Gestion Del Riesgo PDF

DISEÑO, IMPLEMENTACIÓN, SEGUIMIENTO Y
MEJORAMIENTO DEL SISTEMA DE GESTIÓN

DE RIESGOS
UNIVERSIDAD SERGIO ARBOLEDA

SECCIONAL SANTA MARTA
15/11/2012 JOSE DAVID CUARTAS A. 1

GESTIÓN INTEGRAL DEL RIESGO
 CONTENIDO
Contenido
Conceptos
Introducción
El Riesgo en la Gestión del día a día
Beneficios de la Gestión del Riesgo
Antecedentes
Entorno Regulatorio
Modelo de Madurez en la Gestión del Riesgo Gestión Familia ISO 31000 Gestión del Riesgo
Otros referentes normativos
Integral
del Principios de la Gestión del Riesgo
Riesgo
Proceso para la Gestión del Riesgo

Estructura de la Gestión del Riesgo
Comunicación y Consulta
Compromiso de la Dirección
Contextualización
Valoración del Riesgo Estructura de Soporte
Implantación
Tratamiento y Controles
Seguimiento y Revisión
Seguimiento y Revisión
15/11/2012 JOSE DAVID CUARTAS A. Mejora Continua 3
 1. Introducción
Introducción
El “Riesgo” es un concepto que bien podríamos llamar vital, por su vínculo con
todo lo que hacemos. Casi podríamos decir que no hay actividad de la vida, de
los negocios o de cualquier asunto que se nos ocurra, que no implique asumir
un riesgo.

Introducción
Entre las formas de protección del riesgo está la acción colectiva, la

precaución individual o corporativa, las normas comunitarias y en fin tantas
otras, entre las cuales se incluye la tecnología como medio de prevención.
Fue por ello que la humanidad, desde sus inicios, buscó maneras de
protegerse contra las contingencias del que hacer diario y desarrolló al igual
que la mayoría de las especies animales maneras de esquivar, eliminar,
minimizar o enfrentar los riesgos.

Introducción
¿Qué es riesgo?
Es “el efecto de la incertidumbre en la consecución de los objetivos”
ISO 31000:2009
• 1. Incertidumbre (puede que nunca ocurra).
• 2. El riesgo importa y debe gestionarse porque tiene un efecto (positivo y

negativo).
• 3. Ese efecto es sobre los objetivos fijados.

Introducción
¿Qué es riesgo?
Es “la proximidad voluntaria o inconsciente a una situación de peligro”. Es la

exposición al peligro o a circunstancias que nos puedan generar daño o
consecuencias.
BASC V4:2012
Es la “combinación de la probabilidad y consecuencia de un evento”.
ISO 27002

Introducción
¿Por qué no se gestionan los riesgos en las Organizaciones?
PARADIGMAS
• No aporta valor…
• Si pensamos en todo lo malo, no hacemos nada.
• Hay suficientes controles.
• Aquí pensamos en metas, no en riesgos.
• Aceptamos que es común que fallen los sistemas tecnológicos.
• ¡ No hay tiempo para evaluar los riesgos, necesitamos vender !
• Acá nunca pasó nada.
• No tenemos los procesos definidos.
• Gestionar los riesgos no me va a ayudar a vender más.
• Si ocurre algo, ya lo arreglaremos.

Introducción
Para entender, analizar, valorizar, gerenciar y decidir sobre la manera como

adelantar la gestión corporativa frente al riesgo, la dirección moderna de las
empresas concibió con el apoyo de la academia una disciplina denominada
“Administración de Riesgos” o “Gerencia de Riesgos”, que al final sólo es una
función más, de muy alto nivel dentro de la jerarquía directiva, para darle paso
a dicha necesidad; es así como se considera la Administración de Riesgos
como un conjunto de estrategias que a partir de los recursos (físicos, humanos
y financieros) limitados, busca los siguientes objetivos:
En el corto plazo mantener la estabilidad financiera de la empresa protegiendo

sus activos e ingresos de los riesgos a que está expuesta y en el largo plazo,
minimizar las pérdidas ocasionadas por la ocurrencia de dichos riesgos.

Introducción

Introducción
Amplio Espectro de Riesgos
Director General
Director Financiero Inducidos Externamente
Riesgos de mercados
Demanda del mercado
financieros Junta Directiva
Pasivos contingentes
Fluctuaciones
cambiarias Competencia
Tesorero Condiciones económicas Fusiones & Adquisiciones

globales
Inducidos Internamente Marca/reputación
Cambios fiscales Relaciones
Pensiones Oportunidad Cambios en
y contables
industria/clientes
Públicas
Garantías
Patentes Capital intelectual
Valor de activos Alianzas/consorcios
Investigación &
Insolvencia Liquidez, flujo Canales y
Desarrollo
crediticia de caja redes
Responsabilidad Contractual Sistemas de Información

Terrorismo
Continuidad del Cumplimiento de
Guerra Negocio Sistemas regulación/legislación
contables/ de
Incendio/ Responsabilidad control Acción industrial
Explosión general Depto.
Seguridad/ Directivos clave
Polución lesiones a
Normatividad Legal
Gerente de ambiental
empleados Retención & atracción
Riesgos Seguridad física
de personal
Daños Cadena de suministros Director de
materiales
Operaciones
Desastres Naturales
Suministro de Energía
Seguridad y JOSE DAVID CUARTAS A.
Salud Ocupacional Gestión Humana
Introducción
Diferentes tipos de Gestión de Riesgos en las Organizaciones

Introducción
Cómo lo cumplo?
4.2 Mandato y compromiso
“La introducción de la gestión del riesgo y el aseguramiento de su eficacia

continua requieren un compromiso fuerte y sostenido de la dirección de la
organización, así como el establecimiento de una planificación estratégica y
rigurosa para conseguir el compromiso a todos los niveles…”
ISO 31000:2009

Introducción
La Alta Gerencia
Tiene responsabilidad dentro del Buen Gobierno de buscar el logro de los

objetivos.
Debe demostrar la debida diligencia.
Debe propender por invertir los recursos en forma ordenada.
Debe conocer los riesgos a que está expuesta (incluso hoy).
Esto se traduce en : mensajes claros, coherentes y continuos a toda la

organización.

Introducción
Cómo lo cumplo?

Introducción
Introducción
Gestión Integral del Riesgo

como Proceso
•Política
•Objetivos
•Directrices
•Interacción

Introducción
Gestión del Riesgo como actividad de un Proceso
•Liderado por un Proceso

•Conocimiento de todos los Procesos

Introducción
Estándares, Marcos de Referencia y Guías

Introducción
ADMINISTRACIÓN DE
RIESGO EMPRESARIAL
E.R.M

Introducción
ADMINISTRACIÓN DE RIESGO EMPRESARIAL o E.R.M.®
Enterprise Risk Management.
Definición.
-“Es un proceso efectuado por la Junta de Directores, la administración y otro

personal de la entidad, aplicado en la definición de la estrategia y través del
emprendimiento, diseñado para identificar los eventos potenciales que pueden
afectar la entidad, y para administrar los riesgos que se encuentran dentro de su
apetito por el riesgo, para proveer seguridad razonable en relación con el logro
del objetivo de la Entidad.”

Introducción
Esta definición refleja ciertos conceptos fundamentales:
1. Un proceso, es un medio para un fin, no un fin en si mismo.

2. Efectuado por Personas -no es solamente política, estudio y forma, sino que
involucra Personas en cada nivel de una organización-.
3. Aplicado en la definición de la estrategia.
4. Aplicado a través de la administración en cada nivel y unidad, incluye asumir
un punto de vista de portafolio de los riesgos a nivel de la entidad.
5. Diseñado para identificar los eventos que potencialmente afectan la entidad y
para administrar los riesgos dentro del apetito por los riesgos.
6. Provee seguridad razonable para la administración y para la Junta de una
entidad.
7. Orientado al logro de los objetivos en una o más categorías separadas pero
al mismo tiempo se sobreponen unas con otras.

Introducción
E.R.M.®

Introducción
E.R.M.® RENOVADO
Mirar más allá de la Probabilidad

Tres factores clave:
1. Impacto de un evento en el valor del negocio.
2. Vulnerabilidad de la Organización a sus efectos.
3. Velocidad de materialización de los eventos de riesgo.
JOSE DAVID CUARTAS A. 26

Introducción
E.R.M.® RENOVADO
Relacionar probabilidad con vulnerabilidad e interacción de riesgos.
• Si un riesgo es relevante y tiene alto impacto, debe ser considerado, aunque

sea “remoto”.
• Utilizar planeación de escenarios para evaluar eventos de impacto alto / baja

productividad.
No olvidad las interdependencias.
• Riesgos agregados.
• Correlaciones ocultas.
• Acciones para mitigar el riesgo en un área puede aumentar el riesgo en otra.

Introducción
DESEMPEÑO
CONFORMIDAD
ACCIÓN DE
MEJORA
ACCIÓN ACCIÓN
PREVENTIVA CORRECTIVA
NO CONFORMIDAD
PROCESO
Introducción

Introducción
RIESGO AMENAZA PELIGRO
EMERGENCIA SINIESTRO RESTITUCIÓN

Introducción
RIESGO
Es “la proximidad voluntaria o inconsciente a una situación de peligro”. Es la

exposición al peligro o a circunstancias que nos puedan generar daño o
consecuencias.

Introducción
AMENAZA
Son aquellos factores externos a la organización que advierten proximidad o

propensión a un evento de pérdida (materialización de un riesgo) sobre los
cuales esta no tiene control.

Introducción
PELIGRO
Es una fuente o situación con potencial capacidad de producir pérdidas en

términos de bienes y daño a la propiedad.

Introducción
Es la situación producida por una fuente de peligro, la cual genera pérdidas en

bienes y daño a la propiedad.
EMERGENCIA
Introducción
Es la avería, destrucción fortuita o pérdida importante que sufre el bien o la

propiedad.
SINIESTRO
Introducción
Restablecimiento del bien o la propiedad al estado que tenía antes de

presentarse una emergencia .
RESTITUCIÓN
Introducción
El Riesgo en la Gestión del Día a Día

 2. Antecedentes
Antecedentes
EFICIENCIA
FINANCIERA
GOBIERNO CORPORATIVO
TECNOLOGÍA GP 1000
ENRON
CALIDAD
PRODUCTIVIDAD
MECI RIESGOS
CAMBIOS EN LA
LEGISLACIÓN MEJORA DE PROCESOS
COSO II

Antecedentes
Entorno Regulatorio

Antecedentes
 A nivel Internacional:
 Ley Sarbanes-Oxley (EEUU) Sarbanes-Oxley Act of 2002, Pub. L.

No. 107-204, 116 Stat. 745 (30 de julio de 2002)
Acta de Reforma de la Contabilidad Pública de Empresas y de
Protección al Inversionista. Nace en Estados Unidos con el fin de
monitorear a las empresas que cotizan en bolsa, evitando que las
acciones de las mismas sean alteradas de manera dudosa,
mientras que su valor es menor. Su finalidad es evitar fraudes y
riesgo de bancarrota, protegiendo al inversor.

Antecedentes
 COSO Committee of Sponsoring Organizations of the Treadway

Commission. En 1992, publicó un informe denominado Internal
Control – Integrated Framework (IC-IF), conocido también como
COSO I. Adoptado por el sector público y privado en USA, por el
Banco Mundial y el BID, y se extiende rápidamente por todo
Latino América. En septiembre de 2004, se publica el informe
denominado Enterprise Risk Management – Integrated
Framework, el cual incluye el marco global para la administración
integral de riesgos (Estándar COSO II – ERM).

Antecedentes
 Normas Internacionales para la práctica profesional de la

Auditoria Interna “The Institute of Internal Auditors” (IIA).
The Institute of Internal Auditors (IIA, por sus siglas en inglés),

organización fundada en 1941 en Estados Unidos, es la máxima
autoridad reconocida a nivel mundial en el campo de la auditoria interna.

Antecedentes
La auditoria interna presta dos grandes servicios, el de aseguramiento y

consulta para agregar valor y mejorar las operaciones para evaluar y
mejorar la eficacia de los procesos de la Administración o Gestión de
Riesgos, Control y Gobierno Corporativo.
 Dentro de las normas de auditoria interna internacionales, se

encuentran varias normas específicas dirigidas a manejar la
metodología de la Administración de Riesgos dentro de los dos
servicios enunciados, las cuales se recomiendan se apliquen por
parte de los auditores internos.

Antecedentes
2110 – Gestión de Riesgos

La actividad de auditoría interna debe asistir a la organización mediante la
identificación y evaluación de las exposiciones significativas a los riesgos, y la
contribución a la mejora de los sistemas de gestión de riesgos y control.
2110.A1 - La actividad de auditoría interna debe supervisar y evaluar la eficacia
del sistema de gestión de riesgos de la organización.
2110.A2 – La actividad de auditoría interna debe evaluar las exposiciones al
riesgo referidas a gobierno, operaciones y sistemas de información de la
organización, con relación a lo siguiente:
· Confiabilidad e integridad de la información financiera y operativa,
· Eficacia y eficiencia de las operaciones,
· Protección de activos, y
· Cumplimiento de leyes, regulaciones y contratos.
Antecedentes
2110 – Gestión de Riesgos
2110.C1 Durante los trabajos de consultoría, los auditores internos deben

considerar el riesgo compatible con los objetivos del trabajo y estar alertas a la
existencia de otros riesgos significativos.
2110.C2 Los auditores internos deben incorporar los conocimientos del riesgo
obtenidos de los trabajos de consultoría en el proceso de identificación y
evaluación de las exposiciones de riesgo significativas en la organización.

Antecedentes
 IAS 39 (International Accounting Standard sobre instrumentos

financieros).
 FAS-133 (Financial Accounting Standard sobre Derivados).
 ISO-IEC Guide 73 Vocabulario a ser utilizado en estándares de

Administración de Riesgos.
 Estándar Australiano Neozelandés AS/NZS 4360-2004 Risk

Management.
 Estándar del Reino Unido IRM-AIRMIC-ALARM sobre

Administración de Riesgos.

Antecedentes
 COSO ERM for Cloud Computing 2012
 COSO Entendimiento y Comunicación del Apetito del Riesgo

2012
 ISO 22301:2012 Sistemas de Gestión de la Continuidad del

Negocio
 ISO 27005:2008 Seguridad Informática

Antecedentes
 A nivel Nacional:
 Superintendencia Bancaria:
 Circular externa 050 del año 2001 y Carta Circular 031 del
2002 sobre SARC: Sistema de administración de riesgo
crediticio
 Circular externa 052 del 2002 de la Superbancaria sobre
SEARS: Sistema Especial de Administración de riesgos de
seguros
 Superintendencia de Valores:
 Resolución 138 del año 2001 sobre el sistema general de
riesgos.

Antecedentes
 A nivel Nacional:
 MECI (Modelo Estándar de Control Interno)
 NTC GP 1000:2004 (Norma Técnica de Calidad en la Gestión

Pública)
 NTC ISO 31000:2011 Gestión de Riesgos

Antecedentes

Antecedentes

Antecedentes

Antecedentes
4.5.3 No conformidad, acción correctiva y acción preventiva

La organización debe establecer, implementar y mantener uno o varios
procedimientos para tratar las no conformidades reales y potenciales y tomar
acciones correctivas y acciones preventivas. Los procedimientos deben definir
requisitos para:
… c) La evaluación de la necesidad de acciones para prevenir las no
conformidades y la implementación de las acciones apropiadas definidas para
prevenir su ocurrencia;
d) la revisión de la eficacia de las, acciones preventivas y acciones correctiva
tomadas.
Las acciones tomadas deben ser las apropiadas en relación a la magnitud de
los problemas e impactos ambientales encontrados.

Antecedentes

Antecedentes

Antecedentes

Antecedentes

Antecedentes

Antecedentes
60
Antecedentes
Familia ISO 31000

Risk Management
AS/NZ 4360:2004
Risk Management
Standard

Antecedentes
Familia ISO 31000 Gestión del Riesgo
En la actualidad, la familia ISO 31000 incluye:
 ISO 31000:2009 Principios y Directrices sobre la aplicación
 ISO / IEC 31010:2009 Técnicas de evaluación de riesgos
 Guía ISO 73:2009 Vocabulario

Antecedentes
ISO 31000:2009 Principios y Directrices
Esta norma internacional proporciona los principios y las directrices genéricas

sobre la gestión del riesgo.
Puede utilizarse por cualquier empresa pública, privada o social, asociación,

grupo o individuo. Por tanto, no es específica de una industria o sector
concreto.
Esta Norma no es certificable…
Ignorar los riesgos de la Organización no es una opción

Antecedentes
ISO 31000:2009 Principios y Directrices
Interesados:
a) Responsables de desarrollar la política de gestión del riesgo dentro de su

organización;
b) Encargados de asegurar que el riesgo se gestiona de manera eficaz
dentro de la organización, considerada en su totalidad o en un área, un
proyecto o una actividad específicos;
c) Los que necesitan evaluar la eficacia de una organización en materia de
gestión del riesgo; y
d) Los que desarrollan normas, guías, procedimientos y códigos de buenas
prácticas que, en su totalidad o en parte, establecen cómo se debe tratar el
riesgo dentro del contexto específico de estos documentos.

Antecedentes
ISO GUÍA 73:2009 Vocabulario
“…proporciona el vocabulario básico para desarrollar una comprensión de los

conceptos y términos que se utilizan en la gestión del riesgo que son
comunes a diferentes organizaciones y funciones, ...”
3.6.1.7 matriz de riesgo:
Herramienta que permite clasificar y visualizar los riesgos (1.1), mediante la

definición de categorías de consecuencias (3.6.1.3) y de su probabilidad
(3.6.1.1).

Antecedentes
ISO IEC 31010:2009 Técnicas de Evaluación de Riesgos
“…Herramientas utilizadas para la evaluación del riesgo…”

67
Antecedentes
¿Qué pasa cuando coexisten diversas evaluaciones de riesgo?
ISO 14001, OHSAS 18001, ISO 22000, ISO 27000…
“La gestión del riesgo contribuye de manera tangible al logro de los objetivos
y a la mejora del desempeño, por ejemplo, en lo referente a la salud y
seguridad de las personas, a la conformidad con los requisitos legales y
reglamentos, a la aceptación por el público, a la protección ambiental, a la
calidad del producto, a la gestión de proyectos, a la eficacia en las
operaciones, al gobierno corporativo y su reputación.”
REFERENCIA EN LA ISO 31000

 3. Principios de la Gestión del Riesgo

Principios de la Gestión del Riesgo

Los “principios para la gestión del riesgo” buscan establecer el

enfoque cultural e ideológico con que se deben gestionar los riesgos
en toda organización. Estos elementos suelen no ser considerados
relevantes al no ser tangibles y medibles, si bien son tan
importantes como cualquier otro aspecto de la organización.
UNE-ISO 31000 (2009): Gestión …, pp. 13-14.

La gestión del riesgo …
… crea y protege el valor
… es una parte integral de todos los procesos
… es parte de la toma de decisiones
… aborda explícitamente la incertidumbre
… es sistemática, estructurada y oportuna
… se basa en la mejor información disponible

La gestión del riesgo …
… está adaptada
… toma en consideración los factores humanos y culturales
… es transparente e inclusiva
… es dinámica, reiterativa y receptiva al cambio
… facilita la mejora continua de la organización

 4. Estructura de la Gestión del Riesgo

Estructura de la Gestión del Riesgo

Modelo Administrativo basado en ISO 31000:2009

 5. Proceso para la Gestión del Riesgo



1. ESTABLECER EL CONTEXTO
 Externo - Estratégico
 Interno - Organizacional
 Proceso para la gestión del riesgo
 Definir los criterios del riesgo (Evaluación – Estructura)
Alineado a la planeación estratégica
Partes Interesadas
Alcance y criterios
El respaldo de la Alta Dirección es un elemento clave

APRECIACIÓN O VALORACIÓN DEL RIESGO
2. IDENTIFICAR LOS RIESGOS
 Fuentes del riesgo
 Procesos de impacto
 Eventos
Herramientas y técnicas
 Causas potenciales
Defina sus propios riesgos
Ajustados a la gestión empresarial
 Consecuencias potenciales
Participación

2. IDENTIFICAR LOS RIESGOS
 Que puede suceder?
 Por qué sucede?
 Como sucede?
 Donde puede suceder?
 Cuando puede suceder?
 Definición de Herramientas y técnicas para la identificación (listas de

verificación, experiencia, registros, lluvia de ideas, etc.)

Criterios de Riesgo Genéricas
Relaciones Comerciales Circunstancias Económicas

Y Legales (Int./Ext.)
Comportamiento Eventos Naturales

Recursos Humanos
Circunstancias Aspectos Tecnológicos

Políticas y Legislativas y Técnicos (int./ext.)
Actividades y Actividades Individuales

Controles Gerenciales
Causas
15/11/2012
EventosJOSE DAVIDAmenazas
CUARTAS A. 82

Áreas de Impacto Genéricas
Gestión de Activos Medio Ambiente
Gestión del Cambio

Cumplimiento de la Normatividad
Financieros
Gestión (Dirección General)

Productos / Servicios
Riesgos a Personas
Tecnología
Consecuencias
Impacto
3. ANALIZAR LOS RIESGOS
Cuál es la probabilidad que un riesgo produzca una pérdida con los actuales
controles?
Con qué frecuencia puede ocurrir una pérdida?
PROBABILIDAD

 Cuál es el impacto o magnitud del riesgo?
 Qué tan grande puede ser la pérdida producida por el riesgo con los
controles actuales?
CONSECUENCIAS – SEVERIDAD - IMPACTO
Se miden en cuatro frentes; Personas (Vidas Humanas),

Operaciones (Empresa, Tiempo), Dinero (Sanciones) e
Imagen.

El análisis puede ser:
 Cualitativo
 Semicuantitativo
 Cuantitativo

Análisis Cualitativo
Utiliza palabras para describir la magnitud de las consecuencias potenciales y

la posibilidad de que ocurran tales consecuencias. Estas escalas se pueden
adaptar o ajustar para satisfacer las circunstancias y se pueden usar
diferentes descripciones para los diferentes riesgos.

Análisis Semicuantitativo
En el análisis semicuantitativo, las escalas cualitativas, como las cuantitativas,

se dan en valores. El objetivo es producir una escala de clasificación más
amplia que la que se obtiene usualmente en el análisis cualitativo, sin sugerir
valores realistas para riesgos, como se pretende en el análisis cuantitativo .
Sin embargo, debido a que el valor asignado a cada descripción puede no

tener una relación exacta con la magnitud real de las consecuencias o la
posibilidad, los números solo se deberían combinar usando una fórmula que
reconozca las limitaciones de los tipos de escalas empleadas.

Análisis Cuantitativo
Utiliza valores numéricos (a diferencia de las escalas descriptivas usadas en

los análisis cualitativo y semicuantitativo) tanto para las consecuencias como
para la posibilidad, empleando datos provenientes de una variedad de
fuentes.
La calidad del análisis depende de la exactitud y cabalidad de los valores

numéricos y de la validez de los modelos empleados.


 Determinación de los Controles Existentes
CONTROLES

TIPOS DE CONTROL

APLICACIÓN DE CONTROLES
- En la Fuente. (Que busquen la eliminación del Riesgo)
- En el Medio. (Sustitución, Controles de Ingeniería en Procesos,

Maquinaria o Equipo, Señalización, Advertencias, Controles
Administrativos)
- En el Trabajador. (Equipos de Protección Personal)

GRADOS DE CONTROL
- Fuerte. (Se presta una atención significativa al riesgo. Se han adoptado la

mayoría de los controles económicamente viables. Se mantiene un
sistema de monitoreo constante).
- Moderado. (Los controles aplicados proporcionan una certeza razonable

de control, aunque no permiten la gestión de todos los eventos de riesgo
potenciales).
- Débil. (Los controles aplicados son insuficientes para prevenir o mitigar el

riesgo).
- Incontrolable. (Fuera del control de la Organización en cuanto a su

probabilidad de ocurrencia y la gestión de sus consecuencias).


4. EVALUAR LOS RIESGOS
 Nivel de riesgo
 Comparación
 Prioridades
 Aceptar o no? Análisis de escenarios

Escalas a la medida
Participación Gerencial
Proactividad procesos

5. TRATAR LOS RIESGOS
 Valoración del tratamiento del riesgo
 Decisión sobre si los niveles de riesgo residual son tolerables
 Si no son tolerables, generación de un nuevo tratamiento para el riesgo
 Valoración de la eficacia de dicho tratamiento

Opciones de tratamiento:
 Evitar el riesgo decidiendo no iniciar o continuar con la actividad que
causa el riesgo.
 Aceptar o aumentar el riesgo a fin de perseguir una oportunidad.
 Eliminar la fuente del riesgo.
 Modificar la probabilidad.
 Cambiando las consecuencias.
 Compartir el riesgo con otras partes (incluyendo los contratos y la
financiación del riesgo).
 Retener el riesgo en base a una decisión informada.
Preparar, documentar e implementar planes:

 Razones para la elección de las opciones de tratamiento
 Beneficios a obtener
 Aprobar el plan y responsables de implementarlo
 Acciones propuestas
 Requisitos de recursos, incluyendo las contingencias
 Medidas y restricciones de desempeño
 Requisitos de monitoreo y reporte
 Tiempo y cronograma

6. SEGUIMIENTO Y REVISIÓN
 Controles eficaces y eficientes
 Mejorar la valoración del riesgo
 Analizar y aprender lecciones
 Detectar cambios en el contexto

6. SEGUIMIENTO Y REVISIÓN
 Deben monitorearse los riesgos, la eficacia del plan de tratamiento

del riesgo, las estrategias y el sistema de gestión que se establecen
para controlar la implementación.
 Resulta esencial la revisión permanente para asegurarse que el plan

de gestión continúa siendo pertinente.

7. COMUNICACIÓN Y CONSULTA
 Intercambio de información
 Partes involucradas
 Bilateral
 Toma de decisiones Actualización

Seguimiento y control
Registros para la trazabilidad
Entrenamiento del personal
Auditorías internas

La comunicación interna y externa efectiva es importante para garantizar que

quienes son responsables de implementar la Gestión del Riesgo y quienes
tienen un interés creado, comprendan la base sobre la cual se toman
decisiones y por qué se requieren acciones particulares.

Partes Interesadas
• Individuos dentro de la Organización (Empleados, Visitantes, Contratistas).

• Quienes tomen decisiones.
• Sindicato.
• Instituciones financieras.
• Compañías de seguros.
• Clientes.
• Sociedad en general.

Documentar
 Cada etapa del Proceso de Gestión del Riesgo se debe documentar.
 La documentación debe incluir los métodos, fuentes de datos y

resultados.

 6. Modelo de Madurez en la Gestión del Riesgo

Modelo de Madurez en la Gestión del Riesgo
Construya a partir de lo que la Organización ya tiene
Para la mayoría de las organizaciones la buena noticia es que probablemente

ya tienen en funcionamiento muchos de los elementos de la administración de
la empresa inteligente frente al riesgo. El camino a seguir debe ser mucho más
un asunto de construir en lo que actualmente existe que iniciar a partir de cero.
Por esta razón, es importante que las organizaciones hagan un inventario de

sus capacidades de administración del riesgo, antes de hacer cambios o
inversiones importantes en administración del riesgo.

Cuando se realice tal valoración, es vital entender no solo dónde actualmente

se encuentra la empresa, sino a dónde quiere y necesita ir a partir de la
perspectiva de la administración del riesgo – lo cual, puede no siempre estar en
lo alto de la pila. Las diferentes áreas de riesgo difieren en importancia de
industria a industria, e incluso de compañía a compañía dentro de la misma
industria.
Por consiguiente, para la administración del riesgo no siempre es necesario

mantener capacidades de primera categoría con relación a cada aspecto
posible de riesgo. El desafío es entender exactamente en cuales áreas
“suficiente bueno” realmente es suficientemente bueno – y en cuáles áreas la
empresa realmente necesita capacidades de primera categoría para satisfacer
las expectativas que sobre la administración del riesgo tienen los stakeholders.

Una forma de entender mejor tanto dónde está la Organización y dónde “debe”
estar, es evaluar las capacidades de administración del riesgo contra un
modelo de madurez. Para los líderes del proceso, la valoración contra tal
modelo puede ser una forma útil para enmarcar la discusión de qué tipos de
iniciativas buscar en las diversas áreas de riesgo, así como qué tantos de los
recursos limitados de la organización invertir en cada iniciativa.





Nueve principios fundamentales de un programa de Inteligencia frente al

riesgo
1. En la empresa inteligente frente al riesgo, una definición común de riesgo,

que aborda tanto la preservación de valor como la creación de valor, es usada
consistentemente a través de toda la organización.
Risk Intelligent enterprise management – Running the Risk Intelligent Enterprise, publicado por Deloitte Development LLC – 2010


riesgo
2. En la empresa inteligente frente al riesgo, una estructura común del riesgo

respaldada por estándares apropiados, es usada a través de toda la
organización para administrar los riesgos.


riesgo
3. En la empresa inteligente frente al riesgo, los roles clave, las

responsabilidades y la autoridad. relacionados con la administración del riesgo,
están claramente definidos y delineados dentro de la organización.


riesgo
4. En la empresa inteligente frente al riesgo, una infraestructura común de

administración del riesgo es usada para respaldar las unidades y funciones de
negocio en el desempeño de sus responsabilidades frente al riesgo.


riesgo
5. En la empresa inteligente frente al riesgo, los cuerpos de gobierno (e.g.,

Juntas, Comités de Auditoría, etc.) tienen la transparencia y visibilidad
apropiadas en las prácticas de administración del riesgo de la organización a
fin de descargar sus responsabilidades.


riesgo
6. En la empresa inteligente frente al riesgo, la administración ejecutiva tiene a

su cargo la responsabilidad principal por diseñar, implementar, y mantener un
programa efectivo frente al riesgo.


riesgo
7. En la empresa inteligente frente al riesgo, las unidades de negocio

(departamentos, agencias, etc.) son responsables por el desempeño de sus
negocios y por la administración de los riesgos que asumen dentro de la
estructura de riesgo establecida por la administración ejecutiva.


riesgo
8. En la empresa inteligente frente al riesgo, ciertas funciones (e.g., Recursos

humanos, finanzas, tecnología de la información, impuestos, legal, etc.) tienen
un impacto generalizado en los negocios y proporcionan soporte a las
unidades de negocio en lo que se relaciona con el programa de riesgo de la
organización.


riesgo
9. En la empresa inteligente frente al riesgo, ciertas funciones (e.g., auditoría

interna, administración del riesgo, cumplimiento, etc.) proporcionan
aseguramiento objetivo, e igualmente monitorean y reportan, a los cuerpos de
gobierno y a la administración ejecutiva, sobre la efectividad del programa de
riesgo de la organización.


 7. Beneficios de la Gestión del Riesgo


A Nivel Corporativo
 Se define una estructura de riesgos corporativa que soporta toda la
gestión de una manera adecuada.
 Facilita el acercamiento de la Junta Directiva y la Alta Dirección a la

estrategia de negocio y sus impedimentos.
 Facilita un involucramiento de las personas en la administración y

evaluación del riesgo en toda la Organización.
 Los Responsables de la administración del riesgo son plenamente

identificados.


A Nivel Corporativo
 El Lenguaje y el enfoque son comunes con respecto al riesgo.
 Se da Tratamiento y Optimización del riesgo en procesos críticos.


A Nivel Estratégico
 Se identifican los impedimentos (Peligros) que no le permiten a la
compañía alcanzar sus objetivos del negocio clasificados según su
impacto en la Organización y su probabilidad de ocurrencia
(Riesgo).
 Se evalúan las acciones que a nivel estratégico está tomando la

Gerencia para mitigar esos riesgos.
 Se define el mapa de Riesgos estratégicos del negocio.
 Se desarrolla a nivel Gerencial el Concepto de visión sistémica.


A Nivel de Procesos
 Se identifica y se discute para la Organización su Cadena de Valor

y su ciclo de negocio. (Herramientas para el Direccionamiento
Estratégico de la Compañía).
 Se identifican de manera concertada a nivel Gerencial los procesos

primarios del negocio y sus actividades de apoyo, como
herramienta estratégica para la Organización.


A Nivel de Procesos
 A partir del ciclo del negocio y del análisis financiero que hace la
Organización, se comienzan a identificar los procesos críticos
(Administrativos, productivos, comerciales, etc.).
 Se cuenta con los procesos críticos del negocio identificados.
 Se identifican todos los posibles riesgos (debilidades, problemas,

amenazas, obstáculos), con los cuales cuentan los procesos
críticos y que le impiden cumplir con su finalidad.


A Nivel de Procesos
 Se identifican todos los posibles peligros con los cuales cuentan los
procesos críticos y que le impiden cumplir con su finalidad.
 Se define una matriz y un mapa de riesgos de cada proceso crítico,

como herramienta fundamental para:
 Adelantar los nuevos procesos de auditoria del negocio

 Adelantar los programas y proyectos de mejora en esos
procesos críticos, buscando generar un impacto positivo en la
rentabilidad del negocio.


A Nivel de Procesos
 Se están implementando de manera simple los criterios iniciales de

autocontrol.
 Se puede comenzar un proceso de Gerencia con Base en la

Administración de Riesgos Corporativos.

 8. Conclusiones

Conclusiones
1. La adecuada implantación de la Gestión Integral de Riesgos depende,

principalmente de la Alta Dirección. Sin embargo, todo el personal tiene
responsabilidad en su ejecución, sin importar el nivel del cargo que una
persona en particular ocupe dentro de la Organización.
2. Las mejores prácticas indican que la aplicación de la Gestión Integral de

riesgos es fundamental para el éxito de toda Organización y el cumplimiento de
sus objetivos y metas.

Conclusiones
3. Las Organizaciones deben desarrollar una estrategia de adecuación de

Perfiles y Responsabilidades de su personal en torno a la gestión de los riesgos
a todo nivel.
4. La gestión integral del riesgo debe estar centrada en un proceso de creación

de cultura organizacional cuyo objetivo sea el lograr que cada empleado
administre el riesgo inherente a sus actividades.

Conclusiones
5. Aunque ninguna organización está inmune ante los eventos generadores de

riesgo, aquellas que cuentan con una efectiva gestión pueden detectar los
riesgos potenciales más oportunamente y pueden establecer estrategias que
mitiguen el impacto que estos generen.
6. La administración de la empresa inteligente frente al riesgo se refiere a la

toma de decisiones estratégicas y del día a día a través de toda la empresa,
haciéndolo con plena conciencia de los riesgos y oportunidades concomitantes.

Conclusiones
7. Un enfoque sistemático para identificar, valorar y planear los riesgos es

esencial, así como un proceso bien definido para hacer disponible a los
tomadores de decisión, en cada nivel organizacional, la información clave sobre
el riesgo.
8. La administración del riesgo es hoy un concepto más amplio que como lo fue
hace años, cuando las personas de negocios la percibieron principalmente
como asegurar los activos contra pérdida o daño. Los líderes tienen que
reconocer que la búsqueda de valor inevitablemente significa exposición frente
al riesgo – y que por lo tanto tienen que asumir la responsabilidad por abordar
el riesgo en cada decisión que toman.

 9. Bibliografía – Páginas WEB

Bibliografía
• COMITÉ DE SUPERVISIÓN BANCARIA DE BASILEA II (2005):

Basel II: International Convergence of Capital Measurement and
Capital Standards: A Revised Framework, Basel Committee on
Banking Supervision, Basilea.
• COSO II (2004): Enterprise Risk Management. Integrated
Framework, COSO.
• COSO II (2004): Gestión de Riesgos Corporativos- Marco
Integrado: Técnicas de Aplicación, Committee of Sponsoring
Organizations of Treadway Commission, Septiembre.
• ESCORIAL BONET, A. (2010): ISO 31000:2009 – La gestión de
riesgos como componente integral de la gestión empresarial.
• HAMPTON, J. J. (2009): Fundamentals of Enterprise Risk
Management, AMACOM, Litchfi eld, Connecticut, USA.
Bibliografía
• IEC/ISO 31010: 2009, Risk Management-Risk Assessment

Techniques.
• INFORME UNE-ISO GUÍA 73 IN (2009): Gestión del riesgo.
Vocabulario. Traducido por AENOR
(Asociación Española de Normalización y Certificación).
• INTERNATIONAL STANDARD ISO/FDIS 31000:2009 (E). Risk
Management. Principles and guidelines.
• ISO GUIDE 73:2009 (E). Risk Management. Vocabulary.
• ISO 31000:2009, de Gestión de Riesgos - Principios y
Directrices.
• ISO/CEI 73:2002: Risk management – Vocabulary – Guidelines
for use in standards.

Páginas WEB
• AENOR
http://www.aenor.es
• AGERS
http://www.agers.es
• CEIOPS
http://www.ceiops.org
• FERMA
http://www.ferma.eu
• FUNDACIÓN MAPFRE
http://www.fundacionmapfre.com/cienciasdelseguro
• CEA
http://www.icea.es

Páginas WEB
• ISO
http://www.iso.org
• KPMG
http://www.kpmg.com
• PRICEWATERHOUSECOOPERS
http://www.pwc.com
• TIEMS
http://www.tiems.org
• DELOITTE
www.deloitte.com/RiskIntelligence

MUCHAS GRACIAS !!!

JOSE DAVID CUARTAS A.

davidcuartas@gmail.com
Cel: 310 3741082

Gestion Del Riesgo PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Gestion Del Riesgo PDF

Cargado por

Copyright:

Formatos disponibles

DISEÑO, IMPLEMENTACIÓN, SEGUIMIENTO Y

MEJORAMIENTO DEL SISTEMA DE GESTIÓN

UNIVERSIDAD SERGIO ARBOLEDA

15/11/2012 JOSE DAVID CUARTAS A. 1

Proceso para la Gestión del Riesgo

15/11/2012 JOSE DAVID CUARTAS A. 5

Entre las formas de protección del riesgo está la acción colectiva, la

15/11/2012 JOSE DAVID CUARTAS A. 6

Es “el efecto de la incertidumbre en la consecución de los objetivos”

• 1. Incertidumbre (puede que nunca ocurra).

• 2. El riesgo importa y debe gestionarse porque tiene un efecto (positivo y

• 3. Ese efecto es sobre los objetivos fijados.

15/11/2012 JOSE DAVID CUARTAS A. 7

Es “la proximidad voluntaria o inconsciente a una situación de peligro”. Es la

Es la “combinación de la probabilidad y consecuencia de un evento”.

15/11/2012 JOSE DAVID CUARTAS A. 8

¿Por qué no se gestionan los riesgos en las Organizaciones?

15/11/2012 JOSE DAVID CUARTAS A. 9

Para entender, analizar, valorizar, gerenciar y decidir sobre la manera como

En el corto plazo mantener la estabilidad financiera de la empresa protegiendo

15/11/2012 JOSE DAVID CUARTAS A. 10

15/11/2012 JOSE DAVID CUARTAS A. 11

Tesorero Condiciones económicas Fusiones & Adquisiciones

Responsabilidad Contractual Sistemas de Información

Diferentes tipos de Gestión de Riesgos en las Organizaciones

15/11/2012 JOSE DAVID CUARTAS A. 13

4.2 Mandato y compromiso

“La introducción de la gestión del riesgo y el aseguramiento de su eficacia

15/11/2012 JOSE DAVID CUARTAS A. 14

Tiene responsabilidad dentro del Buen Gobierno de buscar el logro de los

Debe demostrar la debida diligencia.

Debe propender por invertir los recursos en forma ordenada.

Debe conocer los riesgos a que está expuesta (incluso hoy).

Esto se traduce en : mensajes claros, coherentes y continuos a toda la

15/11/2012 JOSE DAVID CUARTAS A. 15

15/11/2012 JOSE DAVID CUARTAS A. 16

Gestión Integral del Riesgo

15/11/2012 JOSE DAVID CUARTAS A. 18

Gestión del Riesgo como actividad de un Proceso

•Liderado por un Proceso

15/11/2012 JOSE DAVID CUARTAS A. 19

Estándares, Marcos de Referencia y Guías

15/11/2012 JOSE DAVID CUARTAS A. 21

15/11/2012 JOSE DAVID CUARTAS A. 22

ADMINISTRACIÓN DE RIESGO EMPRESARIAL o E.R.M.®

Enterprise Risk Management.

-“Es un proceso efectuado por la Junta de Directores, la administración y otro

15/11/2012 JOSE DAVID CUARTAS A. 23

Esta definición refleja ciertos conceptos fundamentales:

1. Un proceso, es un medio para un fin, no un fin en si mismo.

15/11/2012 JOSE DAVID CUARTAS A. 24

15/11/2012 JOSE DAVID CUARTAS A. 25

Mirar más allá de la Probabilidad

JOSE DAVID CUARTAS A. 26

Relacionar probabilidad con vulnerabilidad e interacción de riesgos.

• Si un riesgo es relevante y tiene alto impacto, debe ser considerado, aunque

• Utilizar planeación de escenarios para evaluar eventos de impacto alto / baja

No olvidad las interdependencias.

JOSE DAVID CUARTAS A. 27

15/11/2012 JOSE DAVID CUARTAS A. 29

RIESGO AMENAZA PELIGRO

EMERGENCIA SINIESTRO RESTITUCIÓN

Es “la proximidad voluntaria o inconsciente a una situación de peligro”. Es la