RIESGO

ENFOQUE COSO
 Definiendo “Riesgo”
ENFOQUE ANTIGUO:
“Contingencia o proximidad de un daño” /
“Estar una cosa expuesta a perderse”

NUEVO ENFOQUE:
“Es la contingencia de que suceda algo que
tendrá un impacto en los objetivos.”
 RIESGO
• Riesgo del árabe clásico podría traducirse como “lo que depara la
providencia”. El término hace referencia a la proximidad o
contingencia de un posible daño.
• La noción de Riesgo suele utilizarse como sinónimo de peligro.
Sin embargo el riesgo está vinculado a la vulnerabilidad,
mientras que el peligro aparece asociado a la factibilidad del
perjuicio o daño.
• Es posible distinguir, por lo tanto, entre:
 Riesgo: la posibilidad de daño
 Peligro: la probabilidad de accidente o patología
 En otras palabras, el peligro es una causa del riesgo.
 RIESGO
• El RIESGO se puede definir como cualquier
evento que impida el cumplimiento de un
objetivo y que tiene un impacto negativo

• El RIESGO también se puede definir como la

combinación de la probabilidad de que se
produzca un evento y sus consecuencias
negativas (Impacto), y los factores que lo
componen son la amenaza y la vulnerabilidad.

RIESGO = AMENAZA x VULNERABILIDAD

 RIESGO
También se dice que el Riesgo siempre implica
dos Características:

– Incertidumbre, el acontecimiento que

caracteriza al riesgo puede o no ocurrir.
– Pérdida, si el riesgo se convierte en una
realidad, ocurrirán consecuencias no
deseadas o pérdidas .
 RIESGO
Sin embargo los riesgos pueden reducirse o
manejarse.
Si somos cuidadosos en nuestra relación con
el ambiente, y si estamos conscientes de
nuestras debilidades y vulnerabilidades frente
a las amenazas existentes, podemos tomar
medidas para asegurarnos de que las
amenazas no se conviertan en desastres, es
decir establecer Controles para mitigar o
minimizar los Riesgos.
 Algunos ejemplos de Riesgos
• Fallar en cumplir con los objetivos y metas de la organización.

• Fallas en la salvaguarda o protección de los activos.

• Insatisfacción del cliente.

• Daño a la reputación y/o imagen de la organización.
• Implementar inadecuadas políticas, normas y procedimientos
organizacionales no alineados con los objetivos.
• Incumplimiento de legislación aplicable.
• Utilización de recursos en forma ineficaz o ineficiente.
• Pérdida de personal clave.
• Fraudes perpetrados por el personal de la organización.
• Hurto.
• Incendio, etc.
 Ya dijimos…..
• El Control no elimina los riesgos que pueden
afectar a una organización, sólo los Mitiga,
reduce o minimiza.

• Un Control para que sea efectivo debe

establecer:
•¿Quién lo hace?
•¿Cómo lo hace?
•¿Cuándo lo hace?
•¿Qué hace?
 Objetivos Estratégicos
LOGRO DE LOS OBJETIVOS ESTRATEGICOS

PROCESOS

SUBPROCESOS

ETAPAS Identificar Riesgos

y Minimizarlos
a través de los
ACTIVIDADES Controles
 Actividad Objetivo
Para que se hace
relevante

Riesgos
Asociados
Probabilidad Eventos que impedirán
De ocurrencia del evento el logro de la Actividad

CONTROLES

Tablas
De
Valoración Impacto
Que provocaría si
riesgo se materializa
 Descripción Riesgos
del Riesgo

Fuente del Riesgo Tipo de Riesgo

Imagen Procesos
Interno Externo
Legal Medio-Ambiental

Personas Sociales
Sistemas Tecnológicos

Probabilidad Impacto
Severidad del Riesgo
del Riesgo del Riesgo

Casi Certeza Probable Catastróficos Mayores Extremo Alto

Moderados Menores
Moderado Improbable Moderado Bajo

Muy Improbable Insignificantes

 Nivel de Eficiencia del Control
Permanente

Periodicidad

Nivel de Efectividad del Control

Periódico
del Control
Ocasional

Descripción
Preventivo
del Control
(como una Acción) Oportunidad
Correctivo
del Control
Detectivo

Automática
(Informatizada)

Automatización
del Control Semi-Automática

Manual
 Análisis del Riesgo

Severidad
del Probabilidad Impacto
Riesgo

Grado en que se Cantidad de veces que Efecto

manifiesta el Riesgo puede ocurrir un suceso
 Riesgo Residual

Riesgo Control Riesgo

Residual

Disminuye o mitiga el Riesgo

 Ejemplos de Tipificación de Riesgos
Tipos de Riesgos Elementos que los caracterizan
Se relacionan con el uso no
Financieros adecuado de los recursos
entregado.
Se relacionan con elementos
Económicos financieros, comerciales y
y presupuestarios.
Financieros Se relacionan con el uso no
adecuado de los recursos
Ejemplos de riesgos específicos
Mal uso de los recursos
Desviación de recursos
Entrega de recursos a no beneficiarios
Uso de recursos con fines distintos a los
aprobados
Falta de disponibilidad presupuestaria -
Endeudamiento
Modificaciones presupuestarias por deficiente
ejecución
Errores en el servicio de la deuda
Servicio de la deuda muy alto
Exceso de compromisos de la empresa que
afecten su presupuesto
Malas inversiones en mercado de capitales
Deficiencias en la ejecución presupuestaria de la
empresa
Falta de recursos y de oportunidad en los
mismos.
Mal uso de los recursos
Desviación de recursos
Uso de recursos con fines distintos a los
aprobados
 Ejemplos de Tipificación de Riesgos
Tipos de Riesgos Elementos que los caracterizan
Se relacionan con elementos
de comunidad social,
Sociales cultural, demográfica,
comportamientos
sociales.
Acerca de las tecnologías de
la información como
concepto y los cambios
Tecnológicos
que producen a nivel
global en el sector o el
Servicio
Ejemplos de riesgos específicos
Deficiente comportamiento de usuarios (bajo
compromiso, bajo cumplimiento, etc.)
Problemas con los datos personales y privados
de los clientes o proveedores
Falta de responsabilidad social de la empresa o
excesivamente gravosa
Cambios culturales en los usuarios del Servicio
(bajo interés, dificultades para aplicar
políticas, etc.)
Interrupción de servicios
Complejidades del Comercio Electrónico
gravosas para el servicio
Complejidades y requisitos del Gobierno
Electrónico
Falta de confiabilidad de los datos externos
Desactualización de datos debido a tecnologías
emergentes
Falta de poder adquisitivo de la empresa frente a
las nuevas tecnologías.
 Ejemplos de Tipificación de Riesgos
Tipos de Riesgos Elementos que los caracterizan
Aspectos claves para el
desarrollo del Servicio,
que se relaciona con
Estratégicos
decisiones superiores y
política de Gobierno
Corporativo.
Aspectos que afectan la
calidad del
Medio ambiental medioambiente, sean
ocasionados por el
hombre o la naturaleza
Elementos que se
relacionan con los
distintos aspectos de
los procesos que
Procesos desarrolla el Servicio;
como el diseño, la
ejecución, la
supervisión y los
clientes
Ejemplos de riesgos específicos
Falta de planificación en los Cambios de
Dirección (Gerencia)
Deficiencias en el conocimiento, comprensión y
aplicación de las políticas por parte de la
empresa.
Nuevas regulaciones y tarifas dificultan el
quehacer de la empresa o lo hacen más
gravoso
Falta de cumplimiento normativo en las
emisiones y residuos
Dificultades con el uso de la energía
Situaciones producidas por catástrofes naturales
Falta de garantías de desarrollo sustentable
Malas decisiones de impacto medioambiental
Deficiencias en el diseño del proceso
Ejecución errónea o inoportuna de los procesos
Falta de supervisión
Falta de responsables de ejecutar la supervisión
y monitoreo
Falta de medidas adoptadas ante la supervisión,
o se adoptan medidas que no son adecuadas
Falta de cumplimiento o Deficiencias en el mismo
por parte de los clientes
 Ejemplos de Tipificación de Riesgos

Tipos de Riesgos Elementos que los caracterizan Ejemplos de riesgos específicos

Falta de actualización por Cambios en la

Aspectos de cumplimiento y de legislación

conformidad del actuar Aumento de los requerimientos por cambio de

Legal con la normativa general y legislación
específica aplicable a la Falta de cumplimiento de normas por
empresa. deficiencias en las mismas (normas oscuras
o contradictorias, vacíos legales)

Falta de capacidad del personal

Personal sin capacitación

Aspectos relacionados al
Actividad fraudulenta del personal
personal, desde su ingreso
Personas
hasta su egreso del Deficiencias en la seguridad e higiene y en el
mismo. ambiente de trabajo de la empresa

Deficiencias en el cumplimiento de normas de

personal (dotación, escalafón, etc.)
 Ejemplos de Tipificación de Riesgos
Tipos de Riesgos Elementos que los caracterizan
Aspectos relacionados con el
perfil y la reputación
Imagen social, Percepción de la
comunidad del actuar de
la Empresa.
Relacionado con los
sistemas de información,
Sistemas las tecnologías que
posee y los datos que
maneja.
Ejemplos de riesgos específicos
Escándalos
Corrupción
Incumplimiento de las funciones
Disconformidad de los usuarios
Mal uso de recursos
Falta de integridad y confiabilidad de
datos
Falta de disponibilidad de datos y
sistemas
Deficiencias en la selección de sistemas
Deficiencias en el desarrollo y despliegue
de los sistemas
Deficiencias en el mantenimiento
Falta de interoperabilidad de los sistemas
Enfoque COSO
El 29 se septiembre del 2004 se lanzó el Marco de Control denominado COSO II que según su
propio texto no contradice al COSO I, siendo ambos marcos conceptualmente compatibles. Sin
embargo, este marco se enfoca a la gestión de los riesgos (más allá de la intención de reducir
riesgos que se plantea en COSO I) mediante técnicas como la administración de un portafolio
de riesgos.
A eso llamaremos “Gestión de Riesgo”
¿Qué es la Gestión Integral de Riesgos?
Es una metodología consistente en:
• IDENTIFICAR todos los riesgos estratégicamente
relevantes.
• ANALIZAR cada uno en función de su impacto y
probabilidad de ocurrencia (Ranking de Riesgo).
• EVALUAR la efectividad de controles existentes y
potenciales para mitigar su impacto.
• DECIDIR el tratamiento de los “riesgos residuales”
 Proceso Gestión de Riesgo

La Gestión de Riesgos es un proceso estructurado, (programa de

trabajo) consistente y continuo, implementado a través de toda
la organización para identificar, evaluar, medir y reportar
amenazas y oportunidades que impidan poder alcanzar los
objetivos de ésta, para disminuir la vulnerabilidad y promover
acciones de conservación, desarrollo, mitigación y prevención
frente a desastres (naturales o “humanos”)
Es la prevención y mitigación de los riesgos:
• Nos permite prevenir desastres
• Si sucede un desastre, que no nos perjudique tanto como
podría. => Reducir los daños que causa.

Todos en la organización juegan un rol para el éxito de la Gestión

de Riesgos, pero la responsabilidad principal recae sobre la
Dirección.
 La Gestión de Riesgos

• Hablar de Gestión de Riesgo significa desarrollar una serie

de medidas que permitan conocer y dimensionar todos los
elementos relacionados con los riesgos para poder
hacerles frente, estableciendo controles para hacerlos
decrecer o minimizarlos ya que los riesgos no pueden ser
eliminados.
• Muchos autores han establecido parámetros, métodos y fases
de trabajo para tratar la Gestión de Riesgo con el objetivo de
definir un modelo válido que permita a una organización a
prepararse y convivir con el riesgo. Ello depende en gran
medida de los recursos económicos y humanos, el tamaño de
la organización, el medio natural, la cultura, la economía, etc.
en la cual la organización se encuentra.
 La Gestión de Riesgos
¿Qué es la mitigación? Son medidas para reducir la
vulnerabilidad frente a ciertas amenazas.
La prevención y mitigación comienzan por:
• Conocer cuáles son las amenazas y riesgos a los
que estamos expuestos.
• Reunirnos para hacer planes para reducir esas
amenazas y riesgos o evitar que nos hagan daño.
• Realizar lo que planeamos para reducir la
vulnerabilidad. No es suficiente hablar sobre el
asunto, hay que tomar acciones.
 Proceso Gestión de Riesgo

• La Dirección de la empresa cuenta con herramientas para la

Gestión de Riesgos y el Control Interno.

• La primera como un proceso para identificar, evaluar,

manejar y controlar acontecimientos o situaciones
potenciales, con el fin de proporcionar un aseguramiento
razonable respecto del alcance de los objetivos de la
organización;

• y la segunda, entendido como un sistema de acciones y

medidas que asumidas por quienes toman las decisiones para
gestionar los riesgos y aumentar la probabilidad de alcanzar
los objetivos y metas establecidas.
 Proceso Gestión de Riesgo
Elementos importantes:
• La Gestión de Riesgos es un proceso iterativo que debe contribuir a la
mejora organizacional a través del perfeccionamiento de los
procesos.
• Puede ser aplicada a todos los niveles de una organización, es decir,
en los niveles estratégicos, tácticos y operacionales.
• También puede ser aplicada a proyectos específicos, para sustentar
decisiones puntuales o para administrar áreas específicas de riesgo.
• Para cada fase del Proceso de Gestión de Riesgos deberían
mantenerse registros adecuados, suficientes como para satisfacer a
una auditoría interna, externa o certificación independiente.
• No sólo considera la identificación y tratamiento de riesgos, sino que
también las oportunidades que contribuyan al logro de los objetivos.
• La aplicación del marco teórico del Proceso de Gestión de Riesgos
siempre debe adecuarse a la entidad y al sector que ésta pertenece
 Beneficios Potenciales de la Aplicación
de la Gestión de Riesgos
• Mejora las posibilidades de alcanzar los objetivos en la organización.
• Incrementa el entendimiento de riesgos claves y sus implicaciones
en la organización.
• Se identifica y comparte la responsabilidad de la administración de
los riesgos del negocio.
• Genera y fortalece el enfoque en asuntos que realmente importan a
la organización.
• Contribuye a disminuir las sorpresas y crisis en la organización.
• Incrementa la posibilidad de que cambios e iniciativas de proyectos
puedan ser logrados en mejor forma.
• Mejora las capacidades de tomar mayor riesgo por mayores
recompensas sociales y económicas.
• Genera mayor información y con más transparencia sobre los
riesgos identificados, tomados y las decisiones realizadas.
 Proceso Gestión de Riesgo

• La Gestión de Riesgos debe considerar el Riesgo Aceptado

por la Organización o Empresa, (cantidad de riesgo, a nivel
global, que la administración está dispuesta a aceptar para
dar cumplimiento a su misión institucional, objetivos
estratégicos y entregar un producto o servicio de calidad).

• Otro concepto importante es la Tolerancia al Riesgo que

es el nivel aceptable de la variación alrededor del logro de
un objetivo de negocio específico. Este considera cuánta
variación puede aceptarse en el cumplimiento de los
objetivos.
 Proceso Gestión de Riesgo
Para que la gestión del riesgo sea eficaz, una entidad deben cumplir con los siguientes
principios:

a) La Gestión de Riesgos (GR) crea valor, ya que contribuye a la consecución de los

objetivos y mejora demostrable del desempeño (mejora la seguridad, cumplimiento
normativo, aceptación del público, protección del medio ambiente, calidad del
producto, gestión de proyectos, eficiencia en operaciones, la Gobernanza y la
reputación).

b) La GR es una parte integral de todos los procesos de organización. No es una

actividad independiente, separada de las principales actividades y procesos de la
organización, sino que forma parte de las responsabilidades de gestión en todos los
procesos de la organización.

c) La GR es parte de la toma de decisiones, y ayuda a su adopción informada, a

priorizar las acciones y distinguir entre los cursos alternativos de acción.

d) La GR considera la incertidumbre, su naturaleza, y cómo dirigirla.

e) La GR tiene un enfoque sistemático, oportuno y estructurado que contribuye a la

eficiencia y resultados consistentes, comparables y confiables.
 Proceso Gestión de Riesgo
Para que la gestión del riesgo sea eficaz, una entidad deben cumplir con los siguientes principios.
(continuación)

f) La GR se basa en la mejor información disponible, como los datos históricos,

experiencia, las opiniones de los interesados, observaciones, predicciones y
opinión de expertos.
g) La GR se alinea con el contexto externo e interno de la entidad y perfil de riesgo.

h) La GR debe considerar factores humanos y culturales, reconociendo las capacidades,

percepciones e intenciones de las personas y situaciones que pueden facilitar o
dificultar el logro de los objetivos de la organización.
i) La GR debe ser transparente e inclusiva. La adecuada y oportuna participación de los
interesados y, en particular de los decisores en todos los niveles de la organización,
asegura que la gestión de los riesgos sigue siendo pertinente y actualizada y que
las partes interesadas estén representadas y sus opiniones sean consideradas para
determinar los criterios de riesgo.
j) La GR es dinámica, interactiva y da respuesta al cambio, ya que debe ser flexible para
adaptarse a los diversos escenarios.
k) La GR facilita la mejora continua de la organización, ya que ésta debe desarrollar e
implementar estrategias para mejorar la madurez de su gestión de riesgos, junto
con todos los demás aspectos de su organización.
Elementos del Marco de Gestión de Riesgos e Interrelaciones
 Fases Genéricas en el Proceso de Gestión de Riesgos
Existen una serie de modelos para la Gestión de Riesgos de mayor o
menor difusión, se puede establecer un modelo genérico, que recoge en
su mayor parte la Norma ISO 31.000.

Las Fases en que se puede desagregar el modelo genérico de

Gestión de Riesgos son:

• Establecimiento del Contexto

• Identificación de Riesgos y Oportunidades
• Análisis de Riesgos
• Evaluación de Riesgos
• Tratamiento de Riesgos
• Monitoreo y Revisión
• Comunicación y Consulta
Esquema representativo del Proceso de Gestión de Riesgos - ISO 31.000
Establecer el Contexto
• Definir las relaciones entre la organización y su
entorno, identificando Fortalezas, Oportunidades,
Debilidades y Amenazas. FODA
• Establecer los contextos organizacionales,
estratégicos y de gestión, en los cuales tendrá
lugar el Proceso de Gestión de Riesgos.
• El Contexto incluye los aspectos: Financieros,
Operativos, competitivos, políticos (percepciones
públicas / imagen), sociales, de clientes, culturales
y legales de las funciones de la organización.

Deben establecerse los criterios contra los cuales se

evaluarán los riesgos y definirse la estructura de
análisis, los roles y responsabilidades.
Identificar los Riesgos y Oportunidades

• Se deben Identificar los Riesgos que podrían

impedir, degradar o demorar el cumplimiento
de los objetivos estratégicos y operativos de la
organización, así como las oportunidades que
puedan contribuir al logro de los referidos
objetivos.
• Es crítica una identificación amplia utilizando
un proceso sistemático y bien estructurado,
porque los riesgos potenciales que no se
identifican es esta etapa son excluidos de un
análisis posterior.
• La Identificación debería incluir TODOS los
Riesgos, estén o no bajo el control de la
organización.
Análisis de los Riesgos

• Identificar riesgos menores de los

riesgos significativos y proveer datos
para su evaluación y tratamiento.
• El análisis debe considerar el rango de
consecuencias potenciales y
probabilidad que los riesgos puedan
ocurrir, es decir, prestar atención a las
Fuentes del Riesgo, sus consecuencias y
probabilidades de que éstos puedan
materializarse.
• Identificar, Determinar y Analizar los
controles mitigantes existentes en la
empresa: Administración, sistemas técnicos
y procedimientos actuales para controlar los
riesgos y evaluar sus fortalezas y
debilidades.
Evaluación de Riesgos
• Involucra comparar el nivel de riesgos
encontrados o detectados durante el proceso
de análisis contra los criterios de riesgos
preestablecidos, considerando el balance
entre beneficios potenciales y resultados
adversos. Ordenar y priorizar mediante un
ranking los riesgos analizados.
• Podremos obtener resultados cualitativos de
riesgos o tipos numéricos, como valor de
fatalidad, frecuencia o monetario.
• Se deben considerar los objetivos de la
organización y el grado de oportunidad del
riesgo.
• Finamente, de acuerdo a la magnitud del
riego (bajo, tolerable, alto), se determina su
monitoreo y urgencia.
Tratamiento de Riesgos
• De acuerdo al ranking de riesgos y al nivel de
riesgo preestablecido por la organización,
corresponde definir su tratamiento y/o
monitoreo, desarrollando e implementando
estrategias y planes de acción específicos, que
mantengan el riesgo dentro de los niveles
aceptados por la organización.
• Identificar el rango de opciones para tratar
los riesgos, evaluar opciones, preparar planes
para el tratamiento de los riesgos e
implementarlos.

• El Tratamiento de Riesgo implica:

 Evitar los riesgos

 Reducir la probabilidad de ocurrencia
 Reducir sus consecuencias
 Transferir los riesgos
 Diversificar y Retener los riesgos.
Monitoreo y Revisión
• Es necesario definir y utilizar mecanismos
para monitorear los riesgos, la efectividad
del plan de tratamiento de riesgos, las
estrategias y el sistema de administración
que se establece para controlar la
implementación y dar cuenta de la
evolución de éstos, sobretodo de los
procesos críticos.
• Asegurarse que las circunstancias
cambiantes no alteren las prioridades de los
riesgos (pocos riesgos permanecen
estáticos).
• Es fundamental la revisión “sobre la
marcha” ya que pueden cambiar factores
que afecten la probabilidad y consecuencia
del resultado del riesgo, como también los
factores que afecten la conveniencia o
costos de las distintas opciones de
tratamiento.
Comunicación y Consulta
• Definir y utilizar mecanismos para
comunicar y consultar con los interesados
internos y externos, según resulte
apropiado en cada etapa del Proceso de
Gestión de Riesgos. Dichos mecanismos
deben permitir a la Administración tomar
decisiones en forma oportuna respecto
de los riesgos con mayores desviaciones
en relación a los niveles aceptados.
• Involucra un diálogo con esfuerzo
focalizado en la consulta más que un flujo
de información en un solo sentido del
tomador de decisiones hacia los
interesados.
• Es base para la toma de decisiones y las
acciones que se deben realizar.
• Las percepciones de riesgos pueden variar
y para ello deben ser comunicados e
informados.
Documentación del Riesgo
Se deben documentar los riesgos para proveer:
• Evidencia de un enfoque sistemático de identificación
y análisis de riesgos.
• A los tomadores de decisiones de un plan de
administración de riesgos para su aprobación e
implementación.
• De un mecanismo de responsabilidad.
• De pistas y evidencias de Auditoría.
• Y demostrar que el proceso es conducido en forma
adecuada.
 Resumen del Proceso de Gestión de Riesgos
Proceso de Gestión de Riesgos
La Gestión de Riesgos es un proceso estructurado,
consistente y continuo implementado en toda la organización
para identificar, evaluar, medir y reportar amenazas y
oportunidades que afectan el logro de sus objetivos. Este
proceso considera la participación de todos los miembros de
la organización en el aseguramiento de sus riesgos,
recayendo sobre las jefaturas de Servicio la responsabilidad
principal del mismo.

Fases: El Proceso de Gestión de Riesgos se compone de

siete fases:
• Fase de Establecimiento del Contexto
• Fase de Identificación de los Riesgos y Oportunidades
• Fase de Análisis de los Riesgos
• Fase de Evaluación de los Riesgos
• Fase Plan de Tratamiento de Riesgos
• Fase de Seguimiento y Monitoreo
• Fase de Comunicación y Consulta
 Resumen del Proceso de Gestión de Riesgos
Fase de Establecimiento del Contexto
Determinar los contextos estratégicos, organizacionales y de gestión en los que tendrá lugar el Proceso de
Gestión de Riesgos. Para ello, deben establecerse los criterios de evaluación de riesgos y definirse la
estructura de análisis, roles y responsabilidades.
Fase de Identificación de los Riesgos y Oportunidades
Identificar los riesgos que podrían impedir, o retardar el cumplimiento de los objetivos estratégicos y
operativos de la organización, así como las oportunidades que puedan contribuir al logro de los mismos.
Fase de Análisis de los Riesgos
Desarrollar un análisis que debe considerar las probabilidades y consecuencias potenciales de la
materialización de los riesgos, para efecto de determinar el nivel de severidad del riesgo según la definición
de la organización. Adicionalmente, se deben identificar y analizar los controles mitigantes existentes.
Fase de Evaluación de los Riesgos
Comparar los niveles de riesgo detectados con los criterios de riesgo preestablecidos. Además, se deben
ordenar y priorizar, mediante un ranking, los riesgos analizados.
Fase Plan de Tratamiento de Riesgos
Definir el tratamiento y/o monitoreo, de los riesgos de acuerdo al ranking y al nivel de riesgo preestablecido
por la organización, desarrollando e implementando estrategias y planes de acción específicos que
mantengan el riesgo dentro de los niveles aceptados por la organización.
Fase de Seguimiento y Monitoreo
Definir y utilizar mecanismos para monitorear y revisar el desempeño del Proceso de Gestión de Riesgos,
dando cuenta de la evolución del nivel del riesgo en procesos críticos para la administración.
Fase de Comunicación y Consulta
Definir y utilizar mecanismos para comunicar y consultar a los interesados, internos y externos a la
organización, los resultados de cada etapa del Proceso de Gestión de Riesgos, con el objetivo de permitir
a las autoridades la adopción oportuna de decisiones respecto de los riesgos con mayores desviaciones en
relación a los niveles aceptados.
 Estrategias de Tratamiento de Riesgos
Opciones para tratar de evitar los riesgos:

• Transferencia: Conjunto de procedimientos cuyo objetivo es “evitar” el

riesgo transfiriéndolo de un lugar a otro. Consiste, por ejemplo, en vender
un activo dudoso, externalizar una operación, etc.

• Reducción: Reducir la probabilidad de ocurrencia de un riesgo, o bien

reducir sus consecuencias, o ambos. La probabilidad de ocurrencia puede
reducirse a través de controles de gestión, (efectuados en el lugar
apropiad), arreglos organizacionales, procedimientos para reducir la
frecuencia o la oportunidad de que ocurra un error.

• Elusión: existen dos opciones para intentar eludir un riesgo: no proceder

con la actividad que incorporaría el riesgo, o escoger medios alternativos
para la actividad, que logren el mismo resultado y no incorporen el riesgo
detectado. El problema de eludir riesgos es perder oportunidades de
negocio, y tener otros riesgos significativos no identificados inicialmente.

• Diversificación: consiste en intentar extender el riesgo de un área en

concreto, a diferentes secciones, con el fin de impedir la pérdida de todo
el negocio. Ejemplo: orientarse a nuevos mercados y proveedores,
diversificar la lista de productos y servicios, etc.
 Si Falla el Plan A - aplicar el Plan B
• Un Plan de Contingencia define los procedimientos y procesos
alternativos que se han de acometer en una organización cuando un
riesgo deja de serlo para convertirse en realidad, así como las personas
implicadas en dichos procedimientos. Se asume, por tanto, que han
fallado las estrategias de evitación y monitorización de los riesgos, y su
efectos ya son inevitables.
En tal caso se realiza una activación del Plan de Contingencia que debe
cubrir tres actividades principales:
– Coordinar el manejo de la crisis,
– Asegurar la utilización de procesos alternativos que permitan la continuidad
del negocio,
– y Resolver el incidente para restituir la normalidad en los procesos y
operaciones.

Recordar que tan complejo como el paso a la contingencia es la vuelta a la

normalidad, ya que durante el período transitorio se habrán realizado
operaciones que implican que la vuelta a la normalidad no deba realizarse
restituyendo las condiciones al punto en que se pasó a la contingencia, sino
que deberá actualizarse para reflejar los resultados de los procesos
alternativos ejecutados durante la crisis.
Otros Esquemas s/autor
Otros Esquemas s/autor
Proceso de Tratamiento de Riesgos (enfoque Australiano)
Proceso de Tratamiento de Riesgos (enfoque Australiano)
Matriz de Riesgo
 Matriz de Riesgo

Para levantar información de los procesos, la técnica a

utilizar para documentar y estructurar el trabajo
corresponde a la desagregación de la información en
una Matriz de Riesgos:
• Matrices Específicas para cada proceso relevante o materia específica
• Matriz Global de la Empresa por Ranking.

Como resumen, ésta técnica desagrega la estructura de

la entidad en procesos, subproceso y etapas, con los
objetivos operativos, el nivel de riesgo, el nivel de
eficiencia y los controles mitigantes, entre otros.

La información contenida en la Matriz de Riesgos de la entidad,

corresponde al momento en el cual se realiza el levantamiento
de información, y debe ser actualizada en forma periódica.
 Pasos para la Confección de la Matriz de Riesgo
• Desagregación de los procesos de la institución.
• Identificación de subprocesos de los procesos.
• Identificación de etapas en cada subproceso.
• Identificación de los objetivos operativos por etapa o subproceso. (finalidad
específica que se persigue en la generación de un producto o servicio)
• Identificación de todos los riesgos operativos relevantes. operativos que pueden
afectar a cada subproceso o etapa, (situaciones cuya ocurrencia u omisión pudieran
afectar total o parcialmente el logro de los objetivos operativos).
• Identificar la fuente, el tipo y la probabilidad del riesgo para clasificar su Impacto y
Severidad (s/tablas).
• Describir el Control que mitiga el Riesgo y su clasificación en relación a la efectividad
de su diseño

Posteriormente por medio de tablas se calcula:

• Valor de la exposición al riesgo individual, por etapa, subproceso y proceso crítico.
Finalmente se determina la Matriz Global de la Empresa por Ranking
Otro ejemplo
Ejemplo de Estrategias de evitación de riesgos
 TABLAS Y VALORES
ASOCIADOS A LAS
MATRICES DE RIESGOS
 CATEGORÍAS DE PROBABILIDAD
Categoría Valor Descripción

Riesgo cuya materialización influye directamente en el

Catastróficas 5 cumplimiento de la misión, pérdida patrimonial o deterioro
de la imagen, dejando además sin funcionar totalmente o
por un período importante de tiempo, los programas o
servicios que entrega la institución
Riesgo cuya materialización dañaría significativamente el
Mayores 4 patrimonio, imagen o logro de los objetivos sociales.
Además, se requeriría una cantidad importante de tiempo
de la alta dirección en investigar y corregir los daños

Riesgo cuya materialización causaría ya sea una pérdida

Moderadas 3 importante en el patrimonio o un deterioro significativo de
la imagen. Además, requiere una cantidad de tiempo
importante de la alta dirección en investigar y corregir los
daños
Riesgo que causa un daño en el patrimonio o imagen, que
se puede corregir en el corto tiempo y que no afecta el
Menores 2
cumplimiento de los objetivos estratégicos

Insignificante 1 Riesgo que puede tener un pequeño o nulo efecto en la

institución
 CATEGORÍAS DE IMPACTO
Categoría Valor Descripción

Riesgo cuya materialización influye directamente en el

cumplimiento de la misión, pérdida patrimonial o deterioro
Catastróficoo 5
de la imagen, dejando además sin funcionar totalmente o
por un período importante de tiempo, los programas o
servicios que entrega la institución

Riesgo cuya materialización dañaría significativamente el

Mayores 4 patrimonio, imagen o logro de los objetivos sociales.
Además, se requeriría una cantidad importante de tiempo
de la alta dirección en investigar y corregir los daños

Riesgo cuya materialización causaría ya sea una pérdida

Moderadas 3 importante en el patrimonio o un deterioro significativo de
la imagen. Además, se requeriría tiempo importante de la
alta dirección en investigar y corregir los daños

Riesgo que causa un daño en el patrimonio o imagen, que

Menores 2 se puede corregir en el corto tiempo y que no afecta el
cumplimiento de los objetivos estratégicos

1 Riesgo que puede tener un pequeño o nulo efecto en la

Insignificante
institución
 Matriz
PONDERACIÓN PONDERACION
PROCESO SUB ETAPA OBJETIVO
PROCESO ESTRATÉGICA ESTRATÉGICA
TRANSVERSAL PROCESO RELEVANTE ESPECIFICO
PROCESO SUBPROCESO

RIESGOS IDENTIFICADOS
PROBABILIDAD IMPACTO

FUENTE SEVERIDAD
DESCRIPCION TIPO CLASIF
DEL CLASIF. VALOR VALOR DEL VALOR
DEL RIESGO DE RIESGO .
RIESGO RIESGO

CONTROLES CLAVES EXISTENTES

NIVEL EFECTIVIDAD
DESCRIPCION CUMPLIMIENTO PERIODICIDAD OPORTUNIDAD AUTOMATIZACION VALOR
DEL CONTROL NORMAS DE
CONTROL
 Matriz
POR RIESGO ESPECIFICO POR ETAPA

NIVEL EXPOSICION AL RIESGO VALOR NIVEL EXPOSICION AL RIESGO VALOR

POR SUBPROCESO POR PROCESO

VALOR VALOR
NIVEL NIVEL
EXPOSICION RANKING EXPOSICION AL RANKING
EXPOSICION VALOR EXPOSICION VALOR
AL RIESGO PRIORIZACION RIESGO PRIORIZACION
AL RIESGO AL RIESGO
PONDERADA PONDERADA
 ANÁLISIS
DE LA MATRIZ DE RIESGO

Esquemas y Resumen
 ANALISIS DE MATRIZ DE RIESGO

Fase Identificación de riesgos y oportunidades = ¿Qué se pide?

Revisar si la desagregación de procesos, subprocesos,

Desagregación etapas, objetivos, riesgos y controles es adecuada y
corresponde a la realidad del Servicio

Revisar la aplicación de la tipología de riesgos,

Tipologías considerando sólo una fuente y sólo un tipo para el
riesgo.

Procesos Revisar la clasificación de sus procesos en procesos

Transversales transversales en relación a las nuevas categorías

Procesos Revisar y mejorar identificación de riesgos relacionados

Relevantes con Procesos Estratégicos, Informáticos, etc.

Dónde: Matriz de Riesgos Estratégica

 ANALISIS DE MATRIZ DE RIESGO

Fase Análisis de riesgos = ¿Qué se pide?

Revisión, •Actualizar riesgos y calificación de impacto y probabilidad

Actualización y •Actualizar riesgos estratégicos
Mejorar análisis de •Relacionar riesgos con objetivo de la etapa
•Ajustar las exposiciones al riesgo
riesgos

Actualizar análisis •Analizar procesos mejorados con TIC

de los riesgos •Analizar riesgos en procesos mejorados

Revisar aplicación
•Ponderar todos los procesos y subprocesos
de concepto de •Sumar 100%
ponderación y su •Justificar sobre variables objetivas
justificación
• Actualizar la descripción de los controles (qué, cómo, quién,
cuándo).
Mejorar análisis de • Revisión, Análisis y Mejora de los controles, considerando los
los controles riesgos relevantes o claves para mitigar el riesgo específico.
• Actualizar análisis de los control (efectividad de su diseño)
 ANALISIS DE MATRIZ DE RIESGO

Fase Evaluación de riesgos = ¿Qué se pide?

Revisar y mejorar evaluación de

riesgos, ajustando el ranking de
Revisar y procesos según la realizada en la
ajustar Ranking identificación y análisis de riesgos y
controles, y entregando los ranking por
procesos y subprocesos actualizados.
 TRATAMIENTO DE RIESGOS

Definir Plan
de Tratamiento

Consiste en definir el tratamiento y/o monitoreo, de

los riesgos de acuerdo a un ranking definido o riesgo
que considere relevantes, lo que implica desarrollar e
implementar estrategias y planes de acción
específicos que mantengan el riesgo dentro de los
niveles aceptados por la organización.
 TRATAMIENTO DE RIESGOS

Fase Tratamiento de riesgos = ¿Qué se pide?

La Empresa, una vez analizada la Matriz de Riesgo,

debe confeccionar un Plan de Tratamiento de acuerdo
a las prioridades que deriven de los rankings (nivel de
exposición al riesgo ponderado, u otro), y
comprometer estrategias para aquellos riesgos que
Definir Plan
tratará, señalando las medidas que se adoptarán para
de Tratamiento la gestión de esos riesgos.

Para ello, el Plan de Tratamiento debe contener:

estrategias, acciones, indicadores y metas que se
orienten a obtener que el riesgo a tratar sea
efectivamente mitigado, a través del manejo de su
probabilidad e impacto o mediante el mejoramiento de
los controles asociados.
 TRATAMIENTO DE RIESGOS

Fase Tratamiento de riesgos = ¿Qué se pide?

Los riesgos a tratar deben ser adecuados para gestionar el

riesgo del o los procesos priorizados.

Consideraciones •Las estrategias deben ser: reducir, aceptar, compartir o

para el Plan de evitar.
Tratamiento
•Las acciones definidas deben ser aptas para mitigar el
riesgo al cual se asocian.

Los indicadores deben ser de resultado y señalar qué es lo

que se quiere medir.

•La meta debe ser el valor deseado del indicador que se

espera alcanzar.

•El verificador debe ser apto para dar seguridad de que se

alcanzó la meta.
 TRATAMIENTO DE RIESGOS

Se debe dejar •Encargado del Plan de Tratamiento de Riesgos

establecido •Tipo de información que se espera recopilar en el proceso.
claramente:
•Cuándo se recogería la información y en qué instrumentos.
•Tipo de reportes podría tener el proceso y tipo de análisis
Revisión del
• Roles y responsables de la calidad y confiabilidad de la
Plan de información.
Tratamiento
de Riesgos •Sistemas de manejo de información (soportes y sistemas)
•Cómo y cuándo se realizará la comunicación (soportes y
tecnologías requeridas).
•Niveles organizacionales y personas a quienes se comunicará la
información. (Manejo de Información Estratégica, Cómo y quiénes tendrán acceso
a la información (perfiles).)

•Cómo y cuándo se realizará la comunicación (soportes y

tecnologías requeridas).
•Cómo se recolectarán opiniones (retroalimentación).

•Otros. (fechas, carta Gantt, reuniones, etc.)

 TRATAMIENTO DE RIESGOS

Fase Monitoreo y Revisión = ¿Qué se pide?

El Plan de Tratamiento de Riesgos, debe ser

monitoreado en forma oportuna y revisar los
Reporte de compromisos contenidos en dicho Plan, con
Monitoreo la finalidad de validar su cumplimiento o
establecer nuevos compromisos, mejoras,
etc.
 Compromiso y Validación

• Proceso
• Riesgo Específico • Resultado de la
Medición de las
• Descripción de la Estrategia Metas
que se aplicará • Evidencia del
• Responsable de la estrategia Cumplimiento
• Plazo • Proyecciones de
Cumplimiento
• Indicador de Logro • Recomendaciones
• Periodo de Medición
• Meta
• Evidencia que se Observará
 Ejemplo: Compromiso
Descripción de la Responsable de
Proceso Riesgo específico Plazo
estrategia a aplicar la estrategia
Se implementarán
Gestión de la Imposibilidad de acceder a los
Servidores con datos y Jefe de Informática Mensual
Información Servicios y datos
Servicios replicados.
Dificultades de búsqueda de Revisión de clasificación
Marzo a
Documentos por una clasificación de documentos en base a Jefe Of. de Partes
diciembre
Inadecuada. muestra.
Implementación de control
Omitir total o parcialmente la
quincenal de calidad del Marzo a
Digitalización de un documento o Jefe Of. de Partes
escaneo en base a una Diciembre
que este último resulte ilegible.
Gestión de muestra.
Documentos Evaluación de
No entregar en forma oportuna la Jefe Of. de Partes
Implementación de Diciembre
tramitación de los documentos Jefe de Informática
Workflow
Deterioro o extravío de
documentos Monitoreo del uso del Marzo a
Jefe Of. de Partes
Por falta de control y registro de libro. Diciembre
entrada y/o salida.
Error en la información asociada a
Transparencia Establecer control al azar Jefe de RR.HH Mensual
la persona