CREACIÓN DE UN PROGRAMA EFICAZ DE ERM
Estándar
07.12.18
Creación de un programa eficaz de ERM[1]
La variedad y complejidad de los riesgos que enfrentan las organizaciones de hoy en día está aumentando debido a las tecnologías emergentes, la globalización y el aumento de las obligaciones de cumplimiento. Ahora, los diferentes agentes del mercado han pasado de una gestión de riesgos simple a un cumplimiento general de riesgos de gobierno (GRC). Se espera que las empresas estén centradas en enfoques más holísticos para sus programas de GRC y Enterprise Risk Management (ERM).
¿Qué es ERM?
ERM es un proceso continuo, diseñado para identificar y evaluar eventos potenciales que afectan a la entidad y administrar el riesgo dentro de su apetito de riesgo. ERM ofrece un enfoque más holístico que une todos los niveles y unidades dentro de una organización para anticipar y administrar mejor el riesgo.
De acuerdo con COSO II, se entiende por ERM lo siguiente: “La administración de riesgos corporativos es un proceso efectuado por el directorio, administración y las personas de la organización, es aplicado desde la definición estratégica hasta las actividades del día a día, diseñado para identificar eventos potenciales que pueden afectar a la organización y administrar los riesgos dentro de su apetito, a objeto de proveer una seguridad razonable respecto del logro de los objetivos de la organización”.
¿Por qué se necesita ERM?
Las estrategias tradicionales de gestión de riesgos hace ya algunos años se centraban completamente en la segmentación y división del riesgo para evaluarlo. Este enfoque ya no es apropiado, en particular debido a la interdependencia de las funcionalidades que se distribuyen en múltiples regiones y divisiones de negocios. La necesidad de hoy es más un enfoque integrado y de toda la empresa para la gestión de riesgos, con sistemas y procesos que estén orientados a evaluar, monitorear e informar continuamente sobre programas críticos para los negocios altamente regulados.
ERM se aleja de un enfoque ad hoc o específico para la gestión de riesgos y propende por una visión de riesgos más estructurada en toda la empresa. Ayuda a administrar el riesgo dentro de su apetito de riesgo y proporciona una seguridad razonable con respecto al logro de los objetivos de la organización.
¿Cómo establecer un programa eficaz de ERM?
ERM es ahora el sello distintivo de un buen programa de cumplimiento. Por consiguiente, es importante saber cómo crear un programa ERM efectivo. Las siguientes son las mejores prácticas recomendadas para establecer un programa ERM efectivo:
1) Realizar una evaluación de riesgo empresarial: el primer paso para construir un programa efectivo es realizar una evaluación de riesgo empresarial que incluya a todas las partes interesadas.La evaluación de riesgos requiere técnicas cualitativas y cuantitativas que prioricen la importancia, la probabilidad y la sincronización de los eventos de riesgo para que los diversos riesgos puedan acumularse de manera efectiva.
Aquí hay algunos beneficios de realizar evaluaciones de riesgo:
- Identificar los objetivos comerciales que pueden no alcanzarse debido al nivel actual de exposición al riesgo
- Reconocer los principales riesgos que pueden necesitar atención de la gerencia.
- Identificar cambios en el nivel de exposición al riesgo.
- Determinar las fortalezas y debilidades dentro del entorno de control actual
- Identificar riesgos nuevos / emergentes que pueden necesitar tratamientos de riesgo adicionales.
- Reconocer tratamientos de riesgo (por ejemplo, controles) que ya no sean necesarios
2) Articular la visión de la gestión de riesgos: es importante comprender los objetivos, planes y estrategias de la empresa y gestionar el riesgo que afecta a dichos planes y estrategias.Por lo tanto, es esencial identificar las capacidades de gestión de riesgos. Las organizaciones deben tener un plan holístico de gestión de riesgos e incluir políticas de riesgos, procesos, supervisión e informes.
3) Identificar los riesgos clave y gestionarlos: identificar los riesgos clave, incluidos el de crédito, de mercado, los operativos, los estratégicos, etc. que deben abordarse.Una vez seleccionados los riesgos:
- Crear el control y asegurarse que existe el programa adecuado para estos riesgos
- Probar el programa utilizando auditores internos o auditores externos para asegurarse de que funciona
- Finalmente evaluar el programa y efectuar los cambios apropiados si es necesario.
4) Ampliar el programa para otros riesgos en orden de prioridad.Los componentes clave del programa de gestión de riesgos son:
- Controles internos
- Procesos para monitorear, probar y auditar el programa.
- Implicación de gestores de riesgos.
- Control de la alta dirección
- Supervisión de la junta independiente de la administración
5) Desarrollar el proceso de monitoreo e informe de riesgos: los riesgos clave que se identificaron y priorizaron deben monitorearse e informarse periódicamente a la gerencia ejecutiva y al consejo de administración para mantener el seguimiento del proceso continuo de administración de riesgos.
Las mejores prácticas descritas anteriormente ayudan a establecer un programa de ERM exitoso para impulsar el rendimiento del negocio y desarrollar la confianza de la comunidad de inversión y las partes interesadas.
El conocimiento de los componentes de un programa de ERM le permite al auditor direccionar sus esfuerzos tanto en la evaluación como en la asesoría.
Para el caso de los auditores internos, su responsabilidad es evaluar la efectividad y proponer mejoras sobre el proceso de administración del riesgo. De acuerdo con lo previsto por el IIA (Institute of Internal Auditors), se debe evaluar el proceso de administración del riesgo y del control interno, con objetividad.
Los auditores externos, por su parte, le dan a la Alta Dirección y al Consejo o Junta una visión independiente y objetiva que contribuya al logro de los objetivos, en particular aquellos asociados a los reportes financieros, así como sus recomendaciones sobre los hallazgos advertidos.
No hay comentarios.:
Publicar un comentario