COSO ERM 20017

Gestión de riesgos empresariales:

Integración con estrategia y rendimiento

Isabel Casares

   
Gestión de riesgos empresariales: integración con estrategia y
rendimiento
Esta actualización:

• Proporciona mayor valor a la gestión de riesgos de la empresa mediante ajustes y estrategias.

• Mejora alineación entre rendimiento y gestión de riesgos de la empresa mejorardo los ajustes
de rendimientos objetivos y comprensión del impacto de los riesgo en el rendimiento.
• Facilita expectativas para gobernanza y supervisión.
• Reconoce la globalización de los mercados y operaciones y la aplicación común para los
distintos enfoques geograficos.
• Presenta nuevas formas para la cultura de riesgos, el logro de los objetivos en el contexto del
negocio.
• Elabora informes con la expectativa de dar transparencia a las partes interesadas.
• Se adapta a las evoluciones tecnologías y a la proliferación de datos analíticos para la toma de
decisiones.
• Establece definiciones, componentes y principios para todos los niveles involucrados en el
diseño, aplicación y realización de la aplicación practica de la gestión de riesgos.

El cambiante panorama del riesgo nuestra comprensión de la naturaleza del riesgo, el arte y la
ciencia de la elección, se encuentra en el centro de nuestra economía moderna. Cada elección que
hagamos en la búsqueda de objetivos tiene sus riesgos. Desde las decisiones operacionales diarias
hasta las compensaciones fundamentales en la sala de juntas, el manejo del riesgo en estas
elecciones es parte de la toma de decisiones.

A medida que buscamos optimizar una serie de posibles resultados, las decisiones son raramente
binarias, con una respuesta correcta e incorrecta. Es por eso que la gerencia de riesgo empresarial
puede ser llamada tanto un arte como una ciencia. Y cuando se considera el riesgo en la formulación
de la estrategia y los objetivos empresariales de una organización, la administración de riesgos
empresariales ayuda a optimizar los resultados.

Las organizaciones encuentran desafíos que impactan confiabilidad, relevancia y confianza. Las
partes interesadas están más comprometidas hoy en día, buscando mayor transparencia y rendición
de cuentas para manejar el impacto del riesgo, mientras que también evalúa críticamente la
capacidad del liderazgo para cristalizar oportunidades. Incluso el éxito puede traer consigo un riesgo
adicional de desventaja: el riesgo de no poder cumplir una demanda inesperadamente alta, o
mantener el impulso empresarial esperado, por ejemplo.

Las organizaciones deben ser más adaptativas al cambio. Necesitan pensar estratégicamente en
cómo manejar la creciente volatilidad, complejidad y ambigüedad del mundo, particularmente en
los niveles superiores de la organización y en la sala de juntas donde las apuestas son más altas.

La gestion de riesgos empresariales mediante la integración con la estrategia y el rendimiento,

proporciona una guía de referencia para los Consejos de Administración de entidades de todos
los tamaños. Se basa en el nivel actual de gestión de riesgos que existe en el curso normal de los
negocios. Además, demuestra cómo integrar las prácticas de administración de riesgos
empresariales en una entidad ayuda a acelerar el crecimiento y mejorar el rendimiento. También

2   
contiene principios que pueden aplicarse, desde la toma de decisiones estratégicas hasta el
desempeño.

El marco utiliza el término "Consejo de administración" o "Consejo", que abarca al Consejo

de administración, incluyendo a la Junta Directiva, al Consejo de supervisión, a la Junta de
Gobierno, a los socios generales o al propietario.

Guía de gestión de riesgos empresariales

La guía de gestión de riesgos empresariales tiene la responsabilidad general de administrar el riesgo
a la entidad, pero es importante que la administración vaya más lejos: mejorar la conversación con
la Junta y las partes interesadas sobre el uso del riesgo empresarial gestión para obtener una ventaja
competitiva. Que comienza mediante la implementación de capacidades de administración de
riesgos empresariales como parte de la selección y refinación de una estrategia.

En particular, a través de este proceso, la gerencia obtendrá una mejor comprensión de cómo la
consideración explícita del riesgo puede impactar la elección de la estrategia. La gestión de riesgos
empresariales enriquece el diálogo de gestión al añadir perspectiva a las fortalezas y debilidades de
una estrategia a medida que cambian las condiciones, y a la forma en que una estrategia encaja con
la misión y la visión de la organización. Permite que la gerencia se sienta más segura de que ha
examinado estrategias alternativas y consideró la aportación de aquellos en su organización que
implementarán la estrategia seleccionada.

Una vez establecida la estrategia, la administración de riesgos empresariales proporciona una

manera eficaz para que la administración cumpla con su función, sabiendo que la organización está
en sintonía con los riesgos que pueden impactar la estrategia y los está administrando bien. La
aplicación de la administración de riesgos empresariales ayuda a crear confianza e inculcar
confianza en las partes interesadas en el entorno actual, lo que exige un mayor escrutinio que nunca
antes acerca de cómo el riesgo está abordando y gestionando activamente estos riesgos.

Guía de gestión de riesgos empresariales para el Consejo de

Administración
Cada Consejo tiene un papel de supervisión, ayudando a apoyar la creación de valor en una entidad
y evitar su declive. Tradicionalmente, la administración de riesgos empresariales ha desempeñado
un fuerte papel de apoyo a nivel de la Junta Directiva. Ahora, se espera cada vez más que las juntas
proporcionen supervisión de la gestión de riesgos empresariales.

El marco proporciona importantes consideraciones a las juntas para definir y abordar sus
responsabilidades de supervisión de riesgos. Estas consideraciones incluyen la gobernanza y la
cultura; estrategia y establecimiento de objetivos; rendimiento; información, comunicaciones e
informes; y la revisión y revisión de prácticas para mejorar el rendimiento de la entidad.

La función de supervisión de riesgos de la junta puede incluir, pero no se limita a:

3   
• Revisión, impugnación y concurrencia con la dirección:
 Estrategia propuesta y apetito de riesgo.
 Alineamiento de la estrategia y los objetivos de negocio con la misión, visión y valores
fundamentales de la entidad
 Decisiones comerciales significativas, incluyendo adquisiciones de fusiones, asignaciones
de capital, financiamiento y decisiones relacionadas con dividendos.
 Respuesta a las fluctuaciones significativas en el rendimiento de la entidad o la vista de
cartera del riesgo.
 Respuestas a las instancias de desviación de los valores centrales.
• Aprobar incentivos de gestión y remuneración.
• Participación en relaciones con inversores y stakeholders.

A largo plazo, la administración de riesgos empresariales también puede mejorar la resiliencia de

las empresas: la capacidad de prever y responder al cambio. Ayuda a las organizaciones a identificar
factores que representan no sólo el riesgo, sino el cambio, y cómo ese cambio podría impactar el
desempeño y requerir un cambio en la estrategia. Al ver el cambio más claramente, una organización
puede modelar su propio plan; por ejemplo, ¿debe retirarse defensivamente o invertir en un nuevo
negocio? La gestión de riesgos empresariales proporciona el marco adecuado para que las juntas
evalúen el riesgo y adopten una mentalidad de resiliencia.

Preguntas alta dirección

¿Cómo se plantea el riesgo en la selección de estrategias o decisiones empresariales?.

¿Pueden articular claramente el apetito de riesgo de la entidad y cómo puede influir en una decisión
específica?

¿Cómo la cultura permite o inhibe la toma de riesgos responsables?.

¿Qué objetivo utiliza la administración para supervisar la cultura del riesgo y cómo ha cambiado?

¿Cómo puede el Consejo confiar en una respuesta apropiada y oportuna de la administración?

¿Qué ha logrado la gestión de riesgos empresarial?

COSO publicó la gestión de riesgos empresariales: marco integrado en 2004. El propósito de esa
publicación era ayudar a las entidades a proteger y mejorar el valor de las partes interesadas. Su
filosofía subyacente era que "el valor se maximiza cuando la administración establece la estrategia
y los objetivos para alcanzar un equilibrio óptimo entre el crecimiento y los objetivos de retorno y
los riesgos relacionados, y despliega eficiente y eficazmente los recursos en pos de la objetivos ".

Desde su publicación, el marco se ha utilizado con éxito en todo el mundo, a través de las industrias
y en organizaciones de todo tipo y tamaño para identificar los riesgos, manejar esos riesgos dentro
de un apetito de riesgo definido, y apoyar el logro de objetivos. Sin embargo, si bien muchos han
aplicado el marco en la práctica, el potencial para ser utilizado más extensivamente. Se beneficiaría
de examinar ciertos aspectos con más profundidad y claridad, y proporcionando una mayor

4   
comprensión de los vínculos entre la estrategia, el riesgo y el rendimiento. En respuesta, por lo
tanto, el marco actualizado en esta publicación:

 Conecta más claramente la gestión de riesgos empresariales con una multitud de

expectativas de los interesados.
 Posiciona el riesgo en el contexto del desempeño de una organización, más que como sujeto
de un ejercicio aislado.
 Permite a las organizaciones anticipar mejor el riesgo para que puedan salir adelante, con
el entendimiento de que el cambio crea oportunidades, no simplemente el potencial de las
crisis.

Esta actualización también responde a la llamada a un mayor énfasis en cómo la administración de

riesgos empresariales informa a la estrategia y su desempeño.

Beneficios de la gestión eficaz de riesgos empresariales

Todas las organizaciones necesitan establecer una estrategia y ajustarla periódicamente,
manteniéndose siempre al tanto de las oportunidades siempre cambiantes de crear valor y de los
desafíos que ocurrirán en pos de ese valor. Para ello, necesitan el mejor marco posible para optimizar
la estrategia y el rendimiento.

Las organizaciones que integran la administración de riesgos empresariales en toda la entidad

pueden realizar muchos beneficios, incluyendo, aunque sin limitarse a:

•Considerando todas las posibilidades, tanto positivas

como negativas, del riesgo, la administración puede
Aumentar el abanico de identificar nuevas oportunidades y desafíos únicos
oportunidades asociados con las oportunidades actuales.

•Cada entidad enfrenta miles de riesgos que pueden

Identificar y afectar a muchas partes de la organización. A veces un
administrar el riesgo en riesgo puede originarse en una parte de la entidad pero
toda la entidad impactar en una parte diferente. Consecuentemente, la
gerencia identifica y maneja estos riesgos a nivel de
entidad para sostener y para mejorar funcionamiento.

•La administración de riesgos empresariales permite a

Aumentar los las entidades mejorar su capacidad para identificar
resultados positivos y riesgos y establecer respuestas apropiadas, reducir las
reducir efectos sorpresas y los costos o pérdidas relacionados, mientras
negativas beneficiándose de desarrollos ventajosos.

5   
Aclarando algunos conceptos erróneos 
La administración de riesgos empresariales:
No es una función ni un
departamento.
Es más que una lista de
riesgos.
Aborda más que el control
interno.
No es una lista de
verificación.
Puede ser utilizada por
organizaciones de cualquier
tamaño.
Permite anticipar los riesgos
Mejora los recursos
Mejora de la resiliencia
empresarial.
• Es la cultura, las capacidades y las prácticas que las organizaciones
integran con el establecimiento de estrategias y se aplican cuando
llevan a cabo esa estrategia, con el propósito de administrar el
riesgo en la creación, preservación y realización de valor.
• Requiere más que hacer un inventario de todos los riesgos dentro de
la organización. Es más amplio e incluye prácticas que la
administración pone en marcha para administrar activamente el
riesgo.
• También aborda otros temas como el establecimiento de estrategias,
la gobernanza, la comunicación con las partes interesadas y el
rendimiento. Sus principios se aplican en todos los niveles de la
organización y en todas las funciones.
• Es un conjunto de principios sobre los cuales los procesos pueden
ser construidos o integrados para una organización en particular, y
es un sistema de monitoreo, aprendizaje y mejoramiento del
desempeño.
• Puede y debe ser utilizado por todo tipo de organizaciones, desde
pequeñas empresas hasta empresas sociales basadas en la
comunidad, administraciones públicas o empresas que cotizan en
Bolsa.
• Afectarían el rendimiento y permitirles poner en marcha las
acciones necesarias para minimizar la interrupción y maximizar las
oportunidades.
• Cada riesgo podría considerarse una solicitud de recursos. La
obtención de información sólida sobre el riesgo permite a la
administración, frente a recursos finitos, evaluar las necesidades
generales de recursos, priorizar el despliegue de recursos y mejorar
la asignación de recursos.
• La viabilidad a medio y largo plazo de una entidad depende de su
capacidad para anticipar y responder al cambio, para sobrevivir,
evolucionar y prosperar. Se vuelve cada vez más importante a
medida que aumenta el ritmo de cambio y la complejidad
empresarial.
6   
Estos beneficios ponen de relieve el hecho de que el riesgo no debe considerarse únicamente como
una limitación o desafío potencial para establecer y llevar a cabo una estrategia. Más bien, el cambio
que subyace al riesgo y las respuestas organizacionales al riesgo da lugar a oportunidades
estratégicas y capacidades diferenciadoras clave.

El papel del riesgo en la selección de estrategias 
La selección de la estrategia consiste en tomar decisiones y aceptar las ventajas, por lo tanto, tiene
sentido aplicar la gestión de riesgos empresariales a la estrategia, ya que es el mejor método para
desenredar el arte y la ciencia de tomar decisiones bien informadas.

El riesgo es una consideración en muchos procesos de fijación de estrategias pero el riesgo se evalúa
a menudo principalmente en relación con su efecto potencial sobre una estrategia ya determinada.
En otras palabras, los debates se centran en los riesgos para la estrategia existente:

• Tenemos una estrategia en marcha, ¿qué podría afectar la pertinencia y viabilidad de nuestra
estrategia?
• ¿Hemos modelado la demanda del cliente con precisión?.
• ¿Nuestra cadena de suministro se entregará a tiempo y en presupuesto?
• ¿Surgirán nuevos competidores?.
• ¿Nuestra infraestructura tecnológica está a la altura de la tarea?

Estos son los tipos de preguntas a los que los ejecutivos se enfrentan cada día, y responder a ellos
es fundamental para llevar a cabo una estrategia.

Sin embargo, el riesgo para la estrategia elegida es sólo un aspecto a considerar. Como enfatiza este
marco, hay dos aspectos adicionales para la gestión de riesgos empresariales que pueden tienen un
efecto mucho mayor en el valor de una entidad: la posibilidad de que la estrategia no se alinee, y
las implicaciones de la estrategia elegida.

La primera de ellas, la posibilidad de que la estrategia no se alinee con la misión, la visión y los
valores fundamentales de una organización es fundamental para las decisiones que subyacen a la
selección de estrategias. Cada entidad tiene una misión, visión y valores fundamentales que definen
lo que está tratando de lograr y cómo quiere llevar a cabo los negocios. Algunas organizaciones son
escépticas acerca de verdaderamente abrazar sus credo corporativos. Sin embargo, la misión, la
visión y los valores fundamentales se han demostrado a la materia — y ellos importan más cuando
se trata de manejar el riesgo y permanecer resilientes durante los períodos de cambio.

Una estrategia escogida debe apoyar la misión y la visión de la organización. Una estrategia mal
alineada aumenta la posibilidad de que la organización no pueda realizar su misión y visión, o puede
comprometer sus valores, incluso si una estrategia se lleva a cabo con éxito. Por lo tanto, la gestión
de riesgos empresariales considera la posibilidad de que la estrategia no se alinee con la misión y
visión de la organización.

El otro aspecto adicional son las implicaciones de la estrategia elegida cuando la dirección desarrolla
una estrategia y trabaja a través de alternativas con el Consejo, toman decisiones sobre los

7   
compromisos inherentes a la estrategia. Cada estrategia alternativa tiene su propio perfil de riesgo
— estas son las implicaciones que surgen de la estrategia. La Junta Directiva y la dirección deben
determinar si la estrategia funciona en conjunto con el apetito de riesgo de la organización y cómo
ayudará a impulsar a la organización a establecer objetivos y, en última instancia, a asignar recursos
de manera eficiente.

Esto es lo importante: la gestión de riesgos empresariales se trata tanto de entender las implicaciones
de la estrategia como de la posibilidad de que la estrategia no se alinee, ya que se trata de gestionar
los riesgos para establecer objetivos. La siguiente figura ilustra estas consideraciones en el contexto
de la misión, la visión, los valores fundamentales y como impulsor de la dirección y el rendimiento
general de una entidad.

La gestión de riesgos empresariales, como se ha practicado habitualmente, ha ayudado a muchas

organizaciones a identificar, evaluar y administrar los riesgos de la estrategia pero las causas más
significativas de la destrucción de valor están incrustadas en la posibilidad de que la estrategia no
apoye la misión y la visión de la entidad, y las implicaciones de la estrategia.

La administración de riesgos empresariales mejora la selección de estrategias. La elección de una

estrategia requiere una toma de decisiones estructurada que analice el riesgo y alinee los recursos
con la misión y la visión de la organización.

Un marco focalizado 
COSO ERM 2017 clarifica la importancia de la administración de riesgos empresariales en la
planificación estratégica e incorporarla a toda la organización, ya que el riesgo influye y alinea la
estrategia y el performance en todos los departamentos y funciones.

Misión, visión y valores de la gestión de riesgos empresariales esuna estrategia de desarrollo de la

formulación de los objetivo del negocio que da valor añadido.

8   
El propio marco es un conjunto de principios organizados en cinco componentes interrelacionados:

1. Gobierno y cultura: la gobernanza establece el perfil de la organización, refuerza la importancia

y el establecimiento de responsabilidades de supervisión para la gestión de riesgos empresariales.
La cultura pertenece a los valores éticos, a los comportamientos deseados y a la comprensión del
riesgo en la entidad.

2. Estrategia y establecimiento de objetivos: la gestión de riesgos empresariales, la estrategia y el

establecimiento de objetivos trabajan juntos en el proceso de planificación estratégica. Se establece
un apetito de riesgo y se alinea con la estrategia; los objetivos de negocio ponen la estrategia en
práctica mientras sirven como base para identificar, evaluar y responder al riesgo.

3. Desempeño (rendimiento): los riesgos que pueden impactar el logro de la estrategia y los
objetivos del negocio deben ser identificados y evaluados. Los riesgos se priorizan por la severidad
en el contexto del apetito de riesgo. La organización selecciona las respuestas de riesgo y toma una
vista de la cartera de la cantidad de riesgo que ha asumido. Los resultados de este proceso se reportan
a actores clave de riesgo.

4. Revisión: al revisar el desempeño de la entidad, una organización puede tener en cuenta qué tan
bien los componentes de administración de riesgos empresariales funcionan con el tiempo y a la luz
de cambios sustanciales, y qué revisiones son necesarias.

5. Información, comunicación e informes: la gestión de riesgos empresariales requiere un proceso

continuo de obtención y distribución de la información necesaria, tanto de fuentes internas como
externas, que fluye hacia arriba, abajo y a través de la organización.

Los cinco componentes del marco actualizado están respaldados por un conjunto de principios.
Estos principios cubren todo, desde el gobierno hasta el monitoreo. Son manejables en tamaño, y
describen prácticas que se pueden aplicar de diferentes maneras para diferentes organizaciones,
independientemente de su tamaño, tipo, o sector. Adherirse a estos principios puede proporcionar a
la dirección y a la junta una expectativa razonable de que la organización comprenda y se esfuerce
por manejar los riesgos asociados con su estrategia y objetivos de negocio.

9   
1. El Consejo supervisa los riesgos: El Consejo de administración proporciona supervisión de
la estrategia y lleva a cabo responsabilidades de gobernanza para apoyar la gestión en el
logro de la estrategia y los objetivos de negocio.
2. Establece estructuras operativas: la organización establece estructuras operativas en la
búsqueda de objetivos estratégicos y empresariales.
3. Define la cultura deseada: la organización define los comportamientos deseados que
caracterizan la cultura deseada de la entidad.
4. Demuestra compromiso con los valores fundamentales: la organización demuestra un
compromiso con los valores fundamentales de la entidad.
5. Atrae, desarrolla y retiene a individuos claves: la organización se compromete a construir
capital humano en consonancia con la estrategia y los objetivos del negocio.
6. Analiza el contexto del negocio: la organización considera los posibles efectos del contexto
empresarial en el perfil de riesgo.
7. Define el apetito de riesgo: la organización define el apetito de riesgo en el contexto de
crear, preservar y realizar valor.
8. Evalúa las estrategias alternativas: la organización evalúa las estrategias alternativas y el
impacto potencial en el perfil de riesgo.
9. Formula los objetivos del negocio: la organización considera el riesgo al establecer los
objetivos del negocio en varios niveles que alinean y apoyan la estrategia.
10. Identifica el riesgo: la organización identifica el riesgo que impacta el desempeño de la
estrategia y los objetivos del negocio.
11. Evalúa la severidad del riesgo: la organización evalúa la severidad del riesgo.
12. Prioriza los riesgos: la organización prioriza los riesgos como base para seleccionar las
respuestas a los riesgos.
13. Implementa las respuestas de riesgo: la organización identifica y selecciona las respuestas
de riesgo.
14. Desarrollo de un portafolio de riesgos: la organización desarrolla y evalúa una vista de
cartera de riesgos.
15. Evalúa el cambio sustancial: la organización identifica y evalúa los cambios que pueden
afectar sustancialmente a los objetivos de la estrategia y del negocio.
16. Revisa el riesgo y el desempeño: la organización revisa el desempeño de la entidad y
considera el riesgo.
17. Persigue la mejora de la gestión de los riesgos empresariales: la organización persigue la
mejora de la gestión del riesgo empresarial.
18. Aprovecha los sistemas de información: la organización aprovecha los sistemas de
información y tecnología de la entidad para apoyar la administración de riesgos
empresariales.
19. Comunica los riesgos de información: la organización utiliza canales de comunicación para
apoyar la administración de riesgos empresariales.
20. Informes sobre riesgos, cultura y desempeño: la organización informa sobre el riesgo, la
cultura y el rendimiento en múltiples niveles y en toda la entidad.

   
Mirando hacia el futuro 
No hay duda de que las organizaciones seguirán enfrentándose a un futuro lleno de volatilidad,
complejidad y ambigüedad. La administración de riesgos empresariales será una parte
importante de cómo una organización administra y prospera a través de estos tiempos.
Independientemente del tipo y tamaño de una entidad, las estrategias necesitan para permanecer
fieles a su misión y todas las entidades necesitan exhibir rasgos que conduzcan una respuesta
eficaz al cambio, incluyendo la toma de decisiones ágil, la capacidad de responder de una
manera cohesiva, y la capacidad adaptativa de pivotear y reposicionar mientras se mantienen
altos niveles de confianza entre las partes interesadas.

A medida que miramos hacia el futuro, hay varias tendencias que tendrán un efecto en la gestión
del riesgo empresarial. Sólo cuatro de estas son:

1. Tratar con la proliferación de datos: a medida que se disponga de más y más datos y se
aumente la velocidad a la que se pueden analizar los nuevos datos, la gestión del riesgo
empresarial tendrá que adaptarse. Los datos vendrán de dentro y fuera de la entidad, y será
estructurado de nuevas maneras. Las herramientas avanzadas de análisis y visualización de
datos evolucionarán y serán muy útiles para comprender el riesgo y su impacto, tanto
positivos como negativos.
2. Aprovechamiento de la inteligencia artificial y la automatización: mucha gente siente
que hemos entrado en la era de los procesos automatizados y la inteligencia artificial
Independientemente de las creencias individuales, es importante que las prácticas de
gestión de riesgos empresariales consideren el impacto de estas y futuras tecnologías y
aprovechen sus capacidades antes desconocidas (relaciones, tendencias y patrones),
proporcionando una rica fuente de información crítica para administrar el riesgo.
3. Gestión del costo de gestión de riesgos: una preocupación frecuente expresada por
muchos ejecutivos de negocios es el costo de gestión de riesgos, procesos de cumplimiento
de normas y actividades de control en comparación con el valor obtenido. Como las
prácticas de gestión de riesgos empresariales es importante que las actividades que abarcan
el riesgo, el cumplimiento, el control e incluso la gobernanza se coordinen eficazmente para
proporcionar el máximo beneficio a la organización. Esto puede representar una de las
mejores oportunidades para que la administración de riesgos empresariales redefina su
importancia para la organización.
4. Construyendo organizaciones más sólidas: a medida que las organizaciones se integren
mejor en la vinculación de la gestión de riesgos empresariales con la estrategia y el
rendimiento, se presentará una oportunidad para fortalecer la resiliencia. Al conocer los
riesgos que tendrá el mayor impacto en la entidad, las organizaciones pueden utilizar la
administración de riesgos empresariales para ayudar a poner en marcha capacidades que
les permitan actuar con anticipación. Esto abrirá nuevas oportunidades.

En resumen, la gestión de riesgos empresariales tendrá que cambiar y adaptarse al futuro para
proporcionar consistentemente los beneficios esbozados en el marco. Con el enfoque adecuado,
los beneficios derivados de la administración de riesgos empresariales superarán con creces las
inversiones y proporcionarán a las organizaciones confianza en su capacidad para manejar el
futuro.

11   
1. Gobierno y cultura: la gobernanza establece el perfil de la organización, refuerza la
importancia y el establecimiento de responsabilidades de supervisión para la gestión de
riesgos empresariales. La cultura pertenece a los valores éticos, a los comportamientos
deseados y a la comprensión del riesgo en la entidad.
 El Consejo supervisa los riesgos: El Consejo de administración proporciona
supervisión de la estrategia y lleva a cabo responsabilidades de gobernanza para apoyar
la gestión en el logro de la estrategia y los objetivos de negocio.
 Establece estructuras operativas: la organización establece estructuras operativas en la
búsqueda de objetivos estratégicos y empresariales.
 Define la cultura deseada: la organización define los comportamientos deseados que
caracterizan la cultura deseada de la entidad.
 Demuestra compromiso con los valores fundamentales: la organización demuestra un
compromiso con los valores fundamentales de la entidad.
 Atrae, desarrolla y retiene a individuos claves: la organización se compromete a
construir capital humano en consonancia con la estrategia y los objetivos del negocio.
2. Estrategia y establecimiento de objetivos: la gestión de riesgos empresariales, la
estrategia y el establecimiento de objetivos trabajan juntos en el proceso de planificación
estratégica. Se establece un apetito de riesgo y se alinea con la estrategia; los objetivos de
negocio ponen la estrategia en práctica mientras sirven como base para identificar, evaluar
y responder al riesgo.
 Analiza el contexto del negocio: la organización considera los posibles efectos del
contexto empresarial en el perfil de riesgo.
 Define el apetito de riesgo: la organización define el apetito de riesgo en el contexto de
crear, preservar y realizar valor.
 Evalúa las estrategias alternativas: la organización evalúa las estrategias alternativas y
el impacto potencial en el perfil de riesgo.
 Formula los objetivos del negocio: la organización considera el riesgo al establecer los
objetivos del negocio en varios niveles que alinean y apoyan la estrategia.
3. Desempeño (rendimiento): los riesgos que pueden impactar el logro de la estrategia y los
objetivos del negocio deben ser identificados y evaluados. Los riesgos se priorizan por la
severidad en el contexto del apetito de riesgo. La organización selecciona las respuestas
de riesgo y toma una vista de la cartera de la cantidad de riesgo que ha asumido. Los
resultados de este proceso se reportan a actores clave de riesgo.
 Identifica el riesgo: la organización identifica el riesgo que impacta el desempeño de
la estrategia y los objetivos del negocio.
 Evalúa la severidad del riesgo: la organización evalúa la severidad del riesgo.
 Prioriza los riesgos: la organización prioriza los riesgos como base para seleccionar las
respuestas a los riesgos.
 Implementa las respuestas de riesgo: la organización identifica y selecciona las
respuestas de riesgo.
 Desarrollo de un portafolio de riesgos: la organización desarrolla y evalúa una vista de
cartera de riesgos.

12   
4. Revisión: al revisar el desempeño de la entidad, una organización puede tener en cuenta
qué tan bien los componentes de administración de riesgos empresariales funcionan con el
tiempo y a la luz de cambios sustanciales, y qué revisiones son necesarias.
 Evalúa el cambio sustancial: la organización identifica y evalúa los cambios que
pueden afectar sustancialmente a los objetivos de la estrategia y del negocio.
 Revisa el riesgo y el desempeño: la organización revisa el desempeño de la entidad y
considera el riesgo.
 Persigue la mejora de la gestión de los riesgos empresariales: la organización persigue
la mejora de la gestión del riesgo empresarial.
5. Información, comunicación e informes: la gestión de riesgos empresariales requiere un
proceso continuo de obtención y distribución de la información necesaria, tanto de fuentes
internas como externas, que fluye hacia arriba, abajo y a través de la organización.
 Aprovecha los sistemas de información: la organización aprovecha los sistemas de
información y tecnología de la entidad para apoyar la administración de riesgos
empresariales.
 Comunica los riesgos de información: la organización utiliza canales de comunicación
para apoyar la administración de riesgos empresariales.
 Informes sobre riesgos, cultura y desempeño: la organización informa sobre el riesgo,
la cultura y el rendimiento en múltiples niveles y en toda la entidad.

13