Varias de las publicaciones de mi blog en el último año se han centrado en las

crecientes demandas de sus partes interesadas sobre la auditoría interna y la

importancia de que los profesionales puedan levantarse para cumplir las nuevas
tareas que se nos pide que realicemos. Esta nueva realidad refleja la creciente
complejidad de la gobernanza, el riesgo y el control en un mundo en rápido
movimiento donde poderosas fuerzas tecnológicas, socioeconómicas y geopolíticas
pueden transformar rápidamente el panorama del riesgo. Como tal, todos aquellos que
ayudan a administrar y evaluar el riesgo en toda la empresa deben tener las mejores
herramientas y procesos disponibles para ellos. En la recién lanzada Gestión de
riesgos empresariales de COSO: Integración con estrategia y rendimiento, los
profesionales del riesgo cuentan con una herramienta integral y sofisticada que
defiende el valor de la gestión de riesgos empresariales (ERM) al establecer y llevar a
cabo una estrategia. Mucho ha cambiado en cuanto a la gestión de riesgos y riesgos
desde que se introdujo el marco COSO ERM original en 2004. Por ejemplo, el
progreso tecnológico ha creado nuevas oportunidades sorprendentes para las
empresas y el gobierno, así como una categoría de riesgo de cibercrimen totalmente
nueva. El marco actualizado aborda este tipo de cambios y proporciona una
herramienta que no solo permite a las organizaciones mejorar la gestión de riesgos
sino también comprender mejor el impacto del riesgo en el rendimiento. Es importante
destacar que la actualización también proporciona una orientación más sólida sobre lo
que ERM es, y no es. El valor del verdadero ERM es que promueve un enfoque de la
empresa y la comprensión del riesgo. Con demasiada frecuencia, los ejecutivos y
miembros de la junta ocupados encasillan a ERM como departamento o lo relegan a
una lista de verificación de tareas. Deberían reconocer que es mucho más. De la
actualización:
La gestión de riesgos empresariales no es una función o departamento. Es la cultura, las capacidades y las
prácticas que las organizaciones integran con el establecimiento de estrategias y las aplican cuando llevan
a cabo esa estrategia, con el propósito de administrar los riesgos al crear, preservar y realizar el valor.

Esta definición ilumina el grado en que la gestión de riesgos y riesgos influye en todas las áreas de la
organización.

Para ayudar a los gestores de riesgos a comprender mejor la complejidad y la dinámica en juego, el marco
identifica cinco componentes interrelacionados que son vitales para un ERM exitoso:

Gobernanza y cultura
Estrategia y fijación de objetivos.
Actuación.
Revisión y revisión.
Información, comunicación e informes.
Además, identifica conjuntos de principios que respaldan cada componente. Por ejemplo, la estrategia y la
fijación de objetivos se refuerzan analizando el contexto empresarial, definiendo los apetitos de riesgo,
evaluando estrategias alternativas y formulando objetivos comerciales.

Todas las organizaciones, incluidas las que utilizan actualmente el marco ERM original, pueden
beneficiarse de la actualización, que en resumen:

Proporciona una mayor comprensión del valor de la gestión del riesgo empresarial al establecer y llevar a
cabo la estrategia.
Mejora la alineación entre el rendimiento y la gestión de riesgos y crea conciencia y comprensión del
impacto del riesgo en el rendimiento.
Reconoce la globalización de los mercados y las operaciones y la necesidad de aplicar un enfoque común,
aunque adaptado, en todas las geografías.
Expande los informes para abordar las expectativas de una mayor transparencia de los interesados.
Acomoda las tecnologías en evolución y la proliferación de datos y análisis para apoyar la toma de
decisiones.
Y más.
Claramente, la actualización refleja el enfoque exhaustivo y reflexivo que COSO llevó a la revisión de
uno de sus productos estrella. Debo señalar que Enterprise Risk Management-Integrating With Strategy
and Performance se basó no solo en la experiencia del socio de actualización PwC, sino también en un
grupo variado y talentoso de profesionales de riesgos que formaron su grupo asesor. El grupo asesor
ayudó a guiar la actualización, que se centró no solo en revisar y mejorar la utilidad del marco sino
también en su facilidad de uso y aplicación en una variedad de tipos de industrias y tamaños
organizacionales.

Animo a todas las personas involucradas en la gestión del riesgo, desde la junta directiva y la C-suite
hasta los auditores internos de primer año, a que busquen y examinen la nueva actualización. Tener una
comprensión fundamental de la interacción entre el riesgo, el rendimiento, la estrategia y el valor debe ser
una apuesta de mesa para todos los involucrados en la gestión moderna de riesgos.

Este nuevo marco busca que las empresas desarrollen una

administración de riesgos con un enfoque más integral,
permitiéndoles medir su impacto en el desempeño.

Recientemente se publicó la actualización del documento sobre el

marco COSO ERM (Enterprise Risk Management) 2017. Con una
imagen totalmente distinta y un tratamiento del riesgo que va desde la
estrategia hasta la ejecución, el Committee of Sponsoring
Organizations of the Treadway Commission (COSO) decidió apostar
por una administración de riesgos con un enfoque más integral.

¿Cuáles fueron los cambios más relevantes en este marco? En primera

instancia, puede resaltarse la introducción de una nueva estructura
basada en cinco componentes y 20 principios alineados al ciclo del
negocio. El primer componente se enfoca en la gobernanza y la cultura,
e incluye cinco de los 20 principios. El segundo se refiere a la
definición de la estrategia y considera cuatro principios. El tercer
componente va alineado al desempeño y engloba cinco principios más.
El cuarto se orienta al análisis y revisión y considera tres principios.
Finalmente, el quinto y último componente se relaciona con la
información, la comunicación y el reporteo, e incluye los últimos tres
principios.

El segundo cambio consiste en la atención en la integración de la

gestión de riesgos. Es en este punto donde se vincula el riesgo con el
establecimiento de las estrategias, los objetivos y las actividades de la
operación del negocio para la creación de valor.
La tercera reforma atiende al lenguaje del marco, el cual ahora se
escribe desde la perspectiva del negocio. ¿De qué manera impacta esta
reforma? Hace que la conversación acerca del riesgo sea relevante y
universal, estableciendo las definiciones básicas, los componentes y los
principios para todos los niveles de gestión involucrados en el diseño,
implementación y conducción de prácticas de administración de
riesgos empresariales.

En la cuarta modificación se considera la inclusión de temas de

tecnologías de la información. En este caso, el marco arroja luz sobre
cómo las tendencias del negocio, tales como la proliferación de datos,
la inteligencia artificial y la automatización, influyen en la estrategia de
la organización, en el contexto del negocio y el manejo de riesgos.

El quinto cambio pone énfasis en la cultura. El objetivo es identificar

cómo las prácticas de administración de riesgos empresariales pueden
inculcar mayor transparencia y atención al riesgo dentro de la cultura
de la organización, ayudando a la gente a tomar decisiones.

La sexta reforma radica en la presentación de ejemplos específicos de

una adecuada administración de riesgos. Esto significa que el
documento busca rebasar el plano teórico, ofreciendo casos prácticos
que ayudan a convertir a este marco en un asesor estratégico para el
negocio.

La séptima modificación se enfoca en la integración de temas más

gráficos y alineados a colores. Cada uno de los componentes, así como
de los principios, tiene asignado un color distinto dentro del mismo
documento, lo cual facilita la identificación visual de los aspectos que lo
forman.

El octavo cambio busca introducir a las empresas en temas desafiantes

como el apetito al riesgo y la visión del portafolio de riesgo. El objetivo
de esta reforma es ayudar a las organizaciones a entender los conceptos
anteriormente mencionados.

El noveno y último cambio radica en dividir la administración del

riesgo en los distintos niveles de la compañía. Desde los niveles de
entidad hasta los niveles de procesos de riesgos, el marco explora cómo
identificarlos, clasificarlos y propone un cambio en el manejo de los
riesgos desde la estrategia hasta la ejecución.
En síntesis, los cambios se enfocan en dar una nueva dimensión a la
importancia de la administración integral de riesgos en las
organizaciones.

En México, las empresas están más orientadas hacia los resultados

operativos y no evalúan los riesgos en cada nivel de la organización, es
decir, desde el consejo de administración hasta las áreas operativas. Al
incorporar la administración de riesgos en la estrategia es posible que
las empresas puedan medir su impacto en el desempeño.

Cabe destacar que PwC ha participado activamente en la redacción del

documento desde su primera versión. Durante esta edición la firma
construyó un equipo de trabajo global para poder obtener y analizar la
información de manera más general y con base en ello desarrollar
componentes y principios que se adapten a las organizaciones de todo
el mundo.

Sin duda, la nueva guía del marco COSO ERM 2017 impactará en el
desempeño de la administración empresarial de riesgos.

En resumen, COSO ERM 2017:

• Proporciona una mayor comprensión del valor de la gestión del

riesgo corporativo cuando la empresa establece y ejecuta sus
estrategias. Para entregar valor, no es suficiente que la gestión de
riesgos se realice exclusivamente sobre las operaciones.

• Viabiliza la alineación entre el rendimiento (desempeño) y la

gestión de riesgos corporativos para mejorar el establecimiento de
metas de rendimiento y comprender el impacto del riesgo en el
desempeño. La gestión del desempeño ahora debe considerar
entre sus variables a la gestión de riesgos, como un elemento que
agrega valor.
• Cumple con las expectativas de gobernanza (gobierno
corporativo) y supervisión (auditorias). La gestión de riesgos debe
ser adoptada en forma estructurada a nivel de gobierno
corporativo para agregar mayor valor.

• Reconoce la globalización de los mercados y las operaciones y

la necesidad de aplicar un enfoque común, aunque adaptado, a
través de las geografías. Piensa globalmente, actúa localmente.
Solo determinadas definiciones pueden constituirse en estándares
globales, otras definiciones necesitan flexibilidad local.

• Presenta nuevas formas de ver el riesgo para el establecimiento

y logro de objetivos en el contexto de una mayor complejidad
empresarial. Una visión renovada de la administración de los
riesgos, con mayor énfasis en la entrega de valor mas alla de las
definiciones originales.

• Amplía la información para responder a las expectativas de una

mayor transparencia ante las partes interesadas. Informes mas
eficientes sobre la gestión de riesgos y el desempeño,
considerando los reales intereses de información por parte de las
partes interesadas y los involucrados claves.

• Acondiciona las tecnologías en evolución y la proliferación de

datos y análisis para apoyar a la toma de decisiones.
Aprovechamiento de visiones y herramientas modernas (por
ejemplo Business Intelligence, Business Analytics, Data
Analysis).

Características y ventajas principales de COSO ERM 2017:

• Marco estructurado, fácil de comprender, con 5 componentes
interrelacionados divididos en 20 principios. Los cinco
componentes son:

1. Gobierno y Cultura,
2. Estrategia y Establecimiento de Objetivos,
3. Desempeño,
4. Revisión y Evaluación,
5. Informacion, Comunicación y Reporte.

• Los principios son manejables en tamaño y describen prácticas

que pueden aplicarse de diferentes maneras para diferentes
organizaciones, independientemente de su tamaño, tipo o sector.
La adhesión a estos principios puede proporcionar a la alta
gerencia y directores una expectativa razonable de que la
organización entiende y se esfuerza por administrar los riesgos
asociados con su estrategia y sus objetivos corporativos.

• La gestión de riesgos ya no es mas un proceso aislado, sino que

se interrelaciona con el modelo de negocio de la empresa.

• El Marco está centrado en el futuro y analiza varias tendencias

que probablemente las entidades enfrentarán y que tendrán un
efecto en la gestión del riesgo empresarial, tales como:

 Tratamiento de la proliferación de datos.

 Aprovechamiento de la inteligencia artificial y la
automatización.
 Administración del costo de la gestión de riesgos.
 Fortalecimiento a las organizaciones con riesgos mejor
administrados. .