COSO

Evaluacin de Riesgos

Enterprise Risk Services

Noviembre, 2015
Contenido

Componente
Evaluacin de Riesgos

1. Especifica objetivos para la identificacin y

valoracin de los riesgos relacionados a dichos
Principios Relacionados

objetivos
2. Analiza los riesgos para determinar cmo
deben de administrarse
3. Considera la posibilidad de fraude en la
evaluacin de riesgos
4. Identifica y evala cambios que pueden
impactar significativamente la gestin de
riesgos

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Qu es el Riesgo?

Objetivos de una compaa

Los objetivos de una compaa son proteger el valor de sus activos
existentes y crear nuevos activos/valor para el futuro.
Valor para la compaa es el valor integrado para los stakeholders en su
totalidad (internos y externos).

Riesgo
Riesgo es el impacto y la probabilidad de que una amenaza (o de una
serie de eventos/ amenazas) puedan afectar de manera adversa la
consecucin de los objetivos.

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Tomar riesgos es bueno o es malo?

Riesgos No
Dos lneas de pensamiento recompensados
(prdida de valor)

El tomar riesgos es malo y es necesario evitarlo.

Riesgos
recompensados
(creacin de valor)

El tomar riesgos es bueno dentro de un marco/ contexto donde el riesgo sea bien
administrado.

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

El tomar riesgos es malo y es necesario evitarlo
(Preservacin del Valor)

El mercado castiga severamente el fallar en la preservacin de los activos existentes

(sin premio / el riesgo es malo)
Bottom-up y foco en las operaciones, reporte y cumplimiento.
La gran mayora de los esfuerzos para administrar el riesgo se enfocan en los activos
actuales y se realizan aisladamente.
El manejo tradicional del riesgo es probabilstico habitualmente no se trata el riesgo
en los extremos.
Riesgo sin retribucin, por ejemplo: no es atractivo el tomar riesgo cuando se
compara con la desventaja que implican las prdidas en las que se puede incurrir.

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

El tomar riesgos es bueno
(Creacin de Valor)

El mercado premia la habilidad de crear y sustentar el crecimiento futuro (algunos

riesgos valen la pena / son buenos)
Sin riesgo, no hay retribucin. Esta es la base del capitalismo, por ejemplo: Realizar
inversiones riesgosas y obtener buenos rendimientos de ellas.
Mejor entendimiento de lo ventajoso de las grandes inversiones y sus riesgos para
llegar al xito y como superarlos.
La direccin se enfoca en riesgos crticos para la estrategia de la empresa y su
ejecucin.
La toma de riesgos tiene retribuciones, por ejemplo: las compaas reciben premios
por tomar y administrar eficazmente los riesgos asociados con nuevos productos,
nuevos mercados, nuevos modelos de negocios, alianzas, adquisiciones, etc.

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

1. Especifica objetivos
para la identificacin y
valoracin de los
riesgos relacionados a
dichos objetivos
2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Asociando riesgos a los objetivos y creadores de
valor
Un programa de administracin integral de riesgos provee un proceso para la identificacin, valoracin
y respuesta de riesgos que impactan el cumplimiento de los objetivos e iniciativas estratgicas de la
Compaa.

La asociacin entre crecimiento, riesgos y retorno ha sido identificado como el beneficio nmero 1 que
las compaas esperan de un programa de administracin de riesgos

Creacin de valor

Generadores de Administracin de Manejo de

Generacin de ingresos Control de costos
valor capital expectativas

Objetivos

Riesgos estratgicos, operacionales, de cumplimiento y de procesos

Ocasionados por la estrategia, la gente, los procesos, sistemas y factores externos
Riesgos
Prioritarios
Proceso de administracin de riesgos utilizado para identificar, escalar, evaluar, priorizar,
responder, monitorear y reportar riesgos que impactan el cumplimiento de los objetivos de
una Compaa

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Anlisis de la estrategia

1. Riesgo a la estrategia: Qu tiene que salir bien para que una estrategia sea
exitosa?
- En qu supuestos se basa la estrategia?
- Qu podra impedir que la estrategia sea exitosa?

2. Riesgo de la estrategia: Qu impacto podra tener esta estrategia en nuestro

negocio y en otras iniciativas?
- Consecuencias de la ejecucin de la estrategia

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Estrategia de Administracin de Riesgos

Vinculacin del Riesgo con los objetivos y la estrategia

Indicadores
Iniciativa Riesgos
claves de
Estratgica #1 Potenciales
Crecimiento Riesgos (KRIs)
de Ingreso
Indicadores
Iniciativa Riesgos
claves de
Estratgica #2 Potenciales Riesgos (KRIs)

Estrategia de Administracin de Riesgo

Indicadores
Iniciativa Riesgos
Valor para claves de
Estratgica #3 Potenciales
Margen de Riesgos (KRIs)
los
Operacin
Accionistas Indicadores
Iniciativa Riesgos
claves de
Estratgica #4 Potenciales Riesgos (KRIs)

Estrategia de Administracin de Riesgo

Indicadores
Iniciativa Riesgos
claves de
Eficiencias Estratgica #5 Potenciales Riesgos (KRIs)
de los
Activos Indicadores
Iniciativa Riesgos
claves de
Estratgica #6 Potenciales Riesgos (KRIs)

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Categoras de Riesgos
Las cuatro categoras ms relevantes desde la
perspectiva de un inversionista son:

1.Riesgos estratgicos riesgos tanto para los

objetivos estratgicos como de los objetivos
estratgicos. La alta gerencia (C-suite) identifica
los riesgos ms importantes a travs del proceso
de planificacin y obtiene aprobacin de la Junta. Vigilancia
Tono desde la
2.Riesgos Operativos grandes riesgos que Direccin
afectan la habilidad de la organizacin para lograr
Estratgico
el plan estratgico.
Infraestructura Comn de
Riesgo
3.Riesgos Financieros incluyen informacin
Gente Procesos Tecnologa
financiera, valoracin, cobertura, riesgos de
mercado y liquidez y riesgos de crdito en Financieros Operativos Cumplimiento
instituciones financieras. Proceso de Riesgos
Respon Disear,
implemen- Supervisar,
4.Riesgos de Cumplimiento riesgos no Identificar
riesgos
Evaluar
riesgos
Integrar
riesgos
der a
los
tar y
probar
asegurar y
escalar
riesgos controles
compensados, generalmente el foco principal
Clasificacin de Riesgos
para las actividades de gestin de riesgo
Gobierno Estrategia y Operaciones e Cumplimiento Reporte
empresarial Planeacin Infraestructura financiero

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Administracin del Riesgo basado en Valor
Valor para la Riesgos de la
Compaa Compaa
La Administracin es responsable
por crear y preservar valor en la
Compaa Gobierno
Crecimiento
de Ganancias
Estrategia
1. Cmo la compaa puede fallar en
Margen
Operativo
alcanzar sus objetivos de valor ?
Capital
2. Qu puede causar dicha falla?
Eficiencia de Operaciones
activos
3. Cules seran los efectos de la falla?
4. Qu se est haciendo actualmente Infraestructura
para prevenir, detectar, corregir o (Reporting/
Expectativas Compliance)
escalar dicha falla?
5. Cul es nuestra vulnerabilidad Factores
Externos
a dicha falla?

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

El Rol de la Alta Direccin
El Consejo de Administracin est involucrado en el ejercicio de supervisin del
Control Interno para cada uno de los cinco componentes de COSO; en cuanto a la
Evaluacin de Riesgos a continuacin se sealan las actividades realizadas:
Componente de Control
Actividades de supervisin de la Junta
Interno
Supervisar la definicin y aplicacin de los estndares de conducta de la
Ambiente de Control
organizacin.

Desafiar a las Gerencias en la Evaluacin de Riesgos para el logro

de objetivos, incluyendo el impacto potencial de cambios significativos
Evaluacin del Riesgo
(ejemplo: el Riesgo de entrar en un mercado nuevo), fraude o
corrupcin.

Actividades de Control Supervisar a las Gerencias en su desempeo de actividades.

Obtener, revisar y discutir informacin de la Compaa relacionada con el

Informacin y Comunicacin
cumplimiento de objetivos.

Evaluar y supervisar la naturaleza y el alcance sobre el monitoreo de las actividades,

cualquier incumplimiento o falta de apego a los controles por parte de la administracin
Actividades de Monitoreo
(brincarse los controles), as como las evaluaciones de la administracin y
remediacin de deficiencias.

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

2. Analiza los riesgos
para determinar cmo
deben de administrarse

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

 Identificacin de riesgos
Gobierno de control
Cdigo de tica
Marco de control de operaciones
Canales de denuncias Operaciones
Disponibilidad de equipos de
Reemplazo de reservas de O&G perforacin.
Industria de O&G opera con recursos Logstica dispersa que expone a la
no renovables. Riesgo: continuidad compaa a robos, atentados,
operativa est basada en el accidentes, etc. Interrupciones de
reemplazo de los volmenes Gobierno la produccin por Incendios, etc.
producidos. Seleccin de reas.
Corporativo

Operaciones e
Estrategia
Infraestructura

Disponibilidad de capital
Industria de capital intensivo que
Medio Ambiente Organizacin requiere de fuertes inversiones en
Regulaciones de Medio forma continuada
Ambiente

Cumplimiento Reporte

Riesgo regulatorio Informes de Gestin /Societarios

La industria de O&G se Requerimiento de Edos
encuentra sujeta a un fuerte Financieros (impairments,
escrutinio de organismos estimacin de reservas, abandono
gubernamentales a nivel de activos, etc.).
mundial. KPIs.
Informes de Gestin / Presupuesto
2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Identificacin de riesgos (cont.)

Cules son los desafos en la identificacin de riesgos?

Los riesgos por definicin son potenciales, en consecuencia difusos.

Toda actividad se enfrenta a mltiples riesgos, y nunca existe la certeza absoluta de

haberlos identificado en su totalidad.

Los actores no entienden siempre lo mismo por riesgo: se confunde la historia con la
probabilidad, y la no deteccin con la no ocurrencia.

Sin saber los objetivos establecidos, es difcil hacer propuestas efectivas de gestin de
riesgos y que generen valor.

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

10 Riesgos frecuentemente divulgados*

Ranking Riesgos Divulgados Menciones

1 Condiciones Econmicas / Cambios 294
2 Cambios Legales/ Regulatorios/ Ambientales Adversos 288
3 Competidores y Acciones Competitivas 281
Interrupciones del Negocio (incluyen interrupciones de
4 277
suministro y desastres naturales/ problemas climticos)
5 Litigios / Problemas de Capital Intelectual 213
Estrategia de Fusiones y Adquisiciones / Ejecucin /
6 192
Integracin
7 Estabilidad Poltica / Riesgo Pas 189
Cambios no Anticipados sobre la Demanda de los
8 187
Consumidores/ Preferencias
9 Inhabilidad de Desarrollo/ Nuevo Productos de Mercado 156
10 Actividades Terroristas/ Guerra/ Malestar 149
* Riesgos divulgados pblicamente en Reportes anuales (10K) de Compaas Pblicas en Estados Unidos

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Evaluacin de Riesgos
Riesgo Inherente y Residual
El Riesgo Inherente es el riesgo existente ante la ausencia de alguna
accin que la direccin pueda tomar para alterar tanto la probabilidad o el
impacto del mismo.
RIESGO INHERENTE= PROBABILIDAD inh * IMPACTO inh
Impacto Inh: impacto de un evento, sin considerar las acciones y controles mitigantes.
Probabilidad Inh: probabilidad de ocurrencia de evento no deseado sin considerar las
acciones y controles mitigantes.

Definidos los riesgos inherentes se deben identificar los controles mitigantes y de

ah resulta el riesgo residual:

El Riesgo Residual es el riesgo que persiste luego de la respuesta de la

Direccin al Riesgo.
RIESGO RESIDUAL = RIESGO INHERENTE EFECTIVIDAD DE CONTROLES
o RIESGO RESIDUAL = PROBABILIDAD res * IMPACTO res

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Evaluacin de Riesgos
Riesgo Inherente y Residual (cont.)
La Evaluacin del Riesgo se aplica primero al Riesgo Inherente.
Una vez que se desarrollaron las respuestas a los riesgos, la Direccin
considera el Riesgo Residual.
Las iniciativas efectivas de ERM requieren que se evale el Riesgo
Inherente y el Residual.

Consideraciones de Riesgo Inherente

Las personas suelen ser demasiado optimistas sobre su habilidad para
administrar el riesgo.
Una compaa necesita asegurarse que entiende el riesgo inherente y que
ha administrado el mismo de forma tal que se encuentre dentro de su perfil
de riesgo (Apetito de Riesgo), es decir que acepta la vulnerabilidad.

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

 Evaluacin del riesgo
Mapeo de los riesgos inherente al riesgo residual
A
2do Paso
(Riesgo inherente)

Riesgo Residual
Impacto

A Marco MARCI
Evaluacin
de

(Riesgo Residual)
controles Aseguramiento Aumento de
de preparacin mitigacin del

Impacto
riesgo
A
M
Prevenir
Detectar
Corregir
Escalar CI
B A R
Probabilidad Medida del
Reubicar
(Riesgo Inherente) recursos impacto
acumulativo
1er Paso B
Riesgo Inherente Vulnerabilidad A
(Riesgo Residual)
2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Mantener el equilibrio riesgo vs recompensa

Evitar un enfoque de "una sola vista"

en la proteccin de valor

Se requiere una toma de riesgos

"inteligente" hacia riesgos que crean
valor

Priorizar la atencin en riesgos a los

objetivos estratgicos

Alinear los objetivos de administracin

de riesgos con las iniciativas y
objetivos estratgicos

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Enfoque en el costo total del riesgo
racionalizando el costo de la mitigacin
El Costo de Fallar (COF) frecuentemente
es disperso, difcil de cuantificar y Cost of
muchas veces se esconde por debajo de
lo visible Risk Management
El COF muchas veces es mayor que el
costo que implica administrar riesgos

Racionalizar el costo y los esfuerzos

para administrar riesgos debe hacerse
considerando el apetito al riesgo
Cost of
El costo total del riesgo debe de ser Failure
calculado y considerarse en la
priorizacin de las opciones de
respuesta al riesgo

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

3. Considera la
posibilidad de fraude en
la evaluacin de riesgos

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Introduccin
Qu es fraude?
Fraude es engaar o aprovecharse del error de una persona de manera intencionada
para hacerse ilcitamente de alguna cosa o alcanzar un lucro indebido. (1)
Existen diversos factores de riesgo que pueden propiciar el fraude en las
organizaciones, por ejemplo:

Procesos
Falta/ debilidad de controles
Falta de polticas y procedimientos, falta
de apego por parte del personal
Documentacin confusa
Alteracin de informacin
Falta de supervisin a las operaciones
Conflictos de inters
Administracin
Directivos que controlan ms de una
funcin clave
Ausencia de auditoras peridicas
Inadecuado resguardo de informacin
sensitiva/ confidencial
Ausencia de un cdigo de conducta
(sanciones)
Personal
Baja o alta rotacin del personal
Salarios bajos vs nivel de
responsabilidad
Exceso de confianza del empleado
Falta de personal backup en posiciones
clave
Personal sin ausencias sin rotacin
Riegos de
fraude Sistemas
Inadecuada segregacin de funciones
Falta/ debilidad de controles
automticos
Falta de administracin de accesos de
los usuarios a sistemas
Falta/ debilidad en el monitoreo de
operaciones

(1) Fundamento Legal del Cdigo Penal Federal, Artculo 386 al 389 y lo aplicable del Libro Segundo, Ttulo Dcimo.
2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Combatir el fraude desde el origen atacar las
causas y no solo los sntomas
Compaas lderes llevan a cabo las
siguientes actividades como parte de un
programa formal antifraude: Crear un
Educar a los lderes sobre las implicaciones y ambiente de
consideraciones de negocio de los riesgos de control
fraude
Definir el alcance y objetivos de un programa Ejecutar
antifraude evaluaciones
de riesgos de
Documentar las actividades antifraude Monitorear fraude
actividades
existentes en la compaa
Evaluar las actividades antifraude existentes
en la compaa
Identificar reas potenciales de remediacin Compartir Disear e
Establecer y ejecutar un plan para la informacin y implementar
comunicacin actividades de
remediacin control
Crear documentacin soporte antifraude
Conducir recorridos o "walthroughs" formales
Capacitar sobre conciencia de fraude,
evaluacin de riesgos de fraude, tica y
valores
Monitorear la efectividad de los controles

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Tendencias en la gestin de riesgos de fraude
Cules han sido y sern los motivadores y mviles de fraude ms frecuentes
en su organizacin?

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Tendencias en la gestin de riesgos de fraude

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

4. Identifica y evala
cambios que pueden
impactar
significativamente la
gestin de riesgos
2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Monitoreo de alertas tempranas atencin en
las mtricas correctas

Los indicadores clave de riesgos

representan medidas que indican la
presencia potencial, estado o tendencia
de una condicin de riesgo

Cuando son diseadas y utilizadas

correctamente, las mtricas de riesgos
tienen un valor predictivo y pueden
actuar como alertas tempranas para
permitir acciones anticipadas

29 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Evaluar el riesgo con un nuevo giro ubicar el
Cisne Negro antes de que l te encuentre
En el libro The Black Swan, Nassim
Taleb describe el impacto de eventos
Plot risks according to the risk factors on a risk map ID Key Risks Category
to visualize the prioritization of key enterprise risks.
A International M&A Strategy

H
B Competitive Actions

altamente improbables C
D
Consumer Demands
Country Risk
E B
Evaluar riesgos con base en probabilidad C E New Product Development
G F Disaster Recovery
A F

Impact on Value
G Product Supply
asumida ha llevado a fallas catastrficas J H IT Security
I Tax
y grandes oportunidades perdidas D J Legal/Regulatory Changes

La mayor parte de las herramientas y I Speed of Onset

Days or Weeks
mtodos de identificacin de riesgos son H
Months
retrospectivas. En un mundo cambiante,
L Vulnerability H Years

las premisas tradicionales no

permanecen verdaderas
Una nueva visin del riesgo implica
considerar impacto vs vulnerabilidad vs
velocidad de aparicin, dejando en un
segundo plano a la probabilidad.
Proporciona un enfoque mejorado para
priorizar la respuesta a los riesgos

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Deloitte se refiere a Deloitte Touche Tohmatsu Limited, sociedad privada de responsabilidad limitada en el Reino Unido, y a su red de firmas miembro,
cada una de ellas como una entidad legal nica e independiente. Conozca en www.deloitte.com/mx/conozcanos la descripcin detallada de la estructura
legal de Deloitte Touche Tohmatsu Limited y sus firmas miembro.

Deloitte presta servicios profesionales de auditora, impuestos, consultora y asesora financiera, a clientes pblicos y privados de diversas industrias.
Con una red global de firmas miembro en ms de 150 pases, Deloitte brinda capacidades de clase mundial y servicio de alta calidad a sus clientes,
aportando la experiencia necesaria para hacer frente a los retos ms complejos de los negocios. Cuenta con ms de 210,000 profesionales,
todos comprometidos a ser el modelo de excelencia.

Tal y como se usa en este documento, Deloitte significa Galaz, Yamazaki, Ruiz Urquiza, S.C., la cual tiene el derecho legal exclusivo de involucrarse en,
y limita sus negocios a, la prestacin de servicios de auditora, consultora fiscal, asesora financiera y otros servicios profesionales en Mxico,
bajo el nombre de Deloitte.

Esta publicacin slo contiene informacin general y ni Deloitte Touche Tohmatsu Limited, ni sus firmas miembro, ni ninguna de sus respectivas afiliadas
(en conjunto la Red Deloitte), presta asesora o servicios por medio de esta publicacin. Antes de tomar cualquier decisin o medida que pueda afectar sus
finanzas o negocio, debe consultar a un asesor profesional calificado. Ninguna entidad de la Red Deloitte, ser responsable de prdidas que pudiera sufrir
cualquier persona o entidad que consulte esta publicacin.