Riesgos Operacionales

Ejemplo de Metodología de Generación del Mapa de Riesgos*

NIVEL
NIVEL I I NIVEL
NIVEL NIVEL II
III IINIVEL NIVEL III
IV NIVEL IV
Gestión de servicios
Gestión de cobros y pagos
Servicios de Extranjero
Servicios de Valores
Servicios de Medios de Pago
Gestión de Tarjetas
Alta y renovación de Tarjetas
Estampación de Tarjetas
Distribución de Tarjetas
Procesamiento de Operaciones de Tarjetas
Gestión y Control del fraude negocio emisor (tarjetas propias)
Atención de Consultas y Resolución de incidencias/reclamaciones
Gestión de Cajeros
Evaluación y Alta de puntos de Cajeros
Adquisición de cajero
Instalación y Mantenimiento de cajeros
Procesamiento de Operaciones en Cajeros
Atención de consultas y resolución de incidencias/reclamaciones en cajero
Gestión del fraude en cajeros propios
Gestión de TPV's
Evaluación y Alta de puntos de venta
Alta de comercios
Baja de comercios
Instalación y mantenimiento de TPV´s
Procesamiento de Operaciones de Comercios
Gestión y Control del fraude negocio adquirente (TPV´s propios)
Atención de Consultas y Resolución de incidencias/reclamaciones
ISO 31000 2018
 ISO 31000:2018

Objeto – Campo de aplicación

• La norma ISO 31000 proporciona directrices

para gestionar el riesgo al que se enfrentan las
organizaciones.

• La aplicación de estas directrices puede

adaptarse a cualquier organización y a su
contexto.

• Proporciona además un enfoque común para

gestionar cualquier tipo de riesgo y no es
específico de una industria o un sector.

49
 ISO 31000:2018
Componentes de la Gestión de Riesgos 

Principios

Marco de Referencia Proceso de Gestión

50
 ISO 31000:2018
Términos y definiciones

RIESGO: efecto de la incertidumbre sobre los objetivos

Nota 1: Un efecto es una desviación respecto a lo previsto. Puede ser positivo, negativo
o ambos, y puede abordar, crear o resultar en oportunidades y amenazas.

Nota 2: Los objetivos pueden tener diferentes aspectos y categorías, y se pueden

aplicar a diferentes niveles.

Nota 3: Con frecuencia, el riesgo se expresa en términos de 
– Fuentes de riesgo
– Eventos
– Potenciales
– Sus consecuencias
– Sus probabilidades

51
 ISO 31000:2018
Términos y definiciones

CONTROL
Medida que mantiene y/o modifica un riesgo

Nota 1: Los controles incluyen, pero no se limitan a

cualquier proceso, política, dispositivo, práctica u
otras condiciones y/o acciones que mantengan y/o
modifiquen un riesgo.

Nota 2: Los controles no siempre pueden producir

el efecto de modificación previsto o asumido.

52
 ISO 31000:2018
PRINCIPIOS
El propósito de la gestión del riesgo es la creación y la protección del
valor.
Mejora el desempeño, fomenta la innovación y contribuye al logro de
objetivos.

Los principios proporcionan 
orientación sobre las 
características de una gestión del 
riesgo eficaz y eficiente, 
comunicando su valor y 
explicando su intención y 
propósito. 

53
 ISO 31000:2018

El propósito de la gestión del Integrada

riesgo es la creación y la
protección del valor. Estructurada y exhaustiva

Los principios son el fundamento Adaptada

de la gestión del riesgo y se
deberían considerar cuando se Inclusiva
establece el marco de referencia y
los procesos de la gestión del Dinámica
riesgo de la organización.
Mejor información disponible
Estos principios deberían habilitar a
la organización para gestionar los Factores humanos y culturales
efectos de la incertidumbre sobre
sus objetivos. Mejora continua

54
 ISO 31000:2018

MARCO DE REFERENCIA

El propósito del marco de

referencia de la gestión del riesgo
es asistir a la organización en
integrar la gestión del riesgo en
todas sus actividades y funciones
significativas.

El desarrollo del marco de 
referencia implica integrar, 
diseñar, implementar, valorar y 
mejorar la ges ón del riesgo a lo 
largo de toda la organización. 

55
 ISO 31000:2018

PROCESO DE GESTIÓN El proceso de la gestión del

riesgo implica la aplicación
sistemática de políticas,
procedimientos y prácticas de
gestión de riesgos.

Este proceso debería ser una

parte integral de la gestión y de
la toma de decisiones y se
debería integrar en la estructura,
las operaciones y los procesos
de la organización.

Puede aplicarse a nivel

estratégico, operacional, de
programa o de proyecto.

56
 Esteban Olivares Arellano
eolivare@fen.uchile.cl
@EstebanOlivares

Este documento se basa mayoritariamente en los Informes 
COSO ERM 2004 y COSO ERM 2017. Para este último se ha 
realizado una traducción libre de su versión original.
 ¿Qué es COSO?

COSO: Committee of Sponsoring

Organizations of the Treadway Commission.
Comisión Treadway: Iniciativa del sector privado de Estados
Unidos establecida en 1985 por 5 asociaciones contables y
financieras
 American Institute of Certified Public Accounting
 American Accounting Association
 The Institute of Internal Auditors
 Institute of Management Accountants
 Finantial Executives Institute
 Comisión Treadway
CONCLUSIONES:
 Propuso recomendaciones referentes al
sistema de control interno.
 Subrayó la importancia del entorno de
control, los códigos de conducta,
auditoría interna activa.
 Estableció la necesidad de emitir
informes sobre la eficacia del control
interno.
 Resaltó la necesidad de evaluar los
riesgos.
 (COSO 2013)
Control Interno – Estructura Integrada
El control interno es un proceso, efectuado por el
Directorio, la gerencia y otro personal de la organización,
diseñado para proporcionar una seguridad razonable
sobre el logro de los objetivos relacionados con:
• las operaciones,
• la elaboración de información y
• el cumplimiento.

Esta definición se
convirtió en la
más aceptada a
nivel global
Control Interno Gestión de Riesgos Control Interno Gestión de Riesgos
Versión Original Versión Original Versión Actualizada Versión Actualizada

1992 2004 2013 2017

Principales publicaciones de
COSO
 Modelo COSO Vigentes

Control Interno Gestión de Riesgos

Versión Actualizada Versión Actualizada

2013 2017
 COSO ERM 2004
“Un proceso efectuado por el directorio de una entidad, su
dirección y restante personal, aplicable a la definición de
estrategias en toda la empresa y diseñado para identificar
eventos potenciales que puedan afectar a la organización,
gestionar sus riesgos dentro de limites aceptados y proporcionar
una seguridad razonable sobre el logro de los objetivos”.

Estratégicos Operacionales Información Cumplimiento

- Ambiente Interno
- Establecimientos de Objetivos
- Identificación de eventos
- Evaluación de riesgos
- Respuesta al riesgo
- Actividades de control
- Información y com unicación
- Monitoreo
 COSO ERM 2017
Cuatro aspectos relevantes a destacar

Estrategia Desempeño Cultura Controles

Incluye el  Se  Aclara la 

Analiza y 
riesgo en la  preocupa  relación 
enfatiza el 
discusión  de alinear  entre 
rol de la 
de la  riesgo y  gestión de 
cultura
estrategia desempeño riesgos y CI
 COSO ERM 2017

“La cultura, las capacidades, y las 
Gestión de prácticas, integradas con la 
Riesgo implementación de la estrategia, en 
Empresarial la que una organización basa su 
gestión de riesgos creando, 
manteniendo y reconociendo valor”.

65
 COSO ERM 2017

1. Directorio supervisa el  6.La Entidad analiza el  10. La Organización  15. La Entidad evalúa  18. La Entidad apoya la 

riesgo de la Entidad contexto del negocio identifica riesgos cambios relevantes gestión de riesgos 
2. La Organización  11. La Entidad evalúa la  con sistemas y 
establece estructura  7.La Organización define  severidad del riesgo 16. La Organización  tecnología
operativa el apetito de riesgos 12. La Organización  revisa el desempeño 
3. La Entidad define la  prioriza los riesgos y considera el riesgo 19. La Organización usa 
8.La Entidad evalúa  canales de 
cultura deseada 13. La Entidad 
estrategias alternativas 17. La Entidad busca la  comunicación para 
4. La Organización  identifica y 
mejora en la gestión  apoyar la gestión de 
demuestra  9.La organización formula  selecciona 
de riesgos riesgos
compromiso con sus  los objetivos de negocio respuestas al riesgo
valores 14. La Organización 
20. La Entidad informa 
5. La Entidad atrae,  desarrolla y evalúa 
sobre riesgos, cultura 
desarrolla y retiene a  un portafolio de 
y desempeño
personal  riesgos
 ALGUNAS NOVEDADES
• Importancia de la cultura
• Priorización en los riesgos más
relevantes
• Enfasis en la tecnología y los riesgos
tecnológicos
• Sesgos organizacionales y personales
• Portafolio de riesgos
• Estrategias de mitigación del RO
• Actualización permanente
 Finalmente la gestión de riesgos…

Es una herramienta al servicio de

los objetivos de las
organizaciones.

Seguirá evolucionando.

Cada vez más estará incorporada

en la gestión de las empresas.

Esteban Olivares A. 68
¡¡¡ Muchas Gracias !!!