Docsity
Docsity

Prepara tus exámenes
Prepara tus exámenes

Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity


Consigue puntos base para descargar
Consigue puntos base para descargar

Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium


Orientación Universidad
Orientación Universidad


Módulo del COSO ERM, Esquemas y mapas conceptuales de Humanidades y Ciencias Sociales

COSO gestión de riesgos empresariales.

Tipo: Esquemas y mapas conceptuales

2019/2020

Subido el 20/10/2020

sandra-carbajal-anorga
sandra-carbajal-anorga 🇵🇪

4.7

(6)

6 documentos

1 / 120

Toggle sidebar

Esta página no es visible en la vista previa

¡No te pierdas las partes importantes!

bg1
Gestión del Riesgo Empresarial
Integrando Estrategia y Desempeño
Committee of Sp onsoring Org anizations of the Treadway Commiss ion
Junio 2017
Volumen I
Tra d ucci ó n al esp a ñ ol
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b
pf1c
pf1d
pf1e
pf1f
pf20
pf21
pf22
pf23
pf24
pf25
pf26
pf27
pf28
pf29
pf2a
pf2b
pf2c
pf2d
pf2e
pf2f
pf30
pf31
pf32
pf33
pf34
pf35
pf36
pf37
pf38
pf39
pf3a
pf3b
pf3c
pf3d
pf3e
pf3f
pf40
pf41
pf42
pf43
pf44
pf45
pf46
pf47
pf48
pf49
pf4a
pf4b
pf4c
pf4d
pf4e
pf4f
pf50
pf51
pf52
pf53
pf54
pf55
pf56
pf57
pf58
pf59
pf5a
pf5b
pf5c
pf5d
pf5e
pf5f
pf60
pf61
pf62
pf63
pf64

Vista previa parcial del texto

¡Descarga Módulo del COSO ERM y más Esquemas y mapas conceptuales en PDF de Humanidades y Ciencias Sociales solo en Docsity!

Gestión del Riesgo Empresarial

Integrando Estrategia y Desempeño

C o m m it te e of S p o n s o r i n g O rg a n iz a ti o n s of th e Tre a d way C o m m i s s i o n

Junio 2017

Volumen I

Traducción al español

Este proyecto ha sido encargado por COSO (Committee of Sponsoring Organizations of the Treadway Commission), una organización que actúa como líder de pensamiento organizacio- nal mediante el desarrollo de marcos y orientaciones generales sobre control interno, gestión del riesgo empresarial y disuasión del fraude dirigidos a mejorar el desempeño organizacio- nal y la supervisión, así como a reducir el nivel de fraude en las organizaciones. COSO es una iniciativa del sector privado, patrocinada y financiada conjuntamente por:

  • American Accounting Association
  • American Institute of Certified Public Accountants
  • Financial Executives International
  • Institute of Management Accountants
  • The Institute of Internal Auditors

Committee of Sponsoring Organizations of the Treadway Commission

Miembros del Consejo

Robert B. Hirth Jr. Presidente de COSO

Richard F. Chambers The Institute of Internal Auditors

Mitchell A. Danaher Financial Executives International

Charles E. Landes American Institute of Certified Public Accountants

Douglas F. Prawitt American Accounting Association

Sandra Richtermeyer Institute of Management Accountants

PwC—Autor

Principales Colaboradores

Miles E.A. Everson Engagement Leader and Global and Asia, Pacific, and Americas (APA) Advisory Leader New York, USA

Dennis L. Chesley Project Lead Partner and Global and APA Risk and Regulatory Leader Washington DC, USA

Frank J. Martens Project Lead Director and Global Risk Framework and Methodology Leader British Columbia, Canada

Matthew Bagin Director Washington DC, USA

Hélène Katz Director New York, USA

Katie T. Sylvis Director Washington DC, USA

Sallie Jo Perraglia Gerente New York, USA

Kathleen Crader Zelnik Gerente Washington DC, USA

Maria Grimshaw Senior Associate New York, USA

Prólogo a la traducción

En un mundo cada vez más incierto y volátil, la gestión de riesgos ha ganado cada vez más importancia en las organizaciones y es una pieza clave a la hora de definir, adaptar e implantar la estrategia empresarial. La última crisis económica y financiera, cuyas consecuencias son hoy todavía visibles en muchos países, es un ejemplo manifiesto de la trascendencia del control de los riesgos empresariales y del buen gobierno corporativo en la gestión de las empresas.

Los riesgos (externos e internos) son cada vez más complejos y se entrelazan entre sí. Los cambios en el mercado, las exigencias regulatorias, la seguridad de la cadena de suministros o la intensa competencia son algunas de las incertidumbres que rodean la gestión de las empresas y su creciente dificultad exige una respuesta estratégica adecuada. Los consejos de administración, en particular, son responsables de garantizar que esa respuesta se traslade de forma eficiente a todas las fases de la gestión empresarial, desde la planificación estratégica y de negocio hasta la ejecución operacional y el control de los procesos.

Por todo ello, el Instituto de Auditores Internos de España, con la colaboración de PwC, ha editado la versión española del informe Gestión del riesgo empresarial. Integrando estrategia y desempeño, elaborado por COSO (Sponsoring Organizations of the Treadway Commission). El estudio constituye una valiosa aportación a la praxis de la gestión de los riesgos empresariales y ayudará a dirigir mejor las empresas, a aumentar su valor real en el largo plazo y a transmitir confianza a la sociedad.

Gonzalo Sanchez Presidente PwC España

Ernesto Martínez Presidente Instituto de Auditores Internos de España

ii^ Gestión del Riesgo Empresarial — Integrando Estrategia y Desempeño • Junio 2017

Índice

  • Aplicación del Marco: poniéndolo en contexto
    1. Introducción
    • riesgo y gestión del riesgo empresarial 2. Comprensión de los términos:
    1. Estrategia, objetivos de negocio y desempeño
    1. Integración de la gestión del riesgo empresarial
    1. Componentes y principios
  • Marco
    1. Gobierno y cultura
    1. Estrategia y establecimiento de objetivos
    1. Desempeño
    1. Revisión y Monitorización
    1. Información, comunicación y reporte
  • Glosario de términos principales

Aplicación del Marco: Poniéndolo en Contexto

Aplicación del Marco:

Poniéndolo en contexto

  • El valor se preserva cuando el valor de los recursos empleados en las operaciones del día a día sostiene los beneficios creados. Por ejemplo, se preserva el valor a través de la entrega o prestación de bienes y servicios excelentes, y mediante el mantenimiento de una adecuada capacidad de producción, lo cual se traduce en clientes y partes interesadas satisfechos y leales.
  • El valor se erosiona cuando la dirección implanta una estrategia que no genera los resulta- dos esperados o no ejecutan las tareas diarias. Por ejemplo, se erosiona el valor cuando se consumen recursos significativos para desarrollar un nuevo producto que posteriormente se abandona.
  • El valor se materializa cuando las partes interesadas perciben los beneficios generados por la entidad. Los beneficios pueden ser monetarios o no monetarios. La forma en la que se crea el valor depende del tipo de entidad. Las entidades con ánimo de lucro crean valor mediante la implantación con éxito de una estrategia que sopesa las oportunidades del mercado frente a los riesgos de perseguir esas oportunidades. Las entidades públicas y sin ánimo de lucro pueden crear valor mediante la entrega o prestación de bienes y servicios que sopesan sus oportunidades de servir a la comunidad en general frente a cualquier riesgo asociado. Con inde- pendencia del tipo de entidad de que se trate, la integración de las técnicas de gestión del riesgo empresarial con otros aspectos del negocio mejora la confianza e infunde una mayor seguridad en las partes interesadas.

Misión, Visión y Valores clave

La Misión, la Visión y los Valores Clave 3 definen lo que una entidad se esfuerza por conseguir y cómo quiere llevar a cabo sus activi- dades. Comunican a las distintas partes interesadas el propósito de la entidad. Para la mayoría de las entidades, la misión, la visión y los valores clave permanecen estables a lo largo del tiempo y se suelen reafirmar mediante la definición de una estrategia. Sin embargo, también pueden evolucionar a medida que cambian las expecta- tivas de las partes interesadas. Por ejemplo, un nuevo equipo de dirección puede presentar ideas diferentes con respecto a la misión de crear valor para la entidad. En el Marco (Capítulos 6 a 10), se analizan la misión y la visión en el contexto de una organización que establece y define su estrategia y objetivos de negocio. Los valores clave se analizan en el contexto de la cultura que la entidad desea adoptar.

La gestión del riesgo empresarial afecta a la estrategia

La “estrategia” se refiere al plan de una organización para lograr su misión y visión, considerando sus valores clave. Una estrategia adecuadamente definida conduce a una asignación eficiente de recursos y a una toma de decisiones eficaz. También proporciona una hoja de ruta para establecer objetivos de negocio en toda la entidad. La gestión del riesgo empresarial 4 no crea la estrategia de la entidad, pero influye en su desarrollo. Una organización que integra las técnicas de gestión del riesgo empresarial en la definición de su

3 Téngase en cuenta que algunas entidades utilizan diferentes términos, como “credo”, “propósito”, “filosofía”, “creencias fundamentales” y “políticas”. Independientemente de la terminología utilizada, los conceptos que subyacen a la misión, a la visión y los valores clave, proporcionan una estructura para comunicarse a través de toda la entidad. 4 A lo largo de este documento, “gestión del riesgo empresarial” hará referencia a la cultura, capacidades y prácticas, integradas con la definición de la estrategia y el desempeño, en las que las organizaciones confían para gestionar el riesgo de cara a la creación, preservación y materialización del valor. No hace referencia a una función, grupo o departamento de una entidad. Las consideraciones específicas sobre el modelo operativo se analizan en el Apéndice B del Volumen II.

  • Misión: El propósito principal de la entidad, que establece lo que quiere lograr y su razón de ser.
  • Visión: Aspiraciones de la entidad de cara a su estatus futuro o lo que la organi- zación pretende lograr con el paso del tiempo.
  • Valores clave: Las creencias e ideales de la entidad sobre lo que es bueno o malo, aceptable o inaceptable, que influyen en el comporta- miento de la organización.

Aplicación del Marco: Poniéndolo en Contexto

4 Gestión del Riesgo Empresarial — Integrando Estrategia y Desempeño • Junio 2017

estrategia aporta a la dirección la información sobre riesgos que necesita tener en cuenta para con- siderar estrategias alternativas y, en última instancia, para adoptar la estrategia elegida.

La gestión del riesgo empresarial

está vinculada al negocio

Las prácticas de gestión del riesgo empresarial se integran con todos los demás aspectos de la empresa, incluyendo el gobierno corporativo, la gestión del desempeño y las prácticas de control interno.

Gobierno corporativo

El gobierno corporativo constituye el concepto más amplio. Normalmente se refiere a la distribución de funciones, facultades y responsabilidades entre las partes interesadas, el consejo de adminis- tración y la dirección. Algunos aspectos del gobierno corporativo quedan fuera de la gestión del riesgo empresarial (por ejemplo, la contratación y evaluación de los miembros del consejo de administración, el desarrollo de la misión, la visión y los valores clave de la entidad).

Gestión del desempeño

El desempeño hace referencia a las acciones, tareas y funciones necesarias para materializar o exceder la estrategia y los objetivos de negocio de una entidad. La gestión del desempeño se centra en desplegar los recursos de manera eficiente. Se trata de medir esas acciones, tareas y funciones con respecto a objetivos predeterminados (tanto a corto como a largo plazo) y determinar si se están logrando esos objetivos. Dado que existe una amplia variedad de riesgos –tanto conocidos como desconocidos– que pueden afectar al desempeño de una entidad, se puede utilizar una extensa gama de medidas:

  • Medidas financieras, como el retorno de las inversiones, los ingresos o la rentabilidad.
  • Medidas operativas, como horas de funcionamiento, volúmenes de producción o porcentajes de capacidad.
  • Medidas de obligación, como el cumplimiento de acuerdos de nivel de servicio o requisitos de cumplimiento normativo.
  • Medidas de proyectos, como el lanzamiento de un nuevo producto en un plazo determinado.
  • Medidas de crecimiento, como la ampliación de la cuota de mercado en un mercado emergente.
  • Medidas de las partes interesadas, como la formación y habilidades laborales básicas para la población activa que se encuentra en desempleo y necesita mejorar sus competencias.

Los objetivos de desempeño siempre llevan riesgos asociados. Por ejemplo, los grandes produc- tores agrícolas asumen un cierto riesgo en relación con su capacidad para producir los volúmenes necesarios para satisfacer las necesidades de los clientes y cumplir sus objetivos de rentabilidad. Del mismo modo, las compañías aéreas asumen un cierto grado de riesgo en relación con su capacidad para operar todos los vuelos dentro de los plazos previstos. Sin embargo, las compañías aéreas pueden prever que exista un menor riesgo por el hecho de que puedan operar solo el 90% o incluso el 80% de sus vuelos regulares sin retrasos (en lugar del 100% de sus vuelos regulares). En ambos ejemplos, existe un nivel de riesgo asociado a la gestión de cara a lograr los objetivos de desempeño predeterminados —volumen de producción y operación de vuelos.

Una entidad puede mejorar su desempeño general integrando la gestión del riesgo empresarial con las operaciones del día a día y vinculando más estrechamente los objetivos de negocio con el riesgo.

Introducción

Gestión del Riesgo Empresarial — Integrando Estrategia y Desempeño • Junio 2017 (^5)

para su uso en la producción, corre el riesgo de sufrir sanciones por no entregarlas a tiempo. En respuesta a este riesgo, la empresa evaluó sus procesos internos de envío revisando la hora del día de las entregas, rutas de entrega típicas y reparaciones no programadas en la flota de entrega. Utilizó las conclusiones obtenidas para establecer programas de mantenimiento para su flota, programar entregas fuera de los períodos de urgencia y diseñar alternativas a las rutas clave. Reconociendo que no todos los retrasos de tráfico pueden evitarse, también se desar- rollaron protocolos para alertar a los clientes de posibles retrasos. En este caso, la dirección mejoró el desempeño al influir en el riesgo dentro de lo que es capaz de gestionar internamente (producción y programación) y adaptarse a los riesgos externos en los que la capacidad de influir es limitada (retrasos en el tráfico).

  • Identificar y gestionar el riesgo en toda la entidad: Cada entidad se enfrenta a innumerables riesgos que pueden afectar a muchas partes de la organización. A veces, un riesgo puede originarse en una parte de la entidad, pero puede afectar a otra parte diferente. En consecuen- cia, la dirección identifica y gestiona estos riesgos a nivel de toda la entidad para sostener y mejorar el desempeño. Por ejemplo, cuando un banco se dio cuenta de que se enfrentaba a distintos riesgos en sus actividades de trading, el equipo de dirección respondió desarrollando un sistema para analizar información interna sobre transacciones e información del mercado respaldada por información externa relevante. El sistema proporcionó una visión global de los riesgos en todas las actividades de trading, lo cual permitió una mayor capacidad de infor- mación para los departamentos, clientes y operadores. También permitió al banco cuantificar los riesgos relativos. El sistema cumplió los requisitos de gestión del riesgo empresarial de la entidad y permitió al banco recabar datos previamente dispares para responder con mayor eficacia a los riesgos.
  • Reducir la variabilidad del desempeño: Para algunas organizaciones, el verdadero desafío no tiene que ver con las sorpresas y las pérdidas, sino más bien con la variabilidad del desem- peño. Unos resultados que superen las expectativas o se adelanten a los calendarios previstos pueden causar tantos problemas como unos resultados inferiores a las expectativas. Por ejemplo, en un sistema de transporte público, los pasajeros estarán igual de molestos cuando un autobús o tren salga diez minutos antes de tiempo que cuando llegue diez minutos tarde. Ambos eventos pueden hacer que los pasajeros pierdan sus conexiones con otros medios de transporte. Para gestionar dicha variabilidad, los programadores de tránsito del transporte público incorporaron determinadas pausas en el horario. Así, los conductores esperan en paradas designadas hasta una hora determinada, independientemente de cuándo lleguen. Esto ayuda a suavizar la variabilidad de los tiempos de desplazamiento y mejora el desempeño global y las opiniones de los pasajeros con respecto al sistema. La gestión del riesgo empre- sarial permite a las organizaciones anticiparse a los riesgos que afectarían al desempeño e implantar las medidas necesarias para minimizar los trastornos.
  • Mejorar la implantación de recursos: La obtención de información sólida sobre los riesgos permite a la dirección evaluar las necesidades generales de recursos y ayuda a optimizar la asignación de los mismos. Por ejemplo, una empresa de distribución de gas reconoció que su anticuada infraestructura aumentaba el riesgo de fuga de gas. Al examinar las tendencias de los datos relacionados con las fugas de gas, la organización pudo evaluar el riesgo en toda su red de distribución. Posteriormente, la dirección elaboró un plan para reemplazar la infraestruc- tura obsoleta y reparar aquellas secciones que aún tuvieran una vida útil. Este enfoque permitió a la empresa mantener la integridad de la infraestructura y asignar recursos adicionales durante un período de tiempo más largo.

Es importante tener presente que los beneficios de integrar las técnicas de gestión del riesgo empresarial con las prácticas de definición de estrategias y gestión del desempeño variarán según la entidad. No existe un enfoque único aplicable a todas las entidades. Sin embargo, las técnicas aplicadas de gestión del riesgo empresarial generalmente ayudarán a las organizaciones a alcanzar sus objetivos de desempeño y rentabilidad y a prevenir o reducir la pérdida de recursos.

Introducción

Gestión del Riesgo Empresarial — Integrando Estrategia y Desempeño • Junio 2017 (^7)

Ejemplo 1.1: Plan de gestión de crisis

Un operador de cruceros está preocupado por la posibilidad de que se produzcan brotes virales mientras sus buques están en el mar. Un crucero no tiene la capacidad de poner en cuarentena a los pasajeros durante un brote, pero puede llevar a cabo procedimientos para minimizar la propa- gación de gérmenes. Sin embargo, a pesar de la instalación de estaciones de desinfección manual en todo el barco, de instalaciones de lavandería y de la desinfección diaria de los pasamanos, lavabos y otras áreas comunes, los brotes virales todavía pueden ocurrir y ocurren. La organización responde implantando prácticas específicas. En primer lugar, se aumentan los niveles de limpieza y desinfección rutinarias a bordo. Una vez que el buque está en puerto, todos los pasajeros deben desembarcar para permitir que los empleados especialmente capacitados desinfecten todo el buque. A continuación, se actualizan los proto- colos de limpieza basados en la cepa de virus encontrada. El próximo crucero de salida se retrasa hasta que se completen todos los pro- tocolos de limpieza. En la mayoría de los casos, el retraso es inferior a 48 horas. Al contar con sólidas técnicas de gestión del riesgo empresarial para responder inmediatamente y adaptarse a cada situación única, la compañía es capaz de minimizar el impacto manteniendo la confianza de los pasajeros en la línea de cruceros.

La gestión del riesgo empresarial y la capacidad para adaptarse, sobrevivir y prosperar

Cada entidad se propone lograr la estrategia y los objetivos de negocio en un entorno de continuo cambio. La globalización de los mercados, los avances tecnológicos, las fusiones y adquisi- ciones, las fluctuaciones de los mercados de capitales, la competencia, la inestabilidad política, las capacidades de la fuerza laboral y la regu- lación, entre otros factores, hacen que resulte difícil conocer todos los riesgos posibles para lograr la estrategia y los objetivos de negocio. Dado que el riesgo siempre está presente y siempre está cambiando, perseguir y alcan- zar las metas puede resultar difícil. Si bien las organizaciones no pueden gestionar todos los resultados potenciales de un riesgo, sí que pueden mejorar la forma en que se adaptan a las cambiantes circunstancias. Esto a veces se conoce como sostenibilidad organizacional, resiliencia y agilidad. El Marco incorpora este concepto en el amplio contexto de crear, preser- var y materializar el valor. La gestión del riesgo empresarial se centra en gestionar los riesgos para reducir la probabilidad de que se produzca un evento y en gestionar el impacto cuando este se produzca. “Gestionar el impacto” puede requerir que una organización se adapte a las circunstancias imperantes. En algunos casos extremos, esto puede incluir la aplicación de un plan de gestión de crisis. El Ejemplo 1.1 muestra dicho plan en la práctica. En ocasiones una organización no es capaz de retomar sus actividades ordinarias en el corto plazo cuando se produce un evento de esas características. En estos casos, la organización debe adoptar una solución a más largo plazo. Tomemos como ejemplo el caso de un crucero que se vea afectado por un incendio en alta mar. A diferencia del escenario de un brote viral observado en el Ejemplo 1.1., que afecta sólo a unos pocos pasajeros, el incendio afecta a todos. Puede haber necesidades inmediatas de asistencia médica, comida, agua y cobijo para los pasajeros, o incluso la necesidad de evacuar a todos los pasajeros. Dado que los buques están constantemente en movi- miento, la planificación de una respuesta común a las crisis puede ser menos eficaz, ya que cada lugar y cada tipo de incidente pueden presentar desafíos diferentes. Sin embargo, al programar la ubicación de su flota y los horarios escalonados de salida, la compañía puede mantener un itinerario en el que los buques estén siempre a pocas horas de un puerto o de otro crucero. Este solapamiento permite a la compañía reubicar rápidamente buques y tripulaciones que puedan ayudar en caso de emergencia. La dirección estará en mejor posición de actuar si se toma su tiempo para prever los posibles esce- narios que podrían producirse — tanto los probables, como los posibles y también los improbables. La capacidad de adaptación al cambio hace que una organización sea más resiliente y más capaz de evolucionar ante las limitaciones del mercado y de los recursos. Esta capacidad también puede dar a la dirección la confianza necesaria para aumentar el nivel de riesgo que la organización esté dispuesta a aceptar y, en última instancia, acelerar el crecimiento y crear valor.

Aplicación del Marco: Poniéndolo en Contexto

8 Gestión del Riesgo Empresarial — Integrando Estrategia y Desempeño • Junio 2017

Definición de la gestión del riesgo empresarial

La gestión del riesgo empresarial se define en la presente publicación como: La cultura, capacidades y prácticas, integradas con la definición de la estrategia y el desempeño, en las que las organizaciones confían para gestionar el riesgo de cara a la creación, preservación y materialización de valor. Una mirada más en profundidad a la definición de la gestión del riesgo empresarial hace hincapié en su enfoque en la gestión del riesgo a través de:

  • El reconocimiento de la cultura.
  • El desarrollo de las capacidades.
  • Las técnicas aplicadas.
  • La integración de la estrategia establecida y el desempeño.
  • La gestión del riesgo y su alineación con la estrategia y los objetivos de negocio.
  • La relación con el valor.

Reconocimiento de la cultura Son las personas quienes desarrollan y dan forma a la cultura a todos los niveles de la entidad, a través de lo que dicen y hacen. Son las personas quienes establecen la misión, la estrategia y los objetivos de negocio de la entidad, y ponen en marcha las técnicas de gestión del riesgo empre- sarial. Del mismo modo, la gestión del riesgo empresarial afecta a las decisiones y acciones de las personas. Cada persona tiene un punto de referencia único que influye en la forma en que identi- fica, evalúa y responde al riesgo. La gestión del riesgo empresarial ayuda a las personas a tomar decisiones, al tiempo que comprende que la cultura desempeña un papel importante en la toma de decisiones.

Desarrollo de capacidades Las organizaciones persiguen varias ventajas competitivas para crear valor para la entidad. La gestión del riesgo empresarial se suma a las aptitudes necesarias para llevar a cabo la misión y la visión de la entidad y para prever los desafíos que pueden impedir el éxito de la organización. Una organización que tiene la capacidad de adaptarse al cambio es más resiliente y está en mejores condiciones para evolucionar frente a las limitaciones y oportunidades del mercado y los recursos.

Aplicación de técnicas La gestión del riesgo empresarial no es estática, ni es un complemento del negocio. Más bien se aplica de manera continuada a todo el alcance de sus actividades, así como a proyectos especiales y nuevas iniciativas. Es parte de las decisiones adoptadas por la dirección a todos los niveles de la entidad. Las técnicas utilizadas en la gestión del riesgo empresarial se aplican desde los niveles más altos de una entidad y fluyen a través de divisiones, unidades de negocio y funciones. El objetivo de estas técnicas es ayudar a las personas de la entidad a comprender mejor su estrategia, los objetivos de negocio que se han fijado, los riesgos existentes, lo que constituye un nivel aceptable de riesgo, la forma en que el riesgo impacta en el desempeño y el modo en que se espera que ayuden a ges- tionar el riesgo. A su vez, este entendimiento facilita la toma de decisiones a todos los niveles y ayuda a reducir el sesgo organizacional.

Aplicación del Marco: Poniéndolo en Contexto

10 Gestión del Riesgo Empresarial — Integrando Estrategia y Desempeño • Junio 2017

Integración de la estrategia establecida y el desempeño

Una organización establece una estrategia que apoye su misión y visión y que esté alineada con ellas. Además, establece objetivos de negocio que se derivan de la estrategia, y los traslada a las unidades de negocio, las divisiones y las funciones de la entidad. Al más alto nivel, la gestión del riesgo empresarial se integra con el establecimiento de la estrategia, de modo que la dirección com- prenda el perfil de riesgo general de la entidad y las consecuencias de las estrategias alternativas con respecto a dicho perfil de riesgo. La dirección tiene en cuenta específicamente cualquier nueva oportunidad que surja a través de la innovación y las actividades emergentes.

Pero la gestión del riesgo empresarial no se detiene ahí, sino que continúa en las tareas del día a día de la entidad y, al hacerlo, puede generar importantes beneficios. Una organización que integra la gestión del riesgo empresarial en las tareas diarias tiene más probabilidades de tener unos costes más bajos en comparación con otra organización que se limite a aplicar “capas” de procedimien- tos de gestión del riesgo empresarial. En un mercado altamente competitivo, este ahorro de costes puede ser crucial para el éxito de un negocio. Asimismo, al incorporar la gestión del riesgo empre- sarial a las actividades clave de la entidad, la dirección puede identificar nuevas oportunidades para hacer crecer el negocio.

La gestión del riesgo empresarial también se integra con otros procesos de gestión. Es necesario adoptar acciones específicas para tareas específicas, tales como la planificación empresarial, las operaciones y la gestión financiera. Una organización que tiene en cuenta los riesgos de crédito y de cambio, por ejemplo, puede que necesite desarrollar modelos y capturar grandes cantidades de datos necesarios para poder llevar a cabo un adecuado análisis. Al integrar las técnicas de gestión del riesgo empresarial con las actividades operativas de una entidad y comprender cómo el riesgo puede afectar a la entidad en su conjunto (y no sólo a un área de la misma) la gestión del riesgo empresarial puede resultar más eficaz.

Gestión del riesgo y su alineación con la estrategia y los

objetivos de negocio

La gestión del riesgo empresarial es esencial para lograr la estrategia y los objetivos de negocio. Unas prácticas bien diseñadas de gestión del riesgo empresarial proporcionan a la dirección y al consejo de administración una expectativa razonable de que pueden lograr la estrategia global y los objetivos de negocio de la entidad. Tener una expectativa razonable significa que el nivel de riesgo para lograr la estrategia y los objetivos de negocio es apropiado para esa entidad, reconociendo que nadie puede predecir el riesgo con absoluta precisión.

Pero incluso cuando se hayan adoptado expectativas razonables, las entidades pueden experi- mentar desafíos imprevistos, razón por la cual es importante revisar periódicamente las técnicas de gestión del riesgo empresarial. Su examen —y consiguiente revisión cuando sea necesario— ayuda a mantener prácticas sólidas que aumentan la confianza de la dirección en la capacidad de la entidad para responder con éxito a lo inesperado y lograr la estrategia y los objetivos de negocio.

Relación con el valor

Una organización debe gestionar el riesgo de acuerdo con la estrategia y los objetivos del negocio en relación con su apetito al riesgo, es decir, el tipo y nivel de riesgo de forma amplia, que está dispuesta a aceptar en su búsqueda del valor. La primera expresión del apetito al riesgo es la misión y visión de una entidad. Diferentes estrategias expondrán a una entidad a diferentes riesgos o dife- rentes niveles de riesgos similares.

El apetito al riesgo proporciona orientación sobre las prácticas que una organización debe seguir o no seguir. Establece una gama de técnicas adecuadas y orienta la toma de decisiones basadas en el riesgo en lugar de especificar un límite.

Comprensión de los Términos: Riesgo y Gestión del Riesgo Empresarial

Gestión del Riesgo Empresarial — Integrando Estrategia y Desempeño • Junio 2017 (^11)

3. Estrategia, objetivos de negocio y

desempeño

Estrategia y gestión del riesgo empresarial

La gestión del riesgo empresarial ayuda a una organización a comprender mejor:

  • Cómo la misión, la visión y los valores clave forman la expresión inicial de qué tipo y nivel de riesgo es aceptable considerar al establecer la estrategia.
  • La posibilidad de que la estrategia y los objetivos de negocio no estén alineados con la misión, visión y valores clave.
  • El tipo y nivel de riesgo al que la organización se expone potencialmente al elegir una estrate- gia en particular.
  • El tipo y el nivel de riesgo inherente a la ejecución de su estrategia y al logro de los objetivos de negocio y a la aceptabilidad de este nivel de riesgo, y en última instancia, del valor.

La Figura 3.1 ilustra la estrategia en el contexto de la misión, la visión y los valores clave, y como palanca de la dirección y el desempeño general de una entidad.

Figura 3.1: Contexto estratégico

Posible desalineación estratégica con los objetivos de

negocio

Tanto la misión como la visión proporcionan una perspectiva de alto nivel sobre el tipo y el nivel de riesgo aceptable para la entidad. Ayudan a la organización a establecer límites y estar pendientes de cómo las decisiones pueden afectar a la estrategia. Una organización que entiende su misión y visión puede establecer estrategias que generen el perfil de riesgo deseado. Las declaraciones de una organización de atención médica incluidas en el Ejemplo 3.1. guían a la organización en la determinación de los tipos y el nivel de riesgo que es probable que se enfrente y acepte. La orga- nización considerará los riesgos asociados a la prestación de atención médica de alta calidad (misión), el acceso conveniente y oportuno al servicio (misión), y el ser un lugar excelente para practicar la medicina (visión). Teniendo en cuenta su alta consideración por la calidad, el servicio y la amplitud de sus habilidades, es probable que la organización busque una estrategia que tenga un perfil de menor riesgo relacionado con la calidad de la atención y el servicio al paciente. Esto puede significar que se ofrezcan servicios para pacientes hospitalizados y/o ambulatorios, pero sin que exista una presencia online destacada. Por otra parte, si la organización hubiera centrado su misión

teg

yn ota lignin g Implica tions fro m t

i (^) s (^) k (^) t os trategy&perform

a

ESTRATEGIA, OBJETIVOS DE NEGOCIO Y DESEMPEÑO

MISIÓN, VISIÓN Y VALORES CLAVE

MEJORA DEL DESEMPEÑO o P ibs i^ lid

ad

de

qu ela

est rateg

ia Implicac ione sd ela es tra teg no ia

es té

alin

ead

a selec cio na da

R i e s goparalaestrategia yeldesempeño

Gestión del Riesgo Empresarial — Integrando Estrategia y Desempeño • Junio 2017 (^13)

en la innovación de los enfoques de atención al paciente o en canales avanzados de prestación de servicios, seguramente habría adoptado una estrategia con un perfil de riesgo diferente. La gestión del riesgo empresarial puede ayudar a una entidad a evitar que la estrategia esté desa- lineada. Puede proporcionar a una organización una visión adecuada para asegurar que la estrate- gia elegida, apoye la misión y visión más amplia de la entidad, para que pueda ser considerada por la dirección y el consejo de administración.

Evaluación de la estrategia seleccionada La gestión del riesgo empresarial no crea la estrategia de la entidad, sino que informa a la organización sobre los riesgos asociados a las estrategias alternativas consideradas y, en última instancia, a la estrategia adoptada. La organi- zación debe evaluar cómo la estrategia elegida ha podido afectar al perfil de riesgo de la entidad, y en especial a los tipos y al nivel de riesgo a los que la organización está potencialmente expuesta. Al evaluar los riesgos potenciales que pueden surgir de la estrategia, la dirección también con- sidera cualquier hipótesis clave que subyace a la estrategia elegida. Estos supuestos son una parte importante de la estrategia y pueden referirse a cualquiera de las consideraciones que forman parte del contexto de negocio de la entidad. La gestión del riesgo empresarial proporciona una valiosa información sobre la sensibilidad de los cambios en las hipótesis: es decir, si tendrían poco o gran efecto de cara a la consecución de la estrategia. El Ejemplo 3.2 tiene en cuenta la misión y la visión de la organización de atención médica anali- zado, anteriormente, y cómo la entidad traslada esta información a su estrategia. Tomando como muestra el ejemplo mostrado, la organización puede considerar qué riesgos pueden deri- varse de la estrategia elegida. Por ejemplo, los riesgos relacionados con la innovación médica pueden ser más pronunciados, los riesgos para la capacidad de prestar una atención de alta calidad pueden aumentar a raíz de las iniciativas de gestión de costes, y los riesgos relacionados con la gestión de nuevas alianzas estratégicas pueden ser un enfoque en el que la organización no se haya centrado anteriormente. Estos y muchos otros riesgos provienen de la elección de la estrategia. Sin embargo, sigue pendiente la pregunta de si es probable que la entidad logre su misión y visión con esta estrategia, o si existe un riesgo elevado con respecto a la materialización de los objetivos establecidos.

Ejemplo 3.1: Misión, visión y valores clave en la práctica

Misión: Mejorar la salud de las personas a las que prestamos nuestros servicios propor- cionándoles una atención de alta calidad, una amplia gama de servicios y un acceso rápido y oportuno con un servicio excepcional de atención al paciente. Visión: Nuestro hospital será el centro de atención médica preferido por médicos y paci- entes, y será conocido por proporcionar una calidad sin igual, ofrecer un servicio excelente y ser un lugar ejemplar en el que practicar la medicina. Valores clave: Nuestros valores sirven de base para todo lo que pensamos, decimos y hacemos. Trataremos a nuestros médicos, pacientes y colegas con respeto, honestidad y compasión, al tiempo que los hacemos responsables de estos valores.

Ejemplo 3.2: Misión, visión y valores clave en la práctica

Nuestra Estrategia:

  • Maximizar el valor para nuestros pacientes mejorando la calidad en un amplio espec- tro de servicios.
  • Reducir la tendencia al aumento de costes.
  • Integrar la eficiencia operativa y las iniciati- vas de gestión de costes.
  • Alinear médicos e integración clínica.
  • Aprovechar la innovación en los pro- gramas clínicos.
  • Desarrollar alianzas estratégicas.
  • Gestionar la prestación de servicios al paciente y reducir los tiempos de espera donde sea posible.

Aplicación del Marco: Poniéndolo en Contexto

14 Gestión del Riesgo Empresarial — Integrando Estrategia y Desempeño • Junio 2017