Direccion de Proyectos Asturias Clase8 - pdf1

Distintos Enfoques para la
Gestión de Riesgos
—
1 © Asturias Corporación Universitaria

Distintos Enfoques para la Gestión de Riesgos
Índice
1 ISO 31000:2009 GESTIÓN DE RIESGOS.................................................................................................. 3

1.1 Introducción. .............................................................................................................................................. 3
1.2 Objeto ............................................................................................................................................................ 4
1.3 Principios de la Gestión de Riesgos. ........................................................................................... 5
1.4 Procesos de la Gestión de Riesgos. ........................................................................................... 6
2 ISO 31010:2009. TÉCNICAS DE EVALUACIÓN DE RIESGOS ..................................................... 9
2.1 Introducción. ............................................................................................................................................. 9
3 MoR®: Management of Risk, Office of Goverment Commerce, UK. ................................... 12
3.1 Propósito de la Guía. ........................................................................................................................... 12
3.2 Definición de Riesgo ........................................................................................................................... 12
3.3 Principios de la Gestión de Riesgos .......................................................................................... 12
3.4 Enfoque de la gestión de riesgos ............................................................................................... 14
3.5 Procesos de la gestión de riesgos. ............................................................................................ 15
3.6 Integración y Revisión ........................................................................................................................ 17
4 Marco COSO ........................................................................................................................................................ 18
4.1 Introducción ............................................................................................................................................ 18
4.2 Línea temporal de documentos emitidos por COSO ..................................................... 18
4.3 El Control Interno................................................................................................................................. 19
4.4 Gestión de Riesgos. Enterprise Risk Management – Integrated Framework
Guide COSO 2017 .............................................................................................................................................. 21
4.5 Disuasión del Fraude. Fraud Risk Management Guide COSO 2016 ....................... 22
5 Conclusiones ....................................................................................................................................................... 23
6 Bibliografia ............................................................................................................................................................ 23
02 ASTURIAS CORPORACIÓN UNIVERSITARIA®

Nota Técnica preparada por Asturias Corporación Universitaria. Su difusión, reproducción o uso total o
parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
Objetivos
• Conocer los distintos enfoques internacionalmente reconocidos para la gestión
de riesgos.
• Reconocer que la gestión de riesgos es aplicable no sólo a los proyectos si no a

cualquier nivel dentro de la organización como, por ejemplo, a nivel programa u
operación.
• Aplicar las buenas prácticas de gestión de riesgos a los proyectos particulares,

independientemente del enfoque que se utilice.
• Concluir que no existe un enfoque mejor que otro si no que, dependiendo del
proyecto en particular, del entorno y otros factores, un enfoque se amoldará
mejor que otro para las necesidades del proyecto.
1 ISO 31000:2009 GESTIÓN DE RIESGOS
1.1 Introducción.
Las organizaciones de todo tipo y tamaño enfrentan factores e influencias, internas y

externas, que crean incertidumbre sobre si lograrán o no sus objetivos. El efecto que
esta incertidumbre tiene en los objetivos de una organización es el “riesgo”.
Todas las actividades de una organización implican riesgo. Las organizaciones

gestionan el riesgo mediante su identificación y análisis y luego evaluando si el riesgo
se debería modificar por medio del tratamiento del riesgo con la finalidad de satisfacer
los criterios del riesgo.
Aunque todas las organizaciones gestionan el riesgo en algún grado, esta norma
establece un número de principios que son necesarios satisfacer para hacer que la
gestión del riesgo sea eficaz. Esta norma recomienda que las organizaciones
desarrollen, implementen y mejoren continuamente un marco de referenci a cuyo
propósito sea integrar el proceso para la gestión del riesgo en los procesos globales de
gobierno, estrategia y planificación, gestión, procesos de presentación de informes,
políticas, valores y cultura de la organización.
La gestión del riesgo se puede aplicar a toda la organización, en cualquiera de sus

áreas y niveles, en cualquier momento, así como a funciones, proyectos y actividades
específicas. Cada sector específico o cada aplicación de la gestión de riesgos traen
consigo necesidades, audiencias, percepciones y criterios individuales, por lo que una

característica clave de esta norma es la inclusión del “establecimiento del contexto”

como una actividad al inicio de este proceso genérico para la gestión del riesgo.
Cuando la gestión del riesgo se implementa y se mantienen de acuerdo con esta

norma, dicha gestión le permite a la organización, entre otros:
• Aumentar la probabilidad de alcanzar los objetivos.
• Fomentar la gestión proactiva.
• Ser consciente de la necesidad de identificar y tratar los riesgos en toda la

organización.
• Cumplir con los requisitos legales y reglamentarios pertinentes y con las normas
internacionales.
• Mejorar la presentación de informes obligatorios y voluntarios.
• Mejorar el gobierno.
• Mejorar la confianza y honestidad de las partes involucradas.
• Establecer una base confiable para la toma de decisiones y la planificación.
• Mejorar los controles.
• Mejorar la prevención de pérdidas y la gestión de incidentes.
• Minimizar pérdidas.
• Mejorar el aprendizaje organizacional.
1.2 Objeto
Esta norma brinda los principios y las directrices genéricas sobre la gestión del riesgo .
Puede ser utilizada por cualquier empresa, pública o privada, asociación, grupo o individuo.
Por lo tanto, no es específica para ninguna tarea o sector.
Esta norma se puede aplicar durante en todo momento dentro de una organización y a un
amplio rango de actividades, incluyendo estrategias y decisiones, operaciones, procesos,
funciones, proyectos, productos y servicios.
Esta norma se puede aplicar a cualquier tipo de riesgo, cualquiera que sea su
naturaleza, ya tenga consecuencias positivas o negativas.
Aunque esta norma suministra directrices genéricas, no se pretende promover la

uniformidad de la gestión del riesgo en todas las organizaciones, será necesario que el
diseño ya la implementación de planes y marcos de referencia para la gestión del

riesgo tomen en consideración las diversas necesidades de cada organización en

particular, sus objetivos concretos y el contexto interno y externo.
1.3 Principios de la Gestión de Riesgos.
Para que la gestión del riesgo sea eficaz, la organización debería cumplir con todos los
siguientes principios en todos los niveles.
a) La gestión del riesgo crea y protege el valor.

Puesto que contribuye al logro demostrable de los objetivos y a la mejora del
desempeño en, por ejemplo, la conformidad legal y reglamentaria, la seguridad, la
protección del ambiente, la calidad del producto, la gestión de proyectos, la eficiencia
de las operaciones, el gobierno y la reputación.
b) La gestión del riesgo es una parte integral de todos los procesos de la organización.
La gestión del riesgo no es una actividad independiente que se separa de las
actividades y los procesos principales de la organización si no que es parte de las
responsabilidades de la dirección y una parte integral de todos los procesos de la
organización, incluyendo la planificación estratégica y todos los procesos de gestión de
proyectos y de cambio.
c) La gestión del riesgo es parte de la toma de decisiones.

Ayuda a quienes toman las decisiones a hacer elecciones informadas, priorizar acciones
y distinguir entre los cursos de acción alternativos.
d) La gestión del riesgo aborda explícitamente la incertidumbre.

Ya que toma en consideración explícitamente la incertidumbre, su naturaleza y la
forma en la que se puede tratar.
e) La gestión de riesgos es sistemática, estructurada y oportuna.

Un enfoque sistemático, oportuno y estructurado para la gestión del riesgo contribuye a
la eficiencia y a resultados consistentes, comparables y confiables.
f) La gestión del riesgo se basa en la mejor información disponible.

Las entradas para el proceso de gestión del riesgo se basan en fuentes de información
tales como datos históricos, experiencia, retroalimentación de las partes involucradas,
observaciones, previsiones y examen de expertos.
g) La gestión del riesgo está adaptada.

Se alinea con el contexto interno/externo y con el perfil de riesgo de la organización.

h) La gestión del riesgo toma en consideración los factores humanos y culturales.
La gestión del riesgo reconoce las capacidades, percepciones e intenciones de los

individuos externos e internos, los cuales pueden facilitar o dificultar el logro de los
objetivos de la organización.
i) La gestión de riesgos es trasparente e inclusiva.

La correcta y oportuna intervención de las partes involucradas y, en particular, de
aquéllos que toman las decisiones en todos los niveles de la organización, garantiza
que la gestión del riesgo siga siendo pertinente y se actualice.
j) La gestión del riesgo es dinámica, reiterativa y receptiva al cambio.

La gestión del riesgo responde continuamente al cambio. A medida que se presentan
los eventos externos e internos, el contexto y el conocimiento cambian, tiene lugar el
seguimiento y control de los riesgos, emergen riesgos nuevos, algunos cambian y otros
desaparecen.
k) La gestión de riesgos facilita la mejora continua de la organización.

Las organizaciones deberían desarrollar e implementar estrategias para mejorar la madurez
de su gestión de riesgos junto con todos los otros aspectos de su organización.
1.4 Procesos de la Gestión de Riesgos.
1. Establecimiento del Contexto.
Al establecer el contexto la organización articula sus objetivos, define los parámetros

externos e internos que se van a considerar al gestionar el riesgo y establecer el
alcance y los criterios del riesgo para el resto del proceso.
El contexto externo es el ambiente externo en el cual la organización busca alcanzar

sus objetivos. Su entendimiento resulta importante para garantizar que los objetivos y
las preocupaciones de las partes involucradas externas se toman en consideración al
desarrollar los criterios del riesgo.
El contexto interno es el ambiente interno en el cual la organización busca alcanzar sus

objetivos. La gestión del riesgo debería estar alineada con la cultura, los procesos, la
estructura y la estrategia de la organización. El contexto interno es todo aquello dentro
de la organización que pueda tener influencia en la forma en la que la organización
gestionará el riesgo.
La organización debería definir los criterios que se van a utilizar para evaluar la
importancia del riesgo. Los criterios deberían reflejar los valores, objetivos y recursos de

la organización. Los criterios del riesgo deberían ser consistentes con la política para la
gestión del riesgo de la organización, estar definidos al comienzo del proceso de
gestión de riesgos y ser revisados continuamente.
2. Valoración del Riesgo.
a. Identificación del riesgo. La organización debería identificar las fuentes de riesgo,

las áreas de impacto, los eventos (incluyendo los cambios en las circunstancias)
y sus causas y consecuencias potenciales. La identificación exhaustiva es crítica
porque un riesgo que no se identifique en esta fase no será incluido en el análisis
posterior.
La identificación debe incluir los riesgos independientemente de si su origen está

o no bajo control de la organización, aún cuando el origen del riesgo o su causa
pueden no ser evidentes.
b. Análisis del Riesgo. Implica el desarrollo y la comprensión del riesgo. Este análisis
brinda una entrada para la evaluación del riesgo y para las decisiones sobre si es
necesario o no tratar los riesgos y sobre las estrategias y métodos más adecuados
para su tratamiento. Así mismo, también brinda una entrada para la toma de
decisiones, en la cual se deben hacer elecciones y las opciones implican diversos
tipos y niveles de riesgo.
El análisis involucra la consideración de las causas y las fuentes de riesgo, sus

consecuencias positivas y negativas y la probabilidad de que tales consecuencias
puedan ocurrir. El riesgo es analizado determinando las consecuencias y su
probabilidad y otros atributos del riesgo.
El análisis del riesgo se puede realizar con diversos grados de detalle,

dependiendo del riesgo, el propósito del análisis y la información, datos y recursos
disponibles. El análisis puede ser cualitativo, semicuantitativo o cuantitativo o una
combinación de ambos.
Las consecuencias se pueden expresar en términos de impactos tangibles e

intangibles. En algunos casos, se requiere más de un valor numérico para especificar
las consecuencias y su probabilidad.
c. Evaluación del Riesgo. El propósito de la evaluación del riesgo es facilitar la toma

de decisiones, basada en los resultados de dicho análisis, acerca de cuáles
riesgos necesitan tratamiento y la prioridad para la implementación del tratamiento.
Implica la comparación del nivel de riesgo observado durante el proceso de

análisis y de los criterios del riesgo establecidos al considerar el contexto. En las

decisiones se debería tener en cuenta el contexto más amplio del riesgo e incluir
la tolerancia de los riesgos que acarrean otras partes diferentes de la organización.
3. Tratamiento del Riesgo.
Involucra la selección de una o más opciones para modificar los riesgos y la

implementación de tales opciones. Una vez implementado, el tratamiento suministra
controles o los modifica.
Las opciones para el tratamiento el riesgo no son mutualmente excluyentes ni

adecuadas en todas las circunstancias. Las opciones pueden incluir las siguientes:
a. Evitar el riesgo al decidir no iniciar o continuar la actividad que lo originó.
b. Tomar o incrementar el riesgo para perseguir una oportunidad.
c. Retirar la fuente del riesgo.
d. Cambiar la probabilidad.
e. Compartir el riesgo con una o varias de las partes (incluyendo los contratos y la
financiación del riesgo).
f. Retener el riesgo mediante una decisión informada.
La selección de las opciones más adecuadas para el tratamiento del riesgo implica
equilibrar los costes y los esfuerzos de la implementación. Se puede considerar y
aplicar una cantidad de opciones para el tratamiento ya sea individualmente o en
combinación. Normalmente, la organización se puede beneficiar de la adopción de una
combinación de opciones de tratamiento.
El plan de tratamiento debería identificar claramente el orden de prioridad en el cual se

deberían implementar los tratamientos individuales para el riesgo.
4. Monitoreo y Revisión.
Deberían incluir la verificación y vigilancia regular de forma periódica. Las

responsabilidades del monitoreo y la revisión deberían estar claramente definidas. Los
procesos de monitoreo y revisión de la organización deberían comprender todos los
aspectos del proceso para la gestión del riesgo con la finalidad de:
• Garantizar que los controles son eficaces y eficientes tanto en el diseño como en
la operación.
• Obtener información adicional para mejorar la valoración del riesgo.

• Analizar y aprender lecciones a partir de los eventos, los cambios, las tendencias,
los éxitos y los fracasos.
• Detectar cambios en el contexto externo e interno, incluyendo los cambios en

los criterios del riesgo y en el riesgo mismo que puedan exigir revisión de los
tratamientos del riesgo y las prioridades.
• Identificar los riesgos emergentes.
Todos los procesos anteriores requieren de comunicación y consulta con las partes
involucradas externas e internas la cual debería tener lugar durante todas las etapas del
proceso para la gestión del riesgo. Deberían desarrollar tempranamente los planes para
la comunicación y la consulta puesto que las partes involucradas dado que éstas
aportan ofrecen sus opiniones acerca del riesgo con base en sus percepciones. Estas
percepciones pueden variar debido a las diferencias en los valores, las necesidades, las
asunciones, los conceptos y los intereses de las partes involucradas.
La comunicación y la consulta deberían facilitar los intercambios de información veraz,

pertinente, precisa y fácil de entender, teniendo en cuenta los aspectos de la integridad
personal y confidencial.
2 ISO 31010:2009. TÉCNICAS DE EVALUACIÓN DE RIESGOS
2.1 Introducción.
Es una norma de apoyo de la norma ISO 31000 y proporciona directrices para la

selección y aplicación de técnicas sistemáticas para la apreciación del riesgo.
Presenta una serie de técnicas y hace referencia a otras normas donde se describe, con
mayor detalle, el concepto y la aplicación de alguna de ellas.
Esta norma no específica el método de análisis del riesgo que se requiere para una
aplicación particular ni hace referencia a todas las técnicas. El hecho de que alguna
técnica no sea mencionada no significa que no sea válida si no, en realidad, resultaría
prácticamente imposible recopilar en una sola norma todas las herramientas de
evaluación de riesgos existentes.
Las técnicas de evaluación de riesgos que recoge la norma se pueden clasificar en las
siguientes categorías:
• Métodos de consulta.

• Métodos de soporte.
• Análisis de consecuencias.
• Análisis de función.
• Evaluación de controles.
• Métodos estadísticos.
1) Métodos de consulta
* Hojas de revisión (Check list)
* Análisis preliminar de riesgos
2) Métodos de Soporte
* Tormenta de ideas
* Entrevistas estructuradas
* Técnica Delphi
* Técnica estructurada "what if…?" (swif)
* Evaluación de Fiabilidad Humana (HRA)
3) Análisis de Escenarios
* Análisis de causa raíz (RCA)
* Evaluación de toxicidad
* Análisis de impacto de negocio (BIA)
* Análisis de árbol de defectos (FTA)
* Análisis de árbol de acontecimientos (ETA)
* Análisis causa - efecto

* Análisis causa - consecuencia
4) Análisis de Función
* Análisis de modos y efectos (ANFE - FMEA)
* Fiabilidad de centro de mantenimiento (RCM)
* Análisis de errores de diseño (sneak)
* Estudios de peligros de operatividad (HAZOP)
* Análisis de peligros y puntos críticos de control (HCCAP)
5) Evaluación de Controles
* Análisis de capas de protección (LOPA)
* Análisis de Bow Tie
6) Métodos Estadísticos
* Análisis Markov
* Simulación Monte Carlo
* Estadísticas y redes Bayesianas

3 MoR®: Management of Risk, Office of Goverment

Commerce, UK.
3.1 Propósito de la Guía.
La Guía de Gestión de Riesgos elaborada por la Office of Government Commerce del

Reino Unido pretende llevar a cabo un marco de referencia para la gestión de riesgos,
lo cual ayudará a las organizaciones a tomar decisiones teniendo en cuenta los riesgos
que puedan afectar a sus objetivos estratégicos, de programas, proyectos u operaciones.
El marco de referencia de MoR está basado en cuatro conceptos fundamentales:
1. Principios de la gestión de riesgos. Resultan esenciales para el desarrollo y

mantenimiento de las buenas prácticas para la gestión de riesgos. Se establecen
a alto nivel, son enunciados universales que proporcionan guía a las
MoR se basa en cuatro ideas principales: principios,
enfoque, procesos e integración/revisión. organizaciones.
2. Enfoque de la gestión de riesgos. Los principios necesitan ser adaptados para

que encajen en cada organización en particular.
3. Procesos de la gestión de riesgos. Se dividen en cuatro pasos: identificar, valorar,

planificar e implementar.
4. Integración y revisión. Una vez puestos en marcha el enfoque y los procesos que
satisfacen los principios, la organización debe asegurar que son aplicados
consistentemente en todos los niveles de la misma.
3.2 Definición de Riesgo
Un riesgo es un evento o conjunto de eventos que, si ocurren, tendrán un efecto en la

consecución de los objetivos. Un riesgo se mide en base a la combinación de la
probabilidad de ocurrencia de una amenaza u oportunidad y de la magnitud de su
impacto en los objetivos.
La combinación del efecto de los riesgos en un conjunto de objetivos se denomina

“exposición al riesgo” y es el grado de riesgo asumido por parte de la organización en
un momento determinado.
3.3 Principios de la Gestión de Riesgos
El propósito de la guía MoR es proporcionar un marco de referencia para la gestión de

riesgos que pueda ser aplicada a cualquier organización, independientemente de su

tamaño, complejidad, localización o sector industrial en el cual opera. Esto resulta

posible porque se basa en principios, los cuales se caracterizan por lo siguiente:
• Son universales, pueden aplicarse a cualquier organización.
• Están validados, han sido probados en la práctica durante mucho tiempo antes.
Los principios incorporados por la guía MoR están basados en los principios recogidos
Los principios son universales, están validados
en la ISO 31000 de Gestión de Riesgos. Estos principios pretenden guiar más que
y alineados con la ISO 31000 de Gestión de imponer, por lo que la organización debe desarrollar sus propias políticas, procesos,
Riesgos estrategias y planes para cubrir sus necesidades concretas.
Los principios son los siguientes:
1) Alinear con los objetivos.
La gestión de riesgos debe estar alineada continuamente con los objetivos de la

organización. Muchas situaciones son inciertas pero la gestión de riesgos debe
centrarse sólo en aquellas incertidumbres que tendrán un impacto potencial en la
consecución de uno o varios de los objetivos de la organización.
2) Ajustar al contexto.
La gestión de riesgos debe diseñarse para ajustarse a contexto interno y externo actual.
La satisfacción de este principio se consigue con el diseño a medida del enfoque de
gestión de riesgos, para lo cual es necesario tener un alto conocimiento del entorno
interno y externo que, normalmente, es cambiante.
3) Involucrar a los interesados.
La gestión de riesgos debe involucrar adecuadamente a los interesados y gestionar las

distintas percepciones sobre los riesgos. Se requiere que la gestión de las
comunicaciones sea apropiada. Cada interesados tiene una percepción distinta sobre lo
que es un riesgo, sus causas y su priorización, por lo que resulta esencial identificar y
entender esas percepciones para reducir la subjetividad y tendencias en la gestión de
riesgos.
4) Proporcionar orientación clara.
La gestión de riesgos proporciona una orientación clara y coherente a los interesados.

Clara para que sea entendida correctamente por todos los interesados y coherente
porque demuestra que las prácticas son lógicas, ordenadas y consistentes.

5) Informar en la toma de decisiones.
La gestión de riesgos está vinculada e informa en la toma de decisiones en todos los

niveles de la organización. Puesto que los riesgos influencian todas las decisiones, la
gestión de riesgos deben ayudar a tomar decisiones, a entender tanto las amenazas
como las oportunidades asociadas con cada curso de acción y tomar decisiones
informadas y motivadas.
6) Facilitar la mejora continua.
La gestión de riesgos utiliza información histórica y facilita el aprendizaje y la mejora

Un modelo de madurez se utiliza para la continua. Normalmente la mejora continua se lleva a cabo a través, entre otras
mejora continua en relación a la gestión de
herramientas, de un modelo de madurez el cual determina la adecuación de las
riesgos.
prácticas actuales y destaca las mejoras posibles.
7) Crear una cultura de apoyo.
La gestión de riesgos crea una cultura que reconoce la existencia de la incertidumbre y

apoya la asunción de riesgos. Para que la gestión de riesgos aporte valor, debe crearse
una cultura dentro de la organización que reconozca que la gestión apropiada de los
riesgos significa tomar decisiones calculadas. La alta dirección debe demostrar, a través
de políticas y acciones concretas que la gestión de riesgos es fundamental.
8) Obtener un valor medible.
La gestión de riesgos facilita la consecución de valor medible por parte de las

organizaciones. Un dicho frecuentemente utilizado es que “más vale prevenir que curar”,
aplicado a la gestión de riesgos quiere decir que el coste de anticipar un riesgo es
menor que el coste de gestionar un riesgo cuando sucede. Como consecuencia de la
gestión de riesgos, la organización podría esperar:
a) Reducir los niveles de retrabajo.
b) Aumentar la satisfacción del cliente.
c) Mejorar el rendimiento de la organización.
3.4 Enfoque de la gestión de riesgos
La forma en la que los principios anteriores son implementados en cada organización

puede variar ampliamente. Cada organización adaptará su enfoque a sus necesidades y
Los principios deben implementarse de
forma singular dentro de cada organización. objetivos específicos.

El enfoque puede ser:
A. Políticas de gestión de riesgo. El propósito es comunicar por qué y cómo la

gestión de riesgos será implementada en toda la organización para apoyar la
consecución de los objetivos.
Resulta usual que las políticas adjunten anexos y apéndices que contengan
información adicional más detallada. Las políticas de gestión de riesgos deberían
revisarse anualmente.
B. Guía de procesos de la gestión de riesgos. El propósito es explicar cómo se

desarrollarán en la organización los procesos desde el primer paso (identificación)
hasta el último (implementación). Los procesos deben ser aplicables para todas
las actividades de la organización.
Un comité de gobierno, comité de riesgos o cualquiera que sea el nombre que

reciba, será el responsable de determinar los procesos que adoptará la organización.
C. Estrategia de gestión de riesgos. El propósito es describir las acciones de gestión

de riesgos específicas que se llevarán a cabo. El factor clave es que las
estrategias deben ser específicas para la actividad de la organización, mientras
que cumpla con las políticas globales de la organización.
3.5 Procesos de la gestión de riesgos.
Los procesos forman una secuencia lógica, un proceso no puede realizarse si el

Los procesos forman una secuencia lógica, proceso anterior no ha sido completado. Son repetitivos por naturaleza, ya que cuando
son iterativos y repetidos a lo largo del ciclo de existe más información disponible, normalmente supone una revisión de los procesos
vida de la actividad.
anteriores actualizarlo con mayor precisión.
Resulta común que los procesos por entero sean completados en varias ocasiones a lo
largo del ciclo de vida de una actividad concreta de la organización.
Los procesos de gestión de riesgos son los siguientes:
1) Identificación:
Identificación, evaluación, planificación
e implementación.
a. Identificación del Contexto. El objetivo es obtener información sobre la actividad
planificada como, por ejemplo:
i. en qué consiste la actividad.
ii. Cuál es su alcance.
iii. Qué asunciones se han tenido en cuenta.

iv. Qué restricciones se han establecido.
v. Quiénes son los interesados.
b. Identificación de Riesgos. El objetivo es identificar los riesgos que puedan

impactar en los objetivos de la actividad, con la finalidad de minimizar las
amenazas y maximizar las oportunidades, lo que puede incluir:
i. Elaborar un registro de riesgos.
ii. Determinar los indicadores clave de desempeño (KPI’s).
iii. Comprender la actitud frente al riesgo de los interesados.
2) Evaluación:
a. Estimación. El objetivo es priorizar los riesgos individuales para diferenciar cuáles

son más importantes y urgentes de responder. Requiere la estimación de:
i. Probabilidad de ocurrencia.
ii. Impacto en caso de ocurrencia, positivo o negativo.
iii. Proximidad: ¿cuándo ocurrirá el riesgo?
b. Análisis. El objetivo es comprender la exposición al riesgo a la que se enfrenta la

actividad buscando el efecto global de las amenazas y oportunidades en la
actividad.
3) Planificación: el objetivo es preparar respuestas específicas frente a las amenazas y

oportunidades identificadas con la finalidad de eliminar o reducir las amenazas y
maximizar las oportunidades. Este proceso asegura que no habrá sorpresas si el riesgo
finalmente se materializa.
Las opciones genéricas de respuesta a los riesgos son las siguientes:
• Evitar amenazas / Explotar oportunidades.
• Reducir amenazas / Mejorar oportunidades.
• Transferir / Compartir el riesgo.
• Aceptar el riesgo.
4) Implementación: el objetivo es asegurar la implementación y control de la eficiencia de

las acciones de gestión de riesgos planificadas, tomar las acciones correctivas cuando
las respuestas no cumplen las expectativas para las que fueron planificadas.

La monitorización es requerida para entender si las respuestas que han sido

planificadas son eficaces y cumplen los objetivos deseados. Es un proceso de
observación.
Por el contrario, el control requiere intervención como recopilar información para tomar
acciones de forma proactiva.
3.6 Integración y Revisión
El propósito es identificar la necesidad de integrar la gestión de riesgos dentro de la

cultura de la organización. La utilización de un enfoque inconexo y sin gestión
adecuada puede dar como resultado que la actitud frente a los riesgos sea reactiva
más que proactiva. Ante esta situación, los interesados pueden perder confianza sobre
la capacidad de la organización para gestionar sus asuntos adecuadamente.
Para integrar la gestión de riesgos dentro de la cultura de la organización resulta

necesario observar los siguientes factores:
• Integrar los principios de gestión de riesgos.
• Cambiar la cultura e la organización en lo referente a la gestión de riesgos. Estos

cambios no resultan sencillos dentro de una organización, típicamente es más
sencillo en organizaciones pequeñas donde menos personas se encuentran
involucradas. Mientras, en organizaciones grandes, donde los roles y
responsabilidades en gestión de riesgos suelen estar muy dispersos, será
necesario un mayor esfuerzo de integración y comunicación.
• Superar las barreras comunes para el éxito de la gestión de riesgos. Existen una
serie de factores que funcionan a modo de barreras para que la integración sea
efectiva como, por ejemplo, las siguientes:
- Ausencia de cultura de la organización.
- Prácticas de gestión de riesgos inmaduras.
- Ausencia de políticas, procesos, estrategia y planes.
- Ausencia de facilitación de recursos.
- Ausencia de patrocinio por parte de la alta dirección.
- Ausencia de formación, capacitación y conocimiento en gestión de

riesgos.
- Ausencia de orientación clara y definida.

4 Marco COSO
4.1 Introducción
COSO (Committee of Sponsoring Organizations of the Treadway) se configura como una

comisión voluntaria formada por representantes de cinco organizaciones del sector privado
norteamericanas cuya misión es establecer marcos comprensivos y guías en relación a los
siguientes aspectos:
1. Gestión de riesgos.
2. Control interno.
3. Disuasión del fraude.
Las organizaciones que componen COSO son las siguientes:
* American Accounting Association
* American Institute of Certified Public Accountants (AICPA)
* Financial Executives International (fei)
* The Association of Accountants and Financial Professionals in Business (ima)
* The Institute of Internal Auditors (IIA)
4.2 Línea temporal de documentos emitidos por COSO
GESTIÓN DE RIESGOS
* 2004. Enterprise Risk Management - Integrated Framework (revisado en 2017)
CONTROL INTERNO
* 1992. Internal Control - Integrated Framework (revisado en 2013)
* 1996. Internal Control Issues in Derivatives Usage
* 2009. Guidance on Monitoring Internal Control Systems.

DISUASIÓN DEL FRAUDE
* 1999. Fraudulent Financial Reporting: 1987 - 1997
* 2010. Fraudulent Financial Reporting: 1998 - 2007
* 2016. Fraud Risk Management Guide
4.3 El Control Interno
Soportando los esfuerzos de las organizaciones sobre el cumplimiento de objetivos

existen cinco componentes de control interno:
• Ambiente de control.
• Evaluación de riesgos.
• Actividades de control.
• Información y comunicación.
• Actividades de monitoreo.
El control interno es un proceso dinámico e iterativo, no lineal, es el que uno de los

componentes afecta sólo al siguiente. De los cinco componentes de control interno

deben considerarse 17 principios, los cuales representan conceptos fundamentales

relacionados con los componentes para el establecimiento de un efectivo Sistema de
Control Interno.
AMBIENTE DE CONTROL
01. La organización demuestra compromiso por la integridad y valores éticos.
02. El Consejo de Administración demuestra una independencia de la administración y ejerce

una supervisión del desarrollo y rendimiento de los controles internos
03. La Administración establece, con la aprobación del Consejo, las estructuras, líneas de
reporte y las autoridades y responsabilidades apropiadas en la búsqueda de objetivos.
04. La organización demuestra un compromiso en atraer, desarrollar y retener personas

competentes en alineación con los objetivos.
05. La organización retiene individuos comprometidos con sus responsabilidades de control

interno en la búsqueda de objetivos.
EVALUACIÓN DE RIESGOS
06. La organización especifica objetivos con la suficiente claridad para permitir la

identificación y valoración de los riesgos relacionados a los objetivos.
07. La organización identifica los riesgos sobre el cumplimiento de los objetivos a través de la
entidad y analiza los riesgos para determinar cómo esos riesgos deben administrarse.
08. La organización considera la posibilidad de fraude en la evaluación de riesgos para el

logro de los objetivos.
09. La organización identifica y evalúa cambios que pueden impactar significativamente al

sistema de control interno.
ACTIVIDADES DE CONTROL
10. La organización elige y desarrolla actividades de control que contribuyen a la mitigación

de riesgos para el logro de objetivos a niveles aceptables.

11. La organización elige y desarrolla actividades de control generales sobre la tecnología

para apoyar el cumplimiento de los objetivos.
12. La organización despliega actividades de control a través de políticas que establecen lo

que se espera y procedimientos que ponen dichas políticas en acción.
INFORMACIÓN Y COMUNICACIÓN
13. La organización obtiene o genera y usa información relevante y de calidad para apoyar el
funcionamiento del control interno.
14. La organización comunica información internamente, incluyendo objetivos y

responsabilidades sobre el control interno, necesarios para apoyar el funcionamiento del
control interno.
15. La organización se comunica con grupos externos con respecto a situaciones que afectan
al funcionamiento del control interno.
ACTIVIDADES DE MONITOREO
16. La organización selecciona, desarrolla y realiza evaluaciones continuas y/o separadas

para comprobar cuando los componentes de control interno están presentes y funcionando.
17. La organización evalúa y comunica deficiencias de control interno de manera adecuada a

aquellos grupos responsables de tomar la acción correctiva, incluyendola Alta Dirección y el
Consejo de Administración, según sea apropiado.
4.4 Gestión de Riesgos. Enterprise Risk Management – Integrated Framework

Guide COSO 2017
Establece 5 componentes interrelacionados:
1. Gobierno corporativo y cultura: por parte del gobierno corporativo se establece

el tone at the top (responsabilidad de la alta dirección) y las responsabilidades de
supervisión. La cultura permite establecer unos valores éticos y comprensión del
riesgo.
2. Estrategia y establecimiento de objetivos: establecimiento de un proceso de

planificación estratégica. El apetito de riesgo se alinea con la estrategia.

3. Desempeño: priorización de riesgos en función de su gravedad y el apetito de

riesgo de la organización. Selección de respuestas a los riesgos y revisión global
del riesgo total asumido por la empresa.
4. Revisión y comprobación: identificar cómo funcionan los componentes de

gestión del riesgo y, a la vista de cambios sustanciales, qué ajustes son
necesarios.
5. Información, comunicación y reporte: es necesario un proceso continuado de

obtención y divulgación de información, ya sea de fuentes internas como
externas. Este flujo de información debe canalizarse a través de toda la
organización.
4.5 Disuasión del Fraude. Fraud Risk Management Guide COSO 2016
La disuasión del fraude es un proceso de eliminación de factores que pueden favorecer

una situación de fraude. Esta disuasión se logra cuando una organización implementa
un proceso de gestión de riesgo de fraude que cumpla con los siguientes parámetros:
• Establecimiento de un proceso de gobernanza claro y riguroso.
• Creación de una cultura anti fraude transparente.
• Inclusión de un examen exhaustivo y periódico del riesgo de fraude.
• Diseño, implementación y mantenimiento de procedimientos de control de

fraude preventivo y de detección.
• Implementación de acciones rápidas en respuesta a alegaciones de fraude

incluyendo, en su caso, acciones contra las personas involucradas en el
incumplimiento.
Se establecen 5 principios COSO de gestión del riesgo de fraude que son los siguientes:
1. Desarrollo de un programa de gestión de riesgo de fraude.
2. Evaluaciones comprensivas en materia de riesgo de fraude, establecimiento de

esquemas de riesgos y evaluación de actividades de control.
3. Establecimiento de actividades preventivas y de detección de control de fraude

para mitigar el riesgo de situaciones de fraude que hayan ocurrido y no se hayan
detectado a tiempo.

4. Proceso de comunicación para obtener información sobre potenciales

actividades fraudulentas implementación de un proceso de investigación y
acción correctiva para solucionar las incidencias a tiempo.
5. Evaluación continuada de la eficacia y eficiencia de los cinco principios y el

Programa de gestión de riesgo de fraude, además de comunicación de
deficiencias al órgano de administración.
5 Conclusiones
• Los riesgos son inherentes a toda actividad que sea desarrollada por una
organización.
• Los riesgos cambian, por lo que la gestión debe ser iterativa.
• Los riesgos, en caso de ocurrencia, impactarán positiva o negativamente en los

objetivos de la organización, por lo que requiere que su gestión sea proactiva.
• Las organizaciones deben desarrollar buenas prácticas para gestionar los riesgos a
cualquier nivel dentro de su organización.
• Las organizaciones pueden basarse en principios universales pero es necesario

definir el enfoque concreto para cada proyecto, programa, actividad en concreto.
• Hay muchos enfoques generalmente aceptados internacionalmente para la gestión

de riesgos y cada uno se adapta mejor para situaciones determinadas.
• Independientemente del enfoque que se desarrolle, lo importante es tener un

enfoque.
6 Bibliografia
• ISO 31010:2009. Técnicas de Evaluación de Riesgos.
• ISO 31000:2009 Gestión de Riesgos.
• Management of Risk: Guidance for Practitioners (2010).
• Marco COSO.


Direccion de Proyectos Asturias Clase8 - pdf1

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Direccion de Proyectos Asturias Clase8 - pdf1

Cargado por

Copyright:

Formatos disponibles

Distintos Enfoques para la

1 © Asturias Corporación Universitaria

1 ISO 31000:2009 GESTIÓN DE RIESGOS.................................................................................................. 3

02 ASTURIAS CORPORACIÓN UNIVERSITARIA®

• Reconocer que la gestión de riesgos es aplicable no sólo a los proyectos si no a

• Aplicar las buenas prácticas de gestión de riesgos a los proyectos particulares,

1 ISO 31000:2009 GESTIÓN DE RIESGOS

Las organizaciones de todo tipo y tamaño enfrentan factores e influencias, internas y

Todas las actividades de una organización implican riesgo. Las organizaciones

La gestión del riesgo se puede aplicar a toda la organización, en cualquiera de sus

03 ASTURIAS CORPORACIÓN UNIVERSITARIA®

característica clave de esta norma es la inclusión del “establecimiento del contexto”

Cuando la gestión del riesgo se implementa y se mantienen de acuerdo con esta

• Aumentar la probabilidad de alcanzar los objetivos.

• Fomentar la gestión proactiva.

• Ser consciente de la necesidad de identificar y tratar los riesgos en toda la

• Mejorar la presentación de informes obligatorios y voluntarios.

• Mejorar la confianza y honestidad de las partes involucradas.

• Establecer una base confiable para la toma de decisiones y la planificación.

• Mejorar los controles.

• Mejorar la prevención de pérdidas y la gestión de incidentes.

• Mejorar el aprendizaje organizacional.

Aunque esta norma suministra directrices genéricas, no se pretende promover la

04 ASTURIAS CORPORACIÓN UNIVERSITARIA®

riesgo tomen en consideración las diversas necesidades de cada organización en

1.3 Principios de la Gestión de Riesgos.

a) La gestión del riesgo crea y protege el valor.

c) La gestión del riesgo es parte de la toma de decisiones.

d) La gestión del riesgo aborda explícitamente la incertidumbre.

e) La gestión de riesgos es sistemática, estructurada y oportuna.

f) La gestión del riesgo se basa en la mejor información disponible.

g) La gestión del riesgo está adaptada.

05 ASTURIAS CORPORACIÓN UNIVERSITARIA®

h) La gestión del riesgo toma en consideración los factores humanos y culturales.

La gestión del riesgo reconoce las capacidades, percepciones e intenciones de los

i) La gestión de riesgos es trasparente e inclusiva.

j) La gestión del riesgo es dinámica, reiterativa y receptiva al cambio.

k) La gestión de riesgos facilita la mejora continua de la organización.

1.4 Procesos de la Gestión de Riesgos.

1. Establecimiento del Contexto.

Al establecer el contexto la organización articula sus objetivos, define los parámetros

El contexto externo es el ambiente externo en el cual la organización busca alcanzar

El contexto interno es el ambiente interno en el cual la organización busca alcanzar sus

06 ASTURIAS CORPORACIÓN UNIVERSITARIA®

2. Valoración del Riesgo.

a. Identificación del riesgo. La organización debería identificar las fuentes de riesgo,

La identificación debe incluir los riesgos independientemente de si su origen está

El análisis involucra la consideración de las causas y las fuentes de riesgo, sus

El análisis del riesgo se puede realizar con diversos grados de detalle,

Las consecuencias se pueden expresar en términos de impactos tangibles e

c. Evaluación del Riesgo. El propósito de la evaluación del riesgo es facilitar la toma

Implica la comparación del nivel de riesgo observado durante el proceso de

07 ASTURIAS CORPORACIÓN UNIVERSITARIA®

3. Tratamiento del Riesgo.

Involucra la selección de una o más opciones para modificar los riesgos y la

Las opciones para el tratamiento el riesgo no son mutualmente excluyentes ni

a. Evitar el riesgo al decidir no iniciar o continuar la actividad que lo originó.

b. Tomar o incrementar el riesgo para perseguir una oportunidad.

c. Retirar la fuente del riesgo.

f. Retener el riesgo mediante una decisión informada.

El plan de tratamiento debería identificar claramente el orden de prioridad en el cual se

Deberían incluir la verificación y vigilancia regular de forma periódica. Las

• Obtener información adicional para mejorar la valoración del riesgo.