Commi t tee del Patrocinador ing iones organizat de la Comisión Treadway

Enterprise Risk Management

La integración con la estrategia y rendimiento
Resumen Ejecutivo

de junio de 2017
Este proyecto fue encargado por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO),
que se dedica a proporcionar liderazgo mediante el desarrollo de marcos generales y orientación sobre el control
interno, la gestión del riesgo empresarial, y la disuasión del fraude diseñado para mejorar el rendimiento de la
organización y supervisión y para reducir el alcance del fraude en las organizaciones. COSO es una iniciativa del
sector privado, patrocinado y financiado por forma conjunta:

• Asociación Americana de Contabilidad

• Instituto Americano de Contadores Públicos Certificados

• Los ejecutivos financiera internacional

• Institute of Management Accountants

• El Instituto de Auditores Internos

© 2017 Todos los derechos reservados. Ninguna parte de esta publicación puede ser reproducida, redistribuida, transmitir o mostrar en cualquier forma o por cualquier medio, sin la autorización por escrito de
COSO. P254469-01 0516
 Resumen Ejecutivo

Prefacio
En consonancia con su misión general, el directorio de COSO encargado y publicado en 2004 Riesgo Marco de Gestión Integrada-empresa. Durante
la última década, que la publicación ha obtenido una gran aceptación por parte de las organizaciones en sus esfuerzos para gestionar el riesgo.
Sin embargo, también a través de ese período, la complejidad del riesgo ha cambiado, nuevos riesgos han surgido, y las dos juntas y ejecutivos
han mejorado su conocimiento y supervisión de la gestión de riesgos de la empresa mientras se le pide para una mejor presentación de informes
de riesgo. Esta actualización de la publicación 2004 se refiere a la evolución de la gestión del riesgo empresarial y la necesidad de las
organizaciones a mejorar su enfoque de la gestión de riesgos para satisfacer las demandas de un entorno empresarial cambiante. El documento
actualizado, ahora titulado Enterprise Risk Management-La integración con la estrategia y rendimiento, pone de relieve la importancia de considerar
los riesgos, tanto en el proceso de la estrategia de fijación y en la conducción de rendimiento. La primera parte de la publicación actualizada ofrece
una perspectiva sobre los conceptos y aplicaciones de gestión de riesgos empresariales actuales y futuras. En la segunda parte, el Marco, está
organizado en cinco fáciles de entender los componentes que se adaptan a diferentes puntos de vista y las estructuras de funcionamiento, y
mejorar las estrategias y la toma de decisiones. En resumen, esta actualización:

• Proporciona una mayor penetración en el valor de la gestión de riesgos empresariales al establecer y llevar a cabo la estrategia.

• Mejora la alineación entre el rendimiento y la gestión del riesgo empresarial para mejorar la fijación de objetivos de rendimiento y
comprender el impacto del riesgo en el rendimiento.

• Tiene capacidad expectativas de gobierno y supervisión.

• Reconoce la globalización de los mercados y las operaciones y la necesidad de aplicar un campo común, aunque sea a la medida, el
enfoque a través de geografías.

• Presenta nuevas formas de riesgo miras a establecer y alcanzar objetivos en el contexto de complejidad mayor negocio.

• Se expande la presentación de informes a las expectativas de direcciones para la transparencia mayor de los interesados.

• Tiene capacidad evolución de las tecnologías y la proliferación de datos y análisis en apoyo a la toma de decisiones.

• Presenta definiciones básicas, componentes y principios para todos los niveles de gestión que intervienen en el diseño,
implementación, y la realización de las prácticas de gestión de riesgos empresariales. Los lectores también pueden consultar una
publicación complementaria, COSO de Marco Integrado de Control Interno. Las dos publicaciones son distintas y tienen diferentes
enfoques; ni sustituye a la otra. Sin embargo, lo hacen conexión. Marco de Control Interno Integrado

abarca el control interno, la cual se hace referencia, en parte, en la actualización de esta publicación, por lo que el documento anterior sigue
siendo viable y conveniente para el diseño, implementación, llevar a cabo y evaluar el control interno y el consiguiente presentación de
informes.

El directorio de COSO quiere agradecer a PwC por sus contribuciones significativas en el desarrollo Enterprise Risk Management-La
integración con la estrategia y rendimiento. Su plena consideración de aportaciones de muchos actores y su visión jugaron un papel
decisivo en asegurar que los puntos fuertes de la publicación original se han conservado, y que el texto se ha aclarado o ampliado,
donde se consideró útil para hacerlo. El directorio de COSO y PwC junto gustaría también agradecer al Consejo Asesor y
observadores por sus contribuciones en la revisión y proporcionar retroalimentación.

Presidente COSO Robert B. Dennis L. Chesley del Proyecto de PwC Jefe de

Jr. Hirth Fila y Global APA y de Riesgos y Líder Reguladora

de junio de 2017 iii

 Enterprise Risk Management | La integración con la estrategia y rendimiento

COSO

Miembros de la Junta

Robert B. Jr. Hirth Richard F. Cámaras Mitchell A. Danaher

Presidente COSO El Instituto de Auditores Internos Los ejecutivos financiera internacional

Charles E. Landes Douglas F. Prawitt Sandra Richtermeyer

Instituto Americano de Contadores Públicos Asociación Americana de Contabilidad Institute of Management
Certificados Accountants

PwC-Autor

Colaboradores principales

Miles EA Everson Dennis L. Chesley Frank J. Martens

Líder de compromiso y Global y Asia, Jefe de Fila y Global APA y de Riesgos Líder de Proyecto Director y Marco Global del
Pacífico y Américas (APA) Líder Asesor y Líder Reguladora de Washington DC, Riesgo y el líder de Metodología de Columbia
de Nueva York, EE.UU. EE.UU. Británica, Canadá

Mateo Bagin Hélène Katz Katie T. Sylvis

Director Director Directora Washington DC,
Washington DC, EE.UU. Nueva York, Estados Unidos EE.UU.

Sallie Jo Perraglia Kathleen Crader Zelnik María Grimshaw

Gestor de Nueva York, Gerente Asociado Senior
EE.UU. Washington DC, EE.UU. Nueva York, Estados Unidos

iv de junio de 2017
 Resumen Ejecutivo

Los cambios del paisaje de Riesgos

Nuestra comprensión de la naturaleza del riesgo, el arte y la ciencia de la elección, se encuentra en el núcleo de nuestra economía moderna. Cada
elección que hacemos en la búsqueda de objetivos tiene sus riesgos. A partir de las decisiones operativas del día a día a las ventajas y desventajas
fundamentales en la sala de juntas, que se ocupan de riesgo en estas elecciones es una parte de la toma de decisiones.

A medida que buscamos para optimizar una gama de posibles resultados, las decisiones rara vez son binarios, con una respuesta bien y el
mal. Es por eso que la gestión de riesgos de la empresa puede ser llamado un arte y una ciencia. Y cuando el riesgo es considerado en la
formulación de la estrategia y objetivos de negocio de una organización, la gestión de riesgos de la empresa ayuda a optimizar los
resultados. Nuestra comprensión del riesgo y nuestra práctica de la gestión del riesgo empresarial han mejorado mucho en los últimos
decenios. Sin embargo, el margen de error se reduce. El Foro Económico Mundial ha comentado sobre la “creciente volatilidad, la
complejidad y la ambigüedad del mundo.” 1 Eso es un fenómeno que todos reconocemos. Organizaciones encontrar desafíos que la fiabilidad
de impacto, relevancia y confianza. Las partes interesadas están más comprometidos hoy en día, la búsqueda de una mayor transparencia y
rendición de cuentas de la gestión del impacto del riesgo a la vez que la evaluación crítica de la capacidad de liderazgo para cristalizar
oportunidades. éxito aún puede traer consigo el riesgo adicional, el lado negativo riesgo de no poder cumplir con la demanda
inesperadamente alta, o mantener el impulso de negocio previsto, por ejemplo.

Las organizaciones necesitan ser más adaptable al cambio. Tienen que pensar estratégicamente sobre cómo manejar la volatilidad
creciente, la complejidad y la ambigüedad del mundo, particularmente en los niveles superiores de la organización y en la sala de
juntas donde las apuestas son más altas.

Enterprise Risk Management-Integración con Estrategia y Rendimiento proporciona un marco para la gestión de las juntas y de
las entidades de todos los tamaños. Se basa en el nivel actual de la gestión del riesgo que existe en el curso normal del
negocio. Además, se demuestra cómo la integración de las prácticas de gestión de riesgos de la empresa toda la entidad ayuda
a acelerar el crecimiento y mejorar el rendimiento. También contiene principios que pueden ser aplicados, desde la toma de
decisiones estratégicas a través de rendimiento.

A continuación, se describe por qué tiene sentido para la gestión y tableros para utilizar el marco de gestión de riesgos de la empresa, 2 lo
que las organizaciones han logrado mediante la aplicación de gestión del riesgo empresarial, y lo que más beneficios que pueden realizar a
través de su uso continuado. Concluimos con una mirada hacia el futuro.

Guía de gestión de gestión de riesgos empresariales

Gestión tiene la responsabilidad general de la gestión del riesgo de la entidad, pero es importante para la gestión de ir más lejos:
para mejorar la conversación con el tablero y las partes interesadas sobre el uso de la gestión de riesgos de la empresa para
obtener una ventaja competitiva. Que se inicia mediante el despliegue de capacidades de gestión de riesgos de la empresa
como parte de la selección y el perfeccionamiento de una estrategia. En particular, a través de este proceso, la gestión va a
obtener un mejor entendimiento de cómo la consideración explícita de riesgo puede afectar a la elección de la estrategia. gestión
del riesgo empresarial enriquece el diálogo de gestión mediante la adición de la perspectiva de las fortalezas y debilidades de
una estrategia al cambiar las condiciones, y para la eficacia de un encaja con la estrategia de la misión y visión de la
organización.

.....................................................................................................

1
El Informe Global Risks 2016, 11ª edición, el Foro Económico Mundial (2016).

2
El marco utiliza el término “consejo de administración” o “junta”, que abarca el órgano de gobierno, incluyendo la junta, consejo de vigilancia, consejo de

administración, los socios generales, o propietario.

de junio de 2017 1
 Enterprise Risk Management | La integración con la estrategia y rendimiento

Una vez que se establece la estrategia, la gestión del riesgo empresarial proporciona una forma eficaz para la gestión de cumplir su función,
sabiendo que la organización está en sintonía con los riesgos que pueden afectar a la estrategia y está gestionando bien. La aplicación de gestión
de riesgos de la empresa ayuda a crear confianza y seguridad inculcar a los interesados ​en el entorno actual, que exige un mayor control que
nunca sobre cómo está abordando el riesgo y la gestión de estos riesgos de manera activa.

Guía de la Junta de Enterprise Risk Management

Cada placa tiene una función de supervisión, lo que ayuda a apoyar la creación de valor en una entidad y evitar su deterioro. Tradicionalmente, la

gestión del riesgo empresarial ha desempeñado un papel de apoyo fuerte a nivel del consejo. Ahora, se espera que cada vez más juntas para

proporcionar una supervisión de la gestión de riesgos de la empresa. El Marco suministra consideraciones importantes para los tableros en la

definición y hacer frente a sus responsabilidades de supervisión de riesgo. Estas consideraciones incluyen la gobernabilidad y la cultura; estrategia y

el establecimiento de objetivos; actuación; información, las comunicaciones y la información; y el examen y revisión de las prácticas para mejorar el

rendimiento entidad. función de supervisión de riesgos de la junta puede incluir, pero no se limitan a:

• Revisar, desafiante, y coincidiendo con la dirección en:

- estrategia propuesta y el apetito de riesgo.

- Alineación de los objetivos estratégicos y de negocios con la misión, visión y valores fundamentales establecidos de la entidad

- decisiones de negocio significativas que incluyen fusiones adquisiciones, las asignaciones de capital, financiación, y las decisiones relacionados con los

dividendos

- Respuesta a las fluctuaciones significativas en el rendimiento entidad o la cartera de vista de riesgo.

- Las respuestas a las instancias de desviación de los valores de la base.

• La aprobación de incentivos a la gestión y remuneración.

Preguntas que la
gerencia
Puede todo de gestión, no sólo el principal riesgo
oficial de articular cómo el riesgo se considera en la
selección de la estrategia de negocio o decisiones?
Pueden articular claramente el apetito de riesgo de la
entidad y cómo podría influir en una decisión
específica? La conversación resultante puede arrojar
luz sobre lo que la mentalidad de la asunción de
riesgos es realmente como en la organización.
• La participación en los inversores y relaciones de los interesados. A largo plazo, la gestión de riesgos
de la empresa también puede mejorar la capacidad de recuperación de la empresa, la capacidad de
anticipar y responder al cambio. Ayuda a las organizaciones a identificar los factores que representan no
sólo el riesgo, pero el cambio, y cómo ese cambio podría afectar el rendimiento y hacen necesario un
cambio de estrategia. Al ver el cambio con mayor claridad, una organización puede moldear su propio
plan; por ejemplo, en caso de que la defensiva retirarse o invertir en un nuevo negocio? gestión del
riesgo empresarial proporciona el marco adecuado para las placas para evaluar los riesgos y adoptar un
modo de pensar de la resiliencia.

Juntas también pueden pedir a la alta dirección para
hablar no solo de los procesos de riesgo, sino también
sobre la cultura. ¿Cómo activar la cultura o inhibir la toma
de riesgos responsable? Lo que hace uso de lentes de
gestión para controlar la cultura de riesgo, y cómo ha
cambiado? A medida que cambian las cosas y las cosas
van a cambiar si están o no están en el radar de la
entidad, ¿cómo puede el tablero estar seguro de una
adecuada y oportuna respuesta de la administración?
Lo Enterprise Risk Management ha logrado
COSO publicada Gestión Integrada-Marco de Riesgo Empresarial en 2004. El propósito de esta
publicación era mejor entidades de ayuda a proteger y mejorar el valor de los interesados. Su
filosofía subyacente era que el “valor se maximiza cuando la estrategia y los objetivos conjuntos
de gestión para lograr un equilibrio óptimo entre los objetivos de crecimiento y retorno y riesgos
relacionados, y despliega de manera eficiente y eficaz de los recursos en la búsqueda de
objetivos de la entidad.” 3

.....................................................................................................

3 Enterprise Risk Management-Marco Integrado, Resumen Ejecutivo, COSO (2004).

2 de junio de 2017
 Resumen Ejecutivo

Desde su publicación, la Marco de referencia ha sido utilizado con éxito en todo el mundo, en
todas las industrias, y en organizaciones de todos los tipos y tamaños para identificar los
El esclarecimiento de
riesgos, gestionar estos riesgos en un apetito de riesgo definido, y apoyar el logro de los
algunas ideas falsas
objetivos. Sin embargo, aunque muchos han aplicado la Marco de referencia en la práctica,
Hemos escuchado algunas ideas falsas sobre el
tiene el potencial de ser utilizado más ampliamente. Se beneficiaría de examinar ciertos
original Marco de referencia desde que se
aspectos con más profundidad y claridad, y proporcionando una mayor comprensión de los
introdujo en 2004. Para aclarar las cosas:
vínculos entre la estrategia, el riesgo y el rendimiento. En respuesta, por lo tanto, el marco
actualizado en esta publicación:
gestión del riesgo empresarial no es una función o
departamento. Es la cultura, capacidades y prácticas
que las organizaciones a integrar con la estrategia de
• conecta con mayor claridad la gestión de riesgos de la empresa con una multitud de
fijación y se aplican cuando llevan a cabo esa
expectativas de los interesados.
estrategia, con un objetivo de la gestión del riesgo en
• Las posiciones de riesgo en el contexto del desempeño de una organización, la creación, la preservación y obtención de valor.
más que como objeto de un ejercicio aislado.

• Permite a las organizaciones a anticipar mejor los riesgos para que puedan obtener por gestión del riesgo empresarial es más que una lista de

delante de él, con el entendimiento de que el cambio crea oportunidades, y no sólo el
potencial de las crisis. Esta actualización también responde a la llamada de un mayor énfasis
en cómo la gestión de riesgos de la empresa informa la estrategia y su rendimiento.
riesgos. Se requiere algo más que hacer un inventario
de todos los riesgos dentro de la organización. Es más
amplio e incluye prácticas que pone de gestión para
gestionar activamente el riesgo.

direcciones de gestión de riesgos de la empresa más

Beneficios de la gestión del riesgo empresarial eficaz
Todas las organizaciones necesitan para la estrategia de establecer y ajustar periódicamente,
manteniéndose siempre al tanto de los dos siempre cambiantes oportunidades de creación de
valor y los retos que se producirán en la búsqueda de ese valor. Para ello, necesitan el mejor
marco posible para la optimización de la estrategia y el rendimiento.
que el control interno.
También se tratan otros temas como la estrategia de
establecimiento, la gestión, la comunicación con las
partes interesadas, y medir el rendimiento. Sus principios
se aplican a todos los niveles de la organización y en
todas las funciones.

gestión del riesgo empresarial no es una lista de verificación. Se

Ahí es donde la gestión del riesgo empresarial entra en juego. Las organizaciones que
trata de un conjunto de principios en los que los procesos
integran la gestión del riesgo empresarial en toda la entidad pueden realizar muchos
pueden ser construidos o integrado para una organización en
beneficios, incluyendo, aunque no limitado a:
particular, y es un sistema de monitoreo, el aprendizaje y la
mejora del rendimiento.
• El aumento de la gama de oportunidades: Al tener en cuenta todas las
posibilidades, tanto los aspectos positivos y negativos de la gestión de riesgos
gestión de la empresa de riesgo puede ser utilizado por las
pueden identificar nuevas oportunidades y desafíos únicos asociados con las
organizaciones de cualquier tamaño. Si una organización tiene
oportunidades actuales.
una misión, una estrategia y objetivos, y la necesidad de

• La identificación y gestión de riesgos en toda la entidad: Cada entidad se enfrenta a miles tomar decisiones que consideren plenamente la gestión del

de riesgos que pueden afectar a muchas partes de la organización. A veces un riesgo riesgo empresarial riesgo, entonces se puede aplicar. Puede y

puede originarse en una parte de la entidad, sino afectar a una parte diferente. En debe ser utilizado por todo tipo de organizaciones, desde

consecuencia, identifica y gestiona gestión de estos riesgos globales de la entidad para pequeñas empresas a las empresas sociales basadas en la

mantener y mejorar el rendimiento. comunidad a las agencias gubernamentales a las compañías

de Fortune 500.

• El aumento de los resultados positivos y las ventajas al tiempo que reduce las sorpresas
negativas: gestión del riesgo empresarial permite a las entidades a mejorar su capacidad
para identificar los riesgos y establecer respuestas adecuadas, sorpresas y la reducción de
costes o pérdidas relacionadas, beneficiándose al mismo tiempo de realización ventajosas.

de junio de 2017 3
 Enterprise Risk Management | La integración con la estrategia y rendimiento

• La reducción de la variabilidad de rendimiento: Para algunos, el reto es menos de sorpresas y pérdidas y más con la
variabilidad en el rendimiento. Realizar antes de lo previsto o más allá de las expectativas puede causar tanta
preocupación como la realización de cortos de programación y expectativas. gestión del riesgo empresarial permite
a las organizaciones para anticipar los riesgos que podrían afectar el rendimiento y les permitan poner en marcha
las acciones necesarias para minimizar las interrupciones y la oportunidad de maximizar.

• La mejora de la distribución de recursos: Cada riesgo se podría considerar una solicitud de recursos. La obtención de
información sólida sobre el riesgo permite la gestión, en la cara de los recursos finitos, para evaluar las necesidades
generales de recursos, priorizar el despliegue de recursos y mejorar la asignación de recursos.

• Aumentando la fortaleza de la empresa: la viabilidad a medio y largo plazo de una entidad depende de su
capacidad para anticipar y responder a los cambios, no sólo para sobrevivir sino también para evolucionar y
prosperar. Esto es, en parte, posible gracias a la gestión de riesgos financieros. Se vuelve cada vez más
importante ya que el ritmo de cambio se acelera y aumenta la complejidad del negocio.

Estos beneficios destacan el hecho de que el riesgo no debe considerarse únicamente como una limitación potencial o desafío para
establecer y llevar a cabo una estrategia. Por el contrario, el cambio que subyace en el riesgo y las respuestas de la organización a
riesgos dan lugar a oportunidades estratégicas y capacidades de diferenciación clave.

El papel de los riesgos en la selección de estrategias

selección de la estrategia consiste en tomar decisiones y aceptar las compensaciones. Así que tiene sentido aplicar la
gestión del riesgo empresarial a la estrategia ya que es el mejor enfoque para desenredar el arte y la ciencia de tomar
decisiones bien informadas.

El riesgo es una consideración en muchos procesos de la estrategia de fijación. Pero el riesgo se evalúa a menudo sobre todo en relación
con su efecto potencial sobre una estrategia ya-determinado. En otras palabras, las discusiones se centran en los riesgos para la estrategia
existente: Tenemos una estrategia en su lugar, lo que podría afectar a la pertinencia y la viabilidad de nuestra estrategia?

Pero hay otras preguntas que hacer acerca de la estrategia, que las organizaciones son cada vez mejores en precio que pide: ¿Hemos
modelado demanda de los clientes con precisión? Será nuestra cadena de suministro entregar a tiempo y dentro del presupuesto?
Emergerán nuevos competidores? Es nuestra infraestructura de tecnología a la altura? Estos son los tipos de preguntas que los
ejecutivos de lidiar con todos los días, y responder a ellos es fundamental para llevar a cabo una estrategia.

Sin embargo, el riesgo para la estrategia elegida es sólo un aspecto a tener en cuenta. Como este marco destaca, hay dos
aspectos adicionales a la gestión de riesgos empresariales que pueden tener mucho mayor efecto sobre el valor de una entidad:
la posibilidad de alinear la estrategia no, y las implicaciones de la estrategia elegida. El primero de ellos, la posibilidad de que la
estrategia no alinearse con los valores de la misión, visión y principales de una organización, es fundamental para las
decisiones que subyacen selección de la estrategia. Cada entidad tiene unos valores de misión, visión y principales que definen
lo que está tratando de lograr y cómo quiere realizar negocios. Algunas organizaciones son escépticos sobre erigiéndose en sus
credos corporativos. Pero la misión, visión y valores básicos se ha demostrado que son importantes y que son más importantes
cuando se trata de la gestión del riesgo y la restante resistente durante los períodos de cambio.

4 de junio de 2017
 Resumen Ejecutivo

Una estrategia elegida debe ser compatible con la misión y visión de la organización. Una estrategia desalineada aumenta la posibilidad
de que la organización puede no darse cuenta de su misión y visión, o puede comprometer sus valores, incluso si una estrategia se lleva
a cabo con éxito. Por lo tanto, la gestión de riesgos de la empresa considera la posibilidad de que la estrategia de no alinearse con la
misión y visión de la organización.

El otro aspecto adicional es las implicaciones de la estrategia elegida. Cuando la administración se desarrolla una estrategia y funciona a
través de alternativas con el tablero, que toman decisiones sobre las ventajas y desventajas inherentes a la estrategia. Cada estrategia
alternativa tiene su propio perfil de riesgo-éstas son las implicaciones derivadas de la estrategia. La junta directiva y la necesidad de gestión
para determinar si las obras de estrategia en conjunto con el apetito de riesgo de la organización, y cómo va a ayudar a impulsar la
organización con los objetivos establecidos y, finalmente, asignar los recursos de manera eficiente. Esto es lo que es importante: la gestión
de riesgos corporativos se trata tanto de la comprensión de la

implicaciones de la estrategia y la posibilidad de no alinear la estrategia como se trata de la gestión de riesgos a los objetivos fijados. La
figura a continuación ilustra estas consideraciones en el contexto de la misión, la visión, los valores centrales, y como motor de dirección y
el rendimiento general de una entidad.

rtel
oeoso yo
metpro
algyC
nl oyrtn o
un
l ysoo unt
yo
on
tet osr
noor te

Fr
om
so
yl
mi

etr
unt

toh
tr

mi
Estrategia, los
s s yosi yol yot y o F s

s t r un
Misión, Visión y Valores objetivos de negocios, RENDIMIENTO

t misoly
Fundamentales Y RENDIMIENTO MEJORADO

Cho
G
PAo

s min
orte

R
i

te
m

ys or
C

o n
k etru
on
to rm
s tr
unt mi sol pagmi
r Fo
y y

la gestión de riesgos de la empresa, ya que por lo general se ha practicado, ha ayudado a muchas organizaciones a identificar, evaluar y
gestionar los riesgos para la estrategia. Pero las causas más importantes de la destrucción de valor están incrustados en la posibilidad de que
la estrategia no apoyar la misión y la visión de la entidad, así como las implicaciones de la estrategia.

gestión del riesgo empresarial mejora la selección de la estrategia. La elección de una estrategia de llamadas para la toma de decisiones
estructurada que analiza los recursos de riesgo y se alinea con la misión y visión de la organización.

de junio de 2017 5
 Enterprise Risk Management | La integración con la estrategia y rendimiento

Un marco enfocado
Enterprise Risk Management-Integración con Estrategia y Rendimiento aclara la importancia de la gestión del riesgo
empresarial en la planificación estratégica y incrustarlo en toda la organización, porque influye en el riesgo y alinea la
estrategia y rendimiento en todos los departamentos y funciones.

Gestión del riesgo empresarial

Misión, valores VISIÓN, y DESARROLLO DE NEGOCIO DE APLICACIÓN Y mayor valor

subyacente ESTRATEGIAS FORMULACIÓN RENDIMIENTO
OBJETIVO

Gobernabilidad y Estrategia y establecimiento de Actuación Revisión y Información, Comunicación,

cultura objetivos Revisión y elaboración de informes

El marco en sí es un conjunto de principios organizados en cinco componentes interrelacionados:

1. Gobierno y Cultura : Gobierno establece el tono de la organización, el refuerzo de la

importancia y establecer funciones de supervisión, gestión de riesgos empresariales. Cultura se refiere a los valores
éticos, deseaban comportamientos, y la comprensión de los riesgos en la entidad.

2. Estrategia y establecimiento de objetivos : gestión del riesgo empresarial, estrategia y

establecimiento de objetivos de trabajo juntos en el proceso de planificación estratégica. A apetito de riesgo se establece y
alineada con la estrategia; objetivos de negocio ponen en práctica la estrategia mientras que sirve como base para la
identificación, evaluación y respuesta al riesgo.

3. Rendimiento : Otros riesgos que pueden afectar el logro de la estrategia y de negocios

objetivos necesitan ser identificados y evaluados. Los riesgos son priorizados por la gravedad en el contexto del apetito por el
riesgo. La organización selecciona a continuación las respuestas al riesgo y toma una vista de cartera de la cantidad de riesgo
que ha asumido. Los resultados de este proceso se informa a los interesados ​clave de riesgo.

4. Revisión y modificación : Mediante la revisión de rendimiento de la entidad, una organización puede con-
Sider lo bien que los componentes de gestión de riesgos de la empresa están funcionando con el tiempo ya la luz de los
cambios sustanciales, y lo que se necesitan revisiones.

5. Información, Comunicación y generación de informes : gestión del riesgo empresarial

requiere un proceso continuo de obtener y compartir información necesaria, tanto de fuentes internas y
externas, que fluye hacia arriba, abajo, y en toda la organización.

6 de junio de 2017
 Resumen Ejecutivo

Los cinco componentes en el marco actualizado se apoyan en una serie de principios. 4 Estos principios cubren todo, desde el gobierno a
la vigilancia. Son de un tamaño manejable, y que describen las prácticas que se pueden aplicar de diferentes maneras para diferentes
organizaciones independientemente de su tamaño, tipo o sector. La adhesión a estos principios puede brindar una administración y la
junta con una expectativa razonable de que la organización entiende y se esfuerza para gestionar los riesgos asociados a sus objetivos
de la estrategia y de negocios.

Gobernabilidad y Estrategia y establecimiento de Actuación Revisión y Información, Comunicación,

cultura objetivos Revisión y elaboración de informes

1. Ejercicios Junta de Supervisión de Contexto 6. Los análisis de 10. Identifica Riesgo 15. evalúa el cambio sustancial 18. aprovecha la información y la
Riesgos negocios Tecnología
11. Evalúa gravedad del riesgo
2. Estructuras Establece operativos 7. El apetito define el riesgo 16. Los comentarios riesgo y el 19. comunica información de
desempeño riesgo
8. Evalúa estrategias alternativas Riesgos 12. da prioridad al
3. Define Deseada Cultura 17. Persigue Mejora de la Gestión de 20. Informes de Riesgo,
13. Instrumental respuestas a los
Riesgo Empresarial Cultura y Rendimiento
4. Demuestra 9. Objetivos Formula comerciales riesgos
compromiso con los
14. Desarrolla la cartera Ver
valores básicos

5. atrae, desarrolla y retiene

individuos capaces

Mirando hacia el futuro

No hay duda de que las organizaciones seguirán haciendo frente a un futuro lleno de volatilidad, la complejidad y la ambigüedad. la gestión de
riesgos de la empresa será una parte importante de cómo una organización gestiona y prospera a través de estos tiempos. Independientemente del
tipo y tamaño de una entidad, las estrategias tienen que permanecer fiel a su misión. Y todas las entidades tienen que presentar rasgos que
conducen a una respuesta eficaz al cambio, incluyendo la toma de decisiones ágil, la capacidad de responder de una manera coherente, y la
capacidad de adaptación al pivote y reposición, mientras que el mantenimiento de altos niveles de confianza entre las partes interesadas. Al mirar
hacia el futuro, hay varias tendencias que tendrán un efecto sobre la gestión del riesgo empresarial. Sólo cuatro de ellos son:

• Tratar con la proliferación de los datos: A medida que más y más datos disponibles y la velocidad a la que los nuevos datos se
pueden analizar los aumentos, la gestión de riesgos de la empresa tendrá que adaptarse. Los datos vendrá de dentro y fuera
de la entidad, y se estructurará en nuevas formas. analíticas avanzadas y herramientas de visualización de datos evolucionan y
ser muy útiles para la comprensión del riesgo y su impacto tanto positivo como negativo.

• Aprovechando la inteligencia artificial y automatización: Muchas personas sienten que hemos entrado en la era de los procesos
automatizados e inteligencia artificial. Independientemente de las creencias individuales, es importante para las prácticas de gestión de
riesgos de la empresa a tener en cuenta el impacto de estas y futuras tecnologías y aprovechar sus capacidades. Anteriormente
relaciones irreconocibles, las tendencias y los patrones pueden ser descubiertos, proporcionando una rica fuente de información crítica
para la gestión del riesgo.

• Gestión del coste de la gestión de riesgos: Una preocupación frecuente expresada por muchos ejecutivos de negocios es el coste de la
gestión de riesgos, los procesos de cumplimiento y las actividades de control en comparación con el valor obtenido. A medida que las
prácticas de gestión de riesgos empresariales evolucionan, será importante que las actividades que abarcan riesgos, cumplimiento,
control y gobierno incluso ser coordinadas de manera eficiente para proporcionar el máximo beneficio para la organización. Esto puede
representar una de las mejores oportunidades para la gestión de riesgos empresariales a redefinir su importancia para la organización.

......................................................................................................

4
Una descripción más completa de estos veinte principios se proporciona al final de este documento.

de junio de 2017 7
 Enterprise Risk Management | La integración con la estrategia y rendimiento

• La construcción de organizaciones más fuertes: A medida que las organizaciones se vuelven mejores en integrar la gestión del
riesgo empresarial con la estrategia y el rendimiento, una oportunidad para fortalecer la capacidad de recuperación se presentará.
Al conocer los riesgos a los que tendrán el mayor impacto en la entidad, las organizaciones pueden utilizar la gestión de riesgos de
la empresa para ayudar a poner en práctica las capacidades que les permitan actuar antes de tiempo. Esto abrirá nuevas
oportunidades.

En resumen, la gestión de riesgos de la empresa tendrá que cambiar y adaptarse al futuro para proporcionar de forma
coherente los beneficios descritos en el Marco. Con el enfoque adecuado, los beneficios derivados de la gestión de riesgos
de la empresa superan con creces las inversiones y proporcionar a las organizaciones confianza en su capacidad para
manejar el futuro.

8 de junio de 2017
 Resumen Ejecutivo

Expresiones de gratitud
Un agradecimiento especial a las siguientes empresas y organizaciones para permitir la participación de los miembros y observadores de
asesoramiento del Consejo.

Miembros del Consejo Asesor Los observadores

Empresas y organizaciones • Federal Deposit Insurance Corporation (Harrison

Greene)
• Athene EE.UU. (Jane Karli)
• Oficina de Responsabilidad del Gobierno (Santiago Dalkin)
• Edison International (David J. Heller)
• First Data Corporation (Lee Marks)
• Institute of Management Accountants (Jeff Thompson)
• Georgia-Pacific LLC (Paul Sobel)
• Invesco Ltd. (Suzanne Christensen)
• Institut der Wirtschaftsprüfer (Horst Kreisel)
• Microsoft (Jeff Pratt)
• Departamento de Comercio de Estados Unidos (Karen Hardy)
• Federación Internacional de Contadores (Vincent
Tophoff)
• United Technologies Corporation (Margaret
• ISACA (Jennifer Bayuk)
Boissoneau)
• Sociedad de Gestión de Riesgos (Carol Fox)
• Zurich Insurance Company (James Davenport)

Educación Superior y Asociaciones

• North Carolina State University (Marcos Beasley)

• Universidad de St. John (Paul Walker)

• El Instituto de auditores internos (Douglas J.
Anderson)

Empresas de servicios profesionales

• Crowe Horwath LLP (William Watts)

• Deloitte & Touche LLP (Henry Ristuccia)
• Ernst & Young (Anthony J. Carmello)
• James Lam & Associates (James Lam)
• Grant Thornton (Bailey Jordan)
• KPMG LLP Américas (Deon Minnaar)
• Mercury Business Advisors Inc. (Patrick Stroh)

• Protiviti Inc. (James DeLoach)

El ex miembro de la Junta COSO

• COSO Presidente, 2009-2013 (David

Landsittel)

de junio de 2017 9
 Enterprise Risk Management | La integración con la estrategia y rendimiento

Componentes y Principios
1. Ejercicios Junta de Supervisión de Riesgos -El consejo de administración proporciona supervisión de la estrategia y lleva a cabo
responsabilidades de gobierno a la gestión de la ayuda en el logro de objetivos de la estrategia y de negocios.

2. Establece estructuras- operativo La organización establece estructuras que operan en el

consecución de los objetivos estratégicos y de negocios.

3. Define Deseada Cultura- La organización define los comportamientos deseados que caracterizan la
cultura deseada de la entidad.

4. Demuestra el compromiso con Core valores- La organización demuestra un compromiso

a los valores fundamentales de la entidad.

5. Atrae, desarrolla y retiene individuos- Capaz La organización se compromete a

la construcción de capital humano en alineación con los objetivos de la estrategia y de negocios.

6. Contexto- análisis de negocios La organización considera que los efectos potenciales de contexto empresarial
en el perfil de riesgo.

7. Define el riesgo Appetite- El define organización apetito de riesgo en el contexto de la creación,

preservación y obtención de valor.

8. Evalúa Alternativa Estrategias de La organización evalúa estrategias alternativas y

impacto potencial sobre el perfil de riesgo.

9. Formula Objetivos- negocios La organización considera que el riesgo al tiempo que establece la
objetivos de negocio en los distintos niveles que la estrategia de alineación y apoyo.

10. Identifica el Riesgo Las organización identifica riesgo de que los efectos del desempeño de la estrategia y
objetivos de negocios.

11. Evalúa Severidad de el Riesgo La organización evalúa la gravedad del riesgo.

12. da prioridad al riesgos- Los prioriza organización riesgos, como base para la selección de las respuestas a los riesgos.

13. Instrumental de Riesgos respuestas- Las organización identifica y selecciona el riesgo respuestas.

14. Desarrolla Cartera View- La organización desarrolla y evalúa una vista de cartera de riesgo.

15. Evalúa sustancial cambio- Los identifica y evalúa los cambios que puedan organización
afectar sustancialmente a los objetivos estratégicos y de negocios.

16. Los comentarios de Riesgos y Performance La revisión de la organización rendimiento de la entidad y considera
riesgo.

17. Persigue Mejoras en Enterprise Administración de riesgos- Los persigue la organización

mejora de la gestión de riesgos empresariales.

18. Sistemas aprovecha la información La organización aprovecha la información de la entidad y

sistemas tecnológicos para la gestión de riesgos apoyo a las empresas.

19. Comunica Riesgo Information- La organización utiliza canales de comunicación para apoyar
gestión del riesgo empresarial.

20. Informes de Riesgo, Cultura y Performance La organización informa sobre el riesgo, la cultura, y
el rendimiento en múltiples niveles y en toda la entidad.

10 de junio de 2017
Una versión completa de Enterprise Risk Management-Integración con Estrategia y Rendimiento se pueden comprar visitando el
sitio web www.coso.org.