02 de diciembre de 2024
COSO ERM: Más Allá del Control, Hacia la Gestión y el Valor Organizacional, por Alfonso Kaiser
Alfonso Kaiser Mendía
MBA, MSc, Ingeniero Naval
PfMP, PgMP, PMP, PMI-RMP, ISO 21500 Auditor
Hace un tiempo, una empresa me solicitó una consultoría en gestión de riesgos. Con más de 20 años de experiencia en el estudio y trabajo en gestión de riesgos, así como en portafolios, programas y proyectos, tengo una visión crítica sobre las distintas metodologías.
Las metodologías son parte de una industria y, por tanto, de un negocio. Creo que podemos evolucionar el conocimiento y este se incrementa dramática y exponencialmente. Sin embargo, las metodologías no siempre siguen esta tendencia. Algunas personas han encontrado en los cambios periódicos de las diferentes metodologías una fuente constante de empleo y estabilidad económica.
En lo que respecta a la gestión de riesgos, aunque me identifico mayormente con la metodología del PMBOK (PMI) por ser la más completa, existe otra versión utilizada desde su actualización en 2017, conocida como COSO ERM, que significa "Enterprise Risk Management". Esta se enfoca principalmente en los riesgos financieros, de fraude y contables. Como en todas las metodologías, hay aspectos importantes a considerar, pero no exclusivos de esta metodología.
COSO ERM y el Alcance Organizacional
El marco COSO ERM (Enterprise Risk Management) enfatiza la implementación de su metodología en toda la organización, algo que el PMBOK aborda de manera indirecta para programas, proyectos y portafolios solamente, involucrando a toda la organización a través de estos y no de manera directa. El objetivo del marco COSO ERM es proporcionar a las organizaciones un enfoque integral para identificar, evaluar, gestionar y monitorear riesgos. La versión de 2017 actualiza el marco anterior para integrar la gestión de riesgos con la estrategia y el desempeño organizacional, promoviendo un enfoque proactivo para la creación y preservación de valor, común en todas las metodologías de gestión de riesgos.
El foco en el control interno del marco COSO ERM refleja su origen en la iniciativa del Committee of Sponsoring Organizations of the Treadway Commission (COSO), una organización sin fines de lucro fundada en 1985 en los Estados Unidos. Este comité fue creado para mejorar la calidad de la información financiera mediante una ética empresarial más sólida, controles internos efectivos y una buena gobernanza corporativa, en respuesta a la Ley Sarbanes-Oxley (SOX) de 2002, que regula la presentación de informes financieros y la auditoría de empresas cotizadas en los Estados Unidos de América.
El Problema del Exceso de Control
Aunque un control interno efectivo parece adecuado, puede llevar a la inacción y extinción de la empresa. Muchas empresas priorizan el control, creando auditores que incrementan el control pero ralentizan la organización debido al esfuerzo sin valor añadido y la sensación de un estado policial. Esto fomenta la inacción y desvía esfuerzos de la estrategia principal de "Crear Valor".
En muchas organizaciones, los controles innecesarios generan desperdicio, pérdida de eficiencia y disminución de la iniciativa para buscar mejoras. Delegar la búsqueda de errores a terceros quita responsabilidad a la organización, que empieza a evitar errores solo para no ser detectados por otros. Estos terceros justifican su presencia encontrando errores mínimos, perpetuando un ciclo de inacción.
Enfocarse más en la gestión que en el control puede transformar la organización en una entidad más dinámica y resiliente.
COSO ERM desde mi Perspectiva
He adaptado la metodología COSCO basándome en mi experiencia como consultor de riesgos, oficial de submarinos de la Armada de Chile, y mis roles en el Ministerio de Defensa de Chile, la ONU y empresas como Nokia, Infosys y Codelco. He modificado, eliminado y comentado ciertos aspectos del documento original que considero necesitan ser reanalizados.
- Gobernanza y Cultura
Este componente establece las bases para un entorno de gestión de riesgos efectivo.
a) Supervisar la gobernanza de riesgos: El consejo directivo debe liderar y apoyar la gestión de riesgos, pero no ser responsables de su implementación.
b) La gestión de riesgos debe ser liderada por los Gerentes de Áreas, quienes deben supervisar su implementación.
c) Se deben definir roles y responsabilidades: Asegurar que todos comprendan su papel en la gestión de riesgos, en cada uno de los niveles de gestión, con una planificación centralizada, pero con una ejecución descentralizada.
d) Atraer, desarrollar y retener talento capaz: Contar con personal competente para manejar los riesgos.
e) Generar formación técnica: Ofrecer cursos, seminarios, etc., como parte del desarrollo profesional.
f) Fomentar la concientización y cultura de riesgo: Promover una mentalidad proactiva frente a los riesgos en toda la organización.
2. Estrategia y Establecimiento de Objetivos
Este componente integra la gestión de riesgos en el proceso de planificación estratégica.
a) Analizar el entorno de negocio: Consiste en identificar factores externos e internos que afectan la capacidad de alcanzar los objetivos, conocidos como factores medioambientales (no referidos al medioambiente ecológico, sino a todos aquellos factores presentes que impactan la industria y el entorno económico, político, judicial, etc., donde se desarrolla la actividad de la organización).
b) Definir el apetito de riesgo: Se debe establecer el nivel de riesgo que la organización está dispuesta a asumir para cumplir sus objetivos. Este es un aspecto altamente subjetivo, ya que incluso dentro de la misma organización pueden existir diferentes niveles de apetito de riesgo según las actividades. Por ejemplo, en una industria alimenticia, el apetito de riesgo relacionado con la salud alimentaria es "0", mientras que para implementar nuevos sistemas informáticos o ERP podría ser mayor; y, para abrir nuevos negocios o innovar en las cadenas logísticas, este apetito puede ser aún más alto. Además, variará según los niveles jerárquicos de la organización, como la Gerencia de Logística frente a la Gerencia de Ventas y sus respectivos niveles.
c) Evaluar las alternativas estratégicas: Es crucial asegurar que las decisiones estratégicas contemplen los riesgos involucrados. Este análisis debe realizarse por niveles, garantizando que cada uno esté alineado con la estrategia y los objetivos del nivel superior. Un ejemplo es la planificación en la OTAN, donde los subordinados deben comprender y conocer los objetivos de dos niveles superiores para tomar decisiones informadas y alineadas.
d) Establecer objetivos de negocio alineados con la estrategia: Los objetivos deben ser específicos, medibles, alcanzables, relevantes y temporales (SMART). Es esencial que toda la organización realice una autoevaluación continua para asegurar que las actividades desarrolladas estén alineadas con los objetivos y la estrategia organizacional. Todos los individuos deben tener claro cómo contribuyen a la consecución de estos objetivos, fomentando una cultura organizacional que asegure cohesión y dirección común en los esfuerzos hacia las metas establecidas.
3. Desempeño
Se enfoca en identificar, evaluar y gestionar los riesgos que afectan el logro de objetivos.
a) Identificar riesgos: Reconocer eventos potenciales que podrían impactar la consecución de objetivos. Es importante considerar tanto los riesgos (afectación negativa) como las oportunidades (afectación positiva), que pueden generar un impacto positivo en los objetivos.
b) Evaluar la severidad de los riesgos: Determinar la probabilidad e impacto de los riesgos para priorizar respuestas. Esta evaluación puede realizarse de dos maneras: un análisis cualitativo, que es el primer paso para producir una priorización y determinar cuáles son aquellos riesgos a los que se debe prestar atención primero y más detenidamente, porque son los que pueden causar más daño o mejorar la condición de manera más efectiva, y un análisis cuantitativo para una evaluación más precisa, sobre esos riesgos de interés.
c) Definir estrategias: Enfrentar los riesgos (en el caso de riesgos puros: aceptar, evitar, transferir, mitigar o escalar) para posteriormente proponer planes o acciones concretas que se materializarán en las respuestas.
4. Revisión
Este componente asegura que la gestión de riesgos sea un proceso dinámico y adaptativo.
a) Evaluar el desempeño de la gestión de riesgos: por niveles y de acuerdo con la necesidad de cada organización de monitorear y medir la eficacia de las respuestas para gestionar los riesgos. Al referirme a "por niveles", me refiero a cada nivel dentro de la organización. Aunque puede haber una tentación de imponer plazos específicos, esto debe responder más a la necesidad que a la imposición. A ningún gerente le gusta tener a su jefe impaciente por no contar con información sobre sus riesgos, pero tampoco a nadie le agrada perder tiempo con reuniones o reportes innecesarios, aunque existan organizaciones que parecieran disfrutarlo.
b) Identificar cambios significativos: ajustar las estrategias de gestión de riesgos conforme cambian las circunstancias. No solo las estrategias, sino también los controles o los informes deben ajustarse; en situaciones de crisis se requerirá información de manera más periódica debido al impacto que puede generarse y a la necesidad de cambios rápidos. Esto no es novedoso y está contemplado en cada marco y metodología de gestión empresarial, habiendo sido analizado previamente en el entorno del negocio, aplicable tanto al entorno externo como interno de la organización.
c) Buscar mejoras continuas: revisar regularmente el marco de gestión de riesgos y su implementación. Nuevamente, esto no es un concepto nuevo y está presente en todos los marcos y metodologías de gestión empresarial, tal como se ha visto en el análisis del entorno del negocio y en el punto anterior.
5. Información, Comunicación y Reporte
Este componente destaca la importancia de la calidad de la información para tomar decisiones.
a) Aprovechar la tecnología de la información: Usar herramientas tecnológicas, de IA o computación cuántica que mejoren la gestión de riesgos.
b) Comunicar información relevante sobre riesgos: Asegurar que la información sobre riesgos sea precisa, oportuna y adecuada para los destinatarios. El emisor debe adaptar el mensaje según las necesidades del receptor.
c) Generar reportes efectivos de riesgos: Proveer reportes claros y útiles que apoyen la toma de decisiones.
d) Simplicidad: Valorar la simplicidad en los mensajes y planes. Un mensaje simple es más fácil de entender, ejecutar y corregir. La simplicidad se basa en experiencia y practicidad, y suele ser clave para el éxito. Algo simple tiene más probabilidades de ser exitoso.
6. Alineación con el Valor Organizacional
Este principio global permea todo el marco:
a) Concentrarse en la creación y preservación de valor: Asegurar que la gestión de riesgos contribuya directamente a la generación de valor para la organización y sus stakeholders.
b) La creación de valor es el objetivo más importante de la organización.
c) Si no agrega valor, no es útil. Es importante evitar agregar estructuras y actividades que no contribuyan al valor, ya que pueden convertirse en una carga y causar problemas en su gestión.
Conclusión: Gestionar Riesgos para Crear Valor
El marco COSO ERM proporciona una guía integral para gestionar riesgos a nivel organizacional, pero su éxito depende de cómo se implemente y adapte al contexto de cada organización. Más allá de los controles internos, es importante que las organizaciones adopten un enfoque estratégico que priorice la creación de valor, la eficiencia y la resiliencia.
Las organizaciones y los líderes deben considerar: ¿se están gestionando riesgos para avanzar hacia los objetivos futuros, o simplemente para evitar errores pasados? La respuesta a esta pregunta puede influir en si una organización sobrevive o prospera.
Referencias
1) Committee of Sponsoring Organizations of the Treadway Commission (COSO). Enterprise Risk Management—Integrating with Strategy and Performance. COSO, 2017.
2) Project Management Institute (PMI). A Guide to the Project Management Body of Knowledge (PMBOK® Guide). 7ª edición, 2021.
3) Project Management Institute (PMI). The Standard for Risk Management in Portfolios, Programs, and Projects. 2019.
4) Project Management Institute (PMI). Process Groups: A Practice Guide. Primera edición, 2022.
5) Ley Sarbanes-Oxley (SOX). Ley Pública 107-204, aprobada el 30 de julio de 2002, sobre reformas de la auditoría y la responsabilidad corporativa en Estados Unidos.
