COSO Key Risk Indicators

Machine Translated by Google
C omité de organizaciones patrocinadoras de la C omisión de T readway
Liderazgo de pensamiento en ERM
D esarrollo del riesgo clave
I n dic a tores
para fortalecer
Riesgo empresarial
Gestión
Cómo los indicadores clave de riesgo pueden agudizar el enfoque
en los riesgos emergentes
Por
Marcos S. Beasley | Bruce C Branson | Bonnie V Hancock
I n dic a tores
para fortalecer
Riesgo empresarial
Gestión
Investigación encargada por
Comité de Organizaciones Patrocinadoras de la Comisión Treadway
diciembre 2010
Copyright © 2010, Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO).
1 2 3 4 5 6 7 8 9 0 PIP 19876543210
Reservados todos los derechos. Ninguna parte de esta publicación puede ser reproducida, redistribuida, transmitida o exhibida de ninguna forma o por
ningún medio sin permiso por escrito. Para obtener información sobre licencias y permisos de reimpresión, comuníquese con el Instituto Estadounidense
de Contadores Públicos Certificados, agente de licencias y permisos para materiales con derechos de autor de COSO.
Dirija todas las consultas a copyright@aicpa.org o a AICPA, Attn: Manager, Rights and Permissions, 220 Leigh Farm Rd., Durham, NC 27707.
Las consultas telefónicas pueden dirigirse al 8887777707.
www . cosa organización
Liderazgo de pensamiento en ERM | Desarrollo de indicadores clave de riesgo para fortalecer la gestión de riesgos empresariales | tercero
Introducción
Las juntas directivas se han vuelto cada vez más conscientes de Como lo indica esta definición, ERM brinda la oportunidad para que los
sus responsabilidades relacionadas con la supervisión efectiva de líderes organizacionales logren una visión sólida y holística de toda la
la ejecución por parte de la administración de los procesos de empresa de los eventos potenciales que pueden afectar el logro de los
administración de riesgos en toda la empresa. Esto se debe, en parte, a objetivos de la organización. Debido a que los riesgos evolucionan
las importantes presiones externas que se han desarrollado constantemente a medida que una organización se esfuerza por lograr sus
recientemente y que están impulsando la gestión de riesgos y su objetivos, existe una gran demanda de información sobre riesgos relevante
supervisión al frente de muchas agendas de la junta y planes de acción y oportuna.
de la gerencia. Por ejemplo, la Bolsa de Valores de Nueva York en 2004
adoptó reglas de gobierno que exigen que los comités de auditoría de las Muchas organizaciones buscan desarrollar un proceso que brinde a la
empresas que cotizan en NYSE supervisen los procesos de supervisión gerencia y al directorio información rica sobre eventos potenciales
de riesgos de la administración. En 2008, Standard & Poor's comenzó que pueden afectar a la entidad, especialmente exposiciones de alto
a evaluar explícitamente los procesos de gestión de riesgo empresarial riesgo, que puedan monitorear de manera continua. Si bien la mayoría de
(ERM) de un emisor en diecisiete industrias nuevas, como un las organizaciones monitorean numerosos indicadores clave de
componente adicional de su análisis de calificaciones crediticias. En rendimiento (KPI), a menudo esos indicadores arrojan información sobre
2009, la Comisión de Bolsa y Valores (SEC, por sus siglas en inglés) los eventos de riesgo que ya han afectado a la organización. Cada vez
amplió los requisitos de divulgación de representación para aumentar la más, las juntas y los altos ejecutivos buscan desarrollar métricas o
información para los inversores sobre el papel de la junta en la supervisión indicadores para ayudar a monitorear mejor los posibles cambios futuros
del riesgo. La legislación de Reforma Financiera Federal de 2010 en las condiciones de riesgo o los nuevos riesgos emergentes para que la
ahora exige comités de riesgo para juntas de instituciones financieras administración y las juntas puedan identificar de manera más proactiva
y otras entidades supervisadas por la Reserva Federal. los impactos potenciales en la cartera de riesgos de la organización.
Hacerlo permite que la gerencia y la junta directiva estén en una mejor
Muchas organizaciones están adoptando un enfoque de toda la posición para gestionar los eventos que puedan surgir en el futuro de
empresa para la supervisión de riesgos conocido como gestión manera más oportuna y estratégica. Este último tipo de métrica o indicador
de riesgos empresariales (ERM) y los equipos de gestión ejecutiva se denomina con frecuencia indicador clave de riesgo (KRI).
que lideran estos esfuerzos están recurriendo a marcos, como el Marco
Integrado de Gestión de Riesgos Empresariales de COSO de 2004
(Marco COSO ERM), para ayudar ellos en el fortalecimiento de El propósito de este documento de reflexión es ayudar a la gerencia a
sus procesos de gestión de riesgos en toda la empresa. desarrollar indicadores clave de riesgo (KRI, por sus siglas en inglés)
efectivos para aumentar la conciencia del riesgo empresarial de la
junta directiva y la gerencia a fin de aumentar la efectividad de un proceso
El Marco ERM de COSO define ERM de la siguiente manera: de ERM y mejorar la ejecución de la estrategia de una organización.
La gestión del riesgo empresarial es un proceso, llevado a cabo por
la junta directiva, la gerencia y otro personal de una entidad, que se
aplica en el establecimiento de la estrategia y en toda la empresa,
diseñado para identificar eventos potenciales que pueden afectar
a la entidad y gestionar el riesgo para estar dentro del apetito por el
riesgo. , para proporcionar una seguridad razonable con respecto al
logro de los objetivos de la entidad.
IV | Desarrollo de indicadores clave de riesgo para fortalecer la gestión de riesgos empresariales | Liderazgo de pensamiento en ERM
Esquema de contenido Página
Descripción
Diferenciación de indicadores clave de rendimiento
de indicadores clave de riesgo 1
Desarrollo de indicadores clave de riesgo efectivos 2
Los KRI brindan oportunidades para la proactividad
Gestión Estratégica de Riesgos 4
Fuentes de información al desarrollar KRI 5
Comunicación e informes de KRI:
Rol del Directorio, la Gerencia y los Propietarios de Riesgos 7
La propuesta de valor para los indicadores clave de riesgo 10
Resumen de observaciones 1 1
Acerca de COSO 12
Sobre los autores 12
Liderazgo de pensamiento en ERM | Desarrollo de indicadores clave de riesgo para fortalecer la gestión de riesgos empresariales | 1
Diferenciar los indicadores clave de rendimiento de los indicadores clave de riesgo
Es importante distinguir los indicadores clave de rendimiento (KPI) Los indicadores clave de riesgo son métricas utilizadas por las
de los indicadores clave de riesgo (KRI). Tanto la gerencia como organizaciones para proporcionar una señal temprana de
las juntas revisan regularmente los datos resumidos que incluyen exposiciones crecientes al riesgo en varias áreas de la empresa.
KPI seleccionados diseñados para brindar una descripción general de En algunos casos, pueden representar proporciones clave que la
alto nivel del desempeño de la organización y sus principales unidades administración en toda la organización rastrea como indicadores de
operativas. Estos informes a menudo se centran casi exclusivamente riesgos en evolución y oportunidades potenciales, que señalan la
en el desempeño histórico de la organización y sus unidades y necesidad de tomar medidas. Otros pueden ser más elaborados e
operaciones clave. Por ejemplo, los informes a menudo destacan involucrar la agregación de varios indicadores de riesgo individuales
las tendencias de ventas mensuales, trimestrales y del año hasta la en una puntuación multidimensional sobre eventos emergentes que
fecha, los envíos de clientes, la morosidad y otros puntos de datos de pueden conducir a nuevos riesgos u oportunidades.
rendimiento relevantes para la organización. Es importante
reconocer que estas medidas pueden no proporcionar un "indicador de Un ejemplo relacionado con la supervisión del cobro de cuentas por
alerta temprana" adecuado de un riesgo en desarrollo porque se cobrar ayuda a ilustrar la diferencia entre los KPI y los KRI.
centran principalmente en los resultados que ya se han producido. Es probable que un indicador clave de rendimiento para el crédito de
los clientes incluya datos sobre morosidad y cancelaciones de clientes.
Si bien los KPI son importantes para la gestión exitosa de una Este indicador clave de rendimiento, si bien es importante, brinda
organización al identificar los aspectos de bajo rendimiento de la información sobre un evento de riesgo que ya ocurrió (por ejemplo,
empresa, así como aquellos aspectos del negocio que ameritan un cliente no pagó de acuerdo con el acuerdo o contrato de
mayores recursos y energía, la alta gerencia y las juntas también se venta). Se podría desarrollar un KRI para ayudar a anticipar posibles
benefician de un conjunto de KRI que brindan indicadores líderes problemas futuros de cobro de clientes para que la función de crédito
oportunos. información sobre riesgos emergentes. pueda ser más proactiva al abordar las tendencias de pago de los
Las medidas de eventos o puntos desencadenantes que podrían clientes antes de que ocurran los eventos de riesgo. Un KRI
señalar problemas que se desarrollan internamente dentro de las relevante para este ejemplo podría ser el análisis de los resultados
operaciones de la organización o riesgos potenciales que financieros informados de los 25 clientes más grandes de la empresa
surgen de eventos externos, como cambios macroeconómicos o los desafíos generales de cobranza en toda la industria para ver qué
que afectan la demanda de los productos o servicios de la tendencias podrían estar surgiendo entre los clientes que podrían indicar
organización, pueden proporcionar información valiosa para que desafíos relacionados con los esfuerzos de cobranza en períodos
la gerencia y las juntas considerar como ejecutan las estrategias de la organización.
futuros.
Objetivo
Gestionar el cobro de cuentas por cobrar para reducir las pérdidas por castigos
Indicador clave de rendimiento (KPI) Indicador clave de riesgo (KRI)
Datos sobre cancelaciones de cuentas en el mes, trimestre y Análisis de los resultados financieros informados para
año más reciente. los 25 clientes más grandes de la compañía o desafíos generales
de cobranza en toda la industria que resaltan tendencias que
señalan preocupaciones futuras de cobranza.
2 | Desarrollo de indicadores clave de riesgo para fortalecer la gestión de riesgos empresariales | Liderazgo de pensamiento en ERM
Desarrollo de indicadores clave de riesgo efectivos
Un objetivo de desarrollar un conjunto efectivo de KRI es identificar métricas ingresos y costos decrecientes. Han identificado cuatro iniciativas estratégicas que
relevantes que proporcionen información útil sobre los riesgos potenciales que pueden son fundamentales para lograr esos objetivos. Se han identificado varios riesgos
tener un impacto en el logro de los objetivos de la organización. Por lo tanto, potenciales que pueden tener un impacto en una o más de las cuatro iniciativas
la selección y el diseño de KRI efectivos comienza con una comprensión firme estratégicas clave. La asignación de riesgos clave a las iniciativas estratégicas
de los objetivos organizacionales y los eventos relacionados con el riesgo que centrales coloca a la gerencia en una posición para comenzar a identificar las
podrían afectar el logro de esos objetivos. La vinculación de los principales riesgos con métricas más críticas que pueden servir como indicadores clave de riesgo para
las estrategias principales ayuda a identificar la información más relevante que podría ayudarlos a supervisar la ejecución de las iniciativas estratégicas centrales. Como se
servir como un indicador principal efectivo de un riesgo emergente. muestra a continuación, se han identificado KRI para cada riesgo crítico. La
asignación de KRI a riesgos críticos y estrategias centrales reduce la probabilidad
de que la gerencia se distraiga con otra información que puede ser menos relevante
para el logro de los objetivos de la empresa.
En la ilustración simple a continuación, la administración tiene el objetivo de
lograr una mayor rentabilidad aumentando
Vinculación de objetivos
Vinculación de objetivos a estrategias a riesgos a KRI
Estratégico Potencial
KRI
Iniciativa #1 Riesgo
Aumentar
Ingresos Potencial
Riesgo
KRI
Estratégico
Iniciativa #2
Potencial
Rentabilidad KRI
Riesgo
Estratégico
Iniciativa #3 Potencial
KRI
Reducir Riesgo
Costos
Estratégico Potencial
Iniciativa #4 Riesgo
KRI
Para ilustrar más, considere un ejemplo simple que involucre una cadena de la base disminuye. Cuando los precios de la gasolina aumentan rápidamente
restaurantes buffet de estilo familiar. La gerencia está interesada en evitar un o se pronostica que permanecerán en niveles inusualmente altos, el tráfico de clientes
evento de ganancias negativas que podría surgir debido a condiciones de mercado comienza a disminuir.
inesperadas que podrían afectar negativamente los ingresos. Saben que el
tráfico del restaurante se ve directamente afectado por la disponibilidad de La gerencia ha encontrado que el monitoreo cercano de los pronósticos de los precios
ingresos discrecionales de los clientes. A medida que caen los niveles de ingresos por galón de gas en el mercado geográfico de la cadena y las tendencias en
discrecionales, es menos probable que los clientes cenen fuera de sus hogares. los precios de futuros del petróleo ayudan a la gerencia a identificar de manera
proactiva los indicadores tempranos de posibles cambios en las visitas de los
Una métrica clave que la gerencia usa como indicador principal de los posibles clientes. El seguimiento de estas métricas de riesgo clave brinda a la
cambios en los niveles de ingresos discrecionales de los clientes es el precio gerencia la oportunidad de modificar de manera proactiva las estrategias de ventas
promedio de la gasolina que la gente paga en la bomba. ajustando los eventos de promoción de restaurantes y marketing, reduciendo
La gerencia ha determinado que cuando los precios de la gasolina suben (o se así el impacto del riesgo a medida que los ingresos discrecionales comienzan a disminuir.
espera que suban), los ingresos discrecionales para las personas y familias que
representan a su cliente principal
Ejemplo
Una cadena de restaurantes estilo buffet monitorea los precios de la gasolina para identificar las tendencias de ventas y
rentabilidad que pueden señalar la necesidad de modificar las estrategias de ventas.
Objetivo Riesgos potenciales de la iniciativa estratégica Indicadores clave de riesgo Respuesta estratégica
Aumentar las ganancias Promocione opciones de Los niveles Evolución de los Revisar el marketing para

a través de aumentos buffet premium para de ingresos de los precios del galón de promover más opciones
de ingresos. atraer clientes adicionales. clientes y los ingresos gasolina en los mercados de "valor" si las
discrecionales caen y geográficos de la cadena tendencias de los
evitan que los clientes precios de la gasolina están aumentando.
visiten restaurantes Tendencias en los precios de los futuros
o seleccionen opciones de del petróleo
buffet premium.
Un método efectivo para desarrollar KRI comienza analizando un evento puede estar surgiendo. Cuanto más cerca esté el KRI de la causa raíz
de riesgo que ha afectado a la organización en el pasado (o presente) última del evento de riesgo, más probable es que el KRI proporcione
y luego trabaja hacia atrás para identificar los eventos intermedios tiempo de gestión para tomar medidas de manera proactiva para
y de causa raíz que condujeron a la pérdida final o a la oportunidad responder al evento de riesgo. Este proceso se puede representar
perdida. El objetivo es desarrollar indicadores clave de riesgo que visualmente de la siguiente manera.
proporcionen indicaciones valiosas de que los riesgos
Indicadores Principales de Evento de Riesgo
Indicadores Principales de Evento de Riesgo
Potencial
Riesgo
Evento de riesgo
Evento Intermedio
¿Indicadores principales de evento?
Evento de causa raíz
¿Indicadores principales de evento?
En este diagrama, el paso del tiempo procede de un evento de causa Luego, la gerencia puede usar ese análisis para identificar la
raíz a (potencialmente) un evento intermedio que finalmente información asociada con el evento de causa raíz o el evento
conduce a un evento de riesgo. Al desarrollar un KRI para que sirva intermedio que podría servir como un indicador de riesgo clave
como un indicador principal de posibles ocurrencias futuras de este relacionado con cualquiera de los eventos. Cuando se monitorean los KRI
riesgo, puede ser útil pensar en la cadena de eventos que llevaron a la para eventos de causa raíz y eventos intermedios, la gerencia se
pérdida para que la gerencia pueda descubrir el impulsor final (es encuentra en una posición envidiable para identificar estrategias de
decir, la(s) causa(s) raíz(es) ) del evento de riesgo. mitigación tempranas que pueden comenzar a reducir o eliminar el
impacto asociado con un evento de riesgo emergente.
Como ilustración, supongamos que la administración está preocupada por el Sin embargo, solo monitorear los KRI vinculados a eventos intermedios le
riesgo de que la organización pueda incumplir convenios asociados con su permite a la gerencia menos tiempo para administrar de manera
deuda pendiente. En este ejemplo, un incumplimiento de convenio proactiva el evento de riesgo emergente que si la gerencia tuviera acceso a
representaría el evento de riesgo que es motivo de preocupación. Al los KRI relacionados con eventos de causa raíz anteriores que a menudo
desarrollar KRI efectivos para ayudar a la gerencia a monitorear el riesgo preceden a los eventos intermedios. En este ejemplo, los datos externos,
de incumplimiento, pueden mirar hacia atrás para identificar posibles como los informes de la industria del cliente y los indicadores
eventos intermedios que pueden surgir antes de que la organización alcance económicos, combinados con datos internos, como las tendencias de precios
el punto de incumplimiento del convenio. de los insumos, los problemas laborales, la capacidad de la planta, la
Por ejemplo, un evento intermedio que precede a un posible rotación de personal clave, entre otros KRI, pueden proporcionar
incumplimiento de un convenio podría implicar disminuciones en las ventas indicadores principales útiles de las condiciones que probablemente iniciar
en los últimos meses (es decir, convenios basados en ingresos netos o eventos, tales como futuras caídas en las ventas o escasez de efectivo en
cobertura de intereses). Además, la escasez de efectivo o el aumento de la el futuro que conducirán a un evento intermedio y, en última instancia, al
necesidad de préstamos o retiros a corto plazo en virtud de evento de riesgo real de incumplimiento del convenio. Además, estos
las líneas de crédito pueden proporcionar señales de advertencia indicadores clave de riesgo pueden resaltar oportunidades potenciales para
tempranas de que se avecina un incumplimiento de convenio en el corto aumentar las ventas o mejorar las operaciones que la gerencia puede desear
plazo. Los indicadores de riesgo clave que ayudan a monitorear estos capturar.
eventos intermedios colocan a la gerencia en una mejor posición para
implementar posibles estrategias de mitigación, como discusiones La siguiente figura ilustra el vínculo de los KRI con los eventos de causa
anteriores con prestamistas clave antes de que ocurra un incumplimiento real del convenio.
raíz y los eventos intermedios.
KRI para informar sobre el riesgo de incumplimiento del contrato de deuda
Ejemplo
KRI para informar sobre el riesgo de incumplimiento del contrato de deuda
Potencial
Riesgo
Evento de riesgo
Incumplimiento del pacto de deuda
Evento Intermedio
Los principales KRI pueden incluir tendencias de ventas, efectivo disponible, cambios
en los préstamos a corto plazo, etc.
Evento de causa raíz
Los principales KRI pueden incluir informes financieros de clientes, informes de la industria,
condiciones económicas, tendencias de precios, problemas laborales, capacidad de la planta, etc.
Los KRI brindan oportunidades para la gestión proactiva de riesgos estratégicos
Un sistema ERM bien diseñado proporciona información que permite a la partes interesadas. Como se ilustra en la figura de la página siguiente, la
gerencia comprender si se están cumpliendo los objetivos estratégicos clave e gerencia selecciona las estrategias iniciales en un momento dado. A
identificar oportunidades para ajustar las estrategias y tácticas para aprovechar medida que pasa el tiempo, el rango de incertidumbre comienza a
los cambios en el entorno que podrían aprovecharse en beneficio de la aumentar, amenazando la ejecución exitosa de esas estrategias.
organización y sus socios.
Para ayudar a monitorear los riesgos que surgen debido a esa los puntos de activación se establecen con planes de acción identificados
incertidumbre, la gerencia ha identificado varios KRI que están con anticipación.
monitoreando mientras ejecutan las iniciativas estratégicas elegidas.
los objetivos. De antemano, la gerencia ha predeterminado ciertos Este uso estratégico de los KRI aumenta la probabilidad de que se alcancen
niveles o umbrales para cada KRI que desencadenarán acciones y objetivos establecidos por la gerencia debido al hecho de que los riesgos y las estrategias
proactiva para gestionar los KRI Facilitar la gestión proactiva de los riesgos relacionadas se gestionan más gestión para ajustar sus estrategias de forma
identificado
emergentes
KRI relevantes.
el riesgo en consecuencia. Una vez que se revisan las estrategias, nuevos KRI de manera proactiva cuando se hayan
Los KRI facilitan la gestión proactiva de los riesgos emergentes
Incertidumbre
KRI aumenta
con más largo
KRI
atvn i tuecP
d
a
cP
ovtn i tue d
a
nó isco
nó icsa
Horizontes de tiempo
Tiempo
Estrategias Iniciales Revisar estrategias Revisar estrategias
Fuentes de información al desarrollar KRI
Prácticamente todas las organizaciones poseen métricas de riesgo existentes Otro elemento importante en el diseño de KRI efectivos implica la
que han evolucionado con el tiempo. Estas métricas deben evaluarse garantía de que todas las partes involucradas en la recopilación y agregación
cuidadosamente por su eficacia y seguir empleándose si se considera que de datos KRI tengan claras las definiciones de los elementos de datos
son valiosas para resaltar los posibles riesgos emergentes. individuales que se capturarán y cualquier metodología de conversión o
Sin embargo, es probable que sea necesario aumentar estos KRI existentes estandarización que se utilizará. Sin confianza en la uniformidad del
con nuevas métricas. enfoque de medición de KRI, la información agregada carecerá de
solidez e introducirá ruido en el proceso de decisión final. Por ejemplo,
El proceso de identificación de KRI puede beneficiarse de expertos en si las condiciones financieras de los clientes deben capturarse en todas las
la materia dentro de la organización, ya que estas personas pueden estar unidades comerciales como un KRI, será importante definir cuidadosamente
en la mejor posición para saber dónde existen puntos de estrés (es cómo se medirá. En este escenario, es posible que sea necesario
decir, eventos de causa raíz y eventos intermedios) en las unidades que abordar las siguientes preguntas. ¿Todos los clientes deben tener el mismo
administran o los procesos que supervisan. Su aporte ayuda a garantizar peso? Si el tamaño del cliente /
que los riesgos clave no se pasen por alto y que los KRI diseñados para
resaltar estos riesgos o tendencias tengan más probabilidades de ser volumen de negocio ser un factor? ¿Cuánto tiempo debe transcurrir
efectivos para comunicar una indicación temprana de la acción antes de que se considere que un cliente se encuentra en una situación
necesaria. Una advertencia a tener en cuenta es que estas personas financiera difícil? ¿Hay clientes compartidos por más de una unidad de
pueden estar sesgadas hacia las métricas de riesgo existentes que negocio? Si es así, ¿qué unidad toma la determinación?
ya están en uso, y con las que se sienten cómodos, a expensas de medidas
posiblemente mejoradas que requieren análisis y validación adicionales
antes de la adopción.
Un elemento importante de cualquier KRI es la calidad de los las partes no necesariamente no están afiliadas a la organización, pero se
datos disponibles utilizados para monitorear un riesgo específico. Se debe eliminan de la unidad de negocios desde la cual se mide el KRI. Es casi
prestar atención a la fuente de la información, ya sea interna a la seguro que se requerirán compensaciones en esta área. Las personas
organización o extraída de una parte externa. Es probable que existan encargadas de la gestión continua de un riesgo en particular son la fuente
fuentes de información que puedan ayudar a informar la elección de los KRI menos objetiva (pero a veces pueden ser el único recurso disponible
que se emplearán. Por ejemplo, los datos internos pueden estar para los datos necesarios para producir el KRI en cuestión). Es
disponibles relacionados con eventos de riesgo anteriores que pueden ser deseable una validación cuidadosa de las fuentes externas para aumentar
informativos sobre posibles exposiciones futuras. Sin embargo, los la confianza en la eficacia final del KRI creado a partir de esos datos.
datos internos generalmente no están disponibles para muchos
riesgos, especialmente aquellos que no se han encontrado anteriormente.
Y, a menudo, los riesgos que probablemente tengan un impacto Es poco probable que un solo KRI capture adecuadamente todas las
significativo pueden surgir de fuentes externas, como cambios en las facetas de un riesgo en desarrollo o una tendencia de riesgo. Por esta
condiciones económicas, cambios en las tasas de interés o nuevos requisitos reglamentarios
razón, es útil oa nalizar
legislación.
una colección de KRI simultáneamente para ayudar
Por lo tanto, muchas organizaciones descubren que los KRI relevantes a comprender mejor el riesgo que se está monitoreando. Dicho esto, es
a menudo se basan en datos externos, dado que muchos eventos de probable que algunos KRI posean un poder predictivo superior a otras
causa raíz y eventos intermedios que afectan las estrategias surgen métricas de riesgo y será importante ponderar cada pieza de
desde fuera de la organización. información para reflejar su desempeño anterior al pronosticar un
evento de riesgo. Algunos se han referido a este proceso como el
Las fuentes externas, como las publicaciones comerciales y los ensamblaje de un mosaico de información que, en conjunto, puede
registros de pérdidas compilados por proveedores de información brindar la mejor alerta temprana de amenazas potenciales que se
independientes, pueden ser útiles para identificar los riesgos desarrollan con el tiempo. Siendo realistas, el juicio sustancial y la
potenciales que la organización aún no ha experimentado. Las experiencia deben influir en este proceso para extraer las inferencias
discusiones con las partes interesadas clave, como clientes, empleados más significativas. A medida que el uso de los KRI evoluciona en una
y proveedores, pueden proporcionar información importante sobre organización, las oportunidades para hacer estos juicios probablemente
los riesgos que enfrentan y que, en última instancia, pueden crear generarán mejoras en el desempeño de los KRI.
riesgos para la organización. Una comprensión cuidadosa de los
requisitos regulatorios y legales que deben cumplirse probablemente sea
útil para anticipar los riesgos potenciales y los eventos que los preceden. El siguiente gráfico resume los elementos centrales de los KRI bien
diseñados.
Los datos de KRI obtenidos de partes externas y/o independientes brindan
el beneficio de la objetividad. Externo/independiente
Basado en prácticas establecidas o puntos de referencia
Desarrollado consistentemente en toda la organización.
Proporcione una vista inequívoca e intuitiva del riesgo resaltado
Permitir comparaciones medibles a lo largo del tiempo y las unidades de negocio
Brindar oportunidades para evaluar el desempeño de los propietarios de riesgos de manera oportuna.
Consumir recursos de manera eficiente
Una forma efectiva de comenzar es tomar los 5 a 10 riesgos más confusión en cuanto a la diferencia entre los indicadores clave de
importantes que enfrenta la organización y encargar a cada propietario del rendimiento que se están rastreando actualmente y los KRI. Será
riesgo (la persona con la responsabilidad principal de gestión de un riesgo importante proporcionar uno o dos ejemplos para ayudar a los
determinado) la tarea de identificar uno o dos KRI para su asignado. propietarios del riesgo a hacer esta distinción.
riesgos A menudo, habrá
En la siguiente tabla, se ilustran varios KRI para un conjunto de puntos de venta más pequeños. La adquisición y el desarrollo de las
riesgos hipotéticos que enfrenta una cadena regional de supermercados propiedades de las tiendas dependen de la capacidad de la empresa para
que busca aumentar sus ganancias al agregar nuevas tiendas en obtener financiamiento favorable. Si bien estos son exclusivos de un
Washington, DC y áreas circundantes. La empresa adquiere y desarrolla contexto comercial particular, representan muy bien el objetivo de
propiedades inmobiliarias en las que la tienda de comestibles actúa desarrollar datos anticipados para monitorear activamente los riesgos
como inquilino principal junto con otros importantes que enfrenta esta empresa.
Ejemplo
Una cadena regional de tiendas de comestibles busca aumentar sus ganancias agregando nuevas tiendas en el
norte de Virginia y el área de Washington, DC.
Eventos de riesgo Ejemplos de KRI para monitorear el riesgo de manera proactiva
1. Recesión económica en •Tasas de ocupación de tiendas minoristas reales y proyectadas en el
Los mercados de Washington, DC Mercado de Washington DC
afectan la demanda de alquiler de •Información del mercado de alquiler de bienes raíces comerciales sobre precios de arrendamiento y opciones
tiendas minoristas y los valores para propiedades minoristas de calidad similar en el área de Washington, DC.
inmobiliarios
2. Aumenta la competencia •Cambio en el número de tiendas de comestibles en el área del mercado
en los mercados de Washington, DC •Anuncios de expansiones de grandes minoristas y grandes superficies
•Reducciones de precios significativas y sostenidas por parte de los competidores de comestibles
en el área de Washington, DC
3. Coste de la financiación •Diferenciales sobre emisiones de deuda para empresas con calificaciones comparables
demasiado alto •Tasas de interés reales y proyectadas
•Rendimiento de las acciones de la empresa y tendencias relacionadas con las acciones de la competencia
4. Retrasos en el desarrollo de •Compare las fechas reales de referencia de construcción y apertura de tiendas con
propiedades y apertura de tiendas fechas objetivo predeterminadas
•Supervisar los problemas de los sindicatos de trabajadores de la construcción, incluidas las demandas competitivas de
mano de obra de construcción que podría surgir debido a otros proyectos de construcción importantes en el área de
Washington, DC
5. La recesión económica a largo •Perspectivas de empleo para las agencias del gobierno federal y las empresas de apoyo al gobierno
plazo da como resultado el
deterioro de la base de clientes •Previsiones relacionadas con el desempleo
•Tendencias de gasto de los consumidores en el área de Washington, DC
Comunicación e informes de KRI: papel de la junta, la gerencia y los propietarios de riesgos
Como ocurre con el objetivo más amplio de implementar un proceso de La gerencia y las juntas directivas no necesitan saber, ni están
gestión de riesgos empresariales en general, el desarrollo y la necesariamente en una posición para apreciar completamente, todos
implementación de un conjunto de KRI requiere sensibilidad hacia la los KRI empleados dentro de la organización, pero se debe esperar que
cultura organizacional y un fuerte mensaje de la importancia de entiendan y se mantengan actualizados sobre los KRI relacionados
esta tarea por parte de la alta dirección y la junta directiva. Será con las principales exposiciones de riesgo de la organización. La persona
necesario crear la aceptación de aquellas personas dentro de la encargada de supervisar el proceso de gestión de riesgos corporativos
organización que tienen la responsabilidad de la gestión diaria de varios puede trabajar en conjunto con los propietarios de los riesgos para identificar
riesgos. los puntos desencadenantes apropiados y los planes de acción o
tratamiento que se iniciarán en caso de que se alcancen esos puntos. Los
El principal beneficiario de los KRI serán los propios propietarios del informes de excepción se pueden desarrollar de forma regular, cuyo
riesgo. Contarán con un conjunto de herramientas predictivas que tiempo probablemente variará en función del nivel dentro de la
deberían permitirles administrar mejor sus unidades de negocio para organización en el que residen los destinatarios.
cumplir con las metas y objetivos establecidos para esa unidad. Sénior
Es posible que la alta dirección necesite revisar los datos de KRI en
KRI Estado Tendencia
busca de riesgos y oportunidades con un impacto potencial
significativo para la organización. Asimismo, las juntas directivas solo
Ocupación minorista
pueden requerir actualizaciones de los datos KRI más significativos
para estar seguros de que el proceso de gestión de riesgos está Mercado de alquiler inmobiliario
funcionando según lo diseñado y aprobado. Los informes del tablero que
Cambio en Tiendas
muestran visualmente los datos de KRI superpuestos a los puntos de
activación establecidos pueden proporcionar un enfoque intuitivo y Caja grande Exp
efectivo para proporcionar esta información a los tableros. Además, el Precio de compensación
simple uso del color para representar el estado de ciertos KRI puede
Diferenciales de deuda
resaltar rápidamente aquellos que requieren la atención de la gerencia.
Verde, amarillo y rojo son opciones comunes para mostrar las Tasas de interés
condiciones asociadas con estar en el objetivo para cumplir los
Rendimiento de stock
objetivos del plan, con algún peligro de no cumplir los objetivos del plan y no cumplir los objetivos del plan, respectivamente.
Constr. Progreso
Estos diagramas ilustran ejemplos de presentaciones visuales Mercado de trabajo
efectivas de datos KRI para la cadena regional de supermercados
descrita anteriormente. La tabla de la derecha brinda un estado rápido
Gobierno Empleo
y la tendencia de cada uno de los KRI, y luego los dos gráficos a Desempleo
continuación y en la página siguiente brindan información más
Contras. Gasto
detallada para los dos KRI que indican que no se están cumpliendo
las metas del plan. Este tipo de informe de alto nivel sería
apropiado para comunicar los KRI a la junta directiva oa la alta
gerencia.
Tasa de desempleo
8 8 8 8
8.0
7,9 7,9 7,9
7.8 7.8
7.7
7.5 7.5
7.5
Actual
Proyectado
7.0
j F METRO SOY j j COMO O norte D
% de ocupación minorista
90 88 88
86
85 85
85
84
82 82
81
80 80 80
Actual
80
Proyectado
75
j F METRO SOY j j A S O norte D
. .
Machine Translated
7.5 by Google
Actual
Proyectado
7.0
j F METRO A METRO j j A S O norte D
% de ocupación minorista
90 88 88
86
85 85
84
85
82 82
80 80 80 81
Actual
80
Proyectado
75
j F METRO A METRO j j A S O norte D
Consulte también Gestión de riesgos empresariales de COSO Una vez que se ha diseñado e implementado un conjunto
de 2004 : Marco integrado, Volumen 2, Técnicas de aplicación inicial de KRI, es fundamental que se realice un seguimiento para
para ver ejemplos adicionales de informes del tablero. validar su eficacia. Incluso los KRI bien diseñados y efectivos pueden
perder valor a medida que los objetivos y las estrategias de la
También es importante considerar la frecuencia con la que se organización se adaptan a un entorno en constante cambio. Existe
informan los KRI. El horizonte de tiempo apropiado depende del un peligro muy real, una vez que se ha establecido una red de KRI,
usuario principal de un KRI específico. Para los gerentes operativos, de que la gerencia destine recursos a otros lugares dentro de la
los informes en tiempo real son atractivos. Para la alta gerencia, organización e ignore la necesidad de refinar y reemplazar las
donde el objetivo probable es una compilación de KRI que métricas de riesgo existentes para capturar mejor los datos relevantes
destaque las posibles desviaciones de los objetivos a nivel de la para el nuevo entorno. Como parte de la fase inicial de desarrollo e
organización, un informe de estado menos frecuente (por ejemplo, mensual) pimplementación,
uede ser suficiente.
se debe prestar atención al proceso que se seguirá
A nivel de directorio, los informes a menudo se agregan para permitir para realizar un seguimiento continuo del rendimiento de KRI.
una evaluación más estratégica de los datos. Es importante recordar
que un KRI no gestiona ni trata el riesgo y puede dar lugar a una falsa
sensación de seguridad si está mal diseñado. Idealmente, la evaluación
activa de la "capacidad predictiva" de cada KRI es una faceta continua
del proceso de ERM de la organización.
La propuesta de valor para los indicadores clave de riesgo
El desarrollo de KRI puede proporcionar información relevante y oportuna •Informes de riesgos : por diseño, los KRI pueden proporcionar
tanto para la junta como para la alta gerencia, lo cual es importante para datos medibles conducentes a la agregación. Los informes resumidos,
una supervisión de riesgos efectiva. Los KRI efectivos se encuentran con mayor como se mostró anteriormente para el ejemplo de la cadena de
frecuencia cuando son desarrollados por equipos que incluyen personal supermercados, se pueden comunicar rápidamente a los superiores apropiados.
profesional de administración de riesgos y gerentes de unidades gerentes y miembros de la junta con responsabilidades de
comerciales con un conocimiento profundo de las operaciones y estrategias supervisión.
centrales del negocio sujeto a riesgos potenciales. Idealmente, los KRI se
desarrollan de acuerdo con los planes estratégicos para unidades de •Esfuerzos de cumplimiento : para organizaciones sujetas a
negocios individuales e incorporan desviaciones aceptables del plan que se supervisión regulatoria, los KRI pueden ser útiles para demostrar el
encuentran dentro del apetito de riesgo general de la organización. cumplimiento de los requisitos establecidos en áreas como la adecuación
del capital o los niveles de reserva.
Los KRI efectivos pueden proporcionar valor a la organización de varias Los KRI diseñados para ayudar al directorio y a la gerencia
maneras. El valor potencial puede derivarse de cada una de las siguientes ejecutiva a anticipar tendencias en eventos potenciales relacionados con el
contribuciones: riesgo pueden agregar un valor considerable a los esfuerzos de supervisión
de riesgos en toda la empresa al posicionar al directorio y la gerencia para que
• Apetito de riesgo : los KRI requieren la determinación de puedan ajustar de manera proactiva las estrategias antes o en respuesta al
umbrales apropiados para la acción en diferentes niveles dentro de la riesgo. eventos.
organización. En el ejemplo de la cadena de supermercados, el KRI
de desempleo tendría un nivel predeterminado en el que se superaría el Al hacer el caso comercial para el desarrollo de KRI, hay varios ejemplos de
apetito de la organización por el riesgo asociado con la estrategia de beneficios que se pueden obtener:
expansión. Al mapear las medidas de KRI para identificar el apetito
por el riesgo y los niveles de tolerancia, los KRI pueden ser una •Rendimiento mejorado : el uso de KRI para
herramienta útil para mejorar anticipar los riesgos emergentes y los cambios en los riesgos a lo largo
articular el apetito por el riesgo que mejor representa la mentalidad del tiempo pueden reducir las pérdidas, identificar oportunidades para
organizacional. la explotación estratégica y reducir potencialmente el costo del capital al
mitigar las percepciones de riesgo que asumen los proveedores de capital.
•Identificación de riesgos y oportunidades : los KRI pueden diseñarse para
alertar a la gerencia sobre tendencias que pueden afectar •Procesos mejorados : los KRI prometen ayudar a reducir las interrupciones
negativamente el logro de los objetivos organizacionales. del servicio, la gestión de la cadena de suministro y mejorar las
objetivos o puede indicar la presencia de nuevas oportunidades. experiencias de los clientes al evitar potencialmente ciertas decisiones
En el ejemplo de la cadena de supermercados, si los niveles de que crean riesgos inesperados asociados con estos procesos.
ocupación minorista aumentan significativamente, puede indicar
una oportunidad para un mayor desarrollo.
• Ambiente de trabajo mejorado : el uso
•Tratamiento de riesgos : los KRI pueden iniciar acciones para mitigar el de KRI puede conducir a menos episodios de gestión de crisis, donde las
desarrollo de riesgos sirviendo como mecanismos desencadenantes tareas normales deben dejarse de lado para dedicarse a tiempo
para las unidades organizacionales encargadas de monitorear KRI particulares. completo a un problema en desarrollo. Esto permite una organización
Además, los KRI pueden servir como controles al definir límites para ciertas más estable y que funcione sin problemas.
acciones. En el ejemplo de la cadena de supermercados, puede haber
un punto en el que el desempleo alcance un nivel tan alto que el riesgo Dicho de otra manera, un conjunto sólido de KRI debería ayudar a reducir la
de seguir adelante con la expansión supere el apetito de la organización y, probabilidad de sorpresas y posicionar a la gerencia y las juntas en una postura
por lo tanto, ese nivel de KRI desencadenaría una revisión de la proactiva versus reactiva.
estrategia de expansión de la tienda.
Resumen de observaciones
Los KRI son métricas que se utilizan para proporcionar una señal Un resumen ejecutivo de Enterprise Risk Management—Integrated
temprana del aumento de la exposición al riesgo en varias áreas de la organización. Framework de COSO proporciona una descripción general de los
En algunos casos, pueden ser poco más que índices clave que la junta y la principios clave para una gestión eficaz de riesgos empresariales y está
alta gerencia rastrean como indicadores de problemas en evolución, que disponible para su descarga gratuita en
indican que se deben tomar medidas correctivas o mitigadoras. Otras www.coso.org. El conjunto completo de dos volúmenes contiene una
veces, pueden ser más elaborados, involucrando la agregación de varios guía más detallada, incluidos ejemplos sobre la implementación efectiva
indicadores de riesgo individuales en una puntuación de riesgo de los principios clave de ERM.
multidimensional sobre exposiciones de riesgo potenciales emergentes. Los
KRI generalmente se derivan de eventos específicos o causas raíz, identificados
interna o externamente, que pueden impedir el logro de los objetivos
estratégicos. Los ejemplos pueden incluir elementos como la introducción
de un nuevo producto por parte de un competidor, una huelga en la planta
de un proveedor, cambios propuestos en el entorno regulatorio o cambios en
el precio de los insumos.
El diseño y la implementación de un conjunto de KRI es un elemento
importante del proceso de gestión de riesgos empresariales de una
organización. Este documento ha identificado los beneficios potenciales de
desarrollar un conjunto de KRI, elementos de diseño importantes de esos KRI y
una metodología adecuada para comunicar los datos de KRI a los miembros
de la alta gerencia y la junta. Se han proporcionado ejemplos de KRI
específicos para ayudar a diferenciarlos de los indicadores clave de
rendimiento que suelen emplear muchas organizaciones. A medida que las
organizaciones buscan mejorar su enfoque de gestión de riesgos, la adición
de KRI para complementar los métodos de identificación de riesgos
existentes probablemente generará beneficios significativos.
Acerca de COSO
El Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) es una organización voluntaria del sector privado compuesta por
las siguientes organizaciones dedicadas a guiar a los participantes de gestión ejecutiva y gobernanza hacia el establecimiento de
operaciones comerciales más efectivas, eficientes y éticas a nivel mundial. Patrocina y difunde marcos y orientación basados en
investigaciones, análisis y mejores prácticas en profundidad.
COSO, 2010
Sobre los autores
Mark S. Beasley, CPA, Ph.D., es profesor de Gestión de riesgos empresariales de Deloitte y director de la Iniciativa ERM en la
Universidad Estatal de Carolina del Norte (consulte www.erm.ncsu.edu). Se especializa en el estudio de la gestión de riesgos
empresariales, el gobierno corporativo, el fraude en los estados financieros y el proceso de información financiera. Es miembro de la junta del
Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO), formó parte del Grupo de trabajo de ERM de la Conference Board
y trabaja con frecuencia con juntas y altos ejecutivos en la implementación de ERM. Obtuvo su Ph.D. en la Universidad Estatal de Michigan.
Bruce C. Branson, Ph.D., es profesor de contabilidad y director asociado de Enterprise Risk Management (ERM)
Iniciativa en la Universidad Estatal de Carolina del Norte. Su docencia e investigación se centran en la información financiera e incluye un
interés en el uso de valores derivados y otras estrategias de cobertura para la reducción/compartición de riesgos. También ha examinado el uso
de varias herramientas de pronóstico y simulación para formar expectativas utilizadas en auditorías de estados financieros y en la investigación
de pronóstico de ganancias. Obtuvo su Ph.D. en la Universidad Estatal de Florida.
Bonnie V. Hancock, MS, es directora ejecutiva de Enterprise Risk Management (ERM) Initiative y también es profesora ejecutiva de
contabilidad en la Facultad de Administración de NC State. Su experiencia incluye puestos ejecutivos tanto en Progress Energy como en
Exploris Museum. Se ha desempeñado como presidenta de Exploris, y en Progress Energy, ha ocupado los cargos de presidenta de Progress
Fuels (una subsidiaria de Progress Energy con más de mil millones de dólares en activos), vicepresidenta sénior de finanzas y tecnología de
la información, vicepresidenta de estrategia y vicepresidente de contabilidad y contraloría.
Actualmente es miembro de la junta directiva de AgFirst Farm Credit Bank y Powell Industries.
www.erm.ncsu.edu
Comité de Organizaciones Patrocinadoras de
la Comisión Treadway
www . cosa o org
I n dic a tores
para fortalecer
Riesgo empresarial
Gestión
Comité de Organizaciones Patrocinadoras de la Comisión Treadway

COSO Key Risk Indicators

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

COSO Key Risk Indicators

Cargado por

Copyright:

Formatos disponibles

Machine Translated by Google

Objetivo Riesgos potenciales de la iniciativa estratégica Indicadores clave de riesgo Respuesta estratégica

Aumentar las ganancias Promocione opciones de Los niveles Evolución de los Revisar el marketing para

Estrategias Iniciales Revisar estrategias Revisar estrategias

También podría gustarte