COSO ERM 2017

Contenido

01 La Gestión de Riesgos y
la Creación de Valor

02 ERM y la Estrategia

03 Gestión de Riesgos
Empresariales
(COSO ERM 2017)

Slide 2 of 30
La Gestión
de Riesgos
y
la Creación
de Valor
¿Cómo se crea valor para los grupos de interés?
Mapa de Valor
El Mapa de Valor es el marco de gestión que muestra la relación entre el valor
para los accionistas y las operaciones de negocio.
• Ayuda organizar, discutir y priorizar oportunidades de mejora que brindan el La Gestión
máximo valor en términos de crecimiento de ingresos, margen de operación,
eficiencia de activos y expectativas de mercado de crecimiento futuro.
de
Riesgos y
Valor para el accionista la
Creación
de Valor
Crecimiento de Optimización de Efectividad de Atención de las
Ingresos costos los activos expectativas

Propiedad,
Numero de Productos por Precio por CxC y Factores
planta Inventarios Fortalezas
Clientes Clientes Producto CxP externos
y equipo

Costeo de Distribución Intereses

Administrativos
Producto y venta E impuestos

© 2017 Deloitte Touche Tohmatsu Limited

Evolución de la gestión de riesgos

Gestión Estratégica
Impulso riesgo-recompensa

Pregunta Clave: ¿Cómo tomar Actividad Clave: Establecer el marco Objetivo Clave: Mejorar el logro de
mejores decisiones acerca de las general para la gestión de los los objetivos y metas estratégicas
incertidumbres que afectan a riesgos más significativos de la y la supervisión de riesgos de la
La Gestión de
Enfoque Ofensivo:

nuestro futuro? organización junta directiva

Riesgos y la
Creación de
Valor

Gestión Integrada
Pregunta Clave: ¿Cuáles son las Objetivo Clave: Establecer procesos
Actividad Clave: Identificación y
amenazas clave que enfrentamos en para gestionar proactivamente
el logro de nuestros objetivos de
análisis de riesgos con la
coordinación de otras funciones de amenazas operativas para el
negocio y cómo debemos negocio
riesgos
responder?
Impulso costo-beneficio
Enfoque Defensivo:

Gestión Tradicional
Pregunta Clave: ¿Cuáles son los Objetivo Clave: Tratar los riesgos
riesgos asegurables y contractuales Actividad Clave: Identificación y como un gasto, gestionándolos
que enfrenta la organización? valoración de peligros mediante la compra de seguros y/o
¿Cómo los estamos mitigando? coberturas

Fuente: The IIA / RIMS: “Gestión de riesgos y auditoría interna, forjando una alianza colaborativa”
© 2017 Deloitte Touche Tohmatsu Limited
Visión integral de riesgos

Los riesgos deben gestionarse, no sólo ser mitigados o evitados

Administrar los riesgos para ayudar a crear valor para los accionistas (crecimiento)

La Gestión de
Desarrollo de nuevos productos
Riesgos y la
Riesgos Nuevos modelos de precios Creación de
recompensados Valor
Nuevos mercados objetivos

Valor

Sanciones y multas
Riesgos no
recompensados Fraude

Desastres

Administrar los riesgos para ayudar a proteger el valor del accionista (activos existentes)

Los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan de manera ineficaz.
Las organizaciones deben dedicar recursos tanto para la toma de riesgos como para su gestión
ERM y la
Estrategia

Slide 7 of 30
¿Qué es riesgo
estratégico?

• Asunciones incorrectas acerca de los factores externos

y/o internos, planes de negocio inapropiados (p. e. muy ERM y la
agresivos, mal enfocados), ejecución inefectiva de la Estrategia
estrategia del negocio, ó
• Falla para responder de manera oportuna a cambios
en la regulación, entorno macroeconómico o competencia,
tales como ciclos del negocio, acciones de los
competidores, preferencias cambiantes de los clientes,
obsolescencia del producto / servicio y desarrollos
tecnológicos.

Riesgo para la estrategia o

riesgo creado por la
estrategia
Observaciones sobre ERM tradicional
En años recientes, muchas compañías han buscado mejorar sus programas de ERM debido a:

Fallas para prevenir sorpresas

Riesgos reputacionales y estratégicos continúan materializándose y no estaban en el “radar” de
ERM.

“Falsa precisión”
ERM y la
Exceso de énfasis en desarrollar un mapa de calor y la cuantificación de los riesgos frente a su
relación con la magnitud y su impacto en el negocio.
Estrategia

Falta de efectividad
Enfocado en gran medida en el universo de riesgos internos “conocidos”, mientras la conexión
con el negocio no fue fuerte; incluso con ERM, los riesgos conocidos, como los problemas de
cumplimiento y los eventos cibernéticos, costaron a las empresas millones de dólares.

Valor para la inversión

Los programas evolucionaron para “perseguir” el negocio buscando “datos” en lugar de
convertirse en “centros de excelencia” para la gestión de riesgos.

Valor para las decisiones de mercado

La información fue retrospectiva en gran medida y no soportó las decisiones futuras de
mercado o no brindó conocimiento en riesgos estratégicos.
 Los típicos programas de ERM no están enfocados en los
riesgos correctos
Las funciones de riesgo y cumplimiento, tradicionalmente están enfocadas en otras
categorías de riesgo, aún cuando los riesgos estratégicos han demostrado ser los # 1
“destructores de valor”

Proporción de pérdidas significativas en valor de Muchos factores

mercado ocasionado por cada tipo de riesgo en la
contribuyen con los ERM y la
década pasada2
desafíos de las compañías, Estrategia
2% Reporte pero tres se destacan:
financiero
• Fallas en el perfil de riesgos
86% Estratégico 9% 3% cuando se formulan las
Operacional Legal y
estrategias.
cumplimiento

• Insuficiente monitoreo y
Proporción de tiempo invertido en cada tipo
de riesgo gestión de los riesgos
asumidos.

13%
• Fallas para reevaluar las
6% 42% 39% Reporte
Estratégico Operacional Legal y financiero estrategias a la luz de
cumplimiento cambios externos.

2: Source: ReducingRiskManagement’sOrganizationalDrag, CEB,2015and “HowToLiveWith Risks,”Harvard BusinessReview,July-August 2015

Características claves de un programa de ERM estratégico
Ayuda a gestionar los riesgos más importantes para la estrategia, el
negocio y la reputación.

• Un programa sostenible con un gobierno sólido

Estrategia Gobierno yCultura
Integración de la Supervisión de la • Proporciona una vista informada del universo de ERM y la
gestión de riesgos gestión de riesgos riesgos y las actividades de gestión de riesgos
y la estrategia de y los valores, Estrategia
negocio normas y
comportamientos
• Enfocado en los riesgos empresariales que más
compartidos importan

• Promueve el logro de los objetivos estratégicos

Marco ERM
• Enfocado en la creación y protección de valor
Reporte y
Tecnología Modelo Operativoy • Permite tomar decisiones basadas en riesgos
de Negocios
Métricas y
Estructura,
• “Incrusta” la gestión de riesgos en el negocio
herramientas para
reportar, medir y principios, procesos
monitorear el y mecanismos de • Habilita una gestión proactiva de riesgos a nivel
riesgo gestión de riesgo funcional

• Clarifica la responsabilidad en toda la organización

• Fomenta una cultura de inteligencia en riesgos

Un sólido gobierno de riesgos permite una gestión de riesgos proactiva

Impulsa la alineación de riesgos de arriba hacia abajo y viceversa, la gestión de riesgos y la ubicación
de recursos
• La Administración supervisa los
principales riesgos, los riesgos
emergentes y las iniciativas de
• Está de acuerdo con los más riesgos estratégicos
importante riesgos Junta Directiva y sus Comités
empresariales, para enfocar • Confirma / ajusta las
los esfuerzos y la respuesta Comités Ejecutivos (C-Suite) estrategias de respuesta al ERM y la
riesgo basados en la evolución Estrategia
• Asegura que las estrategias del perfil de riesgos
para gestionar esos riesgos
han sido desarrolladas Comité de Gestión de Riesgos
Equipo ERM Unidad de Negocio / Líderes
funcionales de riesgos
• Consolida los hallazgos para
(Basado en la estructura
que sean de conocimiento de
organizacional)
toda la organización
• Facilita las iniciativas de • Director de Riesgos • R&D • Américas
mitigación “cross functional” • Miembros del equipo • Comercial • Europa • Identifica los aspectos a ser
para los principales riesgos de ERM • Asuntos Médicos • Mercados escalados a la Junta Directiva /
empresariales • Líder de Auditoría • Manufactura y QA emergentes Ejecutivos Líderes
Interna • Cadena de suministros
• Programa de gestión • Cumplimiento • Comparte las lecciones
de crisis • Finanzas aprendidas las conecta con los
• Recursos Humanos diferentes puntos de la
• Legal organización

• Compromiso para ejecutar

estrategias especificas,
asignación de recursos y se Unidades de Negocio / Departamentos
prepara para corregir el curso • Identifica, evalúa y gestiona
si los supuestos resultan los riesgos de las unidades de
inválidos. Ejemplo ilustrativo negocio claves / áreas
funcionales
• Informes sobre el progreso de
la mitigación y el escalamiento
de hallazgos de los riesgos
emergentes
Los programas líderes incrementan el enfoque en riesgos
estratégicos y emergentes
Programas de ERM Estratégico permiten a las compañías ser más resistentes ante potenciales eventos
disruptivos y amenazas a largo plazo, para establecer herramientas y mecanismos que ayuden a
identificar y gestionar esos riesgos, implementando de manera integrada en la estrategia existente,
planeación de negocios y desempeño de los procesos

Capacidades
• “Prueba de estrés” supuestos subyacentes a nuevas estrategias (ejemplos)
Considerar riesgos e iniciativas
ERM y la
Planeación de
para el
posicionamiento
• Evalúa si los objetivos estratégicos aún son alcanzables escenarios Estrategia
estratégico • Considera los impactos de los riesgos potenciales de las
decisiones
Pruebas sobre
supuestos

• Identifica riesgos que evitan que la compañía alcance los objetivos

estratégicos Juegos de
Considerar guerra
riesgos para la • Identifica, evalúa y monitorea retos emergentes para las
ejecución estrategias elegidas
Programa de
estratégica • Monitorea los cambios o tendencias de mercado para proporcionar detección de
ideas de liderazgo y decisiones de información riesgos

Taller de
• Descubrir tendencias y oportunidades emergentes para un mayor puntos ciegos
Continuamente entendimiento de la evolución del mercado
identifica y • Entender las implicaciones del riesgo en los negocios y confirmar o
ajustar su enfoque en riesgo basado en problemas emergentes Análisis de
gestiona riesgos
tendencias
emergentes • Detectar riesgos desconocidos “a la vuelta de la esquina” que
puedan impactar la empresa, su estrategia y reputación
Las compañías actualmente enfrentan un número creciente de
fuerzas disruptivas, las cuales pueden generar riesgos
estratégicos que pueden estar sin reconocer y administrar

Las Fuerzas Disruptivas son tendencias y fuerzas que muy probablemente impactarán – e
inclusive transformarán — una industria abriendo nuevas y diferentes oportunidades de valor, al
igual que nuevos frentes de riesgo
ERM y la
Las Fuerzas Disruptivas incluyen las siguientes tendencias y fuerzas, las cuales impactan
la forma en que las industrias y compañías definen la estrategia y la ejecutan: Estrategia

Tecnológicos Demográficos Regulatorios Económicos Geopolíticos

Los líderes de la Organización deben navegar en Esas Compañías que pueden anticipar dichas fuerzas
medio de la incertidumbre y administrar los riesgos e identificar riesgos para y de la Estrategia pueden
estratégicos, pero muchos aún no han evolucionado posicionarse permaneciendo líderes en la industria
su proceso de planeación estratégica para reconocer
y adaptarse a las fuerzas disruptivas
El Marco de Riesgos Estratégicos (MRE) provee un enfoque para
evaluar el riesgo que el valor presente y futuro tiene, basados en la
estrategia escogida

Macro Ambiente Ecosistema

Fuerzas externas al Mercado Foto de entidades ERM y la

y las industrias que pueden interconectadas que Estrategia
impactar significativamente interactúan a lo largo de la
las estrategias (ej: factores cadena de valor para definir y
macroeconómicos, soportar la industria (ej:
influencias geopolíticas, mercados, competidores,
cambios demográficos complementadores,
Avances tecnológicos) sustitutos, socios y
proveedores, reguladores)

Current Future
value value

Operaciones Elección estratégica

Funciones colectivas dentro
Decisiones clave que definen
de la compañía, el como y
donde y como la Compañía va
donde son ejecutadas, y su
a competir y crear valor (ej:
infraestructura soporte (ej:
productos/servicio, Mercado
I&D, comunicaciones y
objetivo, precio, promoción,
mercadeo, cadena de
canales)
suministros, finanzas, IT,
talento)
Cultura de Riesgos
Hoja de ruta para la mejora continua de la cultura

Construir Refinamiento cultural

Conciencia cultural Cambio cultural
competencias
de riesgo
• Integrar lecciones de
• Vocabulario de • Incorporar métricas
gestión de riesgos en
ERM y la
gestión de riesgos de desempeño de
común riesgo en los sistemas
las comunicaciones, Estrategia
Alinear educación y
sistemas • Clarificar motivacionales
capacitaciones
motivacionales responsabilidades de • Establecer
• Responsabilizar a las
la gestión de riesgos consideraciones de
personas por sus
• Programas de riesgo en los procesos
acciones
capacitación de de gestión de talento
• Perfeccionar las
riesgos • Posicionar a personas
Fortalecer las • Mejorar los métodos métricas de
con orientación a
relaciones desempeño de riesgos
de reclutamiento para riesgo en roles donde
que incorpores para que reflejen los
la gestión de riesgos
capacidades gestión cambios en la
sea crítica
estrategia de negocio,
Promover de riesgos • Reforzar la ética y los
apetito al riesgo y
estructuras de estándares de
tolerancia
riesgo cumplimiento
organizacional

Compromiso de la gerencia Asegurar el convencimiento y compromiso de la alta gerencia

Comunicación Comunicar los objetivos del programa a los grupos de interés
Medición y reporte Establecer objetivos de medición de la cultura de riesgo
Gestión del programa Gestionarlo como un programa de cambio
Nuestro modelo de madurez de ERM
Las organizaciones pueden mejorar sus programas de ERM menos maduros en
programas ERM más estratégicos con capacidades que están integradas con los
negocios
Optimizado
La gestión de riesgos está
integrada en la toma de
Operacional decisiones. La organización
Las actividades de gestión de
riesgo en toda la organización
aprovecha las oportunidades
de manera selectiva, ya que es
ERM y la
están implementadas
consistentemente entre las
una especial habilidad para
aprovechar
Estrategia
unidades de negocio. Las
Aspiracional actividades están
Las funciones de la gestión de correlacionadas y agregadas
riesgo son más
entre los tipos de riesgos y las
independientes con las
unidades de negocio, y abarca
unidades de negocio. Las
más tipos de riesgos
actividades de gestión de
(incluyendo reputacional,
riesgo en toda la organización • Afianzado en la
Nivel de madurez Informal estratégico y operacional).
no se aplican de manera organización
Las actividades de gestión de
riesgos no están coherente en las unidades de • Con una visión hacía
Descripción estructuradas, ni coordinadas, negocio o pueden estar en adelante
desarrollo, pero aún no han • Enfocado en la creación y
ni documentadas, o podrían
sido finalizadas. protección de valor
no existir. No se ha definido
• Proactivo
una filosofía de gestión de • Finalizado • Eficiente
riesgos o los objetivos no han • Se dio entrenamiento, fue • Integrado
sido definidos. comunicado y está • Monitoreado por programas
implementado efectivos
• Operando como se esperaba • Mejora continua
• Definido / Desarrollado • Listo para pruebas • Con recursos
• Indefinido / no desarrollado • Documentado • Coordinado entre las • Complementado con
Cómo la • No estructurado • Comunicado diferentes dependencias herramientas y tecnologías
gestión de • Informal • Estructurado entre las • Sostenible lideres y con el talento
• No considera los riesgos diferentes dependencias
riesgos está humano deseado
operando en
la empresa
Gestión de
Riesgos
Empresariales
(COSO ERM 2017)

Slide 19 of 30
© 2017 Deloitte Touche Tohmatsu Limited Presentation title
[To edit, click View > Slide Master > Slide Master]
COSO 2017: Gestión de Riesgos Empresariales – integrado con
estrategia y desempeño
¿Qué se pretende con la actualización?

• Mayor comprensión del valor de la gestión de riesgo para

definir y ejecutar la estrategia
Gestión de
• Alineación entre desempeño y gestión de riesgos Riesgos
• Acondiciona de mejor manera las expectativas de gobierno y
Empresariales
5
Componentes supervisión (COSO ERM
• Reconoce la globalización de los mercados y las operaciones, así
2017)
como el incremento de la volatilidad, complejidad y
ambigüedad de los negocios

• Presenta nuevos caminos para ver el riesgo, para alcanzar los

Puntos de objetivos en un contexto de negocios de alta complejidad
20
Principios enfoque
• Mayor transparencia hacia los Stakeholders
detallados
• Interpreta la evolución de la tecnología y la proliferación del
análisis de datos que soporta la toma de decisiones.

• Establece definiciones claves, componentes y principios

para todos los niveles de la gestión de riesgos
El rol del riesgo en la selección de la estrategia
Aspectos a considerar:

• Definir la estrategia de acuerdo a los riesgos identificados, no revisar el posible impacto de

los riesgos en la estrategia ya definida.

• Posibilidad de que la estrategia no esté alineada con la misión, visión y valores

fundamentales de la organización. Gestión de
• Implicaciones de la estrategia seleccionada. Riesgos
Empresariales
Posibilidad de que (COSO ERM
la estrategia no 2017)
este alineada

Misión, visión Estrategia,

objetivos de Desempeño
y valores negocio y Implicaciones mejorado
fundamentales desempeño de la
estrategia
seleccionada
Riesgo para
estrategia y
desempeño
COSO 2017: Gestión de Riesgos Empresariales – integrado con
estrategia y desempeño

El Marco de Gestión de Riesgos Empresariales – integrado con estrategia y

desempeño (COSO 2017) aclara la importancia de la gestión de riesgos
empresariales en la planeación estratégica y la incorpora a toda la
Gestión de
organización, ya que el riesgo influye y están alineados a la estrategia y el
Riesgos
desempeño en todas las áreas, departamentos y funciones.
Empresariales
(COSO ERM
Gestión de Riesgos Empresariales 2017)

Misión, vision y Desarrollo Formulación

Implementación Mejoramiento
valores de la de objetivos
y desempeño del valor
fundamentales estrategia empresariales

Gobierno y Estrategia y Información,

Desempeño Revisión
Cultura objetivos comunicación y
reporte
Componentes

El gobierno establece el tono de la organización, reforzando la

Gobierno y importancia de, y estableciendo responsabilidades de supervisión, para la
Cultura gestión de riesgos empresariales. La cultura se refiere a valores éticos,
comportamientos deseados y comprensión del riesgo en la entidad.
Gestión de riesgos empresariales, estrategia y objetivos trabajan juntos Gestión de
Estrategia y en el proceso de planeación estratégica. El apetito al riesgo es definido y
objetivos alineado con la estrategia; los objetivos de negocio ponen la estrategia en
Riesgos
practica mientras sirve para identificar, evaluar y responder a los riesgos. Empresariales
Riesgos que pueden afectar el logro de la estrategia y los objetivos de (COSO ERM
Desempeño negocio pueden ser identificados y evaluados. Riesgos son priorizados por 2017)
severidad y en el contexto del apetito al riesgo. La organización
selecciona las respuestas al riesgo y toma el riesgo que ha asumido.
Para revisar el desempeño de la entidad, una organización puede
considerar qué tan bien funcionan los componentes de gestión de riesgos
Revisión
empresariales a lo largo del tiempo a la luz de cambios sustanciales y qué
revisiones se necesitan.
La gestión de riesgos empresariales requiere un proceso continuo para
Información, obtener y compartir información necesaria, de fuentes internas y
comunicación externas, que fluya en todas las direcciones y a través de toda la
y reporte organización.
Principios

Gobierno y Estrategia y Información,

Desempeño Revisión
Cultura objetivos comunicación
y reporte

Gestión de
1. La Junta Directiva 6. Analiza el contexto 10. Identifica riesgos 15. Evalúa los 18. Aprovecha la
ejerce supervisión empresarial cambios información y la Riesgos
sobre los riesgos
7. Define el apetito al
11. Evalúa la severidad
de los riesgos
sustanciales tecnología Empresariales
2. Establece riesgo 16. Revisa los riesgos 19. Comunica los (COSO ERM
estructuras 12. Prioriza los riesgos y el desempeño riesgos de
operativas 8. Evalúa estrategias información 2017)
alternativas 13. Implementas las 17. Propone mejoras
3. Define la cultura respuestas al riesgo en la gestión de 20. Informes sobre
deseada 9. Formula los objetivos riesgos riesgos, cultura y
empresariales 14. Desarrollar un empresariales desempeño
4. Demuestra portafolio de riesgos
compromiso con los
valores éticos

5. Atrae, desarrolla y
retiene individuos
competentes.
Siguientes pasos para fortalecer el ERM de la Organización utilizando
COSO ERM 2017:
Para fortalecer el ERM y aprovechar las ventajas del marco COSO ERM 2017 deberán :

Entienda los cambios en el marco

Estudiar el marco y las guías de apoyo de forma que se entienda claramente la integración con
la estrategia y el desempeño

Gestión de
Diagnóstico de Integración con la Estrategia Riesgos
Entender donde está la organización “hoy” en la integración del ERM con el proceso
estratégico, la identificación de riesgos emergentes y la toma de decisiones. Empresariales
(COSO ERM
Defina un “Roadmap” 2017)
Definir una hoja de ruta para la transformación del ERM que incluya iniciativas acorde en los 4
pilares: la integración con la estrategia, el Gobierno y la cultura, el modelo operativo y de
negocios y el reporte y la tecnología.

Involucre a la Junta Directiva

La junta es la responsable final por el ERM. Darles a conocer el programa de transformación y
los beneficios permitirá obtener su aprobación y los recursos necesarios

Alineación e Integración con COSO 2013

Son dos marcos que se complementan, pero con propósitos diferentes. COSO ERM – Estrategia
y Desempeño, COSO 2013 – Control Interno
Sitio web relacionado

• Committee of Sponsoring Organizations of the Treadway Comission (COSO):

https://www.coso.org