciente del riesgo, es poco
probable que invierta mucho en tecnologías innovadoras y no probadas para sus operaciones. Es probable que
invierta mucho en seguridad y prevención de riesgos.

Cultura de búsqueda de riesgos: un administrador de capital privado (que proporciona respaldo financiero para el
inicio de empresas), es más probable que sea agresivo al riesgo (es decir, búsqueda de riesgo). Gerentes e inversores
externos en el fondo probablemente tendrá altas expectativas de rendimiento y comprenderá esa alta expectativa de
rendimiento incluye riesgos potencialmente altos. Sin embargo, dicho fondo aún debe identificar su apetito por el
riesgo y su tolerancia para garantizar que gestione el riesgo apropiadamente.

Fuente: COSO ERM 2017

El Juicio Profesional El juicio profesional cuando no
se tienen datos
A menudo se confía en los juicios de valor
Cuando existe información o datos
limitados para apoyar una decisión
Cuando se producen cambios sin
precedentes en la estrategia, objetivos de
negocio, desempeño o perfil de riesgo de
la organización
En tiempos de grandes cambios y
transformaciones
¡La conclusión es que las zonas más vulnerables, las más
indicadas para un posible blindaje, no son aquellas
con más impactos registrados, sino aquellas donde se
observaron menos en relación con lo que cabía esperar!
Modelos de
Cultura de Riesgos
 c ultura de riesgos

c ultura
Organizac ional

Comportamientos Entendiendo la
étic a del Personal
Cultura de
Riesgos en una
Personal
Organización
predisposición
Hac ia el riesgo

“Las Personas, el presente y

IRM - Marco de la Cultura al Riesgo el pasado, hacen el lugar”

52
Términos claves sobre el Modelo de
Cultura al Riesgo - IRM
A nivel individual:
• Predisposición al riesgo del personal
• Ética de la obediencia(cumplimiento de
las reglas), ética del cuidado (empatía,
preocupación, respeto, etc.), y ética de la
razón (sabiduría, experiencia)
A nivel organizacional
• Comportamientos
• Cultura Organizacional
• Cultura de Riesgos
En Brasil, Comité Olímpico
expresó su “repudio” por actitud
de seleccionados en Tokio 2020

OLIMPIADAS DE JAPON

OLIMPIADAS DE RIO

54
IRM Modelo de Cultura al Riesgo
Este modelo (desarrollado por el IRM), identifica ocho aspectos de la
cultura del riesgo, agrupados en cuatro temas, indicadores claves de la
Liderazgo

Decisiones
Decisiones "Salud" de una cultura de riesgo, alineada con el modelo de negocio de
Tono en
lo alto

de Riesgos Informadas
sobre Riesgos una organización.
Tratando con
El diagnóstico puede ser mediante un simple cuestionario o una
Recompensas
malas estructurada técnicas de entrevista. Un análisis de brechas proporciona
noticias
indicaciones sobre áreas de fortalezas y debilidades y, por lo tanto,

Competencia
Respondabilidad Recursos permite la priorización y el enfoque para ser llevado a lo que puede ser
sobre riesgos
Gobierno

un conjunto de cuestiones difíciles de comprender.

La atención se centra en identificar acciones tangibles que se pueden
Habilidades de
Transparencia Riesgos tomar para Abordar áreas de preocupación, extrayendo de un juego de
herramientas. El modelo presupone un enfoque de mejora continua
donde un riesgo la cultura se mueve de forma incremental y el
rendimiento se registra a lo largo del tiempo.
Es importante reconocer dónde los ciclos culturales positivos deben ser
reforzado, y romper los ciclos viciosos, para hacer un cambio radical
(mejora)
IRM risk culture scorecard
[www.theirm.org/documents/risk_scorecard.pdf]
MODELO DE MADUREZ

Tema Asunto Preguntas del Expectativas, 9- 10 6-8 3-5 1-2 Peso Score
Auditor Evaluaciones
Tone at the top Liderazgo de Riesgo
Respondiendo a malas
noticias
Gobierno Accountability
(Respondabilidad)
Transparencia
Competencia Recursos de Riesgos
Habilidades sobre Riesgos
Toma de Decisiones informadas
decisiones sobre riesgos
Recompensas

VER CASO EN EXCEL

Fuente: IRM Institute

 TOMA DE DECISIONES– COSO ERM 2017

Fuente: COSO ERM 2017

 CONSTRUYENDO EL ENLACE CON EL
CONTROL INTERNO – COSO ERM 2017

Fuente: COSO ERM 2017