El Instituto de Auditores Internos acaba de presentar la versión española de la guía “Gestión del Riesgo Empresarial. Aplicar la gestión del riesgo empresarial a los riesgos ambientales, sociales y de gobierno corporativo”, publicada por el WBCSD (World Business Council for Sustainable Development) y COSO (Committee of Sponsoring Organizations of the Treadway Commission).

El documento tiene cinco capítulos que replican los cinco elementos del marco de gestión del riesgo empresarial de COSO comenzando con Gobierno y Cultura, y Estrategia y Establecimiento de Objetivos, para pasar al proceso de gestión del riesgo empresarial con la vista puesta en el Desempeño (identificación, evaluación y priorización, y respuesta a los riesgos ESG) y terminar con la Revisión y Monitorización, y la Información, Comunicación y Reporte de los riesgos ESG.

Gobierno y cultura

• Identificar o definir los requisitos sobre riesgos ESG voluntarios o de obligado cumplimiento de la organización.
• Considerar oportunidades para integrar los riesgos ESG en la cultura y los valores idiosincráticos de la entidad.
• Saber cómo incrementar la conciencia del consejo de administración en torno a los riesgos ESG.
• Identificar las estructuras funcionales, los responsables de los riesgos ESG, las líneas de comunicación y la completa gestión del riesgo empresarial, además del proceso de planificación del riesgo empresarial, para identificar qué áreas necesitan mejoras y más colaboración.
• Crear oportunidades de colaboración en toda la organización.
• Competencias, capacidades y conocimiento en materia ESG de la gestión de la contratación y talentos para fomentar la integración.

Estrategia y establecimiento de objetivos

• Examinar el proceso de creación de valor y el modelo de negocio para comprender los efectos y las dependencias de todos los capitales a corto, medio y largo plazo. Para conseguir este nivel de comprensión se realizarán:

1. análisis de megatendencias para comprender el impacto de los problemas que surjan en el entorno externo;
2. análisis de los puntos fuertes, de las debilidades, las oportunidades y las amenazas (SWOT, por sus siglas en inglés);
3. identificación de los efectos y las dependencias sobre todos los tipos de capital;
4. una evaluación de la materialidad de los riesgos ESG para describir problemas de entidad;
5. compromiso con partes interesadas internas y externas para comprender las tendencias en ESG emergentes;
6. análisis de cómo aprovechar los recursos específicos en materia de ESG.

• En todo el proceso de gestión del riesgo, que haya una alineación con la estrategia, los objetivos y la tendencia al riesgo de la entidad.
• Considerar los riesgos ESG que afectarán a la estrategia o los objetivos de la entidad.

Desempeño: identificar el riesgo, evaluarlo y priorizar y responder

• Examinar el inventario de riesgos de la entidad para determinar qué riesgos ESG han sido o no identificados.
• Hacer que los responsables de riesgos ESG y los especialistas en sostenibilidad participen en el proceso de identificación de riesgos para aprovechar su experiencia en esta materia.
• Concertar reuniones con el equipo de gestión de riesgos y con especialistas en sostenibilidad para comprender qué son los riesgos ESG.
• Determinar qué riesgos ESG podrían afectar a los planes funcionales y estratégicos de la organización.
• Definir con precisión el efecto de los riesgos ESG sobre la organización.
• Utilizar análisis de causa raíz para saber qué impulsa a los riesgos.
• Comprender el resultado de la evaluación de riesgos (p.ej., el impacto en términos de estrategia y objetivos del negocio).
• Comprender los criterios de la entidad para priorizar los riesgos.
• Comprender los valores empleados por la entidad para expresar el riesgo (esto es, cuantitativos o cualitativos).
• Seleccionar planteamientos de evaluación que sean adecuados para evaluar la gravedad de los riesgos.
• Seleccionar y documentar los datos, los parámetros y las asunciones.
• Aprovechar la experiencia que se tenga para priorizar los riesgos ESG.
• Identificar y cuestionar el sesgo de la organización frente a las cuestiones ESG.
• Seleccionar una respuesta al riesgo adecuada en función de los factores específicos de la entidad (p.ej., costes y beneficios, y tendencia al riesgo).
• Desarrollar el caso del negocio que corresponda a la respuesta y conseguir la aceptación.
• Aplicar la respuesta al riesgo para gestionar el riesgo de la entidad.
• Evaluar las respuestas al riesgo de la entidad para comprender los efectos generales sobre el perfil de riesgo de la entidad.

Revisión y monitorización:

• Identificar y evaluar los cambios internos y externos que pudiesen afectar de manera sustancial a la estrategia y los objetivos del negocio.
• Revisar las actividades de gestión del riesgo empresarial para identificar sus procesos y capacidades.
• Perseguir mejoras de cómo la gestión del riesgo empresarial aborda los riesgos ESG.

Información, comunicación y reporte

• Identificar los canales de comunicación e información relevantes para reportar tanto interna como externamente.
• -Comunicar y reportar la información sobre los riesgos ESG internamente para la toma de decisiones.
• -Comunicar y reportar la información sobre los riesgos ESG externamente para cumplir las obligaciones reglamentarias y respaldar la toma de decisiones de las partes interesadas.
• -Detectar continuamente oportunidades para mejorar la calidad de los datos sobre los riesgos ESG tanto a nivel externo como interno.