Commi t tee del Patrocinador ing iones organizat de la Comisión Treadway

Enterprise Risk Management

de junio de 2017
 Empresa Administración de riesgos- La integración
con la estrategia y rendimiento

Preguntas frecuentes

Antecedentes del proyecto................................................ .................................................. ....................................... 2

Gestión del proyecto ................................................ .................................................. ...................................... 3

Información adicional sobre los documentos ............................................. .................................................. 3 ...

Las actualizaciones del documento .............................................. .................................................. ............................... 5

Los cambios clave ................................................ .................................................. ................................................. 5

1
 Empresa Administración de riesgos- La integración
con la estrategia y rendimiento

Preguntas frecuentes

antecedentes del proyecto

¿Por qué actualizar el marco integrado de gestión de riesgos de empresa 2004?

En octubre de 2014, el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) anunció un proyecto para revisar y
actualizar el 2004 Marco integrado de gestión de riesgos de la empresa (marco original). los Marco original es ampliamente aceptado y
utilizado por los consejos de administración y para mejorar la capacidad de una organización para gestionar la incertidumbre y el riesgo de
considerar howmuch a aceptar en sus esfuerzos por aumentar el valor de las partes interesadas.

Desde 2004, la complejidad del riesgo ha cambiado, nuevas e importantes riesgos han surgido, y juntas han mejorado su conocimiento y
supervisión de la gestión de riesgos mientras se le pide de mejorar la notificación de riesgos. Las actualizaciones de la Marco original reflejar
conceptos y aplicaciones de gestión de riesgos empresariales actuales y futuras, por lo que las organizaciones de todo el mundo pueden
alcanzar un mejor valor de la gestión de riesgos empresariales. En concreto, se proporciona un mayor conocimiento de la estrategia y el
papel de la gestión del riesgo empresarial en el entorno y la ejecución de la estrategia, mejora la alineación entre el rendimiento de la
organización y la gestión del riesgo empresarial, y acomoda las expectativas de gobierno y supervisión.

¿Qué documentos se actualizan?

el 2004 Enterprise Risk Management-Marco Integrado: Resumen Ejecutivo y Marco original ambos fueron actualizados. El documento
actualizado se titula Empresa Administración de riesgos- La integración con la estrategia y rendimiento. Este documento actualizado consta de
dos secciones. La primera sección ofrece una perspectiva sobre los conceptos y aplicaciones de gestión de riesgos empresariales actuales y
futuras. La segunda sección del documento, el Marco, tiene capacidad para diferentes puntos de vista y las estructuras organizativas, y
aumenta la consideración del riesgo en la selección y ejecución de estrategias y toma de decisiones. Con esta estructura actualizado, el
nuevo documento se conoce como el documento actualizado.

¿Hay ya no se actualice documentos desde 2004?

Sí, el volumen de Técnicas de aplicación que proporcionó ejemplos de técnicas que se utilizan en los distintos niveles de una organización en la aplicación de
los componentes de administración de riesgo de la empresa no fue actualizado como parte de este proyecto.

¿Qué enfoque se COSO utilizando para actualizar el marco original?

El Equipo del Proyecto de PwC, con la supervisión de la Junta COSO, ha considerar cuidadosamente los méritos de comentarios y opiniones
durante todo el proyecto. Para ello, el Equipo del Proyecto de PwC revisado y abrazó de entrada que ayuda en el desarrollo de un documento
relevante, lógica, e internamente consistente en todas las fases del proyecto. Estas fases incluyen:

• Evaluar y Envision - A través de revisiones de la literatura, encuestas globales, mesas redondas públicas y foros, esta fase identificó
retos actuales para organizaciones que implementan la gestión del riesgo empresarial. Durante esta fase, PwC analiza la información,
revisó varias fuentes de entrada, e identificó los problemas y preocupaciones críticas. COSO lanzó una encuesta global, a disposición
del público en general, para proporcionar la entrada en el original Marco de referencia, solicitar casi 900 respuestas.

• Diseño y construcción - PwC, con la supervisión de la Junta COSO, desarrolló el Documento actualizado, que fue examinado por el
Consejo Asesor y observadores COSO para recoger las reacciones y sugerencias.

2
 Empresa Administración de riesgos- La integración
con la estrategia y rendimiento

Preguntas frecuentes

• Exposición pública - Con la asistencia proporcionada por el Consejo Asesor y supervisión de la Junta COSO, PwC prepara proyectos de
norma y un cuestionario en línea para facilitar una revisión por parte del público en general. Un resumen de la retroalimentación de
exposición pública se nota en el volumen Apéndices.

• finalización - PwC analiza todos los comentarios recibidos y refinó los documentos necesarios para las modificaciones. El Consejo
consideró si el COSO Actualización del documento es el sonido, lógico y útil para la gestión de las entidades de todos los tipos y
tamaños. PwC finalizó la Actualización del documento y proporcionar la actualización a la Junta COSO para su revisión y aceptación.

Gestión del proyecto

¿Quién es COSO?

El COSO (COSO) es una iniciativa conjunta de cinco organizaciones del sector privado: La Asociación Americana de Contabilidad (AAA), el
Instituto Americano de Contadores Públicos Certificados (AICPA), Financial Executives International (FEI), el Instituto de Auditores internos
(IIA), y el Instituto de Contadores Administrativos (IMA). COSO proporciona liderazgo a través del desarrollo de marcos y orientación sobre la
gestión del riesgo empresarial, el control interno y la disuasión del fraude.

¿Quién está involucrado con la actualización del marco?

PwC sirvió como el líder y autor del proyecto de actualización de la publicación, prepara los documentos relacionados, e informó al Consejo de
Administración COSO. El Equipo del Proyecto de PwC incluye recursos de alto nivel, muchos de los cuales estaban involucrados en proyectos de
COSO anteriores, que trajeron la comprensión en profundidad del original
Marco de referencia y la justificación de las decisiones tomadas en la creación de la Documento actualizado, así como los recursos de alto nivel adicionales que
proporcionan perspectivas actuales del mercado.

Para capturar vistas de una amplia gama de profesionales en el mercado, COSO formó un Consejo Asesor
en representación de profesionales de la industria, las instituciones académicas, agencias gubernamentales y organizaciones sin ánimo de lucro.

¿En qué medida son los reguladores y otros órganos de supervisión que participan en esta iniciativa?

Deposit Insurance Corporation Federal de Estados Unidos (FDIC), AccountabilityOffice gobierno de Estados Unidos (GAO), Federación
Internacional de Contadores (IFAC), Sistemas de Información de Auditoría y controles Association (ISACA), y la Sociedad de Gestión de Riesgos
(RIMS) han enviado observadores para asistir al Asesor reuniones del Consejo y proporcionan información al proyecto.

Información adicional sobre los documentos

Es la adopción del Marco obligatoria?

No, el directorio de COSO reconoce que hay muchos, los requisitos de las partes interesadas, y de la industria de regulación diferentes
relacionadas con la gestión del riesgo empresarial. Por lo tanto, es responsabilidad de la gestión para determinar si y cómo adoptar Gestión de
Riesgo-Integración de la empresa con la estrategia y rendimiento
para mejorar la capacidad de la entidad para crear, mantener y realizar el valor.

3
 Empresa Administración de riesgos- La integración
con la estrategia y rendimiento

Preguntas frecuentes

Se ha escrito la actualización para una regulación específica u órgano regulador?

No, el directorio de COSO cree que hay diferentes expectativas de regulación y las partes interesadas relacionadas con la gestión de riesgos
empresariales y dirigió el del marco original principios sean aplicables a todas las entidades, independientemente de las leyes, regulaciones y
normas.

¿Cómo funciona el marco actualizado se refieren a 2013 Marco de Control Interno Integrado de COSO?

El control interno se coloca dentro de la Actualización del documento como un aspecto fundamental de la gestión del riesgo empresarial. Los
dos documentos COSO se complementan entre sí, ni con que reemplaza la otra. El documento actualizado se centrará en las áreas
requeridas que van más allá del control interno; sin embargo, el
Marco Integrado de Control Interno sigue siendo un marco viable y conveniente para el diseño, la implementación y la realización y la
evaluación de la efectividad del control interno y de informar, como se requiere en algunas jurisdicciones.

¿Puedo seguir utilizando el Marco de Gestión Integrada-2004 Enterprise riesgo?

Si. Desde la aprobación de la UpdatedDocument No es obligatorio, maycontinue gestión para utilizar el Marco original. Sin embargo, COSO se
reserva el derecho de reemplazar o retirar el 2004 marco integrado de gestión de riesgos para empresas en el futuro.

¿A qué entidades se Enterprise Risk Management-La integración con la estrategia y rendimiento aplicable a?

los Gestión de Riesgo-Integración de la empresa con la estrategia y rendimiento principios se aplican a todas las entidades, incluyendo sin fines de lucro y
organismos gubernamentales, independientemente de size.While algunas entidades pequeñas y medianas de tamaño pueden aplicar los principios de la gestión
de riesgos de la empresa de manera diferente a las grandes entidades, que siguen siendo aplicables a cada tipo de entidad.

¿Quién es la audiencia prevista para el documento actualizado?

Gestión de Riesgo-Integración de la empresa con la estrategia y rendimiento fue elaborado para una audiencia diversa dependiendo de sus
funciones de gestión de riesgo de la empresa y las responsabilidades. El resumen fue redactado por un nivel de placa y la audiencia dirección
ejecutiva con la intención de resumir la importancia y beneficios de la gestión de riesgos empresariales. En concreto, se destaca gobierno y
supervisión papel de la junta que se refiere a la gestión del riesgo empresarial. También proporciona una sinopsis de los componentes y
principios de la Marco original.

los Marco original está destinado a ayudar a los profesionales de riesgo, líderes empresariales y proveedores de verificación, ofreciendo una
discusión completa de los componentes y principios del Marco de ajuste de la estrategia hasta la ejecución. Estos son compatibles con
anexos detallados que proporcionan ejemplos y conocimientos adicionales sobre las prácticas de gestión del riesgo empresarial desarrollo y
mantenimiento que son aptos para el propósito.

4
 Empresa Administración de riesgos- La integración
con la estrategia y rendimiento

Preguntas frecuentes

Las actualizaciones del documento

¿Por qué cambiar el título?

El nuevo título - Gestión de Riesgo-Integración de la empresa con la estrategia y rendimiento, reconoce la importancia de la conexión entre la
estrategia y la entidad performancewith gestión del riesgo empresarial.

¿Dónde está el “cubo COSO”?

El gráfico “cubo COSO” todavía se está utilizando en el COSO Marco Integrado de Control Interno. Con el fin de ilustrar mejor la alineación de
riesgo, la estrategia y el rendimiento Empresa Administración de riesgos- La integración con la estrategia y rendimiento introduce una nueva
serie de gráficos.

Fue el documento puesto a disposición para la retroalimentación antes de ser finalizada?

Al igual que en anteriores actualizaciones marco COSO, se puso a disposición para comentarios del público antes de la finalización del proyecto
de Marco. El período de comentarios públicos fue una etapa importante del proyecto, destinado a reunir la conciencia y el compromiso mundial,
así como recabar información directa sobre el documento durante el proceso de redacción. se llevó a cabo el periodo de comentario público
durante tres meses entre junio y septiembre de 2016. Se invitó a los miembros del público para leer los documentos y, o bien enviar cartas de
comentarios o completar una breve encuesta en línea.

Las cartas de comentarios recibidos durante el período se publicaron en www.coso.org durante la duración del período de comentarios públicos y
90 días a partir de entonces. Tras la conclusión del período de comentarios públicos, cada comentario recibido fue catalogado y evaluado por el
Equipo del Proyecto de PwC.

Durante comentario público, el proyecto de Marco fue descargado unas 10.000 veces con 46% de las descargas que se producen fuera de
América del Norte. Los comentarios recibidos abordan todos los aspectos del documento sin tipo de entidad (pública, privada, sin fines de
lucro) o grupo de la industria que domina las votaciones. Un resumen de las votaciones se proporciona en el Apéndice B del Volumen 2.

Los cambios clave

los Actualización del documento incorpora cambios significativos para reflejar la evolución del pensamiento y las prácticas de gestión del riesgo
empresarial, y para una mayor claridad en los conceptos introducidos en 2004. Algunos de los cambios más importantes se describen a
continuación. Tenga en cuenta que los cambios no han sido enumerados en orden de prioridad. los Documento de actualización:

• Adopta una estructura de componentes y principios

• Simplifica la definición de gestión del riesgo empresarial

• Hace hincapié en la relación entre el riesgo y el valor

• Renueva el foco en la integración de la gestión del riesgo empresarial

• Examina el papel de la cultura

• Eleva la discusión de la estrategia

• Mejora la alineación entre el rendimiento y la gestión del riesgo empresarial

• Enlaces gestión del riesgo empresarial en la toma de decisiones de manera más explícita

5
 Empresa Administración de riesgos- La integración
con la estrategia y rendimiento

Preguntas frecuentes

• Delinea entre la gestión del riesgo institucional y de control interno

• Refina el apetito de riesgo y la tolerancia Estos se

analizan a continuación cada uno.

1. Adopta una estructura de componentes y principios

Al igual que en otros marcos de COSO, el Actualización del documento se ha estructurado utilizando componentes y principios. Los cinco
componentes interrelacionados Framework son compatibles con veinte principios que cubren temas que van desde la gobernabilidad y la cultura, la
estrategia y el establecimiento de objetivos, funcionamiento, evaluación y revisión, y la información, la comunicación y la presentación de informes.
Cada uno de los principios representan un concepto fundamental asociado con un componente, son universales en su aplicación, y forman parte de la
gestión del riesgo empresarial.

gráfico principal del marco esboza la relación entre los componentes y principios y sirve como una herramienta de navegación en todo el
documento. El gráfico se utiliza para mejorar la legibilidad del documento, facilidad de uso, y crea una cohesión a través del marco.

2. Simplifica la definición de gestión del riesgo empresarial

La definición de la gestión de riesgos de la empresa en el Actualización del documento fue revisado para que sea más fácil de recordar y fácil de
leer. La retroalimentación de la encuesta realizada en el Evaluar y Envision fase sugirió que mientras que la versión de 2004 fue relativamente fácil
para los de las funciones de gestión de riesgos de entender, su claridad era menos evidente para los que están fuera de una función de riesgo. La
revisión de la definición se pretende mejorar la claridad para todos los usuarios.

La versión revisada requiere que el lector debe tener en cuenta la definición completa de las palabras específicas utilizadas en la definición. Por
ejemplo, la definición de las relaciones de riesgo para el logro de la estrategia y objetivos. Si bien la definición de la gestión de riesgos de la empresa
no hace referencia directamente a la estrategia y objetivos, que se incorpora a través de la definición de riesgo.

Por último, la definición actualizada alinea más de cerca el riesgo de valor, que se observa como un factor clave de la empresa de gestión del
riesgo.

3. Hace hincapié en la relación entre el riesgo y el valor

En el perfeccionamiento de la definición de riesgo y la elevación de las discusiones de estrategia y rendimiento, el Actualización del documento enfatiza
el papel de la gestión del riesgo empresarial en la creación, la preservación y obtención de valor. la gestión de riesgos de la empresa ya no se centra
principalmente en la prevención de la erosión del valor y minimizar el riesgo a un nivel aceptable. Más bien, se considera como parte integral de la
estrategia de ajuste y la identificación de oportunidades para crear y mantener el valor. En lugar de centrarse simplemente en reducir el riesgo a un
estado objetivo, la gestión de riesgos de la empresa se convierte en una parte dinámica e integral de la gestión de una entidad a lo largo de la cadena
de valor.

4. Renueva el foco en la integración de la gestión del riesgo empresarial

La integración de la gestión de riesgos de la empresa en todos los aspectos de las operaciones de una organización se pone de relieve en
todo el Documento actualizado. A partir de la integración de la gestión de riesgos de la empresa en el proceso de la estrategia de fijación, la
fijación de objetivos de negocio y la gestión del riesgo en la ejecución, la consideración de riesgo no se posiciona como una actividad
adicional o separada. Más bien, la importancia y el papel de la gestión del riesgo empresarial se presenta a través de la lente de apoyo a las
operaciones de una organización, la gestión del rendimiento y, finalmente, la creación, la realización y la preservación

6
 Empresa Administración de riesgos- La integración
con la estrategia y rendimiento

Preguntas frecuentes

valor. Como un ejemplo, la UpdatedDocument no se refiere a la presentación de informes de riesgo, pero en cambio en la presentación de
manifestaciones potenciales o reales de su comportamiento de riesgo que afectan y el logro de objetivos de la estrategia y de negocios. Esta UpdatedDocument
anima a los usuarios a considerar la empresa de gestión del riesgo como parte de la gestión de una organización en contraposición a una actividad
distinta o silos.

5. Examina el papel de la cultura

La importancia de la influencia de la cultura en las prácticas de gestión de riesgos de la empresa es uno de los primeros conceptos
introducidos dentro de la Documento actualizado. La importancia de la comprensión y la conformación de la cultura se analiza en el contexto
de la gestión de riesgos y la supervisión de la entidad y cómo influye en otros componentes del Marco. Por ejemplo, la relación entre la
cultura y el contexto empresarial se establece desde el principio del Marco. Esta relación influye en cómo se eligen y ejecutan estrategias.
Más importante, proporciona el contexto para la identificación y evaluación de riesgos y la asignación de recursos para responder a esos
riesgos.

6. Eleva la discusión de la estrategia

los Actualización del documento reconoce que algunas de las fallas organizativas más importantes en los últimos tiempos se han producido
cuando se selecciona una estrategia que no se alinea con los valores de la misión, la visión y el núcleo de una entidad. Además, si se establece
que esa alineación, muchas organizaciones todavía no entienden las implicaciones de una estrategia seleccionada en su perfil de riesgo. Por
otra parte, muchas organizaciones están simplemente tomados por sorpresa cuando seeminglyminor fracasos a nivel operativo aumentan en
magnitud y amenazan la viabilidad a largo plazo de una entidad. los Actualización del documento eleva y se expande la discusión de la estrategia
y de riesgo establecida en 2004, centrándose en los tres conceptos siguientes:

• La posibilidad de objetivos de la estrategia de negocio y no alineadas con la misión, visión y valores;

• Las implicaciones de la estrategia elegida; y

• Riesgo para la ejecución de la estrategia.

Al distinguir las tres manifestaciones potenciales de riesgo que afectan la estrategia, la Actualización del documento
proporciona un análisis más detallado y el reconocimiento del papel y la importancia de la gestión del riesgo empresarial. Los conceptos se
examinan progresivamente a lo largo del documento, la exploración de las consideraciones para la identificación, evaluación y gestión del
riesgo y el impacto de la estrategia para cada uno.

7. Mejora la alineación entre el rendimiento y la gestión del riesgo empresarial

Tal como se indica por su nuevo título, el Actualización del documento mejora la relación entre el riesgo y el rendimiento. Se centra en cómo
el riesgo es esencial para el establecimiento de objetivos de negocio y objetivos de rendimiento a través de lo siguiente:

• los Actualización del documento explora cómo las prácticas de gestión de riesgos empresariales apoyan la identificación y evaluación de
los riesgos que pueden afectar al rendimiento.

• Mediante la determinación de la tolerancia aceptable, Actualización del documento los usuarios son capaces de entender cómo los cambios en el
rendimiento pueden conducir a cambios en el perfil de riesgo de un objetivo de negocio y viceversa.

• los Actualización del documento hace hincapié en que las evaluaciones de riesgos e informes de riesgo no están destinados a generar una larga lista de
riesgos potenciales, sino que pone de relieve cómo los riesgos pueden afectar el logro de

7
 Empresa Administración de riesgos- La integración
con la estrategia y rendimiento

Preguntas frecuentes

estrategia y los objetivos de negocio.

Para poner de relieve la importancia de esta relación, el Actualización del documento introduce una nueva representación gráfica se conoce como un
perfil de riesgo. Los perfiles de riesgo demuestran cómo el tipo y la gravedad del riesgo pueden cambiar en respuesta a los cambios en el nivel de
rendimiento para una estrategia dada u objetivo de negocio. La representación también tiene en cuenta el apetito de riesgo de la entidad y ayuda a
identificar cuando una organización puede suponer un riesgo excesivo o ser capaz de continuar sus oportunidades. Mediante la incorporación de los
conceptos de apetito por el riesgo, el rendimiento y el riesgo en un único gráfico, los perfiles de riesgo ofrecen una visión dinámica e integral del riesgo
y permiten la toma de decisiones más consciente de los riesgos.

8. Enlaces gestión del riesgo empresarial en la toma de decisiones de manera más explícita

Todas las organizaciones reconocen que la toma de decisiones se produce en todas las etapas de la cadena de valor. Como entidades buscan
crear, realizar y preservar el valor, las decisiones se toman en torno a la selección de la estrategia, el establecimiento de objetivos de negocio y
objetivos de rendimiento, y la asignación de recursos. La integración de la gestión de riesgos de la empresa en el ciclo de vida de una entidad
apoya consciente de los riesgos de toma de decisiones. los Actualización del documento explora progresivamente cómo la información recopilada
sobre el perfil de riesgo de la organización mejora la toma de decisiones en general. Esta información incluye la comprensión de la gravedad y el
tipo de riesgo, la influencia del contexto empresarial, la comprensión de los supuestos que sustentan la identificación y evaluación de riesgos, y
la cultura de riesgo de la entidad y el apetito.

9. delinea entre la gestión del riesgo institucional y de control interno

los Actualización del documento no sustituye ni reemplaza, el 2013 Control Interno-Marco Integrado. Los dos marcos son distintos pero
complementarios. Quienes están familiarizados con Marco Integrado de Control Interno se nota que ambos marcos utilizan una estructura de
componentes y principios, sin embargo, estos se adaptan a cada uno.

Para evitar la redundancia, algunos aspectos de control interno comunes a ambos no se repiten en el Documento actualizado. Quizás el más
prominente de ellos es las actividades de control. Sin embargo, algunos aspectos introducidos en Marco Integrado de Control Interno tales como los
aspectos de gobernabilidad de la gestión de riesgos de la empresa se desarrollan más adelante en este documento de gestión del riesgo empresarial.

10. Afina tolerancia apetito de riesgo

los Actualización del documento refina los conceptos de apetito de riesgo y la tolerancia (a veces conocido como tolerancia al riesgo). El apetito de
riesgo sigue siendo definida como la cantidad de riesgo que una entidad está dispuesto a aceptar en la consecución de sus objetivos estratégicos y
de negocios. La tolerancia es, sin embargo, ahora articula mediante el lenguaje de rendimiento y no es representativo de una versión más granular
o detallada del apetito por el riesgo. En los perfiles de riesgo, esta relación está representada por la intersección perpendicular de la apetito de
riesgo y líneas de rendimiento.

Al refinar la definición de la tolerancia, la atención se centra en la determinación de la cantidad de riesgo que es aceptable para un
determinado nivel de rendimiento. Las organizaciones son capaces de articular los límites de riesgo aceptable en el contexto de rendimiento.
La determinación de esos límites permite a la organización evaluar mejor si el cambio de niveles de rendimiento se mantienen dentro de los
límites de variación aceptable. Ya no son ya sea de riesgo o rendimiento considerado estático y por separado, sino que cambia
constantemente y que influyen entre sí.