IMPLEMENTACIÓN DECOSOERM 2017

ALINEANDO LAGESTIÓNDERIESGOEMPRESARIAL
CON LAESTRATEGIAYELDESEMPEÑO

Edwin Arley Giraldo Zapata

CPA,CIA, CCSA,CFSA,QA;CGAP
EXPECTATIVAS
 INTRODUCCIÓN
COSO
(Comité de Organizaciones Patrocinadoras de la Comisión
Treadway)
Iniciativa para combatir fraude corporativo
 Misión
• La Misión de COSO es “ Proporcionar liderazgo inteligente a través
del desarrollo de marcos integrales y orientación sobre la gestión de
riesgos empresariales, el control interno y la disuasión del fraude,
diseñados para mejorar el desempeño y la gobernanza de la
organización y reducir el alcance del fraude en las organizaciones”

Principios Fundamentales de COSO

• La buena gestión del riesgo y el control interno son necesarios

para el éxito a largo plazo de todas las organizaciones.
 VERSIONES DE COSO & COSO ERM

COSO COSO
1992 2013

COSO ERM COSO ERM

2004 2017
 COSO 2013
Definición Control Interno
El control interno es un proceso, afectado por el comité
directivo de una compañía, la administración y otro
personal, diseñado para proporcionar seguridad
razonable respecto a:

 Eficiencia y eficacia de las operaciones.

 Confiabilidad de la información financiera.
 Cumplimiento de leyes y regulaciones
aplicables.
 COSO 2013
Componentes (5)– Principios (17)

AGENDA
 COSO ERM 2017
C o m p o n e n t e s (5) - P r i n c i p io s (20)

Gobierno & Estrategia y Información,

Evaluación
Cultura. Establecimiento Desempeño Comunicación
& Revisión
de Objetivos. & Reporte.
1. Consejo 6. Analiza el contexto del 10. Identifica Riesgo. 15. Evalúa cambios 18. Apalanca
proporciona negocio. sustanciales. información y
11. Evalúa severidad
supervisión del tecnología.
7. Define apetito del de Riesgo. 16. Revisa riesgo y
riesgo. riesgo. desempeño.
12. Prioriza Riesgos. 19. Comunica
2. Establece 8. Evalúa estrategias 17. Persigue información de
estructura 13. Implementa
alternativas. mejoramiento de Riesgo.
operativa. respuesta al
9. Formula objetivos de riesgo. la gestión de 20. Informa sobre
3. Establece cultura negocio riesgos. riesgo, cultura y
deseada. 14. Desarrolla una
desempeño.
vista de portafolio.
4. Demuestra
compromiso con los
valores
fundamentales.
5. Atrae, desarrolla y
retiene personal
capacitado.
CONSIDERACIONES ENTRE
COSO Y COSO ERM
 ERM no reemplaza al marco integrado de control interno.
 Los dos marcos son distintos y complementarios.
 Ambos usan componentes y principios en su estructura.
 Los aspectos de control interno comunes a la gestión del
riesgo empresarial no se repiten.
DESARROLLODETALLER
1

15 minutos
 COSO 2013
Componentes (5)– Principios (17)

AGENDA
COSO ERM 2017
 Agenda
A. Evolución del Nuevo ERM2017.
B. Nuevas definiciones y conceptos.
C. Entendimiento de la estructura del Nuevo COSOERM
2017.
D. Aplicación de los Componentes y Principios de
COSO ERM 2017
EVOLUCIÓN COSO ERM
2004 A 2017
Principales Cambios de
COSO ERM 2017
4

COSO ERM 2017

Marco de Administración
del Riesgo Empresarial:
Integrando con la Estrategia
y el Desempeño
 OBJETIVOS COSO ERM
• Mejorar el enfoque de la Gestión de Riesgos, en las
entidades como una manera de crear, preservar, mantener
y generar valor en la organización.

• Adaptar el ERM 2017 a las necesidades de la

organización, ya que aplica a todo tipo de entidades
públicas o privadas y a diferentes industrias.

• Alinear la gestión de riesgos empresarial con la

Estrategia de la Entidad y el Desempeño.
 Agenda
A. Evolución del Nuevo ERM2017
B. Nuevas definiciones y conceptos.
C. Entendimiento de la estructura del Nuevo
COSOERM 2017.
D. Aplicación de los Componentes y Principios de
COSOERM 2017
 Nuevas definiciones y conceptos.
Cambios en el Ambiente de Negocios ...

Adopta una Estructura de Componentes

y Principios.

Simplifica la definición de Gestión de

Riesgos Empresariales.

Enfatiza la relación entre riesgo y valor.

Renueva el enfoque en la integración de

la Gestión de Riesgo Empresarial.

Examina el papel de la Cultura.

Eleva la discusión de la estrategia.

 Nuevas definiciones y conceptos.
Cambios en el Ambiente de Negocios ...

Mejora la alineación entre el

rendimiento y la gestión del Riesgo
Empresarial.

Vincula la Gestión del Riesgo

Empresarial en la toma de decisiones de
manera más explicita.

Traza la línea entre la Gestión del Riesgo

y el Control Interno.

Amplia los conceptos de tolerancia y

apetito del riesgo.
 Adopta una Estructura de Componentes y Principios.
Marco Enf ocado en 5 Componentes y
20 Principios.

Gobierno & Estrategia y Información,

Evaluación
Cultura. Establecimiento Desempeño Comunicación
& Revisión
de Objetivos. & Reporte.
1. Consejo 6. Analiza el contexto del 10. Identifica Riesgo. 15. Evalúa cambios 18. Apalanca
proporciona negocio. sustanciales. información y
11. Evalúa severidad
supervisión del tecnología.
7. Define apetito del de Riesgo. 16. Revisa riesgo y
riesgo. riesgo. desempeño.
12. Prioriza Riesgos. 19. Comunica
2. Establece 8. Evalúa estrategias 17. Persigue información de
estructura 13. Implementa
alternativas. mejoramiento de Riesgo.
operativa. respuesta al
9. Formula objetivos de riesgo. la gestión de 20. Informa sobre
3. Establece cultura negocio riesgos. riesgo, cultura y
deseada. 14. Desarrolla una
desempeño.
vista de portafolio.
4. Demuestra
compromiso con los
valores
fundamentales.
5. Atrae, desarrolla y
retiene personal
capacitado.
 Simplifica la definición deGestión de
Riesgos Empresariales.
¿Qué es gestión de
¿Que es Riesgo?
riesgos empresariales?
La posibilidad de que los eventos
ocurran y afecten el logro de la La cultura, capacidades y
estrategia y los objetivos de prácticas integradas con el
negocio. establecimiento de la estrategia y
el desempeño, en las que las
organizaciones confían para
gestionar el riesgo, creando,
y preservando valor.

¿Qué tanta confianza tienes de tu

sistema de Gestión de Riesgos?
 Simplifica la definición deGestión
de Riesgos Empresariales.
¿Qué es Riesgo?

La posibilidad de que los eventos ocurran y

afecten el logro de la estrategia y los
objetivos de negocio.

El estado de no
saber como o si los Una medida que considera
Una eventos el impacto de los eventos,
ocurrencia o potenciales pueden así como el tiempo que
manifestarse. lleva recuperarse del
conjunto de evento.
ocurrencias. (Probabilidad)

Evento Incertidumbre Severidad

 Enfatiza la relación entre riesgo yvalor.
El éxito de cualquier estrategia está estrechamente vinculado
con la comprensión de sus riesgos y a la forma en que son
administrados. Es posible mejorar la gestión de dichos riesgos
analizándolos a través de cada estrategia y objetivos planteados.
 Enfatiza la relación entre riesgo yvalor.

Creando y
G preservando valor.
E M
S Misión E
T J
I Por qué existimos
O
O R
N Visión A
Qué queremos ser
D
E
R Valores Corporativos S
I E
E Comportamientos esperado – El FIN no Justifica los medios- M
S P
G E
O Estrategia - Objetivos de Entidad Ñ
S
Nuestras Directrices O

Objetivos de los Procesos

Qué necesito hacer en mi proceso
Renueva el Enfoque en la integración de la gestión de
riesgo empresarial.
La Gestión de Riesgos NO puede ser vista como una actividad separada de la
definición de estrategias y objetivos.

ESTRATEGIA

OBJETIVO 1 ENTIDAD OBJETIVO 2 ENTIDAD

OBJETIVO DEL OBJETIVO DEL OBJETIVO DEL

PROCESO 1 PROCESO 2 PROCESO 3

Riesgo 1 Riesgo 2 Riesgo 3 Riesgo 4

 Examina el Papel de la Cultura

Adverso al Riesgo Neutral al Riesgo Agresivo al Riesgo

• Atención e importancia de la cultura dentro de la gestión de

riesgo, empresarial.
• Influye en todo los aspectos de la gestión de riesgos empresarial.
Ejemplo:

APETITO DE
ACCIÓN A TOMAR CANTIDAD RIESGO % DE UTILIDAD UTILIDAD
RIESGO
AVERSO Ahorro en Cuenta Bancaria $ 1,000.00 BAJO 3% $ 30.00
NEUTRAL Invierte en póliza a plazo fijo $ 1,000.00 MEDIO 10% $ 100.00
AMANTE Invierte en bolsa de valores $ 1,000.00 ALTO 25% $ 250.00
 Eleva la Discusión de la Estrategia

• La posibilidad de que la estrategia y objetivos de negocio no estén alineados

con la misión, visión y valores de la entidad.

• La implicación de la estrategia escogida.

• Riesgos de ejecutar la estrategia.

 Mejora la Alineación entre el desempeño y la
Gestión del Riesgo Empresarial
NO es solo una Lista de Riesgos

Como los riesgos están impactando el

cumplimiento de la estrategia y objetivos
de negocio.
Vincula la gestión de riesgos empresarial en la toma
de decisiones de manera mas explícita.

• La gestión del riesgo impulsa la toma

de decisiones con conciencia de
Supuestos riesgo.

Perfil de
Apetito Al
Riesgo Riesgo
• Optimiza y alinea las decisiones que
Toma de
Decisiones con impactan el desempeño.
conciencia de
Riesgos

Contexto del Cultura

Negocio
• Analiza cómo las decisiones, afectan
el perfil del riesgo.
Estrategia
 Traza la línea entre la gestión del
riesgo y control interno.

El Documento NO reemplaza el
Marco Integrado de Control
Interno.

Distintos pero complementarios.

Ambos usan una estructura de

componentes y principios.

Los elementos comunes a

excepción de los temas
relacionados con el gobierno
en la gestión de riesgo, no se
repiten. Ejemplo: Actividades
de control
 Amplia los Conceptos de Tolerancia
y Apetito al Riesgo.
APETITO VS TOLERANCIA
El apetito es la sensación que sentimossi Hasta donde tolera el cuerpo sin comer o
tenemos hambre, y que da ganas de que tanta comida puede tolerar comer el
comer ono. cuerpo.
 Amplia los Conceptos de Tolerancia
y Apetito al Riesgo.
APETITO VS TOLERANCIA
Cantidad de riesgo que una La cantidad de riesgo que es
entidad esta dispuesta a aceptar aceptable para un determinado
en la búsqueda de su estrategia y nivel de rendimiento.
objetivos comerciales
DESARROLLODETALLER
2
 Enfatiza la relación entre riesgo yvalor.

Creando y
G preservando valor.
E M
S Misión E
T J
I Por qué existimos
O
O R
N Visión A
Qué queremos ser
D
E
R Valores Corporativos S
I E
E Comportamientos esperado – El FIN no Justifica los medios- M
S P
G E
O Estrategia - Objetivos de Entidad Ñ
S
Nuestras Directrices O

Objetivos de los Procesos

Qué necesito hacer en mi proceso
 Mejora la Alineación entre el desempeño y la
Gestión del Riesgo Empresarial
NO es solo una Lista de Riesgos

Como los riesgos están impactando el

cumplimiento de la estrategia y objetivos
de negocio.
 Agenda
A. Evolución del Nuevo ERM2017
B. Nuevas definiciones y conceptos.SOERM 2017.
C. Entendimiento de la estructura del Nuevo
COSO ERM 2017.

D Aplicación de los Componentes y Principios de

COSOERM 2017
Entendimiento de la Estructura del Nuevo COSOERM

Procesos comunes que fluyen a través de la entidad.

Entendimiento de la Estructura del Nuevo COSOERM

Representan aspectos de Apoyo de la Gestión de Riesgos Empresarial

 Entendimiento de la Estructura del
Nuevo COSOERM 2017

Gobierno & Estrategia y Información,

Evaluación
Cultura. Establecimiento Desempeño Comunicación
& Revisión
de Objetivos. & Reporte.
1. Consejo 6. Analiza el contexto 10.Identifica 15.Evalúa cambios 18.Apalanca
proporciona del negocio. Riesgo. sustanciales. información y
supervisión del tecnología.
7. Define apetito del 11.Evalúa 16.Revisa riesgo y
riesgo.
riesgo. severidad de desempeño. 19.Comunica
2. Establece Riesgo.
8. Evalúa estrategias 17.Persigue información de
estructura
alternativas. 12.Prioriza mejoramiento Riesgo.
operativa.
9. Formula objetivos Riesgos. de la gestión de 20.Informa sobre
3. Establece cultura
de negocio 13.Implementa riesgos. riesgo, cultura y
deseada.
respuesta al desempeño.
4. Demuestra
compromiso con riesgo.
los valores 14.Desarrolla una Los
controles necesarios para poner
fundamentales. vista de en práctica los principios deben estar
5. Atrae, desarrolla y portafolio.
presentes y funcionando.
retiene personal
capacitado.
DESARROLLODETALLER
3

15minutos
Entendimiento de la Estructura del Nuevo COSOERM

Definen lo que una entidad se

MISION, VISIÓN esfuerza por ser y como
Y VALORES
CORPORATIVOS quiere hacer negocios.

A través de la definición de la
estrategia, generalmente se
reafirman y evolucionan a
medida que cambian las
expectativas de los
interesados.
 Agenda
A. Evolución del Nuevo ERM2017
B. Nuevas definiciones y conceptos.
C. Entendimiento de la estructura del Nuevo
COSOERM2017.
D. Aplicación de los Componentes y Principios de
COSOERM 2017.
Modelo para el análisis de brechas e implementación de COSOERM
1 2 3
Análisis del nivel de Identificación de iniciativas y
Diagnóstico del estado actual madurez e identificación de construcción de la ruta de
brechas implementación

► Elaboración de cuestionarios ► Establecer las brechas entre ► Establecer actividades para el

buenas prácticas de Gestión de cierre de brechas.
► Entrevistas con, Presidente,
Riesgos y los elementos ► Definir ruta de
Vicepresidente, Directores,
existentes en la entidad. implementación.
Jefes, Coordinadores y personal
requerido.
► Análisis de las brechas

► Revisión de alto
nivel de los identificadas.
elementos de COSOERM)
► Establecer recomendaciones
► Verificación de documentación para cerrar las brechas.
y soportes de implementación.

Herramientas

 Entrevistas y sesiones de trabajo  Metodología de calificación

 Cuestionarios  Prácticas líderes de Gestión de
 Revision de documentos. riesgos
 Modelo para el análisis de brechas e
implementación de COSOERM2017.

Principio 1: El Consejoproporciona
supervisión del Riesgo.
Presente Funcionando
1.1 ¿La Junta Directiva o un comité de Junta es responsable de la Caja Caja
supervisión de riesgos y están definidas las responsabilidades
respectivas de la Junta y la Gerencia? 3
1.2 ¿La Junta Directiva está conformado por individuos con las
habilidades, experiencia y conocimiento empresarial para
proporcionar supervisión de la gestión de riesgos empresariales? 3
1.3 ¿Las Actas de Junta Directiva dejan evidencia de los
cuestionamientos a la gerencia cuando sea necesario sobre las
estrategias, los objetivos comerciales y el desempeño?
3

Evaluación:
1 No Existen actividades diseñadas para cubrir el requerimiento

2 Existen actividades diseñadas pero estas no se encuentran documentadas en las Políticas y Procedimiento.

3 Lasactividades se encuentran diseñadas y documentadas de acuerdo con el requerimiento.

 Aplicación de los Componentes y Principios de ERM

GOBIERNO Y CULTURA

El gobierno y la Cultura juntas forman 1. Consejo proporciona supervisión del riesgo.

una base para todo los demás
componentes de la gestión del riesgo 2. Establece estructura operativa.
empresarial. El gobierno establece el
tono de la entidad, lo que refuerza la 3. Establece cultura deseada.
importancia de la gestión del riesgo
empresarial y establece 4. Demuestra compromiso con los valores
responsabilidades de supervisión para la fundamentales.
misma y la cultura se refleja en la toma
de decisiones. (Consciente o
Inconsciente).
5. Atrae, desarrolla y retiene personal capacitado.
 Aplicación de los Componentes y Principios de ERM

ESTRATEGIA Y ESTABLECIMIENTO DE
OBJETIVOS.

La gestión de riesgos empresariales se integra en el plan 6. Analiza el contexto del negocio.

estratégico de la entidad a través del proceso de
establecimiento de la estrategia y los objetivos de negocio.
Con una comprensión del contexto empresarial, la 7. Define apetito del riesgo.
organización puede obtener información sobre los factores
internos y externos y su efecto sobre el riesgo. Una 8. Evalúa estrategias alternativas.
organización establece su apetito por el riesgo junto con el
establecimiento de la estrategia. Los objetivos de negocio
permiten poner en práctica la estrategia y dar forma a las 9. Formula objetivos de negocio
operaciones y prioridades cotidianas de la entidad.
 6. Analiza el contexto del negocio.

Dinámico Complejo Impredecible

Surgir nuevos
Una entidad El cambio ocurre de
riesgos en
tiene muchas forma rápida y no
cualquier
unidades anticipada (por
momento (por
operativas en todo ejemplo,
ejemplo, un el mundo, cada
nuevo fluctuaciones
una con sus monetarias y fuerzas
competidor causa propios regímenes
que las ventas políticas).
políticos únicos,
de productos políticas
disminuyan o regulatorias y
incluso que el leyes tributarias.
producto se
vuelva obsoleto).
 6. Analiza el contexto del negocio.

Político
Económico

Legal Tecnológico

Entorno
Social
Externo
 Aplicación de los Componentes y Principios de ERM

7. Define apetito al Riesgo.

El apetito es la sensación que sentimos si
tenemos hambre, y que da ganas de comer ono.

Algunas entidades usan términos

Cantidad de riesgo que una entidad esta
dispuesta a aceptar en la búsqueda de su
estrategia y objetivos comerciales.
generales como Bajo Apetito o Gran
Apetito y es suficiente, otras pueden
ver tales declaraciones como
demasiadas vagas para comunicarse e
implementar efectivamente y buscan
medidas cuantitativas.
Aplicación de los Componentes y Principios de ERM

7. Define apetito al Riesgo.

EJEMPLO:

Usando un ejemplo sencillo como la velocidad a la que circula un

Carro, podría decirse que el coche admite una velocidad máxima de
200 km/h, o que su capacidad es de 200 Km/h. Pero su conductor,
teniendo en cuenta su habilidad para conducir, el tipo de vía y el
clima toleraría ir a un máximo de 160 km/h. Aun así considerando
que su objetivo es llegar a su destino lo antes posible pero de forma
segura decide conducir a 110km/h, ya que es la velocidad que le
permite hace el recorrido respetando los limites establecidos, en un
tiempo adecuado y sintiéndose confortable. Este seria por lo tanto,
su nivel de apetito.
 Aplicación de los Componentes y Principios de COSOERM2017

9. Formula Objetivos de Negocio.

Específicos.
Para evitar interpretaciones, y van asociado directamente a los resultados y beneficios
cuantificables.

Medibles.
Deben establecerse indicadores en un horizonte de tiempo para poder determinar con
precisión y objetividad su cumplimiento.

Alcanzables

Deben ser realistas y factibles de lograrlo, con los recursos que setienen.

Relevantes

Deben estar asociados a los objetivos estratégicos y coherentes entre si.

 Aplicación de los Componentes y Principios de ERM

DESEMPEÑO

La organización identifica y evalúa los riesgos que 10. Identifica Riesgo.

pueden afectar la capacidad para lograr su
estrategia y objetivos de negocio. Prioriza los 11. Evalúa severidad de Riesgo.
riesgos de acuerdo con su gravedad y
considerando el apetito de riesgo de la entidad. La 12. Prioriza Riesgos.
organización luego selecciona respuestas al riesgo
y monitorea el desempeño. De esta forma, 13. Implementa respuesta al riesgo.
desarrolla una vista de la cantidad de riesgo que la
entidad ha asumido en la búsqueda de su
14. Desarrolla una vista de
estrategia y objetivos de negocio a nivel de entidad.
portafolio.
Enfoques para identificar riesgos
Tipo de Riesgo Informática Seguimiento Entrevistas Indicadores Análisis de Talleres
Cognitiva de eventos Claves Procesos
Existentes  .  .  .  .  .  .

Nuevos  .  .  .  .  .

Emergentes  .  .  .  .
 Identificación de Riesgos

RIESGO CAUSA
Factores internos y
externos que ayudan a
la materialización del
riesgo
Asociado al cumplimiento
de los objetivos.
 Identificación de Riesgos

RIESGO IMPACTO
Efecto del riesgo sobre
la organización
(ingresos, reputación,
satisfacción de
clientes emisión de la
Asociado al cumplimiento información).
de los objetivos.
Critico
- Interrupción de las operaciones por más de 4 horas.
- Intervención por parte de la Superintendenciade Bancos
por Incumplimientos legales y/o contractuales.
- Impacto que afecte la imagen negativamente en el
mercado relacionada con prácticas inseguras y/o
irregulares.
- Pérdida de información crítica de la Compañía y/o de
terceros que no se pueda recuperar.
 EVALUACIÓN DEL RIESGO INHERENTE O RIESGO BRUTO:
Es la evaluación PRELIMINAR del riesgo, con la cual la Organización quiere conocer el nivel
de exposición al mismo, sin tener en cuenta las medida de mitigación o los controles.
 Aplicación de los Componentes y Principios de ERM.

EVALUACIÓN Y REVISIÓN

Al revisar las capacidades y prácticas de gestión de

15.Evalúa cambios
riesgos empresariales y el desempeño de la entidad sustanciales.
en relación con sus objetivos, una organización
puede considerar qué tan bien las capacidades y
prácticas de gestión de riesgos empresariales han 16.Revisa riesgo y desempeño.
aumentado su valor a lo largo del tiempo y
continuará impulsando el valor a la luz de cambios
17.Persigue mejoramiento de la
sustanciales.
gestión de riesgos.
 Aplicación de los Componentes y Principios de ERM.

INFORMACIÓN, COMUNICACIÓN Y REPORTE

La comunicación es el proceso continuo e iterativo
de obtener información y compartirla en toda la 18.Apalanca información y tecnología.
entidad. La administración utiliza información
relevante de fuentes internas y externas para
apoyar la gestión de riesgos empresariales. La 19. Comunica información de Riesgo.
organización aprovecha los sistemas de
información para capturar, procesar y administrar
datos e información. Al utilizar la información que se
20.Informa sobre riesgo, cultura y
aplica a todos los componentes, la organización desempeño.
informa sobre el riesgo, la cultura y el rendimiento.
GRACIAS POR
SU
ASISTENCIA