Aplicación del marco de gestión de riesgos empresariales de COSO

Publicado el 12 noviembre, 2020 por Rodrigo Ricardo

Marco de gestión de riesgos empresariales de COSO

Imagina que trabajas para una empresa de tecnología. Han circulado rumores de que su principal competidor tiene algo grande en las obras para el próximo año, y su jefe está empezando a sentir la presión. Tu jefe te llama a su oficina, luciendo un poco desaliñado. Él le dice que los rumores sobre el competidor de la empresa se han confirmado y su empresa debe responder. El problema es que no tiene nuevas ideas y tiene demasiado trabajo en su plato en este momento. Ahora te pide que te hagas cargo. Explica que deberá identificar oportunidades para obtener una ventaja sobre su rival y señalar cualquier riesgo que pueda enfrentar en el proceso. No está exactamente seguro de cómo empezar, pero escuchar a su jefe hablar de riesgos le da una idea de por dónde empezar. Regresas a tu escritorio y escribes ‘COSO’ en la barra de búsqueda de Google.

El Comité de Organizaciones Patrocinadoras (COSO) de la Comisión Treadway publicó en 2017 su marco actualizado de Gestión de Riesgos Empresariales (ERM) . El marco de ERM proporciona a las empresas orientación sobre cómo identificar, estudiar y mitigar los riesgos. El marco consta de varios componentes que incluyen:

  1. Ambiente interno
  2. Establecimiento de objetivos
  3. Identificación de eventos
  4. Evaluación de riesgos
  5. Respuesta a los riesgos
  6. Actividades de control
  7. Información y comunicación
  8. Vigilancia

Al escanear los componentes de ERM, observa que el componente de identificación de eventos sería útil. La identificación de eventos es el proceso de identificar eventos que representan riesgos, oportunidades o ambos para una entidad. Esta descripción se ajusta a la solicitud de su jefe a una T. Sin embargo, no está seguro de qué pasos tomar para implementar prácticamente la identificación de eventos. Afortunadamente, en su búsqueda encontrará que COSO ha proporcionado una lista de técnicas de aplicación para la identificación de eventos.

Técnicas de aplicación de identificación de eventos

Inventarios de eventos

La primera técnica enumerada por COSO es la creación de inventarios de eventos. Un inventario de eventos se construye enumerando los posibles eventos que podrían presentar un riesgo para la organización. Por ejemplo, cuando se embarca en un nuevo proyecto, una empresa comienza identificando los riesgos del proyecto. Luego, considerando los riesgos relevantes para el proyecto, la empresa y la industria, la entidad genera una lista de eventos factibles que podrían desencadenar estos riesgos.

Talleres facilitados

COSO también sugiere talleres facilitados. En estos talleres, se reúne a personas de múltiples niveles y áreas del negocio para discutir los objetivos y eventos de la entidad que ayudarían o dañarían a la entidad en el logro de estos objetivos. En otras palabras, se reúne un grupo personalizado para discutir los riesgos y las oportunidades para los objetivos de la empresa.

Entrevistas

La tercera técnica de aplicación es relativamente sencilla. En las entrevistas, un entrevistador habla con un entrevistado informado sobre eventos pasados ​​y posibles eventos futuros. Estos eventos deben ser relevantes para los objetivos de la empresa. Además, los eventos deben evaluarse a la luz de la tolerancia al riesgo de la entidad, las probabilidades de ocurrencia de los eventos y los impactos de los eventos en la empresa. Como antes, los eventos pueden ser de naturaleza positiva o negativa.

Cuestionarios y encuestas

La siguiente técnica de aplicación es el uso de cuestionarios y encuestas. Estas herramientas están dirigidas a personas específicas con conocimiento de los objetivos de la empresa. Las preguntas presentadas pueden ser abiertas o requerir una respuesta afirmativa o negativa.

Análisis de flujo de procesos

El análisis de flujo de procesos implica trazar, en orden secuencial, la serie de pasos seguidos para una actividad específica. Por ejemplo, un análisis de flujo de proceso puede enumerar los pasos de principio a fin para los recibos de efectivo, las ventas o la contratación. Al mostrar los componentes del proceso junto con las conexiones entre los pasos del proceso, la gerencia puede identificar mejor los riesgos y oportunidades para la finalización del proceso.

Indicadores de eventos principales y activadores de escalamiento

La gerencia también puede recopilar y estudiar los principales indicadores de eventos y los desencadenantes de escalamiento. Los indicadores de eventos principales pueden ser de naturaleza cualitativa o cuantitativa y sirven para señalar la posible ocurrencia de ciertos eventos. Por ejemplo, los principales indicadores de eventos pueden incluir factores como los precios de la gasolina, la antigüedad del equipo utilizado o las puntuaciones de satisfacción del cliente. La gerencia debe recopilar estos indicadores de manera oportuna para que sean relevantes.

Los desencadenantes de escalada son circunstancias que indican que la ocurrencia de ciertos eventos es probable. Dicho de otra manera, los desencadenantes de escalada indican que ciertos eventos potencialmente se han puesto en movimiento.

Seguimiento de datos de eventos de pérdida

Finalmente, COSO recomienda el seguimiento de datos de eventos de pérdida. En esta técnica, la información de eventos pasados ​​se recopila, a menudo en bases de datos, y se estudia en conjunto para predecir eventos futuros. La información recopilada puede ser interna o externa a la entidad.

Resumen de la lección

El marco de gestión de riesgos empresariales (ERM) proporcionado por COSO contiene 8 componentes utilizados por las empresas para identificar, evaluar y evitar riesgos. El componente de identificación de eventos describe el proceso de identificar tanto los riesgos como las oportunidades que puede enfrentar una empresa. Afortunadamente, los practicantes no se quedan a oscuras con respecto a su implementación. COSO ha proporcionado a los usuarios una variedad de técnicas de aplicación que incluyen inventarios de eventos, talleres facilitados, entrevistas, cuestionarios y encuestas, análisis de flujo de procesos, indicadores de eventos líderes y desencadenantes de escalamiento, y seguimiento de datos de eventos de pérdida.

Articulos relacionados