Créditos

Elaborado por:

SoftExpert
Brasil
Título Original: “5 ETAPAS FUNDAMENTALES
PARA UNA GESTIÓN DE RIESGOS EFICAZ”.

Editado por:

Baker Tilly
Business Consulting
Servicios de GRC
Colombia

Este documento es gratuito, para obtener una copia

solo debe solicitarla atreves del sitio:
www.grctotal.com

Queda prohibida la reproducción total o parcial de esta

publicación, por cualquier medio o procedimiento, sin
para ello contar con la autorización previa, expresa y
por escrito de Baker Tilly o SoftExpert. Toda forma de
utilización no autorizada será perseguida con lo
establecido en la ley del derecho de autor. Derechos
Reservados Conforme a la ley, ©.

Para más información visite:

www.grctotal.com
www.softexpert.com

2018
Contenido
Contenido ........................................................................... 3
Introducción. ....................................................................... 4
Definición de ERM según COSO ........................................ 5
1. Identificación de los riesgos ...................................... 7
2. Evaluación de los riesgos ......................................... 9
3. Tratamiento de los riesgos ...................................... 11
4. Monetización de los riesgos .................................... 12
5. Comunicación de los riesgos .................................. 13
SoftExpert ......................................................................... 14
Baker Tilly International .................................................... 15
Servicios de Consultoría en GRC ..................................... 16
GRC Consulting Services ................................................. 17
Contactos.......................................................................... 18
Introducción

La gestión de riesgos es un tema cada vez más importante

para los negocios y las empresas han demostrado mayor
preocupación frente a sus riesgos, Los riesgos son
importantes para las decisiones estratégicas, son la principal
causa de las incertezas en las organizaciones y están
presentes en las actividades más simples de una empresa.
Un abordaje amplio y corporativo de la gestión de riesgos
permite que una organización contabilice el potencial
impacto de todos los tipos de riesgo en todos sus procesos,
actividades, productos y servicios.

La premisa inherente a la gestión de riesgos corporativos

(ERM — Enterprise Risk Management) es que toda
organización existe para generar valor a las partes
interesadas. Todas las organizaciones enfrentan incertezas
y el desafío de sus administradores es determinar hasta qué
punto se debe aceptar esa incerteza y definir cómo ella
puede interferir en el esfuerzo para generar valor a las partes
interesadas. Las incertezas representan riesgos y
oportunidades que tienen potencial para destruir o agregar
valor. La gestión de riesgos corporativos posibilita que los
administradores traten con eficacia esas incertezas, bien
como los riesgos y las oportunidades a ellas asociadas, a fin
de mejorar la capacidad de generar valor.
De acuerdo con COSO, ERM
puede ser así definido:

La gestión de riesgos corporativos es un proceso conducido

en una organización por el consejo de administración,
dirección y demás empleados, aplicado en el
establecimiento de estrategias, formuladas para identificar
en toda la organización eventos en potencial, capaces de
afectarla, y administrar los riesgos de modo que se
mantengan compatibles con el apetito al riesgo de la
organización y proveer garantía razonable del cumplimiento
de sus objetivos.

Una iniciativa exitosa de gestión de riesgos corporativos

puede afectar la probabilidad y el impacto de posibles
riesgos, así como proporcionar beneficios relacionados a
decisiones estratégicas mejor fundamentadas, procesos de
cambio exitosos y aumento de la eficiencia operacional.
Otros beneficios incluyen la reducción del costo del capital,
informes financieros más precisos, ventaja competitiva,
mejora de la percepción de la organización, mejor presencia
de mercado y, en el caso de organizaciones de servicio
público, perfeccionamiento en el apoyo político y
comunitario.
 En un proceso de gestión de riesgos pueden
existir varias etapas y actividades. Pero el ciclo
de vida completo de la gestión de riesgos puede
ser resumido en sólo 5 de ellas, que son la base
para los principales reglara entes de gestión de
riesgos, incluyendo el COSO y la ISO 31000

1 2 3
IDENTIFICACIÓN EVALUACIÓN TRATAMIENTO

4 5
MONITORIZACIÓN COMUNICACIÓN
 1. Identificación de los riesgos

Define los objetivos corporativos y

operacionales. Es muy importante tener
claridad en los objetivos antes de comenzar a
identificar los riesgos. Eso va a permitirle
identificar eventos que influencien en su
capacidad de alcanzar sus objetivos.

1 Liste todos los riesgos relevantes. Normalmente

el mejor proceso para diseñar una larga lista de
riesgos potenciales es una combinación de
sesiones de brainstorming con entrevistas
individuales. Usted debe buscar riesgos de
todos los tipos, como financiero, gestión,
reputación, económicos, medio ambiente,
tecnología y fraude, y en todas las áreas.

Identifique los factores de riesgo. Usted precisa tentar

identificar causas probables para los riesgos – lo que
puede haber hecho aparecer el riesgo por primera vez.
Puede haber solamente una causa para un riesgo, así
como también puede haber muchas.

Especifique las medidas de control existentes. Para

muchos riesgos usted ya tendrá algunas medidas
existentes para controlar la probabilidad o el impacto
de su ocurrencia. Para que sean eficaces, estos
controles internos deben ser demostrables a través de
políticas, procedimientos o prácticas. Una pregunta
clave es si los controles existentes son adecuados o si
son necesarios controles adicionales para la gestión
eficaz de cada riesgo.
Defina a los responsables. Para una gestión de riesgos
eficaz, es importante que cada riesgo tenga a un
responsable, garantizando que los controles internos
estén funcionando y que sean tomadas acciones de
tratamiento relevantes. Esa función también abarca
monitorizar regularmente la situación del riesgo y
ajustar su evaluación con base en las informaciones
más actualizadas.
 2. Evaluación de los riesgos

Evalúe la probabilidad de ocurrencia de los

riesgos. Para llegar al resultado de la
evaluación del riesgo usted precisa primero
analizar la probabilidad de que el riesgo se
manifieste, considerando los controles
existentes que están activos. Esa tarea puede

2
no ser tan fácil y los criterios varían de acuerdo
con los tipos de los riesgos.

Evalúe el impacto de los riesgos. El impacto de

un riesgo es normalmente definido
considerando el nivel de severidad de ese
impacto. Definir reglas para evaluar los
impactos es más complejo que para evaluar la
probabilidad, ya que en muchos casos esa
evaluación es sólo cualitativa.

Obtenga el resultado final de la evaluación. El

resultado final proviene de la combinación de las
evaluaciones de probabilidad y de impacto,
normalmente a través de la multiplicación de sus
coeficientes, generando la llamada “matriz de
evaluación de riesgos”. Es común dividir la matriz en
colores para proporcionar un abordaje más visual para
la situación del riesgo, en complemento a su resultado
cuantitativo.
Priorice los riesgos y defina el apetito de riesgo. No es
posible librarse de todos los riesgos, entonces
algunos precisarán ser tratados. Sin embargo, es
importante definir cuál será la tolerancia de la
organización para con los riesgos y entonces definir
una prioridad para cada riesgo, de acuerdo con esta
tolerancia (apetito). Definir una prioridad le da una
información secundaria sobre el riesgo, en
complemento a su situación, así usted puede
identificar rápidamente los riesgos más significativos
o urgentes.
3. Tratamiento de los riesgos

Defina el tipo de respuesta al riesgo.

Existen cuatro tipos genéricos de
respuestas que usted puede dar a los
riesgos: tolerar, transferir, tratar y

3
eliminar. Los méritos relativos y los
aspectos prácticos de cada abordaje
van a depender en gran parte de la
naturaleza del riesgo, y especialmente
del nivel de prioridad atribuido a él. Para
todos los riesgos, con excepción de
aquellos que usted está “tolerando”, es
necesario articular un plan de acción de
mitigación para prevenir, reducir o
transferir el riesgo.

Cree acciones de mitigación para los riesgos prioritarios.

Usted precisa crear un plan de acción de mitigación para
todos los riesgos que usted quiere tratar. El objetivo de las
acciones de mitigación no es necesariamente eliminar el
riesgo completamente, sino reducirlo a un nivel aceptable.
Usted también precisa considerar la relación costo/beneficio
al decidir por tratar o no un riesgo.
 4. Monitorización de los riesgos

Reevalúe los riesgos regularmente. El principal objetivo al

monitorizar riesgos es garantizar que los riesgos de la
organización estén siendo administrados de forma eficaz. La
evaluación de los riesgos debe ser revisada regularmente
por su responsable y esta actualización debe basarse:

 En el progreso de las acciones de tratamiento y otras

acciones que pueden afectar al perfil del riesgo.

 En la identificación de nuevos riesgos y

4 factores que puedan haber surgido desde la

última evaluación.

Para ayudar en las reuniones de revisión

periódicas, existe mucha información adicional que
usted puede usar cuando vaya a reevaluar sus
riesgos. Por ejemplo, el historial de incidentes le va a
dar una indicación de qué tan eficaces son los
tratamientos y los controles internos. Funciones,
reportes e indicadores que garantizan su
aseguramiento.
5. Comunicación de los riesgos

Consolide la información y verifique el progreso de los

riesgos. La comunicación en un proceso de gestión de
riesgos se aplica en todas las etapas del ciclo de vida del
riesgo, aunque se pueda decir que ella es más crítica en la
etapa de monitorización. La forma de que se comunique el
resultado de los riesgos es algo que debe ser planificado y
definido al inicio del proceso de gestión, ya pensando en el
contenido, formato y frecuencia de la divulgación.

Perfil de los riesgos, riesgos críticos, progreso

de los planes de mitigación, situación de los

5 riesgos, tendencia y mapas de calor (heat

maps) son algunos de los tipos de informes o
dashboards que usted querrá tener en cada
etapa del proceso de gestión de riesgos.
SoftExpert
SoftExpert es la empresa líder de mercado en soluciones
para la excelencia en gestión, ofrece softwares y servicios
para mejoría de procesos de negocio, conformidad
reglamentar y gobernanza corporativa.

Fundada en 1995 y en la actualidad con más de 2 mil clientes

y 300 mil usuarios alrededor del mundo, las soluciones de
SoftExpert son utilizadas por empresas de los más variados
portes y áreas de actuación, incluyendo manufactura,
gobierno, farmacéutico, hospitales y laboratorios, servicios
financieros, alta tecnología y TI, educación, energía y utilidad
pública, logística, comercio minorista, servicios, entre otros.

En conjunto con su red de aliados nacionales e

internacionales, SoftExpert ofrece servicios de implantación,
entrenamiento, hospedaje, validación, soporte y asistencia
técnica, con la intención de asegurar que sus clientes
obtengan siempre el máximo retorno de sus inversiones

SoftExpert Excellence Suite

Baker Tilly International
Constituida en 1987, con sede principal en Londres, es una
de las nueve (9) más importantes redes de firmas de
Contadores Públicos y Consultores Gerenciales a nivel
mundial.

Hace presencia con 126 firmas y una nómina de más de

30.000 empleados directos en 769 oficinas de 147 países,
manteniendo un crecimiento sostenido por la calidad de los
servicios prestados y los exigentes requisitos éticos y
técnicos para las firmas miembro.

Norte
América
Latinoamérica
Asia - Pacífico
Europa,
Oriente
Medio y África
(EMEA)
Servicios de Consultoría en GRC
Prestamos servicios de consultoría de alto valor agregado
con especialización en Prácticas Integradas de Gobierno,
Riesgo y Cumplimiento (GRC), apoyados en una
metodología denominada GRCMaX® con la capacidad para
diagnosticar, medir niveles de madurez y desarrollar planes
de Optimización del Desempeño, Riesgo, Control y
Cumplimiento, integrados con la Arquitectura Empresarial y
el Aseguramiento.

Nuestra metodología opera sobre soluciones tecnológicas

estructuradas para Suites GRC, Arquitectura Empresarial:
BPM, BPA y Automatización de Procesos.

Servicios
Diagnóstico, diseño e implementación de:

 Modelos Integrados de GRC (Gobierno, Riesgo,

Cumplimiento)
 Gobierno Corporativo
 Gestión Integral de Riesgos y Controles
 Auditoría Interna
 Cumplimiento Normativo
 Procesos (Arquitectura y Automatización de
Procesos)
 Modelos de Integración y Aseguramiento de
Tecnología
 Modelos de Alineación Estratégica
 Estándares Internacionales para Reportes
Financieros e Integrados
 Arquitectura Empresarial
 Gestión de Calidad

Capacitaciones

Brindamos capacitación en todas nuestras áreas de

especialización, en particular para fines de la certificación
internacional de GRCP con el auspicio de OCEG.
GRC Consulting Services
We provide consulting services with high added value
specialized in Integrated Corporate Governance Practices,
Risk Management and Compliance (GRC), based on a
methodology denominated GRCMaX® with the capacity to
diagnose, measure maturity levels, and develop plans of
Performance Optimization, Risk, Internal Control, and
Compliance, integrated with the Enterprise Architecture and
Assurance.

Our methodology operates on a solid technological platform,

structured under GRC Suites, as well as Enterprise
Architecture Solutions: BPM, BPA and Process Automation.

Services

Assessment, design and implementation of:

 Integrated GRC Models (Governance, Risk,

Compliance)
 Corporate Governance
 Integral Management of Risks and Controls
 Internal Audit
 Normative Compliance
 Processes (Architecture and Process Automation)
 Integration and Assurance Models of Technology
 Models of Strategic Alignment
 International Financial and Integrated Reporting
Standards
 Enterprise Architecture
 Quality Management

Training

We also provide training in all our areas of expertise, in

particular for the international certification of GRCP with the
sponsorship of OCEG and GRC Certify.
Contactos
Ricardo Vásquez Bernal
Socio Director - Colombia
Líder del Comité de GRC para Latam
Director de Servicios de GRC
Calle 90 No. 11A – 41 - Bogotá
T: +57 (1) 616 7788
rvasquez@bakertillycolombia.com
Norberto Saraceni
Socio – Argentina
Líder de Servicios de GRC en
Argentina
Av. Corrientes 311 - Piso 7º
Buenos Aires - C1043AAD
T: +54 11 5352 2400
Fax: +54 11 5235 3537
nsaraceni@bakertillyargentina.com
John Milner
Socio - México
Líder de Servicios de GRC en
México
T: +52 (55) 6821 3085
M: +52 1 (55) 60090377
Torre Prisma Ave. Insurgentes
Sur 1647
Col. San José de Insurgentes,
Delegación Benito Juárez,
Ciudad de México
C.P. 03900
jmilner@bakertillymexico.com
Marcelo Kirsinger
Andrés Magna G.
Socios - Chile
Líderes de Servicios de GRC en
Chile
T: +56 2 3679450
T: +56 32 218 8530
Padre Mariano 272, oficina 602
Providencia – Santiago
T: + 56 2 23679450
amagna@bakertillychile.cl
mkirsinger@bakertillychile.cl
Manuel Saco
Socio - Perú
Lider de Servicios de GRC en
Perú
Baker Tilly Perú Ltda, Lima
Calle Germán Schreiber
Nº 283San Isidro Lima
Perú
T. +51 1206 6700F. +51 1206 6700
msaco@bakertillyperu.com.pe
Alexandre Labetta T. +503 2556 0505
Socio - Brasil T. +503 2556 1740 / 41
Líder de Servicios de GRC en F. +503 2556 0504
Brasil angela.osorio@acn.com.sv
T: +55 11 51022510
Rua Arizona 1349, 1 Andar - Brooklin Ruddy Santos
Sao Pablo Baker Tilly Guatemala, Guatemala City
alexander.labetta@bakertilly.co.br Avenida Reforma 6-39
Zona 10 Centro Corporativo Guayacán
Pedro Chalas Nivel 8 Oficina 802
William Martínez Guatemala City
Socios – R. Dominicana Guatemala
Santo Domingo 01010
Calle Fernando Escobar Hurtado #8 T. +502 2423 0800
Ensanche Serralles F. +502 2423 0808
Santo Domingo – R. Dominicana rsantos@grupocfe.com
T. +1 (809) 621 3306
F. +1 (809) 732 7018 Fernando J. Gomez
pedro.chalas@bakertillyrd.com Baker Tilly Nicaragua, Managua
william.martinez@bakertillyrd.com Altamira
35 Calle SE
Dolly E. Díaz B. Avenida 26 SE
Abaco Public Accountants, Casa No.293
Dr. César López Moreira Managua
451 c/ Av. Aviadores del Chaco Nicaragua
Edificio Royal Tower T. +505 227 00615
Piso 3º - CP N° 1766 fgomez@bakertillynicaragua.com
Asunción – Paraguay
dolly.diaz@abacont.com.py Gonzalo Hordeñana
Baker Tilly Uruguay, Montevideo
Fernando Villazón Juncal 1305 - P 13
Baker Tilly Bolivia, La Paz Montevideo – Uruguay
Edificio Gamarra Sur T. +598 2917 0045
Planta Baja F. +598 2916 6907
Avenida Sánchez Bustamante gonzaloh@bakertillyuruguay.com.uy
# 689 entre calles 12 y 13 de Calacoto
La Paz – Bolivia German León
T. +591 277 1239 Baker Tilly Venezuela, Caracas
fernando.villazon@villazonmartinez.com Avenida Francisco de Miranda
Torre Libertador Núcleo A, Piso 10
Hernán Sánchez Oficina 104 y 105, Chacao
Baker Tilly Ecuador Cía. Ltda., Quito Caracas – Venezuela
Av. Amazonas 4600 y Pereira, Edificio T. +58 (212) 264 3721
Exprocom 5th Floor Office 502 F. +58 (212) 263 0547
Quito – Ecuador german.leon@bakertillyvenezuela.com
T. +593 (2) 226 6283
F. +593 (2) 226 6284 Maria Irias
hsanchez@bakertillyecuador.com Irias & Asociados S. de R.L., Tegucigalpa
Col. Humuya 2ª Calle Sendero Ámbito
Ángela Osorio Edificio OMCAL
Baker Tilly El Salvador, San Salvador Tegucigalpa No 2129
Calle 1, casa #113 Tegucigalpa – Honduras
Colonia La Mascota T. +504 2239-2663
Entre Calle Loma Linda y Calle T. +504 2239-3141
La Mascota maria_irias@iriasyasociados.com
San Salvador - El Salvador