Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Documento ERM - FCEA - Facultad de Ciencias Económicas y de

Anuncio 
Nota aclaratoria. Este material ha sido preparado por la Cátedra de Control Interno y
Organización de Sistemas Contables de la Facultad de Ciencias Eonómicas y de
Administración de la Universidad de la República con el exclusivo propósito de poner a
disposición de sus estudiantes una versión traducida del Resumen Ejecutivo del
Enterprise risk management – ERM –
(Dejamos constancia que este material no es la traducción de la última versión del resumen ejecutivo)
Administración del riesgo empresarial
(Enterprise risk management - ERM)
Resumen ejecutivo
Los administradores de algunas compañías y de otras entidades han desarrollado
procesos para identificar y administrar el riesgo a través de la empresa y muchos otros
han empezado a desarrollarlo o están considerando hacerlo. A pesar de que existe
extensa información sobre ERM, incluyendo mucha literatura publicada, no existe una
terminología común y, de existir, existen unos pocos principios ampliamente aceptados
que puedan ser usados por la dirección como una guía para desarrollar una arquitectura
eficaz de ERM.
Reconociendo la necesidad de una orientación definitiva sobre ERM, el Comité de
Organizaciones Auspiciantes de la Comisión Treadway (COSO) dio inicio a un
proyecto para desarrollar una estructura conceptualmente profunda que proveyera
principios integrados, terminología común y orientación para la implantación práctica
que permitan dar soporte a los programas de las entidades tendientes a desarrollar o
hacer comparación (benchmark) de sus procesos de ERM. Esta estructura resultante
tendrá como objetivo asociado servir de base común para gerentes, directores,
reguladores, académicos, entre otros, para comprender mejor la ERM, sus beneficios y
limitaciones y para comunicarse eficazmente con relación a ERM.
Este resumen ejecutivo establece los elementos clave de la estructura de la ERM,
incluyendo definición, componentes y principios subyacentes de ERM así como sus
beneficios y limitaciones y los roles y responsabilidades de las diversas partes. Este
resumen también pone de relieve la importancia de la ERM y su relacionamiento con
Control Interno - Estructura Integrada de COSO (conocido como Informe COSO).
Aquellos que deseen conocer con mayor profundidad deben referirse al documento
completo.
Importancia de ERM
La premisa subyacente de ERM es que toda entidad, tenga o no fines de lucro o sea una
entidad gubernamental, existe para proveer valor a sus “grupos de interés” (*)
(stakeholders). Toda entidad enfrenta la incertidumbre y el desafío para la gerencia es
determinar cuanta incertidumbre la entidad está dispuesta a aceptar en su esfuerzo por
aumentar el valor para sus “grupos de interés”. La incertidumbre presenta tanto riesgos
como oportunidades, y puede generar tanto deterioro como crecimiento del valor. ERM
provee un marco para que la gerencia pueda manejar eficazmente la incertidumbre y los
riesgos y oportunidades asociados y así aumentar su capacidad de generar valor.
(*) “grupos de interés” son todos aquellos individuos, grupos u organizaciones que
recibirán el impacto o estarán interesados en el plan estrategico de la organización.
Deben ser identificados y sus intereses deben ser determinados (es decir, cómo sus
recursos, situación, libertad de acción, relacionamientos y actividades pueden - desde
su punto de vista - ser afectados por los cambios en la orientación de la organización).
Generalmente incluyen empleados (incluyendo gerentes), clientes y consumidores,
proveedores, gobernos, sindicatos, acreedores, propietarios, accionistas y miembros de
la comunidad que creen tener un interés (stake) en la organización, independientemente
de que esa creencia sea exacta o razonable (Conceto extraído de “Applied Strategic
Planning de Leonard Goodstein, Timothy Nolan y J. William Pfeiffer)
Incertidumbre
Las empresas actúan en ámbitos donde factores tales como la globalización, la
tecnología, las normas, las reestructuras, los mercados cambiantes y la competencia
crean incertidumbre. La incertidumbre proviene de la dificultad de determinar con
precisión la probabilidad de ocurrencia de acontecimientos eventuales y sus
consecuencias asociadas.
Valor
El valor es creado, preservado o deteriorado por las decisiones de la gerencia que van
desde la adopción de la estrategia hasta la operación de la empresa día a día. El
reconocimiento del riesgo y de la oportunidad es inherente a las decisiones y requiere
que la gerencia considere información relacionada con el entorno interno y el externo,
despliegue recursos de alto valor y adapte las actividades de la empresa a las
circunstancias cambiantes.
Las entidades reconocen el valor cuando sus “grupos de interés” obtienen beneficios
reconocibles que ellos a su vez valoran. Para las empresas, los “grupos de interés”
reconocen el valor cuando ellos reconocen creación de valor a través del incremento del
valor de las acciones. Para entidades gubernamentales, se ha realizado valor cuando los
ciudadanos reconocen haber recibido servicios valiosos a un costo aceptable. Los
“grupos de interés”de entidades sin fines de lucro reconocen el valor cuando reconocen
haber recibido beneficios sociales valiosos. ERM facilita la capacidad de los
administradores tanto para crear valor sustentable como para comunicar el valor creado
a los “grupos de interés”.
Beneficios de ERM
Ninguna entidad opera en un ámbito libre de riesgos y ERM no crea tal ámbito. Más
bien permite a los administradores operar más eficazmente en un ámbito pleno de
riesgos.
ERM aumenta la capacidad para:
Alinear el nivel de riesgo aceptado (risk appetite) con la estrategia – El nivel de
riesgo aceptado es la cantidad de riesgo, en un sentido amplio, que una compañía u otra
entidad está dispuesta a aceptar en procura de lograr sus metas. La gerencia considera el
nivel de riesgo aceptado en primer término al evaluar las alternativas estratégicas, luego
al establecer los objetivos alineados con la estrategia elegida y al desarrollar
mecanismos para administrar los riesgos relacionados.
Unir crecimiento, riesgo y rendimiento – Las entidades aceptan el riesgo como parte
de la creación y preservación del valor y esperan un rendimiento acorde con el riesgo.
ERM aumenta la capacidad para identificar y apreciar riesgos y para establecer niveles
aceptables de riesgo compatibles con los objetivos de crecimiento y rendimiento.
Mejorar las decisiones de respuesta al riesgo – ERM provee rigurosidad para
identificar y elegir entre las posibles alternativas de respuestas al riesgo– eludir, reducir,
compartir y aceptar. ERM provee métodos y técnicas para tomar estas decisiones.
Minimizar sorpresas y pérdidas operativas – En la medida que las entidades mejoran
su capacidad para identificar acontecimientos eventuales, apreciar riesgos y establecer
respuestas, reducen la ocurrencia de sorpresas y sus correspondientes costos o pérdidas.
Identificar y administrar riesgos a nivel de la entidad – Cada entidad enfrenta una
gran cantidad de riesgos que afectan las diferentes partes de la organización. La
gerencia necesita no solamente manejar los riesgos individuales sino también
comprender los impactos interrelacionados.
Proveer respuestas integradas a riesgos múltiples – Los procesos de negocios
presentan muchos riesgos que les son inherentes. ERM provee soluciones integradas
para la administración de los riesgos.
Aprovechar oportunidades – La gerencia no sólo considera exclusivamente los
riesgos sino también los acontecimientos eventuales y al considerar un amplio espectro
de acontecimientos, puede entender cómo ciertos acontecimientos representan
oportunidades.
Racionalizar el uso de recursos – Cuanto más robusta sea la información con respecto
a los riesgos totales de la entidad, más eficazmente podrá la gerencia apreciar las
necesidades generales de capital y mejorar su distribución.
ERM no es un fin en sí mismo sino más bien un medio importante. No puede y por ello
no opera en forma aislada en una entidad, siendo más bien un facilitador del proceso de
gestión. ERM está asociado al gobierno empresarial (corporate governance) en la
medida que provee información a la dirección superior con respecto a los riesgos más
significativos y a la forma como los mismos están siendo administrados. También está
asociada a la administración del desempeño al proveer medidas ajustadas al riesgo y al
control interno, el que es parte integrante de la ERM.
ERM ayuda a una entidad a lograr sus objetivos de desempeño y rentabilidad y a
prevenir la pérdida de recursos. También ayuda a asegurar la eficacia del proceso de
elaboración de información. Finalmente, ayuda a asegurar que la entidad cumpla con
leyes y regulaciones, evitando que su reputación se vea perjudicada y otras
consecuencias. En resumen, ERM ayuda a una entidad a alcanzar lo que busca y a evitar
errores y sorpresas durante el camino.
Definición de ERM
ERM es un conjunto de acciones (proceso) llevadas a cabo por el directorio, la gerencia
y el resto del personal de una entidad, aplicado en la definición de la estrategia y que
abarca a toda la empresa, destinado a identificar acontecimientos eventuales que puedan
afectar a la entidad y a procurar que los riesgos estén dentro del nivel de riesgo aceptado
para proveer una seguridad razonable con respecto al logro de los objetivos de la
entidad.
Esta definición refleja ciertos conceptos fundamentales.
ERM es un proceso, un conjunto de acciones, es un medio para lograr un fin y no un fin
en sí mismo
ERM es realizada por la gente. No son meramente políticas, encuestas y formularios
sino que es un proceso que involucra a la gente en todos los niveles de una organización
ERM es aplicada en la definición de la estrategia
ERM es aplicada a lo largo y ancho de la empresa, en todos los niveles y en todas las
unidades e incluye tomar una visión conjunta de los riesgos
ERM está destinada a identificar acontecimientos que afecten eventualmente a la
entidad y a administrar el riesgo dentro del nivel de riesgo aceptado
ERM provee seguridad razonable a la gerencia y al directorio de una entidad
ERM está orientada al logro de objetivos en una o más categorías separadas pero
superpuestas de objetivos
Esta definición es intencionalmente amplia por varias razones. Abarca conceptos
fundamentales con respecto a cómo las compañías y otras organizaciones administran el
riesgo, proveyendo una base para su aplicación a diferentes tipos de organizaciones,
ramos de actividad y sectores. Se centra directamente en el logro de los objetivos de la
entidad. Y la definición provee una base para definir la eficacia de la ERM. En los
próximos párrafos se comentan los conceptos fundamentales enunciados anteriormente.
Un proceso
ERM no es un acontecimiento o circunstancia sino una serie de acciones que penetran
las actividades de una entidad. Estas acciones son invasivas e inherentes a la forma
como se administran los negocios.
ERM difiere de la perspectiva de algunos observadores que la ven como algo agregado
a las actividades de la entidad, o como una carga necesaria. Esto no quiere decir que
para ser eficaz, ERM no requiera un esfuerzo adicional. Por ejemplo, la apreciación de
riesgos puede requerir esfuerzos adicionales para desarrollar los modelos requeridos y
hacer los análisis y cálculos necesarios. Sin embargo, estos y otros mecanismos de ERM
están entrelazados con las actividades operativas de la entidad y existen por razones
empresariales fundamentales. ERM adquiere la mayor eficacia cuando estos
mecanismos son construidos dentro de la infraestructura de la entidad y forman parte de
la esencia de la empresa. De esta forma, una entidad puede directamente influir en su
capacidad para implantar su estrategia y lograr su visión o misión.
La ERM creada in situ (building in ERM) presenta también importantes implicancias en
la contención de costos, especialmente en los mercados altamente competitivos en los
que muchas empresas operan. El agregar nuevos procedimientos a los ya existentes
aumenta los costos. Centrándose en las operaciones existentes y su contribución a una
eficaz ERM e integrando la administración de riesgos en las actividades operativas
básicas, una empresa puede evitar procedimientos y costos innecesarios. Además, la
práctica de construir ERM en el tejido de operaciones ayuda a identificar nuevas
oportunidades a ser aprovechadas para el crecimiento de los negocios.
Realizado por la gente
La ERM es realizada por el directorio, la gerencia y el resto del personal. Es efectuada
por la gente de la organización, por lo que ellos hacen y dicen.
La gente establece la misión/visión de la entidad, la estrategia y los objetivos de la
entidad y pone en funcionamiento los mecanismos de la ERM.
De la misma forma, ERM influye en las acciones de la gente. ERM reconoce que la
gente no siempre comprende, se comunica o actúa de manera semejante. Cada individuo
contribuye con sus propios conocimientos y habilidades y tiene diferentes necesidades y
prioridades.
Estas realidades afectan y son afectadas por ERM. Cada persona tiene un punto de
referencia único que influye en cómo se identifica, aprecia y responde al riesgo. ERM
provee los mecanismos necesarios para ayudar a la gente a comprender el riesgo en el
contexto de los objetivos de la entidad. La gente debe conocer sus responsabilidades y
límites de autoridad. Consecuentemente, es necesario que exista una clara y estrecha
conexión entre las obligaciones de la gente y la forma como son cumplidas así como
con la estrategia y los objetivos de la entidad.
Al referirnos a la gente de una organización nos referimos al directorio, la gerencia y el
resto del personal. Aunque los directores proveen principalmente supervisión, también
proveen orientación y aprueban la estrategia y ciertas transacciones y políticas. Como
tales, los directorios son un elemento importante de ERM.
Aplicado en la elección de la estrategia
Una entidad establece su misión o visión y los objetivos estratégicos, que son las metas
de alto nivel alineadas con y que respaldan su visión o misión. Una entidad establece
una estrategia para lograr sus objetivos estratégicos. También fija los objetivos
relacionados que desea lograr, fluyendo desde la estrategia en dirección a las unidades
de negocios, las divisiones y los procesos. Al fijar la estrategia, la gerencia considera los
riesgos relacionados con las estrategias alternativas.
Que abarca toda la empresa
Para aplicar exitosamente ERM, una entidad debe considerar la totalidad del conjunto
de sus actividades. ERM considera las actividades en todos los niveles de la
organización, desde actividades a nivel de empresa tales como la planeación estratégica
y la asignación de recursos, a actividades de las unidades de negocios tales como
mercadeo y recursos humanos, a procesos de negocios tales como producción y revisión
del crédito a nuevos clientes. ERM también puede ser aplicada a proyectos especiales y
nuevas iniciativas que podrían no tener todavía un lugar asignado en la jerarquía o en el
diseño organizacional de la entidad.
ERM requiere que una entidad adopte una visión conjunta del riesgo (portfolio view of
risk). Esto podría significar que cada gerente responsable por una unidad operativa, una
función, un proceso u otra actividad realizara una apreciación del riesgo para la unidad.
La apreciación puede ser cuantitativa o cualitativa. Con una visión compuesta a cada
nivel de la organización , la dirección superior está en condiciones de determinar si el
perfil de riesgo global de la entidad está en consonancia con el nivel de riesgo aceptado.
La gerencia considera riesgos interrelacionados desde una perspectiva conjunta a nivel
de la entidad. Es necesario identificar los riesgos interrelacionados y actuar sobre ellos a
efectos de considerar el riesgo en su totalidad dentro del nivel de riesgo aceptado. El
riesgo correspondiente a las unidades operativas de la entidad puede estar dentro de las
tolerancias de riesgo de la unidad pero tomado en su conjunto puede exceder el nivel de
riesgo aceptado para la entidad en su conjunto. El nivel global de riesgo aceptado se
refleja en una entidad a través de las tolerancias al riesgo establecidas para objetivos
específicos.
Nivel de riesgo aceptado
Es la cantidad de riesgo que una entidad está dispuesta a aceptar en la búsqueda de
valor. Las entidades a menudo consideran el nivel de riesgo aceptado en forma
cualitativa, con categorías tales como alta, moderada o baja o pueden aplicar un enfoque
cuantitativo reflejando y buscando un equilibrio entre las metas de crecimiento,
rendimiento y riesgo.
El nivel de riesgo aceptado está directamente relacionado con la estrategia de una
entidad. Es considerado al momento de establecer la estrategia, donde el rendimiento
deseado de una estrategia debe estar alineado con el nivel de riesgo aceptado por la
entidad. Diferentes estrategias expondrán a la entidad a diferentes riesgos. El aplicar
ERM a la definición de la estrategia ayuda a la gerencia a elegir una estrategia
compatible con el nivel de riesgo aceptado de la entidad.
El nivel de riesgo aceptado por una entidad orienta la asignación de recursos. La
gerencia asigna recursos entre las unidades de negocios tomando en cuenta el nivel de
riesgo aceptado por la entidad y la estrategia de las unidades de negocios individuales
para generar el rendimiento deseado de los recursos asignados. La gerencia considera su
nivel de riesgo aceptado según el mismo sea compatible con su organización, su gente y
sus procesos y destina la infraestructura necesaria para responder y monitorear
eficazmente los riesgos.
El nivel aceptable de variación con respecto al logro de objetivos determina las
tolerancias al riesgo. Al definir tolerancias al riesgo específicas, la gerencia considera la
importancia relativa de los objetivos relacionados y pone en línea las tolerancias al
riesgo con el nivel de riesgo aceptado. El operar dentro de las tolerancias al riesgo
permite a la gerencia una mayor seguridad de que la entidad permanecerá dentro de su
nivel de riesgo aceptado y, a la vez, provee mayor grado de comodidad con respecto a
que la entidad logrará sus objetivos.
Provee razonable seguridad
Una ERM bien diseñada y ejecutada puede proveer a la gerencia y al directorio una
seguridad razonable con respecto al logro de los objetivos de una entidad. Como
producto de una ERM eficaz, en cada una de las categorías de objetivos de la entidad, el
directorio y la gerencia lograrán seguridad razonable de que:
• Comprenden la medida en que los objetivos estratégicos de la entidad están
siendo logrados,
• Comprenden la medida en que los objetivos operativos de la entidad están
siendo logrados,
• La elaboración de información por parte de la entidad es confiable, y
• Se está cumpliendo con las leyes y regulaciones aplicables.
El concepto de seguridad razonable refleja la noción de que la incertidumbre y el riesgo
se refieren al futuro, el cual nadie puede predecir con certeza. Existen además
limitaciones que surgen de que realmente: (a) el juicio humano en la toma de decisiones
puede fallar; (b) las decisiones sobre respuestas a los riesgos y establecimiento de
controles deben tener en cuenta los costos y beneficios; (c) pueden ocurrir fracasos
debido a fallas humanas tales como simples errores o equivocaciones; (d) los controles
pueden ser burlados a través de colusión de dos o más personas y (e) la gerencia tiene la
posibilidad de ignorar las decisiones de ERM. Estas limitaciones impiden al directorio y
a la gerencia tener una absoluta seguridad de que los objetivos serán logrados.
Logro de objetivos
Se espera que una ERM eficaz provea seguridad razonable de lograr los objetivos
relacionados con la confiabilidad de la elaboración de información y con el
cumplimiento de las leyes y las regulaciones. El logro de estas categorías de objetivos
está bajo el control de la entidad y depende de cuán bien se desarrollan las actividades
relacionadas de la entidad.
Sin embargo, el logro de los objetivos estratégicos y operativos no siempre está bajo el
control de la entidad. Para estos objetivos, ERM puede solamente proveer seguridad
razonable de que la gerencia y el directorio en su rol de supervisión, serán puestos en
conocimiento, oportunamente, de la medida en que la entidad está avanzando hacia el
logro de los objetivos.
Componentes de la ERM
La ERM comprende ocho componentes interrelacionados. Estos derivan de la forma
como la gerencia conduce los negocios y están integrados con el proceso gerencial. Los
componentes son:
Àmbito interno
El ámbito interno de la entidad, al proveer disciplina y estructura, es el fundamento para
todos los demás componentes de la ERM. El ámbito interno influye en la forma como
se establecen la estrategia y los objetivos, como se estructuran las actividades de
negocios y como se identifican, aprecian y tratan los riesgos. También influye en el
diseño y funcionamiento de las actividades de control, los sistemas de información y
comunicación y en las actividades de monitoreo. El ámbito interno comprende muchos
elementos, incluyendo valores éticos de la entidad, competencia y desarrollo del
personal, estilo operativo de la gerencia y en la forma como ésta asigna responsabilidad
y autoridad. El directorio es una parte crítica del ámbito interno e influye
significativamente en los otros elementos del ámbito interno. Como parte del ámbito
interno, la gerencia establece una filosofía gerencial del riesgo, establece el nivel de
riesgo aceptado, desarrolla una cultura de riesgo e integra ERM con iniciativas
relacionadas.
Una filosofía de ERM que es comprendida por todo el personal acrece la habilidad de
los empleados de reconocer y administrar eficazmente el riesgo. La filosofía – las
creencias de la entidad con respecto al riesgo y cómo la misma escoge conducir sus
actividades y tratar el riesgo – refleja el valor que la entidad procura de la ERM e
influye en la forma como los elementos de la ERM serán aplicados. La gerencia
comunica su filosofía de ERM a los empleados a través de las declaraciones de políticas
y otras comunicaciones. En gran medida, la gerencia refuerza la filosofía no solamente
con palabras sino también con acciones cotidianas.
El nivel de riesgo aceptado, establecido por la gerencia y revisado por el directorio, es
un punto de referencia en la definición de la estrategia. Generalmente alguna de entre
una cantidad de estrategias diferentes puede estar destinada a lograr las metas deseadas
en cuanto a crecimiento y rendimiento, teniendo cada una diferentes riesgos asociados.
La aplicación de ERM en la definición de la estrategia ayuda a los administradores a
seleccionar una estrategia compatible con el nivel de riesgo aceptado. La gerencia
procura alinear la organización, la gente, los procesos y la infraestructura para facilitar
la implantación de una estrategia exitosa y permitir a la entidad permanecer dentro de su
nivel de riesgo aceptado.
La cultura de riesgo es el conjunto de actitudes, valores y prácticas compartidos que
delinean la manera como una entidad considera el riesgo en sus actividades cotidianas.
Para muchas compañías, la cultura de riesgo fluye de la filosofía de riesgo y del nivel de
riesgo aceptado de la entidad. Para aquellas compañías que no definen explícitamente su
filosofía de riesgo, la cultura de riesgo puede construirse al azar, dando lugar a culturas
de riesgo significativamente diferentes dentro de una empresa o aún dentro de una
unidad operativa, función o departamento en particular.
Fijación de objetivos
En el contexto de la misión o visión establecidas, la gerencia establece los objetivos
estratégicos, selecciona la estrategia y establece los objetivos relacionados fluyendo a
través de la empresa y alineados con y ligados a la estrategia. Los objetivos deben
existir antes de que la gerencia pueda identificar acontecimientos que eventualmente
puedan afectar el logro de los mismos. ERM asegura que los administradores tengan
instalado un proceso para definir objetivos y alinearlos con la misión y la visión de la
entidad y para que sean compatibles con el nivel de riesgo aceptado.
Los objetivos de la entidad pueden ser vistos en el contexto de cuatro categorías:
• Estratégicos – relacionados con las metas de alto nivel, alineados con y siendo
soporte de la misión/visión de la entidad.
• Referidos a las operaciones – relacionados con la eficacia y eficiencia en las
operaciones de la entidad incluyendo metas de desempeño y rentabilidad. Ellos
varían en función de las elecciones de la gerencia en relación con la estructura y
desempeño.
• Referidos a la elaboración de información – relacionados con la eficacia del
proceso de elaboración de información. Incluyen elaboracion de información
interna y externa y pueden involucrar información financiera o no financiera.
•
Referidos al cumplimiento – relacionados con el cumplimiento de la entidad con
las leyes y regulaciones que le sean aplicables.
Esta categorización de los objetivos de la entidad le permite a la gerencia y al directorio
centrarse en distintos aspectos de ERM. Estas categorías diferentes pero superpuestas –
un objetivo particular puede estar comprendido en más de una categoría – abordan
diferentes necesidades de la entidad y pueden estar bajo la responsabilidad directa de
distintos ejecutivos. Esta categorización también permite distinguir qué es posible
esperar para cada una de las categorías de objetivos.
Algunas entidades usan otra categoría de objetivos, “salvaguardia de recursos”, a veces
referida como “salvaguardia de activos”. Visto en forma amplia, éstos tienen que ver
con la prevención de pérdida de los activos o recursos de una entidad, ya sea por robo,
desperdicio, ineficiencia o simplemente por malas decisiones de negocios – tales como
vender productos a un precio demasiado bajo, fracaso en la retención de empleados
clave o prevenir infracciones relacionadas con patentes o incurrir en obligaciones
inesperadas. Esta extendida categoría de salvaguardia de activos puede ser reducida a
efectos de delimitar responsabilidades, limitando el concepto de salvaguardia a la
prevención o detección oportuna de adquisiciones, usos o disposiciones no autorizados
de activos.
Identificación de acontecimientos
Los administradores reconocen que existen incertidumbres – que no se puede conocer
con certeza si un acontecimiento ocurrirá y cuándo y cuáles serán sus resultados en caso
de ocurrir. Como parte de la identificación de acontecimientos, los administradores
consideran factores internos y externos que afectan la ocurrencia de un acontecimiento.
Los factores externos incluyen factores económicos, empresariales, ambientales,
políticos, sociales y tecnológicos. Los factores internos reflejan las opciones tomadas
por la gerencia e incluyen asuntos tales como infraestructura, personal, procesos y
tecnología.
La metodología de identificación de acontecimientos de una entidad puede comprender
una combinación de técnicas y herramientas de respaldo. Las técnicas de identificación
de acontecimientos están pendientes tanto del pasado como del futuro. Las técnicas que
se centran en acontecimientos y tendencias pasados consideran asuntos tales como
historias de cesación de pagos, cambios en los precios de los productos comercializables
(commodities) y pérdidas de tiempo provocadas por accidentes. Las técnicas que se
centran en futuros posibles escenarios consideran asuntos tales como cambios
demográficos, nuevos mercados y acciones de los competidores.
Puede ser útil agrupar los eventuales acontecimientos en categorías. Agrupando los
acontecimientos horizontalmente a través de una entidad y verticalmente entre unidades
operativas, la gerencia puede comprender las interrelaciones entre los acontecimientos,
obteniendo mayor y mejor información como base para la apreciación de riesgos.
Los acontecimientos pueden tener eventualmente un impacto positivo, uno negativo o
ambos. Los acontecimientos que tienen un impacto eventualmente negativo representan
riesgos que requieren apreciación y respuesta de la gerencia. En función de ello,
riesgo es definido como la posibilidad de que ocurra un acontecimiento y que afecte
adversamente el logro de objetivos.
Los acontecimientos con un impacto eventualmente positivo representan oportunidades
o reducción del impacto negativo de riesgos. Los acontecimientos que representan
oportunidades son canalizados hacia los procesos gerencialesde definición de la
estrategia o de los objetivos, a efectos de que puedan formularse acciones para
aprovechar las oportunidades. Los acontecimientos que eventualmente reduzcan el
impacto negativo de los riesgos son considerados en la apreciación de y respuesta a los
riesgos por parte de la gerencia.
Apreciación de riesgos
La apreciación de riesgos permite a una entidad considerar cómo los acontecimientos
eventuales podrían afectar el logro de los objetivos. La gerencia aprecia los
acontecimientos desde dos perspectivas: probabilidad e impacto.
La probabilidad representa la posibilidad de que un acontecimiento dado ocurra,
mientras que el impacto representa su efecto en caso de que ocurriera. Las estimaciones
de probabilidad e impacto de riesgo a menudo son determinadas usando datos sobre
acontecimientos pasados observables, los que pueden proveer una base más objetiva que
las estimaciones exclusivamente subjetivas. Los datos generados internamente basados
en la propia experiencia de una entidad pueden reflejar menos prejuicios personales
subjetivos y proveer mejores resultados que datos de procedencia externa. Sin embargo,
aún cuando los datos generados internamente son un insumo importante, los datos
externos pueden ser útiles como un punto de control o para fortalecer el análisis. Los
usuarios deben ser cautelosos cuando utilizan acontecimientos pasados para hacer
predicciones sobre el futuro ya que los factores que influyen en los acontecimientos
cambian con el transcurso del tiempo.
La metodología de apreciación del riesgo de una entidad normalmente comprende una
combinación de técnicas cuantitativas y cualitativas. La gerencia a menudo utiliza
técnicas de apreciación cualitativa cuando los riesgos no se prestan a la cuantificación o
cuando los datos confiables y en cantidad suficiente requeridos para la apreciación
cuantitativa no están en la práctica disponibles o cuando el proceso de obtención y
análisis de datos no es costo-beneficioso. Las técnicas cuantitativas normalmente tienen
más precisión y son utilizadas en actividades más complejas y sofisticadas para
complementar las técnicas cualitativas. No es necesario que una entidad utilice técnicas
de apreciación comunes en todas las unidades de negocios. Por el contrario, la elección
de técnicas debe reflejar la necesidad de precisión y la cultura de la unidad de negocios.
En cualquier caso, los métodos utilizados por las unidades de negocios individuales
deben facilitar la apreciación global de los riesgos de la entidad.
La gerencia a menudo utiliza medidas de desempeño para determinar el grado en que
los objetivos están siendo alcanzados. Puede ser útil utilizar la misma unidad de medida
al considerar el impacto eventual de un riesgo en el logro de un objetivo específico.
Cuando existen cadenas de acontecimientos que se combinan e interactúan dando lugar
a probabilidades e impactos significativamente distintos, la gerencia puede apreciar
cómo se relacionan los acontecimientos. Mientras que el impacto de un acontecimiento
aislado podría ser leve, una secuencia de acontecimientos podría tener un impacto más
significativo. En caso que los acontecimientos eventuales no estén directamente
relacionados, la gerencia los aprecia individualmente; en caso que la ocurrencia de
riesgos sea probable en múltiples unidades de negocios, la gerencia puede apreciar y
agrupar los acontecimientos identificados en categorías comunes.
Existe normalmente un rango de posibles resultados asociados a un acontecimiento
eventual y la gerencia los considera como una base para desarrollar una respuesta al
riesgo. A través de la apreciación del riesgo, la gerencia considera las consecuencias
positivas y negativas de los acontecimientos eventuales, individualmente o por
categoría, a través de la entidad.
En virtud de que los riesgos son apreciados en el contexto de la estrategia y de los
objetivos de una entidad, la gerencia a menudo tiende a centrarse en riesgos con
horizontes temporales de corta a mediana duración. Sin embargo, algunos elementos de
la orientación y de los objetivos estratégicos se extienden hasta el largo plazo. Como
consecuencia, la gerencia necesita tener conocimiento de marcos temporales más largos
y no ignorar riesgos que podrían estar más lejanos en el tiempo.
La apreciación de riesgos es aplicada en primera instancia al riesgo inherente – el riesgo
para la entidad en ausencia de cualesquiera acciones que la gerencia podría tomar para
modificar la probabilidad del riesgo o su impacto. Una vez que se han desarrollado las
respuestas al riesgo, la gerencia utiliza técnicas de apreciación de riesgo para determinar
el riesgo residual – el riesgo remanente luego de la acción de la gerencia para modificar
la probabilidad o impacto del riesgo.
Respuesta al riesgo
La gerencia identifica opciones de respuesta al riesgo y considera su efecto sobre la
probabilidad y el impacto del acontecimiento, con relación a las tolerancias al riesgo y a
la relación costo-beneficio y diseña e implanta opciones de respuesta. La consideración
de respuestas al riesgo y la selección e implantación de una respuesta al riesgo integran
la ERM. Una ERM eficaz requiere que la gerencia seleccione una respuesta de la que
pueda esperarse que coloque a la probabilidad del riesgo y a su impacto dentro de la
tolerancia al riesgo de la entidad.
Las respuestas al riesgo corresponden a las categorías de evitar, reducir, compartir y
aceptar el riesgo. Las respuestas “evitar” actúan para abandonar las actividades que
generan riesgos. Las respuestas “reducir” reducen la probabilidad del riesgo, el impacto
del mismo o ambos. Las respuestas “compartir” reducen la probabilidad o el impacto
del riesgo transfiriendo o compartiendo de otro modo una porción del riesgo. Las
respuestas “aceptar” no actúan de forma alguna para modificar la probabilidad o el
impacto del riesgo. Como parte de la ERM, una entidad considera las eventuales
respuestas para cada riesgo significativo a partir de un rango de categorías de
respuestas. Esto le otorga suficiente profundidad a la selección de respuestas y también
desafía el “status quo”.
Luego de haber seleccionado una respuesta al riesgo, la gerencia vuelve a medir el
riesgo sobre una base residual. El riesgo es considerado desde una perspectiva conjunta.
La gerencia puede adoptar un enfoque en el cual el gerente responsable de cada
departamento, función o unidad operativa desarrolle una apreciación compuesta de
riesgos y respuestas al riesgo para esa unidad. Esta visión refleja el perfil de riesgo de la
unidad con relación a sus objetivos y a sus tolerancias al riesgo. Con una visión del
riesgo para unidades individuales, se designa al gerente con mayor experiencia en la
empresa para que adopte una visión conjunta, para determinar si el perfil de riesgo de la
entidad está en consonancia con su nivel global de riesto aceptado en relación con sus
objetivos.
La gerencia debe reconocer que siempre existe algún nivel de riesgo residual, no sólo
porque los recursos son limitados sino también por la incertidumbre sobre el futuro y las
limitaciones inherentes a todas las actividades.
Actividades de control
Las actividades de control son las políticas y procedimientos que ayudan a asegurar que
las respuestas al riesgo sean ejecutadas adecuadamente. Las actividades de control
tienen lugar en toda la organización, a todos los niveles y en todas las funciones. Las
actividades de control son parte del proceso a través del cual una empresa procura lograr
sus objetivos de negocios. Generalmente involucran dos elementos: una política
estableciendo qué debe hacerse y los procedimientos para ejecutar la política.
La confianza generalizada en los sistemas informáticos hace necesarios los controles
sobre los sistemas significativos. Se pueden utilizar dos grandes grupos de actividades
de control sobre los sistemas informáticos. El primero se refiere a controles generales,
los que se aplican a muchos si no a todos los sistemas de aplicación y ayudan a asegurar
su continua y adecuada operación. El segundo se refiere a los controles sobre
aplicaciones, los que incluyen pasos computarizados dentro de los programas
informáticos de la aplicación para controlar la tecnología de la misma. Combinados con
otros controles procesados en forma manual, en caso de ser necesarios, estos controles
aseguran la integridad, exactitud y validez de la información.
Los controles generales incluyen controles sobre administración de la infraestrucutra de
la tecnología de la información, administración de la seguridad y adquisición, desarrollo
y mantenimiento de aplicaciones informáticas. Estos controles pueden aplicarse a todos
los sistemas – desde ambientes informáticos “mainframe” a redes y “desktop”. Los
controles generales incluyen controles sobre la administración de la tecnología y los
servicios de información, abordando el proceso de su supervisión, contingencia, las
actividades de monitoreo y de elaboración de información sobre tecnología de la
información e iniciativas de mejoramiento de los negocios.
Los controles a nivel de las aplicaciones están destinados a asegurar integridad,
exactitud, autorización y validez de la captura de datos,del procesamiento de
transacciones y de la entrega de información.
Los controles a nivel de las aplicaciones incluyen, administración de roles para la
segregación de funciones de ingreso y autoriación, edición de los datos de ingreso,
validaciones a nivel de las interfaces, registración en log de las acciones realizadas en
las aplicaciones, totales de control de los procesos, controles a posteriori sobre la
integridad de las registraciones en bases de datos y controles sobre la generación y
distribución de reportes.
Debido a que cada entidad posee su propio conjunto de objetivos y enfoques de
implantación, existirán diferencias en objetivos, estructura y actividades de control
relacionadas. Aunque dos entidades tuvieran objetivos y estructuras idénticos, sus
actividades de control probablemente serían diferentes. Cada entidad es gestionada por
personas diferentes que en el momento de efectuar control interno, utilizan sus juicios
individuales. Además, los controles reflejan el entorno y el ramo de actividad en los
cuales las entidades operan así como la complejidad de su organización, su historia y su
cultura.
Información y comunicación
La información apropiada – de procedencia externa e interna – debe ser identificada,
capturada y comunicada de un modo y en un marco temporal que le permita al personal
cumplir con sus cometidos. La comunicación eficaz también se realiza en un amplio
sentido, fluyendo hacia abajo, hacia arriba y hacia los costados en la entidad. También
existe comunicación eficaz e intercambio de información importante con terceros, tales
como consumidores, proveedores, reguladores y “grupos de interés”.
Se necesita información en todos los niveles de una organización para identificar,
apreciar y responder a los riesgos y para administrar la entidad y lograr sus objetivos. Se
utiliza una variedad de información, importante para una o más categorías de objetivos.
La información proviene de varias fuentes – externa e interna y en forma cuantitativa y
cualitativa – y permite respuestas de ERM a condiciones cambiantes en tiempo real. El
desafío para la gerencia consiste en procesar y refinar grandes volúmenes de datos en
información utilizable. Se cumple este desafío mediante el establecimiento de
infraestructuras de sistemas de información para que determinen la fuente, capturen,
procesen, analicen y comuniquen la información relevante. Estos sistemas de
información – generalmente computarizados pero que también involucran procesos
manuales e interfaces – a menudo son vistos en el contexto del procesamiento de datos
generados internamente y relacionados con las transacciones.
Los sistemas de información por mucho tiempo han sido diseñados y utilizados para
respaldar la estrategia de la empresa. Este rol se vuelve crítico cuando las necesidades
de la empresa cambian y la tecnología crea nuevas oportunidades de ventajas
estratégicas.
Para respaldar una ERM eficaz, una entidad captura y utiliza datos históricos y actuales.
Los datos históricos le permiten a la entidad comparar el desempeño real con metas,
planes y expectativas. Revela cómo se desempeñó la entidad bajo condiciones variantes,
permitiendo a la gerencia identificar correlaciones y tendencias y proyectar el
desempeño futuro. Los datos históricos también pueden proveer advertencias oportunas
sobre acontecimientos eventuales que ameriten la atención de la gerencia.
Los datos actuales le permiten a una entidad apreciar sus riesgos en un momento
específico y permanecer dentro de las tolerancias al riesgo establecidas. Los datos
actuales permiten a la gerencia observar en tiempo real los riesgos inherentes existentes
en un proceso, función o unidad e identificar variaciones con respecto a las
expectativas. Esto otorga una visión del perfil de riesgo de la entidad, permitiendo a la
gerencia modificar las actividades como sea necesario para adaptarlas a su nivel de
riesgo aceptado.
La información constituye una base para la comunicación que debe satisfacer las
expectativas de grupos e individuos, permitiéndoles cumplir eficazmente con sus
cometidos. Entre los canales de comunicación más críticos se encuentra el que conecta a
la alta gerencia con el directorio. La gerencia debe mantener al directorio al tanto del
desempeño, desarrollos, riesgos y operación de la ERM y otros acontecimientos y
asuntos importantes. Cuanto mejor sea la comunicación, más eficazmente podrá cumplir
el directorio con sus responsabilidades de supervisión, actuar como una caja de
resonancia en asuntos críticos y proveer asesoramiento, consejo y orientación. Del
mismo modo, el directorio debe comunicar a la gerencia qué información necesita y
proveer retroalimentación (feedback) y orientación.
La gerencia provee comunicación específica y direccionada abordando expectativas de
comportamiento y las responsabilidades del personal. Esto incluye una clara declaración
con respecto a la filosofía y el enfoque de ERM de la entidad y a la delegación de
autoridad. La comunicación con relación a procesos y procedimientos debe estar
alineada con y respaldar la cultura de riesgo deseada. Adicionalmente, la comunicación
debe ser apropiadamente formulada – la presentación de información puede afectar
significativamente la manera como es interpretada y cómo son visualizados los riesgos
y oportunidades asociados.
La comunicación debe concientizar sobre la importancia y relevancia de una ERM
eficaz, comunicar el nivel de riesgo aceptado por la entidad y las tolerancias al riesgo,
implantar y respaldar un lenguaje común sobre riesgo y asesorar al personal sobre sus
roles y responsabilidades con relación a la ejecución y soporte de los componentes de la
ERM.
Los canales de comunicación deben también asegurar que el personal pueda comunicar
la información sobre riesgos a través de las unidades operativas, procesos o áreas
funcionales. En la mayoría de los casos, los canales apropiados de comunicación en una
organización son las líneas normales de autoridad. En algunas circunstancias, sin
embargo, se necesitan líneas de comunicación diferentes a efectos de servir como un
mecanismo libre de fallas en caso que los canales normales no estén operativos. En
todos los casos, es importante que el personal comprenda que no se tomarán represalias
por la comunicación de información relevante.
Los canales de comunicación externa pueden proveer insumos altamente significativos
con relación al diseño o calidad de los productos o servicios. La gerencia considera
cómo su nivel de riesgo aceptado y sus tolerancias al riesgo se alinean con los de sus
consumidores, proveedores y socios, asegurándose de no tomar inadvertidamente
demasiado riesgo a través de sus interacciones comerciales. La comunicación por parte
de terceros externos a menudo provee información importante sobre el funcionamiento
de la ERM.
Monitoreo
La ERM es monitoreada – un proceso que aprecia tanto la presencia como el
funcionamiento de sus componentes y la calidad de su desempeño a lo largo del tiempo.
El monitoreo puede ser realizado de dos formas: a través de actividades continuas o de
evaluaciones independientes. El monitoreo continuo y el independiente aseguran que la
ERM continúe siendo aplicada a todos los niveles y a través de toda la entidad.
El monitoreo continuo se construye sobre la base de las actividades operativas normales
y recurrentes de una entidad. El monitoreo continuo es ejecutado sobre la base de
tiempo real, reacciona dinámicamente a los cambios en las condiciones y está arraigado
en la entidad. Consecuentemente, es más eficaz que las evaluaciones independientes.
Mientras que las evaluaciones independientes tienen lugar luego de ocurridos los
hechos, a menudo los problemas serán identificados más rápidamente por las rutinas de
monitoreo continuo. No obstante, muchas entidades con sólidas actividades de
monitoreo continuo, realizan evaluaciones independientes de la ERM.
La frecuencia de las evaluaciones independientes es un asunto de juicio de la gerencia.
Al hacer esta determinación, se considera: (a) la naturaleza y el alcance de los cambios
en los acontecimientos tanto internos como externos y sus riesgos asociados; (b) la
competencia y experiencia del personal que implanta las respuestas a los riesgos y los
correspondientes controles y (c) los resultados del monitoreo continuo. Generalmente,
algún tipo de combinación de monitoreo continuo y evaluaciones independientes
asegurará que la ERM mantenga su eficacia a lo largo del tiempo.
La magnitud de la documentación de la ERM de una entidad varía según su dimensión,
complejidad y otros factores similERMs. El hecho de que los elementos de la ERM no
estén documentados no significa que no sean eficaces o que no puedan ser evaluados.
Sin embargo, un nivel apropiado de documentación generalmente hace que el monitoreo
sea más eficaz y eficiente. En caso que la gerencia desee hacer una declaración a
terceros en relación a la eficacia de la ERM, debe considerarse el desarrollo y
mantenimiento de documentación que respalde dicha declaración.
Todas las deficiencias de la ERM que afecten la capacidad de una entidad de desarrollar
e implantar su estrategia y lograr sus objetivos establecidos deben ser informadas a
quienes tengan la autoridad para tomar las acciones necesarias. La naturaleza de los
asuntos a ser comunicados variará dependiendo de la autoridad de los individuos para
abordar las circunstancias que surjan y de las actividades de supervisión de los
superiores. El término “deficiencia” alude a una condición del proceso de ERM que
amerite ser atendido. Por lo tanto, una deficiencia puede representar un defecto
percibido, eventual o real o una oportunidad de fortalecer el proceso para aumentar la
probabilidad de que los objetivos de la entidad sean alcanzados. La información
generada en el curso de las actividades operativas generalmente es elevada a través de
canales normales. También deben existir canales de comunicación alternativos para
trasmitir información sensible como actos ilegales o incorrectos.
Resulta crítico proporcionar, exactamente a quien corresponda, la información necesaria
sobre las deficiencias de la ERM. Deben establecerse protocolos para definir qué
información es necesaria a un nivel particular para que la toma de decisiones sea eficaz.
Dichos protocolos reflejan la regla general que un gerente debe recibir la información
que afecte las acciones o el comportamiento del personal bajo su responsabilidad así
como la información necesaria para lograr sus objetivos específicos.
Relacionamiento entre objetivos y componentes
Existe un directo relacionamiento entre objetivos, cuyo logro constituye el fin de los
esfuerzos de la entidad y los componentes de la ERM, que representan lo que se
necesita para lograrlos. La Figura 1 describe este relacionamiento en una matriz tridimensional.
•
•
•
Las cuatro categorías de objetivos – estratégicos, operativos, elaboración de
información y cumplimiento – están representados por las columnas verticales
Los ocho componentes están representados por las filas horizontales.
La entidad y sus unidades organizacionales están representadas por la tercera
dimensión de la matriz.
Significado de las expresiones en inglés insertas en la figura:
Strategic
Operating
Reporting
Compliance
Internal environment
Objective setting
Event identification
Risk assesment
Risk response
Control activities
Information & communication
Monitoring
Entity-level
Division
Business unit
Subsidiary
Estratégicos
Operativos
Elaboración de información
Cumplimiento
Ámbito interno
Establecimiento de objetivos
Identificación de acontecimientos
Apreciación de riesgos
Respuesta al riesgo
Actividades de control
Información y comunicación
Monitoreo
Nivel de entidad
División
Unidad de negocios
Subsidiaria
Debe entenderse que las cuatro columnas representan categorías de objetivos de una
entidad y no partes o unidades de la entidad. De acuerdo con ello, al considerar la
categoría de objetivos relacionados con la elaboración de información, por ejemplo, se
necesita conocer una amplia gama de información con respecto a las operaciones de la
entidad. Pero en ese caso, se focaliza en la columna centro-derecha del modelo –
objetivos asociados a la elaboración de información – en vez de hacerlo en la categoría
de objetivos asociados a las operaciones.
La Figura 2 expande las filas componentes del cubo para mostrar los elementos clave de
cada componente, así como cuáles componentes representan un proceso de flujo.
Eficacia
Si bien la ERM es un proceso, su eficacia es un estado o condición en un momento
determinado. Para determinar si ERM es eficaz es necesario realizar un juicio subjetivo
en base a una apreciación con respecto a la presencia de los ocho componentes y de la
adecuación de su funcionamiento.
Para que ERM sea considerada eficaz, todos los ocho componentes deben estar
presentes y funcionando. Sin embargo, esto no significa que cada uno de los
componentes debe funcionar en forma idéntica, o aún al mismo nivel, en diferentes
entidades y pueden existir compensaciones (trade-offs) entre componentes. En virtud de
que las técnicas de ERM pueden servir a una variedad de propósitos, las técnicas
aplicadas en relación a un componente pueden servir uno de los propósitos que podrían
estar presentes en otro. Adicionalmente, las respuestas al riesgo pueden diferir en el
grado en que ellas encaran un riesgo particular, de modo que respuestas
complementarias al riesgo, cada una de ellas con efectos limitados, en conjunto puedan
ser satisfactorias.
Los conceptos comentados aquí aplican a todas las entidades, independientemente del
tamaño. Aunque algunas entidades pequeñas y medianas pueden implantar factores de
componentes de manera diferente que las grandes, de todos modos pueden tener una
ERM eficaz. La metodología para cada componente es probablemente menos formal y
menos estructurada en las entidades más pequeñas que en las más grandes, pero los
conceptos básicos delineados deben estar presentes en cualquier entidad,
independientemente de su tamaño.
ERM debe ser considerada en el contexto de una empresa como un todo, o una o más
unidades individuales. Al considerar ERM para una unidad de negocios en particular,
todos los ocho componentes deben ser usados a efectos comparativos.
Una compañía puede tener “joint ventures”, sociedades u otras inversiones, cuyas
operaciones no estén bajo el control directo de aquélla. Al considerar la eficacia de la
ERM de la compañía, se observaría en qué grado la compañía conjuntamente con su
asociada ha aplicado adecuadamente cada uno de los ocho componentes, a la luz de la
estrategia y de los correspondientes objetivos de la entidad.
Vínculo con el control interno
El control interno es una parte integrante de ERM. Esta estructura de ERM abarca al
control interno construyendo una conceptualización y una herramienta de
administración más fuertes. El control interno es definido y descrito en Control Interno
– Estructura Integrada. En virtud de que Control Interno – Estructura Integrada es la
base para normas, leyes y regulaciones existentes, este documento permanece vigente
como definición y estructura del control interno. La totalidad de Control Interno –
Estructura Integrada se incorpora como referencia a esta estructura.
Limitaciones de la ERM
Una ERM eficaz ayuda a la gerencia a conseguir objetivos. Pero, independientemente
de lo bien que esté diseñada y operada, la ERM no asegura el éxito de la entidad.
La consecución de objetivos está afectada por las limitaciones inherentes a todo proceso
gerencial. Cambios en políticas o programas de gobierno, acciones de los competidores
o las condiciones de la economía pueden estar fuera del control de la gerencia. La toma
de decisiones humanas pueden tener fallas y pueden producirse daños derivados de
fallas humanas tales como errores y equivocaciones. ERM no puede cambiar un gerente
mediocre por uno bueno. Adicionalmente, los controles pueden ser burlados por la
colusión de dos o más personas y la gerencia tiene la posibilidad de ignorar el proceso
de ERM, incluyendo respuestas a riesgos y controles.
El diseño de la ERM debe reflejar la realidad de restricción de recursos y los beneficios
de administrar los riesgos deben ser considerados en su relación con los
correspondientes costos. Entonces, si bien ERM puede ayudar a la gerencia a lograr sus
objetivos, no es una panacea.
Roles y responsabilidades
Cada uno en una organización tiene responsabilidaes en ERM.
Directorio
La gerencia debe rendir cuentas al directorio, el que provee gobierno, orientación y
supervisión. Al seleccionar a la gerencia, el mayor rol corresponde al directorio al
definir sus expectativas en cuanto a integridad moral y valores éticos y puede confirmar
sus expectativas a través de las actividades de supervisión. Igualmente, al reservar para
sí la autoridad para ciertas decisiones clave, el directorio juega un rol al establecer la
estrategia, al formular los objetivos de alto nivel y los lineamientos generales en
relación a la asignación de recursos.
El directorio provee supervisión con respecto a ERM ,
• Conociendo la medida en que la gerencia ha establecido una ERM eficaz en la
organización
• Estando enterado y de acuerdo con el nivel de riesgo aceptado de la entidad
• Revisando la visión conjunta de riesgos de la entidad y considerándola en
relación con el nivel de riesgo aceptado por la entidad
• Estando al tanto de los riesgos más importantes y si la gerencia está
respondiendo apropiadamente a los mismos
El directorio es una parte del componente ámbito interno y para que ERM sea eficaz,
debe satisfacer requisitos en cuanto a composición y enfoque.
Gerencia
El gerente general es en última instancia el responsable y debe asumir la propiedad de la
ERM. Más que cualquier otra persona, el gerente general da la tónica al máximo nivel
que afecta la honestidad y los valores éticos y los otros factores del ámbito interno. En
una empresa grande, el gerente general cumple este cometido liderando y orientando a
los gerentes veteranos y revisando la manera como ellos manejan el negocio. Los
gerentes veteranos, a su vez, asignan responsabilidad por el establecimiento de políticas
y procedimientos de administración de riesgos más específicos al personal responsable
de las funciones individuales de las unidades. En una empresa más chica, la influencia
del gerente general, con frecuencia un propietario-gerente, es usualmente más directa.
En cualquier caso, en un marco de responsabilidades decrecientes, un gerente es
efectivamente un gerente general de su esfera de responsabilidad. También son
importantes los líderes de funciones de apoyo como cumplimiento, finanzas, recursos
humanos y tecnología de la información, cuyas actividades de monitoreo y control
atraviesan horizontal y verticalmente las unidades operativas y de otro tipo de una
empresa.
Gerente de riesgo(Risk officer)
Un gerente de riesgo – con denominaciones diversas según las organizaciones (chief
risk officer o risk manager) – trabaja con otros gerentes estableciendo y manteniendo
una eficaz administración de riesgos en sus áreas de responsabilidad. El gerente de
riesgo también puede tener la responsabilidad de monitorear el progreso y de dar
asistencia a otros gerentes en trasmitir información importante sobre riesgos hacia
arriba, abajo y horizontalmente y puede ser un miembro de un comité interno de
administración de riesgos.
Auditores internos
Los auditores internos juegan un rol importante en el monitoreo de la ERM y de la
calidad del desempeño como parte de sus cometidos regulERMs o respondiendo a
especiales requerimientos de la alta gerencia o ejecutivos de divisiones o subsidiarias.
Pueden dar asistencia tanto a la gerencia como al directorio o comité de auditoría
monitoreando, examinando, evaluando, informando al respecto y recomendando
mejoras con relación a la adecuación y eficacia de los procesos gerenciales de ERM.
Otros miembros del personal
ERM es, en alguna medida, responsabilidad de todos los integrantes de una entidad y en
consecuencia debe ser una parte explícita o implícita de la descripción del trabajo de
cada uno de ellos. Virtualmente todo el personal produce información usada en ERM o
realiza otras acciones necesarias para administrar riesgos. Además, todo el personal es
responsable por comunicar hacia arriba con respecto a riesgos, como problemas en las
operaciones, incumplimientos del código de conducta, violaciones de otras políticas o
acciones ilegales.
Una cantidad de terceras partes contribuyen a menudo al logro de los objetivos de una
entidad. Los auditores externos, aportando un visión independiente y objetiva,
contribuyen directamente a través de la auditoría de los estados contables y de las
revisiones del control interno e indirectamente proveyendo información adicional útil
para el cumplimiento de sus cometidos por parte de la gerencia y el directorio. Otros
que proveen información útil a la entidad para realizar la ERM son las agencias
reguladoras, consumidores y otros que realizan transacciones comerciales con la
entidad, analistas financieros, calificadores de bonos y los medios de difusión. Los
terceros externos, sin embargo, no son responsables por la ERM de la entidad.
Uso de este informe
Las acciones que podrían tomarse como producto de este informe dependen de la
posición y rol de las partes involucradas:
Miembros del directorio
Los miembros del directorio deben comentar con la alta gerencia el estado de la ERM
en la entidad y proveer supervisión según sea necesario. El directorio debe asegurarse
que los mecanismos de ERM de la entidad le brindan una apreciación de la mayoría de
los riesgos relacionados con la estrategia y con los objetivos, incluyendo qué acciones
está realizando la gerencia y de qué manera está ella comprometida en el monitoreo de
la estructura de la ERM. El directorio debe procurar “insumos” de los auditores
internos, de los auditores externos y de los asesores.
Alta gerencia
Este estudio sugiere que el gerente general realice una apreciación de las capacidades de
la ERM de la organización. Usando esta estructura, un gerente general junto con
ejecutivos clave en las áreas contables y operativas, puede centrar su atención donde sea
necesario. Bajo un enfoque, el gerente general podría reunir a los responsables de las
unidades de negocios y el personal de las funciones clave para encarar entre todos una
apreciación inicial de las capacidades y eficacia de la ERM. Cualquiera sea su forma,
una apreciación inicial debe determinar si es necesario y como proceder para realizar
una más profunda y amplia evaluación. También debe asegurarse que se han establecido
procesos de monitoreo continuo. El tiempo empleado en la evaluación de la ERM
representa una inversión de alto rendimiento.
Otros miembros del personal de la entidad
Los gerentes y los demás integrantes del personal deben considerar de qué manera están
siendo cumplidas sus responsabilidades en ERM a la luz de esta estructura y analizar
con personal más experiente ideas para fortalecer ERM. Los auditores internos deben
considerar la amplitud de su focalización en ERM.
Agencias reguladoras
Las expectativas con respecto a la ERM varían de manera importante en dos aspectos.
En primer lugar, difieren con respecto a qué pueden lograr estos mecanismos. Algunos
observadores creen que ERM prevendrá o deberá prevenir pérdidas económicas o por lo
menos prevenir a las empresas de la quiebra. En segundo lugar, aún cuando existe
acuerdo con relación a lo que ERM puede hacer y lo que no puede hacer y sobre el
concepto de “seguridad razonable”, puede haber visiones totalmente disímiles con
respecto al significado de dicho concepto y cómo el mismo será aplicado. Para ayudar a
conseguir una visión compartida de ERM y sobre lo que puede hacer, debe haber
acuerdo con respecto a una estructura común de ERM, incluyendos sus limitaciones.
Esta estructura puede ser vista con ese propósito.
Relación entre
Estructura de la Administración del Riesgo Empresarial y
Control Interno – Estructura Integrada
En 1992, el Comité de Organizaciones Auspiciantes de la Comisión Treadway, emitió
Control Interno – Estructura Integrada (CIEI), que estableció una estructura para el
control interno y proveyó herramientas de apreciación que las empresas y otras
entidades podrían utilizar para evaluar sus sistemas de control. La estructura definió y
describió cinco componentes interrelacionados necesarios para el control interno eficaz.
CIEI definió el control interno como un proceso llevado a cabo por el directorio, la
gerencia y el personal de una entidad destinado a proveer seguridad razonable con
respecto al logro de los objetivos en las siguientes categorías:
• Eficacia y eficiencia de las operaciones,
• Confiabilidad de la elaboración de información contable, y
• Cumplimiento de leyes y regulaciones aplicables.
El control interno está comprendido dentro de la ERM y es una parte integrante de la
misma. La ERM es un concepto más amplio que control interno elaborado expandiendo
éste para formar un concepto más robusto centrado más detalladamente en los riesgos.
CIEI permanece intacto para ser utilizado por las entidades y otros que consideren al
control interno por sí mismo. Este apéndice destaca las áreas clave donde la estructura
de ERM se expande con respecto a la de control interno.
Categorías de objetivos
CIEI especifica tres categorías de objetivos – operaciones, elaboración de información
contable y cumplimiento. ERM también especifica tres categorías similERMs de
objetivos – operaciones, elaboración de información contable y cumplimiento - y
mientras dos de ellas son definidas de la misma forma que en CIEI, una es diferente. La
categoría de elaboración de información contable en CIEI es definida en relación con la
confiabilidad de los estados contables publicados. En ERM, la categoría de elaboración
de información contable es ampliada significativamente de manera de cubrir todos los
informes realizados por la entidad y distribuidos tanto interna como externamente. Éstos
incluyen informes utilizados internamente por la gerencia y aquellos emitidos para
terceros, incluyendo informes a agencias reguladoras e informes a otros “grupos de
interés”. El alcance excede los estados contables para cubrir no sólo la información
contable sino también la no contable.
Otra categoría de objetivos ha sido agregada, a saber, los objetivos estratégicos, que
operan a un nivel más alto que los otros. Estos objetivos fluyen de la misión o visión de
una entidad y con ellos deben alinearse los objetivos de operaciones, de elaboración de
información y de cumplimiento. La ERM es aplicada en la definición de la estrategia,
así como en la búsqueda del logro de los objetivos de las otras tres categorías.
Visión conjunta (portfolio view)
Un concepto que no ha sido contemplado en la estructura del control interno es la visión
global del riesgo. Además de focalizar sobre el riesgo al considerar el logro de los
objetivos de una entidad sobre una base individual, es necesario considerar el riesgo en
conjunto, desde una perspectiva global.
Ambito
Al analizar el componente àmbito, la ERM se centra más directa y extensamente en
cómo se modela el riesgo, ya sea explícita o implícitamente, la cultura de riesgo de una
entidad, que es el conjunto de actitudes, valores, metas y prácticas compartidos que
caracterizan la manera como una entidad considera los riesgos. ERM abarca el concepto
del nivel de riesgo aceptado por una entidad, lo que significa en grandes líneas, la
cantidad de riesgo que ella está dispuesta a aceptar para alcanzar sus metas. El nivel de
riesgo aceptado está respaldado por tolerancias al riesgo más específicas que reflejan el
grado de variación aceptable al realizar las actividades de la empresa.
Identificación de acontecimientos
ERM y el control interno reconocen que los riesgos tienen lugar en cada nivel de la
entidad y son el resultado de una variedad de factores internos y externos. Ambas
estructuras consideran la identificación de riesgos en el contexto del impacto potencial
en el logro de los objetivos.
La estructura de la ERM analiza el concepto de acontecimientos eventuales, definiendo
un acontecimiento como un incidente o serie de incidentes procedentes de fuentes
internas o externas que podrían afectar la implantación de la estrategia y el logro de los
objetivos. Los acontecimientos con impacto eventualmente positivo representan
oportunidades mientras que los acontecimientos con impacto eventualmente negativo
representan riesgos. ERM implica identificar acontecimientos mediante la utilización de
una combinación de técnicas que consideran acontecimientos pasados y eventuales
acontecimientos futuros así como tendencias emergentes y considerar qué es lo que
desencadena tales acontecimientos.
Apreciación de riesgos
Mientras ambas estructuras requieren la apreciación del riesgo en términos de la
probabilidad de que un riesgo dado ocurra y su eventual impacto, la estructura de ERM
sugiere visualizar la apreciación del riesgo a través de una lente más potente. Los
riesgos son considerados sobre la base del riesgo inherente y del riesgo residual,
analizando el impacto a través de un solo medio, peor de los casos o distribución de
acontecimientos (éstas serían formas alternativas de análisis del impacto), expresado
preferiblemente en la misma unidad de medida establecida para los objetivos a los que
corresponden los riesgos. Los horizontes temporales deben ser consistentes con la
estrategia y los objetivos de una entidad, y de ser posible, con datos observables. ERM
también llama la atención a los riesgos interrelacionados, describiendo cómo un sólo
acontecimiento puede significar múltiples riesgos.
Como se indica anteriormente, ERM abarca la necesidad de la gerencia de desarrollar
una visión conjunta a nivel de la entidad. Con gerentes responsables de unidades
operativas, funciones, procesos u otras actividades que hayan realizado una apreciación
compuesta de riesgos para unidades individuales, la gerencia a nivel de la entidad
considera el riesgo interrelacionado y total desde una perspectiva conjunta de la entidad.
Respuesta al riesgo
ERM identifica cuatro categorías de respuestas al riesgo – evitar, reducir, compartir y
aceptar. Como parte de la ERM, la gerencia considera respuestas eventuales de estas
categorías, las considera con la intención de lograr un nivel de riesgo residual alineado
con las tolerancias al riesgo de la entidad. Luego de haber considerado respuestas al
riesgo sobre una base individual o grupal, la gerencia considera el efecto total de sus
respuestas al riesgo en relación a la entidad en toda su extensión.
Información y comunicación
ERM se extiende en el componente de información y comunicación, considerando datos
derivados de acontecimientos pasados, presentes y eventuales. Los datos históricos
permiten a la entidad comparar el desempeño real con las metas, planes y expectativas y
revela cómo se desempeñó la entidad en el pasado bajo condiciones cambiantes. Los
datos presentes o actuales proveen información adicional importante y los datos sobre
eventuales acontecimientos futuros y otros factores subyacentes completan el análisis de
la información. La infraestructura de la información procura y captura los datos en un
marco temporal y en una profundidad de detalle consistente con las necesidades de la
entidad de identificar, apreciar y responder a los riesgos y mantenerse dentro del nivel
de riesgo aceptado.
Roles y responsabilidades
Ambas estructuras centran su atención en los roles y responsabilidades de las diversas
partes que conforman, o proveen información importante a CIEI y ERM. ERM describe
el rol y las responsabilidades de los oficiales de riesgo y se extiende con respecto al rol
del directorio de una entidad.
Documentos relacionados
CV GRM 2016.cdr
CV GRM 2016.cdr
Reconocimiento de Patrones en el análisis de datos de
Reconocimiento de Patrones en el análisis de datos de
Coso II
Coso II
Estaciones de Regulación Filtración y Medición (ERM) Gas
Estaciones de Regulación Filtración y Medición (ERM) Gas
Serie ERM (PDF)
Serie ERM (PDF)
PRIMERA REVISIÓN 2008 DURACION: 3 horas. DEBE
PRIMERA REVISIÓN 2008 DURACION: 3 horas. DEBE
Sant Joan de l`ERM
Sant Joan de l`ERM
Control Interno y Organización de Sistemas Contables Programa
Control Interno y Organización de Sistemas Contables Programa
Era Mat A - Era Mat VS - Era Zero VS - Era Mat T
Era Mat A - Era Mat VS - Era Zero VS - Era Mat T
Descargar
Anuncio
Anuncio