Hacer de los riesgos una oportunidad: consejos del COSO ERM 2017

Compartir:

El nuevo marco busca hacer que la Administración de Riesgos se convierta en un proceso rentable para las empresas.

Los riesgos cambian constantemente. Anteriormente las empresas consideraban suficiente conocer cuáles eran sus riesgos, administrarlos, hacer planes con base en la estrategia y posteriormente revisarlos cada uno o dos años. No obstante, el panorama ha cambiado radicalmente y día con día aparecen nuevos riesgos que ponen en peligro el desempeño de la organización.

Tomando en cuenta este panorama, el Committe of Sponsoring Organizations of the Treadway Commission (COSO) decidió que era necesario actualizar el marco COSO ERM (Enterprise Risk Management), presentado por primera vez en el año 2004.

El marco COSO ERM 2017 se alinea con un estudio publicado por PwC en abril de este año, titulado Riesgos Corporativos: Un enfoque empresarial para lograr la efectividad y el crecimiento, que sostiene que los riesgos no deben ser administrados únicamente por la segunda línea de defensa –entendiendo ésta como el comité de riesgos–sino que debe involucrarse a la primera línea de defensa –es decir, a la C Suite y los dueños de los procesos en general.

Dos grandes cambios

Desde mi perspectiva, los dos principales cambios a destacar se encuentran en la introducción de la cultura en la Administración de los Riesgos y la priorización del papel de las tecnologías de la información (TI).

Con respecto a la cultura, el nuevo marco COSO ERM busca que el riesgo sea parte de la propia cultura del negocio, por medio de lo cual persigue dos objetivos fundamentalmente: destacar que las expectativas del mercado cambian constantemente y resaltar que todos los miembros de la organización que toman decisiones son responsables de los riesgos.

Acerca de la ponderación de las TI, es importante subrayar que tecnologías como el big data y el data analytics imponen el reto de desarrollar procesos que le den seguimiento constante a la información que se administra con dichas herramientas, a fin de reducir las vulnerabilidades que por su naturaleza puedan presentar.

Desempeño, la meta

En la primera versión del marco COSO ERM la representación gráfica era un cubo de rubik, que se iba modificando con base en la línea en la que se ubicaba cada uno de los riesgos. El nuevo documento toma como representación una hélice de ADN, con lo cual busca que las empresas logren comprender que la Administración de Riesgos es un proceso que debe insertarse en la organización de principio a fin.

¿Qué se busca con esto? Dejar en claro que la gestión de riesgos tiene un impacto directo en el desempeño de la compañía. ¿Por qué? Porque al analizar los riesgos en tiempo real la empresa puede determinar su nivel de tolerancia y apetito al riesgo, y perseguir nuevas oportunidades de negocio. De esta forma, los beneficios pueden hacerse tangibles en el corto plazo.

Es por ello que si bien este nuevo marco no debe implementarse de manera obligatoria, sí es parte de las mejores prácticas en temas empresariales.

Este aspecto es digno de resaltarse, ya que en México cada vez más compañías de carácter privado están preocupadas por la adopción de procesos que les permitan ser más competitivos a nivel global. Un ejemplo de ello son las empresas que forman parte de la Securities Exchange Commission (SEC), que si bien están 100% enfocadas en temas de cumplimiento, como SOX-Sarbanes Oxley, también están preocupadas por actualizar sus matrices de riesgo y control interno para mantener fresca a la organización.

Los retos

Cabe destacar que si bien el nuevo marco COSO ERM es una guía que ofrece numeroso ejemplos sobre cómo transformar la Administración de Riesgos en las empresas, este proceso considera un número tan amplio de cambios que pueden terminar desgastando a la organización.

Con base en esto, es necesario tomar consciencia de que la adopción del nuevo marco debe hacerse de manera paulatina, por fases. Esto permite identificar qué es lo importante, qué es lo que se puede administrar y, principalmente, qué es lo que se puede monitorear.

Y es que implementar un marco de este tipo requiere ir hasta las entrañas de la empresa para identificar cómo es posible adaptar cada uno de los cinco componentes y 20 principios para obtener los mayores beneficios posibles, que es al final el principal objetivo de hacer cambios profundos en el negocio.

Para saber más, haz click aquí

Agregar un comentario: