El valor agregado

de la gestión integral de riesgos

www.riesgoscero.com | 1
01 Introducción 3

02 Los seis capitales 4

03 Aportes de la gestión de riesgos a la

organización 8

04 El proceso de selección del modelo de

gestión de riesgo a implementar 15

05 Desarrollo de los valores de la cultura

organizacional 27|
www.riesgoscero.com

06
2
Características de un buen sistema de www.riesgoscero.com |

control interno 30
Las organizaciones reciben el encargo de administrar integralmente seis
capitales. El encargo es explícito por parte de los dueños, que aportan
los recursos financieros, pero existe también un encargo tácito de la
sociedad y el medio ambiente, que les permiten desarrollar su actividad.
Esto lo ejecutan dentro de un gobierno socialmente responsable. El
desempeño de una organización dentro de este concepto general ha
generalizado la expresión “los seis capitales”
02 LOS SEIS
CAPITALES
A continuación se describen seis formas que toma el capital en
una organización que le son encomendados para hacer crecer
de manera sostenible:
 Capital Lo conforman los fondos que:

financiero Están disponibles para el uso por una

organización en la producción de bienes o la
prestación de servicios.

Se obtienen a través de financiamiento, como

deuda, capital o donaciones, o generado a
través de operaciones o inversiones.

Capital Objetos físicos fabricados (a diferencia de los

objetos físicos naturales) disponibles para una
manufacturado organización para su uso en la producción
de bienes o la prestación de servicios, que
incluyen:

Edificios.

Equipos.

Infraestructura (como carreteras, puertos,

puentes y plantas de tratamiento de aguas
residuales)

El capital manufacturado a menudo es creado

por otras organizaciones, pero incluye activos
fabricados por la organización informante
para la venta o cuando se conservan para su
propio uso.

Capital Intangibles basados en el conocimiento, que

incluyen organizacional que incluyen:
intelectual
Propiedad intelectual, como patentes,
derechos de autor, software, derechos y
licencias.

“Capital organizacional” como conocimiento

tácito, sistemas, procedimientos y protocolos.

www.riesgoscero.com | 5
 Capital Competencias, capacidades y experiencia de
las personas, y sus motivaciones para innovar,
humano incluyendo:

Su alineación, y apoyo con el marco de

gobierno de la organización, el enfoque de
gestión de riesgos y valores éticos

La capacidad para comprender, desarrollar e

implementar una estrategia de organización

Lealtades y motivaciones para mejorar

procesos, bienes y servicios, incluida la
capacidad de dirigir, gestionar y colaborar

Capital social y Las instituciones y las relaciones dentro,

y entre, comunidades, grupos de partes
relacional interesadas y otras redes, y la capacidad
de compartir información para mejorar el
bienestar individual y colectivo. Incluye:

Normas compartidas, y valores y

comportamientos comunes

Relaciones claves con las partes interesadas,

y la confianza y voluntad de involucrarse
que una organización ha desarrollado con
actores externos, y se esfuerza para construir
y proteger

Intangibles asociados con la marca y

reputación que una organización ha
desarrollado, la licencia social de una
organización para operar

www.riesgoscero.com | 6
Capital Todos los recursos y procesos ambientales
renovables y no renovables que proporcionan
natural bienes o servicios que respaldan la
prosperidad pasada, actual o futura de una
organización. Incluye:

Aire, agua, tierra, minerales y bosques.

Biodiversidad y salud del ecosistema.

Para hacer un seguimiento del desempeño

en cada uno de los frentes existen las
metodologías de reportes integrados para
los cuales los sistemas de gestión de riesgo
aportan información de mucho valor.

www.riesgoscero.com | 7
03 APORTES DE LA GESTIÓN DE
RIESGOS A LA ORGANIZACIÓN
Los sistemas de gestión de riesgo aportan valor a las
organizaciones financieras y del sector real, pues van
mucho más allá de cumplir los requisitos con las entidades
reguladoras de orden nacional e internacional. Durante
el proceso de su diseño, en la selección y adopción del
modelo a implantar, cuando se realiza la identificación de
los indicadores de riesgo específicos, la construcción de un
mapa de materialidad, los funcionarios de la empresa toman
conciencia explícita del impacto que tiene su labor y los
riesgos asociados a ella en los resultados finales.
El sistema de gestión de riesgos hace parte
esencial del conjunto de reportes integrados
de una organización, que le permiten
proyectarse ante su comunidad de interés
(stakeholders) como una organización
responsable con los diferentes capitales
que le han sido asignados por los dueños,
la comunidad y el medio ambiente y con
una implementación correct del gobierno
corporativo.

Desde el punto de vista específico de los

productos de gestión de riesgo, éstos deben
ofrecer características como las siguientes:

Manejar una gestión integral de riesgos, tales

como: operativos, estratégicos, reputacional,
financieros, de seguridad de la información,
lavado de activos, entre otros.
Ayudar a las organizaciones a cumplir con las
exigencias de los entes reguladores que las
obligan a contar con un sistema de gestión o
administración de riesgos.
Ayudar a cumplir con las normativas
internacionales tales como: Basilea II,
Estándar Australiano, Sarbanes Oxley, COSO
ERM, ISO31000, además de las normativas
regionales.
Ayudar a reducir la subjetividad de la
calificación de los riesgos y controles.

Y aportar a la organización beneficios de este

tipo

Aporta información relevante para toma de

decisiones estratégicas.
Apoya la mejora de los procesos para
identificar fallas y establecer planes de acción.

www.riesgoscero.com | 9
Los riesgos en El sector real está sometido a todo tipo de
riesgos que, por supuesto, requieren ser
el sector real gestionados. Las circunstancias actuales
requieren que se tomen medidas especiales
y el lavado para la prevención de efectos colaterales de
de activos en un delito que acecha en todo momento, el
lavado de activos
particular En el artículo ¿Por qué el sector real debe
prevenir el lavado de activos? Tocamos este
tema en estos términos:
Prevenir el lavado de activos y la financiación
del terrorismo no es solo un compromiso de
las entidades financieras.
La prevención del lavado de activos y de la
financiación del terrorismo (LAFT) en el sector
real, más que una obligación, es un asunto de
responsabilidad empresarial, pues la gestión
de riesgo es uno de los pilares de un buen
gobierno corporativo.
A pesar de esto, a menudo se piensa que
el riesgo de LAFT es una preocupación y un
compromiso exclusivos del sector financiero,
pero también su empresa debería protegerse
contra estos delitos.
Los riesgos del lavado de activos y de la
financiación del terrorismo (LAFT) pueden
provenir de diferentes fuentes. La relación con
terceros, como clientes, proveedores, socios
o colaboradores, puede implicar un riesgo de
caer en actividades ilícitas involuntarias.
Por eso, toda actividad económica implica
ciertos riesgos. Las amenazas provienen
tanto del interior como del exterior de una
organización. La falta de controles, no tener
una política de gestión de riesgo estructurada
o el desconocimiento del personal acerca de
los peligros o de los procesos puede favorecer
las acciones ilegales.
El problema está en que los perjuicios del LAFT
no son visibles sino hasta que se concreta
el peligro. Una vez una empresa del sector
real ha sido afectada por los delitos de
contrabando, lavado de activos o financiación
del terrorismo, se producen multas, sanciones,
embargos, incluso detenciones o extradiciones
de los dueños o administradores. Eso sin
contar con las pérdidas de dinero que se
ocasionan en los procesos de extinción de
dominio.

www.riesgoscero.com | 10
 Por el contrario, las empresas que toman
medidas para prevenir el lavado de activos y
la financiación del terrorismo disminuyen la
probabilidad de sufrir sanciones, además de
que mejoran su imagen institucional.
Asimismo, contar con un programa de
prevención de lavado de activos y de la
financiación del terrorismo en el sector
real también trae muchos beneficios
organizacionales:
Los negocios son más sostenibles.
La confianza sectorial se fortalece.
La inversión aumenta.
La gestión de la empresa se hace más segura.
La toma de decisiones se afianza.
La competencia económica se legitima.
¿Entonces por dónde comenzar?

Implemente La educación comienza por casa, y esto es

aplicable también para los negocios del sector
una política de real. Los mecanismos de autorregulación
permiten establecer qué medidas preventivas
gestión de riesgo se van a tomar, facilitan la transparencia y
esclarecen los procesos. Así se mejora la
administración de los riesgos.

Cree un plan de No es suficiente con elaborar un plan de

gestión de riesgo si no se difunde dentro de
divulgación la organización. Para descentralizar la gestión
de riesgo, es necesario que toda la empresa
conozca en qué consiste. Esto fortalecerá la
cultura de riesgo y fomentará la participación
de las partes interesadas.

Utilice Es cierto que muchas empresas del sector

real no cuentan ni siquiera con un área de
herramientas cumplimiento. Por eso, es importante tener
un software de gestión de riesgo que ayude
tecnológicas a automatizar el proceso. Tenga en cuenta
que cualquiera que sea la herramienta que
utilice debe administrar de forma integral los
riesgos, apoyar la cultura de gestión de riesgo,
reducir la subjetividad del análisis y recibir
notificaciones automáticas.

www.riesgoscero.com | 11
Adicionalmente el tema de gestión de riesgo en
su totalidad lo hemos desarrollado en Gestión de
riesgo, ¿una obligación para el sector real? Veamos:
La gestión de riesgo no solo es una responsabilidad
del sector financiero. Descubra aquí por qué
también debería ser una preocupación del sector
real.
Es evidente la lucha constante que emprenden los
gobiernos en todo el mundo en contra del lavado
de activos y de la financiación del terrorismo.
En Colombia, por ejemplo, lo que antes solo era
responsabilidad de organismos como la UIAF,
ahora pasa a ser fiscalizado también por la DIAN.
Ambas trabajan hoy de la mano para elaborar
una política rigurosa en contra del lavado de
activos con el fin de castigar a quienes por acción
u omisión afecten las finanzas del estado. Sus
acciones estarán soportadas en una herramienta
tecnológica de punta que incorpora técnicas de Big
Data, lo que les permitirá a ambas instituciones
ejecutar de manera más rápida labores de
fiscalización a través del procesamiento y del
análisis de grandes cantidades de información.
Muy seguramente este sea el comienzo de
programas piloto que incorporen a las empresas
no reguladas del sector real a estas políticas
nacionales de prevención del lavado de activos y
financiación del terrorismo.
Es injusto tener que cargar a una pyme con otra
responsabilidad más, aparte de la cantidad de
responsabilidades fiscales, laborales, legales,
comerciales, sociales, entre otras que ya tiene de
facto, pero el énfasis que hace el director de la
DIAN, Santiago Rojas Arroyo, cuando se refiere al
trabajo conjunto que de ahora en adelante van a
ejecutar ambas instituciones y la infraestructura
tecnológica que van a implementar, presenta
un futuro más implacable, donde el flujo de la
información en tiempo real permitirá a los entes
de control detectar de manera más ágil actividades
sospechosas.

www.riesgoscero.com | 12
Qué le espera a una Según el Director de la DIAN, Santiago Rojas
Arroyo, “este gran pacto será muy importante para
pyme frente a las salvaguardar el cumplimiento de las obligaciones
tributarias, aduaneras y cambiarias, y por lo tanto,
nuevas políticas de mejorar la sostenibilidad fiscal en beneficio de
prevención LAFT? todos los colombianos”. Cuando dice “salvaguardar
el cumplimiento de las obligaciones”, se refiere
a las obligaciones que tienen todas las personas
naturales y jurídicas que dentro de los rangos
establecidos por la ley estén sujetos al pago de
impuestos o al reporte de sus rentas periódicas,
especialmente de aquellas que por la informalidad
de su negocio no lo hagan, pero que, gracias a los
nuevos procesos de captación, procesamiento y
análisis de la información, la autoridad ya tenga
claramente identificados.
Es aquí donde empiezan a desempeñar un papel
importante todas aquellas acciones que permitan
a las empresas mantenerse informadas sobre las
posibles acciones presentes y futuras que planeen
ejecutar los entes de control, para anticipar los
cambios y enrutar sus acciones y su cultura
empresarial hacia las políticas definidas por los
organismos de vigilancia.
Y es que el lavado de activos y la financiación
del terrorismo no es un tema como cualquier
otro, y más si tenemos en cuenta que la omisión
de activos, inclusión de pasivos inexistentes, el
no cobro, recaudo y pago del IVA e Impuesto
al consumo fueron incluidos en el año 2016
dentro del listado de delitos fuente del lavado
de activos, lo que genera un riesgo muy grande
a la hora de determinar el papel que juega cada
empresa dentro de esta política nacional y su
responsabilidad frente a la autoridad encaminada
hacia la prevención del LAFT.
Es necesario, entonces, que las PYMES comiencen
a incluir dentro de sus acciones empresariales
procedimientos que les permitan detectar, evaluar
y mitigar posibles riesgos relacionados con el LAFT
con el fin de “curarse en salud” porque, aunque no
sea hoy de obligatorio cumplimiento, es probable
que mañana sea una necesidad inminente.

www.riesgoscero.com | 13
 Entonces, ¿están Aunque esta pregunta es de obligatoria respuesta,
primero es fundamental entender que, en la
o no facultadas misma medida que los organismos de control se
tecnifican y organizan para ejercer una mayor
las Pymes para vigilancia, yo debo tecnificarme y organizarme
enfrentarse a la como empresa para ejercer un mayor control
sobre mis procesos.
gestión de riesgo? Es aún muy prematuro hablar de obligatoriedad
en la implementación de procedimientos
encaminados a la prevención del LAFT. Sin
embargo, es conveniente hablar de estrategia
empresarial y visión de negocios, pues
implementar un sistema de gestión de riesgo
reforzaría las buenas prácticas empresariales y
permitiría conocer a fondo al cliente, manejar su
información financiera para la toma de decisiones
frente a negocios en curso o futuros, y vigilar
el cumplimiento de los objetivos de gestión del
riesgo.
Es fundamental como empresa entender lo
importante que es apoyarse en las diversas
herramientas tecnológicas que ofrece el mercado.
La tecnificación es hoy un factor vital que puede
ayudar a las empresas a la consecución de sus
objetivos con tasas de retorno muy altas.

www.riesgoscero.com | 14
04 EL PROCESO DE SELECCIÓN DEL
MODELO DE GESTIÓN DE RIESGO
A IMPLEMENTAR
En el artículo Alternativas de Modelos de Gestión del Riesgo se
presentan dos modelos:
El modelo “V” En la implantación de medidas de control del
riesgo es importante la identificación de los puntos
y procesos de la operación financiera para luego
relacionarlos según el tipo de marco de gestión
de riesgos informáticos que se haya utilizado
para la evaluación global de riesgo (Global Risk
Assesments -GRA).
El Modelo “V” se asemeja al usado en informática,
para control, desarrollo y puesta en marcha
de proyectos. Sigue un proceso cronológico
desde la definición de un proyecto hasta su
puesta en marcha. A partir de este modelo, y
de la estratificación considerada en él, se hacen
las consideraciones para implantar métodos y
soluciones para la mitigación del riesgo.

Otra alternativa de modelo más reciente es la

denominada:

www.riesgoscero.com | 16
 Marco para gestión Este modelo asegura que:
Existan políticas apropiadas de gestión de riesgos y
del modelo de un marco de gobernanza
Los modelos se desarrollen e implementen de
riesgo: manera robusta y apropiada
Esos modelos se sometan a validación apropiada
y revisiones independientes y antes después de la
implementación

Estructura del Se divide en cuatro fases y tiene en total siete

etapas de progresión:
marco para gestión
del modelo de riesgo

FASE I- POLÍTICAS
DE GESTIÓN DEL
MODELO DE RIESGO
Y MARCO DE
GOBERNANZA:

PROPUESTA DE MODELO Y Comprender las razones detrás de la creación de

TÉRMINOS DE REFERENCIA un modelo y las expectativas sobre cómo se usará
su resultado
(Responsabilidad
compartida con GRA):

DESARROLLO El modelo es lógico, desarrollado robusta y

DEL MODELO apropiadamente para su propósito previsto y es
consistente con los estándares globales
(Responsabilidad de GRA):

VALIDACIÓN DE LA Control de Primera Línea de Defensa (FLOD - First

PREIMPLANTACIÓN Line Of Defense) para garantizar que el modelo sea
conceptualmente correcto, que los datos utilizados
(Responsabilidad de GRA):
sean los adecuados y que los resultados cumplan
con el propósito previsto

www.riesgoscero.com | 17
FASE II- VALIDACIÓN
DEL MODELO
Y REVISIÓN
INDEPENDIENTE DE
ESTÁNDARES

REVISIÓN INDEPENDIENTE Control de Segunda Línea de Defensa (SLOD -

(Responsabilidad fuera de Second Line of Defense) donde los modelos clave
se someten a una revisión independiente para
GRA):
proporcionar un desafío creíble y una garantía
adicional a la administración, lo que ayuda a
identificar las limitaciones antes del uso del
modelo.

FASE III-
DESARROLLO
DEL MODELO E
IMPLANTACIÓN DE
ESTÁNDARES

APROBACIÓN El modelo ya ha recibido la aprobación apropiada

(Responsabilidad de la autoridad pertinente o individuo (s)
responsable antes de ser usado o implementado
compartida con GRA):

www.riesgoscero.com | 18
FASE IV- DEFINICIÓN
DEL MODELO,
IDENTIFICACIÓN E
INVENTARIO

IMPLEMENTACIÓN El modelo ya se ha implementado según su diseño

(Responsabilidad y propósito originales luego de haber realizado las
pruebas apropiadas
compartida con GRA):

VALIDACIÓN Y El modelo está funcionando satisfactoriamente

REPORTE DEL MODELO y se está utilizando según su diseño y propósito
originales. Esto incluye una serie de actividades,
(Responsabilidad
incluida la supervisión y validación de primera
compartida con GRA): línea, y la validación y revisión independientes.

Del documento gestione el riesgo en el sector

real con las tres líneas de defensa podemos
tener una consideración adicional para el modelo
de gestión de riesgo que es derivada del sector
financiero, planteando la posibilidad de aprovechar
la existencia de herramientas de gestión integral
de riesgo en sectores económicos diferentes al
financiero. Allí se ofrece una hoja de ruta a seguir
que comprende:
La importancia del compromiso de la dirección
El concepto de materialidad
Las Tres Líneas de Defensa, funciones y
responsabilidades
El impacto de la auditoría de riesgo
Integración con reportes no financieros
Aunque se enfatizan las “Tres líneas de Defensa”,
término que resume de manera simplificada cómo
disponer los recursos de la organización para un
logro final superior, el sistema de riesgo va mucho
más allá de la prevención, el reporte y la gestión,
contribuyendo al cumplimiento de los objetivos
estratégicos de la organización dentro de un marco
de responsabilidad social corporativa.

www.riesgoscero.com | 19
 En un caso de referencia, una organización
internacional del sector químico describe así
las expectativas de su sistema de gestión de
riesgo:

“El proceso de evaluación de riesgos, respaldado

por la Junta de La Organización, ayuda al Grupo
Propietario a alcanzar sus objetivos comerciales,
tanto financieros como extra financieros, respetando:

Las leyes
Las reglamentaciones
Su código de conducta

El enfoque Enterprise Risk Management (ERM) de

la organización es un mecanismo clave para lograr
objetivos a corto, mediano y largo plazo.
El negocio de La Organización es diverso,
emprendedor e internacional. Las operaciones se
enfrentan a una serie de riesgos significativos.
En consecuencia, La Organización ha diseñado
un proceso dinámico en el que los actores clave
evalúan los riesgos en su área de responsabilidad y
/ o experiencia.”

Como se observa, el concepto de la química,

industria a la cual pertenece la organización,
no está explícito, en cambio sí están unos
propósitos empresariales más elevados.
También está explícito el compromiso de la
Junta Directiva, como responsable de su éxito,
así como la naturaleza dinámica y evolutiva del
sistema de gestión de riesgo.
Esta son los pasos que recomiendan al preparar
el plan de gestión de riesgo. Al final encontrará
el esquema.

www.riesgoscero.com | 20
La Importancia del La junta directiva tiene la obligación de garantizar
que la institución funcione de manera segura
Compromiso de la dentro de los márgenes de riesgo tolerado y a la
vez se le solicita estar en capacidad de cuestionar
Dirección de manera adecuada a la alta gerencia acerca de
sus decisiones orientadas a la prevención y manejo
del riesgo.
Esta medidas son una garantía del compromiso
integral con la política de prevención y gestión de
riesgo en la organización, también es un mensaje
positivo para los dueños. Por otra parte, las
recomendaciones sobre la política de talento dan
claridad sobre el papel determinante de la gestión
de riesgo en la cultura empresarial, preparando los
recursos necesarios para garantizar su ejecución.
Paralelamente a la gestión del riesgo, es necesario
implantar una sólida función de auditoría.

El Concepto De La primer línea de defensa se construye a partir

de los mapas de riesgo detectados para todos los
Materialidad procesos de las diversas unidades de negocios de
la organización por las personas expertas en cada
unidad. En los mapas de riesgo, la materialidad
o importancia relativa sobre los resultados
financieros, debe hacer parte del impacto del
riesgo.

Materialidad o Importancia relativa (del inglés

Materiality)
Es el umbral por encima del cuales considera
que la información faltante o incorrecta en los
estados financieros tiene un impacto en la toma de
decisiones de los usuarios. La materialidad a veces
se interpreta en términos del impacto neto en las
ganancias reportadas, o el porcentaje o cambio
en dinero en una línea específica en los estados
financieros. Ejemplos de materialidad son los
siguientes:

www.riesgoscero.com | 21
 Una compañía informa una ganancia de
exactamente $ 10,000, que es el punto en el que
las ganancias por acción cumplen exactamente
con las expectativas de los analistas. Cualquier
reducción en el beneficio por debajo de este punto
hubiera desencadenado una venta de acciones de
la compañía, por lo que se consideraría material.

Una compañía informa una proporción actual de

exactamente 2: 1, que es la cantidad necesaria
para cumplir con sus convenios de préstamo.
Cualquier activo actual o montos de pasivos
corrientes que resulten en una proporción de
menos de 2: 1 se consideraría material, ya que el
prestamista podría llamar al préstamo.

Es posible establecer un mapa de materialidad

para un sector económico específico que se alinee
con los temas sensibles al riesgo, estimando
su impacto financiero. Este mapa sirve como
una instantánea de posibles problemas de
sostenibilidad material en el momento de nuestro
análisis inicial de riesgo y puede estar sujeto a
cambios a medida que los temas y las industrias
evolucionan constantemente.

Mapa de La junta directiva tiene la obligación de garantizar

que la institución funcione de manera segura
Materialidad dentro de los márgenes de riesgo tolerado y a la
vez se le solicita estar en capacidad de cuestionar
de manera adecuada a la alta gerencia acerca de
sus decisiones orientadas a la prevención y manejo
del riesgo.
Esta medidas son una garantía del compromiso
integral con la política de prevención y gestión de
riesgo en la organización, también es un mensaje
positivo para los dueños. Por otra parte, las
recomendaciones sobre la política de talento dan
claridad sobre el papel determinante de la gestión
de riesgo en la cultura empresarial, preparando los
recursos necesarios para garantizar su ejecución.
Paralelamente a la gestión del riesgo, es necesario
implantar una sólida función de auditoría.

www.riesgoscero.com | 22
Guía KPMG sobre
el proceso de
materialidad

FASE 1: Definir propósito Defina lo que significa la materialidad para su

y alcance. organización y sea claro acerca de sus objetivos y
audiencia

FASE 2: Identificar temas Crea una lista larga de temas materiales posibles
potenciales.

FASE 3: Clasificar por Refine la lista de temas materiales potenciales

categorías. agrupándolos en categorías

FASE 4: Reúna Explore cada tema material en detalle para

información sobre el comprender su relevancia para el negocio y las
partes interesadas
impacto y la importancia
de los temas.

FASE 5: Priorizar. Priorizar temas materiales en función de la

importancia estratégica para el negocio, la
importancia para las partes interesadas y el
impacto social, económico y ambiental de cada
tema en la cadena de valores

FASE 6: Gestión de Pruebe los resultados de su evaluación de

interés. materialidad con las audiencias internas clave para
validar el resultado

FASE 7: Buscar Haga un seguimiento con las partes interesadas

retroalimentación de las para obtener comentarios sobre los temas
materiales informados
partes interesadas.

Fuente: KPMG (2014). Perspectiva sostenible: lo

esencial de la evaluación de la materialidad.

www.riesgoscero.com | 23
 Las Tres Líneas de
Defensa, Funciones
y Responsabilidades

1RA LÍNEA DE DEFENSA Identifica y gestiona los riesgos originados por el

Unidades de primera negocio
Identificación y evaluación de riesgos
línea.
Mitigación de riesgos
Monitoreo e informes

2DA LÍNEA DE DEFENSA Desarrolla el marco de riesgo

Gestión de riesgo Asesoramiento de expertos, guía y dirección
Vigilancia
individual.
Asegurar el cumplimiento del marco de
gobernanza del riesgo
Valida los riesgos conocidos e identifica los
emergentes
Valida la efectividad del control (diseño y
operación)
Asegurar la capacidad de respuesta al cambio
regulatorio

Perspectiva independiente y desafío creíble

3RA LÍNEA DE DEFENSA Proporciona aseguramiento a la Alta Dirección y la

Auditoría independiente. Junta Directiva

Eficacia de la gobernanza
Gestión de riesgos y controles internos, incluidos
Cómo 1ª y 2ª líneas de Defensa lograr manejar el
riesgo y objetivos de control
Perspectiva independiente y desafío creíble

www.riesgoscero.com | 24
 Impacto de la Un componente fundamental en el sistema de
gestión de riesgo es la auditoría, tanto interna
Auditoría de Riesgo (Tercera línea de defensa), como la externa que
valida de manera independiente el desempeño
del sistema dentro de lo previsto, así como la
sostenibilidad de la propuesta desplegada.
El proceso de auditoría al ingresar al sistema,
también incluye un componente de riesgo
adicional inevitable al sistema, el riesgo de
auditoría
El riesgo de auditoría es el riesgo de que un
auditor no detecte errores o fraude al examinar
los estados financieros o los informes de de un
cliente. Los auditores pueden aumentar el número
de procedimientos de auditoría para reducir el
nivel de riesgo de auditoría. La reducción del riesgo
de auditoría a un nivel modesto, es una parte clave
de la función de auditoría, ya que los usuarios de
los estados financieros confían en las garantías de
los auditores cuando leen los estados financieros
de una organización.
Los tres tipos de riesgo de auditoría son:

Riesgo en el control. Este es el riesgo de que

los sistemas de control del cliente no detecten
posibles errores materiales, ni los prevengan.

Riesgo de detección. Este es el riesgo de que los

procedimientos de auditoría utilizados no sean
capaces de detectar una representación errónea
de importancia relativa.

Riesgo inherente. Este es el riesgo de que los

estados financieros de un cliente sean susceptibles
a errores materiales.

Alertas de riesgo de Las alertas de riesgo de auditoría son aquellas que

están destinadas a proporcionar a los auditores
auditoría una visión general de los recientes desarrollos
económicos, profesionales y regulatorios que
pueden afectar las auditorías para los clientes en
muchas industrias.

www.riesgoscero.com | 25
 Integración La información derivada de la gestión de riesgo
hace parte de los diversos tipos de reportes
del Sistema de no financieros que generan las organizaciones
contemporáneas, que dan cuenta de su
Gestión de Riesgo transparencia y compromiso con los objetivos de la
sociedad. Entre los informes están éstos:
Gestión de riesgos
Grupo de Trabajo sobre Divulgaciones Financieras
Relacionadas con el Clima (TCFD)
Gobernanza
Estrategia
Métricas y objetivos
Informes corporativos sobre los ODS (Objetivos de
Desarrollo Sostenible)

Estos reportes complementarios le permiten a la

organización asumir de manera transparente sus
compromisos no solo con los dueños, sino con el
medio ambiente y la sociedad.
Adicionalmente a los reportes corporativos,
existen compromisos derivados de acuerdos
internacionales dos de los más importantes se
relacionan con los compromisos y acuerdos
climáticos y los de desarrollo sostenible
promulgados por Naciones Unidas.

Cómo aprovechar El compromiso de la Dirección como responsable y

cuestionador de las acciones de la alta gerencia
toda la metodología La existencia de una política de personal que
prepare y disponga estratégicamente a todos los
usada para el sector colaboradores
financiero: Establecimiento de un modelo de auditoría integral
con comunicación directa a la alta gerencia y la
junta directiva

www.riesgoscero.com | 26
05 DESARROLLO DE LOS VALORES DE
LA CULTURA ORGANIZACIONAL
Este tema se resalta en el artículo Riesgo financiero: lo que no se
mide no se puede controlar en el cual se afirma que si una entidad
no hace un análisis de riesgo financiero, tendrá todos los efectos
adversos, no podrá anticiparse a las amenazas. En otras palabras,
lo que no se mide no se puede controlar.
La importancia de Este tema se resalta en el artículo Riesgo
financiero: lo que no se mide no se puede
las métricas en la controlar en el cual se afirma que si una entidad no
hace un análisis de riesgo financiero, tendrá todos
gestión de riesgo los efectos adversos, no podrá anticiparse a las
amenazas. En otras palabras, lo que no se mide no
se puede controlar.
Así lo explica el especialista de Análisis Financiero
del Departamento de Finanzas de la Universidad
Eafit, David Alejandro Yepes, quien asegura que
a la hora de hacer una inversión, las compañías
deben analizar todos los factores, sobretodo, los
que hacen referencia a la incertidumbre y a los
cambios que se pueden dar en el sector, e incluso,
en el país donde se opera.
El experto cuenta que hay varios factores para
analizar: el incumplimiento de pago, cuestiones
económicas y hasta desastres naturales, por
ejemplo, si una empresa compra un terreno
cerca de un río, pero en invierno este afluente se
desborda y arrasa con todo, la inversión se pierde.
La entidad debe analizar cuándo se dará el retorno
de la inversión y estudiar qué pondría en riesgo
ese retorno; también examinar muy bien el tipo de
mercado en el que se invertirá, en qué moneda y si
se podría afectar la tasa de cambio.
Por ejemplo, las entidades que invirtieron en
Venezuela, en el gobierno de Hugo Chávez (1999-
2013), vieron como sus inversiones se esfumaron.
La crisis de la economía de ese país afectó tanto
el bolívar, que alcanzó a devaluarse en un 360 por
ciento, con respecto al dólar, según cifras del portal
de internet dolartoday.com.
Esa crisis comenzó en 1999, cuando Hugo Chávez
llegó al poder y el país cambió su modelo al
socialismo, que no terminó en el 2013 con su
muerte, por el contrario, esa política empeoró la
crisis en el gobierno de Nicolás Maduro.
El gobierno socialista afectó a las empresas
del sector de alimentos porque controló los
precios de los productos de la canasta familiar,
argumentando que todos pudieran pagarlos, pero
los redujo tanto, que estuvieron por debajo del
costo de producción. Eso hizo que los productores
nacionales de harina, arroz, maíz y otros artículos
dejarán el mercado y que después no hubiera
nada qué comprar.

www.riesgoscero.com | 28
Claves para prevenir Entre mayor información se tenga sobre lo que
se quiere invertir, menor será el riesgo y mejores
el riesgo decisiones de inversión se tomarán, por ello, hay
que evaluar la rentabilidad y anticiparse al futuro
para adaptarse a los cambios del mercado, a la
tecnología y a la innovación, así como a las nuevas
tendencias del sistema financiero.
También hay que diversificar el riesgo, planear
inversiones que equilibren las operaciones de
alta peligrosidad con las de alta seguridad y
utilizar herramientas tecnológicas para gestionar
las amenazas, así como proteger los activos con
pólizas de seguros.
El riesgo de crédito es muy estudiado por las
entidades, éste se produce cuando una de las
partes de un contrato financiero no asume sus
obligaciones de pago. Por ejemplo, cuando los
bancos hacen préstamos analizan los riesgos a
los que está expuesta la persona o institución que
solicita el crédito.
“Si le presto a alguien que tiene nexos con la mafia,
posiblemente, a esa persona la están buscando
para matarla. Hay que saber a quién le estoy
facilitando la plata, qué hace esa persona y qué
riesgos hay en la operación que estoy invirtiendo”,
añade el experto de la Universidad Eafit.
Yepes detalla que los bancos analizan el perfil
de la persona que solicita el crédito, dónde vive,
cuánto se gana,cuánto tiempo lleva trabajando,
qué tipo de negocios hace y le preguntan en qué
va a utilizar la plata, si va a comprar propiedad o
automóvil, ese activo que adquiere, servirá como
garantía.
En definitiva, si una compañía detecta los riesgos
a tiempo, conocerá a fondo los factores que
podrían llevarla a tener pérdidas y podrá diseñar
estrategias asertivas y evitar o mitigar esas
pérdidas.

www.riesgoscero.com | 29
06 CARACTERÍSTICAS DE UN BUEN
SISTEMA DE CONTROL INTERNO
Un control interno efectivo depende de una buena organización.
Reducir el nivel de errores e irregularidades ayuda a que los
objetivos del sistema de control se cumplan de manera correcta.
Conozca aquí las características de un buen sistema de control
interno.
Claves para prevenir La primera característica de un sistema de control
interno es el plan de organización. Para que este
el riesgo sea efectivo debe ser simple y flexible. Este plan
debe delimitar claramente las funciones de cada
dependencia y de los funcionarios que a ella
pertenecen.
En primer lugar, un plan de control interno debe
tener procedimientos bien determinados que
integren las actividades de todos los sectores de la
organización.
Segundo, para alinear cada área de la empresa,
es necesario un organigrama en el que se defina
la línea de autoridad y las responsabilidades en
el interior de la empresa: jefes, líderes técnicos,
encargados, directores, etc.
Esa delimitación de funciones y actividades debe
establecerse en manuales de procedimientos con
el fin de ser claros y evitar errores.

Conozca aquí los tipos de

control interno de una
empresa

www.riesgoscero.com | 31
 Segregación de La independencia estructural de una organización
significa separar las funciones de cada área de
funciones la empresa. Esto es fundamental en un sistema
de control interno eficaz, pues garantiza que una
persona no tenga bajo su responsabilidad todas
las etapas de una operación.
En este sentido, todos los procesos deben pasar
por diferentes fases, y cada una de ellas debe estar
a cargo de una persona distinta. Así, la ejecución,
autorización o registro de una transacción es
realizada de manera independiente por un
empleado.
De ahí la importancia de contar con un manual
que especifique el organigrama, las funciones y los
responsables de cada área.
En caso de que cuente en su empresa con un
software de gestión, este debe tener la opción de
definir y restringir perfiles de usuario.

Control de acceso a Un control interno efectivo depende en gran parte

de la seguridad de los procesos. Una organización
los activos alcanza un grado adecuado de seguridad cuando el
acceso a los activos o a los registros contables está
limitado.
Esto implica restringir el acceso físico o indirecto a
los activos o a la preparación de documentos que
autoricen el acceso a ellos.

Descubra aquí los

componentes del control
interno de una empresa

www.riesgoscero.com | 32
 Sistema de Un control interno eficaz incluye medios para
monitorear los registros de operaciones y
autorización y transacciones. Los procedimientos involucrados
en una actividad deben contemplar las auditorías
procedimiento y revisiones periódicas, así como la obtención de
informaciones de control.
Los registros que informan sobre el resultado de
una actividad particular deben ser producidos por
fuentes independientes con el fin de que puedan
ser comparados con los de el área que ejecuta la
tarea. En caso de que haya alguna discrepancia,
esto evidenciará una falla en el registro de
transacciones.

Métodos para Dependiendo de la complejidad de una

organización, los medios para procesar los datos
procesar los datos pueden ser manuales, mecánicos o digitales.
Con el fin de disminuir la posibilidad de errores y
manipulaciones, e involucrar a todo el personal
en el proceso, es conveniente usar programas
informáticos o soluciones en la nube que le
permitan monitorear los controles internos con la
mayor objetividad posible.

En conclusión, la implantación de un sistema

integral de gestión de riesgos para organizaciones
de todas las industrias, aporta en muchos aspectos
adicionales tanto en las etapas de su preparación

www.riesgoscero.com | 33