Beneficios de la ISO 31000 en la Gestin de Riesgos y su Aseguramiento

Ricardo Correa F.- CIA, CGAP, CCSA, CRMA, CFE Daniella Caldana F.- CIA, CGAP, CCSA, CRMA, CFE Leonardo Olea C.- CGAP, CRMA, CICA, CFE
Grupo de Investigacin en Gobierno Corporativo y Auditora Interna

Ricardo Correa Fuenzalida

Contador Pblico y Auditor, Ingeniero Comercial y Magster en Contabilidad y Auditora de Gestin de la Universidad de Santiago de Chile. Certificaciones: CIA, CGAP, CCSA, CRMA del Theiia, y CFE de la ACFE. Ha sido responsable de la direccin de auditora interna en diversas instituciones del sector privado y pblico en Chile. Ha realizado asesoras BID en materia de auditora interna gubernamental en diversos pases de Sudamrica. Ha sido instructor para la Certificacin CGAP en diversos pases de Sudamrica. Ex - Director del Instituto de Auditores Internos - Captulo de Chile. Actual Secretario General de la Comisin de Auditora Interna y de Gestin del Colegio de Contadores de Chile. Ha sido acadmico en temas de su competencia en la Universidad de Santiago de Chile, Universidad Alberto Hurtado, Universidad Diego Portales y Universidad de Chile. Expositor permanente en talleres, seminarios y congresos nacionales e internacionales.

Acadmico e Investigador

Grupo de Investigacin en Gobierno Corporativo y Auditora Interna

Introduccin
Esta presentacin est dirigida principalmente a auditores internos y auditores externos del sector privado y pblico, encargados de riesgos, miembros de comits de auditora y comits de riesgos, as como a directivos y ejecutivos de reas operacionales. Entre los beneficios que obtendr la audiencia se encuentra conocer cmo la Norma ISO 31000 puede ayudar en la gestin de riesgos y en la potencial adopcin de estrategias y enfoques basados en la estructura y terminologa de la Norma ISO 31000 - recomendados por el THEIIA - para dar aseguramiento a la gestin de riesgos en la organizacin. La principal motivacin para esta presentacin es entregar un aporte frente a la escasa uniformidad que presentan en la prctica los enfoques para aseguramiento de la gestin de riesgos en los pases latinoamericanos.

Agenda
Conceptos sobre Gestin de Riesgos Marcos (Framework) para la Gestin de Riesgos Auditora Interna y Gestin de Riesgos ISO 31000: Gestin de Riesgos Principios y Directrices Algunos Beneficios de la Utilizacin de ISO 31000, ISO 31010, ISO 73 Aseguramiento de la Gestin de Riesgos Formulacin de una Estrategia para Aseguramiento de la Gestin de Riesgos ISO 31000 Enfoques para Aseguramiento de la Gestin de Riesgos ISO 31000 Conclusiones

Riesgos en las Organizaciones

Conceptos Relacionados
Gobierno Corporativo Riesgo Inherente y Residual Incumplimiento de Objetivos Probabilidad e Impacto Control Interno, Control Clave Evento Exposicin Apetito y Tolerancia al Riesgo Retornos y Recompensas etc, etc, etc.
Fuente: Risk Appetite and Risk Tolerance The Institute of Risk Management

Vale Ms Una Palabras

Imagen

Que

Mil

Gestin de Riesgos Corporativos

Definiciones Relevantes Un proceso para identificar, evaluar, manejar y controlar acontecimientos o situaciones potenciales, con el fin de proporcionar un aseguramiento razonable respecto del alcance de los objetivos de la organizacin (1) Un proceso efectuado por el consejo de administracin de una entidad, su direccin y restante personal, aplicable a la definicin de estrategias en toda la empresa y diseado para identificar eventos potenciales que puedan afectar a la organizacin, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos (2)
(1) IPPF - THEIIA (2) COSO ERM

Marcos Conceptuales Para la Gestin de Riesgos

Un Marco (Framework) constituye un conjunto estandarizado de conceptos, prcticas y criterios para enfocar un tipo de problemtica particular, que sirve como referencia para enfrentar y resolver nuevos problemas de ndole similar. Algunas organizaciones que para la gestin de riesgos: han emitido marcos

Committee of Sponsoring Organizations of the Treadway Commission (COSO) The International Organization for Standardization (ISO) The Information Systems Audit and Control Association (ISACA) The Risk Management Society (RIMS) Federation of European Risk Management Associations (FERMA) Open Compliance and Ethics Group (OCGE)

Auditora Interna y Gestin de Riesgos - Theiia

La definicin de Auditora Interna declara el propsito fundamental, naturaleza y alcance de nuestra Profesin:

d es una activida a rn te In a r o de La Audit jetiva b o y independiente , concebida a lt su n o c y aseguramiento mejorar las y r lo a v r para agrega izacin. Ayuda n a rg o a n u e d operaciones mplir sus u c a n i c a iz a una organ enfoque n u o d n a rt apo objetivos ara evaluar y p o d a n li ip c is d sistemtico y procesos de s lo e d ia c a c fi mejorar la e y gobierno (1) l o tr n o c s, o sg e gestin de ri

(1) Fuente: Theiia

Auditora Interna y Gestin de Riesgos - Theiia

Norma 2120 Gestin de Riesgos del MIPP, Theiia 1.- Consejos para la Prctica Relacionados con Riesgos 2010-1: Enlace del Plan de Auditora con los Riesgos y Exposiciones 2010-2: Uso del Proceso de Gestin de Riesgos en el Plan de Auditora Interna 2020-1: Comunicacin y Aprobacin 2050-2: Mapas de Aseguramiento 2060-1: Informe a la Alta Direccin y al Consejo 2120-1: Evaluar la Adecuacin de los Procesos de Gestin de Riesgos 2120-2: Gestin de Riesgos de la Actividad de Auditora Interna 2130-1: Evaluar la Adecuacin de los Procesos de Control 2.- Documento Conjunto sobre la Gestin de Riesgos del IIA y RIMS Gestin de Riesgos y Auditora Interna: Forjando una Alianza de Colaboracin 3.- Declaracin de Posicin relacionadas con Gestin de Riesgos El rol de la auditora interna en relacin con la gestin de riesgos para toda la empresa 4.- Guas para la Prctica relacionadas con Riesgos Evaluar la Adecuacin de la Gestin de Riesgos Coordinando Gestin y Aseguramiento del riesgo GAIT Para Negocios y Riesgo de TI GTAG 6: Gestionando y Auditando Vulnerabilidades de TI GTAG 10: Gestin de la Continuidad de Negocios

Auditora Interna y Gestin de Riesgos

Algunas Reflexiones Preliminares: La gestin de riesgos y su aseguramiento es esencial para la auditora interna El MIPP es obligatorio, amplio y complejo en materia de gestin de riesgos y su aseguramiento: Muchos temas, diversa normativa y guas tcnicas Muchas obligaciones y restricciones Diversos marcos (framework) posibles de usar para la gestin de riesgos Falta compartir experiencias exitosas y no tanto

Revisemos qu es y cmo nos puede ayudar la ISO 31000:2009

ISO 31000: Gestin de Riesgos Principios y Directrices

ISO 31000: Gestin de Riesgos Principios y Directrices

Tiene su origen en el Estndar AS/NZS 4360, enfoque de procesos y est basada en el Ciclo Deming (PHVA). No exige certificacin Proporciona directrices sobre cmo establecer y mantener un marco de gestin de riesgos que puede ser adoptado por cualquier tipo de organizacin, gama de actividades, estrategias, procesos, funciones, proyectos, productos, servicios , activos, etc. Proporciona un enfoque comn en favor de otras normativas que tratan sobre riesgos especficos y/o sectores, y no las sustituye Normas relacionadas: ISO 31010, ISO 73 e ISO 31004 (en desarrollo). ISO 27005:2011, BS 31100

ISO 31000: Gestin de Riesgos Principios y Directrices

Principios de la Gestin de Riesgos
1.- Crea Valor y lo Protege 2.- Est Integrada en los Procesos de la Organizacin 3.- Forma decisiones parte de la toma de la Diseo del Marco de Gestin de Riesgos Compromiso de la Direccin Establecer el Contexto Evaluacin de Riesgos

Marco de Trabajo para la Gestin de Riesgos

Proceso de Gestin de Riesgos

Comunicacin y Consulta

4.Trata incertidumbre

explcitamente

5.- Es sistemtica, estructurada y adecuada 6.- Est basada en informacin disponible 7.- Est hecha a medida 8.- Tiene en cuenta factores humanos y culturales 9- Es transparente e inclusiva 10.- Es dinmica, iterativa y sensible al cambio 11.- Facilita la mejora continua en la organizacin la mejor Mejoramiento Continuo del Marco

Identificar Riesgos

Monitoreo y Revisin

Analizar Riesgos

Implementacin de la Gestin del Riesgo

Evaluar Riesgos

Monitoreo y Revisin del Marco

Tratar los Riesgos

Clusula 3

Clusula 4

Clusula 5

ISO 31000: Gestin de Riesgos Principios y Directrices

Principios de Gestin del Riesgo
Relacionados con Gobierno, Organizacin y Gestin, e Implementacin

1.- Crea Valor y lo Protege 2.- Est Integrada Organizacin en los Procesos de la

Gobierno 1, 3, 4 y 9

3.- Forma parte de la toma de decisiones 4.- Trata explcitamente la incertidumbre 5.- Es sistemtica, estructurada y adecuada 6.- Est basada en la mejor informacin disponible 7.- Est hecha a medida 8.- Tiene en cuenta factores humanos y culturales

Organizacin y Gestin 2, 8, 10 y 11

Implementacin 5, 6, 7 y 10

9- Es transparente e inclusiva 10.- Es dinmica, iterativa y sensible al cambio 11.- Facilita la mejora continua en la organizacin

ISO 31000: Gestin de Riesgos Principios y Directrices

Marco de Trabajo para la Gestin del Riesgo
El objetivo del marco es estructurar las actividades para la implementacin y mejora continua del proceso de gestin de riesgo
Compromiso firme y sostenido por la direccin de la organizacin, as como una planificacin estratgica y rigurosa para lograr el compromiso de todos los niveles Comprensin de la organizacin y su contexto Establecimiento de la poltica de gestin de riesgos Rendicin de cuentas y recursos Integracin en los procesos de la organizacin Establecimiento de la comunicacin interna y externa, y mecanismos de informacin

Compromiso de la Direccin

Diseo del Marco de Gestin de Riesgos

Mejora continua del marco, poltica y plan de riesgos

Mejoramiento Continuo del Marco

Implementacin de la Gestin del Riesgo

Medir con indicadores Revisar desviaciones Reportar efectividad

Monitoreo y Revisin del Marco

Implementar el marco de gestin de riesgos Implementar el proceso de gestin de riesgos

ISO 31000: Gestin de Riesgos Principios y Directrices

Proceso de Gestin de Riesgos
Establecer los criterios bsicos y el entorno de la organizacin en que la gestin de riesgos debe integrarse Comunicacin y consulta con las partes externas e internas en todas las fases del proceso
Comunicacin y Consulta
Establecer el Contexto Evaluacin de Riesgos Identificar Riesgos

Identificar las fuentes de riesgo, reas de impactos, eventos; sus causas y sus posibles consecuencias
Monitoreo y Revisin

Comprender cmo se desarrolla el riesgo. Medir consecuencias y probabilidades

Analizar Riesgos

Determinar las prioridades en el tratamiento y los recursos a utilizar. Comparar con riesgo aceptado Elegir entre las diferentes opciones para tratar los riesgos

Evaluar Riesgos

Monitoreo y revisin de las actividades en forma continua, peridica e independiente en todas las fases del proceso

Tratar los Riesgos

ISO 31000 - ISO 31010 - ISO 73. Gestin de Riesgos Algunos beneficios de su utilizacin
Marco Genrico para Gestin de Riesgos en Sector Privado y Pblico ISO 31000:2009

Marco para Aseguramiento de la Gestin de Riesgos en Sector Privado y Pblico ISO 31000:2009

Herramientas para Identificar, Analizar y Evaluar Riesgos - ISO 31010:2009

Herramienta para Evaluar y Gestionar el Riesgo de Fraude ISO 31000:2009

ISO 31000 - ISO 31010 - ISO 73. Gestin de Riesgos Algunos beneficios de su utilizacin
Diccionario de Riesgos - ISO 73:2009

Herramientas para Analizar Causas de un Hallazgo de Auditora - ISO 31010:2009

Marco para Gestin de Riesgos en Controles de Tecnologa ISO 27005:2011

Permite Efectiva Estandarizacin para Usar con XBRL - ISO 31000:2009

ISO 31000 - ISO 31010 - ISO 73. Gestin de Riesgos

+
A gr e g a c I n d e V a l o r a G R C

Agregacin de Valor en GRC

GRC: Gobierno, Gestin de Riesgos y Cumplimiento

Nivel de Madurez en la Aplicacin de ISO 31000, ISO 31010, ISO 73

FORMULACIN DE UNA ESTRATEGIA PARA ASEGURAMIENTO DE LA GESTIN DE RIESGOS BASADA EN ISO 31000:2009

Auditora Interna y Gestin de Riesgos - Theiia

Declaracin de Posicin del THEIIA: El Rol de la Auditora Interna en Relacin con la Gestin de Riesgos para toda la Empresa

Aseguramiento de la Gestin de Riesgos

Un examen objetivo de evidencias con el propsito de proveer una evaluacin independiente del proceso de gestin de riesgos de una organizacin y proporcionar una seguridad razonable a la alta direccin y al consejo que el programa de gestin de riesgos est efectivamente diseado, documentado y operando para lograr sus objetivos (1) Tres Categoras Principales Aseguramiento del proceso de gestin de riesgos Aseguramiento de los riesgos relevantes y las afirmaciones de la direccin Monitoreo y seguimiento del estado de avance del plan de tratamiento de riesgos
(1) Gua Prctica. Assessing the Adequacy of Risk Management Using ISO 31000

Fuentes para Criterios Tcnicos en el Aseguramiento de la Gestin de Riesgos

Estrategia para Aseguramiento de la Gestin de Riesgos Pasos Generales Recomendados

: Identificar las necesidades de aseguramiento de la organizacin Incluir trabajos en el plan anual de auditora : Identificar quines son los proveedores de aseguramiento y sus mbitos de accin y operacin : Identificar y documentar los mecanismos de aseguramiento. Analizar y definir enfoque : Disear el programa de trabajo para la auditora de aseguramiento. Desarrollar y explicitar enfoque : Obtener evidencia de auditora : Comunicar los resultados : Medicin y evaluacin de la estrategia de aseguramiento
Riesgo

ENFOQUES PARA ASEGURAMIENTO DE LA GESTIN DE RIESGOS BASADOS EN ISO 31000

1. ELEMENTOS

Riesgo
CONTROLES 2. PRINCIPIOS

TRATAMIENTO

3. MADUREZ

Documento Enfoques de Aseguramiento el Proceso de Gestin de Riesgos Basados en ISO 31000:2009

Solicitar una copia en PDF gratis a: investigagrc@gmail.com

Enfoques de Aseguramiento: Elementos del Proceso

Este enfoque comprueba si cada elemento del proceso de gestin de riesgos segn ISO 31000 existe y es adecuado Es esencial para validar las declaraciones de intencin de la direccin a travs de evidencia de auditora suficiente para justificar que el elemento est siendo cumplido en la prctica
Tratam ie de Rie nto sgos

Riesgo

Anlisis de Riesgos

Enfoques de Aseguramiento: Principios Claves

Este enfoque se basa en el concepto de que para ser plenamente eficaz, cualquier proceso de gestin del riesgo debe tener y cumplir con un conjunto mnimo de principios o requerimientos fundamentales Una auditora sobre la base de estos principios evaluar en qu medida son ciertas estos principios o requerimientos para el proceso de gestin de riesgos en una organizacin

1.- Crea Valor y lo Protege 2.- Est Integrada en los Procesos de la Organizacin 3.- Forma parte de la toma de decisiones 4.- Trata explcitamente la incertidumbre 5.- Es sistemtica, estructurada y adecuada 6.- Est basada en la mejor informacin disponible 7.- Est hecha a medida 8.- Tiene culturales en cuenta factores humanos y

9- Es transparente e inclusiva 10.- Es dinmica, iterativa y sensible al cambio 11.- Facilita organizacin la mejora continua en la

Enfoques de Aseguramiento: Modelo de Madurez

Este enfoque se basa en que la calidad y eficacia del proceso de gestin del riesgo de una organizacin debera mejorar con el tiempo producto de la evolucin de su nivel de maduracin Los sistemas de gestin del riesgo inmaduros producen muy poco rendimiento para la inversin que se ha hecho y, a menudo funcionan como una sobrecarga de cumplimiento o una imposicin, ms preocupados de la informacin sobre los riesgos que de su tratamiento y gestin efectiva

Enfoques de Aseguramiento: Modelo de Madurez

Se pueden definir estados de madurez para el proceso de gestin de riesgos. Ejemplo de categoras en modelo de madurez usando como idea base el Modelo de Madurez de Capacidades (CMM) - Carnegie Mellon University
Ninguno Muy poco o ningn cumplimiento con el requisito en cualquier forma. Muy Poco Slo limitado al cumplimiento con el requisito. La direccin apoya la intencin pero el cumplimiento en la prctica es pobre. Regular Escaso cumplimiento con los elementos declarados. Ciertamente de acuerdo con la intencin pero hay un limitado cumplimiento en la prctica. Bueno La direccin suscribe completamente la intencin, pero el cumplimiento es parcial en la prctica. Completo Cumplimiento absoluto con el elemento declarado - en la intencin y en la prctica - en todo momento y en todo lugar.

(*) Fuente: Adaptado de Source HB158. Delivering Assurance Based On ISO 31000:2009 Risk Management Principles and Guidelines

Enfoques de Aseguramiento: Elementos del Marco

Este enfoque se basa en determinar si existen los componentes del marco de gestin de riesgos estipulados en ISO 31000 y evaluar su adecuacin y eficacia en base al Ciclo de Deming
Compromiso de la Direccin

P H V A

v s
Mejoramiento Continuo del Marco

Diseo del Marco de Gestin de Riesgos

Implementacin de la Gestin del Riesgo

Monitoreo y Revisin del Marco

Enfoques de Aseguramiento: Combinacin de Enfoques

En la prctica es posible e incluso conveniente usar ms de un enfoque a la vez para dar aseguramiento a la organizacin sobre la eficacia de la gestin de riesgos

El objetivo general de este enfoque es dar aseguramiento en forma individual y conjunta a los principios que sustentan la gestin de riesgos, al marco de gestin de riesgos y al proceso de gestin de riesgos

Conclusiones
R I S O S

La relacin entre la auditora interna y la gestin de riesgos es muy relevante, est muy normada, es compleja tcnicamente y no existen mayores intercambios de experiencias en relacin con el aseguramiento La ISO 31000 se presenta como un Marco interesante ya que puede contribuir significativamente a la GRC y a la estrategia de aseguramiento de la gestin de riesgos por parte del auditor interno La auditora interna debe desarrollar una estrategia apropiada para el aseguramiento de la gestin de riesgos: Desde Identificar las necesidades de aseguramiento hasta la medicin y evaluacin de la estrategia Se debe determinar cul es el enfoque que sea posible aplicar y que a la vez agregue ms valor al trabajo de aseguramiento: Enfoque por; Elementos, Principios, Madurez, Marco o Combinado

Informacin de Contacto
Ricardo Correa F. ricardofcorreaf@gmail.com investigagrc@gmail.com

www.certificacionauditoria.cl

Preguntas y Respuestas

Muchas Gracias por su atencin!