Riesgos
Departamento de Consultoría
🕑 6 minutos de lectura
Tabla de contenidos
¿QUÉ ES EL MODELO COSO?
COSO (Committee of Sponsoring Organizations of the Tradeway Commission) es una organización compuesta por organismos privados, establecida en los EEUU, dedicada a proporcionar un modelo común de orientación a las entidades sobre aspectos fundamentales de:
- gestión ejecutiva y de gobierno,
- ética empresarial,
- control interno,
- gestión del riesgo empresarial,
- control del fraude, y
- presentación de informes financieros.
Evolución del Modelo COSO:
1992: publicación del Internal Control – Integrated Framework (Informe COSO o COSO I), como un marco integrado para ayudar a las empresas a evaluar y mejorar sus sistemas de control interno.
2004: se publica el Modelo COSO ERM (Enterprise Risk Management – Integrated Framework) o COSO II, permitiendo a las compañías mejorar su gestión de control interno mediante un proceso más completo de gestión del riesgo.
2013: publicación del modelo COSO III, actualizado en el modelo COSO ERM 2017, que mejora el Marco Integrado para permitir una mayor cobertura de los riesgos a los que se enfrentan las organizaciones.
Representación del Modelo COSO ERM 2017
Fuente: coso.org presentación «2017 ERM Slide Presentation»
Componentes del Modelo COSO RIESGOS de control interno:
Gobierno y Cultura:
la organización debe reforzar la importancia y comprensión de su gestión del riesgo, establecer las responsabilidades de supervisión necesarias para llevarla a cabo y definir sus valores éticos a seguir.
Las acciones principales a desarrollar son los siguientes:
- Aprobar una política a seguir por el Consejo de administración para supervisar el riesgo de la Entidad.
- Establecer la estructura operativa.
- Definir la cultura y valores deseados.
- La alta dirección debe demostrar el compromiso con los valores fundamentales mediante, por ejemplo, la formación de comités y órganos colegiados para el control de su cumplimiento.
- Atraer, desarrollar y retener al personal capacitado.
Estrategias y establecimiento de Objetivos:
proceso de planificación estratégica mediante la definición de la gestión de riesgos empresariales, estrategias y objetivos de trabajo y el establecimiento de un apetito de riesgo alineado con ellos.
Para llevar a cabo este bloque, la organización debe:
- Analizar el contexto del negocio.
- Definir el apetito de riesgo.
- Evaluar estrategias a seguir.
- Formular los objetivos de negocio.
Desempeño:
supone identificar y evaluar los riesgos que pueden afectar al logro de los objetivos empresariales. Los riesgos se priorizan por gravedad según el apetito de riesgo definido. A continuación, la organización selecciona las respuestas al riesgo y comprueba la cantidad de riesgo que ha asumido.
Llevar a cabo este desempeño incluye:
- Identificar los riesgos.
- Evaluar la severidad de cada riesgo identificado.
- Identificar, seleccionar e implementar las respuestas al riesgo.
Revisión y Monitorización:
en la revisión del desempeño, la organización comprueba el funcionamiento de la gestión de los riesgos corporativos a lo largo del tiempo, y a la vista de los cambios sustanciales que se produzcan, decide qué revisiones o cambios son necesarios.
Los puntos incluidos en la revisión son los siguientes:
- Evaluar los cambios relevantes que se hayan producido.
- Revisar los riesgos y el desempeño producido durante su gestión.
- Buscar la mejora en la gestión de los riesgos.
Información, Comunicación y Reporte:
la gestión de riesgos empresariales requiere un proceso continuo de obtener y compartir la información necesaria, tanto de fuentes internas como externas. La comunicación debe fluir hacia arriba y hacia abajo, en toda la organización.
Este apartado exige:
- Apoyar la gestión de riesgos con sistemas y tecnología.
- Utilizar canales de comunicación adecuados.
- Informar sobre riesgos, cultura y desempeño a todas las partes interesadas.
¿Qué es la metodología ERM de Gestión de Riesgos Empresariales?
La gestión de riesgos empresariales (ERM – Enterprise Risk Management, por sus siglas en inglés) es una estrategia empresarial basada en planes que tiene como objetivo identificar, evaluar y prepararse para cualquier riesgo o evento que pueda afectar, tanto positiva como negativamente, a las operaciones y los objetivos de una organización.
El objetivo del ERM es evaluar los riesgos relevantes para la compañía (financieros, estratégicos y operativos), priorizar esos riesgos y tomar decisiones informadas sobre cómo manejarlos. Los planes de gestión de riesgos que crean estiman el impacto de varias amenazas y describen las posibles respuestas si uno de estas amenazas se materializa.
Un proceso de ERM eficaz debería ser una herramienta estratégica importante para los líderes del negocio. Los conocimientos sobre los riesgos que surgen del proceso de ERM deben ser un insumo importante para el plan estratégico de la organización.
Debido a que los riesgos surgen y evolucionan constantemente, es importante comprender que ERM es un proceso que debe estar activo y vivo, con actualizaciones y mejoras continuas.
La estructura del marco de gestión de riesgos corporativos se aplica independientemente del tamaño de la institución o cómo una institución desea categorizar sus riesgos, y es diseñado para ayudar a la gerencia y a las juntas directivas a gestionar adecuadamente los siguientes aspectos principales:
- Identificación de todos los riesgos que puedan afectar a la estrategia y las operaciones comerciales, y la interrelación entre ellos.
- Nivel de riesgo asumible.
- Cómo gestionar los riesgos (cultura, gobierno y políticas).
- Cómo obtener la información necesaria para gestionar los riesgos.
- Cómo controlar los riesgos.
- Cómo medir y evaluar los distintos riesgos.
- Qué respuesta dar ante los riesgos.
- Qué pruebas de respuesta ante escenarios perjudiciales son las más adecuadas.
Uno de los principales modelos desarrollados para una gestión eficaz de riesgos empresariales (ERM) es actualmente el Modelo COSO ERM 2017.
Beneficios para las organizaciones:
– Ayuda a comprender mejor cómo realizar la gestión de riesgos y su papel en la implementación de las mejores estrategias a seguir.
– Permite establecer objetivos que relacionen rendimiento y gestión integral del riesgo empresarial para aumentar el beneficio de la empresa.
– Da pautas universales respecto al gobierno y la supervisión empresariales.
– Ayuda a reconocer el nuevo contexto que ha supuesto la globalización de la economía y la necesidad de adaptarse a los cambios y la complejidad del mundo de los negocios que ha traído consigo.
– Es una base para ampliar el conocimiento respecto a la gestión de riesgos y dar respuesta a las expectativas de administradores y el resto de partes interesadas.
– Es compatible con la evolución y el uso de las nuevas tecnologías de la información y las comunicaciones (TIC), y su aplicación en el manejo de datos y en la toma de decisiones.
EnGlobalSuite Solutionscontamos con el software GlobalSuite®, íntegramente desarrollado por nuestro equipo, que permite la implantación, gestión y mantenimiento de un Sistema de Gestión de riesgo a partir de los objetivos establecidos, así mismo, permite la evaluación y el seguimiento del tratamiento del riesgo definido.
Security
- Seguridad de la información ISO 27001
- Privacidad en la nube ISO 27018
- ISO 27701 Privacidad de información personalmente identificable
- Seguridad en la cadena de suministro ISO 28000
Risk management
- ISO 31000 Riesgos empresariales
- Soluciones de ciberseguridad y ciberriesgo
Business continuity
- Plan de Continuidad del Negocio ISO 22301
- Continuidad tecnológica ISO 277031
Compliance management
- ISO 37301 Compliance
- Compliance ISO 19600
- ISO 37001 Antisoborno
- Compliance penal UNE 19601
- Canal de denuncias
Privacy Data Protection
- Implementación y adaptación RGPD
- Auditoría RGPD
Audit Management
- Auditoría software gestión
Nuestra solución todo en uno
Compartir:
Departamento de Consultoría
.Departamento de Consultoría de GlobalSuite Solutions.
Más artículos
Comprendiendo los riesgos en la nube
¿Qué es el riesgo de terceros? Gestión, tipos, ejemplos y cómo evaluarlos
Infraestructuras Críticas: Requisitos, Obligaciones y Cumplimiento de la Ley PIC
As a seasoned expert in risk management and related frameworks, I bring forth a wealth of knowledge and practical understanding in the domain. My expertise is grounded in years of hands-on experience, academic qualifications, and a continuous commitment to staying abreast of the latest developments in the field.
Let's delve into the content of the provided article, which discusses the COSO model and Enterprise Risk Management (ERM):
1. What is the COSO Model?
The COSO (Committee of Sponsoring Organizations of the Tradeway Commission) is an organization in the USA that provides a common guidance model for entities on fundamental aspects such as executive and governance management, business ethics, internal control, enterprise risk management, fraud control, and financial reporting.
Evolution of the COSO Model:
- 1992: Internal Control – Integrated Framework (COSO I) was published.
- 2004: COSO ERM (Enterprise Risk Management – Integrated Framework or COSO II) was introduced, enhancing companies' internal control management through a more comprehensive risk management process.
- 2013: COSO III was published and updated in the COSO ERM 2017 model, enhancing the Integrated Framework for broader coverage of organizational risks.
2. Components of COSO ERM 2017:
The model encompasses several components:
- Governance and Culture: Reinforcing the importance of risk management, defining ethical values, and establishing necessary supervisory responsibilities.
- Strategies and Objectives: Planning strategically, defining risk appetite, evaluating strategies, and formulating business objectives.
- Performance: Identifying and assessing risks, prioritizing them based on risk appetite, selecting and implementing risk responses.
- Review and Monitoring: Regularly reviewing risk management performance, evaluating changes, and seeking improvement.
- Information, Communication, and Reporting: Continuously obtaining and sharing necessary information internally and externally.
3. Enterprise Risk Management (ERM):
ERM is a strategic business approach aimed at identifying, evaluating, and preparing for risks that can impact an organization positively or negatively. Key aspects of ERM include:
- Identifying and prioritizing relevant risks (financial, strategic, and operational).
- Creating risk management plans, estimating the impact of threats, and outlining responses to potential risks.
- Acting as a crucial strategic tool for business leaders, providing insights for the organization's strategic plan.
4. Benefits of COSO ERM 2017 for Organizations:
- Facilitates a better understanding of risk management and its role in implementing effective strategies.
- Enables the establishment of goals linking performance and comprehensive enterprise risk management to enhance organizational benefits.
- Provides universal guidelines for corporate governance and oversight.
- Recognizes the changing global economic context and the need to adapt to business complexities.
- Serves as a foundation for expanding knowledge about risk management and meeting the expectations of stakeholders.
- Compatible with the evolution and use of new information and communication technologies.
In conclusion, the COSO ERM 2017 model stands as a robust framework for effective risk management, offering substantial benefits to organizations in navigating the complexities of today's business landscape.
