Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Gestión de Riesgos
—
Índice
Objetivos
• Conocer los distintos enfoques internacionalmente reconocidos para la gestión
de riesgos.
• Concluir que no existe un enfoque mejor que otro si no que, dependiendo del
proyecto en particular, del entorno y otros factores, un enfoque se amoldará
mejor que otro para las necesidades del proyecto.
1.1 Introducción.
Aunque todas las organizaciones gestionan el riesgo en algún grado, esta norma
establece un número de principios que son necesarios satisfacer para hacer que la
gestión del riesgo sea eficaz. Esta norma recomienda que las organizaciones
desarrollen, implementen y mejoren continuamente un marco de referenci a cuyo
propósito sea integrar el proceso para la gestión del riesgo en los procesos globales de
gobierno, estrategia y planificación, gestión, procesos de presentación de informes,
políticas, valores y cultura de la organización.
• Cumplir con los requisitos legales y reglamentarios pertinentes y con las normas
internacionales.
• Mejorar el gobierno.
• Minimizar pérdidas.
1.2 Objeto
Esta norma brinda los principios y las directrices genéricas sobre la gestión del riesgo .
Puede ser utilizada por cualquier empresa, pública o privada, asociación, grupo o individuo.
Por lo tanto, no es específica para ninguna tarea o sector.
Esta norma se puede aplicar durante en todo momento dentro de una organización y a un
amplio rango de actividades, incluyendo estrategias y decisiones, operaciones, procesos,
funciones, proyectos, productos y servicios.
Esta norma se puede aplicar a cualquier tipo de riesgo, cualquiera que sea su
naturaleza, ya tenga consecuencias positivas o negativas.
Para que la gestión del riesgo sea eficaz, la organización debería cumplir con todos los
siguientes principios en todos los niveles.
b) La gestión del riesgo es una parte integral de todos los procesos de la organización.
La gestión del riesgo no es una actividad independiente que se separa de las
actividades y los procesos principales de la organización si no que es parte de las
responsabilidades de la dirección y una parte integral de todos los procesos de la
organización, incluyendo la planificación estratégica y todos los procesos de gestión de
proyectos y de cambio.
La organización debería definir los criterios que se van a utilizar para evaluar la
importancia del riesgo. Los criterios deberían reflejar los valores, objetivos y recursos de
la organización. Los criterios del riesgo deberían ser consistentes con la política para la
gestión del riesgo de la organización, estar definidos al comienzo del proceso de
gestión de riesgos y ser revisados continuamente.
b. Análisis del Riesgo. Implica el desarrollo y la comprensión del riesgo. Este análisis
brinda una entrada para la evaluación del riesgo y para las decisiones sobre si es
necesario o no tratar los riesgos y sobre las estrategias y métodos más adecuados
para su tratamiento. Así mismo, también brinda una entrada para la toma de
decisiones, en la cual se deben hacer elecciones y las opciones implican diversos
tipos y niveles de riesgo.
decisiones se debería tener en cuenta el contexto más amplio del riesgo e incluir
la tolerancia de los riesgos que acarrean otras partes diferentes de la organización.
d. Cambiar la probabilidad.
e. Compartir el riesgo con una o varias de las partes (incluyendo los contratos y la
financiación del riesgo).
La selección de las opciones más adecuadas para el tratamiento del riesgo implica
equilibrar los costes y los esfuerzos de la implementación. Se puede considerar y
aplicar una cantidad de opciones para el tratamiento ya sea individualmente o en
combinación. Normalmente, la organización se puede beneficiar de la adopción de una
combinación de opciones de tratamiento.
4. Monitoreo y Revisión.
• Garantizar que los controles son eficaces y eficientes tanto en el diseño como en
la operación.
• Analizar y aprender lecciones a partir de los eventos, los cambios, las tendencias,
los éxitos y los fracasos.
Todos los procesos anteriores requieren de comunicación y consulta con las partes
involucradas externas e internas la cual debería tener lugar durante todas las etapas del
proceso para la gestión del riesgo. Deberían desarrollar tempranamente los planes para
la comunicación y la consulta puesto que las partes involucradas dado que éstas
aportan ofrecen sus opiniones acerca del riesgo con base en sus percepciones. Estas
percepciones pueden variar debido a las diferencias en los valores, las necesidades, las
asunciones, los conceptos y los intereses de las partes involucradas.
2.1 Introducción.
Presenta una serie de técnicas y hace referencia a otras normas donde se describe, con
mayor detalle, el concepto y la aplicación de alguna de ellas.
Esta norma no específica el método de análisis del riesgo que se requiere para una
aplicación particular ni hace referencia a todas las técnicas. El hecho de que alguna
técnica no sea mencionada no significa que no sea válida si no, en realidad, resultaría
prácticamente imposible recopilar en una sola norma todas las herramientas de
evaluación de riesgos existentes.
Las técnicas de evaluación de riesgos que recoge la norma se pueden clasificar en las
siguientes categorías:
• Métodos de consulta.
• Métodos de soporte.
• Análisis de consecuencias.
• Análisis de función.
• Evaluación de controles.
• Métodos estadísticos.
1) Métodos de consulta
2) Métodos de Soporte
* Tormenta de ideas
* Entrevistas estructuradas
* Técnica Delphi
3) Análisis de Escenarios
* Evaluación de toxicidad
4) Análisis de Función
5) Evaluación de Controles
6) Métodos Estadísticos
* Análisis Markov
4. Integración y revisión. Una vez puestos en marcha el enfoque y los procesos que
satisfacen los principios, la organización debe asegurar que son aplicados
consistentemente en todos los niveles de la misma.
• Están validados, han sido probados en la práctica durante mucho tiempo antes.
Los principios incorporados por la guía MoR están basados en los principios recogidos
Los principios son universales, están validados
en la ISO 31000 de Gestión de Riesgos. Estos principios pretenden guiar más que
y alineados con la ISO 31000 de Gestión de imponer, por lo que la organización debe desarrollar sus propias políticas, procesos,
Riesgos estrategias y planes para cubrir sus necesidades concretas.
2) Ajustar al contexto.
La gestión de riesgos debe diseñarse para ajustarse a contexto interno y externo actual.
La satisfacción de este principio se consigue con el diseño a medida del enfoque de
gestión de riesgos, para lo cual es necesario tener un alto conocimiento del entorno
interno y externo que, normalmente, es cambiante.
Resulta usual que las políticas adjunten anexos y apéndices que contengan
información adicional más detallada. Las políticas de gestión de riesgos deberían
revisarse anualmente.
Resulta común que los procesos por entero sean completados en varias ocasiones a lo
largo del ciclo de vida de una actividad concreta de la organización.
1) Identificación:
Identificación, evaluación, planificación
e implementación.
a. Identificación del Contexto. El objetivo es obtener información sobre la actividad
planificada como, por ejemplo:
2) Evaluación:
i. Probabilidad de ocurrencia.
• Aceptar el riesgo.
Por el contrario, el control requiere intervención como recopilar información para tomar
acciones de forma proactiva.
• Superar las barreras comunes para el éxito de la gestión de riesgos. Existen una
serie de factores que funcionan a modo de barreras para que la integración sea
efectiva como, por ejemplo, las siguientes:
4 Marco COSO
4.1 Introducción
1. Gestión de riesgos.
2. Control interno.
GESTIÓN DE RIESGOS
CONTROL INTERNO
• Ambiente de control.
• Evaluación de riesgos.
• Actividades de control.
• Información y comunicación.
• Actividades de monitoreo.
AMBIENTE DE CONTROL
03. La Administración establece, con la aprobación del Consejo, las estructuras, líneas de
reporte y las autoridades y responsabilidades apropiadas en la búsqueda de objetivos.
EVALUACIÓN DE RIESGOS
07. La organización identifica los riesgos sobre el cumplimiento de los objetivos a través de la
entidad y analiza los riesgos para determinar cómo esos riesgos deben administrarse.
ACTIVIDADES DE CONTROL
INFORMACIÓN Y COMUNICACIÓN
13. La organización obtiene o genera y usa información relevante y de calidad para apoyar el
funcionamiento del control interno.
15. La organización se comunica con grupos externos con respecto a situaciones que afectan
al funcionamiento del control interno.
ACTIVIDADES DE MONITOREO
4.5 Disuasión del Fraude. Fraud Risk Management Guide COSO 2016
Se establecen 5 principios COSO de gestión del riesgo de fraude que son los siguientes:
5 Conclusiones
• Los riesgos son inherentes a toda actividad que sea desarrollada por una
organización.
• Las organizaciones deben desarrollar buenas prácticas para gestionar los riesgos a
cualquier nivel dentro de su organización.
6 Bibliografia
• Marco COSO.