Está en la página 1de 30

UNIVERSIDAD DE SANTIAGO DE CHILE

Facultad de Administración y Economía


CARRERA DE CONTADOR PÚBLICO Y AUDITOR

COSO ERM

Profesor: Nelson Palominos G.


Contador Público Usach
Contador Auditor Usach
Magíster Contabilidad y Auditoría de Gestión

Administración de riesgo y el control modernos en las entidades

Profesor: Nelson Palominos G.


Contador Público Usach
Contador Auditor Usach
Magíster Contabilidad y Auditoría de Gestión

Antecedentes sobre la comisión Treadway

En el año 1985, se forma en USA, la Comision Treadway, cuyo presidente era


James C. Treadway, la cual en la actualidad se llama COSO, que es una comisión
dedicada a mejorar la calidad de la divulgación financiera respecto de la ética de los
negocios, los controles internos y el gobierno corporativo.
Todos sabemos que esta comisión está formada por las 5 asociaciones
relacionadas con los aspectos normativos americanos como son :

-La Asociación Americana de Contabilidad


-El Instituto Americano de Contadores Públicos Certificados ( IACPA)
-El Instituto Americano Financiero de Ejecutivo
-El Instituto Americano de Auditores Internos
-Asociación Nacional Americana de Contadores Públicos

También sabemos, que la citada comisión, le solicitó en el año 1992, a la


empresa de auditoría Americana Coopers & Lybrand, que redactara las conclusiones a
las cuales habían llegado los participantes en materia de control interno, y ese año
aparece el informe C.O.S.O (Comité of Sponsoring Organizations of the Treadway
Comisión), el cual lo incorpora como en las normas de auditoría americnas a través del
SAS 78 en el año 1997. En Chile, el Colegio de Contadores lo incorporó como una
norma de auditoría a través de la NAGA 44 en la década del 2000.

Pero para entender mejor el sistema de control interno de una entidad,


tenemos que darle valor a todo lo que se ha escrito sobre la materia a contar del siglo
pasado, durante el cual la profesión del Contador Público y Auditor, tuvo su mayor
desarrollo, especialmente en lo relativo al control interno, por lo tanto , donde se creo
la doctrina, los procedimientos y las normas.

Antecedentes históricos del Control Interno

A principio del siglo XX, Laurence R. Dicksee, señaló que los auditores deberían
preocuparse del control interno para llevar a cabo sus auditorías, y es precisamente en
este siglo donde los aspectos doctrinarios del CI, tienen su mayor auge, hay una
preocupación permanente par parte de la profesión respecto del tema.

En el año 1947, el IACP, emitió un documento denominado " Declaración tentativa


de normas de auditoría, su alcance y la significación de su aceptación general ",
documento que fue aprobado por los miembros del Instituto Americano en el año 1948.

En ese documento se indicaba las normas a las cuales estaban sujetos los
profesionales auditores, y en una norma relativa al trabajo se indicaba que el profesional
auditor debía " Estudiar y evaluar el Control Interno existente en la empresa, para
determinar el alcance, naturaleza y oportunidad en la aplicación de las pruebas
de auditoría".

Apuntes preparado por el profesor Nelson Palominos G.


Luego, en vista de lo anterior el mismo IACP, nombró una comisión el año 1948
para dedicarse a los aspectos doctrinario del control interno. La citada comisión definió el
control interno el año 1949.
Apuntes preparados por el profesor. Nelson Palominos G.
Definición de Control Interno (año 1949)
" El control interno comprende el plan de organización, todos los métodos
coordinados y las medidas adoptadas en la empresa, para proteger sus activos,
verificar la exactitud y confiabilidad de sus datos contables, promover la eficiencia
en las operaciones y estimular la adhesión a las políticas ordenadas por la
gerencia".
En el año 1958, el mismo instituto subdividió el Control Interno, ya que se entendía
que este contenía controles de tipo contables y de tipo administrativos.

Esa división se lleva a cabo denominando 2 tipos de controles, el Control Interno


Contable y el Control Interno Administrativo.
Control Interno Contable
La profesión definió al CI Contable como " El plan de organización y todos los
métodos y procedimientos relacionados directamente con la protección de los
activos y la confiabilidad de los registros financieros".

Además, se agregó que el control interno contable, incluye controles tales como:

-Sistema de autorizaciones y aprobaciones


-Separación de funciones relacionada a registro y custodia de activos.
-Controles físicos sobre los activos
-La auditoría interna.

Control Interno Administrativo

También el IACP, procedió a definir el CI Administrativo, como " El plan de


organización y todos los métodos y procedimientos que se relacionan
principalmente con la eficiencia en las operaciones, la adhesión a las políticas de
la gerencia.

Este control interno administrativo incluye controles tales como:

-Análisis estadísticos
-Estudio de tiempo y movimiento
-Informes de funcionamiento de la organización
-Programas de adiestramiento de personal
-Controles de calidad.

Alcance del control interno

De las definiciones anteriores se llega a la conclusión que el control interno se


extiende mucho más allá de los aspectos contables financieros, o sea abarca a toda la
organización, a todas las funciones que se ejecutan en ella.

Objetivos del control interno (año 1949)

De la propia definición entregada en el año 1949 por el IACP, se desprenden 4


objetivos del control interno y son los siguientes:

a.-Protección de los activos


b.-Asegurar la calidad de la información
c.-Promover la eficiencia operacional
d.-Impulsar la adhesión a las políticas de la empresa
Protección de los activos
Este objetivo del control interno implicaba, que en la medida que la empresa
posea procedimientos de CI, para todas sus operaciones, los recursos que ella posea
estarán más protegidos, esto quiere decir que los procedimientos de control por ejemplo
impedirían que se efectuaran gastos que no guardan relación con la empresa, se evitaría
también ejecutar tareas innecesarias, se evitarían las duplicidades de funciones y en
general se lograría con un sistema de control interno que las operaciones sigan el curso
normal de ellas.
b.-Asegurar la calidad de la información
Es importante señalar que en la medida que existan los procedimientos de control
interno para obtener, procesar y entregar información, es obvio que esta será de mejor
calidad que la obtenida en empresas que no posean procedimientos .

Cabe agregar que estos procedimientos deben existir para todo tipo de
información, sea esta contable, presupuestaria o estadística.

c.-Promover la eficiencia de las operaciones


Este otro objetivo del sistema de CI, debe permitir asegurar que la empresa, al
emplear los procedimientos de control interno establecidos, sus operaciones se logren
en forma eficiente, o sea lograr su misión, metas, objetivos, políticas a través de un
uso adecuado de todos sus recursos.

Luego entonces la entidad debe obtener el máximo de beneficio en el uso


racional de sus recursos.
para lograr esto último, la entidad debe efectuar permanentes evaluaciones de los
procedimientos y de los resultados obtenidos con los planes establecidos, e informar a
los responsables de la gestión, de las deficiencias encontradas.

d.-Impulsar la adhesión a las políticas de la empresa


Es importante destacar en este objetivo del CI, es que la gerencia, y en general
todos los ejecutivos y supervisores que posea la organización, logren que el personal
que lideran, cumplan con los procedimientos establecidos, y los tomen como propios,
para determinar que las operaciones se ejecuten de acuerdo con esos lineamientos, y
así lograr las metas que deben alcanzarse.

Luego en la década de los años 70, el mismo IACP, empezó a definir un


sinnúmero de aspectos doctrinarios, y también a utilizar en forma fundamental el control
interno para llevar a cabo las auditorías, y es así como en esa época se fijan los
siguientes conceptos.

Conceptos básicos relativos al Control Interno


En relación con el control interno, existen numerosos concepto que deben ser
definidos para una mayor comprensión del sistema, entre los cuales tenemos:

1.-Responsabilidad de la dirección o gerencia de la empresa frente al Control


interno
La responsabilidad de crear, mantener, o corregir los procedimientos de control
interno, es de la gerencia general de la organización, como así mismo su implantación.
Luego entonces el sistema de control interno debe quedar bajo la continua supervisión de
la gerencia de una entidad, para determinar si está funcionando como se requiere. Sin
embargo a partir del informe COSO, la responsabilidad es de todos en la organización.

2.-Seguridad razonable de obtener los objetivos del control interno


Es importante destacar que no existe una seguridad absoluta que todos los
objetivos del control interno se pueden lograr en una organización, ya que en algunos
casos los procedimientos de control interno no se pueden implantar por un problema de
costo, ya que el COSTO DE CUALESQUIER CONTROL NO PUEDE SER SUPERIOR
A LOS BENEFICIOS QUE DE ESTE PROVENGAN. Por lo anterior la relación costo-
beneficio debería ser un criterio importante que se tiene que considerar, cuando se desee
crear un sistema de control interno en una organización.
3.-Sistema de procesamiento de datos
Los objetivos del control interno se pueden alcanzar cualesquiera sea el sistema
de procesamiento de la información que posea la entidad, sea este manual, mecanizado
o computacional, ya que lo que debería verse afectado son los procedimientos que se
utilizan para procesar la información en cualesquiera de los sistemas.

4.-Limitaciones del control interno


En cualesquier sistema de control interno que exista en una organización, siempre
van a existir limitaciones, que necesariamente se deben considerar, ya sea cuando se
implemente o cuando se evalue, ya que la mayoría de los procedimientos de control
interno se pueden ver afectado por las siguientes causas:

-Falta de entendimiento de los procedimientos


-Errores de juicio en la aplicación de los procedimientos
-Descuidos personales
-Fatiga
-Colusión.

Los auditores, sean estos internos o externos, cuando están estudiando el


sistema, evaluando o comprendiéndolo, deben considerar el riesgo de las situaciones
descritas.

5.-Personal
En todo sistema de control interno, hay que considerar que la seguridad razonable
de alcanzar los objetivos, de la organización dependerá en gran medida de la
competencia , integridad, objetividad que posea el personal de la empresa.

6.-Segregación de funciones
El sistema de control interno debe evitar que funciones incompatibles sean
llevadas por una misma personas, con el propósito de evitar errores o irregularidades en
el manejo de las operaciones.

Es así como es necesario que las funciones de registro deben ser distintas de la
de caja, la de facturación de la de cobranza, la de contabilidad de la de bodega, el
vendedor, distinto del cajero.,y otras numerosas funciones incompatibles.

7.-Ejecución de las transacciones


Las transacciones que se ejecutan en la empresa deben ser aquellas que están
debidamente autorizadas por personas responsables, y el sistema de control interno
debe permitir que así se proceda.

Estas autorizaciones, se relacionan, con los pagos, el endeudamiento, con las


políticas de crédito, políticas de contratación de personal, políticas de remuneraciones,
adquisiciones de bienes, autorizaciones para utilizar recursos de la entidad y otras.-

8.-Registro de las transacciones


Los procedimientos de control interno referentes a la contabilización de las
operaciones, requieren que estas se registren en los períodos en que ellas ocurrieron, y
en las cuentas que correspondan.

9.-Acceso a los activos


Los procedimientos de control interno, deben estar diseñados de tal forma, que el
acceso a los recursos de la entidad, esté limitado a las personas debidamente
autorizadas, ya sea del punto de vista físico, sino que también de la utilización que
puede dárseles.
10.-Comparación de los registros con los activos
El sistema de control interno, debe poseer procedimientos que permitan que las
personas que trabajan en la entidad puedan comparar la existencia física del bien con lo
que aparece registrado. (arqueo de Caja, Toma de inventarios y otros procedimientos de
auditoría).
Ahora bien de estos conceptos algunos de ellos en la actualidad tienen plena
vigencia.

Elementos del Sistema de Control Interno


En la misma época de los años 70, la profesión de auditoría definió los elementos
del sistema de control interno existentes en la entidad, a través del SAS 1 y señaló que
ellos estaban conformados por:

1.-Un plan de organización


2.-Un sistema de procedimientos y métodos
3.-Un grado de calidad del personal
4.-El sistema de Información.

Con posterioridad la profesión incorpora como elementos del sistema:

5.-Las prácticas sanas


6.-El control automático y el deliberado(Auditoría Interna)

En la década del 80, el IACP, emite más de 7 documentos (SAS), que vienen a
cambiar en forma sustancial, la forma de llevar a cabo las auditorías, y en relación con
los riesgo aparece el SAS 47 y respecto del control interno, se emite el SAS 55 en 1988,
el cual nos cambia la norma de auditoría y los elementos del mismo, y al sistema se le
denomina estructura.
Luego entonces en esa fecha, se cambia la norma vigente desde el año 1947 y se
señala:

" El auditor deberá adquirir una comprensión suficiente de la estructura de


control interno, para determinar la naturaleza, oportunidad y extensión necesaria
de las pruebas que deberán ejecutarse"

Esta norma es recogida por el Colegio de Contadores a través de los


documentos NAGAS y se aplica en nuestro país a través de la NAGA 14 NAGA 22 y
NAGA 44 de 2001.

La profesión cambia los elementos señalados en los primeros documentos


emitidos, por elementos de la estructura de control interno y fueron los siguientes

Apuntes preparados por el Profesor: Nelson Palominos G.

a.-Ambiente de Control
b.-Procedimientos de Control
c.-Sistema contable.

En esta oportunidad, se le da mucha importancia a los riesgos de auditoría para


los exámenes que los auditores deben efectuar, y ellos son los de detección, el inherente
y el de control, y el profesional auditor debe evaluarlos durante el proceso de su examen,
ya que estos influyen directamente en la selección de la muestra, y en los rubros de
mayor interés para efectos de la auditoría.
También la profesión le da importancia a los comites de auditoría en las
organizaciones como una instancia de control diferentes a las existentes.

Luego en el año 1992, el "Committee of Sponsoring Organizations of the


Treadway Commission (COSO), conformadas por el Instituto Americano de Contadores
Públicos, La Asociación Americana de Contabilidad, el Instituto de Auditores Internos
Americano y otras entidades, le encargaron a la empresa de auditores Coopers &
Lybrand, la redacción de un documento final sobre control interno, el cual se le denominó
informe COSO.
Por otra parte a través del SAS 78, se modifica los aspectos doctrinarios del SAS
55, y se adopta como parte integrante de las Normas de Auditoría , las conclusiones del
citado informe COSO.
Luego entonces a contar del mes de enero de 1997 entra en vigencia lo
señalado en el SAS 78.
Segunda Norma de Auditoría según SAS 78

Tal como lo indicamos en los párrafos precedentes la nueva norma sobre el


control interno señala " Un suficiente entendimiento del control interno, tendrá el
auditor, al planear la auditoría, para determinar la naturaleza, tiempo y extensión
de las prueba a ser desarrolladas".
Además de lo anterior se define al sistema de control interno en forma diferente.
Definición del Sistema de Control Interno (SAS 78)

El mismo SAS 78, señala lo siguiente . “ El control interno es un proceso


efectuado por el consejo de directores de la entidad, gerencia y demás personal,
designado para proporcionar una razonable seguridad en relación con los logros
de los objetivos de las siguientes categorías: a.-seguridad de la información
financiera, b.-efectividad y eficiencia de las operaciones, y c.-cumplimiento de las
leyes y regulaciones aplicables.”

ELEMENTOS O COMPONENTES DEL SISTEMA DE CONTROL INTERNO

Además de la definición de control interno que reemplaza la fijada en el


año 1949, se fijan nuevo elementos del sistema, que tanto el informe COSO, como el
SAS 78, le denominan componentes y ellos son los siguientes:

A.-AMBIENTE DE CONTROL
El ambiente de control. Establece el comportamiento del control en una
entidad, o sea el nivel de compromiso que asume una entidad respecto del control , o sea
como el personal comprende el control dentro de una organización., y constituye la base
de todos los demás elementos y componentes del sistema de CI en una empresa.
Luego el ambiente de control tiene una incidencia fundamental en las
actividades empresariales de una organización, ya sea en el establecimiento de
objetivos, como en la evaluación de los riesgos de la misma.

Entre los factores que se relacionan con este componente tenemos los
siguientes:
1.-Valores de integridad y ética
2.-Compromisos de competencia
3.-Junta de directores o participación del comité de auditoría.
4.-Filosofía de la gerencia y estilo de dirección
5.-Estructura organizacional
6.-Asignación de autoridad y responsabilidad
7.-Políticas y prácticas de recursos humanos.
1.-Valores de integridad y ética

El estilo de dirección, y la forma como la gerencia percibe el control en la


organización, va formando las normas de comportamiento al interior de una empresa, y
refleja además la integridad de la gerencia y su compromiso con los valores éticos.
La integridad y los valores éticos de las personas de una organización
son fundamentales , para la confianza que se pueda depositar en una entidad, ya que la
integridad es un requisito previo al comportamiento ético de todos los aspectos
relacionados con una empresa.
La comisión Treadway señala en su informe COSO, “ Que un clima
vigoroso dentro de la empresa y a todos los niveles de la misma, es esencial para
el bienestar de la organización, de todos sus componentes, y del público en
general. Un clima así contribuye de forma significativa a la eficiencia de las
políticas y de los sistemas de control de la empresa, y permite influir sobre los
comportamientos que no están sujetos ni a los sistemas de control más
elaborado”.

Es importante recordar que la eficiencia del sistema de control interno de


una organización no puede pasar a llevar la integridad y los valores éticos de las
personas que crean los procedimientos de control, administran y supervisan.
Por otra parte es necesario señalar. que el comportamiento ético, así
como la integridad de la dirección son productos de una cultura corporativa, que debe
materializarse en la creación de normas éticas y de comportamiento de las personas que
trabajan en una entidad.

Todos sabemos que en algunas entidades pueden existir fraudes u otras


irregularidades y estos se dan en una empresa por las siguientes razones:

a.-Por la existencia de una motivación


b.-Por la poca posibilidad de ser descubierto
c.-Por la existencia de una oportunidad
d.-Para poner a prueba la capacidad de los defraudadores.

La entidad debe evitar la ocurrencia de lo señalado y así evitar que se


produzcan situaciones de ésta naturaleza

La alta dirección de una empresa es la responsable de trasmitir los valores


éticos y las normas de comportamiento a todos sus empleados.

Apuntes preparados por el Profesor Nelson Palominos G.

2.-Compromiso de competencia profesional

Cabe hacer presente que el nivel de competencia de las personas que


laboran en una entidad, debe reflejarse en el conocimiento y en las habilidades
necesarias para llevar a cabo las tareas que se le recomienden

Apuntes preparados por el profesor: Nelson Palominos G.


La propia organización debe definir el nivel de conocimiento y habilidades
que deben poseer las personas en un determinado puesto, como así mismo debe tanto
la organización , como las propias personas deben preocuparse del perfeccionamiento
continuo, para no perder la competencia para ejecutar las tareas de la entidad en forma
eficiente.
3.-Consejo de administración , directorio, o consejo de directorio, y comité de
auditoría

El entorno de control y la cultura de las organizaciones está fuertemente


influenciadas por el directorio de las organizaciones, que representan a los dueños, y
por el comité de auditoría.

Indudablemente, que para tener el grado de importancia que se requiere,


necesariamente tienen que ser independientes respecto de la dirección o gerencia de la
empresa, como también la experiencia y grado de competencia de sus miembros.

Fuera de lo anterior es importante destacar cual es el grado de


compromiso que ellos adquieren con la entidad, ya que depende de esto, para
determinar su influencia en toda la organización, y por consiguiente en el ambiente de
control.

4.-La filosofía de la dirección o gerencia y el estilo operativo o de gestión


Corresponde a la forma de actuar de la gerencia general de una entidad, y
su actitud frente a la información financiera, la selección de las alternativas disponibles
respecto de los principios de contabilidad generalmente aceptados, la escrupulosidad y
prudencia con la cual se obtienen las estimaciones contables, las actitudes frente a las
funciones informáticas y contables, como también frente al personal, la forma con que se
cumplen con las responsabilidades de la entidad., o sea en general como se lleva a cabo
la administración de la entidad.

5.-Estructura organizativa o estructura organizacional


.
Una estructura organizativa, bien diseñada por la entidad, debe
proporcionar el marco dentro de la cual sus actividades deben ser planeadas, ejecutadas,
controladas y supervisadas .

Esta estructura, debe tener bien diseñado, los niveles de autoridad y


responsabilidad dentro de ella, como también las fuentes de información que la entidad
requiere para la toma de decisiones y para el control.
Ahora bien es importante señalar que cada entidad debe adoptar la
estructura organizacional, que más concuerde con los objetivos que se requiere alcanzar,
sin embargo esta estructura puede variar por distintas razones, tales como:

-Tamaño de la entidad
-Dispersión geográfica
-Objetivos de la entidad
-Tipo de productos que entrega la entidad al mercado

6.-Asignación de autoridad y responsabilidad


La entidad debe tener claramente establecidos, ya sea a través de
manuales y del organigrama de ella los niveles de autoridad y responsabilidad existente
en una empresa.

Es importante destacar, que en algunas entidades la tendencia es delegar


más autoridad y los niveles más bajo, para situar el proceso de toma de decisiones en
esa primera línea, por otra parte hay otras empresas que delegan la autoridad sólo
cuando sea necesario, pero independiente de la forma como se delegue es importante
que el personal de la empresa conozca los diferentes niveles de autoridad y
responsabilidad existentes en una organización.
7.-Políticas y prácticas de recursos humanos

Esto se refiere a la contratación, orientación, entrenamiento , evaluación,


promoción y compensación del recurso humano que trabaja en una entidad.
Es necesario destacar, que del punto de vista del CI, la organización debe
tener procedimientos claros respecto del punto anterior, y además que ellos sean
conocidos por los empleados y profesionales de la entidad.
También contribuirá al ambiente de control, la preparación que posea el
recurso humano con que cuenta una organización, sus valores éticos y
el grado de compromiso que adquiere con la empresa.
B. EVALUACIÓN DE LOS RIESGOS
Las organizaciones se encuentran con una serie de riesgos, cuyo origen
puede ser interno , como externo, que necesariamente debe evaluarse o tener en
consideración.

Estos riesgos afectan a la empresa en su quehacer diario, en su


competencia, su situación financiera y otros aspectos fundamentales.
Sin embargo, si bien el sistema de control interno puede minimizarlos,
es imposible bajar estos riesgos a un nivel cero.

Ahora bien, tal como lo señalamos, es importante evaluar estos riesgos,


que consiste en la identificación y análisis de los factores que podrían afectar alcanzar
los objetivos de la entidad.

Luego la identificación de los objetivos, es una condición previa a la


evaluación de los riesgos, por lo cual la identificación de los objetivos es una fase
clave en el proceso de gestión.

Los riesgos en la información, incluyen eventos externos e internos, una


vez que los riesgos son identificados, la gerencia debe considerar su importancia, la
probabilidad de su ocurrencia, y como deben ser manejados.

Sobre el particular, la gerencia puede iniciar planes, programas o


acciones para identificar los riegos específicos, o para decidir o aceptar un riego, ya
sea por el costo u otra consideración.
Estos riesgos pueden surgir debido a las siguientes circunstancias:

1.-Cambios en los ambientes operacionales


2.-Nuevo personal
3.-Nuevos o sistemas reorganizados de información
4.-Rápido crecimiento
5.-Nuevas tecnologías
6.-Nuevas líneas de producto o actividades
7.-Estructuración de la entidad.
8.-Operaciones extranjeras
9.-Pronunciamientos de contabilidad.
10.-Clima de ética y presión para el logro de los objetivos de la entidad.
11.-Tamaño de los recursos, liquidez o volúmenes de transacciones
12.-Condiciones económicas del país
13.-Complejidad de las operaciones
14.-Dispersión geográfica de las operaciones
Los riesgos identificados por la alta dirección, están directamente relacionados
con los procesos críticos, en los que se involucran a las diversas áreas de una entidad.
Por lo tanto es importante que los auditores, sean estos internos o externos
identifiquen los riesgos, y así asignar prioridades de revisión a las actividades con
probabilidades de riesgo mayor. Ahora bien respecto al COSO ERM, este punto es
debidamente ampliado

Consideraciones para el establecimiento de prioridades

Es importante destacar que los aspectos más importante en el establecimiento


de prioridades en la planeación de una auditoría, respecto de la identificación de los
riesgos es la siguiente:

-Fecha y resultado de la última auditoría


-Exposición financiera en términos de riesgos
-Riesgos y pérdidas potenciales
-Requerimiento de la gerencia
-Cambios importante en las operaciones
-Oportunidades para obtener beneficios operativos
-Cambios en los equipos de los auditores y capacidad de los mismos.

Para determinar de una forma razonable los riesgos operativos, de una entidad,
los auditores, sean internos o externos se deben evaluar los riesgos, para lo cual es
necesario ponderar la importancia de las diversas operaciones de la empresa y la
eficiencia de los controles de ellas.

Para lo anterior se puede utilizar el siguiente modelo de evaluación de riesgos,


basado en el marco del control interno, respecto de los objetivos y componentes del
C.I.

Objetivos
-Eficiencia en el costo
-Eficacia en las operaciones
-Confiabilidad de la información
-Cumplimiento con la normativa
-Salvaguarda de los recursos
Componentes
-Ambiente de control
-Evaluación de los riesgos
-Actividades de control
-Información y comunicación
-Monitoreo o supervisión
Utilizando el modelo de evaluación de riesgo a nivel de función, áreas o
rubros, es necesario determinar lo siguiente:

1.-La importancia de cada función, área o rubro frente a los objetivos de control.
2.-Asignar valores a los menos importantes y a los más críticos.
3.-Estimar la eficacia de los controles internos en cada uno de los componentes.

Los valores asignados se ponderan por cada uno de los componentes y


representan el riesgo residual posterior a las operaciones de los controles. Por lo
tanto un valor menor refleja más confianza en el funcionamiento efectivo del control
interno..
Todo lo anterior es una forma de evaluar el control interno que propone el informe
COCO ( Criteria of Control Board) de Canadá

C.-ACTIVIDADES DE CONTROL
Son las políticas y procedimientos que ayudan a asegurarse que las
acciones necesarias, serán tomadas en cuenta para establecer los riesgos y lograr los
objetivos de la entidad.
Apuntes preparados por el profesor: Nelson Palominos G.

O sea son las actividades de control que realiza la gerencia y demás


personal de la entidad para cumplir diariamente con las labores asignadas. Estas
actividades están relacionadas con las políticas, sistemas y procedimientos
relacionados con aprobaciones, autorizaciones, verificaciones, conciliaciones,
inspecciones, revisiones de indicadores. y salvaguarda de los recursos.

Ahora bien, es importante tener en cuenta que para realizar una


auditoría , respecto de este componente, es necesario que se consideren, las
actividades de control más relevantes, dentro del marco de las políticas y
procedimientos establecidos y que pertenecen a lo siguiente:

-Realización de revisiones
-Proceso de información
-Controles Físicos
-Segregación de deberes.

D.-INFORMACIÓN Y COMUNICACIÓN
En la organización, el sistema de información es fundamental para lograr los
objetivos de la entidad, el sistema de información está compuesto por los subsistemas
contables, presupuestarios y estadísticos.
Es importante destacar que la calidad de los subsistemas, afecta las
habilidades de la gerencia para la toma de decisiones, y afecta también los informes
que se emiten.
Por lo anterior es importante que la información que se genera sea
comunicada oportunamente, de tal manera que permita a las personas entenderla y
cumplir con sus responsabilidades.:

El sistema de información de la empresa debe abarcar métodos y registros


que:
Apuntes preparados por el profesor Nelson Palominos G.

-Identifiquen y registren todas las operaciones ocurridas


-Describa las operaciones con detalle para poder clasificar.
-Mida las operaciones en términos cuantitativos
-Determine el período en las cuales las operaciones ocurrieron.
-Presente correctamente las operaciones en los estados que deban emitirse.

Por otra parte la comunicación incluye proporcionar información en todos los


sentidos, tanto al interior como externamente.

También es importante que todos comprendan la importancia del control


interno para lograr los objetivos de la entidad, y tener bien establecidos los canales a
través de los cuales debe fluir la información de la empresa.
Además es necesario señalar que se debe generar información de calidad y
comunicarla oportunamente, de tal manera que las personas la comprendan y puedan
cumplir con sus obligaciones.
La comunicación debe adquirir formas tales como manuales, memorandum,
ordenes de servicios, circulares u otras..

E.-VIGILANCIA, SUPERVISION O MONITOREO


Los sistemas de control interno de una organización, necesitan que
permanentemente estén siendo evaluados, para determinar si están funcionando tal
como han sido prescritos, o en caso contrario efectuar las correcciones pertinentes.

Ahora bien, esta labor le corresponde en primer lugar a quienes tienen


autoridad dentro de una entidad, y también a todo el personal, y a las auditorías, tanto
las internas como las externas.

Queremos señalar también que todo lo anterior es lo que conocemos sobre CI,
hasta el mes de Julio de 2003, cuando se reúne nuevamente la comisión COSO, y
emite un nuevo documento a contar de esa fecha, denominado COSO ERM, cuyo
principal contenido es el que se indica a continuación:

El Control Interno Moderno y los riesgos (COSO ERM)

Para nadie es un sorpresa en la actualidad la administración ha evolucionada en


forma extraordinaria en el último tiempo y por lo tanto esa misma evolución nos ha
llevado a los auditores a ejecutar nuestras tareas de una forma diferente que en el
pasado. Es así, como en el año en el año 1985 es creada, por agrupaciones
relacionadas con la auditoría, la Comisión Nacional sobre Información Financiera
Fraudulenta, conocida como la “Comisión Treadway”, la cual durante cinco años se
centro en la tarea de definir bajo un nuevo marco conceptual, relacionado con el
control interno, su doctrina, objetivos y componentes, de tal manera de poder
estandarizar muchos aspectos.

Es bueno recordar tal como lo hemos indicado con antelación, en este apunte,
en el año 1992 se emite un documento denominado “Informe C.O.S.O.” (Committee of
Sponsoring Organizations of the Treadway Commission), el cual entrega una doctrina,
enfoques y metodologías modernas dirigido especialmente a los niveles estrategicos,
logisticos y tacticos dentro de la organización. Y también para los profesionales de la
auditoría.
Este documento define el CONTROL INTERNO lo define como:
“un proceso efectuado por el consejo de administración, la dirección y el resto
del personal de una entidad, diseñado con el objeto de proporcionar un grado
de seguridad razonable en cuanto a la consecución de objetivos dentro de las
siguientes categorías:
• Eficacia y eficiencia de las operaciones
• Fiabilidad de la información financiera
• Cumplimiento de las leyes y normas que sean aplicables”.
El informe C.O.S.O. de 1992, definió cinco componentes interrelacionados entre
sí, los cuales eran el Ambiente de Control, Evaluación de Riesgos, Actividades de
Control, Información y Comunicación; y Supervisión.
En esa misma época, en todas partes del mundo se emitieron con diferencias de
meses o años, más o menos, diferentes informes que hablaban de control interno. Se
puede citar el Informe Caldbury y turnbull en Inglaterra, el King en Sudafrica, el COCO
en Cánada, el Peters en Holanda, el Olivencia en España, el Veniot en Francia , y
otros
También es importante destacar que a comienzo de la década del 80 , se
comienza a hablar de los Riesgos., especialmente cuando aparece el SAS 47, que lo
define y señala cuales son los que afectan a una auditoría a los estados financieros, el
Inherente, el de control y el de detección, este último relacionado con los auditores .
En esta misma época ya se habla de evaluación de riesgo, de mapa de riesgo, de
matrices de riesgos etc.

Es importante señalar que en año 1999 y surge un nuevo informe, esta vez en
Reino Unido llamado Informe Turnbull al alero de la Bolsa de Valores de Londrés, que
acrecienta la importancia de la Administración de Riesgos en el mundo empresarial y
organizacional, y que entrega una Guía para los Directores y Administradores de
Empresas.

El nuevo COSO (ERM)

Para nadie es un misterio que el INCPA incorporó el informe COSO, como una
norma Americana, sólo el año 1997, a través de su boletín SAS 78, pero
acontecimientos tan importantes como la caída de grandes empresas Americanas en
insolvencias, no obstante que tenían audiotorías y sistemas de control interno, llevó
nuevamente a reunir la comisión COSO para reestudiar el documento anterior a la luz
de los acontecimientos de estos años en el mundo empresarial y de la auditoría.

Es así como en julio de 2003 se le solicitó a la empresa


PricewaterhouseCoopers emitiera un nuevo documento denominado COSO ERM o
COSO dos

El COSO II, incluye una guía actualizada que proporciona herramientas de


ayuda a las empresas en la administración de sus riesgos, ampliando de 5 a 8 los
componentes de la Administración de Riesgos Empresariales. Con ello, se entrega
una respuesta a las necesidades que viven las empresas en la actualidad, las cuales
operan en ambientes donde factores como la globalización, la tecnología,
reestructuraciones, regulaciones, mercados cambiantes y competencias, entre otros,
crean la incertidumbre.

Considerando toda la literatura existente en el tema de riesgos y control interno,


este proyecto, encargado y desarrollado por la empresa “PricewaterhouseCoopers”, la
cual, fundamentándose en el primer informe (C.O.S.O. I), unificó criterios construyendo
una estructura que proporciona definiciones fundamentales, conceptualizaciones,
categorías de objetivos, componentes, principios y otros elementos, que permiten
contar con una estructura de riesgos sólida.

La Comisión Treadway plantea en la temática fundamental de su segundo


informe, que la administración de riesgos, se aplica desde la puesta en marcha de las
estrategias y objetivos operacionales de la organización, debiendo integrarse a todos
los controles internos, hasta el resultado final y en la retroalimentación pertinente de
todos los procesos.
La Administración de riesgos existe para mantener y mejorar el valor de las
inversiones de sus dueños ,accionistas e interesados en la Organización, por lo cual
debe enfrentarse a la incertidumbre, en el menor de los casos evitarla, teniendo
presente que en ésta se encuentran los riesgos y las oportunidades asociadas.
Donde, la posibilidad cierta de mantener, reforzar o perder el capital, emerge de las
decisiones estratégicas de la dirección, de las decisiones operativas de personal no
directivo, de la marcha de las operaciones diarias, como también de la información
interna o externa disponible.
La administración de riesgos no es un fin en si mismo, más aún es un
importante medio para alcanzar los objetivos empresariales (Estratégicos,
operacionales, de Información y de Cumplimiento de Regulaciones) y no opera en
forma aislada en una entidad, más bien se transforma en un colaboradora en los
procesos de administración. La Administración de Riesgos se interrelaciona con el
gobierno corporativo, entregando información a la mesa directiva sobre los riesgos
más significativos y como ellos están siendo administrados, como también lo hace en
el desarrollo de la gestión, proporcionando las medidas más precisas de control
interno para minimizar los citados riesgos.

Componentes COSO I - 1992 Componentes COSO II - 2004


1. Ambiente de Control 1. Ambiente de Control Interno
2. Evaluación de Riesgos 2. Establecimiento de Objetivos
3. Identificación de Eventos
4. Evaluación de Riesgos
5. Estrategias frente al Riesgo
3. Actividades de Control 6. Actividades de Control
4. Información y Comunicación 7. Información y Comunicación
5. Supervisión 8. Supervisión

Como se puede observar desde el COSO I, el componente que tiene una


profundización mayor, es la Evaluación de Riesgos, la cual pasa a transformarse en el
centro del análisis de un control interno moderno, es más como leerán en las páginas
siguientes, se comienza a desarrollar la definición global de Administración de Riesgos
Empresariales (ERM en inglés).

ADMINISTRACION DE RIESGOS

La Comisión Treadway define a la Administración de Riesgos como “un


proceso, efectuado por el Directorio, Administradores y otras personas de la
entidad, aplicados a la estrategia establecida en la empresa, diseñado para
identificar potenciales eventos que puedan afectarla, y administrar los riesgos
que están dentro de su cantidad y capacidades, para proveer una seguridad
razonable con respecto al logro de los objetivos”.

La nueva definición anterior, entrega cierta terminología fundamental para la


administración de riesgos, la cual al igual que el primer informe comienza a establecer
una estructura básica e integrada de conceptos entre el control interno y la
administración de riesgos, los cuales son:

Un proceso; esto se refiere a que la administración de riesgos no es un suceso


aislado, sino que representa una serie de acciones que se extienden por toda la
empresa a través de sus actividades propias, siendo estas últimas inherentes a la
gestión de la dirección.

Las personas; La administración de riesgos es efectuada por personas que se


desempeñan en el Consejo de Administración, la dirección y los demás miembros de
la organización, a través de acciones y palabras. Estas personas son las que
establecen la visión, misión, estrategia y objetivos de la entidad, e implantan los
mecanismos de administración de riesgos.
Aplicada en la Estrategia; Una entidad define su visión y misión, y luego sustentado
en éstas, establece sus objetivos estratégicos, los cuales son las metas de más alto
nivel de la organización. También fija objetivos operacionales para la organización en
forma íntegral y para unidades específicas, como divisiones y procesos, las cuales se
derivan de la estrategia.

Aplicada a través de la Empresa; Para tener éxito en aplicación de la administración


de riesgos, una entidad debe considerar el alcance total de sus actividades. De todos
los niveles de la organización sin excepción, como planificación estratégica,
asignación de recursos, unidades de negocios y sus procesos como comercialización,
recursos humanos, créditos, abastecimiento, como también considera proyectos y
nuevas iniciativas.

Cantidad de riesgo; Esto es la cantidad de riesgo que una organización está deseosa
de aceptar en pos del logro de sus objetivos.

Proporcionar una seguridad razonable; La administración de riesgos, por muy bien


diseñada que se encuentre, sólo puede aportar un grado de seguridad razonable con
respecto al logro de los objetivos organizacionales. Es casi imposible evitar la Elusión
y Colusión, que sin lugar a dudas afecta la Administración de los Riesgos
Empresariales.

Logro de los objetivos; Dentro del contexto establecido en la misión o visión, está la
definición de los objetivos y la selección de estrategias para alcanzarlos.

Las cuatro categorías de objetivos detallados (objetivos estratégicos, operativos,


de información y cumplimiento de normas), la administración de riesgos los relaciona
con sus ocho componentes, que vinculados entre sí, le dan una estructura sólida y
vital a la entidad para conseguir los objetivos organizacionales y darle un valor
agregado a la función de Auditoría Interna.

Los ocho componentes del COSO II se amplían en los próximos puntos: Ambiente
interno; Definición o Establecimiento de objetivos; Identificación de eventos;
Evaluación de riesgos; Respuesta o Estrategia frente al riesgo; Actividades de control;
Información y comunicación; y Supervisión (Monitoreo o Vigilancia).

COMPONENTES del CI en LA ADMINISTRACION DE RIESGOS.


AMBIENTE DE CONTROL INTERNO

El Ambiente de Control Interno, armoniza el conjunto de circunstancias que enmarcan


el accionar de una entidad desde la perspectiva del riesgo, siendo determinante en las
conductas y procedimientos organizacionales. Es una consecuencia, asumida de la
actitud de la alta dirección, la gerencia, y por los otros integrantes de la organización,
con relación a la importancia del riesgo y su impacto sobre las actividades y
resultados. Ejerce un ordenamiento, a través de la influencia que provee al
comportamiento del personal en su conjunto.

El ambiente interno en una entidad, que comienza en la gerencia, es la base


para el resto de los componentes de la administración de riesgos, proporcionando
estructura y disciplina. Influye en el establecimiento de estrategias y objetivos,
estructuración de actividades, en la información como en los sistemas de
comunicación y en la supervisión de los procesos. El Ambiente Interno también es
influenciado por factores como la historia de la organización, su cultura y subculturas,
su estilo de dirección, competencia y desarrollo del personal, asignación de autoridad
y responsabilidad, sus valores éticos.
Todos los factores que afectan de una forma u otra a una organización, variarán
en su capacidad de afectar en conformidad al tamaño de la entidad, a la forma de
administrar y en la medida en que cada uno de estos factores sea considerado.

El informe C.O.S.O. II, define de la siguiente forma los factores del Ambiente de
Control:
Filosofía de Administración de Riesgos.
La filosofía refleja el valor que la entidad le entrega a la administración de
riesgos y cómo esta actitud afecta a la aplicación de los otros factores, lo cual se
manifiesta en sus declaraciones de políticas y otro tipo de comunicaciones, a través de
palabras y acciones diarias. Esto se refiere a la capacidad de entendimiento que
poseen los integrantes de una entidad con respecto a la administración de riesgos, y si
a sus empleados y directores se les facilita o potencia habilidades para reconocer los
riesgos en forma eficaz, escogerlos, dirigirlos y tratarlos.
Cantidad de riesgo.
Es la cantidad de riesgo que una organización está dispuesta a aceptar con el fin
de alcanzar sus objetivos. Considera para este efecto en forma frecuente categorías
como alta, media o baja, o expresarse cuantitativamente en forma aproximada,
reflejando un balance entre metas de crecimiento, retorno y riesgo. El apetito de
riesgo está directamente relacionada con la estrategia de una organización, donde el
retorno deseado debe estar alineado con la capacidad de riesgo posible, por lo tanto,
la administración de riesgos debe asesorar a la dirección a escoger una estrategia
consistente con sus alcances.

Cultura de riesgo.
Es un conjunto compartido de actitudes, valores y prácticas que caracterizan
como una entidad considera el riesgo en sus actividades diarias. Este factor, para
algunas empresas proviene de los dos primeros factores, en otras es parte del azar,
pero en ambos casos puede en algunas empresas haber una o más culturas de
riesgos diferentes o incluso dentro de una misma unidad comercial, proceso o
departamento. La administración de riesgos debe considerar cómo su cultura de riesgo
afecta su equilibrio con otros elementos propios de su control, para lo cual, donde
exista inconveniente la administración de riesgos debe tomar acciones para ajustar la
filosofía y el apetito de riesgos, o volver a pensar la forma de cómo se está aplicando
la administración de riesgos en la empresa.

• Subculturas de riesgos.
• En algunas organizaciones existen unidades de negocios, procesos, funciones o
departamentos que de una forma u otra, dependiendo de sus objetivos, poseerán
culturas levemente diferentes. Sus gerentes, en forma individual, se sienten
preparados para tomar más riesgos, mientras otros son más conservadores, y estas
diferentes culturas algunas veces se cruzarán en sus propósitos. Para lo cual la
administración de riesgos debe velar por los equilibrios de ciertos choques que se
puedan presentar, en beneficio de la Organización como un todo.
• REconociendo la realidad del riesgo.

• Si una organización no ha sufrido pérdidas o no ha tenido ninguna exposición
significativa al riesgo, ella no debe sucumbir al mito de que un evento con
consecuencias adversas no se presentará en ella, aunque pueda tener empleados
competentes, procesos eficaces y tecnología confiable. La administración de riesgos
debe tener presente que muchas variables en los ambientes internos y externos
pueden cambiar rápidamente, y volver a una entidad completamente vulnerable en sus
aspectos más sólidos y/o afectarla gravemente desde aquellos más despotenciados, o
en conjunto.

Consejo de Administración y el Comité de Auditoría.
Es un de los factores más críticos del ambiente interno e influencia fundamental
para otros elementos de la administración de riesgos. Hoy se habla de los gobiernos
corporativos y como ellos afectan el funcionar de las Organizaciones. Ambos
estamentos de la empresa, son y deben ser independientes de la administración,
donde sus acciones juegan un rol vital para organización, como también la experiencia
y calidad de sus miembros, el grado de participación y examen de actividades o
vigilancia. Otro punto importante que incluye al Consejo de Administración y al
Comité de Auditoría es que se plantean preguntas difíciles a la Dirección relativas a la
estrategia, planes y desarrollo. Es así como el Consejo y el Comité deben estar
preparados para cuestionar y supervisar las actividades de la gerencia, presentar
opiniones alternativas y tener disposición para actuar cuando se originan situaciones
no deseadas, inesperadas o problemas de hecho, a través de la interacción del Comité
de Auditoría con los auditores externos e internos.

Integridad y valores éticos.


Los objetivos y estrategias de una organización, y la forma como ellos son
implementados y alcanzados están basados en preferencias, valores de juicio y estilos
de gestión. Los cuales, en su conjunto, definen la integridad, el compromiso ético y las
normas de comportamiento para la administración, las que deben ir más allá de
cumplir con las regulaciones y normas legales, donde la integridad es un requisito
previo al comportamiento ético en cada uno los distintos aspectos de las actividades
de una organización.

A menudo establecer valores éticos en una entidad es difícil, complejo y


frustrante, debido a la necesidad de considerar los intereses de distintas partes,
debiéndose establecer un equilibrio entre los intereses de la organización con clientes,
empleados, proveedores, competidores y la comunidad.

La gerencia general es la figura dominante de la organización y a menudo da la


pauta ética de la misma. Se pueden producir prácticas fraudulentas o cuestionables a
la hora de presentar información financiera. Estos mismos factores pueden incidir en el
comportamiento ético. Los individuos pueden cometer actos fraudulentos, ilegales o
poco éticos, simplemente porque la organización en la que trabajan les incita o tienta.
El poner énfasis en los resultados, sobre todo a corto plazo, fomenta un entorno en el
que se impone un precio muy alto al fracaso.”.

Otras prácticas tentadoras son: La ignorancia (que no exista una guía explícita
de procesos y funciones); inexistencia de códigos de conducta; malas
comunicaciones; complacencia con las normas éticas; que los empleados sigan los
malos ejemplos de la administración; falta de controles o controles ineficaces, tal como
una segregación de funciones deficiente en áreas sensibles; reducir las probabilidades
de detección al tener un alto nivel de descentralización que impide a la Gerencia estar
al tanto de las acciones llevadas a cabo en los niveles más bajos; una función de
auditoría interna débil y/o que no sea capaz de detectar e informar acerca de
comportamientos indebidos; sanciones menores por comportamientos indebidos sin
poder ejemplificador; inexistencia de mecanismos para animar a los funcionarios a
informar de irregularidades e infracciones y acciones disciplinarias para los que no
informen.

Compromiso de competencia del personal.


La competencia refleja el conocimiento y las habilidades necesarias para realizar
las tareas asignadas. La Dirección determina el grado de perfección con la cual debe
desarrollarse cada tarea, teniendo en cuenta los objetivos de la organización, como los
planes y estrategias de la Gerencia para su obtención.
La Dirección debe especificar el nivel de competencia para cada trabajo, donde cada
función se traduce en niveles de conocimiento y habilidad, los cuales pueden estar en
función de la inteligencia, formación y experiencia de cada persona, así como el grado
de juicio profesional aplicable a una específica función.

Filosofía de Dirección y el Estilo de Gestión.


Este factor determina la manera en que la empresa es gestionada y tiende a
definir los tipos y cantidad de riesgo empresarial que se está dispuesto a aceptar. Una
entidad que haya tenido éxito en el momento de correr riesgos importantes puede
tener una perspectiva distinta de la administración de riesgos de otra que se ha
enfrentado a sucesos con consecuencias adversas desde un punto de vista financiero
o administrativo, al ingresar a aventuras económicas peligrosas. Una empresa de
gestión informal puede controlar sus acciones persona a persona con los directores
claves, en cambio una formal puede depender en mayor medida de políticas escritas,
indicadores de rendimientos e informes de excepción, etc.

La forma de actuar es un componente fundamental para este factor, el cual se


refleja en la aptitud adoptada en y ante la presentación de información financiera, la
selección de alternativas disponibles respecto a los principios de contabilidad
aplicables, la escrupulosidad y prudencia de las estimaciones contables y las actitudes
frente a las funciones informáticas y contables, así como hacia el personal.

Estructura orgánica.
Este factor
tiende a definir el marco en el cual se planifica, ejecuta, manda, comunican y
supervisan las actividades de una entidad. Una estructura orgánica relevante define
las áreas claves de autoridad y responsabilidad como también el establecimiento de
líneas apropiadas de comunicación. Una entidad desarrolla su estructura organizativa
de acuerdo a sus prioridades estratégicas, algunas pueden ser centralizadas,
descentralizadas, piramidales o planas, por sector, líneas de productos, por zonas o
red de distribución, o funcionales como las del sector público.

Asignación de autoridad y responsabilidad.


Esta etapa
se refiere a la medida en que se autoriza a los equipos o a las personas en forma
individual a utilizar iniciativas al momento de enfrentar problemas o tratar temas,
estableciendo límites de autoridad. Esto también incluye el establecimiento de
informes y protocolos de autorización, como de políticas que describan las prácticas
más adecuadas para la entidad, conocimiento y experiencia para el personal clave y
los recursos para el cumplimiento de las funciones. Como también que todo el
personal esté en conocimiento y entienda los objetivos, y cómo su actuar se relaciona
con su entorno laboral y contribuye a la obtención de ellos. Una delegación mayor
exige implícitamente un mayor nivel de competencia al personal, como también la
necesidad de contar con procedimientos que permitan supervisar con eficacia los
resultados.

Políticas y Prácticas de Recursos Humanos.


Estas
prácticas tienen que ver con contratación, orientación, entrenamiento, evaluación,
asesoramiento, promoción, remuneraciones, como también el indicarle a los
empleados los niveles de integridad, ética y competencia que de ellos se espera.
Desde el reclutamiento y entrevistas el empleado, éste debe sentir el compromiso de
la entidad con su persona, a través de políticas de formación de su responsabilidad y
funciones, capacitación para demostrar los niveles esperados de desempeño; rotación
de personal fundamentado en evaluaciones;
las remuneraciones basadas en incentivos por metas, responsabilidades mayores; y
finalmente las amonestaciones en contra de la indisciplina que da a conocer que no se
toleran conductas distintas a las deseadas.

Ambiente Interno - Factores a Considerar:


Filosofía de Administración de Riesgos – Cultura de Riesgos – Directorio y Comité de
Auditoría – Integridad y Valores Eticos – Compromiso de Competencia Profesional –
Filosofía de la Gerencia y Estilo de Operación – Apetito de Riesgo – Estructura Orgánica –
Asignación de Autoridad y Responsabilidad – Políticas y Prácticas de Recursos Humanos.

ESTABLECIMIENTO DE OBJETIVOS.

El establecimiento de los objetivos es una condición previa al desarrollo


propiamente tal las actividades de la entidad, ya que deben haber objetivos antes que
la Dirección pueda identificar, evaluar y manejar los riesgos para su obtención, éstos
generalmente vienen implícitos en la misión y visión de la entidad, las cuales son su
razón de ser. Luego, la Dirección define sus objetivos estratégicos, los cuales son
metas de alto nivel y de largo plazo, las que se sustentan en la visión y misión de la
organización, y reflejan la opción de cómo la entidad buscará darse valor y a la vez
rentabilidad a las partes interesadas.

Es fundamental para el éxito, establecer objetivos correctos que se apoyen y se


alineen con la estrategia seleccionada, y que incluya a todas las actividades de la
entidad. Es así, como enfocados en los objetivos estratégicos y en la estrategia
misma, una entidad se posiciona para desarrollar los objetivos operacionales, creando
y conservando valor. Cada objetivo operativo se une e integra a objetivos más
específicos que caen en forma de cascada, a través de la organización, sobre todas
las actividades. Al definirse los objetivos, se debe hacer en forma ordenada y por
actividades, con el objeto que la entidad pueda identificar factores críticos
fundamentales.

Los objetivos necesitan ser rápidamente comprendidos y medidos. La


administración de riesgos requiere que el personal en todos los niveles, tenga un cabal
entendimiento de los objetivos de la entidad como de su entorno laboral. Todos los
empleados deben tener una mutua comprensión de lo que se está haciendo y de lo
que está siendo cumplido.

A pesar de la diversidad de objetivos que pueden tener las organizaciones, el


Informe C.O.S.O. II establece cierta categoría de objetivos, los cuales pueden tener
traslapes en algunas actividades o apoyarse mutuamente:

• Objetivos estratégicos. Estos tienen directa relación con la planificación de largo


plazo, y son el fundamento de las restantes categorías de objetivos.

Objetivos operacionales. Estos se relacionan directamente con la eficacia y


eficiencia de las operaciones de la entidad, incluye el desarrollo y alcance de los
objetivos, como la salvaguarda de los recursos contra las pérdidas. Ellos varían de
acuerdo a la elección hecha por la Dirección respecto de la estructura y desarrollo
organizacional, que se fundamentan en la visión, misión, estrategias, prioridades,
juicios y estilos de gestión.
• Objetivos de Información financiera. Estos se refieren a la confiabilidad y
razonabilidad de la información financiera o no financiera, acorde con principios
contables y de auditoría, la cual (información) también puede ser interna o externa.

• Objetivos de cumplimiento (Compliance). Estos objetivos establecen la adhesión


de la entidad en cuanto al cumplimiento de leyes, normas y regulaciones que pueden
afectar positiva o negativamente la reputación organizacional.

Establecer los objetivos es un componente de la administración de riesgos (ERM), y


aunque éstos proporcionen metas medibles, un objetivo va a tener un mayor grado de
importancia y prioridad que otros dependiendo de la actividad y de su etapa, teniendo
muy presente que se lograrán ciertos objetivos y otros no, por lo cual la administración
de riesgos debe proporcionar una convicción razonable a la entidad que los objetivos
están lográndose a través de un desarrollo consistente de acciones y metas a través
de la entidad, identificación de factores claves y de riesgo, y efectuando evaluaciones
desde la selección de objetivos, los niveles de apetencia y tolerancia al riesgo, y
asimismo activar lo controles que los minimicen, etc.

Establecimiento de Objetivos - Factores a Considerar:


Objetivos Estratégicos – Objetivos relacionados: Operación; Información y de
Cumplimiento – Análisis desde Selección de Objetivos, Cantidad, Tolerancia y Controles.

IDENTIFICACION DE EVENTOS

Los eventos son sucesos que ocurren por casualidad o causalidad, que pueden
originarse de fuentes internas o externas de la empresa, y que pueden afectar el
desarrollo de las estrategias o el logro de los objetivos. Para estos efectos, la Gerencia
define rangos de ocurrencia de eventos potenciales de origen interno o externo y si el
impacto va a ser positivo o negativo.

La identificación del evento es la mejor herramienta, aparte de la evaluación del


mismo, sin embargo, lo limitado de esta práctica es poder establecer de dónde vendrá;
pero los eventos potenciales negativos de remota posibilidad de ocurrencia no deben
ser ignorados, ya que afectarían gravemente a la organización y a sus objetivos.

Como los eventos que influyen en las estrategias y objetivos pueden ser internos o
externos, la administración de riesgos debe reconocer el factor de origen de éstos,
como por ejemplo para el caso de los externos sería la economía y el comercio,
catástrofes, medio ambiente, políticas de gobierno, cambios de hábitos sociales y
tecnología; ahora para factores internos se identifican la infraestructura, personal,
procesos y tecnología.

Por otra parte, los eventos también deben identificarse a nivel de actividad, ya que
contribuye a la evaluación de los riesgos y a mantener alineado el apetito con la
tolerancia de riesgo de la entidad.

La metodología de la identificación de eventos puede comprender una variada


combinación de técnicas, pero la más utilizadas son aquellas que consideran el
pasado histórico y los potenciales eventos futuros, como también los eventos
potenciales comunes a la industria en particular.
Lo fundamental es que la metodología dependerá de la cultura de riesgo de la
organización, por lo tanto la administración de riesgos debe tener desarrolladas las
capacidades de identificación, para poder asegurar una correcta evaluación y control
de riesgo. En especial, para aquellos eventos que activan a otros, creando una
cadena de eventos interrelacionados, a los cuales se les debe encontrar su relación
para poder controlarlos. Desde esa perspectiva, es recomendable para las
organizaciones agrupar los eventos potenciales por categorías, incluyendo aquellos
sucesos potenciales de la entidad en forma horizontal y los eventos que operan dentro
de las unidades en forma vertical, lo cual permite a la Dirección desarrollar y
comprender las interrelaciones entre los distintos eventos, ganando tiempo en la
identificación de los riesgos como también de las oportunidades, con información
relevante para crear una base de datos o portafolio para la evaluación de los riesgos y
la creación de los controles respectivos; lo cual podría realizarse a través de una
categorización de objetivos estratégicos, operacionales de unidades o procesos.

No todos los eventos representan un impacto negativo, pueden ser positivos o


tener ambas características. Aquellos que representan riesgos requieren ser
evaluados y controlados, ya que significan la posibilidad que afecten adversamente el
logro de los objetivos. En cambio los eventos con un impacto potencialmente positivo
representan las oportunidades, para lo cual deben ser encauzados y considerados en
el establecimiento de las estrategias o en los objetivos de los procesos, para que
puedan formularse las acciones para considerarlos en el futuro.

Identificación de Eventos - Factores a Considerar:


Eventos – Factores que Influyen (Externos o Internos) - Metodologías y Técnicas –
Independencia de Eventos – Categoría de Eventos – Riesgos u Oportunidades

EVALUACION DE RIESGOS

Este componente de la administración de riesgos, permite a una entidad considerar la


los factores internos y externos que puedan ocurrir, y hasta que punto los eventos
afectarán el logro de los objetivos de una organización. Aunque algunos factores son
comunes a industrias de un mismo tipo, muchos son únicos a una entidad en
particular, debido a sus objetivos establecidos y a sus acciones pasadas. En la
evaluación de riesgos se mezclan los potenciales eventos futuros relacionados a la
entidad y sus objetivos, lo que considera en el análisis del tamaño de la estructura, la
complejidad de los procesos, funciones y el grado de regulación de sus actividades,
entre otros.

La Dirección considera dos tipos de riesgos, siendo el primero el riesgo inherente que
es aquel que afecta a una entidad ante la ausencia de acciones de la administración
que fuercen a alterar la probabilidad de su impacto; y el riesgo residual es aquel que
permanece después que la dirección responde al riesgo a través de sus controles.,
siendo el segundo un derivado del primero.

Asimismo, en la evaluación de riesgos, la Dirección considera el impacto potencial de


eventos esperados e inesperados, donde muchos eventos son rutinarios y recurrentes
y son administrados con relativa facilidad con programas y presupuestos. Otros son
totalmente inesperados, y tienen una probabilidad de baja ocurrencia pero de gran
impacto potencial y la respuesta por parte de la organización es individual, sin
embargo, la incertidumbre existe con respecto de ambos tipos de eventos.
La evaluación de la incertidumbre de eventos potenciales es efectuada en dos
perspectivas, probabilidad e impacto. La probabilidad representa la posibilidad que un
evento dado ocurra, mientras el impacto representa su efecto. Es importante que los
juicios para distinguir estas perspectivas sean responsables, cuidadosos y racionales,
ya que un riesgo con una probabilidad baja de ocurrencia y un impacto potencial
pequeño garantiza menor consideración; en cambio un riesgo con probabilidad alta de
ocurrir y un impacto potencial significativo exige una atención especial.

En consecuencia, la administración de riesgos debe evaluar los riesgos en el


contexto de la estrategia y objetivos de la organización, tendiendo a efectuarlo desde
una perspectiva de corto, mediano y largo plazo, aún cuando algunos factores
estratégicos posean mayor límite de tiempo, es vital entregar a la Dirección la
información de aquellos riesgos que están fuera de los límites, por ejemplo, la
estimación de un terremoto.

Las estimaciones de la probabilidad e impacto de riesgos futuros es


recomendable determinarlas observando eventos pasados, los que pueden
proporcionar resultados buenos que permitan evitar prejuicios personales, como es lo
que sucede con las estimaciones subjetivas. Sin embargo, en la evaluación como para
su análisis propiamente tal sustentados en el pasado, se debe tener muy presente los
datos externos como cambios de los factores con el transcurso del tiempo, para
predecir el futuro, que permitan minimizar la probabilidad e impacto de los riesgos, los
cual debe realizarse en forma metódica y no al azar.

La metodología de evaluación de riesgos de una organización comprende una


combinación de técnicas cualitativas y cuantitativas. Las primeras se utilizan cuando
no es factible medir los riesgos o los datos no son suficientes, son poco creíbles o
irreales. Esta técnica se ve potenciada a través de entrevistas, talleres,
documentación, etc.

En cambio, las técnicas cuantitativas traen más precisión y se utilizan en


actividades más complejas y sofisticadas, complementando a las técnicas cualitativas.
Las técnicas de evaluación cuantitativas normalmente requieren un grado más alto de
esfuerzo, la que por lo general utiliza métodos matemáticos, lo cual la vuelve
dependiente de la calidad de los datos de apoyo, para una previsión confiable, como
resulta de utilizar las técnicas de benchmarking, modelo probabilístico y no
probabilístico. Sin embargo, se pueden utilizar las dos en conjunto, convirtiéndose en
una técnica de evaluación cualitativa, facilitando su información en base más
científicas.

Por otra parte, la Administración de riesgos puede evaluar eventos


correlacionados, donde la combinación de éstos puede significar diferentes
probabilidades o impactos. Mientras el impacto de un único evento fuerte puede ser
débil, una secuencia de eventos fuertes tiene un mayor y significante impacto. Para
este último suceso múltiple, la administración de riesgos debería hacer esfuerzos para
evaluar en escenarios de análisis, el impacto de los eventos y los efectos que éstos
originarían, aunque no se debe dejar de tener presente la constante repetición de
eventos menores.

Un riesgo con impacto alto y probabilidad de ocurrencia alta, generalmente se


denomina riesgo de criticidad catastrófica.

Un riesgo con impacto alto y probabilidad de ocurrencia baja, generalmente se


denomina riesgo de criticidad peligrosa.
Un riesgo con impacto bajo y probabilidad de ocurrencia alta, generalmente se
denomina riesgo de criticidad rutinaria.

Un riesgo con impacto bajo y probabilidad de ocurrencia baja, generalmente se


denomina riesgo de criticidad menor.

Evaluación de Riesgos - Factores a Considerar:


Riesgo Inherente y Residual – Probabilidad e Impacto – Metodologías y Técnicas –
Correlación – Criticidad de los Riesgos.

RESPUESTA O ESTRATEGIA FRENTE AL RIESGO.

Habiendo evaluado los riesgos pertinentes, la administración de riesgos debe


determinar cómo responderá o reaccionará ante ellos, lo que incluye evitar el riesgo,
reducirlo, compartirlo y aceptarlo. Considerando la respuesta, se deben tener
presente los costos y beneficios en directa relación con la tolerancia de riesgo
deseada.

De acuerdo a lo expresado, la reacción al riesgo se clasifica en las siguientes


categorías:

• Evitar el riesgo. Las acciones son dirigidas a eliminar o evitar las actividades que
originan riesgo, como eliminar una línea de productos o no operar con un sector de
clientes.

• Reducir el riesgo. En este caso las acciones tienden a reducir la probabilidad, el


impacto o ambos. Por ejemplo, estableciendo controles más rigurosos o automatizar
para bajar la probabilidad; o bajando el monto de las transacciones por cliente; o
ambas.

• Compartir el riesgo. La intención en esta situación es minimizar la probabilidad de


riesgo o impacto, compartiendo una parte del riesgo con otros, como sucede con el
caso de los seguros.

• Aceptar el riesgo. Esta se refiere a que no se toma ninguna acción, ante la


probabilidad de riesgo o impacto.

Para muchas entidades, las opciones de respuesta apropiadas para algunos


tipos de riesgos son obvias y bien aceptadas, en cambio para otras las opciones
disponibles de respuesta no están muy claras en el breve plazo y se requiere
actividades de identificación más extensas, como análisis y estudio de mercado. Por lo
tanto, la Administración de riesgos de una organización debe considerar las
respuestas potenciales dentro de una categoría de riesgo (criticidad), lo que entrega
una profundidad suficiente para la selección de la respuesta y cambios de los niveles,
respetando las siguientes etapas:

• Evaluar los efectos potenciales de la estrategia de riesgo ante la probabilidad e


impacto;

• Evaluar los costos contra los beneficios de respuestas potenciales;

• Analizar las posibles oportunidades para alcanzar los objetivos de la organización,


que van más allá de los riesgos específicos.
Por otra parte, al evaluar las posibles respuestas a los riesgos, se deben analizar
los riesgos inherentes con la intención de alcanzar un riesgo residual que se mantenga
alineado con la tolerancia de riesgos organizacionales, donde una combinación de
respuestas puede proporcionar un resultado óptimo, afectando el riesgo de eventos
potenciales.

Considerando lo anterior, al evaluar los efectos de las respuestas a las


probabilidad e impactos, la administración de riesgos debe comprender que una
respuesta podría afectar a la probabilidad de riesgo o el impacto de riesgo
diferentemente. Para lo cual, la respuesta potencial a la evaluación, puede considerar
eventos pasados y tendencias actuales y futuras, como sucede en el caso de los
costos contra los beneficios, donde se debe tener presente que éstos son analizados
por medio de diferentes niveles de precisión para definir las opciones de respuestas
alternativas, entre las cuales se cuentan la evaluación subjetiva, el compromiso de la
dirección, los valores éticos, etc.

La administración de riesgos al identificar los eventos que afectan a la


organización en el logro de sus objetivos, puede también hacerlo en forma positiva, las
cuales representan oportunidades que traen consigo algunas opciones de riesgo, y
éstas pueden aparecer cuando las acciones de respuesta a los riesgos están
alcanzando un límite de efectividad total, y en especial cuando el refinamiento de los
riesgos proporcionen sólo cambios marginales en su probabilidad e impacto.

Consecuente, y una vez evaluados los efectos de las alternativas de respuesta a


los riesgos, la dirección decide manejarlas seleccionando una respuesta o
combinación de ellas que enfrente a la probabilidad e impacto de riesgos con la
tolerancia de riesgos de la entidad.

Una vez seleccionado una respuesta, se necesita un plan de aplicación para


ejecutarla y recalibrar el riesgo en una base residual, como de un procedimiento que
permita a la Dirección asegurar su aplicación eficaz, estos procesos son las
Actividades de Control. Aún cuando, siempre se ha de reconocer que algún grado de
riesgo residual existirá, y no sólo por la escasez de los recursos, sino que también
debido a la incertidumbre futura inherente a todas las actividades.

La administración de riesgos considera a los riesgos desde una perspectiva


global creando un portafolio de riesgos, formando una visión de riesgos general, donde
el gerente responsable de cada departamento, función o unidad comercial desarrolla
una evaluación compuesta de riesgos y respuestas al riesgo para esa unidad. Esta
visión entrega el perfil de riesgo relativo, sus objetivos y tolerancias de riesgos, lo que
le permite no exceder el deseo como la tolerancia de riesgo global de la entidad,
manejar el riesgo por unidades en forma coordinada y enfrentar la probabilidad de
riesgos e impactos múltiples o relacionados por unidades en forma individual y en
conjunto a través de respuestas proactivas y con una asertiva visión para las
oportunidades.

Respuesta a los Riesgos - Factores a Considerar:


Identificar Respuestas a los Riesgos – Seleccionar Respuestas – Opinión del Portafolio de
Riesgos.
ACTIVIDADES DE CONTROL

Estas son políticas y procedimientos que ayudan a asegurar que las respuestas a los
riesgos de la Dirección sean llevadas a cabo, a través de toda la organización. Estas
actividades son aplicadas con respecto a cada uno de las categorías de objetivos:
estratégicos, operativos, información y cumplimiento, y que en su conjunto son partes
del proceso que permiten a una organización alcanzar sus metas comerciales. Son
fundamentales para la respuesta a los riesgos en forma propia y oportuna.

Existen variados tipos de actividades de control, pero el Informe C.O.S.O.II sólo se


limita a definir cuatro, que son los siguientes:

• Función Directiva o Actividad Administrativa. Los directivos desarrollan


funciones o actividades revisando y desarrollando informes.

• Procesos de Información. Una variedad de controles es desarrollado para


comprobar la exactitud, totalidad y autorización de las transacciones.

• Controles Físicos. Equipos, inventarios, inversiones, caja y otros activos son


sometidos a recuentos físicos y comparados con archivos de control;

• Indicadores de rendimiento. Análisis de diferentes datos combinados entre sí,


que en conjunto con acciones correctivas conforman una actividad de control.

Normalmente, las actividades de control involucran dos elementos que son las
políticas, que establecen qué debe hacerse y los procedimientos que desarrollan las
políticas. El resultado de la aplicación de procedimientos asociados a las políticas
debe ser revisado a través de seguimientos y efectuar las acciones correctivas
apropiadas, o en su defecto corregir las políticas.

Por otra parte, los sistemas de información debido a su papel fundamental en la


actualidad cuentan con una extrema confianza, lo que por consecuencia lógica deben
contar con actividades de control integrados, las que se agrupan en controles
generales y de aplicación, donde ambos controles en total contribuyen a asegurar la
exactitud, totalidad y validez de la información.

Los controles generales son aquellos que se aplican a muchos si no a todas las
operaciones y permiten su continuidad, como sucede con los sistemas de
administración tecnológica, infraestructura, seguridad, adquisición de software,
desarrollo y mantención.

Los controles de aplicación son aquellos que están incluidos en los


procedimientos informatizados dentro de los software de aplicación, y están diseñados
para asegurar la integridad, exactitud y validez de la captura de datos en los
procesos, y evitan que se introduzcan errores en el sistema, detectándolos y
corrigiéndolos, como sucede con la captura de errores en los datos y su
comprobación, cálculos para validar datos, prueba de datos predefinidos y test de
datos lógicos. La íntima relación de ambas categorías de control informático nace en
que los controles generales son necesarios para un adecuado y seguro
funcionamiento de los controles de aplicación que dependen de los procesos
informáticos.
Las actividades de control como respuesta al riesgo de cada organización
dependerá de los objetivos, los juicios personales de la Dirección, la complejidad de la
entidad, su historia y su cultura. Sin embargo, la naturaleza y el alcance de las
operaciones de la organización afectarán a sus actividades de control, por lo cual la
organizaciones con diversas funciones pueden presentar problemas de control más
complejos, como sucede en el caso de una entidad descentralizada y con sucursales.
Por el contrario una empresa más simple con actividades menos variadas y
centralizada, con estructura más plana, no enfrentará mayores complicaciones en sus
actividades de control como respuesta a las probabilidades de riesgo o su impacto.

INFORMACION Y COMUNICACIÓN
Cada organización ha de obtener información relevante financiera o no,
relacionada con actividades internas o externas. Esta información debe ser entregada
a las personas a tiempo, en un formato que les permita llevar a cabo sus
responsabilidades de administración de riesgos como sus otras funciones. La
información se vuelve necesaria en todos los niveles de la organización, desde la más
rutinaria hasta la más relevante, tanto de fuentes internas como externas, lo que
permitirá a la entidad mantenerse o adaptarse a las condiciones cambiantes, para
identificar, evaluar y responder a los riesgos, contribuyendo con ello a que ésta
alcance uno o más objetivos, a través de sus distintas categorías.

El desafío para la Dirección es procesar y refinar volúmenes enormes de datos


en información relevante, lo cual se soluciona estableciendo sistemas de información,
los cuales capturan datos, los procesan, analizan e informan pertinente y
oportunamente, de una forma que resulte útil para las actividades de control de una
organización. Estos sistemas de información pueden ser formales e informales y se
complementa con los datos que se obtienen de una conversación con clientes,
proveedores o personal, o con la asistencia a seminarios, ayuda profesional, etc. y que
todos en conjunto entreguen información crítica que permita identificar riesgos y
oportunidades.

Los sistemas de información, en atención a las tendencias modernas, se han


integrado fuertemente con fines estratégicos, fundamentados en que los sistemas
entregan información relevante con mayor claridad, lo que les permite contribuir a
crear nuevas oportunidades y ventajas, tornándose más proactivos que reactivos.
Asimismo, al integrar los sistemas de información con las operaciones, se facilita el
acceso a información entrampada en departamentos o procesos para ser utilizada por
la Dirección en tiempo real y oportunamente.

Para apoyar a la administración de riesgos, una entidad utiliza datos históricos y


presentes. Los datos históricos permiten a la organización desarrollar soluciones a los
actuales problemas contrarios a los objetivos, planes y expectativas, proporcionando
las visiones de cómo la entidad actuó bajo las condiciones actuales, ya repetidas, lo
que permite a la Dirección identificar tendencias como prever actuaciones y
situaciones futuras, convirtiéndose en una alerta temprana de eventos potenciales.
Asimismo, los datos actuales permiten a una organización determinar su perfil de
riesgo presente en un punto específico y permanecer dentro de rangos de tolerancia
de riesgos establecidos, contribuyendo a la administración de riesgos a tomar visiones
en tiempos reales de la existencia de riesgos inherentes en procesos, funciones o
unidades e identificar las posibles variaciones de lo esperado. En conjunto, ambos
tipos de datos permiten a la entidad evaluar la probabilidad e impacto futuro de
eventos potenciales sobre los objetivos y poder efectuar las modificaciones suficientes
sobre las actividades, en conformidad a su deseo y tolerancia al riesgo.
Las oportunidades que permite alcanzar una infraestructura de información
adecuada son fundamentales para una entidad, convirtiéndose en una capturadora de
datos en márgenes de tiempo válido y fuente de información consistente con las
necesidades de una organización que contribuye a identificar, evaluar y responder a
los riesgos dentro de un margen de tolerancia, siendo sus flujos consistentes con la
proporción de cambios organizacionales y con los ambientes internos y externos. La
infraestructura convierte los datos en información real y oportuna que permite a los
empleados llevar a cabo la administración de riesgos y otras responsabilidades. Se
proporciona la información correcta en un formulario dentro de un margen de tiempo
real y necesario, al nivel correcto de detalle, tanto en los departamentos, unidades o
procesos como a las personas adecuadas.

Ante la creciente dependencia de los sistemas de información, cada día más


sofisticados, y sistemas de decisión automatizados, la confiabilidad en los datos se
vuelve crítica, ya que los datos inexactos pueden producir riesgos no identificados o
evaluaciones y decisiones erróneas, por lo tanto, la información para ofrecer
suficientes datos relevantes para efectuar una correcta administración de riesgos,
debe presentar un nivel de calidad óptimo en lo referente a: contenido de detalles e
información necesaria; oportunidad de la información en el tiempo y momento
necesario; información actualizada y disponible; exactitud de la información
sustentada en datos correctos; finalmente, accesibilidad de la información para las
personas adecuadas y aseguramiento contra los cybercrímenes.

La comunicación es inherente a los sistemas de información, y para toda entidad que


cuente o no con un sistema de información la comunicación juega un rol
preponderante, ya que deben proporcionar información relevante a las personas
adecuadas, con el objeto que cumplan con sus labores operativas en forma adecuada.
La Dirección, en un sentido de comunicación interna, debe entregar a todo el
personal clave de su organización mensajes claros, precisos y eficaces, en especial al
personal crítico para la administración de riesgos, por lo que la comunicación de
información sobre los procesos y procedimientos debe estar alineada con la cultura de
riesgo. Por lo tanto, resulta fundamental para que la comunicación sea efectiva
asegurar el conocimiento de la importancia de una administración de riesgos eficaz;
comunicar la tolerancia y apetencia de riesgos de la entidad; implementar y mantener
un lenguaje de riesgo común; y finalmente, advertir al personal de su rol y de sus
responsabilidades en el apoyo a los componentes de la administración de riesgos.

Todos estos puntos en su conjunto permitirán al personal estar atentos y saber


que cuando un evento inesperado ocurre, la atención no sólo será prestada al propio
evento sino que también a las causas. Asimismo, el personal también necesita saber
cómo sus actividades se relacionan con el trabajo de otros, lo que les ayudará a
reconocer un problema, determinar su causa y una acción correctiva, como también
estar en conocimiento de conductas aceptables e inaceptables, y creer de verdad que
sus superiores quieren saber sobre los problemas y de sus soluciones. De esta
manera una debilidad potencial en el sistema puede identificarse y tomar acción para
que no se repita.
Los canales de comunicación interna, de los cuales el más importante es el de la
Dirección, deben asegurar que los empleados puedan comunicar la información de
riesgos , sin temor a represalias por la entrega de información relevante. Los canales
de comunicación externa pueden proveer un importante ingreso de información
relativa a la calidad de productos o servicios, preferencias y gustos de los
consumidores, cambios del entorno en todas sus expresiones y factores, lo que afecta
directamente a la apetencia y tolerancia a los riesgos de la entidad. La comunicación
externa también debe ser oportuna, pertinente, significativa, y estar en conformidad a
principios y requisitos legales y reguladores.
Un factor importante a considerar en la comunicación con el entorno y el interno
de la entidad, es la forma o medios de comunicación, materializado por manuales de
políticas, memorándum, anuncios, publicidad, medios electrónicos, conductas,
mensajes orales, expresiones corporales, etc. Destacando que el actuar de la
dirección con el entorno y con el trato a sus empleados es la herramienta más
poderosa de la comunicación, donde las acciones dicen más que las palabras,
además, que está influenciada por la historia y cultura de la entidad. Todas estas
expresiones en su conjunto pueden crear riesgos como oportunidades.
SUPERVISION (MONITOREO – VIGILANCIA)

La Administración de riesgos de una organización cambia con el tiempo, las


respuestas al riesgo que alguna vez fueron eficaces pueden no serlo hoy, las
actividades de control pueden encontrarse obsoletas e ineficaces, los objetivos de la
entidad pueden cambiar. Esto puede originarse por cambios de personal, de
estructura, nuevos procesos, etc. Estos cambios hace necesario determinar si los
componentes de la Administración de riesgos siguen siendo eficaces. Esta
supervisión se puede hacer a través de actividades continuas o evaluaciones
puntuales, lo que permite fijar una tendencia de este informe C.O.S.O. II, en lo que se
refiere a cuanto mayor sea el nivel y la eficacia de la supervisión y seguimiento
continuos, menor será la necesidad de evaluaciones puntuales. Asimismo, para que
exista una seguridad razonable, la Dirección debe fijar la frecuencia de evaluaciones
puntuales, teniendo en consideración que si la frecuencia aumenta demasiado, se
debe centrar los esfuerzos en una mejor las actividades de supervisión continua. La
existencia de ambas acciones permiten el mantener la eficacia del sistema de
Administración de riesgos.

Dentro de las actividades de supervisión continua, el informe C.O.SO. II,


presenta las siguientes:

• Los informes de explotación son integrados y conciliados con otros informes


financieros y usados para administrar operaciones con el objeto de detectar
inexactitudes significantes o excepciones a los resultados.

• Utilización de modelos de evaluación de riesgos, para estimar el impacto potencial


de los movimientos del mercado en la posición financiera de una organización.

• La comunicación de los agentes externos debe ser confirmada con la información


internamente generada o señalar problemas.

• Las regulaciones también pueden comunicar a la entidad disposiciones u otras


materias que afecten las funciones o los procesos de administración de riesgos.

• Los auditores internos y externos permanentemente proponen recomendaciones


para fortalecer la Administración de riesgos.

• Los seminarios de formación, las sesiones de planificación y otras actuaciones,


proveen de importante retroalimentación a la Dirección sobre la Administración de
riesgos.

• El personal debe ser consultado periódicamente sobre si conocen, cumplen los


códigos de conducta de su entidad.
Mientras la supervisión continua sobre los procesos permite proporcionar una
retroalimentación constante de la efectividad de los otros componentes y factores de la
administración de riesgos, las evaluaciones puntuales que se detallan, permiten una
mirada fresca sobre la efectividad de la administración de riesgos y en especial sobre
los procedimientos de la supervisión continua, y que son los siguientes:

• El alcance y la frecuencia de las evaluaciones puntuales de la administración de


riesgos variará según la magnitud, respuestas y controles de riesgo de la entidad,
y si éstos tienen mayor prioridad o son más críticos, como también a la categoría
de objetivos que afecta.

• No es conveniente que una misma unidad evalúe sus respuestas al riesgo y sus
controles relacionados a la administración de riesgos. Es la Auditoría Interna la
que debe ejecutar esta evaluación como parte de sus actividades regulares o a
solicitud de la autoridad, y también considerar la opinión de la auditoría externa.

• La evaluación puntual de la administración de riesgos es un proceso en si misma,


y los evaluadores deben entender cada una de las actividades de la entidad,
establecer estándares para cada componente y determinar, a través de pruebas,
si el proceso proporciona la seguridad razonable con respecto a los objetivos.

• La metodología es variada y ésta se puede realizar a través de hojas de control,


cuestionarios, encuestas, técnicas de flujogramación y de benchmarking.

• El nivel de documentación de la administración de riesgos de una entidad variará


conforme al tamaño y complejidad de ésta, como de otros factores, por lo general
las empresas grandes tienen todas sus políticas y procesos en manuales, la cual
es optimizada con la evaluación.

La mejor fuente de información de deficiencias en la organización es la administración


de riesgos en sí misma, donde las actividades de supervisión continua, que incluye
las de gestión y las de monitoreo diarios a los empleados proporcionan una
identificación rápida de deficiencias, mientras que las evaluaciones puntuales del
sistema de administración de riesgos pueden señalar áreas que necesiten mejoras, lo
cual se realiza a través de interlocutores como de informes internos y externos a la
Dirección.
Nelson Palominos G.