Control de Gestión

El Control de Gestión basado en Riesgos

Durante la gestión de una organización una parte muy importante a considerar son los posibles riesgos que pueden
afectarla y/o perjudicarla. Es por ello que gracias a la Gestión de Riesgos podremos utilizar las metodologías
adecuadas para saber cómo reaccionar y mitigar a tiempo cada peligro.

Hasta el momento el foco de atención de este curso sobre Control de Gestión, se ha centrado en la metodología que
propone el Balanced Scorecard o Cuadro de Mando Integral, que como ya hemos visto, desde su creación ha sido
uno de los enfoques de negocio más utilizados para el desarrollo de sistemas de Control de Gestión en diversos tipos
de organizaciones, basados en la Estrategia y con un fuerte énfasis en la utilización de Indicadores No Financieros,
sin dejar de lado el uso de los Indicadores Financieros, que son vitales para asegurar el bienestar de las empresas.
Sin embargo, en esta unidad, nos abocaremos a la Gestión basada en Riesgos, un enfoque que, como el CMI,
busca generar marcos de control que aseguren el cumplimiento de los objetivos que se plantean las diversas
organizaciones, tanto públicas como privadas, a pesar de que el origen de ambas responde a distintas visiones:
mientras el modelo del CMI, se basa principalmente en la ciencia del management o de la gestión de empresas, la
Gestión basada en Riesgos nace a partir de la disciplina de la Auditoría.
Es así como la Gestión de Riesgos es un proceso efectuado por el directorio, la administración superior y
otros miembros de la organización, basado en la estrategia y a lo largo de toda la empresa.
Este proceso está diseñado para identificar potenciales eventos que puedan afectar a la entidad y para administrar el
riesgo dentro de los rangos de rechazo del proceso, siempre que estos sean aceptados por la organización, con el fin
de proveer una razonable seguridad en el logro de sus objetivos 1.

Control de Gestión

1
Control de Gestión

Orígenes y evolución de la Gestión basada en Riesgos

El origen y evolución de la Gestión basada en Riesgos se remonta a 1985 cuando se conformó en EE.UU. el comité
de organizaciones patrocinadoras de la comisión Treadway o COSO.
Este comité estudió los factores que originaban la presentación de información financiera falsa o fraudulenta, con el
fin de emitir recomendaciones que garantizaran la máxima transparencia en la preparación y difusión de este tipo de
información.
A partir de los estudios realizados por el comité, en 1992 se emitió el primer informe con recomendaciones para la
emisión de reportes financieros, llamado “COSO I – Marco Integrado de Control Interno”, que contenía directrices
para la evaluación de los procesos internos de las compañías con el fin de mejorar la calidad de la información
financiera que generaban a sus distintos stakeholders.
El trabajo realizado por COSO fue bastante silencioso en un principio, sin embargo, a comienzos de este siglo,
se inició una serie de quiebras fraudulentas de reconocidas empresas americanas, siendo la más dramática de
todas, la de la compañía Enron, un gigante de la industria energética, lo que trajo a colación la necesidad de mejorar
los controles que debían realizarse sobre las compañías estadounidenses que habían gozado por décadas la
desregulación por parte de los gobiernos de turno.
Dichas quiebras dieron lugar a la publicación de la Ley Sarbanes Oaxley (SOX), que exigió a todas las empresas
que cotizaban en las bolsas de Estados Unidos, implementar y mantener marcos de Gestión de Riesgos de acuerdo
con lo planteado por COSO.
Un segundo documento emitido en 2004 fue denominado “COSO II – Marco Integrado de Gestión de Riesgos
Empresariales”, y en él se sentaron las bases de la metodología para la Gestión de Riesgos de negocios. Es en este
punto donde el marco entregado por COSO, se expandió más allá de los límites tradicionales de la auditoría
financiera, abarcando diversos ámbitos de la gestión, agrupados en tres áreas:

1 Operaciones.
2 Información.
3 Cumplimiento.

De esta forma, en términos generales, la gestión de riesgos consiste en un mecanismo que

comienza con una evaluación de los diversos procesos de una organización, a través de la que se
identifican los riesgos que, de materializarse, podrían dificultar o incluso impedir que los objetivos
empresariales se cumplan.

Según esta metodología, cada riesgo debe ser evaluado de modo de determinar su importancia y probabilidad de
materialización u ocurrencia.
Por cada riesgo se debe generar un gráfico, donde se colocan las dos variables bajo análisis, es decir, importancia
y probabilidad de materialización, como se muestra en la figura.

Control de Gestión

2
Control de Gestión

En el cruce de ambas variables en el gráfico anterior se generan distintas áreas, en este caso identificadas como:

 Imperceptible.

 Bajo.

 Medio.

 Alto.

 Catastrófico.

Estos representarán el efecto que produciría en la organización la materialización del riesgo.

Por lo tanto, deben ser diseñados e implementados una serie de controles de modo de mitigar los efectos en la
organización, con especial énfasis en los riesgos con consecuencias Altas y Catastróficas.

Control de Gestión

3
Control de Gestión

Para Ejercitar

¿Cuál fue el objetivo de COSO al emitir informes con recomendaciones para la emisión de los reportes
financieros?

Selecciona tu respuesta:

 A) Garantizar la máxima transparencia en la preparación y difusión de este tipo de información.

 B) Mejorar la calidad de la información financiera que generaban a sus distintos stakeholders.

 C) Sentar las bases de la metodología para la gestión de riesgos de negocios la que se expandió más allá de
los límites tradicionales de la auditoría financiera, abarcando diversos ámbitos de la gestión.

 D) Todas las anteriores

Ahora bien, las estrategias genéricas para hacer frente a los riesgos pueden clasificarse en cuatro tipos:

Aceptar En este caso no se realizan acciones para afectar la probabilidad del riesgo o sus consecuencias, y
usualmente se utiliza cuando la relación beneficios v/s costos de la implementación de las acciones no lo justifica.

Evitar Significa salir de las actividades que generan los riesgos, siempre y cuando esto sea posible y no afecte el
cumplimiento de los requisitos legales o la eficiencia operacional.

Reducir Esta estrategia implica llevar a cabo acciones para reducir la probabilidad o las consecuencias del riesgo o
ambos a la vez.

Transferir En este caso las consecuencias del riesgo se reducen trasladando o compartiendo una parte con un
tercero. Este es el típico caso en que se contratan seguros que cubren los riesgos.

Los riesgos identificados por cada proceso, los resultados de su evaluación y los controles establecidos por cada uno
de ellos deben ser traspasados a una matriz, que será utilizada para monitorear su comportamiento y evolución por
parte de los responsables de cada proceso guiados por un Encargado de Gestión de Riesgos, nombrado para tales
efectos.

Control de Gestión

4
Control de Gestión

 El comité de organizaciones patrocinadoras de la comisión Treadway o COSO estudió los factores

que originaban la presentación de información financiera falsa o fraudulenta, para emitir
recomendaciones que garantizaran la máxima transparencia en la preparación y difusión de este
tipo de información.

Finalmente, los orígenes del control de gestión basado en los riesgos, nos permiten comprender la importancia de
utilizar metodologías que nos adviertan de las diversas situaciones que pueden perjudicar a la organización. Así, de
acuerdo con la aparición de los distintos niveles de riesgo, podremos llevar a cabo acciones para mitigarlas y
mantener sana nuestra compañía.

Auditoría: La actividad de auditar consiste en realizar un examen de los procesos y de la actividad económica de una
organización para confirmar si se ajustan a lo fijado por las leyes o los buenos criterios.
Riesgos: El riesgo es esa vulnerabilidad o amenaza a que ocurra un evento y sus efectos sean negativos y que
alguien o algo puedan verse afectados por él.

Control de Gestión

5
Control de Gestión

Componentes y principios de la Gestión de Riesgos

Los componentes y principios en la Gestión de Riesgo son normas fundamentales que nos entregan las directrices
necesarias para llevar a cabo este proceso en todo tipo de organizaciones, con el fin de garantizar el correcto
desarrollo de una empresa.

A partir de COSO II y las versiones posteriores presentadas en 2013 y 2017, se agregaron a las áreas tradicionales
de control (Operaciones, Información y Cumplimiento) la de Estrategia de Negocios.

Es así como el marco de gestión de riesgos COSO involucra el más amplio espectro de las
funciones empresariales, impulsadas por la Alta Dirección o Gobierno Corporativo y siempre sobre la
base de un enfoque de procesos.

COSO 2017 considera cinco componentes y veinte principios. Estos componentes son 1 :

Control de Gestión

6
Control de Gestión

1. Gobierno y Cultura
El gobierno establece el tono de la organización, reforzando su importancia y estableciendo responsabilidades de
supervisión, para la gestión de riesgos empresariales. La cultura se refiere a valores éticos, comportamientos
deseados y comprensión del riesgo en la entidad 2.

2. Estrategia y objetivos
Gestión de riesgos empresariales, estrategia y objetivos trabajan juntos en el proceso del Plan Estratégico. El apetito
al riesgo es definido y alineado con la estrategia, los objetivos de negocio ponen la estrategia en práctica mientras
sirve para identificar, evaluar y responder a los riesgos.

Control de Gestión

7
Control de Gestión

3. Desempeño
Riesgos que pueden afectar el logro de la estrategia y los objetivos de negocio pueden ser identificados y evaluados.
Los riesgos son priorizados por severidad y en el contexto del apetito al riesgo. La organización selecciona las
respuestas al riesgo y toma el riesgo que ha asumido.

4. Revisión
Para revisar el desempeño de la entidad, una organización puede considerar qué tan bien funcionan los

Control de Gestión

8
Control de Gestión

componentes de gestión de riesgos empresariales a lo largo del tiempo a la luz de cambios sustanciales y qué
revisiones se necesitan.

5. Información, comunicación y reporte

La gestión de riesgos empresariales requiere un proceso continuo para obtener y compartir información necesaria,
de fuentes internas y externas, que fluya en todas las direcciones y a través de toda la organización.

Los veinte principios se agrupan en torno a los cinco componentes de acuerdo a la siguiente tabla:

Gobierno y cultura 1. La Junta Directiva ejerce supervisión sobre los riesgos

2. Establece estructuras operativas
3. Define la cultura deseada
4. Demuestra compromiso con los valores éticos
5. Atrae, desarrolla y retiene individuos competentes

Estrategia y Objetivos 6. Analiza el contexto empresarial

7. Define el apetito al riesgo
8. Evalúa estrategias alternativas
9. Formula los objetivos empresariales

Desempeño 10. Identifica riesgos

11. Evalúa la severidad de los riesgos
12. Prioriza los riesgos
13. Implementa las respuestas al riesgo
14. Desarrolla un portafolio de riesgos

Control de Gestión

9
Control de Gestión

Revisión 15. Evalúa los cambios sustanciales

16. Revisa los riesgos y el desempeño
17. Propone mejoras en la gestión de riesgos empresariales

Información, comunicación y reporte 18. Aprovecha la información y la tecnología

19. Comunica los riesgos de información
20. Informes sobre riesgos, cultura y desempeño

Control de Gestión

10
Control de Gestión

Debido al amplio uso y utilidad mostrada por el enfoque de gestión de riesgos en las empresas, se han realizado
otros esfuerzos, destacándose la elaboración y publicación en 2009 de la Norma ISO 31000 sobre Gestión de
Riesgos, constituida en un marco general que entrega directrices para el establecimiento de un proceso de Gestión
de Riesgos en todo tipo de organizaciones.
Otros esfuerzos por hacer extensivo el uso de la Gestión de Riesgos en todo tipo de organizaciones lo constituye la
versión del año 2015 de la Norma ISO 9001 sobre Sistemas de Gestión de Calidad, que incorporó como requisito que
la entidad realice gestión de riesgos de negocio, para la implementación, mantención y certificación de un sistema
de gestión de calidad.

Principios de Gobierno Corporativo de la OCDE

La Gestión de Riesgos es un concepto de gran aceptación y de amplio uso en las organizaciones actuales, como un
componente esencial de los Gobiernos Corporativos, cuyos preceptos y metodologías son recomendadas e
impulsadas por importantes organismos internacionales, dentro de los que destaca la Organización para la
Cooperación y el Desarrollo Económico (OCDE), de la que nuestro país forma parte desde mayo de 2010 3.
El Foro sobre Estabilidad Financiera ha calificado los Principios de Gobierno Corporativo de la OCDE como una de
las 12 normas fundamentales para garantizar unos sistemas financieros sanos. Los Principios también constituyen la
base para un extenso programa de cooperación entre la OCDE y los países que no pertenecen a la misma, a la vez
que sirven de apoyo al componente de gobierno corporativo de los Informes sobre la Observancia de Códigos y
Normas (ROSC) del Banco Mundial/FMI.
A continuación, se presentan los Principios de Gobierno Corporativo de la OCDE.

Principio N°1 

Control de Gestión

11
Control de Gestión

Garantizar la Base de un Marco Eficaz para el Gobierno Corporativo Transparencia y eficacia de los
mercados, coherencia con el régimen legal y articular claramente el reparto de responsabilidades entre
autoridades supervisoras, reguladoras y ejecutoras.

Principio N°2 

Los Derechos de los Accionistas y Funciones Clave en el Ámbito de la Propiedad Amparar y facilitar el
ejercicio de los derechos de los accionistas.

Principio N°3 

Tratamiento Equitativo de los Accionistas Trato equitativo a los accionistas, incluidos los minoritarios y los
extranjeros. Estos deben poder realizar un recurso efectivo en caso de violación de sus derechos.

Principio N°4 

El Papel de las Partes Interesadas en el Ámbito del Gobierno Corporativo Reconocer los derechos de los
stakeholders por ley o con acuerdos mutuos, y fomentar la cooperación para la creación de riqueza y empleo,
facilitando la sostenibilidad empresarial financieramente.

Principio N°5 

Divulgación de Datos y Transparencia Revelación oportuna y precisa de los asuntos materiales relativos a la
sociedad, incluida la situación financiera, los resultados, la titularidad y el gobierno de la empresa.

Principio N°6 

Las Responsabilidades del Consejo 4. Orientación estratégica de la empresa, control efectivo de la dirección
ejecutiva por parte del Consejo y responsabilidad de este frente a la empresa y los accionistas.

Para practicar

COSO 2017 considera cinco componentes que dirigen el accionar de cualquier organización en materia
de gestión de riesgos.
De acuerdo con lo anterior el componente que indica que “Gestión de riesgos empresariales, estrategia y
objetivos trabajan juntos en el proceso de planificación estratégica” corresponde a:

Selecciona tu respuesta:
A) Gobierno y Cultura.

Control de Gestión

12
Control de Gestión


 B) Estrategia y objetivos.

 C) Desempeño.

 D) Revisión.

 E) Información, comunicación y reporte.

Control de Gestión

13
Control de Gestión

El Gobierno Corporativo

La Gestión de Riesgos es un enfoque que se gestiona desde la Alta Dirección. En una empresa constituida bajo la
forma de una sociedad anónima, dicha instancia corresponderá al Directorio, por otro lado, en una sociedad de
responsabilidad limitada, será un consejo directivo conformado por los socios, y en el caso de las empresas
unipersonales, será el dueño el que tenga esta responsabilidad. Es decir, independientemente del tamaño y la forma
legal que tenga la organización, la Gestión de Riesgos podrá aplicarse y tendrá que ser un proceso dirigido desde
las más altas instancias de responsabilidad, por supuesto, con la participación de todo el personal de las diferentes
instancias: estratégicas, tácticas y operativas.

 Existen cinco componentes en la Gestión de Riesgos que fueron propuestos por COSO en 2017
los que son: Gobierno y Cultura; Estrategia y Objetivos; Desempeño; Revisión; Información; y
Comunicación y Reporte. Estos, a su vez, contienen veinte principios que se agrupan para
especificar acciones y roles por cada área en dicha gestión.

Normalmente, en la diversa literatura sobre el tema, el concepto de los Gobiernos Corporativos se aplica a las
grandes corporaciones y dicha responsabilidad recae en los Directorios, pero como hemos visto no es así, dada la
universalidad de su aplicación a distintos tipos de organizaciones.
Por lo tanto, cada vez que hablemos de los Gobiernos Corporativos nos estaremos refiriendo a las diversas
estructuras encargadas de gestionar y dirigir los esfuerzos organizacionales de modo de alcanzar los objetivos
que se establezcan.
Finalmente, tanto componentes, como principios y rol de los Gobiernos Corporativos, nos ayudarán a mantener una

Control de Gestión

14
Control de Gestión

Gestión del Riesgo ordenada y transparente, según una metodología determinada, que se puede adaptar a todo tipo
de organización. De esta manera, será posible llevar a cabo las acciones necesarias para enfrentar todo tipo de
riesgos y saber cómo actuar frente a cualquier eventualidad que afecte negativamente a la compañía, logrando así,
alcanzar los objetivos de la empresa de forma efectiva.

Control de Gestión

15
Control de Gestión

Sistemas de Gestión de Calidad: Un Sistema de Gestión de Calidad es una herramienta que le permite a cualquier
organización planear, ejecutar y controlar las actividades necesarias para el desarrollo de la misión,a través de la
prestación de servicios con altos estándares de calidad, los cuales son medidos a través de los indicadores de
satisfacción de los usuarios.
Gobiernos Corporativos: El gobierno corporativo es el conjunto de normas, principios y procedimientos que regulan la
estructura y el funcionamiento de los órganos de gobierno de una empresa.

Control de Gestión

16
Control de Gestión

¿Cómo se gestiona el riesgo?

Para llevar a cabo un correcto proceso de gestión del riesgo, debemos tener claro que necesitaremos una
metodología y herramientas adecuadas, así como también saber quién será el responsable de realizar este proceso
y cuáles serán sus roles.

Es importante mencionar que la Gestión de Riesgos en cualquier organización es responsabilidad de la Alta

Dirección. Así, la Alta Dirección independientemente de la forma que asuma de acuerdo a los diferentes tipos de
entidades, debe preocuparse por la implementación y mantención de un sistema de Gestión de Riesgos que, basado
en un enfoque de procesos, identifique los diversos riesgos a los que se vean sometidas las actividades
organizacionales y que tengan la capacidad de afectar el cumplimiento de los objetivos que se han planteado.
Para esto, la construcción de una matriz de riesgos constituirá la principal herramienta que todo responsable de
gestionar riesgos debe conocer y manejar.
Una matriz de riesgos, consiste básicamente en una planilla, generalmente de tipo electrónica, como Excel, que
contiene las siguientes columnas:

Identificación del Importancia del Probabilidad de Efecto en la

Proceso Subproceso Controles
riesgo riesgo materialización Entidad

En la matriz, por cada proceso, existirá más de un subproceso, y en cada uno de ellos se deben identificar todos los
riesgos que sean necesarios.
A continuación, se presenta a modo de ejemplo, una Matriz de Riesgos que considera un proceso, con dos
subprocesos. Como se puede apreciar, por cada subproceso se han identificado diferentes riesgos, los que son
evaluados en cuanto a su importancia y probabilidad de materialización. Junto a la determinación del efecto en la
organización, una serie de controles han sido establecidos, de modo de reducir el impacto.

De esta forma, en caso de que se consideren más procesos en el análisis, se pueden agregar filas a continuación de

Control de Gestión

17
Control de Gestión

Probabilidad
Identificación Importancia Efecto en la
Proceso Subproceso de Controles
del riesgo del riesgo Entidad
materialización

Proceso 1 Subproceso Riesgo 1.1.1 Muy Control

1.1 importante 1.1.1.1

Control
Moderada Alto
1.1.1.2

Control
1.1.1.3

Riesgo 1.1.2 Muy Alta Catastrófico Control

importante 1.1.2.1

Control
1.1.2.2

Control
1.1.2.3

Control
1.1.2.4

Riesgo 1.1.3 Importante Baja Bajo Control

1.1.3.2

Riesgo 1.1.n No es Baja Imperceptible No se

importante consideran
controles para
este riesgo

Subproceso Riesgo 1.2.1 Importante Alta Alto Control

1.2 1.2.1.1

Control
1.2.1.2

Control
1.2.1.3

las consideradas en la figura anterior.

Debido a su origen desde el ámbito de la Auditoría, y también derivado de su objetivo principal, que es dirigir y
concentrar los esfuerzos de control administrativo y de las operaciones, erróneamente en muchas organizaciones se
tiene el concepto de que la gestión de riesgos es de responsabilidad del área de auditoría o de contraloría. Pero no
hay nada más alejado de la realidad que esto.
La gestión de riesgos es una actividad que debe ser efectuada por todas las personas que ejercen labores de
dirección dentro de la organización, principalmente en los cargos de jefaturas dentro de los diversos niveles
organizacionales.

Control de Gestión

18
Control de Gestión

Cada jefe de área junto con sus respectivos equipos de trabajo, deben identificar y dar tratamiento a los distintos
riesgos a los que se ven sometidos sus procesos, por lo tanto, será responsabilidad de estas mismas personas la
construcción de sus respectivas Matrices de Riesgo.

Así, la Matriz de Riesgo se transforma en un elemento de Gestión para el responsable de un área,

así como lo es el Mapa Estratégico cuando se utiliza la metodología del Cuadro de Mando Integral
de Kaplan y Norton.

¿Son entonces el Cuadro de Mando Integral y la Gestión de Riesgos, metodologías excluyentes entre sí?
La respuesta es No.
Ambas metodologías son complementarias. Pensemos, por ejemplo, en cada uno de los Objetivos Estratégicos que
se plantean dentro de un proceso de Planificación Estratégica. Como puedes imaginar, cada uno de esos Objetivos
Estratégicos se ve afectado por distintos riesgos que pueden determinar el hecho de que estos se puedan cumplir o
no.
Por lo tanto, perfectamente podríamos crear una Matriz de Riesgos, donde en lugar de los procesos podemos colocar
cada uno de los Objetivos Estratégicos y hacer la evaluación de los riesgos correspondientes.

Control de Gestión

19
Control de Gestión

Para ejercitar

¿Cuáles son las áreas de la Gestión de Riesgos a las que hay que poner atención a la hora de realizar la
Matriz de Riesgos?

Selecciona tu respuesta:

 A) Proceso, Subproceso, Identificación del riesgo e Importancia del Riesgo.

 B) Probabilidad de materialización, Efecto en la entidad y Análisis financiero.

 C) Probabilidad de materialización, Efecto en la entidad y Controles.

 D) Solo A y C

 E) Solo A y B

El Encargado de Gestión de Riesgos

Ya sabemos que la responsabilidad de impulsar el uso de la gestión de riesgos es de la Alta Dirección de una
organización y que cada responsable de área debe preocuparse dentro de este sistema de identificar y evaluar sus
riesgos y de la construcción de la Matriz, pero independientemente de esto, dentro de cada entidad donde se aplica
la metodología de la Gestión de Riesgos, siempre existe una persona o un área encargada de administrar este
sistema.
Es así como nos encontramos con la figura del Encargado de Gestión de Riesgos, cuyas funciones también a
menudo son confundidas, en el sentido de pensar que es esta persona o área, la responsable de la identificación,
evaluación y gestión de los riesgos por intermedio de la o las matrices de riesgo que se construyan, pero esto no es
así.
El Encargado de Gestión de Riesgos, tiene la responsabilidad de velar por la correcta implementación y mantención
del sistema, algo así como el super administrador en el caso de los sistemas informáticos.
Dicho Encargado es responsable de establecer la parametrización del sistema, como por ejemplo:

 Si las probabilidades serán medidas sobre la base de una escala discreta como la que se ha considerado en
este curso de baja, moderada o alta.
 O, por el contrario, si se usará una escala continua de 0 a 1, tal como se hace en el cálculo matemático de las
probabilidades.

Control de Gestión

20
Control de Gestión

 La Matriz del Riesgo y el Cuadro de Mando Integral son metodologías complementarias, ya que
los Objetivos Estratégicos que se plantean en la Planificación Estratégica se ven afectados por
riesgos que pueden afectar el hecho de que se puedan cumplir. Por lo tanto, podemos crear una
Matriz de Riesgos, donde en lugar de los procesos podemos colocar Objetivos Estratégicos y
hacer la evaluación de los riesgos correspondientes.

Entre otras responsabilidades, el Encargado de Gestión de Riesgos debe velar por la correcta aplicación de los
preceptos del sistema por parte de todas las personas responsables de participar en él, por lo que la función de
capacitación y entrenamiento será una de sus responsabilidades fundamentales.
Por otra parte, dicho Encargado debe preocuparse por la coordinación de todas las áreas que participan en el
sistema y del desarrollo armónico de las matrices de cada área, de modo que conversen entre ellas.

En conclusión, una de las principales herramientas a la hora de construir una metodología para la Gestión de
Riesgos es la Matriz de Riesgos, que nos permite identificar la posibilidad de riesgo por cada proceso en la
organización. Además, es importante tener en cuenta que este proceso debe ser llevado a cabo desde la alta
dirección y por un área de Gestión de Riesgo, o un encargado de realizar esta labor, ya que es fundamental que esto
se realice de forma sistemática, profesional y rigurosa, con el fin de mantener un efectivo control de la empresa y
evitar percances.

Control de Gestión

21
Control de Gestión

matriz de riesgos: La Matriz de Riesgos es una herramienta de gestión que permite determinar objetivamente cuáles
son los riesgos relevantes para la seguridad y salud de los trabajadores que enfrenta una organización.
capacitación: La capacitación se define como el conjunto de actividades didácticas, orientadas a ampliar los
conocimientos, habilidades y aptitudes del personal que labora en una empresa para un mejor desempeño en sus
actuales y futuros cargos, adaptándose a las exigencias cambiantes del entorno.

Control de Gestión

22
Control de Gestión

La función de la Gestión de Riesgo y Auditoría

La Gestión del Riesgo funciona gracias a ciertas normas y metodologías que permiten identificar los riesgos y
garantizar la transparencia. Así las empresas, tanto públicas como privadas, deben ser reguladas y fiscalizadas
para cumplir esos objetivos de forma adecuada.

Las empresas reguladas son aquellas en las que la legislación de cada país ha determinado establecer una serie
de controles debido a la importancia que reviste su accionar sobre los mercados y los consumidores. Está claro
que todas las organizaciones y empresas deben cumplir con diversas leyes y regulaciones, las que comienzan en el
momento en que se crean, pero el concepto de empresa regulada va más lejos aún.
La introducción de los mecanismos de Gestión de Riesgos en Chile comenzó por factores externos, con la
publicación de la ley Sarbanes Oaxley en EE.UU., como consecuencia de las quiebras fraudulentas que se dieron en
ese país y en especial en la empresa Enron.
A partir de ese momento todas las compañías que cotizaban en las Bolsas americanas fueron obligadas a establecer
marcos de Gestión de Riesgos sobre la base de la metodología COSO, situación que produjo que todas las filiales de
dichas empresas alrededor del mundo, incluyendo Chile, por supuesto, debieron aplicar dichos controles, esto
además de las empresas nacionales que cotizaban ADR 1 en las bolsas de valores americanas.
En nuestro país, cuando se trata de empresas reguladas nos referimos a empresas sobre las que pesan condiciones
especiales de control, para lo que existen diversos entes preocupados de velar por su funcionamiento, que reciben el
nombre de entidades fiscalizadoras.
Además, nos encontramos con diversos sectores regulados y en cada caso particular, sometidos al control de una
entidad gubernamental, principalmente conocidas como “Superintendencia”.

En el ámbito de la gestión de riesgos, nos encontraremos con que, en varios casos los organismos
fiscalizadores han establecido la obligación de que sus empresas reguladas establezcan marcos de
gestión de riesgos, que faciliten tanto el control interno de las mismas, como las labores de
fiscalización que deben ser realizadas.

Control de Gestión

23
Control de Gestión

Los principales organismos fiscalizadores que han establecido a sus regulados la obligación de mantener marcos de
gestión de riesgos son:

Superintendencia de Bancos: Para todas las entidades financieras que operan en el país.

Comisión para el Mercado Financiero (CMF) (Antiguamente llamada Superintendencia de Valores y Seguros): Que
entre otros organismos debe fiscalizar a los emisores de valores, compañías de seguros y las bolsas e intermediarios

Control de Gestión

24
Control de Gestión

de valores, entre otros tipos de empresas.

Superintendencia de Pensiones: Encargada de fiscalizar a las Administradoras de Fondos de Pensiones o AFP.

Superintendencia de Salud: Encargada de supervigilar a las instituciones de salud previsional (Isapres)

Control de Gestión

25
Control de Gestión

Además de las empresas que caen dentro de los ámbitos de regulación de los organismos descritos, con el
establecimiento de la responsabilidad penal de las personas jurídicas mediante la publicación de la ley 20.393 de
2009:

 Cualquier empresa que desee implementar y certificar un modelo de prevención de los delitos contenidos en
dicha ley, cohecho, lavado de activos, financiamiento del terrorismo y receptación, está obligada a identificar los
riesgos de comisión de dichos delitos.
Para lo cual el enfoque de gestión de riesgos, resulta la forma más adecuada para realizarlo.

La función de Gestión de Riesgos en los Organismos Públicos

La función de la gestión de riesgos también ha tenido una amplia acogida por parte de los organismos públicos,
transformándose en una obligación el contar con áreas de gestión de riesgos y el uso de la metodología con un
fuerte énfasis en la utilización de las matrices de riesgo.
En el ámbito del Estado, todas las directrices e instrucciones para la gestión de riesgos en los organismos públicos
son coordinadas por el Consejo de Auditoría General de Gobierno CAIGG, el que mediante documentos técnicos
entrega el detalle de las instrucciones que deben ser aplicadas por todos los servicios públicos en el ámbito de la
gestión de riesgos.
A diferencia de lo que vemos en el ámbito de las empresas reguladas donde el marco teórico utilizado es COSO, en
el ámbito gubernamental existe una fuerte preferencia por la utilización de los preceptos establecidos en la Norma
internacional ISO 31.000.

Control de Gestión

26
Control de Gestión

Para practicar

¿Cuál es la correcta definición de una empresa regulada?

Selecciona tu respuesta:

 A) Las empresas reguladas son aquellas donde las leyes de la OCDE establecen controles debido a la
importancia que reviste su accionar sobre sus trabajadores.

 B) Las empresas reguladas son aquellas en que la legislación de cada país ha determinado establecer una
serie de controles debido a la importancia que reviste su accionar sobre los mercados y los consumidores.

 C) Las empresas reguladas son aquellas determinadas por el Estado de cada país y ha establecido distintas
formas de organización para corregir la economía.

Control de Gestión

27
Control de Gestión

La función de Gestión de Riesgos en empresas privadas

Hasta hace poco la Gestión de Riesgos en las empresas privadas se encontraba prácticamente limitada a aquellas
organizaciones que por obligación tenían que hacerlo. Primero, las empresas sometidas a control por las
disposiciones de la ley Sarbanes Oaxley, y posteriormente las organizaciones reguladas sujetas al control de
diversas entidades públicas nacionales.
El panorama respecto de la incorporación del uso de la gestión de riesgos en las empresas privadas cambió a partir
de la publicación de la Norma Internacional ISO 9001 en su versión de septiembre de 2015.
En dicha versión de la Norma se estableció como un requisito que deben cumplir todas las empresas e instituciones
que opten por certificar sus sistemas de gestión de calidad:
“La obligación de aplicar mecanismos de gestión de riesgos”.
A partir de este hito se espera un incremento en la utilización de esta herramienta en diversos tipos de
organizaciones que implementan y mantienen sistemas de gestión de la calidad de acuerdo con dicha norma
internacional.

Control de Gestión

28
Control de Gestión

Auditoría Interna

La auditoría es uno de los mecanismos de control de mayor utilización por parte de las organizaciones a nivel global.
En este sentido, existe:

 la auditoría externa, que es realizada por organismos ajenos a la empresa, y

 la auditoría interna, que es realizada con los propios medios para evaluar los procesos y su desempeño.

Actualmente, la auditoría interna se sirve de los marcos de gestión de riesgos para focalizar los esfuerzos de control,
ya que esta metodología es un excelente mecanismo para determinar prioridades de control.
Efectivamente, como puede apreciarse en los gráficos de evaluación de los riesgos y en las matrices de riesgo,
quedan en evidencia los aspectos más importantes de la gestión que deben mantenerse bajo un estricto control.

 La función de la gestión de riesgos también ha tenido una amplia acogida por parte de los
organismos públicos, transformándose en una obligación el contar con áreas de gestión de
riesgos y el uso de la metodología con un fuerte énfasis en la utilización de las matrices de
riesgo.

Si nos situamos en los gráficos de evaluación de riesgos, los efectos localizados en las zonas catalogadas como
Medio, Alto y Catastrófico representan los principales focos de control para las acciones de auditoría.
Otro aspecto relevante para el accionar de la auditoría interna son los indicadores de gestión generados bajo la
metodología del Cuadro de Mando Integral, ya que si bien se asume que las cifras que estos entregan deben estar
ajustadas a la realidad, la auditoría permite dar fe de que esto realmente es así, es decir, con esto se da certeza de
que los indicadores están realmente calculados y de que las señales que entregan son lo que deben ser.
Según el portal www.auditool.org algunos de los beneficios de implementar procedimientos de auditoría interna son
los siguientes 2 :

Ejecución satisfactoria 

Que los planes y políticas de la empresa, y el control interno, así como los procedimientos establecidos para su
ejecución, se lleven a cabo de manera satisfactoria.

Empresa protegida 

Que la empresa se encuentre razonablemente protegida contra fraudes, despilfarros y pérdidas.

Control de Gestión

29
Control de Gestión

Información oportuna 

Que los medios internos de registro, control y comunicación transmitan información fidedigna, adecuada y
oportuna a los diferentes niveles de la empresa, responsables de la buena marcha de esta.

Eficiencia 

Que las tareas individuales se cumplan con eficiencia, prontitud y honestidad.

Economía 

Evaluar la economía con que los recursos están siendo utilizados.

Mantener informado 

Mantener informado al Consejo de Administración de cualquier omisión o contingencia legal que pudiera existir.

Asimismo, se indica que para cumplir con lo anterior existen tres tipos o enfoques de auditoría, que pueden ser
utilizados en forma combinada, o bien en forma separada, según sea el caso, los que son:

Auditoría administrativa 

Que revisa y evalúa los métodos, sistemas y procedimientos que se siguen en todo el proceso administrativo,
informa si las personas encargadas de cumplir con las políticas, planes, programas y todo tipo de leyes, lo están
haciendo en forma adecuada.

Auditoría operacional 

Este tipo de trabajo evalúa la eficiencia con que están utilizándose los recursos humanos, materiales y
financieros; promueve la eficiencia de las operaciones para abatir costos, e incrementar el rendimiento de la
inversión.

Auditoría financiera 

Por medio de la revisión de las operaciones en su aspecto numérico, de los registros contables y de la
veracidad de la documentación que las ampara, asegura la confiabilidad e integridad en la información
financiera en la que se reflejan.

Control de Gestión

30
Control de Gestión

Es así como regulación es la palabra clave de esta unidad, ya que nos ha permitido comprender la importancia de
normar las metodologías y procesos de control a partir de la legislación y las recomendaciones tanto nacionales
como internacionales, ya sea para empresas privadas o públicas con el fin de mantener la transparencia y el
desempeño claro y eficiente en la organización.

COSO: Recuerda que COSO (Committee of Sponsoring Organizations of the Treadway) es una Comisión voluntaria
constituida por representantes de cinco organizaciones del sector privado en EE.UU., para proporcionar liderazgo
intelectual frente a tres temas interrelacionados: la gestión del riesgo empresarial (ERM), el control interno, y la
disuasión del fraude.
auditoría interna: La auditoría interna es un sistema de control interno de la empresa y consiste en el conjunto de
medidas, políticas y procedimientos establecidos en una organización concreta para proteger su activo, minimizar
riesgos, incrementar la eficacia de los procesos operativos y optimizar y rentabilizar, en definitiva, el negocio.
regulación: La regulación, por lo tanto, consiste en el establecimiento de normas, reglas o leyes dentro de un
determinado ámbito. El objetivo de este procedimiento es mantener un orden, llevar un control y garantizar los
derechos de todos los integrantes de una comunidad.

Control de Gestión

31
Control de Gestión

No todo es llegar y llevar

La famosa tienda de retail La Polar, había pasado desapercibida por las autoridades financieras durante décadas,
hasta que en 2009 un ingreso masivo de demandas fue el pie inicial para una investigación que pondría en
evidencia a uno de los mayores escándalos en la historia de Chile.

En diciembre de 2009, casi 90 años después de que La Polar naciera como una sastrería en el sector de Estación
Central en la Región Metropolitana, Pablo Alcalde, Gerente General de la compañía desde 1998, era reconocido por
sus pares, directores y gerentes de empresas, como el mejor ejecutivo de la última década.
Se le reconocía a él y a su equipo, no solo por revertir la crisis de la empresa que casi llegó a la quiebra, sino también
por haberla convertido en uno de los retailersmás importantes de Chile, con un valor en Bolsa de US$1.400
millones.
Según Alcalde, el éxito de su gestión estaba basado en la apuesta por la clase media, el conocimiento del
consumidor, la generación de marcas propias, el liderazgo participativo, la optimización de la venta por metro
cuadrado, la responsabilidad corporativa y la confianza, "que es lo más difícil de lograr en la vida", decía. ¡Y como no
iba a serlo!, si desde su apertura en Bolsa en 2003, las acciones de la compañía llegaron a rentar un 500% en
diciembre de 2010, momento en que Alcalde ya ocupaba el puesto de presidente del Directorio.
Pero hasta ese momento, nadie sospechaba que la compañía ya llevaba varios años realizando prácticas financieras
que se encontraban al margen de la ley y reñidas con toda consideración ética y moral.
Esto, porque en 2003 la empresa Southern Cross, controladora de La Polar en ese entonces, como una forma de
motivar a sus ejecutivos principales y lograr su permanencia en la compañía, les ofreció un sistema de incentivo
basado en el traspaso de acciones de la empresa (stock options). Es decir, que mientras más subía el valor de las
acciones de La Polar, mayor era el dinero que podían ganar.
Este era un sistema poco usado en el país y que, como queda demostrado con este caso, ejercía un incentivo para
"inflar" el valor de los papeles.

Control de Gestión

32
Control de Gestión

Según el testimonio de una ex ejecutiva, publicado en el Diario La Tercera, ese mismo año comenzaron las llamadas
prácticas de "normalización", donde ejecutivos de cobranza en un Call Center, reprogramaban las deudas en forma
unilateral de los clientes con morosidad entre 180 y 240 días.

Con esto, se lograba que los deudores figuraran como "repactados" de manera que la empresa no
debía provisionar dinero por ellos, pues su deuda, con pocas posibilidades de ser cobrada, se había
transformado en una cartera vigente y sana. Finalmente, la empresa figuraba logrando más
utilidades de las que realmente tenía y, en consecuencia, el precio de las acciones subía en forma
fraudulenta.

De esta manera, hubo casos donde una persona, por ejemplo, como consecuencia de una deuda de treinta mil pesos
por la compra de una plancha, luego de las repactaciones unilaterales realizadas por la compañía, llegaba a deber
más de un millón de pesos.
Así fue como el caso La Polar comenzó a mezclar todos los ingredientes para convertirse en un escándalo de
proporciones:

 Un Gobierno Corporativo deficiente.

 Ejecutivos ambiciosos e inescrupulosos.

 Falta de controles por parte de los auditores externos y los organismos fiscalizadores.

 Un contexto de regulaciones débiles o inexistentes.

El estallido de la burbuja

Control de Gestión

33
Control de Gestión

El crecimiento fraudulento de estas acciones que hasta entonces había pasado desapercibido, demoró ocho años en
ver las consecuencias. Y la primera de ellas comenzó, por una parte, con una demanda interpuesta el 2 de junio de
2011 por el Sernac en contra de la compañía, por más de 300 casos de repactaciones unilaterales y, por otra, con
el estudio presentado al día siguiente por la oficina jurídica G&S a la Superintendencia de Valores y Seguros (SVS),
donde se detectaron inconsistencias en los estados financieros de la empresa. Situación que no advirtieron los
directores, la SVS, la SBIF, las clasificadoras de riesgo, la empresa auditora, ni los gerentes de inversión de las AFP.
Es así como el directorio de la Polar decidió hacer públicos los problemas y el 11 de junio reconoció a la SVS que la
empresa había incurrido en prácticas no autorizadas, desligándose de toda responsabilidad, aunque por años
repactaron unilateralmente las deudas de un total de 418 mil clientes. Con este sistema, el 40% de la cartera total de
la empresa estaba en una mora disfrazada de activos.
Además, la Polar comunicó que debía aumentar provisiones hasta por US$ 430 millones -siete veces sus utilidades
en 2010- tras revelar la alta morosidad de su cartera. La deuda promedio de sus clientes alcanzaba $1,6 millones de
pesos, cifra muy superior al promedio del resto del retail de $500 mil pesos.
En consecuencia, el valor de las acciones de la empresa cayó en un 42%. A esa fecha, la propiedad accionaria de
La Polar estaba repartida de la siguiente forma:

 AFP (24%)

 Fondos de inversión extranjeros (19%)

 Fondos mutuos (9%)

 Corredoras de bolsa (34%)

 Fondos de inversión nacionales y otros (14%)

Nota: El gráfico muestra la evolución del precio de la acción de La Polar desde el 29 de septiembre del 2008 al 29 de
septiembre del 2018. El precio máximo del periodo se obtuvo el día 21 de septiembre del 2010, cuando llegó a
transarse en $3.694,761.

Control de Gestión

34
Control de Gestión

Aquí puede apreciarse la brusca caída que tuvo el precio de la acción como consecuencia del escándalo
protagonizado por la compañía.Desde el 2 de junio de 2011, cuando el SERNAC interpuso la demanda hasta el día
20 de ese mismo mes, la acción cayó un 77%.Como pueden apreciar, el valor de la acción nunca más se recuperó.
El valor de la acción el día 28 de septiembre de 2018, fue de tan sólo $35,04, lo que representa una caída de un
99,05% desde el mayor valor exhibido durante el periodo cubierto por el gráfico.

Ese mismo día (11 de junio) fue despedido Julián Moreno, Gerente de Productos Financieros, y al día siguiente
Pablo Alcalde fue removido de su cargo de Presidente del Directorio, que estaba ocupando desde enero de
2010.
A partir de ese momento una lluvia de querellas se hizo caer sobre los involucrados. El 16 de junio, AFP Provida
presentó una querella por estafa, contra los autores, cómplices y encubridores de las irregularidades. Provida
estimó que la pérdida para los fondos que administraba alcanzaba a los US$ 74,6 millones.
Al respecto, el nuevo presidente de La Polar, Heriberto Urzúa, señaló que altos ejecutivos ocultaron al directorio
información sobre la política de repactación unilateral de los créditos.
Ocho días después, AFP Cuprum también se querelló contra La Polar y anunció pérdidas por US$ 147 millones. Fue
así como la estimación de las pérdidas que sufrieron todas las AFP involucradas alcanzaron los US$ 257 millones.
Por otra parte, los bancos acreedores de La Polar (BCI, Banco de Chile, BBVA y Scotiabank) a los que les
adeudaba US$ 290 millones, postergaron por 90 días el pago de las cuotas de los créditos. Además, La Polar debía
otros US$ 560 millones por concepto de bonos emitidos. Las AFP eran los tenedores del 67% de estos bonos, por un
total US$ 375 millones.
Finalmente, el 28 de junio, La Polar se querelló contra cuatro ejecutivos y preparó acciones contra la empresa
auditora PricewaterhouseCoopers. La iniciativa judicial involucraba al ex Presidente de la empresa, Pablo Alcalde; al
ex Gerente General, Nicolás Ramírez; a la ex Gerente Corporativa de Administración, María Isabel Farah y a Julián
Moreno, ex Gerente de Productos Financieros. Así fue como Pablo Alcalde renunció al directorio de La Polar.

Control de Gestión

35
Control de Gestión

Consecuencias del Caso

Probablemente en nuestros días, el caso de las repactaciones ilegales realizadas por la empresa La Polar, puede
parecer lejano para muchas personas e incluso ser desconocido para otras, sin embargo fue un hito en la historia del
país que produjo cambios importantes en la industria del retail y en los organismos encargados de fiscalizar este tipo
de operaciones, con repercusiones que llegan hasta la actualidad.
A nivel del mercado de capitales, este episodio fue el punto de partida para una serie de cambios. La importancia de
un buen gobierno corporativo fue tal vez la transformación más de fondo que se dio a partir de ese momento. Pero
también implicó transformaciones importantes al interior del sector retail, nuevas exigencias a las auditoras, e
incluso un cambio estructural en el premio por riesgo a empresas.
De esta forma, este caso cambió por completo el panorama para el retail, produciendo coletazos importantes para su
negocio financiero, y dejando en evidencia que no existía claridad sobre quién era el encargado de regular a una
industria que daba créditos al 43,5% de los hogares (Encuesta Financiera de Hogares 2011-2012), derivando en
diferencias entre la SBIF y el Banco Central.
Pero la disputa finalmente se zanjó y se clarificaron los límites. Una consecuencia directa de esto fue la emisión por
parte del Banco Central de la circular III.J.1 sobre emisión de Tarjetas de Pago, cuya puesta en marcha originó una
disputa entre regulador y regulados, que finalmente resultó en que los principales retailers hayan traspasado la
administración de sus tarjetas de crédito a bancos.
Asimismo, se potenció la fiscalización por parte de la SVS, que puso el foco sobre las auditoras externas, pues el
cuestionamiento sobre PwC por no haber advertido anomalías en los balances de La Polar lo sufrió toda la industria.
Así fue como en 2012, la SVS creó el Área de Control de Empresas Auditoras.
Una de las diversas tareas de dicha unidad es la supervisión de las empresas de auditoría externa en relación con
los servicios de auditoría de los estados financieros de emisores de valores, lo que ha generado un alza en los
estándares de funcionamiento de las empresas clasificadoras de riesgo.

 La empresa Southern Cross, controladora de La Polar en ese entonces, como una forma de
motivar a sus ejecutivos principales, les ofreció un sistema de incentivo basado en el traspaso de
acciones de la compañía. Es decir, que mientras más subía el valor de las acciones de La Polar,
mayor era el dinero que podían ganar. Este era un sistema poco usado en el país y que, como
queda demostrado con este caso, ejercía un incentivo para "inflar" el valor de los papeles.

Control de Gestión

36
Control de Gestión

En cuanto a la arista penal del caso, específicamente sobre los ejecutivos involucrados, destaca la situación de Pablo
Alcalde, quien además de ser condenado a cinco años de libertad vigilada, tuvo que pagar una multa de 680
millones de pesos.
Es así como este caso ha significado un antecedente de gran importancia en la historia del país en cuanto al
desarrollo de normativas de control y regulación en las empresas para evitar las prácticas fraudulentas y, por ende,
escándalos financieros. Finalmente la empresa no solo perdió dinero, sino que también su prestigio y credibilidad
como marca.

retailers: El retail es un tipo de comercio que se caracteriza por vender al por menor. Lo llevan a cabo aquellas
empresas cuyo objetivo es vender a múltiples clientes finales un stock masivo. En oposición al concepto retail, estaría
el de venta al por mayor, o wholesale), que vende grandes cantidades a pocos clientes, típicamente a los propios
retailers..
acciones: Las acciones son las partes iguales en las que se divide el capital social de una sociedad anónima. Estas
partes son poseídas por una persona, que recibe el nombre de accionista, y representan la propiedad que la persona
tiene de la empresa, es decir, el porcentaje de la empresa que le pertenece al accionista.

Control de Gestión

37
Control de Gestión

Resumen y Glosario Unidad 5

Resumen

 El Gobierno Corporativo no es más ni menos que las buenas prácticas de gestión aplicadas a la
administración de empresas. Se trata de una concepción que busca dar un giro profundo en la forma en que
se lleva adelante una firma, donde el Control de Gestión es una de las aristas más importantes para su correcto
funcionamiento.
 Hoy, el Gobierno Corporativo tiene que ver con la gestión integral de las organizaciones, aspecto vital para la
sostenibilidad y el crecimiento sano de las empresas, y también una de las tantas prácticas saludables que
debieran existir en pos de un mundo globalizado con menos riesgos de sobrellevar violentas crisis económicas.
 Hay cuatro motivos que explican las principales quiebras en la historia: conflicto de interés; auditores
externos; uso de información privilegiada y trasgresión de los principios contables.
 La existencia de un Comité de Auditoría es esencial para la estructura del Gobierno Corporativo, pues se
convierte en un órgano vital para fomentar la creación de valor y para lograr la transparencia y seguridad en
la administración de los negocios.
 Cabe señalar que uno de los objetivos primarios del Comité de Auditoría es realizar las funciones de vigilancia
y evaluación que requiere el consejo de Gobierno Corporativo.

Glosario

 Gobierno Corporativo: Sistema de toma de decisiones conformado por normas, prácticas y procedimientos a
través de los cuales se ejerce el control y se regulan las relaciones que se producen al interior de una empresa.
Lo conforman accionistas, directorio y alta administración.
 Comité de auditoría: Grupo conformado por personal de la junta directiva de la empresa que debe evaluar los
distintos procesos de negocio y hacer las recomendaciones estratégicas y operativas que mejoren la eficacia y
eficiencia de la organización y que tiene como último objetivo ayudar a cumplir una correcta labor a los entes de
control, tanto internos como externos.
 Conflicto de interés: Son situaciones en las que los individuos realizan acciones con una indebida influencia
por un interés secundario que por lo general le traerá un beneficio personal o económico.

Control de Gestión

38