Madurez de riesgos desde la perspectiva de COSO ERM

En esta sesión Juan David Parra, experto en riesgos, nos enseña el propósito, componentes y la comparación del COSO ERM y las mejores prácticas para aumentar la madurez de riesgos.

¿Qué es la madurez de riesgos?

La madurez de riesgos se refiere al nivel de desarrollo y efectividad de los procesos de gestión de riesgos dentro de una organización. Una organización con alta madurez de riesgos tiene procesos bien definidos, integrados y alineados con sus objetivos estratégicos, lo que le permite identificar, evaluar, gestionar y monitorear los riesgos de manera proactiva y eficiente. La madurez de riesgos no solo se centra en la identificación de amenazas, sino también en la capacidad de aprovechar oportunidades y optimizar la toma de decisiones.

El marco COSO ERM

COSO (Committee of Sponsoring Organizations of the Treadway Commission) desarrolló el marco ERM para proporcionar una guía integral sobre cómo gestionar los riesgos empresariales de manera efectiva. Este marco se estructura en torno a cinco componentes interrelacionados:

1. Gobierno y Cultura: Este componente establece el tono desde la cúpula de la organización y se enfoca en la importancia del liderazgo, la cultura organizacional y la ética. Un fuerte gobierno y una cultura alineada con la gestión de riesgos son esenciales para alcanzar un alto nivel de madurez de riesgos.

2. Estrategia y Objetivo-Establecimiento: La integración de la gestión de riesgos en la formulación de la estrategia y el establecimiento de objetivos es crucial. Este componente asegura que los riesgos sean considerados en todas las etapas de planificación estratégica, lo que permite una mejor alineación entre los objetivos de la organización y su apetito por el riesgo.

3. Rendimiento: Aquí se analiza cómo la organización identifica y evalúa los riesgos que pueden impactar el logro de sus objetivos. Este componente enfatiza la importancia de un monitoreo constante y una respuesta efectiva a los riesgos identificados.

4. Revisión y Revisión: La revisión continua de los procesos de gestión de riesgos es fundamental para mantener y mejorar la madurez de riesgos. Esto incluye la evaluación de la efectividad de los controles y la implementación de mejoras continuas.

5. Información, Comunicación y Reporte: Una comunicación efectiva y una adecuada reportabilidad son esenciales para la gestión de riesgos. Este componente asegura que la información relevante sobre riesgos sea compartida con las partes interesadas de manera oportuna y precisa.

Evaluación de la Madurez de Riesgos con COSO ERM

Evaluar la madurez de riesgos de una organización implica revisar cada uno de los componentes del marco COSO ERM y determinar en qué medida están implementados y funcionando de manera efectiva. Este proceso puede involucrar:

• Diagnóstico Inicial: Identificar el estado actual de los procesos de gestión de riesgos mediante entrevistas, cuestionarios y revisión de documentos.
• Identificación de Brechas: Comparar el estado actual con las mejores prácticas y estándares del marco COSO ERM para identificar áreas de mejora.
• Desarrollo de un Plan de Acción: Diseñar estrategias para cerrar las brechas identificadas, asignando responsabilidades y recursos necesarios.
• Implementación y Seguimiento: Llevar a cabo las acciones planificadas y monitorear su progreso, realizando ajustes según sea necesario.

Beneficios de una Alta Madurez de Riesgos

Alcanzar un alto nivel de madurez de riesgos trae numerosos beneficios a las organizaciones, entre los cuales destacan:

• Mejora en la Toma de Decisiones: Con una gestión de riesgos madura, las decisiones se basan en una comprensión profunda de los riesgos y oportunidades, lo que lleva a decisiones más informadas y estratégicas.
• Resiliencia Organizacional: Las organizaciones con alta madurez de riesgos son más capaces de adaptarse y responder a cambios inesperados en el entorno empresarial.
• Mayor Confianza de las Partes Interesadas: Una gestión de riesgos efectiva aumenta la confianza de inversores, clientes, empleados y otros stakeholders en la capacidad de la organización para alcanzar sus objetivos.
• Optimización de Recursos: La identificación y gestión proactiva de riesgos permiten una mejor asignación de recursos, evitando costos innecesarios y aprovechando oportunidades de manera más eficiente.

Mejores prácticas para aumentar la madurez

Compromiso de la Alta Dirección: Liderazgo y apoyo de la alta dirección.

• Capacitación Continua: Formación y sensibilización constante del personal.
• Integración con la Estrategia: Alineación de la gestión de riesgos con los objetivos estratégicos.
• Uso de Tecnología: Implementación de herramientas tecnológicas para la gestión de riesgos.
• Monitoreo y Mejora Continua: Evaluación y mejora continua de los procesos de gestión de riesgos.
• Recurso humano: poner en funcionamiento el modelo o metodología de gestión, depende de la formación capacidades y experiencia de los miembros que conforman el equipo de gestión del riesgo, de lo contrario es posible que se materialicen riesgos de gran impacto negativo al no tener conocimiento de la naturaleza y comportamiento de esto.
• Recursos financieros: la adquisición de personal infraestructura y equipos, es posible si dentro de la planificación del presupuesto la alta dirección de la organización asigna el dinero necesario para cubrir estos requerimientos.
• Recursos físicos: la eficiencia en la gestión de los riesgos de diferente tipología, requiere un medio que le permita gestionar y transferir información de forma rápida y efectiva, evitando tiempos muertos que posteriormente se reflejaran en pérdidas para la organización.

Las herramientas que las organizaciones adopten para la gestión de los riesgos asociados a las actividades de los procesos, debe garantizar el análisis de la información y posterior dar el insumo al equipo de gestión del riesgo para la definición de controles de forma integral y de esta forma dar un nivel alto de seguridad frente a estos eventos inesperados.