Inf Coso Version Español Ejecutiva Erm

7/26/2019 Inf Coso Version Espaol Ejecutiva Erm

1/23

Estructura conceptual de laadministracin de riesgos del emprendimiento

!

Resumen ejecutivo

Committee of SponsoringOrganizations of the

Treadway Commission

Borrador en exposicin para comentarios pblicos.

Para presentar comentarios sobre este documento, por favor visitewww.erm.coso.org


2/23

COSO (2003) Estructura conceptual de la administracin de r iesgos del emprendimiento RESUMEN EJECUTIVO Borrador en exposicin para comentarios pblicos 15 Junio 2003 Pg. 2/23

Traducido por S.A.Mantilla, exclusivamente con fines acadmicos. Prohibida sureproduccin sin autorizacin escrita del propietario del copyright.

BOGOTA Julio 2003.

Cortesa

ECOE EDICIONES

Committee of Sponsoring Organizations ofthe Treadway Commission (COSO)

Supervisin Representante

Committee of Sponsoring Organizations of the TreadwayCommission

John J. Flaherty, Presidente

American Institute of Certified Public Accountants Alan W. Anderson

The Institute of Internal Auditors William G. Bishop, III

Financial Executives International John P. Jessup

Institute of Management Accountants Frank C. Minter

Dennis L. Neider

American Accounting Association Larry E. Rittenberg

Consejo asesor del proyecto para COSO

Orientacin

Tony Maki, PresidentePartnerMoss Adams LLP

James W. DeLoachManaging DirectorProtivitti Inc.

John P. JessupVP Finance and ControllerE.I. DuPont de Nemours &Company

Mark S. BeasleyAssociate ProfessorNorth Carolina State University

Andrew J. JacksonAssistant General AuditorGeneral Motors

Tony M. KnappSenior VP and ControllerMotorola, Inc.

PricewaterhouseCoopers LLP

Author

Principal Contributors

Richard M. Steiberg Miles E.A. EversonPast Partner, Corporate Partner

Governance Leader New York

Frank J. Martens Lucy E. NottinghamSenior Manager ManagerVancouver, Canada Boston


3/23



BOGOTA Julio 2003.

Cortesa

ECOE EDICIONES

RESUMEN EJECUTIVO

Las administraciones de algunas compaas y de otras entidades han desarrollado procesos paraidentificar los riesgos a travs de la empresa, y muchos otros han comenzado a desarrollarlos oestn considerando hacerlo. Si bien se encuentra disponible considerable informacin sobreadministracin de riesgos del emprendimiento, incluyendo mucha literatura publicada, no existeterminologa comn, y existen unos pocos, si los hay, principios ampliamente aceptados quepueden ser usados por la administracin como gua en el desarrollo de una arquitectura efectiva deadministracin de riesgos.

Reconociendo la necesidad de orientacin definitiva sobre administracin de riesgos delemprendimiento, The Committee of Sponsoring Organizations of the Treadway Comisin (COSO)inici un proyecto para desarrollar una estructura conceptualmente slida que provea principiosintegrados, terminologa comn y orientacin para la implementacin prctica, que apoye los

programas de las entidades para desarrollar o para comparar sus procesos de administracin deriesgos del emprendimiento. Un objetivo relacionado es que esta estructura conceptual resultantesirva como base comn para que administradores, directores, reguladores, acadmicos y otrosentiendan mejor la administracin de riesgos del emprendimiento, sus beneficios y limitaciones, ypara comunicar efectivamente sobre los problemas de la administracin de riesgos delemprendimiento.

Este Resumen Ejecutivo establece los elementos clave de la Estructura conceptual de laadministracin de riesgos del emprendimiento, incluyendo la definicin, los componentes y losprincipios subyacentes de la administracin de riesgos del emprendimiento, as como susbeneficios y limitaciones y los roles y las responsabilidades de las diversas partes. Este resumentambin subraya la relevancia de la administracin de riesgos del emprendimiento y sus relacionescon Internal Control Integrated Frameworkde COSO

1. A todas aquellas partes que desean un

conocimiento ms profundo se les refiere al documento completo Estructura conceptual de laadministracin de riesgos del emprendimiento.

Relevancia de la administracin de riesgos del emprendimiento

La premisa subyacente de la administracin de riesgos del emprendimiento es que cada entidad,ya sea con o sin nimo de lucro, o un cuerpo gubernamental, existe para proveer valor para susstakeholders. Todas las entidades enfrentan incertidumbre, y el desafo para la administracin esdeterminar qu tanta incertidumbre est la entidad preparada para aceptar y de esa manera hacercrecer el valor de stakeholder. La incertidumbre ofrece tanto riesgos como oportunidades, con elpotencial de erosionar o enriquecer el valor. La administracin de riesgos del emprendimientoprovee una estructura conceptual para que la administracin trate de manera efectiva con la

incertidumbre y con los riesgos y oportunidades a ella asociados, y por consiguiente enriquece sucapacidad para generar valor.

1 Control Interno Estructura conceptual integrada. (En espaol, publicado por Ecoe Ediciones, Bogot, Colombia) (N del t)


4/23



BOGOTA Julio 2003.

Cortesa

ECOE EDICIONES

Incert idumbre

Las empresas operan en entornos en los que factores tales como globalizacin, tecnologa,regulacin, reestructuracin, mercados cambiantes, y competencia generan incertidumbre. Laincertidumbre emana de una incapacidad para determinar de manera precisa la probabilidad de

que ocurrirn eventos potenciales y sus resultados asociados.

Valor

El valor es generado, preservado o erosionado por decisiones de la administracin que varandesde la definicin de estrategias hasta la operacin diaria de la empresa. Inherente a lasdecisiones es el reconocimiento del riesgo y de la oportunidad, requiriendo que la administracin2considere informacin sobre entornos internos y externos, despliegue recursos preciosos y vuelva

a calibrar las actividades del emprendimiento frente a las circunstancias cambiantes.

Las entidades realizan el valor cuando los stakeholders derivan beneficios reconocibles queconvierten en valor. Para las compaas, los accionistas realizan el valor cuando reconocen lageneracin de valor a partir del crecimiento del valor de las acciones. Para las entidadesgubernamentales, el valor se realiza cuando los constituyentes reconocen el recibo de serviciosvaliosos a un costo aceptable. Los stakeholders de las entidades sin nimo de lucro realizan elvalor cuando reconocen el recibo de beneficios sociales valiosos. La administracin de riesgos delemprendimiento facilita la habilidad de la administracin tanto para crear valor sostenible comopara comunicar a los stakeholders el valor creado.

Beneficios de la adm inistracin de riesgos del emprendim iento

Ninguna entidad opera en un entorno libre-de-riesgos, y la administracin de riesgos delemprendimiento no crea tal entorno. Ms an, la administracin de riesgos del emprendimiento lepermite a la administracin operar ms efectivamente en entornos llenos de riesgos.

La administracin de riesgos del emprendimiento provee capacidad enriquecida para:

Alinear el apetito por el riesgo y la estrategia - El petito por el riesgo es el grado de riesgo,en un nivel de base amplia, que una compaa u otra entidad est dispuesta a aceptar en labsqueda de sus metas. La administracin considera el apetito por el riesgo que tiene laentidad evaluando primero las alternativas estratgicas, y luego estableciendo objetivosalineados con la estrategia seleccionada y desarrollando mecanismos para administrar losriesgos relacionados.

Vincular crecimiento, riesgo y retorno Las entidades aceptan el riesgo como parte de lageneracin y preservacin del valor, y esperan retornos que sean proporcionales con el riesgo.La administracin de riesgos del emprendimiento provee una habilidad enriquecida paraidentificar y valorar riesgos, y para establecer niveles aceptables de riesgo relacionados con los

objetivos de crecimiento y retorno.

Enriquecer las decisiones de respuesta frente al riesgo La administracin de riesgos delemprendimiento provee el rigor para identificar y seleccionar entre las respuestas alternativas

2 Si bien el trmino administracin se usa en esta y en discusiones posteriores, muchas actividades de administracin de riesgos

del emprendimiento son desempeadas por personal no-administrativo.


5/23



BOGOTA Julio 2003.

Cortesa

ECOE EDICIONES

frente al riesgo evitar, reducir, compartir y aceptar el riesgo. La administracin de riesgos delemprendimiento provee metodologas y tcnicas para tomar esas decisiones.

Minimizar sorpresas y prdidas operacionales Las entidades han enriquecido lacapacidad para identificar eventos potenciales, valorar el riesgo y establecer respuestas,

reduciendo por consiguiente la ocurrencia de sorpresas y de los costos o prdidasrelacionados.

Identificar y administrar los riesgos a travs del emprendimiento Muchas entidadesenfrentan una mirada de riesgos que afectan las diversas partes de la organizacin. Laadministracin requiere no solo administrar los riesgos individuales, sino tambin entender losimpactos interrelacionados.

Proveer respuestas integradas para los riesgos mltiples Los procesos de negocioconllevan muchos riesgos inherentes, y la administracin de riesgos del emprendimientopermite soluciones integradas para administrar los riesgos.

Sopesar oportunidades La administracin considera los eventos potenciales, ms que

solamente los riesgos, y mediante el considerar un rango completo de eventos, laadministracin obtiene un entendimiento de cmo ciertos eventos representan oportunidades.

Racionalizar el capital Informacin ms robusta sobre el riesgo total de la entidad le permitea la administracin evaluar ms efectivamente las necesidades de capital y mejorar laasignacin de capital.

La administracin de riesgos del emprendimiento no es un fin en s misma, sino ms an, un medioimportante. No opera y no puede hacerlo aislada de una entidad, sino que es un facilitador para losprocesos de la administracin. La administracin de riesgos del emprendimiento se interrelacionacon el gobierno corporativo proveyendo informacin a la junta de directores sobre los riesgos mssignificantes y sobre cmo estn siendo administrados. Y, se interrelaciona con la administracindel desempeo proveyendo medidas ajustadas-al-riesgo, y con el control interno, el cual es parteintegral de la administracin de riesgos del emprendimiento.

La administracin de riesgos del emprendimiento le ayuda a una entidad a lograr sus objetivos(targets), y a prevenir la prdida de recursos. Ayuda a asegurar una efectiva presentacin dereportes. Y, ayuda a asegurar que la entidad cumple con las leyes y regulaciones, evitando daosa su reputacin y otras consecuencias. En resumen, le ayuda a una entidad a ir a donde desea y aevitar equivocaciones y sorpresas en el camino.

Administracin de riesgos del emprendimiento definida

La administracin de riesgos del emprendimiento se define como sigue:

Administracin de riesgos del emprendimiento es un proceso, efectuado por la junta dedirectores, la administracin y otro personal de una entidad, aplicado en la definicin de laestrategia y a travs del emprendimiento, diseado para identificar los eventos potencialesque pueden afectar la entidad, y para administrar los riesgos que se encuentran dentro desu apetito por el riesgo, para proveer seguridad razonable en relacin con el logro de losobjetivos de la entidad.


6/23



BOGOTA Julio 2003.

Cortesa

ECOE EDICIONES

Esta definicin refleja ciertos conceptos fundamentales. La administracin de riesgos delemprendimiento es:

unproceso es un medio para un fin, no un fin en s mismo

efectuado por gente no es solamente polticas, estudios y formas, sino que involucra gente

en cada nivel de una organizacin aplicado en la definicin de la estrategia

aplicado a travs del emprendimiento, en cada nivel y unidad, e incluye asumir un punto devista de portafolio de los riesgos a nivel de la entidad

diseada para identificar los eventos que potencialmente afectan la entidad y para administrarlos riesgos dentro de su apetito por los riesgos

provee seguridad razonable para la administracin y para la junta de una entidad

orientado al logro de los objetivos en una u ms categoras separadas pero que al mismotiempo se sobreponen unas con otras.

Esta definicin es intencionalmente amplia por diversas razones. Captura los conceptosfundamentales que son clave sobre la manera como las compaas y otras organizacionesadministran el riesgo, proveyendo una base para la aplicacin a travs de diferentes tipos de

organizaciones, industrias y sectores. Se centra directamente en el logro de los objetivos de laentidad. Y, la definicin provee una base para definir la efectividad de la administracin de riesgosdel emprendimiento. Los conceptos fundamentales arriba subrayados se discuten en lospargrafos siguientes.

Un proceso

La administracin de riesgos del emprendimiento no es un evento o una circunstancia, sino unaserie de acciones que permean las actividades de una entidad. Esas acciones son penetrantes einherentes en la manera como la administracin opera el negocio.

La administracin de riesgos del emprendimiento difiere de la perspectiva de algunos observadoresque la consideran como algo aadido a las actividades de una entidad, o como una obligacinnecesaria. Esto no es para decir que la administracin efectiva de los riesgos del emprendimientono requiere un esfuerzo incremental. Por ejemplo, la valoracin del riesgo puede requerir esfuerzoincremental para desarrollar los modelos requeridos y para realizar el anlisis y los clculosnecesarios. Sin embargo, esos y otros mecanismos de la administracin de riesgos delemprendimiento estn mutuamente involucrados con las actividades de operacin de la entidad yexisten por razones de negocio fundamentales. La administracin de riesgos del emprendimientoes ms efectiva cuando esos mecanismos se construyen en la infraestructura de la entidad y hacenparte de la esencia de la empresa. Mediante su construccin en la administracin de riesgos delemprendimiento, una entidad puede afectar directamente su habilidad para implementar suestrategia y lograr su visin o misin.

Comprometerse en la administracin de riesgos del emprendimiento tambin tiene implicacionesimportantes para la reduccin de costos, especialmente en los mercados altamente competitivosque muchas compaas enfrentan. Agregar procedimientos nuevos separados de los existentes

aade costos. Mediante el centrarse en las operaciones existentes y en su contribucin a laefectiva administracin de riesgos del emprendimiento, e integrando la administracin de riesgosen las actividades de operacin bsicas, una empresa puede evitar procedimientos y costosinnecesarios. Adems, una prctica de construir la administracin de riesgos del emprendimientoen la fbrica de las operaciones ayuda a identificar oportunidades nuevas para que laadministracin las sopese en el crecimiento del negocio.


7/23



BOGOTA Julio 2003.

Cortesa

ECOE EDICIONES

Efectuado po r la gente

La administracin de riesgos del emprendimiento es realizada por la junta de directores, laadministracin y por otro personal. Constituye un logro de la gente de una organizacin, a causade lo que hacen y dicen.

La gente establece la misin/visin, la estrategia y los objetivos de la entidad, y pone enfuncionamiento los mecanismos de administracin de riesgos del emprendimiento.

De manera similar, la administracin de riesgos del emprendimiento afecta las acciones de lagente. La administracin de riesgos del emprendimiento reconoce que la gente no siempreentiende, comunica no se desempea de manera consistente. Cada individuo le aporta al lugar detrabajo un trasfondo y una habilidad tcnica nicos, y tiene diferentes necesidades y prioridades.

Esas realidades afectan, y son afectadas por, la administracin de riesgos del emprendimiento.Cada persona tiene un punto de referencia nico que influye la manera como identifica, valora yresponde frente al riesgo. La administracin de riesgos del emprendimiento provee losmecanismos requeridos para ayudar a que la gente entienda el riesgo en el contexto de losobjetivos de la entidad. La gente tiene que conocer sus responsabilidades y lmites de autoridad.De acuerdo con ello, se requiere que exista un vnculo claro y estrecho entre las obligaciones de lagente y la manera como son llevadas a cabo, as como con la estrategia y los objetivos de laentidad.

La gente de una organizacin incluye la junta de directores, lo mismo que la administracin y otropersonal. Si bien los directores principalmente proveen supervisin, tambin proveen direccin yaprueban la estrategia y ciertas transacciones y polticas. Por lo tanto, las juntas de directoresconstituyen un elemento importante de la administracin de riesgos del emprendimiento.

Ap licado en la definicin de la estrategia

Una entidad define su misin o visin y establece objetivos estratgicos, los cuales son las metasde alto nivel que se alinean con y apoyan su visin o misin. Una entidad establece una estrategia

para lograr sus objetivos estratgicos. Tambin define los objetivos relacionados que esperalograr, siguiendo a partir de la estrategia, y en forma de cascada, hacia las unidades de negocio,divisiones y procesos. Al definir la estrategia, la administracin considera los riesgos relacionadoscon las estrategias alternativas.

Ap lic ado a travs d e la emp resa

Para aplicar exitosamente la administracin de riesgos del emprendimiento, una entidad tiene queconsiderar el espectro completo de sus actividades. La administracin de riesgos delemprendimiento considera las actividades en todos los niveles de la organizacin, desdeactividades a nivel de la empresa tales como planeacin estratgica y asignacin de recursos,hasta las actividades de la unidad de negocios tales como mercadeo y recursos humanos, hastalos procesos de negocio tales como produccin y revisin del crdito de los clientes nuevos. La

administracin de riesgos del emprendimiento tambin aplica a proyectos especiales y a iniciativasnuevas que pueden todava no tener designado un sitio en la jerarqua o en el organigrama de laentidad.

La administracin de riesgos del emprendimiento requiere que una entidad asuma un punto devista de portafolio en relacin con los riesgos. Esto conlleva implicar a cada administradorresponsable por una unidad de negocios, funcin, proceso u otra actividad que desarrolle unavaloracin del riesgo para la unidad. La valoracin puede ser cuantitativa o cualitativa. Con un


8/23



BOGOTA Julio 2003.

Cortesa

ECOE EDICIONES

punto de vista compuesto en cada siguiente nivel de la organizacin, la administracin principalest posicionada para determinar si el perfil general de riesgo de la entidad es proporcional con suapetito por el riesgo.

A partir de una perspectiva de portafolio a nivel-de-la-entidad, la administracin considera los

riesgos interrelacionados. Estos, requieren ser identificados y que se acte sobre ellos paraconocer completamente el riesgo junto con el apetito que por el riesgo tiene la entidad. Los riesgosque corresponden a las unidades individuales de la entidad pueden encontrarse dentro de latolerancia al riesgo de las unidades, pero tomados juntos pueden exceder el apetito que por elriesgo tiene la entidad como un todo. El apetito general que por el riesgo tiene la entidad se reflejaen una corriente que fluye desde arriba hacia abajo en la entidad, a travs de tolerancias que seestablecen para los objetivos especficos.

Apet i to por el r iesgo

El apetito por el riesgo es la cantidad de riesgo que una entidad est dispuesta a aceptar en labsqueda de valor. Las entidades a menudo consideran cualitativamente el apetito por el riesgo,en categoras tales como alto, moderado o bajo, o pueden tomar un enfoque cuantitativo,reflejando y balanceando las metas de crecimiento, retorno y riesgo.

El apetito por el riesgo est relacionado directamente con la estrategia de una entidad. Seconsidera en la definicin de la estrategia, en la que el retorno deseado de una estrategia se debealinear con el apetito que por el riesgo tiene la entidad.. Estrategias diferentes expondrn a laentidad a riesgos diferentes. La administracin de riesgos del emprendimiento, aplicada en ladefinicin de la estrategia, le ayuda a la administracin a seleccionar una estrategia consistentecon el apetito que por el riesgo tiene la entidad.

El apetito que por el riesgo tiene una entidad orienta la asignacin de recursos. La administracinasigna recursos a travs de las unidades de negocio teniendo en consideracin el apetito que porel riesgo tiene la entidad y las estrategias de las unidades de negocio individuales para generar unretorno deseado sobre los recursos invertidos. La administracin considera su apetito por el riesgoen cuanto ste est alineado con su organizacin, su gente y sus procesos, y disea la

infraestructura necesaria para responder y monitorear efectivamente a los riesgos.

La tolerancia al riesgo es el nivel aceptable de variacin relativa con el logro de los objetivos. Aldefinir tolerancias especficas frente al riesgo, la administracin considera la importancia relativa delos objetivos relacionados y alinea la tolerancia al riesgo con su apetito por el riesgo. Operar conesta tolerancia al riesgo provee a la administracin con mayor seguridad de que la entidadpermanecer con su apetito por el riesgo y, a su vez, provee un alto grado de comodidad respectode que la entidad lograr sus objetivos.

Provee seguridad razonable

Una bien diseada y operada administracin de riesgos del emprendimiento puede proveer a laadministracin y a la junta de directores con seguridad razonable en relacin con el logro de los

objetivos de una entidad. Como resultado de una administracin de riesgos del emprendimientoque se determin es efectiva, en cada una de las categoras de los objetivos de la entidad, la juntade directores y la administracin obtiene seguridad razonable de que:

Entienden la extensin en la cual se estn logrando los objetivos estratgicos de la entidad,

Entienden la extensin en la cual se estn logrando los objetivos de operacin,

La presentacin de reportes de la entidad es confiable, y

Se est cumpliendo con las leyes y regulaciones aplicables.


9/23



BOGOTA Julio 2003.

Cortesa

ECOE EDICIONES

La seguridad razonable refleja la nocin de que la incertidumbre y el riesgo se relacionan con elfuturo, el cual uno no puede predecir con certeza. Las limitaciones tambin se derivan de lasrealidades de que el juicio humano en la toma de decisiones puede ser imperfecto, las decisionessobre las respuestas al riesgo y el establecimiento de los controles requieren considerar los costos

y los beneficios asociados, pueden ocurrir rupturas a causa de fallas humanas tales como errores oequivocaciones simples, los controles se pueden eludir por acuerdos secretos e ilegales de dos oms personas, y la administracin tiene la habilidad para eludir las decisiones de la administracinde riesgos del emprendimiento. Esas limitaciones hacen imposible que la administracin tengaseguridad absoluta de que se lograrn los objetivos.

Logro de objet ivos

De la administracin efectiva de riesgos del emprendimiento se puede esperar que proveaseguridad razonable del logro de los objetivos relacionados con la confiabilidad de la presentacinde reportes y con el cumplimiento con las leyes y regulaciones. El logro de esas categoras deobjetivos est bajo control de la entidad y depende de qu tan bien se estn desempeando lasactividades relacionadas de la entidad.

Sin embargo, el logro de los objetivos estratgicos y de operaciones no siempre est bajo controlde la entidad. Para esos objetivos, la administracin de riesgos del emprendimiento puede proveerseguridad razonable solamente de que la administracin, y la junta en su rol de supervisin, sonconscientes, de una manera oportuna, de la extensin en la cual la entidad se est moviendo haciael logro de los objetivos.

Componentes de la administracin de riesgos del emprendimiento

La administracin de riesgos del emprendimiento consta de ocho componentes interrelacionados.Estos, se derivan de la manera como la administracin opera un negocio, y estn integrados dentrodel proceso administrativo. Los componentes son:

Entorno interno

El entorno interno de la entidad es el fundamento de todos los otros componentes de laadministracin de riesgos del emprendimiento, y provee disciplina y estructura. El entorno internoinfluye la manera como se establecen la estrategia y los objetivos, cmo se estructuran lasactividades de negocio, y cmo se identifican los riesgos, se valoran y se acta sobre ellos. Influyeen el diseo y en el funcionamiento de las actividades de control, de los sistemas de informacin ycomunicacin, y del monitoreo de las actividades. El entorno interno comprende muchoselementos, incluyendo valores ticos de la entidad, competencia y desarrollo del personal, estilo deoperacin de la administracin y la manera como sta asigna autoridad y responsabilidad. Unajunta de directores es una parte crtica del entorno interno e influye de manera significativa en losotros elementos del entorno interno. Como parte del entorno interno, la administracin establece

una filosofa de administracin del riesgo, establece el apetito que por el riesgo tiene la entidad,forma una cultura de riesgo e integra la administracin de riesgos del emprendimiento con lasiniciativas relacionadas.

La filosofa de administracin de riesgos del emprendimiento que es entendida por todo el personalfacilita la habilidad de los empleados para reconocer y administrar el riesgo de manera efectiva. Lafilosofa -las creencias de la entidad sobre el riesgo y sobre cmo escoge dirigir sus actividades ycmo tratar el riesgo- refleja el valor que la entidad busca a partir de la administracin de riesgos


10/23



BOGOTA Julio 2003.

Cortesa

ECOE EDICIONES

del emprendimiento e influye la manera como se aplicarn los componentes de la administracinde riesgos del emprendimiento. Mediante declaraciones de poltica y otras comunicaciones, laadministracin comunica a sus empleados su filosofa de administracin de riesgos delemprendimiento. De manera importante, la administracin refuerza la filosofa no solo conpalabras sino tambin con las acciones de cada da.

El apetito por el riesgo, establecido por la administracin y revisado por la junta de directores, esuna seal orientadora en la definicin de la estrategia. Usualmente, se puede disear cualquiercantidad de estrategias diferentes para lograr las metas deseadas de crecimiento y retorno,teniendo cada una diferentes riesgos asociados. La administracin de riesgos del emprendimiento,aplicada en la definicin de la estrategia, le ayuda a la administracin a seleccionar una estrategiaconsistente con su apetito por el riesgo. La administracin busca alinear la organizacin, la gente,los procesos y la infraestructura para facilitar la implementacin exitosa de la estrategia y parapermitirle a la entidad mantener su apetito por el riesgo.

La cultura de riesgo es el conjunto de actitudes, valores y prcticas compartidos que caracterizan lamanera como una entidad considera el riesgo en sus actividades diarias. Para muchas compaas,la cultura de riesgo fluye desde la filosofa de riesgo y el apetito que por el riesgo tiene la entidad.Para aquellas entidades que no definen de manera explcita su filosofa de riesgo, la cultura deriesgo puede volverse carente de orden y direccin, derivando en culturas de riesgosignificativamente diferentes al interior de una empresa o an dentro de una unidad de negocios,funcin o departamento particular.

Definicin de objetivo s

Dentro del contexto de la misin o visin establecida, la administracin establece objetivosestratgicos, selecciona estrategias y establece objetivos relacionados, en cascada a travs de laempresa, alineados y vinculados con la estrategia. Los objetivos tienen que existir antes que laadministracin pueda identificar los eventos que potencialmente afectan su logro. Laadministracin de riesgos del emprendimiento asegura que la administracin tiene enfuncionamiento un proceso tanto para establecer objetivos como para alinear los objetivos con lamisin/visin de la entidad y que sean consistentes con el apetito de riesgo que tiene la entidad.

Los objetivos se pueden ver en el contexto de cuatro categoras:

Estrategia relacionados con metas de alto nivel, alineados con y apoyando la misin/visinde la entidad.

Operaciones relacionados con la efectividad y eficiencia de las operaciones de la entidad,incluyendo las metas de desempeo y rentabilidad. Varan con base en las opciones queselecciona la administracin sobre estructura y desempeo.

Presentacin de reportes relacionados con la efectividad de la presentacin de reportes dela entidad. Incluyen la presentacin de reportes internos y externos y pueden implicarinformacin financiera o no-financiera.

Cumplimiento relacionados con el cumplimiento de la entidad con las leyes y regulacionesaplicables.

Esta categorizacin de los objetivos de la entidad le permite a la administracin y a la juntacentrarse en los aspectos separados de la administracin de riesgos del emprendimiento. Esascategoras distintas pero sobrepuestas un objetivo particular puede caer en ms de una categora-direccionan las diferentes necesidades de la entidad y pueden ser responsabilidad directa dediferentes ejecutivos. Esta categorizacin tambin permite distinguir qu se puede esperar decada categora de objetivos.


11/23



BOGOTA Julio 2003.

Cortesa

ECOE EDICIONES

Algunas entidades usan otra categora de objetivos, salvaguarda de recursos, algunas vecesreferida como salvaguarda de activos. Vista de manera amplia, trata con la prevencin deprdidas de los activos o recursos de una entidad, ya se deba a causa de robo, desperdicio,ineficiencia o simplemente por malas decisiones de negocio tal como la venta de producto a unprecio demasiado bajo, falla en mantener los empleados clave o prevencin de la infraccin de

patentes, o por incurrir en pasivos no previstos. Esta categora de salvaguarda de activos, quetiene base amplia, se puede estrechar para ciertos propsitos de presentacin de reportes, en losque el concepto de salvaguarda aplica solamente a la prevencin o deteccin oportuna de laadquisicin, el uso, o la disposicin no-autorizada de los activos de la entidad.

Identi f icacin de eventos

La administracin reconoce que existen incertidumbres -que no puede conocer con certezacundo y cmo ocurrir un evento, o si ocurrir su resultado. Como parte de la identificacin deeventos, la administracin considera los factores externos e internos que afectan la ocurrencia delos eventos. Los factores externos incluyen factores econmicos, de negocios, ambiente natural,polticos, sociales y tecnolgicos. Los factores internos reflejan las selecciones que realiza laadministracin e incluyen asuntos tales como infraestructura, personal, procesos y tecnologa.

La metodologa de identificacin de eventos de una entidad puede comprender una combinacinde tcnicas vinculadas con herramientas de apoyo. Las tcnicas de identificacin de eventosmiran tanto el pasado como el futuro. Las tcnicas que se centran en los eventos y tendenciaspasados consideran asuntos tales como historias de cesacin de pagos, cambios en los precios delas mercancas y prdida de tiempo por accidentes. Las tcnicas que se centran en lasexposiciones futuras consideran asuntos tales como cambios demogrficos, mercados nuevos yacciones de los competidores.

Puede ser til agrupar en categoras los eventos potenciales. Mediante la agregacin horizontal delos eventos que ocurren a travs de una entidad y verticalmente al interior de las unidades deoperacin, la administracin desarrolla un entendimiento de las interrelaciones que existen entrelos eventos, consiguiendo informacin enriquecida como base para la valoracin del riesgo.

Potencialmente, los eventos tienen un impacto negativo, un impacto positivo, o ambos. Loseventos que tienen un impacto potencialmente negativo representan riesgos, lo cual requierevaloracin y respuesta por parte de la administracin. De acuerdo con ello, el riesgo se definecomo la posibilidad de que ocurrir un evento y afectar de manera adversa el logro de losobjetivos.

Los eventos con un impacto potencialmente negativo representan oportunidades o compensacindel impacto negativo de los riesgos. Los eventos que representan oportunidades se canalizanhacia la estrategia de la administracin o hacia los procesos de definicin de objetivos, de maneraque se puedan formular acciones para sopesar las oportunidades. Los eventos quepotencialmente compensan el impacto negativo de los riesgos se consideran en la valoracin delriesgo y en la respuesta al riesgo que realiza la administracin.

Valoracin del riesgo

La valoracin del riesgo le permite a una entidad considerar cmo los eventos potenciales puedenafectar el logro de los objetivos. La administracin valora los eventos a partir de dos perspectivas:probabilidad e impacto.

Probabilidad representa la posibilidad de que ocurrir un evento dado, mientras que impactorepresenta su efecto debido a su ocurrencia. Los estimados de probabilidad e impacto a menudo


12/23



BOGOTA Julio 2003.

Cortesa

ECOE EDICIONES

se determinan usando datos de eventos pasados observables, los cuales pueden proveer una basems objetiva que los estimados solamente subjetivos. Los datos generados internamente, basadosen la propia experiencia de la entidad, pueden reflejar sesgos personales menos subjetivos yproveen mejores resultados que los datos obtenidos de fuentes externas. Sin embargo, si bien losdatos generados internamente constituyen un input principal, los datos externos pueden ser tiles

como punto de verificacin o para enriquecer el anlisis. Los usuarios tienen que ser cautelososcuando usan eventos pasados para hacer predicciones sobre el futuro, dado que los factores queinfluyen en los eventos pueden cambiar con el tiempo.

La metodologa de valoracin del riesgo de una entidad normalmente comprende una combinacinde tcnicas cualitativas y cuantitativas. La administracin a menudo usa tcnicas cualitativas devaloracin cuando los riesgos por s mismos no tienden a la cuantificacin o cuando los datoscrebles y suficientes que se requieren para las valoraciones no son ya sea prctico disponer deellos o la obtencin o el anlisis de los mismos no es costo-efectivo. Las tcnicas cuantitativastpicamente ofrecen ms precisin y se usan en actividades ms complejas y sofisticadas paracomplementar las tcnicas cualitativas. Una entidad no requiere usar tcnicas comunes devaloracin a travs de todas las unidades de negocio. Ms an, la seleccin de las tcnicas debereflejar la necesidad de precisin y la cultura de la unidad de negocios. En cualquier caso, losmtodos usados por las unidades individuales de negocio deben facilitar la valoracin de losriesgos de la entidad a travs de toda la entidad.

La administracin a menudo usa medidas de desempeo para determinar la extensin en la cualse estn logrando los objetivos. Puede ser til usar la misma unidad de medida cuando seconsidera el impacto potencial de un riesgo para el logro de un objetivo especificado.

La administracin puede valorar la manera como se correlacionan los eventos, en los que secombinan e interactan eventos para crear probabilidades o impactos significativamente diferentes.Si bien el impacto de un evento individual puede ser bajo, una secuencia de eventos puede tenerimpacto ms significativo. Cuando los eventos potenciales no estn directamente relacionados, laadministracin los valora individualmente; cuando es probable que los riesgos ocurran en mltiplesunidades de negocio, la administracin puede valorarlos y agrupar en categoras comunes loseventos identificados,

Usualmente existe un rango de resultados posibles que se asocian con un evento potencial, y laadministracin los considera como base para desarrollar una respuesta frente al riesgo. Mediantela valoracin del riesgo, la administracin considera las consecuencias positivas y negativas de loseventos, individual o por categora, a travs de la entidad.

Dado que los riesgos se valoran en el contexto de la estrategia y de los objetivos de una entidad, amenudo la administracin tiende a centrarse en los riesgos con horizontes de tiempo corto omediano. Sin embargo, algunos elementos de la direccin y de los objetivos estratgicos seextienden por un tiempo ms largo. En consecuencia, la administracin requiere ser conocedorade las franjas de tiempo ms amplia, y no ignorar que los riesgos pueden ocurrir en ellas.

La valoracin del riesgo se aplica primero al riesgo inherente el riesgo para la entidad en ausencia

de cualquier accin que la administracin pueda tomar para alterar ya sea la probabilidad o elimpacto del riesgo. Una vez que se han desarrollado respuestas frente al riesgo, la administracinusa tcnicas de valoracin del riesgo para determinar el riesgo residual el riesgo que permaneceluego de la accin de la administracin para alternar la probabilidad o el impacto del riesgo.


13/23



BOGOTA Julio 2003.

Cortesa

ECOE EDICIONES

Respuesta al riesgo

La administracin identifica las opciones de respuesta al riesgo y considera su efecto en laprobabilidad y en el impacto, en relacin con las tolerancias al riesgo y costo versus beneficio, ydisea e implementa opciones de respuesta. La consideracin de las respuestas al riesgo y la

seleccin e implementacin de una respuesta al riesgo son parte integral de la administracin deriesgos del emprendimiento. La efectiva administracin de riesgos del emprendimiento requiereque la administracin seleccione una respuesta que se espere conduzca la probabilidad y elimpacto del riesgo dentro de la tolerancia al riesgo que tiene la entidad.

Las respuestas al riesgo caen dentro de las categoras de evitar, reducir, compartir y aceptar elriesgo. Las respuestas de evitar colocan la accin en salir de las actividades que dan origen a losriesgos. Las respuestas de reduccin reducen la probabilidad del riesgo, el impacto, o ambos. Lasrespuestas de compartir el riesgo reducen la probabilidad o el impacto del riesgo mediante eltransferirlo o de otra manera compartir una parte del riesgo. Las respuestas de aceptacin norealizan accin alguna para afectar la probabilidad o el impacto. Como parte de la administracinde riesgos del emprendimiento, para cada riesgo significativo la entidad considera las respuestaspotenciales a partir del rango de categoras de respuesta. Esto da profundidad suficiente paraseleccionar la respuesta y tambin modifica el status quo.

Luego de seleccionar una respuesta al riesgo, la administracin vuelve a calibrar el riesgo sobreuna base residual. La administracin considera el riesgo desde una perspectiva de la entidad-como-un-todo, o portafolio. La administracin puede asumir un enfoque mediante el cual eladministrador responsable de cada departamento, funcin o unidad de negocio desarrolla unavaloracin compuesta de los riesgos y de las respuestas al riesgo para esa unidad. Este punto devista refleja el perfil de la unidad en relacin con sus objetivos y sus tolerancias al riesgo. Con unpunto de vista del riesgo para las unidades individuales, la mayora de los administradoresprincipales de la empresa estn posicionados para asumir un punto de vista de portafolio, a fin dedeterminar si el perfil de riesgos de la entidad es proporcional con su apetito general de riesgosrelativo a sus objetivos.

La administracin debe reconocer que siempre existir algn nivel de riesgo residual, no solamente

porque los recursos son limitados, sino tambin a causa de la incertidumbre futura inherente y delas limitaciones inherentes a todas las actividades.

Act iv idades de contro l

Las actividades de control son las polticas y los procedimientos que ayudan a asegurar que seestn ejecutando de manera apropiada las respuestas al riesgo. Las actividades de controlocurren a travs de la organizacin, en todos los niveles y en todas las funciones. Las actividadesde control hacen parte del proceso mediante el cual una empresa intenta lograr sus objetivos denegocio. Usualmente implican dos elementos: establecimiento de la poltica que se debe ejecutar yprocedimientos para efectuar la poltica.

Con la extendida confianza en los sistemas de informacin, se requieren controles sobre los

sistemas significativos. Se pueden usar dos agrupamientos amplios de las actividades de controlde los sistemas de informacin. El primero son los controles generales, que aplican a muchos sino a todos los sistemas de aplicacin y ayudan a asegurar su operacin continuada, apropiada. Elsegundo son los controles de aplicacin, que incluyen pasos computarizados dentro del softwarede aplicacin para controlar la aplicacin de la tecnologa. Combinados con otros controlesmanuales para los procesos, cuando es necesario, esos controles aseguran la completitud, laexactitud y la validez de la informacin.


14/23



BOGOTA Julio 2003.

Cortesa

ECOE EDICIONES

Los controles generales incluyen controles sobre administracin de tecnologa de informacin,infraestructura de tecnologa de informacin, administracin de seguridad y adquisicin, desarrolloy mantenimiento de software. Esos controles aplican a todos los sistemas desde ambientesmainframe a cliente/servidor a computacin de escritorio. Los controles generales incluyen loscontroles de administracin de la tecnologa de la informacin que direccionan el proceso de

supervisin de tecnologa de la informacin, las actividades de monitoreo y presentacin dereportes de tecnologa de la informacin, y las iniciativas de mejoramiento del negocio.

Los controles de aplicacin estn diseados para asegurar completitud, exactitud, autorizacin yvalidez de los datos que se capturan y del procesamiento de las transacciones. Las aplicacionesindividuales pueden confiar en la operacin efectiva de los controles sobre los sistemas deinformacin para asegurar que se estn generando las interfases de datos cuando se requieren,estn disponibles las aplicaciones de soporte y se detectan rpidamente los errores de interfase.

Dado que cada entidad tiene su propio conjunto de objetivos y enfoques de implementacin,existirn diferencias en los objetivos, la estructura y las actividades de control relacionadas. An sidos entidades tuvieran objetivos y estructuras idnticos, sus actividades de control probablementeseran diferentes. Cada entidad es administrada por diferente gente que usa juicios individualesque afectan el control interno. Ms an, los controles reflejan el entorno y la industria en la cualopera la entidad, as como la complejidad de su organizacin, su historia y su cultura.

In formacin y c omun icacin

Se tiene que identificar, capturar y comunicar informacin pertinente -de fuentes internas yexternas- en una forma y en una franja de tiempo que le permita al personal llevar a cabo susresponsabilidades. La comunicacin efectiva tambin ocurre en un sentido amplio, hacia abajo, atravs y hacia arriba en la entidad. Tambin existe comunicacin efectiva e intercambio deinformacin relevante con partes externas, tales como clientes, proveedores, reguladores yaccionistas.

En todos los niveles de una organizacin se requiere informacin para identificar, valorar yresponder a los riesgos, as como para operar la entidad y lograr sus objetivos. Se usa un conjunto

de informacin, relevante a uno o ms categoras de objetivos. La informacin proviene demuchas fuentes internas y externas, y en formas cuantitativas y cualitativas- y permite respuestasen tiempo real por parte de la administracin de riesgos del emprendimiento. El desafo para laadministracin es procesar y definir grandes volmenes de datos en informacin con la cual sepueda actuar. Este desafo se logra estableciendo una infraestructura de sistemas de informacinpara obtener, capturar, procesar, analizar y reportar informacin relevante. Esos sistemas deinformacin usualmente computarizados pero que tambin implican inputs o interfases manuales-a menudo son percibidos en el contexto del proceso de datos generados internamenterelacionados con las transacciones.

Desde hace tiempo, los sistemas de informacin han sido diseados y usados para dar soporte a laestrategia de negocio. Este rol se vuelve crtico en la medida en que los negocios requierencambiar y la tecnologa crea nuevas oportunidades para obtener ventaja estratgica.

Para apoyar la efectiva administracin de riesgos del emprendimiento, una entidad captura y usadatos histricos y actuales. Los datos histricos le permiten a la entidad rastrear el desempeoactual contra objetivos [targets], planes y expectativas. Provee luces sobre cmo se desempe laentidad bajo condiciones cambiantes, permitindole a la administracin identificar correlaciones ytendencias y pronosticar el desempeo futuro. Los datos histricos tambin pueden proveeralarmas potenciales sobre los eventos potenciales que llaman la atencin de la administracin.


15/23



BOGOTA Julio 2003.

Cortesa

ECOE EDICIONES

Los datos presentes o sobre el estado actual le permiten a una entidad valorar sus riesgos en unpunto especfico del tiempo y mantenerlos dentro de las tolerancias al riesgo que se establecieron.Los datos sobre el estado actual le permiten a la administracin tener un punto de vista en tiemporeal sobre los riesgos existentes que son inherentes a un proceso, funcin o unidad, e identificarlas variaciones frente a las expectativas. Esto provee un punto de vista sobre el perfil de riesgos

de la entidad, permitindole a la administracin modificar las actividades en cuanto sea necesario afin de calibrar su apetito por el riesgo.

La informacin es una base para la comunicacin, la cual tiene que satisfacer las expectativas delos grupos y de los individuos, permitindoles llevar a cabo de manera efectiva susresponsabilidades. Entre los canales de comunicacin ms crticos se encuentra el que se da entrela alta gerencia y la junta de directores. La administracin tiene que mantener actualizada a lajunta sobre el desempeo, los desarrollos, los riesgos y el funcionamiento de la administracin deriesgos del emprendimiento, y sobre todos los otros eventos y asuntos relevantes. A mejorcomunicacin, ms efectiva ser la junta para llevar a cabo sus responsabilidades de supervisin,para actuar como una junta slida sobre los problemas crticos y para proveer asesora, consejo ydireccin. De la misma manera, la junta debe comunicar a la administracin qu informacinrequiere y proveerle retroalimentacin y direccin.

La administracin provee comunicacin especfica y orientada direccionando las expectativas decomportamiento y las responsabilidades del personal. Esto incluye una declaracin clara de lafilosofa y del enfoque de administracin de riesgos del emprendimiento de la entidad, as comodelegacin de autoridad. La comunicacin sobre los procesos y los procedimientos se debe alinearcon, y hacer parte de, la cultura de riesgos que se desea. Adems, la comunicacin debe serenmarcada de manera apropiada -la presentacin de la informacin puede afectarsignificativamente la manera como se interpreta y la manera como se perciben los riesgos o lasoportunidades asociados.

La comunicacin debe generar conciencia sobre la importancia y la relevancia de la efectivaadministracin de riesgos del emprendimiento, comunicar el apetito por el riesgo y las tolerancias alriesgo que tiene la entidad, implementar y apoyar un lenguaje comn sobre los riesgos, y darconsejo al personal sobre sus roles y responsabilidades al poner en funcionamiento y dar apoyo a

los componentes de la administracin de riesgos del emprendimiento.

Los canales de comunicacin tambin deben asegurar que el personal puede comunicarinformacin basada-en-riesgos a travs de las unidades de negocio, procesos o componentesfuncionales. En la mayora de los casos, las lneas normales de presentacin de reportes en unaorganizacin son los canales de comunicacin apropiados. Sin embargo, en algunascircunstancias, se necesitan lneas separadas de comunicacin para servir como un mecanismoseguro-frente-a-fallas en caso de que los canales normales sean no sean operativos. En todos loscasos, es importante que el personal entienda que no habrn retaliaciones por la informacinrelevante que se reporte.

Los canales de comunicacin externos pueden proveer input altamente significativo sobre el diseoo la calidad de los productos y de los servicios. La administracin considera cmo su apetito por el

riesgo y su tolerancia por el riesgo se alinea con los de sus clientes, proveedores y socios,asegurando que no asume, inadvertidamente, demasiado riesgo en sus interacciones de negocio.La comunicacin proveniente de partes externas a menudo provee informacin importante sobre elfuncionamiento de la administracin de riesgos del emprendimiento.


16/23



BOGOTA Julio 2003.

Cortesa

ECOE EDICIONES

Moni toreo

La administracin de riesgos del emprendimiento se monitorea -un proceso que valora tanto la

presencia como el funcionamiento de sus componentes y la calidad de su desempeo en el tiempo.El monitoreo se puede realizar de dos maneras: mediante actividades ongoing o a travs deevaluaciones separadas. El monitoreo ongoing y separado asegura que la administracin deriesgos del emprendimiento continua aplicndose en todos los niveles y a travs de la entidad.

El monitoreo ongoing se construye en las actividades de operacin normales, recurrentes, de unaentidad. El monitoreo ongoing se desempea en una base de tiempo real, reacciona de maneradinmica frente a las condiciones cambiantes y est engranado en la entidad. Como resultado, esms efectivo que las evaluaciones separadas. Dado que tales evaluaciones separadas ocurrenluego de los hechos, a menudo los problemas se identificarn ms rpidamente mediante rutinasde monitoreo ongoing. No obstante ello, muchas entidades que tienen slidas actividades demonitoreo ongoing dirigen evaluaciones separadas de la administracin de riesgos delemprendimiento.

La frecuencia de las evaluaciones separadas es asunto de juicio de la administracin. Al tomar esadeterminacin, presta consideracin a la naturaleza y al grado de los cambios, a eventos tantointernos como externos, y sus riesgos asociados; a la competencia y experiencia del personal queimplementa las respuestas al riesgo y los controles relacionados; y a los resultados del monitoreoongoing. Usualmente, alguna combinacin de monitoreo ongoing y evaluaciones separadasasegurar que la administracin de riesgos del emprendimiento mantendr su efectividad en eltiempo.

La extensin de la documentacin de la administracin de riesgos del emprendimiento de unaentidad vara con el tamao de la entidad, su complejidad y factores similares. El hecho de que loselementos de la administracin de riesgos del emprendimiento no estn documentados no significaque no son efectivos o que no se pueden evaluar. Sin embargo, un nivel apropiado dedocumentacin usualmente hace ms efectivo y eficiente el monitoreo. Cuando la administracin

intenta hacer una declaracin, dirigida a terceros, en relacin con la efectividad de laadministracin de riesgos del emprendimiento, debe considerar desarrollar y mantenerdocumentacin que de soporte a la declaracin.

Todas las deficiencias de la administracin de riesgos del emprendimiento que afectan la habilidadde la entidad para desarrollar e implementar su estrategia y para lograr sus objetivos establecidos,se deben reportar a quienes se encuentran en posicin para tomar la accin necesaria. Lanaturaleza de los asuntos a comunicar variar dependiendo de la autoridad que los individuostienen para tratar con las circunstancias que surgen y de las actividades de supervisin querealizan los superiores. El trmino deficiencia se refiere a una condicin que llama la atencindentro del proceso de administracin de riesgos del emprendimiento. Por consiguiente, unadeficiencia puede representar una falla percibida, potencial o real, o una oportunidad parafortalecer el proceso a fin de incrementar la probabilidad de que se lograrn los objetivos de la

entidad. La informacin que se genera en el curso de las actividades de operacin usualmente sereporta a travs de canales normales. Tambin deben existir canales de comunicacin alternativospara reportar informacin sensible tal como actos ilegales o impropios.

Es crtico proveer la informacin requerida sobre las deficiencias de la administracin de riesgosdel emprendimiento, dirigida a la parte correcta. Se deben establecer protocolos para identificarqu informacin se requiere en un nivel particular para la efectiva toma de decisiones. Talesprotocolos reflejan la regla general de que un administrador debe recibir informacin que afecte las


17/23



BOGOTA Julio 2003.

Cortesa

ECOE EDICIONES

acciones o el comportamiento del personal bajo su responsabilidad, as como la informacinrequerida para lograr objetivos especficos.

Relaciones entre objetivos y componentes

Existe una relacin directa entre los objetivos, que son aquello que una entidad intenta lograr, y loscomponentes de la administracin de riesgos del emprendimiento, que representan lo que serequiere para lograrlos. La Muestra 1 describe la relacin en una matriz tridimensional.

Se debe reconocer que las cuatro columnas representan las categoras de los objetivos de unaentidad, no las partes o las unidades de la entidad. De acuerdo con ello, cuando se considera lacategora de los objetivos relacionados con la presentacin de reportes, por ejemplo, se requiereconocimiento sobre un conjunto amplio de informacin sobre las operaciones de la entidad. Peroen ese caso el centro de atencin se encuentra el la columna derecha-media del modelo los

objetivos de presentacin de reportes- ms que en la categora de los objetivos de operacin.

La Muestra 2 expande las filas de los componentes del cubo para mostrar los elementos clave decada componente, de la misma manera que los componentes representan un flujo del proceso.

Entorno interno

Definicin de objetivos

Identificacin de eventos

Valoracin del riesgo

Exposicin al riesgo

Actividades de control

Informacin & Comunicacin

MonitoreoNIVEL DE LA ENTIDAD

DIVISION

UNIDAD DE NEGOCIO

SUBSIDIARIA

ESTRATEGIA

OPERACIONES

PRESENTACION DE REPORTES

CUMPLIMIENTO

Muestra 1

Las cuatro categoras de objetivos -estrategia,

operaciones, presentacin de reportes y cumpli -

miento- estn representadas por las columnas

verticales.

Los ocho componentes estn representados

por las filas horizontales.

La entidad y sus unidades operacionales se

describen por medio de la tercera dimensin

de la matriz.


18/23



BOGOTA Julio 2003.

Cortesa

ECOE EDICIONES

Entorno internoFilosofa de administracin de riesgos Cultura de riesgos Junta de directores

Integridad y valores ticos Compromiso para con la competencia Filosofa y estilo

de operacin de la administracin Apetito por el riesgo Estructura organizacional

Asignacin de autoridad y responsabilidad Polticas y prcticas de recursos humanos

Definicin de objetivosObjetivos estratgicos Objetivos relacionados Objetivos seleccionados Apetito

por el riesgo Tolerancia al riesgo

Identificacin de eventosEventos Factores que influyen en la estrategia y en los objetivos Metodologas y tcnicas

Interdependencias entre los eventos Categoras de eventos Riesgos y oportunidades

Valoracin del riesgoRiesgo inherente y residual Probabilidad e impacto Metodologas y tcnicas Correlacin

Respuesta al riesgoIdentificacin de las respuestas al riesgo Evaluacin de las posibles respuestas al riesgo

Seleccin de respuestas Punto de vista de portafolio

Actividades de controlIntegracin con la respuesta al riesgo Tipos de actividades de control Controles generales

Controles de aplicacin Especficos de la entidad

Informacin y ComunicacinInformacin Sistemas estratgicos e integrados - Comunicacin

MonitoreoEvaluaciones separadas Evaluaciones ongoing

Muestra 2


19/23



BOGOTA Julio 2003.

Cortesa

ECOE EDICIONES

Efectividad

Si bien la administracin de riesgos del emprendimiento es un proceso, su efectividad es un estadoo condicin en un punto en el tiempo. Determinar si la administracin de riesgos del

emprendimiento es efectiva es un juicio subjetivo que resulta de una valoracin de si todos losocho componentes estn presentes y funcionan de manera apropiada.

Para que se consideren efectivos, todos los ocho componentes tienen que estar presentes y enfuncionamiento. Sin embargo, esto no significa que cada componente debe funcionar de maneraidntica, o an en el mismo nivel, en diferentes entidades, y pueden existir intercambios entre loscomponentes. Dado que las tcnicas de administracin de riesgos del emprendimiento puedenservir a una variedad de propsitos, las tcnicas que se aplican en relacin con un componentepueden servir al propsito de aquellos que normalmente tienen que estar presentes en otro. Demanera adicional. Las respuestas al riesgo pueden diferir en el grado en que direccionan un riesgoparticular, de manera que respuestas al riesgo que son complementarias, cada una con efectolimitado, juntas pueden ser satisfactorias.

Los conceptos que aqu se discuten aplican a todas las entidades, independiente del tamao. Sibien algunas entidades pequeas y medianas pueden implementar los factores componentes demanera diferente a como lo hacen las grandes, pueden tener efectiva administracin de riesgos delemprendimiento. La metodologa para cada componente es probable que sea menos formal ymenos estructurada en las entidades pequeas que en las ms grandes, pero los conceptosbsicos que se expresan deben estar presentes en cada entidad, independiente del tamao.

La administracin de riesgos del emprendimiento se puede considerar en el contexto de unaempresa como un todo, o en el de una o ms unidades individuales. Cuando se considera laadministracin de riesgos del emprendimiento para una unidad de negocios particular, todos losocho componentes se tienen que usar como elemento de comparacin [benchmark].

Una compaa puede tener contratos de riesgo compartido, sociedades u otras inversiones, cuyasoperaciones no se encuentren bajo control directo de la compaa. Al considerar la efectividad de

la administracin de riesgos del emprendimiento de la compaa, uno debe mirar la extensin en lacual la compaa y el vehculo de inversin, juntos, han aplicado de manera adecuada cada uno delos ocho componentes, a la luz de la estrategia de la compaa y de sus objetivos relacionados.

Abarca el control interno

El control interno es parte integral de la administracin de riesgos del emprendimiento. Estaestructura conceptual de administracin de riesgos del emprendimiento abarca el control interno,dando forma a una conceptualizacin y a una herramienta ms robustas para la administracin. Elcontrol interno se define y describe en Internal Control Integrated Framework.

3 Dado que

Internal Control Integrated Framework es la base para las reglas, regulaciones y leyes existentes,

ese documento se mantiene como la definicin y la estructura conceptual para el control interno.La totalidad de Internal Control Integrated Framework se incorpora por referencia en la presenteestructura conceptual.

3 Versin en espaol: COSO (2000). Control Interno Estructura conceptual integrada. Ecoe ediciones: Bogot (N del t)


20/23



BOGOTA Julio 2003.

Cortesa

ECOE EDICIONES

Limitaciones de la administracin de riesgos del emprendimiento

La efectiva administracin de riesgos del emprendimiento le ayuda a la administracin a lograrobjetivos. Pero la administracin de riesgos del emprendimiento, no importa qu tan bien est

diseada y operada, no asegura el xito de una entidad.

El logro de los objetivos es afectado por las limitaciones inherentes en todos los procesosadministrativos. Los cambios en la poltica o en los programas gubernamentales, las acciones delos competidores o las condiciones econmicas pueden estar ms all del control de laadministracin. La toma de decisiones humana puede ser imperfecta, y pueden ocurrir rupturas acausa de fallas humanas tales como errores o equivocaciones sencillas. La administracin deriesgos del emprendimiento no puede cambiar a un administrador inherentemente pobre en unbueno. Adicionalmente, se pueden eludir los controles a causa de la colusin entre dos o mspersonas, y la administracin tiene la habilidad para pasar por encima del proceso deadministracin de riesgos del emprendimiento, incluyendo las respuestas al riesgo y los controles.

El diseo de la administracin de riesgos del emprendimiento tiene que reflejar la realidad de lasrestricciones de los recursos, y los beneficios de la administracin de riesgos se tienen queconsiderar en relacin con sus costos. Por lo tanto, si bien la administracin de riesgos delemprendimiento le puede ayudar a la administracin a que logre sus objetivos, no constituye unapanacea.

Roles y responsabilidades

Cada quien en una organizacin tiene responsabilidad por la administracin de riesgos delemprendimiento.

Junta de directores La administracin es responsable frente a la junta de directores, la cualprovee gobierno, orientacin y supervisin. Mediante la seleccin de la administracin, la junta

tiene un rol principal en la definicin de lo que espera en integridad y valores ticos y puedeconfirmar sus expectativas mediante actividades de supervisin. De manera similar, medianteel reservarse la autoridad en ciertas decisiones clave, la junta juega un rol en la definicin de laestrategia, en la formulacin de los objetivos de alto nivel y en la asignacin de recursos debase-amplia.

La junta de directores provee supervisin en relacin con la administracin de riesgos delemprendimiento mediante el:

- Conocer la extensin en la cual la administracin ha establecido efectivaadministracin de riesgos del emprendimiento en la organizacin

- Ser consciente de y concurrente con el apetito de riesgo de la entidad- Revisar el punto de vista de portafolio de riesgos que tiene la entidad y considerarlo

frente al apetito de riesgos de la entidad- Estar informada sobre los riesgos ms significativos y si sobre la administracin est

respondiendo de manera apropiada

La junta hace parte del componente entorno interno y para que sea efectiva tiene que tenerla composicin requerida y el centro de atencin en la administracin de riesgos delemprendimiento.


21/23



BOGOTA Julio 2003.

Cortesa

ECOE EDICIONES

Administracin El director ejecutivo jefe es el responsable ltimo por y debe asumir lapropiedad de la administracin de riesgos del emprendimiento. Ms que cualquier otroindividuo, el director ejecutivo establece el tono en lo alto que afecta la integridad y la tica ylos otros factores del entorno interno. En una compaa grande, el director ejecutivo ejerceplenamente sus obligaciones proveyendo liderazgo y direccin a los administradores principales

y revisando la manera como ellos dirigen el negocio. Los administradores principales, a su vez,asignan responsabilidad por el establecimientos de polticas y procedimientos especficos deadministracin de riesgos al personal responsable por las funciones de las unidadesindividuales. En una entidad pequea, la influencia del director ejecutivo, a menudo unpropietario-administrador, es usualmente ms directa. En cualquier caso, en unaresponsabilidad que baja en cascada, un administrador es efectivamente un director ejecutivode su esfera de responsabilidad. Tambin son significantes los lderes de las funciones depersonal tales como cumplimiento, finanzas, recursos humanos y tecnologa de la informacin,cuyas actividades de monitoreo y control se realizan a travs de, lo mismo que hacia arriba yhacia abajo, de la operacin y de las otras unidades de una empresa.

Ejecutivo de riesgos - Un ejecutivo de riesgos al que en algunas organizaciones se hacereferencia como el director ejecutivo de riesgos o administrador de riesgos- trabaja con losotros administradores en el establecimiento y mantenimiento de la efectiva administracin deriesgos en sus reas de responsabilidad. Este ejecutivo de riesgos tambin puede tener laresponsabilidad por monitorear el progreso y por asistir a los otros administradores en el reportede informacin relevante sobre riesgos hacia arriba, hacia abajo y a travs de la entidad, ypuede ser un miembro del comit interno de administracin de riesgos.

Auditores internos Los auditores internos juegan un rol importante en el monitoreo de laadministracin de riesgos del emprendimiento y de la calidad del desempeo como parte de susobligaciones regulares o a solicitud de la administracin principal o de ejecutivos subsidiarios ode divisin. Puede asistir tanto a la administracin como a la junta o comit de auditoramediante el monitoreo, examen, evaluacin, presentacin de reportes sobre y recomendandomejoramientos en relacin con lo adecuado y la efectividad del proceso de administracin deriesgos del emprendimiento que realiza la administracin.

Otro personal En algn grado, la administracin de riesgos del emprendimiento esresponsabilidad de cada quin en una entidad y por consiguiente debe hacer parte de unadescripcin explcita o implcita de la descripcin del trabajo de cada quin. Virtualmente, todoel personal produce informacin que se usa en la administracin de riesgos del emprendimientoo que se toma para otras acciones que se requieren para administrar los riesgos. Tambin,todo el personal es responsable por comunicar hacia arriba los riesgos tales como problemasen operaciones, no-cumplimiento con el cdigo de conducta, otras violaciones a las polticas uacciones ilegales.

Una cantidad de partes externas a menudo contribuye al logro de los objetivos de una entidad. Losauditores externos, ofreciendo un punto de vista independiente y objetivo, contribuyen directamentemediante la auditora de estados financieros y los exmenes del control interno, e indirectamenteproveyendo informacin adicional til para la administracin y para la junta al llevar a cabo sus

responsabilidades. Otros que proveen a la entidad informacin til para efectuar la administracinde riesgos del emprendimiento son reguladores, clientes y otros que realizan transacciones denegocio con la empresa, analistas financieros, clasificadores de bonos y medios de comunicacin.Las partes externas, sin embargo, no son responsables por la administracin de riesgos delemprendimiento de la entidad.


22/23



BOGOTA Julio 2003.

Cortesa

ECOE EDICIONES

Uso de este reporte

Las acciones que se tienen que tomar como resultado de este reporte dependen de la posicin ydel rol de las partes involucradas:

Miembros de la junta Los miembros de la junta de directores deben discutir con laadministracin principal el estado de la administracin de riesgos del emprendimiento de laentidad y proveer la supervisin requerida. La junta debe asegurar que los mecanismos deadministracin de riesgos del emprendimiento de la entidad le proveen una valoracin de losriesgos ms significativos relacionados con la estrategia y con los objetivos, incluyendo lasacciones que la administracin est tomando y la manera como est comprometida en elmonitoreo de la estructura conceptual de administracin de riesgos del emprendimiento. Lajunta debe buscar input de parte de auditores internos, auditores externos y asesores.

Administracin principal Este estudio sugiere que el director ejecutivo jefe valore lascapacidades de administracin de riesgos del emprendimiento que tiene la organizacin.Usando esta estructura conceptual, un CEO, junto con los ejecutivos clave de operacin y definanzas, puede centrar la atencin donde se requiere. Bajo un enfoque, el director ejecutivopuede vincular las cabezas de las unidades de negocio y el personal funcional clave paradiscutir una valoracin inicial de las capacidades y efectividad de la administracin de riesgosdel emprendimiento. Cualquiera que sea su forma, una valoracin inicial debe determinar si senecesita, y cmo proceder, una evaluacin amplia, ms profunda. Tambin debe asegurar queest en funcionamiento el proceso de monitoreo ongoing. El gasto de tiempo en la evaluacinde la administracin de riesgos del emprendimiento representa una inversin, pero no una conretorno alto.

Otro personal de la entidad Los administradores y otro personal deben considerar, a la luz deesta estructura conceptual, cmo se estn dirigiendo sus responsabilidades de administracinde riesgos del emprendimiento, y discutir ideas con personal ms principal para fortalecer laadministracin de riesgos del emprendimiento. Los auditores internos deben considerar laprofundidad de su centro de atencin en la administracin de riesgos del emprendimiento.

Reguladores Las expectativas por la administracin de riesgos del emprendimiento varanampliamente en dos aspectos. Primero, difieren en relacin con lo que esos mecanismospueden lograr. Algunos observadores consideran que la administracin de riesgos delemprendimiento prevendr, o debe prevenir, prdidas econmicas o al menos prevenir a lascompaas de salir del negocio. Segundo, an cuando existe acuerdo respecto de lo que laadministracin de riesgos del emprendimiento puede y no puede hacer, y sobre el concepto deseguridad razonable, pueden existir puntos de vista dispares respecto de lo que el conceptosignifica y sobre la manera como se aplicar. Para ayudar a tener un punto de vista compartidode la administracin de riesgos del emprendimiento y lo que puede hacer, debe existir acuerdosobre una estructura comn de administracin de riesgos del emprendimiento, incluyendo suslimitaciones. Esta estructura conceptual se puede mirar en ese sentido.

Organizaciones profesionales Quienes elaboran reglas y otras organizaciones profesionalesque proveen orientacin sobre administracin financiera, auditora y asuntos relacionados,deben considerar sus estndares y orientaciones a la luz de esta estructura conceptual. En laextensin en que se elimine la diversidad de conceptos y terminologa, todas las partes sebeneficiarn.


23/23



BOGOTA Julio 2003.

Cortesa

ECOE EDICIONES

Educadores Esta estructura conceptual debe ser sujeto de investigacin y anlisisacadmico, para ver qu enriquecimientos futuros se pueden hacer. Con el supuesto de queeste reporte sea aceptado como una base comn para el entendimiento, sus conceptos ytrminos encontrarn su camino en el currculo universitario.

Organizacin de este reporte

Este Resumen Ejecutivoy el documento adjunto Estructura Conceptual, comprenden la Estructuraconceptual de la administracin de riesgos del emprendimiento. Este Resumen Ejecutivoproveeuna vista de conjunto de alto nivel dirigida al director ejecutivo y a otros ejecutivos principales,miembros de junta y reguladores.

El documento Estructura Conceptual provee una discusin amplia y profunda de la definicin, losprincipios y los conceptos de la estructura conceptual de la administracin de riesgos delemprendimiento, proveyendo direccin para todos los niveles de administracin en negocios yotras organizaciones, para uso en la determinacin de cmo enriquecer su administracin deriesgos del emprendimiento y para que la administracin y otros la usen en la evaluacin de laefectividad de la administracin de riesgos del emprendimiento de una entidad.

Documents

Inf Coso Version Español Ejecutiva Erm