Componentes del Marco COSO ERM
Los 5 componentes interrelacionados que componen el marco de Gestión del Riesgo Empresarial.
Gobierno y Cultura
El gobierno establece el tono de la organización, reforzando la importancia y estableciendo responsabilidades de supervisión sobre la gestión del riesgo empresarial. La cultura se refiere a los valores éticos, los comportamientos deseados y la comprensión del riesgo en la entidad.
Principios
Ejerce la supervisión del riesgo por parte del Consejo de Administración
El consejo de administración proporciona supervisión de la estrategia y desempeño y lleva a cabo responsabilidades de gobierno para apoyar a la dirección en la consecución de la estrategia y objetivos
Establece estructuras operativas
La organización establece estructuras operativas en la búsqueda de la estrategia y los objetivos de negocio.
Define la cultura deseada
La organización define los comportamientos deseados que caracterizan la cultura deseada de la entidad.
Demuestra compromiso con los valores clave
La organización demuestra un compromiso con los valores clave de la entidad.
Atrae, desarrolla y retiene a individuos capaces
La organización está comprometida con el desarrollo del capital humano alineado con la estrategia y objetivos de negocio.
Estrategia y Establecimiento de Objetivos
La gestión del riesgo empresarial se integra en el plan estratégico de la entidad. Con este contexto, la entidad establece los objetivos de negocio que ponen la estrategia en práctica y que sirven como base para identificar, evaluar y responder al riesgo.
Principios
Analiza el contexto empresarial
La organización considera los efectos potenciales del contexto empresarial en el perfil de riesgo.
Define el apetito al riesgo
La organización define el apetito al riesgo en el contexto de crear, preservar y materializar valor.
Evalúa estrategias alternativas
La organización evalúa estrategias alternativas como parte del proceso de establecimiento de la estrategia.
Formula objetivos de negocio
La organización considera el riesgo mientras establece los objetivos de negocio en los distintos niveles que alinean y soportan la estrategia.
Desempeño
Es necesario identificar y evaluar los riesgos que pueden afectar al logro de la estrategia y los objetivos de negocio. Los riesgos se priorizan según su gravedad en el contexto del apetito al riesgo. La organización selecciona las respuestas al riesgo y adopta una visión de portafolio de la cantidad de riesgo asumido.
Principios
Identifica el riesgo
La organización identifica los riesgos que afectan al desempeño de la estrategia y los objetivos de negocio.
Evalúa la severidad del riesgo
La organización evalúa la severidad del riesgo.
Prioriza los riesgos
La organización prioriza los riesgos como base para seleccionar las respuestas a los riesgos.
Implementa respuestas al riesgo
La organización identifica y selecciona respuestas al riesgo.
Desarrolla una visión de portafolio
La organización desarrolla y evalúa una visión de portafolio del riesgo.
Revisión y Monitorización
Al revisar el desempeño de la entidad, una organización puede considerar cómo están funcionando los componentes de gestión del riesgo empresarial a lo largo del tiempo y ante cambios sustanciales, y qué revisiones son necesarias.
Principios
Evalúa los cambios sustanciales
La organización identifica y evalúa los cambios que pueden afectar sustancialmente a la estrategia y los objetivos de negocio.
Revisa el riesgo y el desempeño
La organización revisa el desempeño de la entidad y considera el riesgo.
Persigue la mejora en la gestión del riesgo empresarial
La organización persigue la mejora de la gestión del riesgo empresarial.
Información, Comunicación y Reporte
La gestión del riesgo empresarial requiere un proceso continuo de obtención y compartición de información necesaria, tanto de fuentes internas como externas, que fluya hacia arriba, abajo y a través de la organización.
Principios
Aprovecha la información y la tecnología
La organización aprovecha los sistemas de información y tecnología de la entidad para apoyar la gestión del riesgo empresarial.
Comunica la información sobre el riesgo
La organización utiliza canales de comunicación para apoyar la gestión del riesgo empresarial.
Informa sobre riesgo, cultura y desempeño
La organización informa sobre riesgo, cultura y desempeño en múltiples niveles y a través de la entidad.