Implantacin de un Modelo

de Gestin de Riesgos
Corporativos

Gua de Apoyo

Autor: www.auditool.org
Autor: Jess Aisa Dez

Implantacin de un Modelo de Gestin de Riesgos

Corporativos
En nombre del equipo Auditool, les damos la bienvenida al curso virtual, Implantacin de un Modelo
de Gestin de Riesgos Corporativos.

El autor del presente curso es don Jess Aisa Diez, Ex Subdirector Corporativo de Auditora Interna
de Telefnica S.A., Director de la Revista del Instituto de Auditores Internos de Espaa y colaborador
en las evaluaciones de calidad, ponente de diversos cursos y workshops sobre materias relacionadas
con el control interno. Asesor en control interno, tutor de cursos on-line y articulista frecuente en la
revista de la Institucin en la Asociacin Hispanoamericana de Centros de Investigacin y Empresas
de Telecomunicaciones (AHCIET). Ponente y conferencista en diversos eventos internacionales,
tanto en Espaa, como Iberoamrica.

Para todos los profesionales que nos dedicamos a la actividad de auditora interna existe una gran
preocupacin: que la funcin no sea percibida como un costo para las Organizaciones, sino como
un proceso rentable, en cuyo caso el valor aportado debe superar los desembolsos que su operativa
requiera.

Conseguir este objetivo depender de varios factores, entre ellos, y de forma prioritaria, acertando
en la seleccin de los trabajos de auditora a acometer, incidiendo en lo verdaderamente importante,
o lo que es lo mimo centrando nuestra atencin en las amenazas que afecten, o puedan afectar, a
la consecucin de los objetivos empresariales ms significativos. Para lo cual se hace imprescindible
dirigir nuestros esfuerzos hacia el anlisis y supervisin de aquellos procesos en los que puedan
materializarse riesgos capaces de impedir los resultados deseados.

Aunque la adecuada seleccin de los trabajos no ser suficiente para conseguir el aporte de valor
que se nos requiere, s que es una condicin necesaria, sin la cual ya podremos ser todo lo eficaces
que resulte posible, que si no actuamos sobre lo que las necesidades de la Organizacin aconsejen
en cada momento, no conseguiremos ser eficientes.

En este contexto, el objetivo del presente curso es cubrir los siguientes dos escenarios:

1. Instruir a los participantes en el manejo de las tcnicas ms avanzadas sobre gestin de

riesgos para evaluar de forma objetiva y competente el nivel del control interno de las
organizaciones.
2. Capacitar a los participantes para que puedan apoyar a la alta direccin y a los Directorios
en el diseo e implementacin de procesos de administracin de riesgos con los cuales
conseguir los objetivos empresariales.

Para ello vamos a dividir su desarrollo en dos mdulos, el primero de ellos, que es en el que nos
encontramos, a su vez lo subdividiremos en los siguientes apartados:

Recordar el concepto de riesgo empresarial.

Pronunciamiento del Institute of Internal Auditors sobre la Gestin de Riesgos por parte de
Auditora.
Cules son los conceptos a manejar y a emplear.
Cmo elaborar los mapas de riesgos, y finalmente,
El rol de Auditora Interna en el proceso de su levantamiento.

1 www.auditool.org
Autor: Jess Aisa Dez

Consideraciones Previas

Lo que resulta obvio es que cualquier actividad humana, las empresariales entre ellas, estn
sometidas siempre a riesgos, entendiendo estos como aquellas circunstancias que pueden impedir
que los acontecimientos se desarrollen, por causas ajenas a nuestra voluntad, segn estaban
diseados, afectando a los objetivos y expectativas marcadas.

La nica forma existente para que los riesgos externos nos afecten lo menos posible, sera
estndonos quietos, no haciendo nada; pero como dictamin Bertrand Russell, uno de los filsofos
ms influyentes del siglo XX:

Una vida sin riesgo es una vida gris, pero una vida sin control probablemente ser una vida
corta.

Expresin que viene ya a anticiparnos la solucin que debemos emplear ante las amenazas que
representan los riesgos. LOS CONTROLES.

Por lo que nos ha enseado el Comit de Organizaciones Patrocinadoras de la Comisin

Treadway (COSO, por sus siglas en ingls), y los dems protocolos sobre gestin de riesgos
existentes, sabemos que siempre que existen riesgos aparecen tambin oportunidades, pero lo
contrario tambin es cierto; cuando intentemos aprovechar una oportunidad, tenemos que
considerar los riesgos que la misma comporte.

Esto podemos observarlo claramente en la situacin que refleja la fotografa del joven soldado de
19 aos de la Alemania comunista, Jans Konrad Schuman, cuando el 15 de agosto de 1961
aprovecha la oportunidad de pasarse al lado occidental. Para ello debi asumir unos ciertos
riesgos, como que se tropezara y cayera, que se le detuviese, etctera, pero en su caso entendi
que, a pesar de ellos, valan la pena asumirlos, pues el riesgo vena acompaado de una gran
oportunidad, LA LIBERTAD.

2 www.auditool.org
Autor: Jess Aisa Dez

Lo importante de esta pequea historia es que nos permite visualizar como en cualquier
situacin que, tanto los riesgos, como las oportunidades, siempre vienen acompaados de
situaciones de efectos contrarios, que son los que debemos intentar identificar, y en la medida de lo
posible, controlar, administrar o, en su caso, aprovechar.

Qu es el riesgo empresarial

Todas las empresas estn sometidas a los efectos de diversos eventos, tales como fases de
inflacin, bonanza econmica, aumento de la competencia, agentes meteorolgicos (sequias,
inundaciones,), etctera, los cuales, unas veces tendrn repercusiones positivas, que entonces
denominaremos oportunidades y otras veces efectos negativos respecto a la consecucin de los
objetivos, en cuyo caso denominaremos riesgos.

Estas amenazas normalmente resultan inevitables, pues no dependen, en muchas ocasiones, de la

voluntad de la empresa. Pero, siendo totalmente cierto que estos hechos pueden resultar
inevitables, esto no nos conduce necesariamente a la conclusin de que tambin lo sern sus
efectos, pues eso depender de cmo hayamos decidido gestionarlos.

Pongamos como ejemplo un caso extremo, el riesgo de sismo, el cual resulta inevitable poder
impedirlo, pero s est en nuestra capacidad de decisin el tipo de construccin que apliquemos a
las instalaciones de nuestra empresas a fin de minimizar los daos, como tambin lo sern los
seguros que podamos suscribir con los cuales compensar los perjuicios que finalmente hayamos
sufrido.

Por consiguiente, lo importante sern las medidas que adoptemos para gestionar, administrar o
minorar los riesgos que se puedan presentar.

Como acertadamente seal Suzanne Lagarbe, Jefa de Riesgos del Royal Bank of Canad: El
riesgo en s mismo no es malo; lo que es malo es que el riesgo est mal administrado, mal
interpretado, mal calculado, o lo que es lo mismo, que no est bien comprendido.

Evolucin de la Gestin de Riesgos

Si observamos cual es la evolucin que se ha producido en el mbito empresarial respecto de la

forma de gestionar los riesgos, podremos concluir que los cambios han sido muy significativos.
Puesto que:

En el pasado: El monitoreo de los riesgos era una funcin secundaria adscrita a auditora
interna; ahora es una responsabilidad del mximo responsable ejecutivo, el CEO (Chief
Executive Officer)
Antes la gestin de riesgos solo contemplaba la parte negativa, actualmente tambin
debemos considerar las oportunidades que su presencia nos ofrezca.
Inicialmente el riesgo se trataba de forma aislada, hoy es un proceso integral.
El tratamiento de los riesgos estaba situado en los niveles bajos del organigrama,
actualmente la responsabilidad principal de su gestin corresponde a la alta direccin.
De medir los riesgos de forma subjetiva, hemos pasado incluso a modelos de
cuantificacin sofisticados empleando tcnicas economtricas complejas en algunos casos.
En el pasado, la gestin de los riesgos era intuitiva, y no estaba estructurada y
procedimentada; hoy en da s.

3 www.auditool.org
Autor: Jess Aisa Dez

Pronunciamiento del IIA sobre la Gestin de Riesgos

Esta permanente coexistencia de los riesgos con las decisiones empresariales es reconocida
de forma reiterada por el Institute of Internal Auditors (IIA), pues incluso ya desde la propia definicin
de la funcin de Auditora Interna, se nos indica que uno de los objetivos de la actividad auditora es
la correspondiente a la mejora del proceso de la gestin de riesgos.

Asmismo, se nos aconseja que los planes anuales deben elaborarse por parte del Director de
Auditora Interna teniendo en consideracin el entorno de riesgos en el que se desenvuelve la
actividad de la Organizacin, centrndose en aquellos que sean ms importantes, o lo que es lo
mismo, los que estn ms presentes en los procesos crticos de la empresa. Norma 2010.

Por ltimo el Instituto de Auditores Internos tambin seala que si la Organizacin ha aceptado
convivir con un nivel del riesgo que resulte incompatible con la evolucin normal de la actividad
empresarial, lo que significara que estamos actuando en un ambiente de riesgos inadecuado con
la consecucin de los objetivos, el Director de Auditora Interna debe denunciar esta situacin a las
partes apropiadas. Norma 2600.

Pero no solo el Instituto se pronuncia sobre los aspectos que deben guiar la actividad de auditora
interna con base a los riesgos, sino que tambin describe de forma muy detallada cul debe ser el
proceso a seguir para establecer el Plan anual de Auditora de acuerdo a los riesgos.

En este sentido el Consejo para la Prctica 2010-2 (CP.2010-2), describe pormenorizadamente la

forma de cmo el Plan Anual debe estar basado en riesgos. Sealando que:

Auditora Interna debe identificar reas de alto riesgo inherente, alto riesgo residual y los
sistemas de control claves en los que se sustenta la Organizacin.
Si se identifican reas de riesgo residuales inaceptables, el Director de Auditoria Interna
debe notificarlo.
Auditora Interna analizar la adecuacin y eficacia de los sistemas de control y ofrecer
seguridad razonable de que los controles funcionan y que los riesgos son gestionados de
manera efectiva.

En tanto que el Consejo para la Prctica 2120-1 establece la conveniencia de que Auditora Interna
evale la adecuacin de los procesos de Gestin de Riesgos, es decir si la forma en que la
empresa se pronuncia en lo que se refiere al modelo de gestin/administracin de los riesgos
empresariales es el adecuado, o lo est enfocando equivocadamente, aconsejando, a partir de
ah, los cambios que sean pertinentes. Puesto que:

Los objetivos de la organizacin han de estar alineados con la misin de la empresa.

Los riesgos significativos deben ser identificados y evaluados.
Se han de seleccionar respuestas apropiadas a los riesgos de forma que estn en un entorno
de aceptacin.
Se debe obtener oportuna informacin significativa sobre los riesgos crticos.

Una adecuada planificacin del trabajo que se estime pertinente deba ser desarrollado por la
Unidad de Auditora Interna, conlleva una serie de importantes ventajas, de las que destacaramos:

Facilitar la identificacin y ordenacin de las actividades de auditora, con las cuales

conseguir los objetivos esperados.
Focalizar las actuaciones en la identificacin y evaluacin de lo importante.

4 www.auditool.org
Autor: Jess Aisa Dez

Contribuir a la racionalizacin de los recursos humanos, tcnicos y financieros.

Guiar la obtencin de evidencias de auditoras adecuadas y suficientes para respaldar el
contenido de los informes.
Justificar la labor del auditor frente a cuestionamientos externos.

O lo que es lo mismo, posibilitando conseguir una eficiente labor auditora, pues estaramos
enfocando la actividad exclusivamente en los aspectos significativos, abandonando aquellos
otros que no sean objetivamente susceptibles de anlisis.

Citaremos como ejemplo lo regulado por la Superintendencia de Banca y Seguros Peruana

(SBS), lo cual obviamente slo tendr aplicacin en las entidades del sector financiero que
desarrollen su actividad en ese pas, pero entendemos que lo recogido en su circular n 37 del ao
2008, puede considerarse como una buena prctica, la cual creemos conveniente compartir. En
forma resumida lo legislado se refiere a:

1) Es objetivo de la Superintendencia que las empresas supervisadas cuenten con una Gestin
Integral de Riesgos adecuada a su tamao y a la complejidad de sus operaciones y servicios.
2) Dichas empresas debern establecer los sistemas apropiados que faciliten la oportuna
denuncia e investigacin de actividades ilcitas o fraudulentas, identificadas por cualquier
trabajador o persona que interacte con ellas (Canal de denuncias).
3) Es responsabilidad del Directorio conocer los principales riesgos afrontados por la entidad,
estableciendo adecuados niveles de tolerancia y apetito al riesgo (Toma de decisin).
4) La Gerencia General tiene la responsabilidad de implementar la Gestin Integral de Riesgos
conforme a las disposiciones del Directorio.
5) Resultar obligatoria la constitucin de un Comit de Auditora y un Comit de Riesgos.

Las responsabilidades que, de acuerdo con lo regulado por la Superintendencia peruana, han
de asumir los distintos rganos de gestin y de control con los que deben contar las instituciones
financieras afectadas. Seran:

Comit de Riesgos (al menos uno de sus miembros ha de provenir del Directorio):

Aprobar las polticas y la organizacin para la Gestin Integral de Riesgos.

Definir la tolerancia y el grado de exposicin al riesgo.
Decidir las acciones necesarias para la implementacin de las acciones correctivas
requeridas, en caso de existir desviaciones respecto a los niveles de tolerancia a los riesgos
asumidos.
Proponer mejoras en la Gestin Integral de Riesgos.

En tanto que el Comit de Auditora (mnimo tres miembros del Directorio, uno de ellos
independiente), debe:

Vigilar el adecuado funcionamiento del sistema de control interno.

Informar al Directorio sobre la existencia de limitaciones en la fiabilidad de la informacin.
Supervisar el cumplimiento de las polticas y procedimientos internos del control interno.
Definir los criterios en la seleccin y contratacin del auditor interno y sus principales
colaboradores, sus remuneraciones y sobre su evaluacin del desempeo, e incentivos
monetarios (salvo que lo asuma el Comit de la casa matriz, previa autorizacin expresa de
la SBS).

5 www.auditool.org
Autor: Jess Aisa Dez

El esquema de relaciones y dependencias entre las diferentes unidades orgnicas, es el que se

refleja en el grfico del Slide. Los diversos roles a desempear por cada uno de estos intervinientes
en el proceso los describiremos en los siguientes slides:

Responsabilidades

Directorio: Responsable de definir el proceso de Gestin Integral de Riesgos, as como de propiciar

un ambiente interno adecuado y de aprobar los recursos necesarios para ello.

Gerencia General: Encargada de implementar la Gestin Integral de Riesgos conforme a las

disposiciones del

6 www.auditool.org
Autor: Jess Aisa Dez

Directorio: Podr constituir Comits para el cumplimiento de sus responsabilidades.

Gestores de Riesgos: Coordinar, facilitar y transmitir la cultura de riesgos dentro de su rea de

competencia. Gestionar e informar acerca de los riesgos de la misma y promover la mejora continua
en la gestin de sus procesos.

Gerencias de rea: Los gerentes de las unidades organizativas de negocios o de apoyo, en su

mbito de accin, tienen la responsabilidad de administrar los riesgos relacionados al logro de los
objetivos de sus respectivas unidades.

Gerencia de Riesgos: Responsable de apoyar y asistir a las dems unidades de la entidad en la

realizacin de una buena gestin de riesgos en sus correspondientes reas de responsabilidad.

Unidad de Auditora Interna: Desempea un rol independiente a la gestin, vigilando la adecuacin

de la Gestin Integral de Riesgos, debiendo sujetarse a las disposiciones especficas que regulan su
actividad en el Reglamento de Auditora Interna.

Protocolos existentes sobre Gestin de Riesgos

Cuando nos hemos referido en plural a los protocolos que guan a las organizaciones en la
implantacin de un modelo de gestin de riesgos, lo hacemos porque no estamos ante una nica
forma de actuar, ya que las formas de proceder son mltiples; aunque eso s, bsicamente
obedeciendo todas ellas a dos hitos fundamentales:

El establecimiento de una base slida sobre la cual se sustente el proceso de gestin de

riesgos, y
Contar con un modelo operacional basado en una metodologa robusta y
adecuadamente implementada.

De todos ellos, quizs, el que tiene un mayor reconocimiento es el denominado COSO II (ERM por
sus siglas en ingls), siendo por ello en el que nos vamos a apoyar, dado que, por otra parte, las
diferencias metodolgicas no son tan importantes como para que lo dicho con base a COSO, sea
invalidado por los otros protocolos.

Por nuestra parte destacaramos, aparte de Basilea, Solvencia, SOX, los siguientes:

ASNZ (Australian and New Zealand Standard on Risk Management),

ISO 31000, recientemente, por ejemplo.

COSO II

Aunque en el curso no pretendemos describir COSO II, ya que lo consideramos

suficientemente conocido, s haremos alguna mencin a determinados aspectos que nos permitan
avanzar en el objetivo del seminario en forma gil. Como por ejemplo, dada su relevancia, la
definicin que el propio Committee entendi oportuno elaborar para describir la administracin de
los riesgos corporativos. Considerndola:

7 www.auditool.org
Autor: Jess Aisa Dez

Un proceso efectuado por el directorio, la administracin y las personas de la organizacin;

aplicado desde la definicin estratgica hasta las actividades del da a da, diseado para identificar
eventos potenciales que pueden afectar a la organizacin y administrar los riesgos dentro de su
apetito, a objeto de proveer una seguridad razonable respecto del logro de los objetivos de la
organizacin.

Existen una serie de premisas, circunstancias o aspectos que son de aplicacin generalizada
en la administracin de los riesgos, y son los que determinarn, en gran medida, la forma de actuar.
Como por ejemplo:

La principal es que todas las entidades, con o sin fines de lucro, existen para crear valor a
sus grupos de inters.
Todas ellas enfrentan incertidumbres.
Las incertidumbres provienen de fuentes internas y externas, y stas se pueden presentar
como un riesgo o una oportunidad, con el potencial de destruir o generar valor,
respectivamente.
La gestin de riesgos corporativos permite manejar esas incertidumbres, su riesgo u
oportunidad asociada y, en consecuencia, incrementar la capacidad de crear valor.

La INCERTIDUMBRE equivale a DUDA o INSEGURIDAD.

El problema es saber cunta incertidumbre estamos dispuestos a aceptar?

Recordemos que el Marco Integrado para la Gestin de Riesgos Empresariales, o

COSO II, es:

Un proceso continuo. Un medio para alcanzar un fin (los objetivos empresariales), no un fin
en s mismo.
Efectuado por todo el personal de la empresa en todos sus niveles.
Aplicado a partir de la definicin de la estrategia.
Desarrollado a lo largo de toda la organizacin (en cada nivel y unidad).
Diseado para identificar eventos potenciales y gestionar riesgos dentro del entorno del
apetito al riesgo.
Proveedor de seguridad razonable del logro de los objetivos: Estratgicos, Operacionales,
Reporte y Cumplimiento.

Y lo que quizs sea lo ms importante: ES UN TRABAJO DE EQUIPO

En este slide exponemos las dos representaciones de COSO, la denominada COSO I y COSO II, no
para desarrollar los conceptos que subyacen en ellas, sino solo para dejar constancia de que cuando
estemos refirindonos al modelo de gestin de riesgos empresariales, tambin estamos hablando
del Marco relativo al Control Interno, ya que este est inmerso en el anterior.

8 www.auditool.org
Autor: Jess Aisa Dez

En opinin de ms de 1.400 CEOs recogidas en una encuesta de PWC, la Gestin de Riesgos

Empresariales produce mltiples beneficios:

Incrementa la capacidad objetiva para asumir los riesgos necesarios para ayudar a crear
valor.
Aporta claridad a la toma de decisiones y solvencia a las operaciones.
Mejora el seguimiento del desempeo.
Apoya el establecimiento de procedimientos de gobierno consistentes.
Refuerza la reputacin.

Pero tambin, aunque esto es ya nuestra opinin, normalmente:

Han requerido un periodo de implementacin amplio.

Han necesitado apoyos de especialistas externos.
El costo de la implementacin ha resultado significativo.

Pudiendo concluir: Que lo complicado es hacer las cosas sencillas, por lo que se convierte en
nuestro objetivo.

9 www.auditool.org
Autor: Jess Aisa Dez

Conceptos

Los principales conceptos sobre los que vamos a ir trabajando a lo largo del curso son: Riesgo,
Controles, Apetito al riesgo, Riesgo residual, Tolerancia al riesgo, Mapa de riesgos, pero tambin
otros aspectos como: Distribucin de responsabilidades, diferentes roles a desempear por los
intervinientes en el proceso y evaluacin de costos versus beneficios, que por ser ya viejos
conocidos de todos nosotros no nos detendremos demasiado en ellos, aunque en su momento,
s en forma breve.

Dado que estos son los que aplicaremos, tanto en la implementacin del proceso de gestin de
riesgos, como en la determinacin del Plan Anual de Auditora.

Siendo el riesgo la posibilidad de que un evento ocurra y afecte adversamente a la consecucin de

los objetivos de una organizacin, su naturaleza puede ser muy variada y deberse a factores
externos (econmicos, medioambientales, polticos, sociales, catastrficos, etc.) o internos
(infraestructura, personal, procesos y tecnologa, etc.)

La cuantificacin de los riesgos, de acuerdo con lo establecido por COSO depende de sus dos
atributos clsicos: el impacto y la probabilidad de ocurrencia. Sin embargo, como un poco ms
adelante veremos, actualmente se estn incorporando algunas nuevas opiniones o teoras que
incluyen otras variables adicionales para poder valorarlos adecuadamente, entre ellas la velocidad
de ocurrencia y la vulnerabilidad.

Aspecto que, aunque los vamos a describir, no lo tendremos plenamente en consideracin en

el desarrollo del curso, ya que entendemos que la propuesta no est demasiado bien soportada,
por lo que entendemos que nos encontramos ante una moda pasajera.

En cualquier caso, y al igual que a las personas se nos puede identificar por muchos atributos, en
donde una forma clsica de evaluarlas es a travs de su altura y peso; actuando de forma similar
con los riesgos, pero refirindonos al impacto y a la probabilidad de ocurrencia.

10 www.auditool.org
Autor: Jess Aisa Dez

El atributo probabilidad mide la frecuencia con la que se estima se podra presentar la amenaza
que se est analizando. Estadsticamente sabemos que la probabilidad mxima de un fenmeno es
igual a 100% y la mnima 0%. Pero frecuentemente tambin podremos emplear medidas de ndole
cualitativas, como: extrema, alta, media, norma, baja.

En cuanto al impacto, tambin nos encontramos con otras dos forma de medirlo: (i) la cuantitativa
con base a la estimacin en unidades econmicas del dao producido, y (ii) la cualitativa referida a
la entidad del dao: Alto, medio o bajo, por ejemplo.

Normalmente cuando se inicia la implementacin de un Sistema de Gestin de Riesgos, los mtodos

de medicin sern cualitativos, ya que no requieren de herramientas economtricas desarrolladas,
sino solo sentido comn y buen juicio.

Una vez que ya disponemos de las valoraciones que subjetivamente hayamos considerado
que corresponden al riesgo que estemos analizando, se hace imprescindible que a cada nivel del
impacto y de la probabilidad estimada le asignemos un valor. Por ejemplo:

PROBABILIDAD alta (valor 3), media (valor 2), baja (valor 1)

IMPACTO alto (valor 3), medio (valor 2), bajo (valor 1)

11 www.auditool.org
Autor: Jess Aisa Dez

Posteriormente para poder cuantificar la importancia del riesgo debemos multiplicar el valor asignado
a la probabilidad por el valor asignado al impacto estimado.

En el ejemplo expuesto, los valores obtenidos seran: 9, 6, 4, 3, 2, 1. Pudiendo establecer

que el resultado 1 y 2 corresponde con un riesgo tolerable, los valores 3 y 4 con un riesgo
moderado, el valor 6 representara una alta amenaza, mientras que la combinacin que conduzca
al 9 sera un riesgo crtico.

En lnea de lo que ya hemos comentado, recientemente el Committee of Sponsoring Organizations

ha difundido una nueva versin del informe COSO I, en la que se incluyen dos nuevos elementos
a tener en cuenta a la hora de evaluar los riesgos; especficamente se incluye el concepto de
velocidad y el de persistencia de los riesgos, como criterios complementarios para evaluar
tambin la criticidad de los mismos, y en donde se considera lo siguiente:

o La velocidad de riesgo se refiere a la rapidez con la que impacta un riesgo en la Organizacin

una vez este se ha materializado, es decir, hace referencia al ritmo con el que se espera
que la entidad experimente el impacto.
o Por otro lado, la persistencia de un riesgo hace referencia a la duracin del impacto despus
de que el riesgo se haya materializado.

Es cierto que estos hechos diferenciales podran determinar las caractersticas del riesgo con el que
estemos trabajando, derivndose de ello los controles apropiados para combatirlos; pero esto no es
ninguna novedad pues representa la forma que operamos en forma genrica con los riesgos, ya que
los controles no solo se establecen en funcin del impacto y de la probabilidad de ocurrencia, sino
tambin con base al resto de circunstancias que rodean los distintos factores de riesgo que puedan
afectar a nuestros objetivos. Como ya iremos viendo.

Partiendo de lo anterior, y adicional a la interrelacin entre los dos COSOs, (COSO I y COSO-ERM),
tambin se tienen los conceptos incluidos en el documento Risk Assessment in Practice Thought
Paper del 26 de Octubre del ao 2012, en el que se incluye el elemento de la velocidad de ocurrencia,
as como el de vulnerabilidad, cuyo concepto lo define el diccionario de la legua espaola como
la incapacidad de resistencia cuando se presenta un fenmeno amenazante, o la incapacidad
para reponerse despus de que haya ocurrido un desastre.

Mapas de Riesgos Multidimensionales

De no dejar aparcados los nuevos elementos a considerar en el momento de evaluar los riesgos,
nos encontraramos con la necesidad de ampliar la dimensin de los mapas de riesgo, que pasaran
a ser multidimensionales, de momento 5 (impacto, probabilidad, velocidad, persistencia y
vulnerabilidad).

Por lo que habra que buscar soluciones imaginativas para poder hacer su representacin
en un soporte de dos dimensiones, como en el ejemplo que aparece en el Slide, donde el tamao
del punto refleja la velocidad de aparicin. Pudiendo reservar la forma de los puntos para identificar
la persistencia y el color, por ejemplo, para identificar su grado de vulnerabilidad.

12 www.auditool.org
Autor: Jess Aisa Dez

La enorme complicacin que en el momento de evaluar los riesgos se derivar de los cambios
propuestos, y sobre todo por la dificultad que supondra en la elaboracin de los mapas de riesgos,
nos hacen reconsiderar la conveniencia de aplicarlos en lo que resta del curso, por lo que coincidimos
con nuestra amiga Mafalda y, de momento, los dejaremos aparcados, aunque ms adelante
volveremos a tratarlos y exponer nuestra propia opinin respecto de estos nuevos atributos, pues
hemos de sealar que no sern ignorados

La gama de riesgos que pueden afectar al normal desenvolvimiento de los negocios es muy amplia,
como podemos observar en el Slide, en el que hemos incorporado los que podramos considerar
ms habituales, agrupndolos por caractersticas, tales como: Tcnicas, Operativos, Recursos
humanos, Tecnolgicos, Control Interno, Naturales,

13 www.auditool.org
Autor: Jess Aisa Dez

Ejemplo de Riesgos Empresariales

Debiendo sealar que no hay un modelo nico, ni recomendable a ser aplicado en las
Organizaciones empresariales, pues el ms idneo ser aquel que contenga aquellos que puedan
presentarse habitualmente en el desarrollo de la actividad.

En el ejemplo que estamos describiendo, extraamos, por ejemplo, los riesgos reputacionales, los
medioambientales y los financieros contables.

La identificacin de las posibles amenazas es bsica para una adecuada gestin de las mismas,
debiendo analizar con sumo cuidado cules son estas, pero intentando no desagregar en exceso,
puesto que trabajar con un modelo de riesgos excesivamente pormenorizado complicar su
aplicacin. En nuestra opinin no debiramos trabajar inicialmente con un portafolio que supere los
50 o 60 riesgos.

En cualquier caso, recordemos que los modelos de gestin de riesgos tipo ERM tambin
consideran las oportunidades, es decir aquellas circunstancias que pueden afectar favorablemente
al logro de los objetivos. Sera, por ejemplo el viento en un vuelo transocenico de Europa a Amrica,
en cuyo caso es un riesgo pues disminuye la velocidad del avin, y har que se consuma ms
combustible, pero si el itinerario es el inverso, de Amrica a Europa, es un efecto favorable, pues al
incidir sobre la cola de la aeronave aumentar su velocidad. Siendo esta la razn por los que los
vuelos en este sentido, Amrica- Europa, duran menos que los del sentido contrario.

14 www.auditool.org
Autor: Jess Aisa Dez

Una nueva clasificacin de los riesgos es la que presentamos ahora, con la que tampoco
hemos reseado de forma exhaustiva toda la tipologa de riesgos que pueden existir.

Insistimos, lo que en cada momento habr que esforzarse en identificar aquellos aspectos que
realmente representen amenazas en la consecucin de los objetivos perseguidos.

15 www.auditool.org
Autor: Jess Aisa Dez

Fuentes de Riesgos

En la identificacin de los posibles riesgos que incidan en la gestin de la empresa, quiz lo ms

importante es identificar las fuentes de los riesgos, o lo que es lo mismo la causa por la que se
pueden producir los efectos adversos que afecten a la actividad.

Por ejemplo: en el riesgo de accidente en carretera existen muchas posible causas que los pueden
provocar: mal estado de la carretera o de las ruedas, exceso de velocidad, la falta de pericia del
conductor, etctera. Que son los aspectos sobre los que habr que incidir para controlar el riesgo
de accidente, al menos desde la perspectiva de la probabilidad de ocurrencia.

En la reproduccin de la informacin recogida en la prensa respecto de la cronologa de los hechos

que concurrieron en el accidente de hace unos aos en un vuelo de Air France en el Ocano
Atlntico, podemos leer la sucesin de acontecimientos en la parte izquierda del Slide, mientras
que en la parte derecha podemos ver los factores de riesgos que se pudieron observar, y
que no fueron debidamente gestionados.

16 www.auditool.org
Autor: Jess Aisa Dez

Lo importante es entender que un riesgo, en este caso el de accidente del avin, normalmente tiene
ms de un factor o causa que lo materialice.

Los modelos de gestin de riesgos empresariales manejan una serie de conceptos que ya hemos
enumerado en algunos Slide anteriores, y que, para continuar, nos gustara que recordsemos.

Riesgo inherente: El que existe en ausencia de acciones para alterar o reducir su

probabilidad de ocurrencia o impacto.

Apetito al riesgo: Cuanta que se est dispuesto a asumir para realizar la misin, al ser
compatible con los objetivos.

Riesgo residual: Remanente despus de que se hayan llevado a cabo las acciones para
modificar la probabilidad y/o el impacto de un riesgo.

Tolerancia al riesgo: El margen asumido como vlido entre el Riesgo Residual y el

Apetito al Riesgo

Controles: Medidas adoptadas para mitigar el impacto y/o reducir la probabilidad de

ocurrencia de los riesgos.

Mapa de riesgos: Representacin cartesiana de la importancia de los riesgos

17 www.auditool.org
Autor: Jess Aisa Dez

Gestin de Riesgos

La gestin de riesgos debemos entenderla cmo la actividad empresarial, y humana tambin, que
nos permite convivir con las amenazas que puedan afectar a los objetivos establecidos,
impidiendo que estas se materialicen, o de hacerlo se minimicen los impactos que puedan
producir. Por ello:

La gestin de riesgos consiste en la identificacin, evaluacin y control de los

acontecimientos que, potencialmente, pueden poner en peligro los objetivos y metas.

Veamos con cierto detenimiento la siguiente fotografa; observamos que dos operarios estn
manejando lo que parece ser material inflamable. El riesgo es evidente, un accidente laboral, la
razn, que entre en ignicin alguno de los bidones, o que uno de los bidones le caiga sobre una
mano o un pi a los operarios. El objetivo a conseguir: mover los bidones sin que existan accidentes.

Si recordamos los riesgos se evalan con base a dos atributos, el impacto (el dao producido) y la
probabilidad de que este ocurra.

En el caso de la foto, no apreciamos nada que pueda conducirnos a una menor probabilidad de una
deflagracin, salvo que ninguno de los dos operarios est fumando, ni se manipulan los bidones
cerca de ninguna fuente de energa, por lo que la posibilidad de que ocurra el accidente no estara
alterada. Pero sin embargo, la dotacin que llevan estos operarios da la impresin de ser ignfuga,
por lo que si algn bidn se incendia, las consecuencias de las quemaduras que pueden sufrir sern
menos importantes que si no llevaran esa proteccin. El control impuesto a la operacin est
incidiendo en el IMPACTO. En el mismo sentido puede apreciarse que ambos llevan guantes y
calzado apropiado, lo que mitigara las consecuencias de una cada del bidn.

Recordemos que COSO II seala respecto a las actividades de control, que son:

Las polticas y procedimientos que ayudan a asegurar que se llevan a cabo las respuestas
de la direccin a los riesgos

18 www.auditool.org
Autor: Jess Aisa Dez

Las respuestas a los riesgos pueden ser de varios tipos: las que los evitan, las que los mitigan, las
que los comparten, pero tambin la de aceptarlos.

Evitarlos sera cuando, por ejemplo, el riesgo de sismos que amenaza a una empresa se corrige
trasladando la industria o el almacn a un lugar donde no exista esa amenaza.

Sera mitigndolos, siguiendo con el mismo ejemplo, cuando se refuerza la estructura de la

edificacin, incluyendo elementos antissmicos.

Sera compartirlos, cuando se suscribiese una pliza de seguros que compensase los daos sufridos
por el terremoto.

Y finalmente sera aceptarlos, cuando no se toman medidas para minimizar el riesgo inherente, ya
que en la zona no se estima que se produzcan estos accidentes.

La forma de elegir uno u otro procedimiento depender de varias circunstancias, pero entre
ellas que el costo que suponga la implementacin de las medidas decididas, versus los beneficios
obtenidos.

Adicionalmente los controles deben ser elegidos tambin en coherencia con el apetitito al
riesgo que se haya fijado por la Organizacin como el nivel de riesgo compatible con los
objetivos perseguidos.

Como podemos ver de forma grfica los controles intervienen en momentos diferentes del
proceso, segn sean estos detectivos, preventivos o correctivos.

19 www.auditool.org
Autor: Jess Aisa Dez

Dado que los controles no son excluyentes, podremos tener en un mismo proceso distintos tipos de
controles. De su eleccin depender en buena medida la eficacia y la eficiencia del proceso de
gestin de riesgos.

Pero tambin podemos clasificarlos por otros tipos de caractersticas, como por ejemplo: la
periodicidad en su aplicacin, o la forma de ejercerse, bien sea manual o automtica.

La forma elegida depender como ya hemos comentado anteriormente, de la relacin costo /

beneficio que se obtenga de su implementacin, por lo que debemos tener siempre presente que:
lo mejor suele ser enemigo de lo bueno, lo que nos recomienda que seamos pragmticos al
momento de elegir los controles que vayamos a utilizar.

20 www.auditool.org
Autor: Jess Aisa Dez
Para relajarnos un poco de los temas tan serios con los que estamos tratando, permitmonos
una pequea licencia: averigemos el tipo de controles que se emplean en la granja avcola
que se presenta en el Slide.

Podramos contestar que son controles manuales y de tipo correctivos, incidiendo sobre el impacto,
no sobre la probabilidad de ocurrencia; lo cual sera correcto, pero lo que de verdad calificara al
control empleado, es la de ser INEFICAZ, pues la rotura de los huevos es prcticamente segura.

Mapas de Riesgos
Los mapas de riesgos son la representacin grfica de la probabilidad e impacto estimada de los
riesgos. Pueden adoptar la forma de mapas de color o diagramas de proceso que trazan
estimaciones cuantitativas o cualitativas de la probabilidad e impacto de cada uno de los riesgos.

21 www.auditool.org
Autor: Jess Aisa Dez
Normalmente los riesgos se representan de manera que los ms significativos, lo que tienen mayor
probabilidad y/o impacto resalten, diferencindolos de los de menor importancia, asignndoles el
color rojo, el color amarillo para los intermedios y el color verde para los no preocupantes, en forma
similar a los colores de un semforo.
Los mapas sirven para poder tener una imagen de las amenazas que afecten a la organizacin, de
su importancia, y de lo cerca o alejados que estn de la situacin deseada, que es la que se deriva
de considerar los apetitos al riesgo en cada una de estas amenazas.
Para poder situar adecuadamente los diferentes riesgos en el correspondiente mapa, se hace
imprescindible la cuantificacin o evaluacin de los dos atributos, su impacto y su probabilidad de
ocurrencia.
Modelacin de las Variables a Considerar:

Esta evaluacin, como ya hemos comentado, puede hacerse a travs de mtodos cuantitativos o
cualitativos; si bien en los momentos iniciales de implementacin de los Sistemas de Gestin de
Riesgos lo habitual es el empleo de mtodos cualitativos, ya que no requieren disponer de
importantes volmenes de datos, y son intuitivos y de fcil estimacin, aunque no disponen de una
gran precisin, lo cual no es ningn inconveniente para recomendar su empleo.

22 www.auditool.org
Autor: Jess Aisa Dez
En el ejemplo que reproducimos, tanto la probabilidad de ocurrencia, como el impacto los
hemos subdividido en cinco clases, de acuerdo con la escala previamente definida.
Resultado

23 www.auditool.org
Autor: Jess Aisa Dez
Asignando a cada uno de estos cinco niveles un valor numrico representativo de su grado de
impacto o probabilidad, el valor 5 para los niveles ms significativos, en tanto que el 1 es para los
ms bajos, por lo cual tendramos las siguientes posibilidades:
Probabilidad Impacto
Casi certeza 5 Catastrficas 5
Probable.. 4 Mayores 4
Moderado 3 Moderadas... 3
Improbable.. 2 Menores 2
Muy Improbable. 1 Insignificantes.. 1
Multiplicando los valores asignados a cada uno de estos elementos obtendremos la importancia
estimada de cada riesgo en funcin de la estimacin de cada uno de sus elementos.
Obtenida la evaluacin de cada uno de los dos atributos de los distintos riesgos que hayamos
considerado pueden afectar a los procesos que estemos gestionando, la ubicacin de dichos riesgos
en unas coordenadas cartesianas nos permitir visualizar la representacin grfica de los riesgos en
su correspondiente mapa, as:

Pero invitemos a Mafalda a que nos comente su opinin sobre la oportunidad de ampliar los atributos
que debemos evaluar para tener una idea rigurosa del tipo de riesgo que nos pueden amenazar, ya
que algunos expertos se inclinan en incorporar los correspondientes a la velocidad de ocurrencia, la
persistencia y la vulnerabilidad.

24 www.auditool.org
Autor: Jess Aisa Dez
Empecemos por la velocidad. Es cierto que la velocidad de ocurrencia influye en la tipologa del
riesgo que estemos analizando. Un incendio, un sismo, una tormenta con granizo, un atraco,
etctera, son ejemplos claros de situaciones que, de producirse, se manifiestan con gran rapidez,
y que es un aspecto independiente a la probabilidad de ocurrencia, pero no del impacto, pues la
capacidad de reaccin de que dispongamos determinar en gran medida el dao finalmente
producido, por ello s consideramos oportuno tener en consideracin esta caracterstica de los
riesgos, pero fundamentalmente para determinar los controles especficos que en cada caso
corresponda. En el ejemplo del incendio, instalando circuitos cortafuegos de actuacin
automtica; en la tormenta por granizo protegiendo las cosechas con toldos y en los atracos
protegiendo nuestras instalaciones con cristales blindados, o con dispositivos de apertura de las
cajas fuertes, o alarmas.
En lo que se refiere a la variable persistencia, creo que aqu la vinculacin de esta caracterstica
con el impacto es evidente, pensemos por ejemplo en una crisis econmica o en una sequa
continuada. Su mayor o menor continuidad determinar los daos que puedan producirse.
Y por ltimo la vulnerabilidad, entendida como la predisposicin para ser afectado por alguna
circunstancia, por ejemplo a los espaoles que visitamos Mxico, lo que suele denominarse la
venganza de Moctezuma, es decir los padecimientos diarreicos causados a los turistas. Lo cual no
es ms que un factor con el que incrementar la probabilidad de ocurrencia, que podremos controlar
evitando comer y beber determinados artculos.
A mayor abundamiento de lo que hemos comentado, creo que puede ser ilustrativo comentar el caso
de una desgracia ocurrida recientemente en un espacio pblico en la noche de Halloween en Madrid,
en donde se concentraron miles de jvenes que se vieron sorprendidos por una gran avalancha
humana en la que perecieron varios jvenes. La rapidez de la avalancha fue tremenda, cuestin de
minutos; pero eso no fue lo determinante de la tragedia, sino que las puertas de desalojo
estaban bloqueadas (los controles previstos no funcionaron), y que en el botiqun habilitado solo
estaba un facultativo de 80 aos con un equipo insuficiente e inadecuado para atender paradas
cardiovasculares (nuevamente los controles fallaron).
En el mismo sentido y respecto a la vulnerabilidad, estamos acostumbrados a escuchar la
expresin de poblaciones de riesgo como aquellas que estn expuestas a determinadas amenazas,
virus VIH, aficionados al tabaco respecto de cncer de pulmn, etctera, que lo que nos estn es
identificando colectivos en los que la probabilidad de que se materialicen las amenazas es muy
superior a la de otros colectivos. Por lo tanto:
VULNERABILIDAD es igual a MAYOR PROBABILIDAD.
Nuestra tesis es que estos nuevos atributos que se entiende conveniente considerar a la hora de
determinar la relevancia de los riesgos, no determinan la importancia o relevancia de los mismos,
sino las caractersticas propias de cada amenaza, las cuales s deben ser consideradas para
seleccionar el tipo de controles que en cada caso corresponda aplicar. La forma de actuar depender
de muchos factores, entre ellos:
a) El medio natural en el que se producen: Maremotos versus terremotos.

b) Los daos producidos: Materiales, personas, hbitat,.

c) El origen de los mismos: Infecciones, virus, bacterias,..

d) El lugar dnde se materialice el riesgo: En el hogar, en la calle, en un aeropuerto,

en el avin,

25 www.auditool.org
Autor: Jess Aisa Dez
Todos estos aspectos deben ser tenidos en consideracin al momento de determinar el
tipo de controles que debemos aplicar en cada caso, puesto que estarn determinado el
impacto o la probabilidad, pero sobre todo la empleabilidad del control seleccionado.

Roles de Auditora Interna en ERM

Otro aspecto que entendemos imprescindible comentar antes de dar por terminada la fase
conceptual, es la correspondiente al rol que deben y pueden realizar los departamentos de
Auditora Interna en la implantacin y posterior desarrollo de los procesos de gestin de riesgos.
Ya hemos comentado que este Proceso es multiparticipativo, dado que afecta a todos los miembros
de la organizacin, por lo que debe existir una clara asignacin de responsabilidades, ya que, de
otra manera, se diluiran estas y no habra forma de identificar las medidas correctoras que pudieran
en su caso aplicarse.
Hemos visto como el Directorio debe asumir un papel protagonista, siendo el impulsor de su
implementacin, pero tambin decidiendo cuales son los objetivos estratgicos que deben guiar
la marcha de la organizacin, as como tambin debe decidir sobre la tolerancia al riesgo que se
entienda es compatible con esos objetivos.
A las gerencias operativas les corresponder la identificacin y evaluacin de los riesgos que afecten
a los procesos de los que ellos sean responsables, pero tambin decidiendo qu medidas son las
que deben aplicarse para que los riesgos observados se mantengan dentro del nivel de tolerancia
decidido. Mientras que Auditora Interna le corresponderan dos actividades: la del aseguramiento
del proceso establecido y la de consultor en su diseo e implementacin, pero ajustando su funcin
a determinadas reglas.
En el caso de las unidades de Auditora Interna, dado que estas tiene su principal campo de
actuacin en el elemento de COSO correspondiente a la SUPERVISIN, o lo que es lo mismo
monitorear, con lo cual pueden concluir sobre la eficacia y eficiencia de los procesos evaluados - en
el de gestin de riesgos tambin - el propio Instituto de Auditores Internos defini, dentro de todas
las actuaciones que pueden realizarse en un ERM, las que seran propias de Auditora Interna,
aquellas otras en las que no habra inconveniente en que pudiesen ser realizadas por Auditora y,
en ltimo lugar, las que en modo alguno deben ser asumidas por la Direccin de Auditora Interna.
Su representacin grfica corresponde con el semicrculo que recoge el slide, el cual analizndolo
de izquierda a derecha, refleja las tres situaciones que hemos comentado. Es destacable que el
propio Instituto de Auditores Internos entiende conveniente que la Auditora Interna pueda asumir
el papel de impulsor de este proceso, pero marcando una lnea roja que no debe traspasarse
en ningn momento, como es la toma de decisiones respecto del nivel de riesgo asumible por
la organizacin, ni la de decidir qu acciones deben realizarse para reconducir los riesgos a los
entornos considerados aceptables. En este sentido, si en determinadas situaciones al Director de
Auditora Interna se le asigna la responsabilidad de Gestor de Riesgos, como prolongacin de su rol
de impulsor del proyecto, debemos sealar que esto no resulta del todo aceptable, pues slo
basta recordar en este sentido lo indicado por la Norma. 1130. A2, que seala que Los trabajos de
aseguramiento para funciones en las cuales el Director de Auditora Interna tiene responsabilidades
deben ser supervisadas por alguien fuera de la actividad de auditora interna. Es decir habra
conflicto de intereses.

26 www.auditool.org
Autor: Jess Aisa Dez
Roles de la Auditora Interna

En una encuesta realizada por el Institute of Internal Auditors, se observa que en la actualidad, el
papel prioritario asumido por las Unidades de Auditora Interna en el proceso de la gestin de riesgos
es: el de proveer de orientaciones pertinentes a las organizaciones sobre la forma adecuada de
gestionarlos (77%), seguido de involucrarse en la formacin del proceso de gestin de riesgos
(48%), y en tercer lugar en la participacin en la implementacin del programa de gestin de riesgos
(45%).
Pudiendo apreciarse que, entre las expectativas respecto a la actividad que se espera desarrollen
las Unidades de Auditora Interna, se encuentra la de proveer aseguramiento independiente sobre la
gestin de riesgos; que es exactamente el rol que nos debe corresponder, una vez que el proceso
de gestin de riesgos est ya funcionando en la organizacin.
Ya hemos comentado que el proceso de gestin de riesgos es un proceso de mejora continua, pero
tambin de implementacin progresiva, en cuyo caso el rol a desempear por las Unidades
de Auditora Interna depender del grado de desarrollo que tenga dicho proceso, que como se
observar por lo indicado en el slide, en las primeras fases predomina la funcin consultora, en
tanto que en las fases de consolidacin se acta en el mbito del aseguramiento.

27 www.auditool.org
Autor: Jess Aisa Dez
Estado de Madurez ERM en una Organizacin

En resumen, el rol a desempear por Auditora Interna en el proceso de gestin de riesgos

depender del grado de madurez que el mismo tenga en el mbito de la empresa.
Siguiendo la secuencia que el propio COSO desarroll en el Marco Integrado sobre el proceso ERM,
esta se puede representar de forma grfica tal cual la recogemos en el grfico: su inicio debe
efectuarse con una definicin clara, comprometida y decidida por parte del Directorio en la existencia
de un adecuado entorno o ambiente de control dentro de la organizacin, para pasar
inmediatamente, y sin solucin de continuidad, en la definicin de la estrategia de la
organizacin, de la que se derivarn los objetivos a alcanzar por las distintas reas en las que
est dividida la organizacin, identificando para estos los procesos claves en los que se apoyan.

28 www.auditool.org
Autor: Jess Aisa Dez

Despus se han de identificar los acontecimientos que, de una forma positiva o negativa,
puedan afectar a la consecucin de las metas empresariales, evaluando su importancia, definiendo
el apetito al riesgo que en cada caso corresponda, comparndolo con los niveles de los
riesgos residuales que entendamos existen. De la diferencia que nos encontremos con la tolerancia
al riesgo que hayamos establecido, se deben adoptar las medidas correctoras que procedan,
concretando los controles que haya que implantar, para por ltimo, y con una participacin amplia
de Auditora Interna, realizar una supervisin de la eficacia del modelo implantado.

29 www.auditool.org