Documentos de Académico
Documentos de Profesional
Documentos de Cultura
www.riesgoscero.com | 1
01 Introducción 3
06
2
Características de un buen sistema de www.riesgoscero.com |
control interno 30
Las organizaciones reciben el encargo de administrar integralmente seis
capitales. El encargo es explícito por parte de los dueños, que aportan
los recursos financieros, pero existe también un encargo tácito de la
sociedad y el medio ambiente, que les permiten desarrollar su actividad.
Esto lo ejecutan dentro de un gobierno socialmente responsable. El
desempeño de una organización dentro de este concepto general ha
generalizado la expresión “los seis capitales”
02 LOS SEIS
CAPITALES
A continuación se describen seis formas que toma el capital en
una organización que le son encomendados para hacer crecer
de manera sostenible:
Capital Lo conforman los fondos que:
Edificios.
Equipos.
www.riesgoscero.com | 5
Capital Competencias, capacidades y experiencia de
las personas, y sus motivaciones para innovar,
humano incluyendo:
www.riesgoscero.com | 6
Capital Todos los recursos y procesos ambientales
renovables y no renovables que proporcionan
natural bienes o servicios que respaldan la
prosperidad pasada, actual o futura de una
organización. Incluye:
www.riesgoscero.com | 7
03 APORTES DE LA GESTIÓN DE
RIESGOS A LA ORGANIZACIÓN
Los sistemas de gestión de riesgo aportan valor a las
organizaciones financieras y del sector real, pues van
mucho más allá de cumplir los requisitos con las entidades
reguladoras de orden nacional e internacional. Durante
el proceso de su diseño, en la selección y adopción del
modelo a implantar, cuando se realiza la identificación de
los indicadores de riesgo específicos, la construcción de un
mapa de materialidad, los funcionarios de la empresa toman
conciencia explícita del impacto que tiene su labor y los
riesgos asociados a ella en los resultados finales.
El sistema de gestión de riesgos hace parte
esencial del conjunto de reportes integrados
de una organización, que le permiten
proyectarse ante su comunidad de interés
(stakeholders) como una organización
responsable con los diferentes capitales
que le han sido asignados por los dueños,
la comunidad y el medio ambiente y con
una implementación correct del gobierno
corporativo.
www.riesgoscero.com | 9
Los riesgos en El sector real está sometido a todo tipo de
riesgos que, por supuesto, requieren ser
el sector real gestionados. Las circunstancias actuales
requieren que se tomen medidas especiales
y el lavado para la prevención de efectos colaterales de
de activos en un delito que acecha en todo momento, el
lavado de activos
particular En el artículo ¿Por qué el sector real debe
prevenir el lavado de activos? Tocamos este
tema en estos términos:
Prevenir el lavado de activos y la financiación
del terrorismo no es solo un compromiso de
las entidades financieras.
La prevención del lavado de activos y de la
financiación del terrorismo (LAFT) en el sector
real, más que una obligación, es un asunto de
responsabilidad empresarial, pues la gestión
de riesgo es uno de los pilares de un buen
gobierno corporativo.
A pesar de esto, a menudo se piensa que
el riesgo de LAFT es una preocupación y un
compromiso exclusivos del sector financiero,
pero también su empresa debería protegerse
contra estos delitos.
Los riesgos del lavado de activos y de la
financiación del terrorismo (LAFT) pueden
provenir de diferentes fuentes. La relación con
terceros, como clientes, proveedores, socios
o colaboradores, puede implicar un riesgo de
caer en actividades ilícitas involuntarias.
Por eso, toda actividad económica implica
ciertos riesgos. Las amenazas provienen
tanto del interior como del exterior de una
organización. La falta de controles, no tener
una política de gestión de riesgo estructurada
o el desconocimiento del personal acerca de
los peligros o de los procesos puede favorecer
las acciones ilegales.
El problema está en que los perjuicios del LAFT
no son visibles sino hasta que se concreta
el peligro. Una vez una empresa del sector
real ha sido afectada por los delitos de
contrabando, lavado de activos o financiación
del terrorismo, se producen multas, sanciones,
embargos, incluso detenciones o extradiciones
de los dueños o administradores. Eso sin
contar con las pérdidas de dinero que se
ocasionan en los procesos de extinción de
dominio.
www.riesgoscero.com | 10
Por el contrario, las empresas que toman
medidas para prevenir el lavado de activos y
la financiación del terrorismo disminuyen la
probabilidad de sufrir sanciones, además de
que mejoran su imagen institucional.
Asimismo, contar con un programa de
prevención de lavado de activos y de la
financiación del terrorismo en el sector
real también trae muchos beneficios
organizacionales:
Los negocios son más sostenibles.
La confianza sectorial se fortalece.
La inversión aumenta.
La gestión de la empresa se hace más segura.
La toma de decisiones se afianza.
La competencia económica se legitima.
¿Entonces por dónde comenzar?
www.riesgoscero.com | 11
Adicionalmente el tema de gestión de riesgo en
su totalidad lo hemos desarrollado en Gestión de
riesgo, ¿una obligación para el sector real? Veamos:
La gestión de riesgo no solo es una responsabilidad
del sector financiero. Descubra aquí por qué
también debería ser una preocupación del sector
real.
Es evidente la lucha constante que emprenden los
gobiernos en todo el mundo en contra del lavado
de activos y de la financiación del terrorismo.
En Colombia, por ejemplo, lo que antes solo era
responsabilidad de organismos como la UIAF,
ahora pasa a ser fiscalizado también por la DIAN.
Ambas trabajan hoy de la mano para elaborar
una política rigurosa en contra del lavado de
activos con el fin de castigar a quienes por acción
u omisión afecten las finanzas del estado. Sus
acciones estarán soportadas en una herramienta
tecnológica de punta que incorpora técnicas de Big
Data, lo que les permitirá a ambas instituciones
ejecutar de manera más rápida labores de
fiscalización a través del procesamiento y del
análisis de grandes cantidades de información.
Muy seguramente este sea el comienzo de
programas piloto que incorporen a las empresas
no reguladas del sector real a estas políticas
nacionales de prevención del lavado de activos y
financiación del terrorismo.
Es injusto tener que cargar a una pyme con otra
responsabilidad más, aparte de la cantidad de
responsabilidades fiscales, laborales, legales,
comerciales, sociales, entre otras que ya tiene de
facto, pero el énfasis que hace el director de la
DIAN, Santiago Rojas Arroyo, cuando se refiere al
trabajo conjunto que de ahora en adelante van a
ejecutar ambas instituciones y la infraestructura
tecnológica que van a implementar, presenta
un futuro más implacable, donde el flujo de la
información en tiempo real permitirá a los entes
de control detectar de manera más ágil actividades
sospechosas.
www.riesgoscero.com | 12
Qué le espera a una Según el Director de la DIAN, Santiago Rojas
Arroyo, “este gran pacto será muy importante para
pyme frente a las salvaguardar el cumplimiento de las obligaciones
tributarias, aduaneras y cambiarias, y por lo tanto,
nuevas políticas de mejorar la sostenibilidad fiscal en beneficio de
prevención LAFT? todos los colombianos”. Cuando dice “salvaguardar
el cumplimiento de las obligaciones”, se refiere
a las obligaciones que tienen todas las personas
naturales y jurídicas que dentro de los rangos
establecidos por la ley estén sujetos al pago de
impuestos o al reporte de sus rentas periódicas,
especialmente de aquellas que por la informalidad
de su negocio no lo hagan, pero que, gracias a los
nuevos procesos de captación, procesamiento y
análisis de la información, la autoridad ya tenga
claramente identificados.
Es aquí donde empiezan a desempeñar un papel
importante todas aquellas acciones que permitan
a las empresas mantenerse informadas sobre las
posibles acciones presentes y futuras que planeen
ejecutar los entes de control, para anticipar los
cambios y enrutar sus acciones y su cultura
empresarial hacia las políticas definidas por los
organismos de vigilancia.
Y es que el lavado de activos y la financiación
del terrorismo no es un tema como cualquier
otro, y más si tenemos en cuenta que la omisión
de activos, inclusión de pasivos inexistentes, el
no cobro, recaudo y pago del IVA e Impuesto
al consumo fueron incluidos en el año 2016
dentro del listado de delitos fuente del lavado
de activos, lo que genera un riesgo muy grande
a la hora de determinar el papel que juega cada
empresa dentro de esta política nacional y su
responsabilidad frente a la autoridad encaminada
hacia la prevención del LAFT.
Es necesario, entonces, que las PYMES comiencen
a incluir dentro de sus acciones empresariales
procedimientos que les permitan detectar, evaluar
y mitigar posibles riesgos relacionados con el LAFT
con el fin de “curarse en salud” porque, aunque no
sea hoy de obligatorio cumplimiento, es probable
que mañana sea una necesidad inminente.
www.riesgoscero.com | 13
Entonces, ¿están Aunque esta pregunta es de obligatoria respuesta,
primero es fundamental entender que, en la
o no facultadas misma medida que los organismos de control se
tecnifican y organizan para ejercer una mayor
las Pymes para vigilancia, yo debo tecnificarme y organizarme
enfrentarse a la como empresa para ejercer un mayor control
sobre mis procesos.
gestión de riesgo? Es aún muy prematuro hablar de obligatoriedad
en la implementación de procedimientos
encaminados a la prevención del LAFT. Sin
embargo, es conveniente hablar de estrategia
empresarial y visión de negocios, pues
implementar un sistema de gestión de riesgo
reforzaría las buenas prácticas empresariales y
permitiría conocer a fondo al cliente, manejar su
información financiera para la toma de decisiones
frente a negocios en curso o futuros, y vigilar
el cumplimiento de los objetivos de gestión del
riesgo.
Es fundamental como empresa entender lo
importante que es apoyarse en las diversas
herramientas tecnológicas que ofrece el mercado.
La tecnificación es hoy un factor vital que puede
ayudar a las empresas a la consecución de sus
objetivos con tasas de retorno muy altas.
www.riesgoscero.com | 14
04 EL PROCESO DE SELECCIÓN DEL
MODELO DE GESTIÓN DE RIESGO
A IMPLEMENTAR
En el artículo Alternativas de Modelos de Gestión del Riesgo se
presentan dos modelos:
El modelo “V” En la implantación de medidas de control del
riesgo es importante la identificación de los puntos
y procesos de la operación financiera para luego
relacionarlos según el tipo de marco de gestión
de riesgos informáticos que se haya utilizado
para la evaluación global de riesgo (Global Risk
Assesments -GRA).
El Modelo “V” se asemeja al usado en informática,
para control, desarrollo y puesta en marcha
de proyectos. Sigue un proceso cronológico
desde la definición de un proyecto hasta su
puesta en marcha. A partir de este modelo, y
de la estratificación considerada en él, se hacen
las consideraciones para implantar métodos y
soluciones para la mitigación del riesgo.
www.riesgoscero.com | 16
Marco para gestión Este modelo asegura que:
Existan políticas apropiadas de gestión de riesgos y
del modelo de un marco de gobernanza
Los modelos se desarrollen e implementen de
riesgo: manera robusta y apropiada
Esos modelos se sometan a validación apropiada
y revisiones independientes y antes después de la
implementación
FASE I- POLÍTICAS
DE GESTIÓN DEL
MODELO DE RIESGO
Y MARCO DE
GOBERNANZA:
www.riesgoscero.com | 17
FASE II- VALIDACIÓN
DEL MODELO
Y REVISIÓN
INDEPENDIENTE DE
ESTÁNDARES
FASE III-
DESARROLLO
DEL MODELO E
IMPLANTACIÓN DE
ESTÁNDARES
www.riesgoscero.com | 18
FASE IV- DEFINICIÓN
DEL MODELO,
IDENTIFICACIÓN E
INVENTARIO
www.riesgoscero.com | 19
En un caso de referencia, una organización
internacional del sector químico describe así
las expectativas de su sistema de gestión de
riesgo:
Las leyes
Las reglamentaciones
Su código de conducta
www.riesgoscero.com | 20
La Importancia del La junta directiva tiene la obligación de garantizar
que la institución funcione de manera segura
Compromiso de la dentro de los márgenes de riesgo tolerado y a la
vez se le solicita estar en capacidad de cuestionar
Dirección de manera adecuada a la alta gerencia acerca de
sus decisiones orientadas a la prevención y manejo
del riesgo.
Esta medidas son una garantía del compromiso
integral con la política de prevención y gestión de
riesgo en la organización, también es un mensaje
positivo para los dueños. Por otra parte, las
recomendaciones sobre la política de talento dan
claridad sobre el papel determinante de la gestión
de riesgo en la cultura empresarial, preparando los
recursos necesarios para garantizar su ejecución.
Paralelamente a la gestión del riesgo, es necesario
implantar una sólida función de auditoría.
www.riesgoscero.com | 21
Una compañía informa una ganancia de
exactamente $ 10,000, que es el punto en el que
las ganancias por acción cumplen exactamente
con las expectativas de los analistas. Cualquier
reducción en el beneficio por debajo de este punto
hubiera desencadenado una venta de acciones de
la compañía, por lo que se consideraría material.
www.riesgoscero.com | 22
Guía KPMG sobre
el proceso de
materialidad
FASE 2: Identificar temas Crea una lista larga de temas materiales posibles
potenciales.
www.riesgoscero.com | 23
Las Tres Líneas de
Defensa, Funciones
y Responsabilidades
Eficacia de la gobernanza
Gestión de riesgos y controles internos, incluidos
Cómo 1ª y 2ª líneas de Defensa lograr manejar el
riesgo y objetivos de control
Perspectiva independiente y desafío creíble
www.riesgoscero.com | 24
Impacto de la Un componente fundamental en el sistema de
gestión de riesgo es la auditoría, tanto interna
Auditoría de Riesgo (Tercera línea de defensa), como la externa que
valida de manera independiente el desempeño
del sistema dentro de lo previsto, así como la
sostenibilidad de la propuesta desplegada.
El proceso de auditoría al ingresar al sistema,
también incluye un componente de riesgo
adicional inevitable al sistema, el riesgo de
auditoría
El riesgo de auditoría es el riesgo de que un
auditor no detecte errores o fraude al examinar
los estados financieros o los informes de de un
cliente. Los auditores pueden aumentar el número
de procedimientos de auditoría para reducir el
nivel de riesgo de auditoría. La reducción del riesgo
de auditoría a un nivel modesto, es una parte clave
de la función de auditoría, ya que los usuarios de
los estados financieros confían en las garantías de
los auditores cuando leen los estados financieros
de una organización.
Los tres tipos de riesgo de auditoría son:
www.riesgoscero.com | 25
Integración La información derivada de la gestión de riesgo
hace parte de los diversos tipos de reportes
del Sistema de no financieros que generan las organizaciones
contemporáneas, que dan cuenta de su
Gestión de Riesgo transparencia y compromiso con los objetivos de la
sociedad. Entre los informes están éstos:
Gestión de riesgos
Grupo de Trabajo sobre Divulgaciones Financieras
Relacionadas con el Clima (TCFD)
Gobernanza
Estrategia
Métricas y objetivos
Informes corporativos sobre los ODS (Objetivos de
Desarrollo Sostenible)
www.riesgoscero.com | 26
05 DESARROLLO DE LOS VALORES DE
LA CULTURA ORGANIZACIONAL
Este tema se resalta en el artículo Riesgo financiero: lo que no se
mide no se puede controlar en el cual se afirma que si una entidad
no hace un análisis de riesgo financiero, tendrá todos los efectos
adversos, no podrá anticiparse a las amenazas. En otras palabras,
lo que no se mide no se puede controlar.
La importancia de Este tema se resalta en el artículo Riesgo
financiero: lo que no se mide no se puede
las métricas en la controlar en el cual se afirma que si una entidad no
hace un análisis de riesgo financiero, tendrá todos
gestión de riesgo los efectos adversos, no podrá anticiparse a las
amenazas. En otras palabras, lo que no se mide no
se puede controlar.
Así lo explica el especialista de Análisis Financiero
del Departamento de Finanzas de la Universidad
Eafit, David Alejandro Yepes, quien asegura que
a la hora de hacer una inversión, las compañías
deben analizar todos los factores, sobretodo, los
que hacen referencia a la incertidumbre y a los
cambios que se pueden dar en el sector, e incluso,
en el país donde se opera.
El experto cuenta que hay varios factores para
analizar: el incumplimiento de pago, cuestiones
económicas y hasta desastres naturales, por
ejemplo, si una empresa compra un terreno
cerca de un río, pero en invierno este afluente se
desborda y arrasa con todo, la inversión se pierde.
La entidad debe analizar cuándo se dará el retorno
de la inversión y estudiar qué pondría en riesgo
ese retorno; también examinar muy bien el tipo de
mercado en el que se invertirá, en qué moneda y si
se podría afectar la tasa de cambio.
Por ejemplo, las entidades que invirtieron en
Venezuela, en el gobierno de Hugo Chávez (1999-
2013), vieron como sus inversiones se esfumaron.
La crisis de la economía de ese país afectó tanto
el bolívar, que alcanzó a devaluarse en un 360 por
ciento, con respecto al dólar, según cifras del portal
de internet dolartoday.com.
Esa crisis comenzó en 1999, cuando Hugo Chávez
llegó al poder y el país cambió su modelo al
socialismo, que no terminó en el 2013 con su
muerte, por el contrario, esa política empeoró la
crisis en el gobierno de Nicolás Maduro.
El gobierno socialista afectó a las empresas
del sector de alimentos porque controló los
precios de los productos de la canasta familiar,
argumentando que todos pudieran pagarlos, pero
los redujo tanto, que estuvieron por debajo del
costo de producción. Eso hizo que los productores
nacionales de harina, arroz, maíz y otros artículos
dejarán el mercado y que después no hubiera
nada qué comprar.
www.riesgoscero.com | 28
Claves para prevenir Entre mayor información se tenga sobre lo que
se quiere invertir, menor será el riesgo y mejores
el riesgo decisiones de inversión se tomarán, por ello, hay
que evaluar la rentabilidad y anticiparse al futuro
para adaptarse a los cambios del mercado, a la
tecnología y a la innovación, así como a las nuevas
tendencias del sistema financiero.
También hay que diversificar el riesgo, planear
inversiones que equilibren las operaciones de
alta peligrosidad con las de alta seguridad y
utilizar herramientas tecnológicas para gestionar
las amenazas, así como proteger los activos con
pólizas de seguros.
El riesgo de crédito es muy estudiado por las
entidades, éste se produce cuando una de las
partes de un contrato financiero no asume sus
obligaciones de pago. Por ejemplo, cuando los
bancos hacen préstamos analizan los riesgos a
los que está expuesta la persona o institución que
solicita el crédito.
“Si le presto a alguien que tiene nexos con la mafia,
posiblemente, a esa persona la están buscando
para matarla. Hay que saber a quién le estoy
facilitando la plata, qué hace esa persona y qué
riesgos hay en la operación que estoy invirtiendo”,
añade el experto de la Universidad Eafit.
Yepes detalla que los bancos analizan el perfil
de la persona que solicita el crédito, dónde vive,
cuánto se gana,cuánto tiempo lleva trabajando,
qué tipo de negocios hace y le preguntan en qué
va a utilizar la plata, si va a comprar propiedad o
automóvil, ese activo que adquiere, servirá como
garantía.
En definitiva, si una compañía detecta los riesgos
a tiempo, conocerá a fondo los factores que
podrían llevarla a tener pérdidas y podrá diseñar
estrategias asertivas y evitar o mitigar esas
pérdidas.
www.riesgoscero.com | 29
06 CARACTERÍSTICAS DE UN BUEN
SISTEMA DE CONTROL INTERNO
Un control interno efectivo depende de una buena organización.
Reducir el nivel de errores e irregularidades ayuda a que los
objetivos del sistema de control se cumplan de manera correcta.
Conozca aquí las características de un buen sistema de control
interno.
Claves para prevenir La primera característica de un sistema de control
interno es el plan de organización. Para que este
el riesgo sea efectivo debe ser simple y flexible. Este plan
debe delimitar claramente las funciones de cada
dependencia y de los funcionarios que a ella
pertenecen.
En primer lugar, un plan de control interno debe
tener procedimientos bien determinados que
integren las actividades de todos los sectores de la
organización.
Segundo, para alinear cada área de la empresa,
es necesario un organigrama en el que se defina
la línea de autoridad y las responsabilidades en
el interior de la empresa: jefes, líderes técnicos,
encargados, directores, etc.
Esa delimitación de funciones y actividades debe
establecerse en manuales de procedimientos con
el fin de ser claros y evitar errores.
www.riesgoscero.com | 31
Segregación de La independencia estructural de una organización
significa separar las funciones de cada área de
funciones la empresa. Esto es fundamental en un sistema
de control interno eficaz, pues garantiza que una
persona no tenga bajo su responsabilidad todas
las etapas de una operación.
En este sentido, todos los procesos deben pasar
por diferentes fases, y cada una de ellas debe estar
a cargo de una persona distinta. Así, la ejecución,
autorización o registro de una transacción es
realizada de manera independiente por un
empleado.
De ahí la importancia de contar con un manual
que especifique el organigrama, las funciones y los
responsables de cada área.
En caso de que cuente en su empresa con un
software de gestión, este debe tener la opción de
definir y restringir perfiles de usuario.
www.riesgoscero.com | 32
Sistema de Un control interno eficaz incluye medios para
monitorear los registros de operaciones y
autorización y transacciones. Los procedimientos involucrados
en una actividad deben contemplar las auditorías
procedimiento y revisiones periódicas, así como la obtención de
informaciones de control.
Los registros que informan sobre el resultado de
una actividad particular deben ser producidos por
fuentes independientes con el fin de que puedan
ser comparados con los de el área que ejecuta la
tarea. En caso de que haya alguna discrepancia,
esto evidenciará una falla en el registro de
transacciones.
www.riesgoscero.com | 33