Dentro Del Foco De Análisis

TRAYENDO ERM

DENTRO DEL FOCO DE ANÁLISIS

Enterprise Risk management –ERM (gerenciamiento de riesgos empresariales), es el proceso de identificación y análisis de riesgo desde una perspectiva amplia e integral en la compañía. Ha estado circulando como un concepto de negocios por muchos años. Aunque muchas organizaciones son conocedoras de ERM, pocas tienen una clara figura de exactamente como vincular los procesos.

Aun más, pocas poseen un plan sólido para implementar ERM dentro de sus organizaciones. The Committee of Sponsoring Organizations of the Treadway Commission (COSO) procura cambiar todo esto. La Asamblea venerable, compuesta por The American Accounting Association, Financial Executives International, The Institute of Internal Auditors y the Institute of Management Accountants, espera aliviar alguna de estas ambigüedades alrededor del riesgo con su ultimo estudio, Enterprise Risk Management Framework - ERM (“Marco para el gerenciamiento del riesgo empresarial”).

“Aunque mucha gente esté hablando acerca de riesgos, no hay una definición comúnmente aceptada del gerenciamiento de riesgos y un marco comprensivo diseñado de cómo el proceso debería trabajar, haciendo la comunicación del riesgo a lo largo de los miembros del directorio y gerencia difícil y frustrante”, menciona John J. Flaherty, presidente de COSO y auditor general retirado de la PepsiCo Inc. “La junta de COSO siente que esta situación era similar a la que existía antes de la publicación del Internal Control Integrated Framework (Marco Integral del Control Interno). En su momento este estudio ayudo a conseguir que todos cantaran de la misma hoja de canciones cuando se traía a discusión el tema de control interno, nuestra meta es que el ERM Framework (Marco para el gerenciamiento de riesgos) ofrezca al directorio y la gerencia un modelo comúnmente aceptado para la discusión y evaluación de los esfuerzos de gerenciamiento de riesgos en una organización”.

La iniciativa empieza a inicios del 2001, cuando COSO comisionó a un grupo de profesores de la Universidad de Virginia para determinar si (o no) un marco de gerenciamiento de riesgos aun era necesario. “Nosotros no deseamos perder el tiempo inventando la rueda”, decía Flaherty. “Después de mucho estudio literario, el equipo, el cual estaba compuesto de expertos en el área de gerenciamiento de riesgos, regresó y confirmó que una guía clara era realmente necesaria para ayudar a las organizaciones a construir programas efectivos para identificar, medir, priorizar y responder ante el riesgo”.

Una vez que esta necesidad fue identificada, COSO convoco a su Concilio de Consejeros de Proyectos con representantes de sus cincos organizaciones miembros y contrato a PricewaterhouseCoopers para escribir el documento marco. Un borrador fue publicado para comentario público en julio 2003, con una versión final del marco que será publicada en el primer trimestre del año 2004.

UNA NECESIDAD IDENTIFICADA

En un grado amplio, el trabajo de COSO es una respuesta al estado de necesidades del directorio y la gerencia senior. Es difícil, sino imposible, para la mayoría de las organizaciones gastar los recursos requeridos para desarrollar su propio proceso de ERM desde el inicio. “En esta época y año de organizaciones tambaleantes y medianas, la mayoría lucha solo para acompañar sus actividades del día a día,”. Flaherty dice, “ellos simplemente no tiene el tiempo, talento, energía, o dinero para emprender tal masivo proyecto sobre ellos.”

Aun más, El mandato de ERM es claro. En las encuestas a los miembros del directorio y comités de auditoría, el riesgo corporativo y el riesgo de gobierno consistentemente encabezan la lista de preocupaciones. En adición, los recientes encabezados de negocios han hecho de conocimiento cuan peligroso es vigilar o ignorar los riesgos potenciales. “Algunos eventos han acontecido en recientes años, y nosotros hemos venido a percibir que no podemos considerar el riesgo en un mismo silo más”, dijo Andrew Jackson, un miembro del Concilio de Consejeros de Proyectos para COSO y asistente del auditor general en Motors Corp. “Lo que nosotros estamos viendo es que ustedes tienen que considerar al riesgo a lo largo de la empresa, y ustedes observar las interdependencias entre esos riesgos. De otra manera, el gerenciamiento de riesgos no es efectivo”.

Muchas organizaciones están solo procurando construir información sobre riesgo dentro del proceso de toma de decisiones en sus fronteras. “Esto es especialmente verdadero cuando se trata de la distribución de capital,” Jackson menciona. “Para compañías que procuran proveer valor, el racionalizar capital desde un punto de vista retorno -riesgo es crecientemente importante. Pero, para hacer esto, los lideres senior y el directorio necesitan más información amplia de la empresa, incluyendo la medida de riesgos a lo largo de la entidad”.

RESPONDIENDO AL LLAMADO

ERM, como diseño por el Marco COSO, está bien ordenado para responder a estas necesidades. Por ejemplo, el marco enfatiza en la importancia de identificar y gerenciar los riesgos a lo largo de la empresa desde una perspectiva de portafolio. Muchas organizaciones desarrollan el gerenciamiento de riesgos dentro de cada subdivisión, pero parte de la visión total de ERM es que el riesgo que ocurre en la subunidad y en subniveles de la entidad son agregados y vistas desde lo alto como un portafolio total de riesgos.

“Esto es importante por muchas razones,” dice Douglas F. Pratwitt, miembro del Concilio de Consejeros de Proyectos para COSO y profesor asociado a la Universidad Brigham Young. “Algunas veces podrían haber riesgos que magnifican a otro sobre el cual tu deseas conocer”. En Otros tiempos podrían haber riesgos en diferentes unidades que se compensen con otros. Como resultado, la organización podría estar más o menos deseosa para permitir a una subunidad tomar un nivel de riesgo, porque otros aspectos dentro una parte diferente de la organización podría mitigarlo o magnificarlo. Es también importante desarrollar una respuesta integral para los riesgos, de suerte que, la mano derecha no conozca lo que la parte izquierda este haciendo”.

En adición, el marco toma en consideración las oportunidades estratégicas frecuentemente asociadas con el riesgo, mientras al mismo tiempo define claramente al riesgo como una ocurrencia negativa. Haciendo esto, el marco clarifica sobre su marcha un debate acerca de la definición de riesgos.

“Responsabilidades y conocimientos individuales dentro de una organización realmente direccionan la definición individual de riesgos,” Jackson menciona. Si tu hablas a un líder de una unidad de negocios quien ha generado ganancias para la compañía, él o ella podrían ver el riesgo como una oportunidad. Sin embargo, si tú hablas con los auditores o tesoreros, ellos probablemente vean riesgos de exposición desde su lado que ellos necesitan gerenciar. Como resultado, ha habido una tendencia por insistir en que ninguna definición de riesgos incluye tanto la idea de oportunidad y adversidad.

El marco, sin embargo, no pretende que el riesgo sea positivo o negativo. En lugar de ello, el riesgo es claramente definido como “ la probabilidad de que un evento ocurra y afecte adversamente el logro de los objetivos.” El marco cubre la parte positiva del riesgo urgiendo a la gerencia a identificar todos los eventos potenciales que podrían afectar la habilidad de la organización para implementar con éxito su estrategia y el logro de sus objetivos. Aquellos eventos con consecuencias potenciales negativas representan riesgos a ser direccionados a través de los procesos de gerenciamientos de riesgos.

Aquello eventos que podrían tener resultado positivos, sin embargo, son definidos como oportunidades, las cuales el marco indica deberían reprocesarse dentro de la estrategia de la organización y en el proceso del establecimiento de objetivos. Respecto a los eventos potenciales que podrían tener un resultado positivo o negativo, el marco soporta a ambos individuos, los que ven una amenaza o aquellos que ven una oportunidad y también a aquellos que están dedicados a gerenciar los aspectos internos.”

Prawitt dice.“ Todavía, mantiene su enfoque sobre el riesgo como un proceso para gerenciar los posibles resultados negativos y sus impactos. Eso es importante, porque si tu tratas de poner juntos a un marco que incorpore los aspectos positivos y negativos en la definición de riesgos, la discusión de gerenciamiento de riesgos caería pesado.

Adicionalmente, no se ajusta realmente con la concepción de mucha gente de lo que constituye el riesgo.

RIESGO Y CONTROL

Una clave fuerte de el marco, al menos a los ojos del directorio de COSO y el Concilio de Consejeros de Proyectos, es que este incorpora, mas que reemplaza, el estudio COSO de 1992, Marco Integral de Control Interno. “Muchas organizaciones han adoptado el marco COSO, varios estándares de auditoría confían en este marco, y vemos como los reportes de control interno requeridos bajo Sarbanes - Oxley están fuertemente basados sobre el modelo de Control Interno COSO,” anota Prawitt. “Entonces fue absolutamente critico que el nuevo marco de riesgos no minara el reciente trabajo de COSO”.

En adición, no toda organización está buscando implementar ERM. “dado el tamaño y la naturaleza de ciertas compañías, podría no ser de costo/beneficio migrar a un proceso de ERM”, Jackson menciona, “Ellos pueden, sin embargo, aun asegurar al directorio y accionistas que el ambiente de control es efectivo, porque es posible tener un ambiente de control efectivo sin un modelo de gerenciamiento de

...