La gestión de riesgos empresariales ( ERM ) en los negocios incluye los métodos y procesos utilizados por las organizaciones para gestionar los riesgos y aprovechar las oportunidades relacionadas con el logro de sus objetivos. ERM proporciona un marco para la gestión de riesgos , que normalmente implica identificar eventos o circunstancias particulares relevantes para los objetivos de la organización (amenazas y oportunidades), evaluarlos en términos de probabilidad y magnitud del impacto, determinar una estrategia de respuesta y monitorear el proceso. Al identificar y abordar de manera proactiva los riesgos y las oportunidades, las empresas comerciales protegen y crean valor para sus partes interesadas, incluidos los propietarios, empleados, clientes, reguladores y la sociedad en general.
ERM también se puede describir como un enfoque basado en riesgos para la gestión de una empresa, que integra conceptos de control interno , la Ley Sarbanes-Oxley , protección de datos y planificación estratégica . ERM está evolucionando para abordar las necesidades de varias partes interesadas, que desean comprender el amplio espectro de riesgos que enfrentan las organizaciones complejas para asegurarse de que se administren de manera adecuada. Los reguladores y las agencias de calificación de deuda han aumentado su escrutinio sobre los procesos de gestión de riesgos de las empresas.
Según Thomas Stanton, de la Universidad Johns Hopkins, el objetivo de la gestión de riesgos empresariales no es crear más burocracia, sino facilitar la discusión sobre cuáles son los riesgos realmente grandes. [1]
Marcos de ERM definidos
Existen varios marcos de ERM importantes, cada uno de los cuales describe un enfoque para identificar, analizar, responder y monitorear riesgos y oportunidades, dentro del entorno interno y externo que enfrenta la empresa. La gerencia selecciona una estrategia de respuesta al riesgo para los riesgos específicos identificados y analizados, que pueden incluir:
- Evitación: salir de las actividades que dan lugar al riesgo
- Reducción: tomar medidas para reducir la probabilidad o el impacto relacionado con el riesgo.
- Acciones alternativas: decidir y considerar otros pasos factibles para minimizar los riesgos
- Compartir o asegurar: transferir o compartir una parte del riesgo, para financiarlo.
- Aceptar: no se realiza ninguna acción debido a una decisión de costo / beneficio
La administración suele realizar el seguimiento como parte de sus actividades de control interno, como la revisión de informes analíticos o las reuniones del comité de gestión con expertos relevantes, para comprender cómo está funcionando la estrategia de respuesta al riesgo y si se están logrando los objetivos.
Marco de la Sociedad Actuarial de Accidentes
En 2003, la Casualty Actuarial Society (CAS) definió ERM como la disciplina mediante la cual una organización en cualquier industria evalúa, controla, explota, financia y monitorea los riesgos de todas las fuentes con el propósito de aumentar el valor de la organización a corto y largo plazo. a sus partes interesadas ". [2] La EAP conceptualizó la ERM como un procedimiento a través de las dos dimensiones del tipo de riesgo y los procesos de gestión del riesgo. [2] Los tipos de riesgo y ejemplos incluyen: [3]
- Posibilidad de peligro
- Daños por responsabilidad civil, daños a la propiedad, catástrofe natural
- Riesgo financiero
- Riesgo de precio, riesgo de activos, riesgo de tipo de cambio, riesgo de liquidez
- Riesgo operacional
- Satisfacción del cliente, falla del producto, integridad, riesgo de reputación; Caza furtiva interna; Drenaje de conocimiento
- Riesgos estratégicos
- Competencia, Tendencia social, Disponibilidad de capital
El proceso de gestión de riesgos implica: [4]
- Establecimiento del contexto: Esto incluye la comprensión de las condiciones actuales en las que opera la organización en un contexto interno, externo y de gestión de riesgos.
- Identificación de riesgos: Esto incluye la documentación de las amenazas materiales para el logro de los objetivos de la organización y la representación de áreas que la organización puede explotar para obtener una ventaja competitiva.
- Análisis / cuantificación de riesgos: esto incluye la calibración y, si es posible, la creación de distribuciones de probabilidad de los resultados para cada riesgo material.
- Integración de riesgos: esto incluye la agregación de todas las distribuciones de riesgos, reflejando las correlaciones y los efectos de la cartera, y la formulación de los resultados en términos de impacto en las métricas clave de desempeño de la organización.
- Evaluación / Priorización de Riesgos: Esto incluye la determinación de la contribución de cada riesgo al perfil de riesgo agregado y la priorización adecuada.
- Tratamiento / Explotación de Riesgos: Incluye el desarrollo de estrategias para controlar y explotar los distintos riesgos.
- Seguimiento y revisión: incluye la medición y el seguimiento continuos del entorno de riesgos y el desempeño de las estrategias de gestión de riesgos.
Marco COSO ERM
El "Marco Integrado de Gestión de Riesgos Empresariales" de COSO publicado en 2004 (la nueva edición de COSO ERM 2017 no se menciona y la versión de 2004 está desactualizada) define ERM como un "... proceso, efectuado por la junta directiva de una entidad, la gerencia y otro personal , aplicado en el establecimiento de la estrategia y en toda la empresa, diseñado para identificar eventos potenciales que pueden afectar a la entidad y administrar el riesgo para que esté dentro de su apetito por el riesgo , para proporcionar una seguridad razonable con respecto al logro de los objetivos de la entidad ". [5]
El Marco COSO ERM tiene ocho componentes y cuatro categorías de objetivos. Es una expansión del Marco Integrado de Control Interno COSO publicado en 1992 y modificado en 1994. Los ocho componentes son:
- Ambiente interno
- Fijación de objetivos
- Identificación de eventos
- Evaluación de riesgos
- Respuesta a los riesgos
- Actividades de control
- Información y comunicación
- Vigilancia
Las cuatro categorías de objetivos (componentes adicionales destacados) son:
- Estrategia : metas de alto nivel, alineadas con la misión de la organización y que la apoyan.
- Operaciones : uso eficaz y eficiente de los recursos
- Informes financieros : fiabilidad de los informes operativos y financieros.
- Cumplimiento : cumplimiento de las leyes y regulaciones aplicables
ISO 31000: el nuevo estándar internacional de gestión de riesgos
ISO 31000 es una norma internacional para la gestión de riesgos que se publicó el 13 de noviembre de 2009. Una norma adjunta, ISO 31010 - Técnicas de evaluación de riesgos, pronto siguió a la publicación (1 de diciembre de 2009) junto con el vocabulario actualizado de gestión de riesgos ISO Guide 73.
Modelo de madurez de riesgo de RIMS
El Modelo de madurez de riesgo (RMM) de RIMS para la gestión de riesgos empresariales, publicado en 2006, es un marco general de contenido y metodología que detalla los requisitos para una gestión de riesgos empresarial sostenible y eficaz. [6] El modelo RMM consta de veinticinco impulsores de competencia para siete atributos que crean valor y utilidad de ERM en una organización. Los 7 atributos son:
- Enfoque basado en ERM
- Gestión de procesos ERM
- Gestión del apetito por el riesgo
- Disciplina de causa raíz
- Descubriendo riesgos
- Gestión del rendimiento
- Resiliencia y sostenibilidad empresarial
El modelo fue desarrollado por Steven Minsky, CEO de LogicManager, y publicado por la Sociedad de Gestión de Riesgos y Seguros en colaboración con el Comité de ERM de RIMS. El modelo de madurez de riesgo se basa en el modelo de madurez de capacidad, una metodología fundada por el Instituto de Ingeniería de Software de la Universidad Carnegie Mellon (SEI) en la década de 1980. [7]
Implementación de un programa de ERM
Objetivos de un programa de ERM
Las organizaciones, por naturaleza, gestionan riesgos y tienen una variedad de departamentos o funciones existentes ("funciones de riesgo") que identifican y gestionan riesgos particulares. Sin embargo, cada función de riesgo varía en capacidad y cómo se coordina con otras funciones de riesgo. Un objetivo y desafío central de ERM es mejorar esta capacidad y coordinación, al tiempo que se integra el resultado para proporcionar una imagen unificada del riesgo para las partes interesadas y mejorar la capacidad de la organización para administrar los riesgos de manera efectiva.
Funciones de riesgo típicas
Las principales funciones de riesgo en las grandes corporaciones que pueden participar en un programa de ERM generalmente incluyen:
- Planificación estratégica: identifica amenazas externas y oportunidades competitivas, junto con iniciativas estratégicas para abordarlas.
- Marketing: comprende al cliente objetivo para garantizar la alineación del producto / servicio con los requisitos del cliente.
- Cumplimiento y ética: supervisa el cumplimiento del código de conducta y dirige las investigaciones de fraude.
- Cumplimiento contable / financiero: dirige la evaluación Sarbanes-Oxley Sección 302 y 404, que identifica los riesgos de los informes financieros.
- Departamento jurídico: gestiona los litigios y analiza las tendencias legales emergentes que pueden afectar a la organización.
- Seguro: garantiza la cobertura de seguro adecuada para la organización.
- Tesorería: garantiza que el efectivo sea suficiente para satisfacer las necesidades comerciales, mientras se administra el riesgo relacionado con el precio de los productos básicos o el cambio de divisas.
- Aseguramiento de la calidad operativa: verifica que la salida operativa esté dentro de las tolerancias.
- Gestión de operaciones: garantiza que la empresa funcione día a día y que surjan las barreras relacionadas para su resolución.
- Crédito: garantiza que cualquier crédito proporcionado a los clientes sea adecuado a su capacidad de pago.
- Servicio al cliente: garantiza que las quejas de los clientes se manejen con prontitud y que las causas raíz se informen a las operaciones para su resolución.
- Auditoría interna: evalúa la eficacia de cada una de las funciones de riesgo anteriores y recomienda mejoras.
- Seguridad corporativa: identifica, evalúa y mitiga los riesgos que plantean las amenazas a la seguridad física y de la información.
Desafíos comunes en la implementación de ERM
Varias firmas consultoras ofrecen sugerencias sobre cómo implementar un programa de ERM. [8] Los temas y desafíos comunes incluyen: [9]
- Identificación de patrocinadores ejecutivos para ERM.
- Establecer un lenguaje o glosario de riesgo común.
- Describir el apetito por el riesgo de la entidad (es decir, los riesgos que asumirá y no asumirá)
- Identificar y describir los riesgos en un "inventario de riesgos".
- Implementar una metodología de clasificación de riesgos para priorizar los riesgos dentro y entre funciones.
- Establecimiento de un comité de riesgos y / o director de riesgos (CRO) para coordinar determinadas actividades de las funciones de riesgos.
- Establecer la propiedad de riesgos y respuestas particulares.
- Demostrar el costo-beneficio del esfuerzo de gestión de riesgos.
- Desarrollar planes de acción para garantizar que los riesgos se gestionen de forma adecuada.
- Elaboración de informes consolidados para diversos grupos de interés.
- Seguimiento de los resultados de las acciones realizadas para mitigar el riesgo.
- Asegurar una cobertura de riesgo eficiente por parte de auditores internos, equipos de consultoría y otras entidades evaluadoras.
- Desarrollar un marco técnico de ERM que permita la participación segura de terceros y empleados remotos.
Rol de auditoría interna
Además de la auditoría de tecnología de la información, los auditores internos desempeñan un papel importante en la evaluación de los procesos de gestión de riesgos de una organización y abogan por su mejora continua. Sin embargo, para preservar su independencia organizacional y juicio objetivo, las normas profesionales de Auditoría Interna indican que la función no debe asumir ninguna responsabilidad directa de tomar decisiones de gestión de riesgos para la empresa o gestionar la función de gestión de riesgos. [10]
Los auditores internos suelen realizar una evaluación anual de riesgos de la empresa para desarrollar un plan de trabajos de auditoría para el año siguiente. Este plan se actualiza en varias frecuencias en la práctica. Por lo general, esto implica la revisión de las diversas evaluaciones de riesgo realizadas por la empresa (por ejemplo, planes estratégicos, evaluación comparativa competitiva y evaluación de riesgos de arriba hacia abajo SOX 404 ), consideración de auditorías previas y entrevistas con una variedad de altos directivos. Está diseñado para identificar proyectos de auditoría, no para identificar, priorizar y gestionar riesgos directamente para la empresa.
Problemas actuales en ERM
Los procesos de gestión de riesgos de las empresas en todo el mundo están bajo un escrutinio regulatorio y privado cada vez mayor. El riesgo es una parte esencial de cualquier negocio. Si se gestiona adecuadamente, impulsa el crecimiento y las oportunidades. Los ejecutivos luchan con las presiones comerciales que pueden estar parcial o completamente fuera de su control inmediato, como los mercados financieros en dificultades; fusiones, adquisiciones y reestructuraciones; cambio tecnológico disruptivo ; inestabilidades geopolíticas; y el aumento del precio de la energía.
Requisitos de la ley Sarbanes-Oxley
La sección 404 de la Ley Sarbanes-Oxley de 2002 requería que las empresas estadounidenses que cotizaban en bolsa utilizaran un marco de control en sus evaluaciones de control interno. Muchos optaron por el Marco de Control Interno COSO , que incluye un elemento de evaluación de riesgos. Además, la nueva guía emitida por la Comisión de Bolsa y Valores (SEC) y la PCAOB en 2007 puso un mayor escrutinio en la evaluación de riesgos de arriba hacia abajo e incluyó un requisito específico para realizar una evaluación de riesgo de fraude . [11] Las evaluaciones del riesgo de fraude generalmente implican la identificación de escenarios de fraude potencial (o experimentado), exposición relacionada a la organización, controles relacionados y cualquier acción tomada como resultado.
Reglas de gobierno corporativo de NYSE
La Bolsa de Valores de Nueva York requiere que los Comités de Auditoría de sus empresas cotizadas "discutan las políticas con respecto a la evaluación de riesgos y la gestión de riesgos ". El comentario relacionado continúa: "Si bien es trabajo del CEO y la alta gerencia evaluar y administrar la exposición de la empresa al riesgo, el comité de auditoría debe discutir las pautas y políticas para gobernar el proceso mediante el cual se maneja. El comité de auditoría debe discutir las principales exposiciones de riesgo financiero de la empresa y los pasos que la administración ha tomado para monitorear y controlar tales exposiciones. El comité de auditoría no está obligado a ser el único organismo responsable de la evaluación y administración de riesgos, pero, como se indicó anteriormente, el comité debe discutir las pautas y políticas para regir el proceso mediante el cual se lleva a cabo la evaluación y gestión de riesgos. Muchas empresas, en particular las financieras, gestionan y evalúan su riesgo a través de mecanismos distintos al comité de auditoría. Los procesos que estas empresas tienen implantados deben ser revisados de manera general por la auditoría comité, pero no necesitan ser reemplazados por el comité de auditoría ". [12]
ERM y calificaciones de deuda corporativa
Standard & Poor's (S&P), la agencia calificadora de deuda, planea incluir una serie de preguntas sobre la gestión de riesgos en su proceso de evaluación de empresas. Esto se aplicará a las empresas financieras en 2007. [13] El resultado de esta investigación es uno de los muchos factores considerados en la calificación de la deuda, que tiene un impacto correspondiente en las tasas de interés que los prestamistas cobran a las empresas por préstamos o bonos. [14] El 7 de mayo de 2008, S&P también anunció que comenzaría a incluir una evaluación de ERM en sus calificaciones para empresas no financieras a partir de 2009, [15] con comentarios iniciales en sus informes durante el cuarto trimestre de 2008. [16]
Estándares de desempeño de la IFC
Las Normas de Desempeño de la Corporación Financiera Internacional [17] se centran en la gestión de los riesgos e impactos sociales, ambientales y de salud y seguridad. La tercera edición fue publicada el 1 de enero de 2012 luego de un proceso de negociación de dos años con el sector privado, gobiernos y organizaciones de la sociedad civil. Han sido adoptados por Equator Principles Banks, un consorcio de más de 118 bancos comerciales en 37 países.
Privacidad de datos
Reglas de privacidad de datos, como la Unión Europea 's general Reglamento de Protección de Datos , sanciones cada vez foresee significativos para el fracaso para mantener la protección adecuada de los individuos datos personales como nombres, direcciones de correo electrónico e información financiera personal, o una alerta de los individuos afectados cuando los datos se viola la privacidad. El reglamento de la UE exige que cualquier organización, incluidas las organizaciones ubicadas fuera de la UE, designe un responsable de protección de datos que informe al más alto nivel de gestión [18] si maneja los datos personales de cualquier persona que viva en la UE.
Respuesta actuarial
Sociedad actuarial de accidentes
En 2003, el Comité de Gestión de Riesgos Empresariales de la Casualty Actuarial Society (CAS) publicó su descripción general de ERM. [19] Este documento presenta la evolución, la justificación, las definiciones y los marcos de ERM desde la perspectiva actuarial de siniestros, y también incluye un vocabulario, fundamentos conceptuales y técnicos, prácticas y aplicaciones reales y estudios de casos. [19]
El CAS ha establecido objetivos específicos de ERM, incluido ser "un proveedor líder a nivel internacional de materiales educativos relacionados con la Gestión de Riesgos Empresariales (ERM) en el ámbito del seguro de accidentes de propiedad", [20] y ha patrocinado la investigación, el desarrollo y la capacitación de actuarios de accidentes en ese respecto. [21] El CAS se ha abstenido de emitir su propia credencial; en cambio, en 2007, la Junta de CAS decidió que el CAS debería participar en la iniciativa para desarrollar una designación de ERM global y tomar una decisión final en una fecha posterior. [22]
Sociedad de Actuarios
En 2007, la Sociedad de Actuarios desarrolló la credencial Chartered Enterprise Risk Analyst (CERA) en respuesta al creciente campo de la gestión de riesgos empresariales. [23] Esta es la primera nueva credencial profesional que introduce la SOA desde 1949. [24] Un estudio de CERA se centra en cómo varios riesgos, incluidos los operativos, de inversión, estratégicos y de reputación, se combinan para afectar a las organizaciones. Los CERA trabajan en entornos más allá de los mercados de seguros, reaseguros y consultoría, incluidos los servicios financieros más amplios, la energía, el transporte, los medios de comunicación, la tecnología, la fabricación y la atención médica. [24]
Se necesitan aproximadamente de tres a cuatro años para completar el plan de estudios de CERA, que combina la ciencia actuarial básica, los principios de ERM y un curso de profesionalismo. Para obtener la credencial CERA, los candidatos deben realizar cinco exámenes, cumplir con un requisito de experiencia educativa, completar un curso en línea y asistir a un curso presencial sobre profesionalismo. [24]
CERA Global
Inicialmente, todos los CERA eran miembros de la Sociedad de Actuarios [25], pero en 2009 la designación CERA se convirtió en una credencial profesional especializada global, otorgada y regulada por múltiples organismos actuariales. [26]
Ver también
- Ciencia actuarial
- Airmic
- Basilea III
- Beneficio riesgo
- Comité de Organizaciones Patrocinadoras de la Comisión Treadway
- Riesgo de costo
- Riesgo crediticio
- Gestión de la calidad de la información
- ISO 31000
- Riesgo de mercado y planificación estratégica
- Gestión de riesgo operacional
- Sesgo de optimismo
- Rentabilidad del capital ajustada al riesgo
- Apetito por el riesgo
- Herramientas de gestión de riesgos
- RiskLab
- ISA 400 Evaluaciones de riesgos y control interno
- Evaluación de riesgos de arriba hacia abajo SOX 404
- Gestión de seguridad total
- Gestión de presencia web
Referencias
- ^ Thomas Stanton (18 de febrero de 2017). "Gestión de riesgos empresariales" . YouTube . TEDxJHUDC.
El objetivo de la gestión de riesgos empresariales no es crear otra capa de burocracia, sino que su director de riesgos facilite las conversaciones y luego las discusiones sobre las prioridades: cuáles son los riesgos realmente grandes con los que tenemos que lidiar.
- ^ a b Comité de Gestión de Riesgos Empresariales (mayo de 2003). "Descripción general de la gestión de riesgos empresariales" (PDF) . Sociedad actuarial de accidentes : 8 . Consultado el 15 de septiembre de 2008 . Cite journal requiere
|journal=
( ayuda ) - ^ Comité de Gestión de Riesgos Empresariales (mayo de 2003). "Descripción general de la gestión de riesgos empresariales" (PDF) . Sociedad actuarial de accidentes : 9–10 . Consultado el 15 de septiembre de 2008 . Cite journal requiere
|journal=
( ayuda ) - ^ Comité de Gestión de Riesgos Empresariales (mayo de 2003). "Descripción general de la gestión de riesgos empresariales" (PDF) . Sociedad actuarial de accidentes : 11-13 . Consultado el 15 de septiembre de 2008 . Cite journal requiere
|journal=
( ayuda ) - ^ "Gestión de riesgos empresariales - Marco integrado: resumen ejecutivo" (PDF) . Comité de Organizaciones Patrocinadoras de la Comisión Treadway . Septiembre de 2004 . Consultado el 16 de septiembre de 2008 . Cite journal requiere
|journal=
( ayuda ) - ^ [1]
- ^ "Copia archivada" . Archivado desde el original el 25 de diciembre de 2018 . Consultado el 24 de octubre de 2013 .CS1 maint: copia archivada como título ( enlace )
- ^ Consejos de implementación de ERM
- ^ Preguntas frecuentes sobre ERM
- ^ Papel de la auditoría interna en ERM Archivado el 5 de septiembre de 2013 en Wayback Machine.
- ^ Estándar de auditoría de PCAOB n. ° 5 Archivado 2007-06-27 en Wayback Machine.
- ^ "Normas de cotización de la Bolsa de Nueva York, Parte 7d" (PDF) . Archivado desde el original (PDF) el 11 de junio de 2014 . Consultado el 27 de agosto de 2017 .
- ^ Calificaciones de S&P: artículo de tesorería y riesgo archivado el 28 de septiembre de 2007 en la Wayback Machine.
- ^ S&P ERM para instituciones financieras
- ^ Preguntas frecuentes sobre S&P ERM
- ^ Anuncio de S&P ERM
- ^ http://www.ifc.org/wps/wcm/connect/topics_ext_content/ifc_external_corporate_site/sustainability-at-ifc/policies-standards/performance-standards/ps1
- ^ "Informe FERMA ECIIA de Gobierno de Riesgo Cibernético | Ferma" . www.ferma.eu . Consultado el 1 de octubre de 2018 .
- ^ a b Comité de Gestión de Riesgos Empresariales (mayo de 2003). "Descripción general de la gestión de riesgos empresariales" (PDF) . Sociedad Actuarial de Accidentes . Consultado el 15 de septiembre de 2008 . Cite journal requiere
|journal=
( ayuda ) - ^ "Objetivos de ERM SAM" (PDF) . Meta del centenario de CAS y metas de SAM . Sociedad Actuarial de Accidentes . Marzo de 2008 . Consultado el 15 de septiembre de 2008 .
- ^ "Sitio web de gestión de riesgos empresariales" . Sociedad Actuarial de Accidentes . 2008 . Consultado el 15 de septiembre de 2008 .
- ^ "Resumen ejecutivo: Reunión de la Junta Directiva de CAS" (PDF) . Sociedad Actuarial de Accidentes . 17 de junio de 2007. Archivado desde el original (PDF) el 27 de junio de 2010 . Consultado el 15 de septiembre de 2008 .
- ^ "Descripción general de la credencial" . Sociedad de Actuarios . 2008 . Consultado el 15 de septiembre de 2008 .
- ^ a b c "Hechos rápidos de CERA" . Sociedad de Actuarios . 2008 . Consultado el 15 de septiembre de 2008 .
- ^ "Beneficios" . Sociedad de Actuarios . 2008 . Consultado el 15 de septiembre de 2008 .
- ^ "El Tratado CERA" . CERA Global. 2009. Archivado desde el original el 12 de enero de 2015 . Consultado el 12 de enero de 2015 .
enlaces externos
- Thomas Stanton (18 de febrero de 2017). "Gestión de riesgos empresariales" . YouTube . TEDxJHUDC.
- Airmic / Alarm / IRM (2010) "Un enfoque estructurado para la Gestión de Riesgos Empresariales (ERM) y los requisitos de ISO 31000"
- Hopkin, Paul "Fundamentos de la gestión de riesgos 2ª edición" Kogan-Page (2012) ISBN 978-0-7494-6539-1